Tutorial: configuración de un punto de conexión de Windows nativo en la nube con Microsoft Intune

  • Artículo

Sugerencia

Al leer sobre los puntos de conexión nativos en la nube, verá los siguientes términos:

  • Punto de conexión: un punto de conexión es un dispositivo, como un teléfono móvil, una tableta, un portátil o un equipo de escritorio. "Puntos de conexión" y "dispositivos" se usan indistintamente.
  • Puntos de conexión administrados: puntos de conexión que reciben directivas de la organización mediante una solución MDM u objetos directiva de grupo. Estos dispositivos suelen ser propiedad de la organización, pero también pueden ser dispositivos BYOD o de propiedad personal.
  • Puntos de conexión nativos en la nube: puntos de conexión unidos a Azure AD. No están unidos a AD local.
  • Carga de trabajo: cualquier programa, servicio o proceso.

Esta guía le guiará por los pasos para crear una configuración de punto de conexión de Windows nativo de la nube para su organización. Para obtener información general sobre los puntos de conexión nativos en la nube y sus ventajas, vaya a Qué son los puntos de conexión nativos de la nube.

Esta característica se aplica a:

  • Puntos de conexión nativos en la nube de Windows

Sugerencia

Si quiere una solución estandarizada y recomendada por Microsoft para construir sobre ella, podría estar interesado en la Configuración de Windows en la nube. En Intune, puede configurar Windows en la nube mediante un escenario guiado.

La siguiente tabla describe la diferencia clave entre esta guía y la Configuración de Windows en la nube:

Solución Objetivo
Tutorial: Introducción a los puntos de conexión nativos de Windows en la nube (esta guía) Le guiará en la creación de su propia configuración para su entorno, basada en la configuración recomendada por Microsoft, y le ayudará a iniciar las pruebas.
Configuración de Windows en la nube Una experiencia de escenario guiada que crea y aplica una configuración pregenerada basada en las mejores prácticas de Microsoft para trabajadores de primera línea, remotos y otros con necesidades más específicas.

Puede usar esta guía combinada con la configuración de Windows en la nube para personalizar aún más la experiencia precompilada.

Como empezar

Utilice las cinco fases ordenadas de esta guía, que se basan unas en otras para ayudarle a preparar la configuración del punto de conexión de Windows nativo en la nube. Al completar estas fases en orden, verá un progreso tangible y estará listo para aprovisionar nuevos dispositivos.

Fases:

Cinco fases para configurar puntos de conexión nativos de Windows en la nube mediante Microsoft Intune y Windows Autopilot.

  • Fase 1: configurar el entorno
  • Fase 2: crear su primer punto de conexión de Windows nativo de la nube
  • Fase 3: proteger su punto de conexión de Windows nativo de la nube
  • Fase 4: aplicar ajustes y aplicaciones personalizadas
  • Fase 5: implementar a escala con Windows Autopilot

Al final de esta guía, tiene un punto de conexión nativo de Windows en la nube listo para empezar a probarlo en su entorno. Antes de empezar, es posible que quiera consultar la guía de planeación de combinación de Microsoft Entra en Planeamiento de la implementación de la combinación de Microsoft Entra.

Fase 1: configurar el entorno

Fase 1.

Antes de crear su primer punto de conexión nativo de Windows en la nube, hay algunos requisitos y configuraciones clave que deberán comprobarse. Esta fase le guía a través de la comprobación de los requisitos, la configuración de Windows Autopilot y la creación de algunos ajustes y aplicaciones.

Paso 1: requisitos de la red

El punto de conexión de Windows en la nube necesita acceso a varios servicios de Internet. Inicie las pruebas en una red abierta. O utilice su red corporativa después de proporcionar acceso a todos los puntos de conexión que se enumeren en los requisitos de red de Windows Autopilot.

Si su red inalámbrica requiere certificados, puede comenzar con una conexión Ethernet durante las pruebas mientras determina el mejor enfoque para las conexiones inalámbricas para el aprovisionamiento de dispositivos.

Paso 2: inscripción y licencias

Para poder unirse a Microsoft Entra e inscribirse en Intune, hay algunas cosas que debe comprobar. Puede crear un nuevo grupo de Microsoft Entra, como el nombre Intune usuarios de MDM. Después, agregue cuentas de usuario de prueba específicas y dirija cada una de las siguientes configuraciones a ese grupo para limitar quién puede inscribir dispositivos mientras establece su configuración. Para crear un grupo de Microsoft Entra, vaya a Crear un grupo básico y agregue miembros.

  • Restricciones de inscripción
    Las restricciones de inscripción le permiten controlar qué tipos de dispositivos pueden inscribirse en la administración con Intune. Para que esta guía tenga éxito, asegúrese de que la inscripción de Windows (MDM) está permitida, que es la configuración por defecto.

    Para obtener información sobre la configuración de las restricciones de inscripción, vaya a establecer restricciones de inscripción en Microsoft Intune.

  • Configuración de dispositivo Azure AD MDM
    Al unir un dispositivo Windows a Microsoft Entra, Microsoft Entra se puede configurar para indicar a los dispositivos que se inscriban automáticamente con una MDM. Esta configuración es necesaria para que Windows Autopilot funcione.

    Para comprobar que la configuración de MDM del dispositivo Microsoft Entra está habilitada correctamente, vaya a Inicio rápido: Configuración de la inscripción automática en Intune.

  • Marca de empresa Azure AD
    Agregar el logotipo corporativo y las imágenes a Microsoft Entra garantiza que los usuarios vean una apariencia familiar y coherente al iniciar sesión en Microsoft 365. Esta configuración es necesaria para que Windows Autopilot funcione.

    Para obtener información sobre cómo configurar la personalización de marca personalizada en Microsoft Entra, vaya a Agregar personalización de marca a la página de inicio de sesión Microsoft Entra de su organización.

  • Licencias
    Los usuarios que inscriban dispositivos Windows desde la Configuración rápida (OOBE) en Intune necesitan dos capacidades clave.

    Los usuarios necesitan las siguientes licencias:

    • Una licencia Microsoft Intune o Microsoft Intune de educación
    • Una licencia como una de las siguientes opciones que permite la inscripción automática de MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune for Education

    Para asignar licencias, vaya a Asignación de licencias de Microsoft Intune.

    Nota:

    Ambos tipos de licencias suelen incluirse en paquetes de licencias como Microsoft 365 E3 (o A3) y superior. Ver ​las comparaciones de las licencias M365 aquí.

Paso 3: importar dispositivo de prueba

Para probar los puntos de conexión de Windows nativo de la nube, tendremos que empezar por conseguir una máquina virtual o un dispositivo físico listo para las pruebas. Los siguientes pasos recopilan los detalles del dispositivo y los cargan en el servicio Windows Autopilot para que se usen más adelante en este artículo.

Nota:

Mientras que los siguientes pasos proporcionarán una forma de importar un dispositivo para probarlo, los socios y los OEM podrán importar dispositivos en Windows Autopilot en su nombre como parte de la compra. Hay más información sobre Windows Autopilot en Fase 5.

  1. Instalar Windows (preferiblemente 20H2 o posterior) en una máquina virtual o restablecer el dispositivo físico para que esté esperando en la pantalla de configuración del OOBE. Para una máquina virtual, puede crear opcionalmente un punto de control.

  2. Complete los pasos necesarios para conectarse a Internet.

  3. Abra un símbolo del sistema utilizando la combinación de teclado Mayús+F10.

  4. Compruebe que tiene acceso a Internet haciendo ping a bing.com:

    • ping bing.com

  5. Cambie a PowerShell ejecutando el comando:

    • powershell.exe

  6. Descargue el script Get-WindowsAutopilotInfo ejecutando los comandos siguientes:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Cuando se le solicite, escriba S para aceptar.

  8. Escriba el siguiente comando:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Nota:

    Las etiquetas de grupo permiten crear grupos de Microsoft Entra dinámicos basados en un subconjunto de dispositivos. Las etiquetas de grupo pueden establecerse al importar los dispositivos o modificarse posteriormente en el Centro de administración de Microsoft Intune. Utilizaremos la etiqueta de grupo CloudNative en el paso 4. Puede establecer el nombre de la etiqueta con algo diferente para sus pruebas.

  9. Cuando se le soliciten credenciales, inicie sesión con su cuenta de administrador de Intune.

  10. Dejar el ordenador en la experiencia de configuración rápida hasta la fase 2.

Paso 4: Creación de Microsoft Entra grupo dinámico para el dispositivo

Para limitar las configuraciones de esta guía a los dispositivos de prueba que importe a Windows Autopilot, cree un grupo de Microsoft Entra dinámico. Este grupo debería incluir automáticamente los dispositivos que se importen a Windows Autopilot y tener la etiqueta de grupo CloudNative. A continuación, puede dirigir todas sus configuraciones y aplicaciones a este grupo.

  1. Abra el Centro de administración de Microsoft Intune.

  2. Seleccione Grupos>Nuevo grupo. Escriba los detalles siguientes:

    • Tipo de grupo: seleccione Seguridad.
    • Nombre del grupo: escriba Autopilot Cloud-Native puntos de conexión de Windows.
    • Tipo de pertenencia: seleccione Dispositivo dinámico.

  3. Seleccione Agregar consulta dinámica.

  4. En la sección Sintaxis de regla, seleccione Editar.

  5. Pegue el siguiente texto:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Seleccione Aceptar>Guardar>Crear.

Sugerencia

Los grupos dinámicos tardan unos minutos en rellenarse luego de los cambios. En las grandes organizaciones, puede llevar mucho más tiempo. Luego de crear un nuevo grupo, espere unos minutos antes de comprobar que el dispositivo es ahora miembro del grupo.

Para obtener más información sobre los grupos dinámicos para dispositivos, vaya a Reglas para dispositivos.

Paso 5: configurar la página de estado de la inscripción

La página de estado de inscripción (ESP) es el mecanismo que un profesional de TI utiliza para controlar la experiencia del usuario final durante el aprovisionamiento de puntos finales. Consulte Configurar la página de estado de la inscripción. Para limitar el ámbito de la página de estado de inscripción, puede crear un nuevo perfil y dirigirse al grupo Autopilot Cloud-Native puntos de conexión de Windows creado en el paso anterior, Crear Microsoft Entra grupo dinámico para el dispositivo.

  • Para las pruebas, recomendamos los siguientes ajustes, pero siéntase libre de ajustarlos según sea necesario:
    • Mostrar el progreso de la configuración de la aplicación y del perfil: sí
    • Mostrar la página sólo a los dispositivos aprovisionados por la experiencia de configuración rápida (OOBE): sí (predeterminado)

Paso 6: crear y asignar el perfil de Windows Autopilot

Ahora podremos crear un perfil de Windows Autopilot y asignarlo a nuestro dispositivo de prueba. Este perfil indica al dispositivo que se una a Microsoft Entra y qué configuración se aplicará durante OOBE.

  1. Abra el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos Inscripción>>perfiles de implementación deWindows Autopilot>.

  3. Seleccione Crear perfil>Windows PC.

  4. Introduzca el nombre Puntos de conexión nativos en la nube de Windows Autopilot y, luego, seleccione Siguiente.

  5. Revise y deje la configuración predeterminada y seleccione Siguiente.

  6. Deje las etiquetas de alcance y seleccione Siguiente.

  7. Asigne el perfil al grupo de Microsoft Entra que creó denominado Autopilot Cloud-Native punto de conexión de Windows, seleccione Siguiente y, después, Crear.

Paso 7: sincronizar dispositivos con Windows Autopilot

El servicio de Windows Autopilot se sincroniza varias veces al día. También puede activar una sincronización inmediatamente para que tu dispositivo esté listo para la prueba. Para sincronizar inmediatamente:

  1. Abra el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos de>inscripción>de dispositivos DispositivosWindows Autopilot>.

  3. Seleccione Sincronizar.

La sincronización tarda varios minutos y continua en segundo plano. Cuando la sincronización se ha completado, el estado del perfil para el dispositivo importado muestra Asignado.

Paso 8: configurar los ajustes para una experiencia óptima de Microsoft 365

Hemos seleccionado algunas opciones para configurar. Esta configuración demostrará una experiencia óptima de usuario final de Microsoft 365 en dispositivos nativos en la nube de Windows. Estos ajustes se configuran mediante un perfil de catálogo de ajustes de configuración del dispositivo. Para obtener más información, vaya a Crear una directiva mediante el catálogo de configuración en Microsoft Intune.

Una vez que haya creado el perfil y haya agregado su configuración, asigne el perfil al grupo Puntos de conexión nativos en la nube de Windows Autopilot creado anteriormente.

  • Microsoft Outlook
    Para mejorar la experiencia de la primera ejecución de Microsoft Outlook, el siguiente ajuste configura automáticamente un perfil cuando se abra Outlook por primera vez.

    • Microsoft Outlook 2016\Configuración de la cuenta\Exchange (configuración del usuario)
      • Configurar automáticamente sólo el primer perfil basado en la dirección SMTP principal de Active Directory: habilitado

  • Microsoft Edge
    Para mejorar la experiencia de la primera ejecución de Microsoft Edge, los siguientes ajustes configuran Microsoft Edge para sincronizar la configuración de usuario y omitir la experiencia de la primera ejecución.

    • Microsoft Edge
      • Ocultar la pantalla de presentación y la experiencia de primera ejecución: habilitado
      • Forzar la sincronización de los datos del navegador y no mostrar el aviso de consentimiento de sincronización: habilitado

  • Microsoft OneDrive

    Para mejorar la primera experiencia de inicio de sesión, los siguientes ajustes configuran Microsoft OneDrive para iniciar sesión automáticamente y redirigir el Escritorio, las Imágenes y los Documentos a OneDrive. También se recomienda Archivos a petición (FOD). Está habilitado de forma predeterminada y no se incluye en la lista siguiente. Para obtener más información sobre la configuración recomendada para la aplicación de sincronización de OneDrive, vaya a Configuración de la aplicación de sincronización recomendada para Microsoft OneDrive.

    • OneDrive

      • Iniciar la sesión de los usuarios en la aplicación de sincronización de OneDrive de forma silenciosa con sus credenciales de Windows: habilitado
      • Mover de manera silenciosa las carpetas conocidas de Windows a OneDrive: habilitado

      Nota:

      Para obtener más información, vaya a Redirigir carpetas conocidas.

La siguiente captura de pantalla muestra un ejemplo de un perfil del catálogo de configuración con cada uno de los ajustes sugeridos configurados:

Imagen que muestra un ejemplo de un perfil de catálogo de configuración en Microsoft Intune.

Paso 9: crear y asignar algunas aplicaciones

Su punto de conexión nativo en la nube necesita algunas aplicaciones. Para empezar, recomendamos configurar las siguientes aplicaciones y dirigirlas al grupo Puntos de conexión nativos en la nube de Windows Autopilot creado anteriormente.

  • Aplicaciones Microsoft 365 (antes Office 365 ProPlus)
    Las aplicaciones de Microsoft 365, como Word, Excel y Outlook, pueden implementarse fácilmente en los dispositivos mediante el perfil de aplicaciones de Microsoft 365 para Windows integrado en Intune.

    • Seleccione el diseñador de configuración para el formato de los ajustes, en lugar de XML.
    • Seleccione Canal actual para el canal de actualización.

    Para implementar Aplicaciones de Microsoft 365, vaya a Agregar aplicaciones de Microsoft 365 a dispositivos Windows mediante Microsoft Intune

  • Aplicación Portal de empresa
    Se recomienda implementar la aplicación Intune Portal de empresa en todos los dispositivos como una aplicación obligatoria. La aplicación Portal de empresa es el centro de autoservicio para los usuarios que utilizan para instalar aplicaciones desde múltiples fuentes, como Intune, Microsoft Store y Configuration Manager. Los usuarios también utilizan la aplicación del Portal de empresa para sincronizar su dispositivo con Intune, comprobar el estado de cumplimiento, etc.

    Para implementar el Portal de empresa según sea necesario, consulte Agregar y asignar la aplicación Portal de empresa de Windows para dispositivos administrados por Intune.

  • Aplicación de Microsoft Store (Whiteboard)
    Aunque Intune puede implementar una amplia variedad de aplicaciones, implementamos una aplicación de tienda (Microsoft Whiteboard) para ayudar a mantener las cosas simples para esta guía. Siga los pasos de Agregar aplicaciones de Microsoft Store a Microsoft Intune para instalar Microsoft Whiteboard.

Fase 2: crear un punto de conexión de Windows nativo de la nube

Fase 2.

Para crear su primer punto de conexión de Windows nativo en la nube, utilice la misma máquina virtual o dispositivo físico desde el que reunió y luego cargó el hash de hardware al servicio de Windows Autopilot en la Fase 1 > Paso 3. Con este dispositivo, siga el proceso de Windows Autopilot.

  1. Reanude (o reinicie si es necesario) su PC con Windows a la experiencia de configuración rápida (OOBE).

    Nota:

    Si se le pide que elija la configuración para personal o para una organización, entonces el proceso de Autopilot no se ha activado. En esa situación, reinicie el dispositivo y asegúrese de que tiene acceso a Internet. Si sigue sin funcionar, intente reiniciando el PC o reinstalando Windows.

  2. Inicie sesión con Microsoft Entra credenciales (UPN o AzureAD\username).

  3. La página de estado de la inscripción muestra el estado de la configuración del dispositivo.

Enhorabuena. Ha aprovisionado su primer punto de conexión de Windows nativo en la nube.

Algunas cosas que debería comprobar en su nuevo punto de conexión de Windows nativo de la nube:

  • Se redirigen las carpetas OneDrive. Cuando se abra Outlook, se configurará automáticamente para conectarse a Office 365.

  • Abra la aplicación Portal de empresa desde el Menú de inicio y observe que Microsoft Whiteboard está disponible para su instalación.

  • Considere la posibilidad de probar el acceso desde el dispositivo a recursos locales como archivos compartidos, impresoras y sitios de intranet.

    Nota:

    Si no ha configurado Windows Hello for Business Hybrid, es posible que en los inicios de sesión de Windows Hello se le pida que introduzca contraseñas para acceder a los recursos locales. Para seguir probando el acceso de inicio de sesión único, puede configurar Windows Hello for Business Hybrid o iniciar sesión en el dispositivo con nombre de usuario y contraseña en lugar de Windows Hello. Para ello, seleccione el icono con forma de llave en la pantalla de inicio de sesión.

Fase 3: proteger su punto de conexión de Windows nativo de la nube

Fase 3.

Esta fase está diseñada para ayudarle a construir la configuración de seguridad de su organización. Esta sección llama su atención sobre los diversos componentes de Seguridad de puntos de conexión en Microsoft Intune, incluyendo:

Antivirus de Microsoft Defender (MDAV)

Los siguientes ajustes se recomiendan como configuración mínima para el antivirus de Microsoft Defender, un componente del sistema operativo Windows incorporado. Esta configuración no requiere ningún contrato de licencia específico, como E3 o E5, y se puede habilitar en el Centro de administración de Microsoft Intune. En el centro de administración, vaya a Seguridad de puntos de conexión>Antivirus>Crear directiva>Windows y versiones posteriores>Tipo de perfil = Antivirus de Microsoft Defender.

Protección de la nube:

  • Activar la protección proporcionada en la nube:
  • Nivel de protección proporcionada en la nube: no configurado
  • Tiempo de espera extendido de Defender Cloud en segundos: 50

Protección en tiempo real:

  • Activar la protección en tiempo real:
  • Habilitar la protección de acceso:
  • Supervisión de los archivos entrantes y salientes: supervisar todos los archivos
  • Activar la supervisión del comportamiento:
  • Activar la prevención de intrusiones:
  • Habilitar la protección de red: habilitar
  • Escanear todos los archivos descargados y los adjuntos:
  • Escanear los scripts que se utilizan en los navegadores de Microsoft:
  • Escanear archivos de red: no configurado
  • Escanear correos electrónicos:

Corrección:

  • Número de días (0-90) para mantener el malware en cuarentena: 30
  • Presentar muestras de consentimiento: enviar muestras seguras automáticamente
  • Acción a realizar sobre las aplicaciones potencialmente no deseadas: habilitar
  • Acciones para las amenazas detectadas: configurar
    • Amenaza baja: cuarentena
    • Amenaza moderada: cuarentena
    • Amenaza alta: cuarentena
    • Amenaza grave: cuarentena

Ajustes configurados en el perfil de MDAV dentro de Seguridad de puntos de conexión:

Captura de pantalla que muestra un ejemplo de un perfil de Antivirus de Microsoft Defender en Microsoft Intune.

Para obtener más información sobre la configuración de Windows Defender, incluyendo Microsoft Defender para punto de conexión para clientes con licencia para E3 y E5, consulte:

Firewall de Microsoft Defender

Usar Seguridad de puntos de conexión en Microsoft Intune para configurar el firewall y las reglas del mismo. Para obtener más información, vaya a Directiva de firewall para la seguridad de los puntos de conexión en Intune.

Firewall de Microsoft Defender puede detectar una red de confianza mediante el CSP de NetworkListManager. Además, puede cambiar al perfil de firewall de dominio en los puntos de conexión que ejecutan las siguientes versiones del sistema operativo:

El uso del perfil de red de dominio permite separar las reglas de firewall en función de una red de confianza, una red privada y una red pública. Esta configuración se puede aplicar mediante un perfil personalizado de Windows.

Nota:

Microsoft Entra puntos de conexión unidos no pueden aprovechar LDAP para detectar una conexión de dominio de la misma manera que los puntos de conexión unidos a un dominio. En su lugar, use el CSP NetworkListManager para especificar un punto de conexión TLS que, cuando sea accesible, cambiará el punto de conexión al perfil de firewall del dominio.

Cifrado de BitLocker

Use Seguridad de puntos de conexión en Microsoft Intune para configurar el cifrado con BitLocker.

Esta configuración se puede habilitar en el centro de administración de Microsoft Intune. En el centro de administración, vaya a Seguridad de puntos de conexión>Cifrado de disco>Crear directiva>Windows y versiones posteriores>Perfil = BitLocker.

Al configurar las siguientes opciones del BitLocker, habilitan silenciosamente el cifrado de 128 bits para los usuarios estándares, que es una situación común. Sin embargo, es posible que su organización tenga requisitos de seguridad diferentes. Por ello, use la documentación de BitLocker para otras configuraciones.

BitLocker: configuración básica:

  • Habilitar el cifrado de disco completo para el sistema operativo y las unidades de datos fijas:
  • Requiere que las tarjetas de almacenamiento estén encriptadas (sólo para móviles): no está configurado
  • Ocultar el aviso sobre el cifrado de terceros:
    • Permitir a los usuarios estándar habilitar el cifrado durante el piloto automático:
  • Configurar la rotación de contraseñas de recuperación impulsada por el cliente: habilitar la rotación en los dispositivos unidos a Azure AD

BitLocker - configuración de la unidad fija:

  • Directiva de unidad fija de BitLocker: configurar
  • Directiva de unidad fija de BitLocker: configurar
    • Creación de archivos de claves de recuperación: bloqueado
    • Configurar el paquete de recuperación de BitLocker: contraseña y clave
    • Requerir que el dispositivo haga una copia de seguridad de la información de recuperación en Azure AD:
    • Creación de la contraseña de recuperación: permitido
    • Ocultar las opciones de recuperación durante la configuración de BitLocker: no configurado
    • Habilitar BitLocker después de la información de recuperación para almacenar: no configurado
    • Bloquear el uso del agente de recuperación de datos (DRA) basado en certificados: no configurado
    • Bloquear el acceso de escritura a las unidades de datos fijas no protegidas por BitLocker: no configurado
    • Configurar el método de encriptación para las unidades de datos fijas: no configurado

BitLocker - Configuración de la unidad del SO:

  • Directiva de unidad de sistema de BitLocker: configurar
    • Se requiere autenticación de inicio:
    • Inicio de TPM compatible: obligatorio
    • PIN de inicio de TPM compatible: Block
    • Clave de inicio de TPM compatible: Block
    • PIN y clave de inicio de TPM compatible: Block
    • Desactivar BitLocker en dispositivos donde el TPM es incompatible: no configurado
    • Habilitar el mensaje y la URL de recuperación previa al prearranque: no configurado
  • Recuperación de la unidad del sistema: configurar
    • Creación de archivos de claves de recuperación: bloqueado
    • Configurar el paquete de recuperación de BitLocker: contraseña y clave
    • Requerir que el dispositivo haga una copia de seguridad de la información de recuperación en Azure AD:
    • Creación de la contraseña de recuperación: permitido
    • Ocultar las opciones de recuperación durante la configuración de BitLocker: no configurado
    • Habilitar BitLocker después de la información de recuperación para almacenar: no configurado
    • Bloquear el uso del agente de recuperación de datos (DRA) basado en certificados: no configurado
    • Longitud mínima del PIN: dejar en blanco
    • Configurar el método de cifrado para las unidades del sistema operativo: no configurado

BitLocker - Configuración de la unidad extraíble:

  • Directiva de unidades extraíbles de BitLocker: configurar
    • Configurar el método de encriptación para los discos de datos extraíbles: no configurado
    • Bloquear el acceso de escritura a las unidades de datos extraíbles no protegidas por BitLocker: no configurado
    • Bloquear el acceso de escritura a los dispositivos configurados en otra organización: no configurado

Solución de contraseñas de administrador local de Windows (LAPS)

De forma predeterminada, la cuenta de administrador local integrada (SID conocido S-1-5-500) está deshabilitada. Hay algunos escenarios en los que una cuenta de administrador local puede ser beneficiosa, como la solución de problemas, el soporte técnico para el usuario final y la recuperación de dispositivos. Si decide habilitar la cuenta de administrador integrada o crear una nueva cuenta de administrador local, es importante proteger la contraseña de esa cuenta.

La solución de contraseñas de administrador local de Windows (LAPS) es una de las características que puede usar para almacenar la contraseña de forma aleatoria y segura en Microsoft Entra. Si usa Intune como servicio MDM, siga estos pasos para habilitar LAPS de Windows.

Importante

Windows LAPS supone que la cuenta de administrador local predeterminada está habilitada, incluso si se ha cambiado el nombre o si se crea otra cuenta de administrador local. Windows LAPS no crea ni habilita ninguna cuenta local para usted.

Debe crear o habilitar las cuentas locales independientemente de la configuración de LAPS de Windows. Puede crear scripts para esta tarea o usar los proveedores de servicios de configuración (CSP), como el CSP de cuentas de o el CSP de directivas.

  1. Asegúrate de que los dispositivos Windows 10 (20H2 o posterior) o Windows 11 tengan instalada la actualización de seguridad de abril de 2023 (o posterior).

    Para obtener más información, vaya a Microsoft Entra actualizaciones del sistema operativo.

  2. Habilite Windows LAPS en Microsoft Entra:

    1. Inicie sesión en Microsoft Entra.
    2. Para la configuración de Habilitar Solución de contraseñas de administrador local (LAPS), seleccione >Guardar (parte superior de la página).

    Para obtener más información, vaya a Habilitación de Windows LAPS con Microsoft Entra.

  3. En Intune, cree una directiva de seguridad de puntos de conexión:

    1. Inicie sesión en el Centro de administración de Microsoft Intune.
    2. Seleccione Seguridad de puntos de conexión>Protección de cuenta>Crear directiva>Windows 10 y versiones posteriores>Solución de contraseñas de administrador local (Windows LAPS)>Crear.

    Para obtener más información, vaya a Crear una directiva de LAPS en Intune.

Líneas base de seguridad

Puede utilizar líneas base de seguridad para aplicar un conjunto de configuraciones que se sabe que aumentan la seguridad de un punto de conexión de Windows. Para obtener más información sobre las líneas base de seguridad, vaya a Configuración de la línea base de seguridad de Windows MDM para Intune.

Las líneas base pueden aplicarse utilizando los ajustes sugeridos y personalizarse según sus necesidades. Algunas configuraciones dentro de las líneas base pueden causar resultados inesperados o ser incompatibles con las aplicaciones y servicios que se ejecutan en sus puntos de conexión de Windows. Como resultado, las líneas base deben probarse de forma aislada. Aplique únicamente la línea de base a un grupo selectivo de puntos de conexión de prueba, sin ningún otro perfil de configuración o ajuste.

Problemas conocidos de las líneas base de seguridad

Los siguientes ajustes en la línea base de seguridad de Windows pueden causar problemas con Windows Autopilot o al intentar instalar aplicaciones como usuario estándar:

  • Opciones de seguridad de las directivas locales/Comportamiento de la solicitud de elevación del administrador (valor predeterminado = Solicitar el consentimiento en el escritorio seguro)
  • Comportamiento estándar de la solicitud de elevación del usuario (valor predeterminado = Denegar automáticamente las solicitudes de elevación)

Para obtener más información, vaya a Conflictos de directivas de Windows Autopilot.

Windows Update para empresas

Windows Update para Empresas es la tecnología en la nube para controlar cómo y cuándo se instalan las actualizaciones en los dispositivos. En Intune, Windows Update para Empresas puede configurarse mediante:

Para obtener más información, vaya a:

Si desea un control más granular de las actualizaciones de Windows y utiliza Configuration Manager, considere la posibilidad de la administración conjunta.

Fase 4: aplicar las personalizaciones y revisar la configuración local

Fase 4.

En esta fase, aplicará la configuración específica de la organización, las aplicaciones y revisará la configuración local. La fase le ayudará a crear cualquier personalización específica para su organización. Observe los distintos componentes de Windows y cómo puede revisar las configuraciones existentes desde un entorno de directiva de grupo de AD local y aplicarlas a los puntos de conexión nativos en la nube. Hay secciones para cada una de las siguientes áreas:

Microsoft Edge

Implementación de Microsoft Edge

Microsoft Edge se incluye en los dispositivos que funcionan:

  • Windows 11
  • Windows 10 20H2 o posterior
  • Windows 10 1803 o posterior, con la actualización de seguridad mensual acumulativa de mayo de 2021 o posterior

Después de que los usuarios inicien sesión, Microsoft Edge se actualizará automáticamente. Para desencadenar una actualización de Microsoft Edge durante la implementación, puede ejecutar el siguiente comando:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Para implementar Microsoft Edge a versiones anteriores de Windows, vaya a Agregar Microsoft Edge para Windows a Microsoft Intune.

Configuración de Microsoft Edge

Dos componentes de la experiencia Microsoft Edge, que se aplican cuando los usuarios inician sesión con sus credenciales de Microsoft 365, se pueden configurar desde el Administración de Microsoft 365 web.

  • El logotipo de la página de inicio en Microsoft Edge se puede personalizar configurando la sección Tu organización dentro del centro de administración de Microsoft 365. Para obtener más información, vaya a Personalización del tema de Microsoft 365 para su organización.

  • La experiencia de la página de nueva pestaña predeterminada en Microsoft Edge incluye información de Office 365 y noticias personalizadas. La forma en que se muestra esta página se puede personalizar desde el Centro de administración de Microsoft 365 en Configuración>Configuración de la organización>Noticias>Página de la nueva pestaña de Microsoft Edge.

También puede establecer otras configuraciones para Microsoft Edge utilizando los perfiles del catálogo de configuraciones. Por ejemplo, es posible que desee configurar ajustes de sincronización específicos para su organización.

  • Microsoft Edge
    • Configurar la lista de tipos que se excluyen de la sincronización - contraseñas

Diseño de la barra de tareas y de inicio

Puede personalizar y establecer un diseño estándar para el inicio y la barra de tareas mediante Intune.

Catálogo de configuraciones

El catálogo de configuraciones es una ubicación única en la que aparecen todas las opciones configurables de Windows. Esta función simplifica la creación de una directiva y la visualización de todas las opciones de configuración disponibles. Para obtener más información, vaya a Crear una directiva mediante el catálogo de configuración en Microsoft Intune.

Nota:

A continuación se presentan algunos ajustes disponibles en el catálogo de ajustes que podrían ser relevantes para su organización:

  • Dominio del inquilino preferido de Azure Active Directory
    Este ajuste configura el nombre de dominio del inquilino preferido que se anexa al nombre de usuario de un usuario. Un dominio de inquilino preferido permite a los usuarios iniciar sesión en Microsoft Entra puntos de conexión con solo su nombre de usuario en lugar de todo el UPN, siempre y cuando el nombre de dominio del usuario coincida con el dominio de inquilino preferido. Para los usuarios que tienen diferentes nombres de dominio, pueden escribir su UPN completo.

    La configuración se puede encontrar en:

    • Autenticación
      • Nombre de dominio de inquilino de AAD preferido: especifique el nombre del dominio, como contoso.onmicrosoft.com.

  • Destacados de Windows
    De forma predeterminada, varias funciones de consumo de Windows están activadas, lo que hace que se instalen aplicaciones seleccionadas de la Tienda y sugerencias de terceros en la pantalla de bloqueo. Puede controlar esto utilizando la sección Experiencia del catálogo de configuraciones.

    • Experiencia
      • Permitir funciones de consumidor de Windows: bloquear
      • Permitir sugerencias de terceros en los Destacados de Windows (usuario): bloquear

  • Microsoft Store
    Las organizaciones suelen querer restringir las aplicaciones que pueden instalarse en los puntos de conexión. Utilice esta configuración si su organización desea controlar qué aplicaciones pueden instalarse desde Microsoft Store. Esta configuración evita que los usuarios instalen aplicaciones a menos que sean aprobadas.

  • Bloquear juegos
    Las organizaciones podrían preferir que los puntos de conexión corporativos no se utilicen para jugar a juegos. La página de Juegos dentro de la aplicación de Configuración se puede ocultar por completo utilizando la siguiente configuración. Para obtener más información sobre la visibilidad de la página de configuración, vaya a la documentación de CSP y a la referencia de esquema URI de la configuración MS.

    • Configuraciones
      • Lista de visibilidad de la página: hide:gaming-gamebar;gaming-gamedvr;gaming-broadcasting;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame

  • Controlar la visibilidad del icono de chat en la barra de tareas. La visibilidad del icono de chat de la barra de tareas de Windows 11 se puede controlar mediante el CSP de directivas.

    • Experiencia
      • Configurar icono de chat: deshabilitado

  • Controlar en qué inquilinos puede iniciar sesión el cliente de escritorio de Teams

    Cuando se configura esta directiva en un dispositivo, los usuarios solo pueden iniciar sesión con cuentas que se encuentran en un inquilino de Microsoft Entra que se incluye en la "Lista de permitidos de inquilinos" definida en esta directiva. La "Lista de permitidos de inquilinos" es una lista separada por comas de Microsoft Entra identificadores de inquilino. Al especificar esta directiva y definir un inquilino de Microsoft Entra, también se bloquea el inicio de sesión en Teams para su uso personal. Para obtener más información, vaya a Cómo restringir el inicio de sesión en dispositivos de escritorio.

    • Plantillas administrativas \ Microsoft Teams
      • Restringir el inicio de sesión a Teams cuentas de inquilinos específicos (usuario): habilitado

Restricciones de dispositivos

Las plantillas de restricciones de dispositivos de Windows contienen muchas de las configuraciones necesarias para proteger y administrar un punto de conexión de Windows mediante los proveedores de servicios de configuración de Windows (CSP). Con el tiempo, habrá más ajustes disponibles en el catálogo de configuraciones. Para obtener más información, vaya a Restricciones de dispositivos.

Para crear un perfil que use la plantilla Restricciones de dispositivos, en el centro de administración de Microsoft Intune, vaya aConfiguración> de dispositivos>Crear seleccione>Windows 10 y versiones posteriores para o Plataforma y plantillas para tipo> de perfilRestricciones de dispositivo.

  • URL de la imagen de fondo del escritorio (sólo para el escritorio)
    Utilice esta configuración para establecer un fondo de pantalla en las SKU de Windows Enterprise o Windows Education. Se alojará el archivo en línea o se hará referencia a un archivo que se ha copiado de forma local. Para configurar este ajuste, en la pestaña de Ajustes de configuración del perfil deRestricciones del dispositivo, expanda Personalización y configure la URL de la imagen de fondo del escritorio (sólo para el escritorio).

  • Exigir a los usuarios que se conecten a una red durante la configuración del dispositivo
    Esta configuración reducirá el riesgo de que un dispositivo pueda saltarse Windows Autopilot si el ordenador se reinicia. Esta configuración requiere que los dispositivos tengan una conexión de red durante la fase de experiencia de configuración rápida. Para configurar este ajuste, en la pestaña Ajustes de configuración del perfil Restricciones del dispositivo, expanda General y configure Requerir que los usuarios se conecten a la red durante la configuración del dispositivo.

    Nota:

    La configuración se hace efectiva la próxima vez que se borra o restablece el dispositivo.

Optimización de entrega

La optimización de la entrega se utiliza para reducir el consumo de ancho de banda compartiendo el trabajo de descarga de los paquetes compatibles entre varios puntos de conexión. La optimización de la entrega es una caché distribuida auto organizada que permite a los clientes descargar esos paquetes desde fuentes alternativas, como los pares en la red. Estas fuentes paritarias complementan los servidores tradicionales basados en Internet. Puede conocer todos los ajustes disponibles para la optimización de la entrega y qué tipos de descargas son compatibles en Optimización de la entrega para las actualizaciones de Windows.

Para aplicar la configuración de Optimización de entrega, cree un perfil de una Optimización de entrega de Intune o un perfil de catálogo de configuración.

Algunos ajustes que suelen usar las organizaciones son:

  • Restringir la selección de pares: subred. Esta configuración restringe el almacenamiento en caché de los compañeros a los ordenadores de la misma subred.
  • Id. de grupo. Los clientes de Optimización de entrega pueden configurarse para que sólo compartan contenidos con los dispositivos del mismo grupo. Las Id. de grupo pueden configurarse directamente enviando un GUID a través de la directiva o utilizando las opciones de DHCP en los ámbitos de DHCP.

Los clientes que utilizan Microsoft Configuration Manager pueden implementar servidores de caché conectados que pueden utilizarse para alojar contenidos de Optimización de entrega. Para obtener más información, vaya a Caché conectada de Microsoft en el administrador de configuración.

Administradores locales

Si solo hay un grupo de usuarios que necesita acceso de administrador local a todos Microsoft Entra dispositivos Windows unidos, puede agregarlos al administrador local de dispositivos unidos a Microsoft Entra.

Es posible que el servicio de asistencia de TI u otro personal de apoyo necesite tener derechos de administrador local en un grupo selecto de dispositivos. Con Windows 2004 o posterior, puede cumplir este requisito utilizando los siguientes proveedores de servicios de configuración (CSP).

  • Lo ideal es utilizar los Usuarios locales y Grupos CSP, que requiere Windows 10 20H2 o posterior.
  • Si tiene Windows 10 20H1 (2004) utiliza el Grupo CSP Restringidos (sin acción de actualización, sólo reemplazo).
  • Las versiones de Windows anteriores a Windows 10 20H1 (2004) no pueden utilizar grupos, sólo cuentas individuales.

Para obtener más información, vaya a Administración del grupo de administradores locales en Microsoft Entra dispositivos unidos

Migración de la directiva de grupo a la configuración de MDM

Hay varias opciones para crear la configuración de los dispositivos cuando se valore hacer una migración de la directiva de grupo a la administración de dispositivos nativa en la nube:

  • Empiece de cero y aplique los ajustes personalizados que necesite.
  • Revise las directivas de grupo existentes y aplique la configuración necesaria. Puede utilizar herramientas de ayuda, como Análisis de directiva de grupo.
  • Utilice el análisis de directiva de grupo para crear perfiles de configuración de dispositivos directamente para los ajustes admitidos.

La transición a un punto de conexión de Windows nativo en la nube representará una oportunidad para revisar sus requisitos informáticos de usuario final y establecer una nueva configuración para el futuro. Siempre que sea posible, empiece de cero con un conjunto mínimo de directivas. Evitar traer configuraciones innecesarias o heredadas de un entorno unido a un dominio o de sistemas operativos antiguos, como Windows 7 o Windows XP.

Para empezar de cero, revise sus requisitos actuales e implemente una colección mínima de configuraciones para cumplir con estos requisitos. Los requisitos pueden incluir ajustes de seguridad reglamentarios u obligatorios y ajustes para mejorar la experiencia del usuario final. La empresa crea una lista de requisitos, no TI. Todos los escenarios deben estar documentados, comprendidos y deben servir para algo.

La migración de la configuración de las directivas de grupo existentes a MDM (Microsoft Intune) no es el enfoque preferido. Cuando realice la transición a Windows nativo en la nube, la intención no debería ser aumentar y cambiar la configuración de las directivas de grupo existentes. En su lugar, hay que tener en cuenta el público al que se dirige y los ajustes que necesita. Lleva mucho tiempo y probablemente no es práctico revisar cada configuración de directiva de grupo en su entorno para determinar su relevancia y compatibilidad con un dispositivo administrado moderno. Evite tratar de evaluar cada directiva de grupo y cada ajuste individual. En su lugar, concéntrese en evaluar aquellas directivas comunes que cubren la mayoría de los dispositivos y escenarios.

En su lugar, identifique las configuraciones de la directiva de grupo que son obligatorias y revise esas configuraciones contra las configuraciones disponibles de MDM. Cualquier brecha podría representar bloqueos que podrían impedirle avanzar con un dispositivo nativo en la nube si no se resolvieran. Se pueden utilizar herramientas como Análisis de directiva de grupo para analizar la configuración de las directivas de grupo y determinar si se pueden migrar a las directivas de MDM o no.

Scripts

Puede utilizar scripts de PowerShell para cualquier ajuste o personalización que necesite configurar fuera de los perfiles de configuración incorporados. Para obtener más información, vaya a Agregar scripts de PowerShell a dispositivos Windows en Microsoft Intune.

Asignación de unidades de red e impresoras

Los escenarios nativos en la nube no tienen una solución integrada para las unidades de red asignadas. En su lugar, recomendamos que los usuarios migren a Teams, SharePoint y OneDrive para la Empresa. Si la migración no es posible, considere el uso de scripts si es necesario.

Para el almacenamiento personal, en el Paso 8: configurar los ajustes para una experiencia óptima de Microsoft 365, configuramos el movimiento de carpetas conocidas de OneDrive. Para obtener más información, vaya a Redirigir carpetas conocidas.

Para el almacenamiento de documentos, los usuarios también pueden beneficiarse de la integración de SharePoint con el Explorador de archivos y la posibilidad de sincronizar bibliotecas localmente, como se indica aquí: sincronizar archivos de SharePoint y Teams con el ordenador.

Si utilizas las plantillas de documentos corporativos de Office, que suelen estar en servidores internos, considera el nuevo equivalente basado en la nube que permite a los usuarios acceder a las plantillas desde cualquier lugar.

Para las soluciones de impresión, considere La impresión universal. Para obtener más información, vaya a:

Aplicaciones

Intune admite la implementación de muchos tipos de aplicaciones de Windows diferentes.

Si tiene aplicaciones que utilizan instaladores MSI, EXE o de secuencias de comandos, puede implementar todas estas aplicaciones mediante la administración de aplicaciones Win32 en Microsoft Intune. Envolver estos instaladores en el formato Win32 proporcionará más flexibilidad y beneficios, como notificaciones, optimización de la entrega, dependencias, reglas de detección y soporte para la página de estado de inscripción en Windows Autopilot.

Nota:

Para evitar conflictos durante la instalación, le recomendamos que utilice exclusivamente las funciones de aplicaciones de línea de negocio de Windows o de aplicaciones Win32. Si tiene aplicaciones empaquetadas como .msi o .exe, estas pueden convertirse en aplicaciones Win32 (.intunewin) utilizando la herramienta Microsoft Win32 Content Prep Tool, que está disponible en GitHub.

Fase 5: implementar a escala con Windows Autopilot

Fase 5.

Ahora que ya ha configurado el punto de conexión de Windows nativo en la nube y lo ha aprovisionado con Windows Autopilot, puede considerar cómo podría importar más dispositivos. Considere también cómo puede trabajar con su socio o proveedor de hardware para comenzar a aprovisionar nuevos puntos de conexión desde la nube. Revise los siguientes recursos para determinar el mejor enfoque para su organización.

Si por algún motivo, Windows Autopilot no fuera la opción adecuada para usted, existen otros métodos de inscripción para Windows. Para obtener más información, vaya a Métodos de inscripción de Intune para dispositivos Windows.

Siga las instrucciones sobre puntos de conexión nativos de la nube

  1. Información general: ¿qué son los puntos de conexión nativos de la nube?
  2. 🡺 Tutorial: introducción a los puntos de conexión de Windows nativos en la nube (usted está aquí)
  3. Concepto: Microsoft Entra unidos frente a Microsoft Entra híbridos unidos
  4. Concepto: puntos de conexión nativos en la nube y recursos locales
  5. Guía de planeación de alto nivel
  6. Problemas conocidos e información importante

Recursos en línea útiles