Establecer restricciones de inscripciónSet enrollment restrictions

Como administrador de Intune, puede crear y administrar las restricciones de inscripción que definen los dispositivos que se pueden inscribir en la administración con Intune, lo que incluye:As an Intune administrator, you can create and manage enrollment restrictions that define what devices can enroll into management with Intune, including the:

  • El número de dispositivosNumber of devices.
  • Los sistemas operativos y sus versionesOperating systems and versions.

Puede crear varias restricciones y aplicarlas a diferentes grupos de usuarios.You can create multiple restrictions and apply them to different user groups. Puede establecer el orden de prioridad para las distintas restricciones.You can set the priority order for your different restrictions.

Nota

Las restricciones de inscripción no son características de seguridad.Enrollment restrictions are not security features. Los dispositivos en peligro pueden falsificar su carácter.Compromised devices can misrepresent their character. Estas restricciones son un obstáculo al mejor esfuerzo para los usuarios no malintencionados.These restrictions are a best-effort barrier for non-malicious users.

Las restricciones de inscripción específicas que se pueden crear son:The specific enrollment restrictions that you can create include:

  • Número máximo de dispositivos inscritos.Maximum number of enrolled devices.
  • Plataformas de dispositivo que se pueden inscribir:Device platforms that can enroll:
    • Administrador de dispositivos AndroidAndroid device administrator
    • Perfil de trabajo de Android EnterpriseAndroid Enterprise work profile
    • iOS/iPadOSiOS/iPadOS
    • macOSmacOS
    • WindowsWindows
  • Versión del sistema operativo de la plataforma para iOS y iPadOS, el administrador de dispositivos Android, el perfil de trabajo de Android Enterprise y Windows.Platform operating system version for iOS/iPadOS, Android device administrator, Android Enterprise work profile, and Windows.
    • Versión mínima.Minimum version.
    • Versión máxima.Maximum version.
  • Restrinja los dispositivos de propiedad personal (iOS, administrador de dispositivos Android, perfil de trabajo de Android Enterprise, macOS y Windows).Restrict personally owned devices (iOS, Android device administrator, Android Enterprise work profile, macOS, and Windows).

Restricciones predeterminadasDefault restrictions

Las restricciones predeterminadas se proporcionan automáticamente para las restricciones de inscripción de tipo de dispositivo y límite de dispositivo.Default restrictions are automatically provided for both device type and device limit enrollment restrictions. Puede cambiar las opciones para los valores predeterminados.You can change the options for the defaults. Las restricciones predeterminadas se aplican a todos los usuarios e inscripciones sin usuario.Default restrictions apply to all user and userless enrollments. Puede invalidar estos valores predeterminados mediante la creación de nuevas restricciones con prioridades más altas.You can override these defaults by creating new restrictions with higher priorities.

Creación de una restricción de tipo de dispositivoCreate a device type restriction

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager > Dispositivos > Restricciones de inscripción > Crear restricción > Restricción de tipo de dispositivo.Sign in to the Microsoft Endpoint Manager admin center > Devices > Enrollment restrictions > Create restriction > Device type restriction.

  2. En la página Aspectos batos básicos, especifique la información de Nombre y, opcionalmente, Descripción de la restricción.On the Basics page, give the restriction a Name and optional Description.

  3. Elija Siguiente para ir a la página Configuración de plataforma.Choose Next to go to the Platform settings page.

  4. En Plataforma, elija Permitir para las plataformas en las que quiera que esta restricción se permita.Under Platform, choose Allow for the platforms that you want this restriction to allow. Captura de pantalla de la elección de configuración de plataformaScreen cap for choosing platform settings

  5. En Versiones, elija las versiones mínima y máxima que quiera que admita la plataforma permitida.Under Versions, choose the minimum and maximum versions that you want the allowable platforms to support. Para iOS y Android, las restricciones de versión solo se aplican a los dispositivos inscritos con el Portal de empresa.For iOS and Android, version restrictions only apply to devices enrolled with the Company Portal. Entre los formatos de las versiones admitidas se incluyen los siguientes:Supported version formats include:

    • El administrador de dispositivos Android y el perfil de trabajo de Android Enterprise admiten major.minor.rev.build.Android device administrator and Android Enterprise work profile support major.minor.rev.build.
    • iOS/iPadOS admite major.minor.rev. Las versiones de sistema operativo no son relevantes en dispositivos Apple que se inscriban en el Programa de inscripción de dispositivos, Apple School Manager ni la aplicación Apple Configurator.iOS/iPadOS supports major.minor.rev. Operating system versions don't apply to Apple devices that enroll with the Device Enrollment Program, Apple School Manager, or the Apple Configurator app.
    • Windows admite major.minor.build.rev únicamente para Windows 10.Windows supports major.minor.build.rev for Windows 10 only.

    Importante

    Las plataformas del administrador de dispositivos Android y de Android Enterprise (perfil de trabajo) tienen el siguiente comportamiento:Android Enterprise (work profile) and Android device administrator platforms have the following behavior:

    • Si ambas plataformas están permitidas en el mismo grupo, los usuarios se inscribirán con un perfil de trabajo si el dispositivo lo admite; si no, se inscribirán como administradores de dispositivos.If both platforms are allowed for the same group, then users will be enrolled with a work profile if their device supports it, otherwise they will enroll as DA.
    • Si ambas plataformas están permitidas en el grupo y se han refinado para versiones específicas y no superpuestas, los usuarios recibirán el flujo de inscripción definido para su versión del sistema operativo.If both platforms are allowed for the group and refined for specific and non-overlapping versions, then users will receive the enrollment flow defined for their OS version.
    • Si ambas plataformas se permiten, pero están bloqueadas en las mismas versiones, los usuarios de los dispositivos con las versiones bloqueadas se desconectarán del flujo de inscripción de administrador de dispositivos Android, se bloquearán de la inscripción y se les pedirá que cierren sesión.If both platforms are allowed, but blocked for the same versions, then users on devices with the blocked versions will be taken down the Android device administrator enrollment flow and then get blocked from enrollment and prompted to sign out.

    Merece la pena mencionar que ni el perfil de trabajo ni la inscripción del administrador de dispositivos funcionarán a menos que se hayan completado los requisitos previos adecuados en la inscripción de Android.Worth noting that neither work profile or device administrator enrollment will work unless the appropriate prequisites have been completed in Android Enrollment.

    Nota

    Windows 10 no proporciona el número de rev durante la inscripción; por lo tanto, si, por ejemplo, escribe 10.0.17134.100 y el dispositivo coincide con 10.0.17134.174, durante la inscripción este se bloqueará.Windows 10 does not provide the rev number during enrollment so for instance if you enter in 10.0.17134.100 and the device is 10.0.17134.174 it will be blocked during enrollment.

  6. En Propiedad personal, elija Permitir para las plataformas que quiera permitir como dispositivos de propiedad personal.Under Personally owned, choose Allow for the platforms that you want to permit as personally owned devices.

  7. En Fabricante del dispositivo, escriba una lista separada por comas de los fabricantes que desea bloquear.Under Device manufacturer, enter a comma-separated list of the manufacturers that you want to block.

  8. Elija Siguiente para ir a la página Etiquetas de ámbito.Choose Next to go to the Scope tags page.

  9. En la página Etiquetas de ámbito, puede agregar las etiquetas de ámbito que quiere aplicar a esta restricción.On the Scope tags page, optionally add the scope tags you want to apply to this restriction. Para obtener más información sobre las etiquetas de ámbito, consulte Use role-based access control and scope tags for distributed IT (Uso del control de acceso basado en roles y de las etiquetas de ámbito para la TI distribuida).For more information about scope tags, see Use role-based access control and scope tags for distributed IT. Al usar etiquetas de ámbito con restricciones de inscripción, los usuarios solo pueden cambiar el orden de las directivas en las que tienen ámbito.When using scope tags with enrollment restrictions, users can only re-order policies for which they have scope. Además, solo pueden cambiar el orden de las posiciones de directivas en las que tienen ámbito.Also, they can only reorder for the policy positions for which they have scope. Los usuarios ven el número de prioridad de directiva verdadero en cada directiva.Users see the true policy priority number on each policy. Un usuario con ámbito puede indicar la prioridad relativa de sus directivas aunque no pueda ver todas las demás directivas.A scoped user can tell the relative priority of their policies even if they can't see all the other policies.

  10. Elija Siguiente para ir a la página Asignaciones.Choose Next to go to the Assignments page.

  11. Elija Seleccionar grupos para incluir y luego use el cuadro de búsqueda para buscar los grupos que quiere incluir en esta restricción.Choose Select groups to include and then use the search box to find groups that you want to include in this restriction. La restricción se aplica únicamente a los grupos a los que está asignada.The restriction applies only to groups to which it's assigned. Si no asigna una restricción al menos a un grupo, no tendrá ningún efecto.If you don't assign a restriction to at least one group, it won't have any effect. Luego, elija Seleccionar.Then choose Select. Captura de pantalla de la elección de configuración de plataformaScreen cap for choosing platform settings

  12. Elija Siguiente para ir a la página Revisar y crear.Select Next to go to the Review + create page.

  13. Seleccione Crear para crear la restricción.Select Create to create the restriction.

  14. La nueva restricción se crea con una prioridad justo por encima del valor predeterminado.The new restriction is created with a priority just above the default. También puede cambiar la prioridad.You can change the priority.

Creación de una restricción de límite de dispositivosCreate a device limit restriction

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager > Dispositivos > Restricciones de inscripción > Crear restricción > Restricción de límite de dispositivos.Sign in to the Microsoft Endpoint Manager admin center > Devices > Enrollment restrictions > Create restriction > Device limit restriction.
  2. En la página Aspectos batos básicos, especifique la información de Nombre y, opcionalmente, Descripción de la restricción.On the Basics page, give the restriction a Name and optional Description.
  3. Elija Siguiente para ir a la página Límite de dispositivo.Choose Next to go to the Device limit page.
  4. En Límite de dispositivo, seleccione el número máximo de dispositivos que un usuario puede inscribir.For Device limit, select the maximum number of devices that a user can enroll. Captura de pantalla de la elección del límite de dispositivosScreen cap for choosing device limit
  5. Elija Siguiente para ir a la página Etiquetas de ámbito.Choose Next to go to the Scope tags page.
  6. En la página Etiquetas de ámbito, puede agregar las etiquetas de ámbito que quiere aplicar a esta restricción.On the Scope tags page, optionally add the scope tags you want to apply to this restriction. Para obtener más información sobre las etiquetas de ámbito, consulte Use role-based access control and scope tags for distributed IT (Uso del control de acceso basado en roles y de las etiquetas de ámbito para la TI distribuida).For more information about scope tags, see Use role-based access control and scope tags for distributed IT. Al usar etiquetas de ámbito con restricciones de inscripción, los usuarios solo pueden cambiar el orden de las directivas en las que tienen ámbito.When using scope tags with enrollment restrictions, users can only re-order policies for which they have scope. Además, solo pueden cambiar el orden de las posiciones de directivas en las que tienen ámbito.Also, they can only reorder for the policy positions for which they have scope. Los usuarios ven el número de prioridad de directiva verdadero en cada directiva.Users see the true policy priority number on each policy. Un usuario con ámbito puede indicar la prioridad relativa de sus directivas aunque no pueda ver todas las demás directivas.A scoped user can tell the relative priority of their policies even if they can't see all the other policies.
  7. Elija Siguiente para ir a la página Asignaciones.Choose Next to go to the Assignments page.
  8. Elija Seleccionar grupos para incluir y luego use el cuadro de búsqueda para buscar los grupos que quiere incluir en esta restricción.Choose Select groups to include and then use the search box to find groups that you want to include in this restriction. La restricción se aplica únicamente a los grupos a los que está asignada.The restriction applies only to groups to which it's assigned. Si no asigna una restricción al menos a un grupo, no tendrá ningún efecto.If you don't assign a restriction to at least one group, it won't have any effect. Luego, elija Seleccionar.Then choose Select. Captura de pantalla de selección de gruposScreen cap for selecting groups
  9. Elija Siguiente para ir a la página Revisar y crear.Select Next to go to the Review + create page.
  10. Seleccione Crear para crear la restricción.Select Create to create the restriction.
  11. La nueva restricción se crea con una prioridad justo por encima del valor predeterminado.The new restriction is created with a priority just above the default. También puede cambiar la prioridad.You can change the priority.

Durante las inscripciones de BYOD, los usuarios recibirán una notificación en la que se les informará cuando hayan alcanzado el límite de dispositivos inscritos.During BYOD enrollments, users see a notification that tells them when they've met their limit of enrolled devices. Por ejemplo, en iOS:For example, on iOS:

Notificación del límite en un dispositivo iOS

Importante

No se aplican restricciones de límite de dispositivos para los siguientes tipos de inscripción de Windows:Device limit restrictions don't apply for the following Windows enrollment types:

  • Inscripciones con administración conjuntaCo-managed enrollments
  • Inscripciones de GPOGPO enrollments
  • Inscripciones unidas a Azure Active DirectoryAzure Active Directory joined enrollments
  • Inscripciones masivas unidas a Azure Active DirectoryBulk Azure Active Directory joined enrollments
  • Inscripciones de AutoPilotAutopilot enrollments
  • Inscripciones del administrador de inscripciones de dispositivosDevice Enrollment Manager enrollments

No se aplican restricciones de límite de dispositivos para estos tipos de inscripción porque se consideran escenarios de dispositivos compartidos.Device limit restrictions are not enforced for these enrollment types because they're considered shared device scenarios. Puede establecer límites estrictos para estos tipos de inscripción en Azure Active Directory.You can set hard limits for these enrollment types in Azure Active Directory.

Cambio de las restricciones de inscripciónChange enrollment restrictions

Para cambiar la configuración de una restricción de inscripción, siga estos pasos.You can change the settings for an enrollment restriction by following the steps below. Estas restricciones no afectan a los dispositivos que ya se han inscrito.These restrictions don't effect devices that have already been enrolled. Los dispositivos inscritos con el agente de PC de Intune no se puede bloquear con esta característica.Devices enrolled with Intune PC agent can't be blocked with this feature.

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager > Dispositivos > Restricciones de inscripción > elija la restricción que quiera cambiar > Propiedades.Sign in to the Microsoft Endpoint Manager admin center > Devices > Enrollment restrictions > choose the restriction that you want to change > Properties.
  2. Elija Editar junto a la configuración que quiere cambiar.Choose Edit next to the settings that you want to change.
  3. En la página Editar, realice los cambios que quiera y siga en la página Revisar y guardar; luego, elija Guardar.On the Edit page, make the changes that you want and proceed to the Review + save page, then choose Save.

Bloquear dispositivos Android personalesBlocking personal Android devices

  • Aunque bloquee la inscripción de dispositivos del administrador de dispositivos Android de propiedad personal, aún pueden inscribirse los dispositivos del perfil de trabajo de Android Enterprise de propiedad personal.If you block personally owned Android device administrator devices from enrollment, personally owned Android Enterprise work profile devices can still enroll.
  • De forma predeterminada, la configuración de los dispositivos de perfil de trabajo de Android Enterprise es igual que la configuración de los dispositivos del administrador de dispositivos Android.By default, your Android Enterprise work profile devices settings are the same as your settings for your Android device administrator devices. Después de cambiar la configuración del perfil de trabajo de Android Enterprise o del administrador de dispositivos Android, ya no será así.After you change your Android Enterprise work profile or your Android device administrator settings, that's no longer the case.
  • Si bloquea la inscripción del perfil de trabajo personal de Android Enterprise, tan solo los dispositivos Android de propiedad corporativa podrán inscribirse como perfil de trabajo de Android Enterprise.If you block personal Android Enterprise work profile enrollment, only corporate-owned Android devices can enroll with Android Enterprise work profiles.

Bloquear dispositivos Windows personalesBlocking personal Windows devices

Si impide la inscripción de dispositivos Windows de uso personal, Intune realiza comprobaciones para asegurarse de que se ha autorizado cada nueva solicitud de inscripción de Windows como una inscripción corporativa.If you block personally owned Windows devices from enrollment, Intune checks to make sure that each new Windows enrollment request has been authorized as a corporate enrollment. Las inscripciones no autorizadas se bloquearán.Unauthorized enrollments will be blocked.

Los métodos siguientes se consideran como autorizados como una inscripción corporativa de Windows:The following methods qualify as being authorized as a Windows corporate enrollment:

Intune marcó como corporativas las inscripciones siguientes.The following enrollments are marked as corporate by Intune. Pero se bloquearán porque no ofrecen control por dispositivo del administrador de Intune:But since they don't offer the Intune administrator per-device control, they'll be blocked:

También se bloquearán los siguientes métodos de inscripción personal:The following personal enrollment methods will also be blocked:

* Estos no se bloquearán si se han registrado con Autopilot.* These won't be blocked if registered with Autopilot.

Bloquear dispositivos iOS/iPadOS personalesBlocking personal iOS/iPadOS devices

De forma predeterminada, Intune clasifica los dispositivos iOS/iPadOS como de propiedad personal.By default, Intune classifies iOS/iPadOS devices as personally-owned. Para que se clasifiquen como de propiedad de la empresa, un dispositivo iOS/iPadOS debe cumplir una de las siguientes condiciones:To be classified as corporate-owned, an iOS/iPadOS device must fulfill one of the following conditions:

Cambiar la prioridad de las restricciones de inscripciónChange enrollment restriction priority

La prioridad se usa cuando un usuario existe en varios grupos a los que se asignan restricciones.Priority is used when a user exists in multiple groups that are assigned restrictions. Los usuarios solo están sujetos a la restricción de prioridad más alta asignada a un grupo al que pertenecen.Users are subject only to the highest priority restriction assigned to a group that they are in. Por ejemplo, Juan está en el grupo A asignado a restricciones de prioridad 5, así como en el grupo B asignado a restricciones de prioridad 2.For example, Joe is in group A assigned to priority 5 restrictions and also in group B assigned to priority 2 restrictions. Juan solo está sujeto a las restricciones de prioridad 2.Joe is subject only to the priority 2 restrictions.

Cuando se crea una restricción, se agrega a la lista justo encima de la predeterminada.When you create a restriction, it's added to the list just above the default.

La inscripción de dispositivos incluye restricciones predeterminadas para el tipo y límite de dispositivo.Device enrollment includes default restrictions for both device type and device limit restrictions. Estas dos restricciones se aplican a todos los usuarios a menos que se reemplacen por restricciones de prioridad más alta.These two restrictions apply to all users unless they're overridden by higher-priority restrictions.

Nota

Las restricciones de inscripción se aplican a los usuarios.Enrollment restrictions are applied to users. En escenarios de inscripción que no están basados en usuarios (por ejemplo, el modo de autoimplementación de Windows Autopilot o el aprovisionamiento preferencial), solo se aplicarán las restricciones de prioridad predeterminadas (destinadas a "Todos los usuarios").In enrollment scenarios that are not user-driven (e.g. Windows Autopilot self-deploying mode or white glove provisioning), only the Default priority restrictions (targeted to "All Users") will be enforced.

Puede cambiar la prioridad de cualquier restricción que no sea la predeterminada.You can change the priority of any non-default restriction.

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.
  2. Seleccione Más servicios, busque Intune y, después, seleccione Intune.Select More Services, search for Intune, and then choose Intune.
  3. Seleccione Inscripción de dispositivos > Restricciones de inscripción.Select Device enrollment > Enrollment restrictions.
  4. Mantenga el puntero sobre la restricción en la lista de prioridades.Hover over the restriction in the priority list.
  5. Con los tres puntos verticales, arrastre la prioridad a la posición deseada en la lista.Using the three vertical dots, drag the priority to the desired position in the list.