Guía de implementación: configurar o mover a Microsoft Intune

  • Artículo
  • Tiempo de lectura: 17 minutos

En esta guía de implementación se incluye información sobre cómo migrar a Intune o cómo adoptar Intune como solución de MDM (administración de dispositivos móviles) y MAM (administración de aplicaciones móviles).

En esta guía se explica el proceso de registro en Intune, se agrega el nombre de dominio, se configura Intune como entidad de MDM, y más. Elija el enfoque de migración que sea más adecuado para las necesidades de su organización. Puede ajustar las tácticas de implementación en función de los requisitos de la organización.

Sugerencia

Esta guía está en constante evolución. Así pues, no dude en agregar o actualizar las sugerencias e instrucciones existentes que le hayan parecido útiles.

Requisitos previos

Actualmente no se usa nada

Si actualmente no usa ningún proveedor de MDM o MAM, tiene algunas opciones:

Para poder decidir, vea Elegir una solución de administración de dispositivos.

Actualmente se usa un proveedor de MDM ajeno

Los dispositivos solo deberían tener un proveedor de MDM. Si usa otro proveedor de MDM, como Workspace ONE (anteriormente denominado AirWatch), MobileIron o MaaS360, puede migrar a Intune. El mayor desafío es que los usuarios deben anular la inscripción de los dispositivos en el proveedor de MDM actual y luego inscribirse en Intune.

Importante

No configure Intune ni la solución de MDM ajena existente para que apliquen controles de acceso a los recursos, incluidos Exchange o SharePoint Online.

Recomendaciones:

  • Si va a migrar desde un proveedor de MDM/MAM asociado, anote las tareas que ejecuta y las características que usa. Esta información le da una idea de qué hacer o por dónde empezar en Intune.

  • Cuando se anula la inscripción de los dispositivos, estos ya no reciben las directivas, incluidas las que proporcionan protección. Son vulnerables hasta que se inscriben en Intune. Al anular la inscripción de los dispositivos, se recomienda el Uso del acceso condicional para bloquearlos hasta que se inscriban en Intune.

    Asegúrese de conocer los pasos específicos de anulación de inscripción e inscripción. Incluya instrucciones del proveedor de MDM existente sobre cómo anular la inscripción de los dispositivos. Una comunicación clara y útil minimiza el descontento y el tiempo de inactividad de los usuarios finales.

  • Use un enfoque por fases. Comience con un pequeño grupo de usuarios piloto y agregue más grupos hasta que llegue a la implementación a escala completa.

  • Supervise la carga del departamento de soporte técnico y el éxito de la inscripción en cada fase. Deje un tiempo en la programación para evaluar los criterios de éxito de cada grupo antes de migrar el siguiente. La implementación piloto debe validar las siguientes tareas:

    • Que las tasas de éxito y error de inscripción se encuentren dentro de lo esperado.

    • Productividad del usuario:

      • Que los recursos corporativos funcionan, lo que incluye VPN, Wi-Fi, correo electrónico y certificados.
      • Que se puede obtener acceso a las aplicaciones implementadas.

    • Seguridad de datos:

      • Revise los informes de cumplimiento y busque tendencias y problemas comunes. Comunique problemas, resoluciones y tendencias al departamento de soporte técnico.
      • Que se han aplicado protecciones de aplicaciones móviles.

  • Cuando esté satisfecho con la primera fase de las migraciones, repita el ciclo de migración en la siguiente fase.

    • Repita los ciclos por fases hasta que todos los usuarios se hayan migrado a Intune.
    • Confirme que el departamento de soporte técnico está preparado para asistir a los usuarios finales durante la migración. Ejecute una migración voluntaria hasta que pueda calcular la carga de trabajo de llamadas de soporte técnico.
    • No establezca fechas límite de inscripción hasta que el departamento de soporte técnico pueda controlar al resto de los usuarios.

Para obtener instrucciones de inscripción, vea la guía de implementación de la inscripción en Intune.

Luego implemente Intune (en este artículo).

Actualmente se usa Configuration Manager

Configuration Manager admite dispositivos Windows y macOS, y servidores Windows Server. Si usa otras plataformas, es posible que tenga que restablecer los dispositivos y luego inscribirlos en Intune. Una vez inscritos, recibirán las directivas y los perfiles que usted cree. Para obtener más información, vea la guía de implementación de la inscripción en Intune y la entrada de blog sobre conexión a la nube.

Si actualmente usa Configuration Manager y quiere usar Intune, tiene las siguientes opciones.

Opción 1: agregar asociación de inquilino

La asociación de inquilinos le permite cargar los dispositivos de Configuration Manager en la organización en Intune, lo que también se conoce como "inquilino". Después de asociar los dispositivos, use el centro de administración de Microsoft Endpoint Manager para ejecutar acciones remotas, como sincronizar la máquina y la directiva de usuario. También puede ver los servidores locales y obtener información del sistema operativo.

La conexión de inquilinos está incluida sin costo adicional con la licencia de administración conjunta de Configuration Manager. Es la forma más sencilla de integrar la nube (Intune) con la instalación local de Configuration Manager.

Para obtener más información, vea habilitar de la asociación de inquilinos.

Opción 2: configurar la administración conjunta

Esta opción usa Configuration Manager para algunas cargas de trabajo e Intune para otras.

  1. En Configuration Manager, configure la administración conjunta.
  2. Implemente Intune (en este artículo), incluido el establecimiento de la entidad de MDM en Intune.

Entonces los dispositivos están listos para inscribirse y recibir las directivas.

Información de utilidad:

Opción 3: Migración desde Configuration Manager a Intune

Este escenario no es habitual. La mayoría de los clientes existentes de Configuration Manager quieren seguir usándolo. Microsoft quiere que siga usando Configuration Manager. Incluye servicios que son beneficiosos para los dispositivos locales, como Análisis de escritorio, etc.

Estos pasos son una introducción y solo se incluyen para aquellos usuarios que quieren una solución en la nube al 100 %. Con esta opción, puede:

  • Registrar los dispositivos cliente de Windows de Active Directory local existentes como dispositivos en Azure Active Directory (AD).
  • Migrar las cargas de trabajo locales existentes de Configuration Manager a Intune.

Esta opción es más laboriosa para los administradores, pero puede crear una experiencia más fluida en los dispositivos cliente de Windows existentes. En el caso de los nuevos dispositivos cliente Windows, se recomienda empezar desde cero con Microsoft 365 e Intune (en este artículo).

  1. Configure Active Directory híbrido y Azure AD para los dispositivos. Los dispositivos unidos a Azure AD híbrido se unen a Active Directory local y se registran en Azure AD. Cuando los dispositivos están en Azure AD, están disponibles para recibir las directivas y los perfiles que se crean en Intune.

    Azure AD híbrido admite dispositivos Windows. Para conocer otros requisitos previos, incluidos los requisitos de inicio de sesión, consulte Planear la implementación de unión a Azure AD híbrido.

  2. En Configuration Manager, configure la administración conjunta.

  3. Implemente Intune (en este artículo), incluido el establecimiento de la entidad de MDM en Intune.

  4. En Configuration Manager, realice el Cambio de las cargas de trabajo de Configuration Manager a Intune.

  5. En los dispositivos, desinstale el cliente de Configuration Manager. Para obtener más información, vea Desinstalación del cliente.

    Una vez configurado Intune, puede crear una directiva de configuración de aplicaciones de Intune que desinstale el cliente de Configuration Manager. Por ejemplo, puede invertir los pasos de Instalación del cliente de Configuration Manager mediante Intune.

Entonces los dispositivos están listos para inscribirse y recibir las directivas.

Importante

Azure AD híbrido solo admite dispositivos Windows. Configuration Manager admite dispositivos Windows y macOS. En el caso de los dispositivos macOS administrados en Configuration Manager, puede:

  1. Desinstalar el cliente de Configuration Manager. Cuando se anula la inscripción, los dispositivos ya no reciben las directivas, incluidas las que proporcionan protección. Son vulnerables hasta que se inscriben en Intune.
  2. Inscribir los dispositivos en Intune para recibir directivas.

Para ayudar a minimizar las vulnerabilidades, migre los dispositivos macOS una vez que Intune esté configurado y las directivas de inscripción estén listas para su implementación.

Opción 4: Comience desde cero con Microsoft 365 e Intune

Esta opción se aplica a los dispositivos cliente Windows. Si emplea sistemas operativos Windows Server, como Windows Server 2016, no use esta opción. Use Configuration Manager.

  1. Implemente Microsoft 365, lo que incluye la creación de usuarios y grupos.

    Vínculos útiles:

  2. Implemente Intune (en este artículo), incluido el establecimiento de la entidad de MDM en Intune.

  3. En los dispositivos existentes, desinstale el cliente de Configuration Manager. Para obtener más información, vea Desinstalación del cliente.

Entonces los dispositivos están listos para inscribirse y recibir las directivas.

Actualmente se usa la directiva de grupo local

En la nube, los proveedores de MDM, como Intune, administran la configuración y las características de los dispositivos. No se usan objetos de directivas de grupo (GPO). Cuando se administran dispositivos, los perfiles de configuración de dispositivos de Intune reemplazan a los GPO locales. Estos perfiles usan la configuración expuesta por Apple, Google y Microsoft. En concreto:

Al migrar dispositivos desde la directiva de grupo, use Análisis de directiva de grupo. En Endpoint Manager, importe los GPO y vea qué directivas hay disponibles (y no disponibles) en Intune.

Luego implemente Intune (en este artículo).

Migración de inquilino a inquilino

Un inquilino es su organización en Azure Active Directory (AD), como Contoso. Incluye una instancia de servicio de Azure AD dedicada que Contoso recibe cuando obtiene un servicio en la nube de Microsoft, como Microsoft Intune o Microsoft 365. Azure AD lo utiliza Intune y Microsoft 365 para identificar a los usuarios y dispositivos, controlar el acceso a las directivas creadas y mucho más.

En Intune, puede exportar e importar algunas de las directivas mediante Microsoft Graph y Windows PowerShell.

Por ejemplo, cree una suscripción de Microsoft Intune de prueba. En este inquilino de prueba de suscripción, tiene directivas que configuran aplicaciones y características, comprueban el cumplimiento y mucho más. Le gustaría mover estas directivas a otro inquilino.

Importante

  • En estos pasos se usan los ejemplos de Graph beta de Intune en GitHub. Los scripts de ejemplo hacen cambios en el inquilino. Están disponibles tal y como están y deben validarse con una cuenta de inquilino que no sea de producción o de "prueba". Asegúrese de que los scripts cumplen las directrices de seguridad de la organización.
  • Los scripts no exportan ni importan todas las directivas, como los perfiles de certificado. Prepárese para realizar más tareas de las que están disponibles en estos scripts. Tendrá que volver a crear algunas directivas.
  • Para migrar el dispositivo de un usuario, este debe deshacer la inscripción del dispositivo del inquilino anterior y, a continuación, volver a inscribirlo en el nuevo inquilino.

Lo que no se puede hacer

Hay algunos tipos de directiva que no se pueden exportar. Hay algunos tipos de directiva que se pueden exportar, pero no se pueden importar a un inquilino diferente. Use la siguiente tabla como guía. Sepa que hay otros tipos de directivas que no aparecen en la lista.

Tipo de perfil o directiva Información
Aplicaciones  
Aplicaciones Android de línea de negocios ❌ Exportar
❌ Importar

Para agregar la aplicación de LOB a un nuevo inquilino, también necesita los archivos de origen de la aplicación .apk originales.
Apple: Programa de Compras por Volumen de Apple (VPP) ❌ Exportar
❌ Importar

Estas aplicaciones se sincronizan con el VPP de Apple. En el nuevo inquilino, agregue el token de VPP, que muestra las aplicaciones disponibles.
Aplicaciones de línea de negocio de iOS/iPadOS ❌ Exportar
❌ Importar

Para agregar la aplicación de LOB a un nuevo inquilino, también necesita los archivos de origen de la aplicación .ipa originales.
Google Play administrado ❌ Exportar
❌ Importar

Estas aplicaciones y vínculos web se sincronizan con Google Play administrado. En el nuevo inquilino, agregue la cuenta de Google Play administrado, que muestra las aplicaciones disponibles.
Microsoft Store para Empresas ❌ Exportar
❌ Importar

Estas aplicaciones se sincronizan con Microsoft Store para Empresas. En el nuevo inquilino, agregue la cuenta de Microsoft Store para Empresas, que muestra las aplicaciones disponibles.
Aplicación Windows (Win32) ❌ Exportar
❌ Importar

Para agregar la aplicación de LOB a un nuevo inquilino, también necesita los archivos de origen de la aplicación .intunewin originales.
Directivas de cumplimiento  
Las acciones de no cumplimiento ❌ Exportar
❌ Importar

Es posible que haya un vínculo a una plantilla de correo electrónico. Al importar una directiva que tiene acciones de no cumplimiento, en su lugar se agregan las acciones predeterminadas de no cumplimiento.
Tareas ✔️ Exportar
❌ Importar

Las asignaciones se dirigen a un identificador de grupo. En un nuevo inquilino, el identificador de grupo es diferente.
Perfiles de configuración  
Correo electrónico ✔️ Exportar

✔️ Si un perfil de correo electrónico no usa certificados, la importación debería funcionar.
❌ Si un perfil de correo electrónico usa un certificado raíz, el perfil no se puede importar a un nuevo inquilino. El identificador del certificado raíz es diferente en un nuevo inquilino.
Certificado SCEP ✔️ Exportar

❌ Importar

Los perfiles de certificado SCEP usan un certificado raíz. El identificador del certificado raíz es diferente en un nuevo inquilino.
VPN ✔️ Exportar

✔️ Si un perfil de VPN no usa certificados, la importación debería funcionar.
❌ Si un perfil de VPN usa un certificado raíz, el perfil no se puede importar a un nuevo inquilino. El identificador del certificado raíz es diferente en un nuevo inquilino.
Wi-Fi ✔️ Exportar

✔️ Si un perfil Wi-Fi no usa certificados, la importación debería funcionar.
❌ Si un Wi-Fi utiliza un certificado raíz, el perfil no se puede importar a un nuevo inquilino. El identificador del certificado raíz es diferente en un nuevo inquilino.
Tareas ✔️ Exportar
❌ Importar

Las asignaciones se dirigen a un identificador de grupo. En un nuevo inquilino, el identificador de grupo es diferente.
Seguridad de puntos de conexión  
Detección y respuesta de puntos de conexión ❌ Exportar
❌ Importar

Esta directiva está vinculada a Microsoft Defender para punto de conexión. En el nuevo inquilino, configurará Microsoft Defender para punto de conexión, que incluye automáticamente la directiva de detección y respuesta de puntos de conexión.

Descargue los ejemplos y ejecute el script.

En esta sección se incluye información general sobre estos pasos. Siga estos pasos como guía y tenga en cuenta que los pasos específicos pueden ser diferentes.

  1. Descargue los ejemplos y utilice Windows PowerShell para exportar las directivas:

    1. Vaya a microsoftgraph/powershell-intune-samples y seleccione Código > Descargar archivo Zip. Extraiga el contenido del archivo .zip.

    2. Abra la aplicación Windows PowerShell como administrador y cambie el directorio a la carpeta. Por ejemplo, escriba el siguiente comando:

      cd C:\psscripts\powershell-intune-samples-master

    3. Instale el módulo de PowerShell de Azure AD:

      Install-Module AzureAD

      Seleccione Y para instalar el módulo desde un repositorio que no es de confianza. Esta comprobación puede tardar unos minutos.

    4. Cambie el directorio a la carpeta con el script que desea ejecutar. Por ejemplo, cambie el directorio a la carpeta CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. Ejecute el script de exportación. Por ejemplo, escriba el siguiente comando:

      .\CompliancePolicy_Export.ps1

      Inicie sesión con su cuenta. Cuando se le solicite, escriba la ruta de acceso para colocar las directivas. Por ejemplo, escriba:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    En la carpeta, se exportan las directivas.

  2. Importe las directivas en el nuevo inquilino:

    1. Cambie el directorio a la carpeta de PowerShell con el script que desea ejecutar. Por ejemplo, cambie el directorio a la carpeta CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. Ejecute el script de importación. Por ejemplo, escriba el siguiente comando:

      .\CompliancePolicy_Import_FromJSON.ps1

      Inicie sesión con su cuenta. Cuando se le solicite, escriba la ruta de acceso al archivo .json de la directiva que desea importar. Por ejemplo, escriba:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Inicie sesión en el Centro de administración de Endpoint Manager. Se muestran las directivas que ha importado.

Implementar Intune

  1. Inicie sesión en el centro de administración de Endpoint Manager y luego en Intune. Si tiene una suscripción existente, también puede iniciar sesión en ella.

    Para obtener más información, vea Suscribirse o iniciar sesión en Microsoft Intune.

  2. Establezca Intune independiente como entidad de MDM. Para obtener más información, vea Establecimiento de la entidad de MDM.

  3. Agregue la cuenta de dominio, como contoso.com. De lo contrario, se usa your-domain.onmicrosoft.com automáticamente para el dominio. Por ejemplo, si no agrega la cuenta de dominio, es posible que se use contoso.onmicrosoft.com.

    Si va a migrar a Microsoft 365 desde una suscripción de Office 365, es posible que el dominio ya esté en Azure AD. Intune usa la misma instancia de Azure AD y puede emplear el dominio existente.

    Para obtener más información, veaAgregar un nombre de dominio personalizado.

  4. Agregue usuarios y grupos. Estos usuarios y grupos reciben las directivas que cree en Endpoint Manager.

    Los usuarios y los grupos se almacenan en Azure AD, que está incluido en Microsoft 365. Es posible que no vea la personalización de marca de Azure AD, pero es lo que está usando. Azure AD es el sistema de back-end que almacena usuarios, grupos y dispositivos. También controla el acceso a los recursos y autentica a los usuarios y dispositivos. Asegúrese de que los administradores de AD tengan acceso a la suscripción de Azure AD y que sepan realizar tareas comunes de AD.

    Si va a migrar a Microsoft 365 desde una suscripción de Office 365, los usuarios y los grupos ya están en Azure AD. Intune usa la misma instancia de Azure AD y puede emplear los usuarios y los grupos existentes.

    Si quiere migrar usuarios existentes desde Active Directory local a Azure AD, puede configurar la identidad híbrida. Las identidades híbridas existen en ambos servicios: AD local y Azure AD. También puede exportar usuarios de Active Directory mediante la interfaz de usuario o por medio de scripts. Realice una búsqueda en Internet para conocer las opciones.

    Puede crear grupos de dispositivos cuando tenga que realizar tareas administrativas en función de la identidad del dispositivo y no de la del usuario. Son útiles para administrar dispositivos que no tienen usuarios dedicados, como dispositivos de pantalla completa, compartidos entre trabajadores por turnos o asignados a una ubicación concreta. Por ejemplo, cree Charlotte, NC distribution center - Android Enterprise inventory scanning devices o All Windows 10 Surface devices.

    Si configura grupos de dispositivos antes de la inscripción de dispositivos, puede usar categorías de dispositivos para unir dispositivos automáticamente a los grupos durante la inscripción. Luego estos reciben las directivas de dispositivo de su grupo automáticamente. Para obtener más información, vea la guía de implementación de la inscripción en Intune.

  5. Asigne licencias de Intune a sus usuarios. Cuando se asignan las licencias, los dispositivos de los usuarios pueden inscribirse en Intune.

    Para obtener más información, vea Asignar licencias.

  6. De manera predeterminada, todas las plataformas de dispositivos se pueden inscribir en Intune. Si quiere evitar plataformas concretas, cree una restricción.

    Para más información, vea Crear una restricción de plataforma de dispositivos.

  7. Personalice la aplicación Portal de empresa de modo que incluya los detalles de la organización. Los usuarios van a usar esta aplicación para inscribir sus dispositivos, instalar aplicaciones y obtener soporte técnico del departamento de TI.

    Para obtener más información, vea Configuración de la aplicación Portal de empresa.

  8. Cree el equipo administrativo. Intune usa control de acceso basado en rol para controlar lo que los usuarios pueden ver y cambiar. Como administrador global, puede asignar roles a los usuarios, como operador del departamento de soporte técnico, administrador de aplicaciones, administrador de roles de Intune, etc.

    Para más información, vea Control de acceso basado en rol (RBAC) con Microsoft Intune.

Siguientes pasos

Vea las guías de implementación de la inscripción, Administración de dispositivos y aplicaciones y Protección de aplicaciones.