Creación de restricciones de plataforma de dispositivos

  • Artículo

Se aplica a: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Cree una directiva de restricción de inscripción de plataforma de dispositivos para impedir que los dispositivos se inscriban en Intune. Entre las restricciones disponibles se incluyen:

  • Plataforma de dispositivo
  • Versión del sistema operativo
  • Fabricante
  • Propiedad (propiedad personal)

Puede crear una nueva directiva de restricción de plataforma de dispositivos en el centro de administración de Microsoft Intune o usar la directiva predeterminada que ya está disponible. Puede tener hasta 25 directivas de restricción de plataforma de dispositivos.

En este artículo se describen las restricciones de plataforma de dispositivos admitidas en Microsoft Intune y cómo configurarlas en el Centro de administración.

Directiva predeterminada

Microsoft Intune proporciona una directiva predeterminada para las restricciones de plataforma de dispositivos que puede editar y personalizar según sea necesario. Intune aplica la directiva predeterminada a todas las inscripciones sin usuario y de usuario hasta que asigne una directiva de mayor prioridad.

Procedimiento recomendado: restricciones de la plataforma Android

Dado que Intune admite dos plataformas Android, es importante comprender cómo funcionan las restricciones de versión del sistema operativo cuando se usan con restricciones de plataforma de dispositivo:

  • Si permite ambas plataformas para el mismo grupo y después lo refina para versiones específicas y no superpuestas, los dispositivos se enviarán por el flujo de inscripción de Android seleccionado para su versión.
  • Si permite ambas plataformas, pero bloquea las mismas versiones, los dispositivos que ejecutan versiones bloqueadas no se pueden inscribir. Los usuarios de estos dispositivos se envían a través del flujo de inscripción del administrador de dispositivos Android antes de que se les bloquee y se les pida que cierren sesión.

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Crear una restricción de plataforma de dispositivo

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Vaya a Inscripción de dispositivos>.

  3. Seleccione Restricción de la plataforma de dispositivos.

  4. Seleccione la pestaña situada en la parte superior de la página que corresponde a la plataforma que está configurando. Sus opciones:

    • Restricciones de Android
    • Restricciones de Windows
    • Restricciones de macOS
    • Restricciones de iOS

  5. Seleccione Crear restricción.

  6. En la página Aspectos básicos, especifique un nombre y una descripción opcional para la restricción.

  7. Seleccione Siguiente.

  8. En la página Configuración de la plataforma, configure las restricciones para la plataforma seleccionada. Sus opciones:

    • Plataforma (Android): seleccione Permitir para permitir la inscripción de una plataforma y Bloquear para restringirla.
    • MDM (Windows, macOS e iOS/iPadOS): seleccione Permitir para permitir la inscripción de una plataforma y Bloquear para restringirla.
    • Propiedad personal: seleccione Permitir para permitir que los dispositivos se inscriban y funcionen como dispositivos personales.
    • Fabricante de dispositivos (Android): escriba una lista separada por comas de los fabricantes que desea bloquear.
    • Permitir intervalo mínimo/máximo (Android, Windows, iOS/iPadOS): escriba las versiones mínima y máxima del sistema operativo permitidas para inscribirse. Entre los formatos de las versiones admitidas se incluyen los siguientes:

      • Windows admite major.minor.build.rev para Windows 10 y Windows 11. Intune no recibe el número de revisión durante la inscripción, por lo que escriba 0 para el número de revisión.

      • El administrador de dispositivos Android y el perfil de trabajo de Android Enterprise admiten major.minor.rev.build.

      • iOS/iPadOS admite major.minor.rev.

        Sugerencia

        El intervalo mínimo o máximo no es aplicable a los dispositivos Apple que se inscriben con el Programa de inscripción de dispositivos, Apple School Manager o la aplicación Apple Configurator. Aunque Intune no bloquea las inscripciones de ADE que usan Portal de empresa para autenticarse, no cumplir los requisitos del sistema operativo afecta al registro porque los dispositivos no pueden crear el registro de dispositivo Microsoft Entra que se usa para evaluar las directivas de acceso condicional. Puede indicar que este es el caso si un usuario del dispositivo recibe un mensaje de error que dice "No se pudo asignar el registro de dispositivo con un usuario" después de iniciar sesión en Portal de empresa.

  9. Seleccione Siguiente.

  10. Opcionalmente, agregue etiquetas de ámbito a la restricción. Para obtener más información sobre las etiquetas de ámbito, consulte Usar el control de acceso basado en roles y las etiquetas de ámbito para TI distribuida.

    Nota:

    Si aplica etiquetas de ámbito a una restricción, solo los usuarios de Intune dentro del ámbito pueden ver y administrar la directiva. Solo los usuarios del ámbito pueden ver y reordenar una restricción, o cambiar su nivel de prioridad. También pueden ver la prioridad relativa de la restricción, incluso si no pueden ver todas las restricciones.

  11. Seleccione Siguiente.

  12. En la página Asignaciones, seleccione Agregar grupos y use el cuadro de búsqueda para buscar y seleccionar grupos. Para asignar la restricción a todos los usuarios de dispositivos, seleccione Agregar todos los usuarios. Si no asigna una restricción al menos a un grupo, la restricción no surtirá efecto.

  13. Opcionalmente, después de asignar grupos, seleccione Editar filtro para restringir aún más la asignación de directiva con filtros. Los filtros están disponibles para las directivas de macOS, iOS y Windows. Para obtener más información, vea Aplicar filtros de asignación (en este artículo).

  14. Seleccione Siguiente.

  15. Revise la directiva y, a continuación, seleccione Crear para crearla.

Puede ver la nueva directiva de restricción y acceder a sus propiedades enla tabla Restricciones > de la plataforma de dispositivos de inscripción. Seleccione y arrastre la restricción para reposicionarla en la tabla y cambiar su prioridad.

Aplicar filtros de asignación

Puede usar filtros de asignación para incluir y excluir dispositivos adicionales de determinadas directivas dirigidas a grupos. Las restricciones de inscripción y las directivas ESP admiten el uso de filtros de asignación.

Por ejemplo, puede usar un filtro para permitir la inscripción de dispositivos Windows personales mientras bloquea los dispositivos que ejecutan una SKU de sistema operativo específica. Para lograr este resultado, aplique un filtro preconfigurado a las asignaciones de restricciones de inscripción. El filtro debe tener la propiedad operatingSystemSKU en sus reglas. Pasos de ejemplo:

  1. Cree una directiva de restricción de inscripción de plataforma para Windows.
  2. En la configuración de la plataforma, seleccione la opción que permite la inscripción de dispositivos personales.
  3. En la configuración de asignaciones, seleccione los grupos que desea asignar.
  4. Seleccione Editar filtro y, a continuación, aplique el filtro preconfigurado que contiene la propiedad operatingSystemSKU. La propiedad aplicada bloquea los dispositivos que ejecutan Windows 10 Home Edition.

Para obtener más información acerca de cómo crear filtros, consulte Crear un filtro.

Propiedades de filtro compatibles

Las restricciones de inscripción admiten menos propiedades de filtro que otras directivas dirigidas a grupos. Esto se debe a que los dispositivos aún no están inscritos, por lo que Intune no tiene la información del dispositivo para admitir todas las propiedades. Verá la selección limitada de propiedades cuando:

  • Configure una directiva de restricción de plataforma de dispositivos para dispositivos Apple y Windows.
  • Configure una directiva de página de estado de inscripción (ESP) para Windows.
  • Edite un filtro que esté en uso en una restricción de inscripción o un perfil ESP.

Las siguientes propiedades de filtro siempre están disponibles para usar con directivas de inscripción:

Windows

  • Versión del sistema operativo
  • SKU del sistema operativo
  • Ownership
  • Nombre de perfil de la inscripción

iOS/iPadOS y macOS

  • Fabricante
  • Model
  • Versión del sistema operativo
  • Ownership
  • Nombre de perfil de la inscripción

Para obtener más información acerca de estas propiedades, consulte las propiedades del dispositivo. Los filtros no se pueden usar con restricciones de inscripción de Android.

Editar restricciones de inscripción

Las modificaciones se aplican a las nuevas inscripciones y no afectan a los dispositivos que ya están inscritos.

  1. Vuelva aLa inscripciónde dispositivos>.
  2. Seleccione Restricciones de la plataforma de dispositivos.
  3. En la tabla Restricciones de tipo de dispositivo, seleccione el nombre de la directiva que desea cambiar.
  4. Seleccione Propiedades.
  5. Seleccione Editar.
  6. Realice los cambios y seleccione Revisar y guardar.
  7. Revise los cambios y seleccione Guardar.