Establecer la entidad de administración de dispositivos móvilesSet the mobile device management authority

La configuración de la entidad de administración de dispositivos móviles (MDM) determina cómo se administran los dispositivos.The mobile device management (MDM) authority setting determines how you manage your devices. Como administrador de TI, debe establecer una entidad de MDM antes de que los usuarios puedan inscribir dispositivos para la administración.As an IT admin, you must set an MDM authority before users can enroll devices for management.

Las configuraciones posibles son:Possible configurations are:

  • Intune independiente: administración solo en la nube, que se configura mediante el portal de Azure.Intune Standalone - cloud-only management, which you configure by using the Azure portal. Incluye el conjunto completo de funcionalidades que ofrece Intune.Includes the full set of capabilities that Intune offers. Establecer la entidad de MDM en la consola de Intune.Set the MDM authority in the Intune console.

  • Administración conjunta de Intune: integración de la solución de nube de Intune con Configuration Manager para dispositivos Windows 10.Intune co-management - integration of the Intune cloud solution with Configuration Manager for Windows 10 devices. Intune se configura mediante la consola de Configuration Manager.You configure Intune by using the Configuration Manager console. Configuración de la inscripción automática de dispositivos en Intune.Configure auto-enrollment of devices to Intune.

  • Basic Mobility and Security for Microsoft 365 (Movilidad y seguridad básicas para Microsoft 365): si tiene esta configuración activada, verá la entidad de MDM establecida en "Office 365".Basic Mobility and Security for Microsoft 365 - If you have this configuration activated, you'll see the MDM authority set to "Office 365". Si quiere empezar a usar Intune, deberá adquirir licencias de Intune.If you want to start using Intune, you'll need purchase Intune licenses.

  • Coexistencia de Basic Mobility and Security for Microsoft 365 (Movilidad y seguridad básicas para Microsoft 365): puede agregar Intune a su inquilino si ya usa Basic Mobility and Security for Microsoft 365 y establecer la entidad de administración en Intune o en Basic Mobility and Security for Microsoft 365 para que cada usuario indique qué servicio se usará para administrar sus dispositivos inscritos en MDM.Basic Mobility and Security for Microsoft 365 coexistence - You can add Intune to your tenant if you're already using Basic Mobility and Security for Microsoft 365 and set the management authority to either Intune or Basic Mobility and Security for Microsoft 365 for each user to dictate which service will be used to manage their MDM-enrolled devices. La entidad de administración del usuario se define en función de la licencia asignada al usuario: Si el usuario tiene solo una licencia básica o estándar de Microsoft 365, los dispositivos se administrarán mediante Basic Mobility and Security for Microsoft 365.Each user's management authority is defined based on the license assigned to the user: If the user has only a license for Microsoft 365 Basic or Standard, their devices will be managed by Basic Mobility and Security for Microsoft 365. Si el usuario tiene una licencia de Intune, los dispositivos se administrarán mediante Intune.If the user has a license entitling Intune, their devices will be managed by Intune. Si agrega una licencia de Intune a un usuario administrado previamente por Basic Mobility and Security for Microsoft 365, sus dispositivos se cambiarán a la administración de Intune.If you add a license entitling Intune to a user previously managed by Basic Mobility and Security for Microsoft 365, their devices will be switched to Intune management. Asegúrese de tener las configuraciones de Intune asignadas a los usuarios para reemplazar Basic Mobility and Security for Microsoft 365 antes de cambiar los usuarios a Intune; de lo contrario, sus dispositivos perderán la configuración de Basic Mobility and Security for Microsoft 365 y no recibirán ningún reemplazo de Intune.Be sure to have Intune configurations assigned to users to replace Basic Mobility and Security for Microsoft 365 before switching users to Intune, otherwise their devices will lose Basic Mobility and Security for Microsoft 365 configuration and won't receive any replacement from Intune.

Establecimiento de la entidad de MDM en IntuneSet MDM authority to Intune

En el caso de los inquilinos que usan la versión de servicio 1911 y versiones posteriores, la entidad de MDM se establece automáticamente en Intune.For tenants using the 1911 service release and later, the MDM authority is automatically set to Intune.

En el caso de los inquilinos de versión de servicio anterior a 1911, haga lo siguiente si aún no ha establecido la entidad de MDM.For pre-1911 service release tenants, if you haven't yet set the MDM authority, follow the steps below.

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione el banner naranja para abrir la configuración Entidad de administración de dispositivos móviles.In the Microsoft Endpoint Manager admin center, select the orange banner to open the Mobile Device Management Authority setting. El banner naranja aparece únicamente si aún no ha establecido la entidad de MDM.The orange banner is only displayed if you haven't yet set the MDM authority.
  2. En Entidad de administración de dispositivos móviles, elija la entidad de MDM entre las opciones siguientes:Under Mobile Device Management Authority, choose your MDM authority from the following options:
  • Entidad de MDM de IntuneIntune MDM Authority
  • NingunoNone

Captura de pantalla de la sección para configurar Intune como la entidad de administración de dispositivos móviles

Un mensaje indica que ha configurado correctamente su entidad de MDM en Intune.A message indicates that you have successfully set your MDM authority to Intune.

Flujo de trabajo de UI de administración de IntuneWorkflow of Intune Administration UI

Cuando se habilita la administración de dispositivos Android o Apple, Intune envía información del usuario y dispositivo para integrar con estos servicios de terceros a fin de administrar sus dispositivos correspondientes.When Android or Apple device management is enabled, Intune sends device and user information to integrate with these third-party services to manage their respective devices.

Los escenarios que agregan un consentimiento para compartir datos se incluyen cuando:Scenarios that add a consent to share data are included when:

  • Se habilitan perfiles de trabajo de propiedad personal y corporativa de Android Enterprise.You enable Android Enterprise personally-owned or corporate-owned work profiles.
  • Se habilitan y cargan certificados push MDM de Apple.You enable and upload Apple MDM push certificates.
  • Se habilita cualquiera de los servicios de Apple, por ejemplo, el Programa de inscripción de dispositivos, School Manager o el Programa de Compras por Volumen.You Enable any of the Apple services, such as Device Enrollment Program, School Manager, or Volume Purchasing Program.

En cada caso, el consentimiento está estrictamente relacionado con la ejecución de un servicio de administración de dispositivos móviles.In each case, the consent is strictly related to running a mobile device management service. Por ejemplo, confirmar que un administrador de TI ha autorizado a dispositivos Google o Apple para que se inscriban.For example, confirming that an IT Admin has authorized Google or Apple devices to enroll. La documentación para tratar qué información se comparte cuando los nuevos flujos de trabajo se publican está disponible en las siguientes ubicaciones:Documentation to address what information is shared when the new workflows go live is available from the following locations:

Principales consideracionesKey Considerations

Después de cambiar a la nueva entidad de MDM, habrá probablemente un tiempo de transición (hasta ocho horas) antes de que el dispositivo se compruebe y se sincronice con el servicio.After you switch to the new MDM authority, there will likely be transition time (up to eight hours) before the device checks in and synchronizes with the service. Es necesario que configure los valores de la nueva entidad de MDM para asegurarse de que los dispositivos inscritos seguirán administrados y protegidos después del cambio.You're required to configure settings in the new MDM authority to make sure enrolled devices will continue to be managed and protected after the change.

  • Los dispositivos deben conectarse al servicio después del cambio para que la configuración de la nueva entidad de MDM (Intune independiente) reemplace la configuración existente en el dispositivo.Devices must connect with the service after the change so that the settings from the new MDM authority (Intune standalone) replace the existing settings on the device.
  • Después de cambiar la entidad de MDM, algunas de las opciones básicas (como los perfiles) de la entidad de MDM anterior permanecerán en el dispositivo durante siete días o hasta que el dispositivo se conecte al servicio por primera vez.After you change the MDM authority, some of the basic settings (such as profiles) from the previous MDM authority will remain on the device for up to seven days or until the device connects to the service for the first time. Se recomienda que configure aplicaciones y valores (directivas, perfiles, aplicaciones, etc.) en la nueva entidad de MDM tan pronto como sea posible y que implemente la configuración en los grupos de usuarios que contienen usuarios con dispositivos ya inscritos.It's recommended that you configure apps and settings (like policies, profiles, and apps) in the new MDM authority as soon as possible and deploy the setting to the user groups that contains users who have existing enrolled devices. En cuanto el dispositivo se conecte con el servicio tras el cambio en la entidad de MDM, recibirá la nueva configuración desde la nueva entidad de MDM, evitando así los tiempos de inactividad en administración y protección.As soon as a device connects to the service after the change in MDM authority, it will receive the new settings from the new MDM authority and prevent gaps in management and protection.
  • Los dispositivos sin usuarios asociados (normalmente cuando se tiene el Programa de inscripción de dispositivos iOS/iPadOS o escenarios de inscripción masiva) no se migran a la nueva entidad de MDM.Devices that don't have associated users (typically when you have iOS/iPadOS Device Enrollment Program or bulk enrollment scenarios) aren't migrated to the new MDM authority. Para esos dispositivos, debe llamar al soporte técnico para solicitar ayuda para trasladarlos a la nueva entidad de MDM.For those devices, you need to call support for assistance to move them to the new MDM authority.

CoexistenceCoexistence

Habilitar la coexistencia le permite usar Intune en un nuevo conjunto de usuarios y, al mismo tiempo, seguir usando la movilidad y seguridad básicas de los usuarios existentes.Enabling coexistence lets you use Intune for a new set of users while continuing to use Basic Mobility and Security for the existing users. Puede controlar qué dispositivos administra Intune a través del usuario.You control which devices are managed by Intune through the user. Si a un usuario se le asigna una licencia de Intune o este usa la administración conjunta de Intune con Configuration Manager, Intune administrará todos sus dispositivos inscritos.If a user is assigned an Intune license or is using Intune co-management with Configuration Manager, then all their enrolled devices will be managed by Intune. De lo contrario, el usuario se administra mediante la movilidad y seguridad básicas.Otherwise, the user is managed by Basic Mobility and Security.

Para habilitar la coexistencia, se deben realizar principalmente tres pasos:There are three major steps to enable coexistence:

  1. PreparaciónPreparation
  2. Adición de la entidad de MDM de IntuneAdd Intune MDM authority
  3. Migración de usuarios y dispositivos (opcional).User and Device migration (optional).

PreparaciónPreparation

Antes de habilitar la coexistencia con la movilidad y seguridad básicas, tenga en cuenta los siguientes puntos:Before enabling coexistence with Basic Mobility and Security, consider the following points:

  • Asegúrese de que dispone de suficientes licencias de Intune para los usuarios que quiere administrar mediante Intune.Make sure you have sufficient Intune licenses for the users you intend to manage through Intune.
  • Revise qué usuarios tienen asignadas licencias de Intune.Review which users are assigned Intune licenses. Después de habilitar la coexistencia, todos los usuarios a los que ya se les haya asignado una licencia de Intune, tendrán sus dispositivos cambiados a Intune.After you enable coexistence, any user already assigned an Intune license will have their devices switch to Intune. Para evitar cambios de dispositivo inesperados, se recomienda no asignar ninguna licencia de Intune hasta que se haya habilitado la coexistencia.To avoid unexpected device switches, we recommend not assigning any Intune licenses until you've enabled coexistence.
  • Cree e implemente directivas de Intune para reemplazar las directivas de seguridad de dispositivos que se implementaron originalmente mediante el Portal de seguridad y cumplimiento de Office 365.Create and deploy Intune policies to replace device security policies that were originally deployed through the Office 365 Security & Compliance portal. Este reemplazo debe realizarse para los usuarios que pasan de la movilidad y seguridad básicas a Intune.This replacement should be done for any users you expect to move from Basic Mobility and Security to Intune. Si no hay ninguna directiva de Intune asignada a esos usuarios, la habilitación de la coexistencia podría hacer que se perdiera la configuración de la movilidad y seguridad básicas.If there are no Intune policies assigned to those users, enabling coexistence may cause them to lose Basic Mobility and Security settings. Esta configuración se perderá sin que se reemplace, como es el caso de los perfiles de correo electrónico administrados.These settings will be lost without replacement, like managed email profiles. Incluso al reemplazar las directivas de seguridad de dispositivos por directivas de Intune, es posible que se pida a los usuarios que vuelvan a autenticar sus perfiles de correo electrónico después de que el dispositivo se mueva a la administración de Intune.Even when replacing device security policies with Intune policies, users may be prompted to re-authenticate their email profiles after the device is moved to Intune management.

Adición de la entidad de MDM de IntuneAdd Intune MDM authority

Para habilitar la coexistencia, debe agregar Intune como entidad de MDM a su entorno:To enable coexistence, you must add Intune as the MDM authority for your environment:

  1. Inicie sesión en endpoint.microsoft.com con derechos de administrador global de Azure AD o del servicio Intune.Sign in to endpoint.microsoft.com with Azure AD Global or Intune service administrator rights.
  2. Vaya a Dispositivos.Navigate to Devices.
  3. Se muestra la hoja Agregar entidad de MDM.The Add MDM Authority blade displays.
  4. Para cambiar la entidad de MDM de Office 365 a Intune y habilitar la coexistencia, seleccione Entidad de Intune MDM > Agregar.To switch the MDM authority from Office 365 to Intune and enables coexistence, select Intune MDM Authority > Add. Captura de pantalla de la pantalla Agregar entidad de MDMScreenshot of Add MDM Authority screen

Migración de usuarios y dispositivos (opcional)Migrate users and devices (optional)

Una vez habilitada la entidad de MDM de Intune, la coexistencia se activa y puede empezar a administrar usuarios mediante Intune.After the Intune MDM authority is enabled, coexistence is activated and you can begin managing users through Intune. También, si quiere mover los dispositivos administrados anteriormente mediante la movilidad y seguridad básicas para que los administre Intune, asigne a esos usuarios una licencia de Intune.Optionally, if you want to move devices previously managed by Basic Mobility and Security to be managed by Intune, assign those users an Intune license. Los dispositivos de los usuarios cambiarán a Intune en la siguiente sincronización de MDM.The users' devices will switch to Intune on their next MDM check-in. La configuración que se aplica a estos dispositivos mediante la movilidad y seguridad básicas dejará de aplicarse y se quitará de los dispositivos.Settings applied to these devices through Basic Mobility and Security will no longer be applied and will be removed from the devices.

Limpieza de dispositivos móviles tras la expiración del certificado MDMMobile device cleanup after MDM certificate expiration

El certificado MDM se renueva automáticamente cuando los dispositivos móviles se comunican con el servicio de Intune.The MDM certificate is renewed automatically when mobile devices are communicating with the Intune service. Si se borran los dispositivos móviles o estos no pueden comunicarse con el servicio de Intune durante un tiempo, el certificado de MDM no se renovará.If mobile devices are wiped, or they fail to communicate with the Intune service for some period of time, the MDM certificate won't get renewed. El dispositivo se quita del portal de Azure 180 días después de que expire el certificado MDM.The device is removed from the Azure portal 180 days after the MDM certificate expires.

Eliminación de la entidad de MDMRemove MDM authority

No se puede cambiar la entidad de MDM a Desconocido.The MDM authority can't be changed back to Unknown. El servicio usa la entidad de MDM para determinar a qué portal informan los dispositivos inscritos (Microsoft Intune o Basic Mobility and Security for Microsoft 365).The MDM authority is used by the service to determine which portal enrolled devices report to (Microsoft Intune or Basic Mobility and Security for Microsoft 365).

Qué esperar después de cambiar la entidad de MDMWhat to expect after changing the MDM authority

  • Cuando el servicio de Intune detecta que ha cambiado la entidad de MDM de un inquilino, envía un mensaje de notificación a todos los dispositivos inscritos para que inicien el proceso de comprobación y se sincronicen en el servicio (esta notificación no forma parte de la comprobación programada regularmente).When the Intune service detects that a tenant's MDM authority has changed, it sends out a notification message to all the enrolled devices to check in and synchronize with the service (this notification is outside of the regularly scheduled check-in). Por lo tanto, una vez que cambie la entidad de MDM para el inquilino de Intune independiente, todos los dispositivos que estén encendidos y en línea se conectarán en el servicio, recibirán la nueva entidad de MDM y serán administrados por esta.Therefore, after the MDM authority for the tenant has been changed from Intune standalone, all the devices that are powered on and online will connect with the service, receive the new MDM authority, and be managed by the new MDM authority. No hay ninguna interrupción en el proceso de administración y protección de estos dispositivos.There's no interruption to the management and protection of these devices.
  • Incluso para los dispositivos que están encendidos y en línea durante el cambio en la entidad de MDM (o poco tiempo después), pasarán hasta ocho horas (según el tiempo de la siguiente comprobación periódica programada) hasta que los dispositivos se registren en el servicio bajo la nueva entidad de MDM.Even for devices that are powered on and online during (or shortly after) the change in MDM authority, there will be a delay of up to eight hours (depending on the timing of the next scheduled regular check-in) before devices are registered with the service under the new MDM authority.

Importante

Entre el momento en que cambie la entidad MDM y se cargue el certificado de APNs renovado en la nueva entidad, se producirá un error en las inscripciones de nuevos dispositivos y las comprobaciones de dispositivos iOS/iPadOS.Between the time when you change the MDM authority and when the renewed APNs certificate is uploaded to the new authority, new device enrollments and device check-in for iOS/iPadOS devices fail. Por lo tanto, es importante revisar y cargar el certificado de Apple Push Notification Service en la nueva entidad tan pronto como sea posible después del cambio de entidad de MDM.Therefore, it's important that you review and upload the APNs certificate to the new authority as soon as possible after the change in MDM authority.

  • Los usuarios pueden cambiar rápidamente a la nueva entidad de MDM iniciando manualmente una comprobación desde el dispositivo en el servicio.Users can quickly change to the new MDM authority by manually starting a check-in from the device to the service. Los usuarios pueden realizar este cambio con facilidad mediante la aplicación del Portal de empresa y el inicio de una comprobación de cumplimiento del dispositivo.Users can easily make this change by using the Company Portal app and starting a device compliance check.
  • Para validar que todo funciona correctamente después de que los dispositivos se hayan comprobado y sincronizado con el servicio tras el cambio de entidad de MDM, busque los dispositivos en la entidad de MDM.To validate that things are working correctly after devices have checked-in and synchronized with the service after the change in MDM authority, look for the devices in the new MDM authority.
  • Existe un período transitorio entre el momento en que un dispositivo está sin conexión durante el cambio de entidad de MDM y el momento en que se comprueba la idoneidad de ese dispositivo para su registro en el servicio.There's an interim period when a device is offline during the change in MDM authority and when that device checks in to the service. Para garantizar que el dispositivo permanece protegido y funcional durante este período transitorio, los siguientes perfiles permanecen en el dispositivo hasta siete días (o hasta que el dispositivo se conecte con la nueva entidad de MDM y reciba la nueva configuración que sobrescribirá la actual):To help ensure that the device remains protected and functional during this interim period, the following profiles remain on the device for up to seven days (or until the device connects with the new MDM authority and receives new settings that overwrite the existing ones):
    • Perfil de correo electrónicoE-mail profile
    • Perfil de VPNVPN profile
    • Perfil de certificadoCert profile
    • Perfil de Wi-FiWi-Fi profile
    • Perfiles de configuraciónConfiguration profiles
  • Después de cambiar a la nueva entidad de MDM, los datos de cumplimiento de la consola de administración de Microsoft Intune pueden tardar hasta una semana en informar con exactitud.After you change to the new MDM authority, the compliance data in the Microsoft Intune administration console can take up to a week to accurately report. Pero los estados de cumplimiento de Azure Active Directory y en el dispositivo serán precisos para que el dispositivo siga estando protegido.However, the compliance states in Azure Active Directory and on the device will be accurate so the device is still be protected.
  • Compruebe que la nueva configuración destinada a sobrescribir la configuración actual tiene el mismo nombre que la anterior para asegurarse de que efectivamente se sobrescribe.Make sure the new settings that are intended to overwrite existing settings have the same name as the previous ones to ensure that the old settings are overwritten. En caso contrario, los dispositivos podrían terminar con directivas y perfiles redundantes.Otherwise, the devices might end up with redundant profiles and policies.

Sugerencia

Es recomendable que cree todas las configuraciones y parámetros de administración, así como las implementaciones, poco después de que se haya completado el cambio a la entidad de MDM.As a best practice, you should create all management settings and configurations, as well as deployments, shortly after the change to the MDM authority has completed. De esta manera se asegurará de que los dispositivos están protegidos y se administran de manera activa durante el período transitorio.This helps ensure that devices are protected and actively managed during the interim period.

  • Después de cambiar la entidad de MDM, siga estos pasos para validar que los nuevos dispositivos se inscriben correctamente en la nueva entidad:After you change the MDM authority, perform the following steps to validate that new devices are enrolled successfully to the new authority:
  • Inscripción de un dispositivo nuevoEnroll a new device
  • Asegúrese de que el dispositivo recién inscrito aparece en la entidad de MDM.Make sure the newly enrolled device shows up in the new MDM authority.
  • Realice una acción, como el bloqueo remoto, desde la consola de administración en el dispositivo.Perform an action, such as Remote Lock, from the administration console to the device. Si se completa correctamente, el dispositivo se está administrando mediante la nueva entidad de MDM.If it's successful, the device is being managed by the new MDM authority.
  • Si tiene problemas con dispositivos concretos, puede anular la inscripción de esos dispositivos y realizarla de nuevo para que se conecten a la nueva entidad y se administren lo antes posible.If you have issues with specific devices, you can unenroll and reenroll the devices to get them connected to the new authority and managed as quickly as possible.

Pasos siguientesNext steps

Con la entidad de MDM configurada, puede empezar a inscribir dispositivos.With the MDM authority set, you can start enrolling devices.