Creación de una directiva de cumplimiento en Microsoft IntuneCreate a compliance policy in Microsoft Intune

Las directivas de cumplimiento de dispositivos son una característica clave cuando se usa Intune para proteger los recursos de su organización.Device compliance policies are a key feature when using Intune to protect your organization's resources. En Intune, puede crear reglas y opciones de configuración que los dispositivos deben cumplir para que se consideren conformes, por ejemplo, una versión de SO mínima.In Intune, you can create rules and settings that devices must meet to be considered compliant, such as a minimum OS version. Si el dispositivo no las cumple, puede bloquear el acceso a datos y recursos mediante el acceso condicional.If the device isn't compliant, you can then block access to data and resources using Conditional Access.

También puede realizar acciones en caso de incumplimiento, como enviar un correo electrónico de notificación al usuario.You can also take actions for non-compliance, such as sending a notification email to the user. Para información general sobre lo que hacen las directivas de cumplimiento y cómo se usan, consulte Introducción al cumplimiento de dispositivos.For an overview of what compliance policies do, and how they're used, see get started with device compliance.

En este artículo:This article:

  • Se enumeran los requisitos previos y los pasos para crear una directiva de cumplimiento.Lists the prerequisites and steps to create a compliancy policy.
  • Se muestra cómo asignar la directiva a los grupos de dispositivos y usuarios.Shows you how to assign the policy to your user and device groups.
  • Se describen características adicionales, como las etiquetas de ámbito para "filtrar" las directivas, y los pasos que puede realizar en los dispositivos que no cumplen con las reglamentaciones.Describes additional features, including scope tags to "filter" your policies, and steps you can take on devices that aren't compliant.
  • Se enumeran los tiempos de ciclo de actualización de sincronización cuando los dispositivos reciben actualizaciones de directiva.Lists the check-in refresh cycle times when devices receive policy updates.

Antes de comenzarBefore you begin

Para usar las directivas de cumplimiento de dispositivos, asegúrese de lo siguiente:To use device compliance policies, be sure you:

  • Use las siguientes suscripciones:Use the following subscriptions:

    • IntuneIntune
    • Si usa el acceso condicional, necesita la edición Azure Active Directory (AD) Premium.If you use Conditional Access, then you need Azure Active Directory (AD) Premium edition. Precios de Azure Active Directory muestra lo que obtiene con las distintas ediciones.Azure Active Directory pricing lists what you get with the different editions. El cumplimiento de Intune no requiere Azure AD.Intune compliance doesn't require Azure AD.
  • Use una plataforma compatible:Use a supported platform:

    • Administrador de dispositivos AndroidAndroid device administrator
    • Android EnterpriseAndroid Enterprise
    • iOSiOS
    • macOSmacOS
    • Windows 10Windows 10
    • Windows 8.1Windows 8.1
  • Inscriba dispositivos en Intune (necesario para ver el estado de cumplimiento)Enroll devices in Intune (required to see the compliance status)

  • Inscriba dispositivos en un usuario o realice la inscripción sin un usuario primario.Enroll devices to one user, or enroll without a primary user. Los dispositivos inscritos en varios usuarios no se admiten.Devices enrolled to multiple users aren't supported.

Creación de la directivaCreate the policy

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Seleccione Dispositivos > Directivas de cumplimiento > Directivas > Crear directiva.Select Devices > Compliance policies > Policies > Create Policy.

  3. Selecciona una plataforma para esta directiva de entre las siguientes opciones:Select a Platform for this policy from the following options:

    • Administrador de dispositivos AndroidAndroid device administrator
    • Android EnterpriseAndroid Enterprise
    • iOS/iPadOSiOS/iPadOS
    • macOSmacOS
    • Windows 8.1 y versiones posterioresWindows 8.1 and later
    • Windows 10 y versiones posterioresWindows 10 and later

    Para Android Enterprise, también seleccionará un tipo de directiva:For Android Enterprise, you also select a Policy type:

    • *Totalmente administrado*Fully Managed
    • DedicadoDedicated
    • Perfil de trabajo de propiedad corporativaCorporate-Owned Work Profile
    • Perfil de trabajo de propiedad personalPersonally-Owned Work Profile

    Luego, seleccione Crear para abrir la ventana de configuración Crear directiva.Then, select Create to open the Create policy configuration window.

  4. En la pestaña Aspectos básicos, rellene el campo Nombre para que le ayude a identificarla más tarde.On the Basics tab, specify a Name that helps you identify them later. Por ejemplo, un buen nombre de directiva es Marcar los dispositivos iOS/iPadOS con jailbreak como no compatibles.For example, a good policy name is Mark iOS/iPadOS jailbroken devices as not compliant.

    También puede especificar una descripción en Descripción.You can also choose to specify a Description.

  5. En la pestaña Configuración de cumplimiento, expanda las categorías disponibles y configure las opciones de la directiva.On the Compliance settings tab, expand the available categories, and configure settings for your policy. En los siguientes artículos se describen los valores de configuración de cada plataforma:The following articles describe the settings for each platform:

  6. En la pestaña Ubicaciones, puede forzar el cumplimiento según la ubicación del dispositivo.On the Locations tab, you can force compliance based on the location of the device. Elija entre las ubicaciones existentes.Choose from existing locations. Si aún no tiene una ubicación disponible, consulte Usar ubicaciones (límite de red) para obtener instrucciones.If you don't have an available location yet, see Use Locations (network fence) for guidance.

    Sugerencia

    Las ubicaciones solo están disponibles para la plataforma de administrador de dispositivos Android.Locations are available only for the Android device administrator platform.

  7. En la pestaña Acciones de no cumplimiento, especifique una secuencia de acciones que se aplicarán automáticamente a los dispositivos que no satisfagan esta directiva de cumplimiento.On the Actions for noncompliance tab, specify a sequence of actions to apply automatically to devices that don't meet this compliance policy.

    Puede agregar varias acciones y configurar programaciones y detalles adicionales para algunas de ellas.You can add multiple actions and configure schedules and additional details for some actions. Por ejemplo, puede cambiar la programación de la acción predeterminada Marcar el dispositivo como no conforme para que se produzca después de un día.For example, you might change the schedule of the default action Mark device noncompliant to occur after one day. Luego, puede agregar una acción para enviar un correo electrónico al usuario cuando el dispositivo no sea compatible para advertir de ese estado.You can then add an action to send an email to the user when the device isn't compliant to warn them of that status. También puede agregar acciones que bloqueen o retiren dispositivos que no sean compatibles.You can also add actions that lock or retire devices that remain noncompliant.

    Para información sobre las acciones que se pueden configurar, consulte Adición de acciones para dispositivos no compatibles, donde se habla también de cómo crear correos electrónicos de notificación para enviarlos a los usuarios.For information about the actions you can configure, see Add actions for noncompliant devices, including how to create notification emails to send to your users.

    Otro ejemplo incluye el uso de ubicaciones en las que se agrega al menos una ubicación a una directiva de cumplimiento.Another example includes the use of Locations where you add at least one location to a compliance policy. En este caso, la acción predeterminada en caso de no cumplimiento se aplica cuando se selecciona al menos una ubicación.In this case, the default action for noncompliance applies when you select at least one location. Si el dispositivo no está conectado a ninguna de las ubicaciones seleccionadas, se considera no compatible.If the device isn't connected to any of the selected locations, it's considered not compliant. Puede configurar la programación para dar a los usuarios un período de gracia, por ejemplo, un día.You can configure the schedule to give your users a grace period, such as one day.

  8. En la pestaña Etiquetas de ámbito, seleccione etiquetas para filtrar las directivas por grupos concretos, como US-NC IT Team o JohnGlenn_ITDepartment.On the Scope tags tab, select tags to help filter policies to specific groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Una vez que agrega la configuración, también puede agregar una etiqueta de ámbito a las directivas de cumplimiento.After you add the settings, you can also add a scope tag to your compliance policies.

    Para información sobre el uso de etiquetas de ámbito, consulte Uso de etiquetas de ámbito para filtrar directivas.For information on using scope tags, see Use scope tags to filter policies.

  9. En la pestaña Asignaciones, asigne la directiva a los grupos.On the Assignments tab, assign the policy to your groups.

    Seleccione + Seleccionar grupos para incluir y, luego, asigne la directiva a uno o varios grupos.Select + Select groups to include and then assign the policy to one or more groups. La directiva se aplicará a estos grupos cuando la guarde después del siguiente paso.The policy will apply to these groups when you save the policy after the next step.

  10. En la pestaña Revisar + crear, revise la configuración y seleccione Crear cuando esté listo para guardar la directiva de cumplimiento.On the Review + create tab, review the settings and select Create when ready to save the compliance policy.

    Los usuarios o dispositivos de destino de la directiva se evalúan para comprobar su cumplimiento cuando se registran en Intune.The users or devices targeted by your policy are evaluated for compliance when they check in with Intune.

Tiempos de ciclo de actualizaciónRefresh cycle times

Intune usa distintos ciclos de actualización para comprobar las actualizaciones de las directivas de cumplimiento.Intune uses different refresh cycles to check for updates to compliance policies. Si el dispositivo se inscribió recientemente, la inserción en el repositorio se ejecuta con más frecuencia.If the device recently enrolled, the check-in runs more frequently. En el artículo sobre ciclos de actualización de directivas y perfiles se muestran los tiempos de actualización estimados.Policy and profile refresh cycles lists the estimated refresh times.

En cualquier momento, los usuarios pueden abrir la aplicación Portal de empresa de Intune y sincronizar el dispositivo para comprobar de inmediato las actualizaciones del perfil.At any time, users can open the Company Portal app, and sync the device to immediately check for policy updates.

Asignar un estado En período de graciaAssign an InGracePeriod status

El estado En período de gracia de una directiva de cumplimiento es un valor.The InGracePeriod status for a compliance policy is a value. Este valor se determina mediante la combinación del período de gracia de un dispositivo y el estado real del dispositivo para esa directiva de cumplimiento.This value is determined by the combination of a device's grace period, and a device's actual status for that compliance policy.

En concreto, si un dispositivo tiene un estado No conforme para una directiva de cumplimiento asignada y si se dan los casos siguientes:Specifically, if a device has a NonCompliant status for an assigned compliance policy, and:

  • El dispositivo no tiene asignado ningún período de gracia, de modo que el valor asignado para la directiva de cumplimiento es No conforme.The device has no grace period assigned to it, then the assigned value for the compliance policy is NonCompliant
  • El dispositivo tiene un período de gracia que ha expirado, de modo que el valor asignado para la directiva de cumplimiento es No conforme.The device has a grace period that's expired, then the assigned value for the compliance policy is NonCompliant
  • El dispositivo tiene un período de gracia futuro, de modo que el valor asignado para la directiva de cumplimiento es En período de graciaThe device has a grace period that's in the future, then the assigned value for the compliance policy is InGracePeriod

En la siguiente tabla se resumen estos aspectos:The following table summarizes these points:

Estado de cumplimiento realActual compliance status Valor del período de gracia asignadoValue of assigned grace period Estado de cumplimiento efectivoEffective compliance status
No conformeNonCompliant Ningún periodo de gracia asignadoNo grace period assigned No conformeNonCompliant
No conformeNonCompliant Fecha de ayerYesterday's date No conformeNonCompliant
No conformeNonCompliant Fecha de mañanaTomorrow's date En período de graciaInGracePeriod

Para obtener más información sobre la supervisión de las directivas de cumplimiento de dispositivos, vea Supervisión de las directivas de cumplimiento de dispositivos Intune.For more information about monitoring device compliance policies, see Monitor Intune Device compliance policies.

Asignar un estado de directiva de cumplimiento resultanteAssign a resulting compliance policy status

Si un dispositivo tiene varias directivas de cumplimiento y distintos estados de cumplimiento para dos o más de dichas directivas, se asigna un único estado de cumplimiento resultante.If a device has multiple compliance policies, and the device has different compliance statuses for two or more of the assigned compliance policies, then a single resulting compliance status is assigned. Esta asignación se basa en un nivel de gravedad conceptual que se asigna a cada estado de cumplimiento.This assignment is based on a conceptual severity level assigned to each compliance status. Cada estado de cumplimiento tiene el nivel de gravedad siguiente:Each compliance status has the following severity level:

EstadoStatus GravedadSeverity
UnknownUnknown 11
No aplicableNotApplicable 22
conformeCompliant 33
En período de graciaInGracePeriod 44
No conformeNonCompliant 55
ErrorError 66

Si un dispositivo tiene varias directivas de cumplimiento, se le asignará el nivel de gravedad más alto de todas las directivas.When a device has multiple compliance policies, then the highest severity level of all the policies is assigned to that device.

Por ejemplo, un dispositivo tiene 3 directivas de cumplimiento asignadas: la primera, con el estado Desconocido (gravedad 1); la segunda, con el estado Conforme (gravedad 3) y, la tercera, con el estado InGracePeriod (gravedad 4).For example, a device has three compliance policies assigned to it: one Unknown status (severity = 1), one Compliant status (severity = 3), and one InGracePeriod status (severity = 4). El estado InGracePeriod tiene el nivel de gravedad más alto.The InGracePeriod status has the highest severity level. Por lo tanto, las tres directivas tienen el estado de cumplimiento InGracePeriod.So, all three policies have the InGracePeriod compliance status.

Pasos siguientesNext steps

Supervise las directivas.Monitor your policies.