Administrar las conexiones de los componentes del sistema operativo Windows 10 y Windows 11 a los servicios Microsoft mediante el servidor MDM de Microsoft Intune

  • Artículo

Se aplica a

  • Windows 11
  • Windows 10 Enterprise, versión 1903 y posteriores

En este artículo se describen las conexiones de red que los componentes de Windows 10 y Windows 11 hacen a Microsoft y a Administración de dispositivos móviles/Proveedor de servicios de configuración (MDM/CSP), así como las directivas personalizadas del Identificador uniforme de recursos de Open Mobile Alliance (URI de OMA) disponibles para los profesionales de TI que usan Microsoft Intune para ayudar a administrar los datos compartidos con Microsoft. Si quieres minimizar las conexiones de Windows con los servicios Microsoft o configurar las opciones de privacidad, hay una serie de opciones de configuración que debes tener en cuenta. Por ejemplo, puedes configurar los datos de diagnóstico en el nivel más bajo para tu edición de Windows y evaluar otras conexiones que Windows realiza a los servicios Microsoft que desees desactivar siguiendo las instrucciones de este artículo. Aunque es posible minimizar las conexiones de red a Microsoft, existen muchas razones por las que estas comunicaciones están habilitadas de forma predeterminada, como la actualización de las definiciones de malware y el mantenimiento de las listas de revocación de certificados actuales. Estos datos nos ayudan a ofrecer una experiencia segura, confiable y actualizada.

Importante

  • Los puntos de conexión de Tráfico permitido para las configuraciones de MDM son los siguientes: Tráfico permitido
    • No se puede deshabilitar el tráfico de red de la CRL (Lista de revocación de certificados) ni el OCSP (Protocolo de estado de certificados en línea) y seguirá apareciendo en los seguimientos de red. Se realizan comprobaciones de CRL y OCSP a las entidades emisoras de certificados. Microsoft es una de estas entidades. Hay muchas otras, como DigiCert, Thawte, Google, Symantec y VeriSign.
    • Hay parte del tráfico que se requiere de manera específica para la administración basada en Microsoft Intune de dispositivos con Windows 10 y Windows 11. Este tráfico incluye el Servicio de notificaciones de Windows (WNS), la actualización automática de certificados raíz (ARCU) y cierto tráfico relacionado con Windows Update. El tráfico antes mencionado consta del Tráfico permitido para que el servidor MDM de Microsoft Intune administre dispositivos con Windows 10 y Windows 11.
  • Por razones de seguridad, es importante tener cuidado a la hora de decidir qué ajustes se configurarán ya que algunos de ellos pueden hacer que un dispositivo sea menos seguro. Entre los ejemplos de configuraciones que pueden hacer que una configuración de dispositivos sea menos segura se incluyen: deshabilitar Windows Update, deshabilitar la actualización automática de certificados raíz y deshabilitar Windows Defender. Por consiguiente, no recomendamos deshabilitar ninguna de estas funciones.
  • Para garantizar que los CSP tengan prioridad sobre las directivas de grupo en caso de que se produzcan conflictos, usa la directiva ControlPolicyConflict.
  • Es posible que los vínculos de Windows Obtener ayuda y Enviar comentarios ya no funcionen después de aplicar algunas opciones de configuración de MDM o CSP o todas ellas.

Advertencia

Si un usuario ejecuta el comando "restablecer este equipo" (Configuración -> actualización y seguridad -> Recuperación) con la opción "quitar todo" la >configuración de funcionalidad limitada de tráfico restringido de Windows deberá volver a aplicarse para volver a restringir el tráfico de salida del dispositivo. >Para hacerlo, el cliente debe volver a inscribirse en el servicio de Microsoft Intune. El tráfico de salida puede ocurrir durante el período anterior a la nueva >aplicación de configuración de la función limitada del tráfico restringido. Si el usuario ejecuta "Restablecer este equipo" con la >opción "Conservar mis archivos", la configuración de Funcionalidad limitada de tráfico restringido se conserva en el dispositivo y, por lo tanto, el cliente permanecerá en una configuración de >Tráfico restringido durante y después del restablecimiento con la opción "Conservar mis archivos", y no necesitará volver a inscribirse.

Para más información sobre Microsoft Intune, consulta Transforma la entrega de servicios de TI para el espacio de trabajo moderno y la Documentación de Microsoft Intune.

Para obtener información detallada acerca de cómo administrar conexiones de red con servicios Microsoft mediante la Configuración de Windows, las directivas de grupo y la configuración del Registro, consulta Administrar conexiones de componentes del sistema operativo Windows a los servicios Microsoft.

Siempre nos esforzamos para mejorar nuestra documentación y agradecemos tus comentarios. Puedes enviar comentarios enviando un mensaje de correo electrónico a telmhelp@microsoft.com.

Configuración de Windows 10 Enterprise, edición 1903 y posteriores, y Windows 11

En la tabla siguiente se enumeran las opciones de administración de cada configuración.

Para Windows 10 y Windows 11, las siguientes directivas de MDM están disponibles en el CSP de directivas.

  1. Actualización automática de certificados raíz

    1. Directiva MDM: no hay ninguna MDM disponible de forma intencionada para la actualización automática de certificados raíz. Esta MDM no existe porque impediría el funcionamiento y la administración de MDM de dispositivos.

  2. Cortana y Búsqueda

    1. Directiva MDM: Experiencia/AllowCortana. Elige si deseas permitir que Cortana se instale y se ejecute en el dispositivo. Establecer en 0 (cero)
    2. Directiva MDM: Buscar/AllowSearchToUseLocation. Elige si Cortana y la opción de búsqueda pueden proporcionar resultados de búsqueda con reconocimiento de ubicación. Establecer en 0 (cero)

  3. Fecha y hora

    1. Directiva MDM: Configuración/AllowDateTime. Permite al usuario cambiar la configuración de fecha y hora. Establecer en 0 (cero)

  4. Recuperación de metadatos de dispositivos

    1. Directiva MDM: DeviceInstallation/PreventDeviceMetadataFromNetwork. Elige si quieres evitar que Windows recupere metadatos de dispositivos de Internet. Establecer en Habilitado

  5. Encontrar mi dispositivo

    1. Directiva MDM: Experiencia/AllowFindMyDevice. Esta directiva activa Encontrar mi dispositivo. Establecer en 0 (cero)

  6. Streaming de fuentes

    1. Directiva MDM: Sistema/AllowFontProviders. Configuración que determina si Windows puede descargar fuentes y datos del catálogo de fuentes de un proveedor de fuentes en línea. Establecer en 0 (cero)

  7. Versiones preliminares de Insider

    1. Directiva MDM: Sistema/AllowBuildPreview. Esta configuración de directiva determina si los usuarios pueden obtener acceso a los controles de compilación de Insider en las Opciones avanzadas de Windows Update. Establecer en 0 (cero)

  8. Internet Explorer Las siguientes directivas de MDM de Microsoft Internet Explorer están disponibles en el CSP de Internet Explorer

    1. Directiva MDM: InternetExplorer/AllowSuggestedSites. Recomienda sitios web basados en la actividad de exploración del usuario. Establecer en Deshabilitado
    2. Directiva MDM: InternetExplorer/PreventManagingSmartScreenFilter. Impide que el usuario administre SmartScreen de Windows Defender, que advierte al usuario si el sitio web que se está visitando es conocido por intentos fraudulentos de recopilar información personal a través de "suplantación de identidad" o si se sabe que hospeda malware. Establecer en cadena con valor:
      1. <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
    3. Directiva MDM: InternetExplorer/DisableFlipAheadFeature. Determina si los usuarios pueden deslizar el dedo por una pantalla o hacer clic en Reenviar para ir a la siguiente página precargada de un sitio web. Establecer en Habilitado
    4. Directiva MDM: InternetExplorer/DisableHomePageChange. Determina si los usuarios pueden cambiar la página principal predeterminada o no. Establecer en cadena con valor:
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
    5. Directiva MDM: InternetExplorer/DisableFirstRunWizard. Impide que Internet Explorer ejecute el Asistente para la primera ejecución la primera vez que un usuario inicia el explorador después de instalar Internet Explorer o Windows. Establecer en cadena con valor:
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

  9. Iconos dinámicos

    1. Directiva MDM: Notificaciones/DisallowTileNotification. Esta configuración de directiva desactiva las notificaciones de icono. Si habilitas esta configuración de directiva, las funciones del sistema y aplicaciones no podrán actualizar sus iconos ni sus notificaciones de iconos en la pantalla Inicio. Valor entero 1

  10. Sincronización de correo

    1. Directiva MDM: Cuentas/AllowMicrosoftAccountConnection. Especifica si el usuario puede usar una cuenta Microsoft para servicios y autenticación de conexión no relacionados con el correo electrónico. Establecer en 0 (cero)

  11. Cuenta de Microsoft

    1. Directiva MDM: Cuentas/AllowMicrosoftAccountSignInAssistant. Deshabilita el Ayudante para el inicio de sesión de cuenta Microsoft. Establecer en 0 (cero)

  12. Microsoft Edge Las siguientes directivas MDM de Microsoft Edge están disponibles en el CSP de directivas. Para obtener una lista completa de las directivas de Microsoft Edge, consulta Directivas disponibles para Microsoft Edge.

    1. Directiva MDM: Explorador/AllowAutoFill. Elige si los empleados pueden usar Autorrellenar en los sitios web. Establecer en 0 (cero)
    2. Directiva MDM: Explorador/AllowDoNotTrack. Elige si los empleados pueden enviar encabezados No realizar seguimiento. Establecer en 0 (cero)
    3. Directiva MDM: Explorador/AllowMicrosoftCompatbilityList. Especifica la lista de compatibilidad de Microsoft en Microsoft Edge. Establecer en 0 (cero)
    4. Directiva MDM: Explorador/AllowPasswordManager. Elige si los empleados pueden guardar las contraseñas localmente en sus dispositivos. Establecer en 0 (cero)
    5. Directiva MDM: Explorador/AllowSearchSuggestionsinAddressBar. Elige si la Barra de direcciones muestra sugerencias de búsqueda. Establecer en 0 (cero)
    6. Directiva MDM: Explorador/AllowSmartScreen. Elige si el filtro SmartScreen de Windows Defender está activado o desactivado. Establecer en 0 (cero)

  13. Indicador de estado de conexión de red

    1. Conectividad/DisallowNetworkConnectivityActiveTests. Nota: Después de aplicar esta directiva, debes reiniciar el dispositivo para que la configuración de directiva surta efecto. Establecer en 1 (uno)

  14. Mapas sin conexión

    1. Directiva MDM: AllowOfflineMapsDownloadOverMeteredConnection. Permite la descarga y actualización de datos de mapa en conexiones de uso medido.
      Establecer en 0 (cero)
    2. Directiva MDM: EnableOfflineMapsAutoUpdate. Deshabilita la descarga automática y la actualización de datos de mapa. Establecer en 0 (cero)

  15. OneDrive

    1. Directiva MDM: DisableOneDriveFileSync. Permite a los administradores de TI impedir que las aplicaciones y las características funcionen con archivos en OneDrive. Establecer en 1 (uno)
    2. Ingerir ADMX: para obtener el último archivo ADMX de OneDrive, necesitas un cliente de Windows 10 y Windows 11 actualizado. Los archivos ADMX se encuentran en la siguiente ruta de acceso: %LocalAppData%\Microsoft\OneDrive\ hay una carpeta con la compilación actual de OneDrive (por ejemplo, "18.162.0812.0001"). Hay una carpeta denominada "adm" que contiene los archivos de definición de directiva admx y adml.
    3. Directiva MDM: impedir el tráfico de red antes del inicio de sesión del usuario. PreventNetworkTrafficPreUserSignIn. El valor de OMA-URI es: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, Tipo de datos: Cadena, Valor: <enabled/>

  16. Configuración de privacidad A excepción de la página Comentarios y diagnósticos, esta configuración debe estar configurada para cada cuenta de usuario que inicie sesión en el PC.

    1. General: TextInput/AllowLinguisticDataCollection. Esta configuración de directiva controla la posibilidad de enviar datos de entrada manuscrita y escritura a Microsoft. Establecer en 0 (cero)
    2. Ubicación: Sistema/AllowLocation. Especifica si se permite que la aplicación obtenga acceso al servicio de ubicación. Establecer en 0 (cero)
    3. Cámara: Cámara/AllowCamera. Deshabilita o habilita la cámara. Establecer en 0 (cero)
    4. Micrófono: Privacidad/LetAppsAccessMicrophone. Especifica si las aplicaciones de Windows pueden obtener acceso al micrófono. Establecer en 2 (dos)
    5. Notificaciones: Privacidad/LetAppsAccessNotifications. Especifica si las aplicaciones de Windows pueden obtener acceso a las notificaciones. Establecer en 2 (dos)
    6. Notificaciones: Configuración/AllowOnlineTips. Habilita o deshabilita la recuperación de la ayuda y las sugerencias en línea para la aplicación Configuración. Valor entero 0
    7. Voz, entrada manuscrita y escritura: Privacidad/AllowInputPersonalization. Esta directiva especifica si los usuarios del dispositivo tienen la opción de habilitar el reconocimiento de voz en línea. Establecer en 0 (cero)
    8. Voz, entrada manuscrita y escritura: TextInput/AllowLinguisticDataCollection. Esta configuración de directiva controla la capacidad de enviar datos de entrada manuscrita y escritura a Microsoft Establecer en 0 (cero)
    9. Información de la cuenta: Privacidad/LetAppsAccessAccountInfo. Especifica si las aplicaciones de Windows pueden obtener acceso a la información de la cuenta. Establecer en 2 (dos)
    10. Contactos: Privacidad/LetAppsAccessContacts. Especifica si las aplicaciones de Windows pueden obtener acceso a los contactos. Establecer en 2 (dos)
    11. Calendario: Privacidad/LetAppsAccessCalendar. Especifica si las aplicaciones de Windows pueden obtener acceso al calendario. Establecer en 2 (dos)
    12. Historial de llamadas: Privacidad/LetAppsAccessCallHistory. Especifica si las aplicaciones de Windows pueden obtener acceso a la información de la cuenta. Establecer en 2 (dos)
    13. Correo electrónico: Privacidad/LetAppsAccessEmail. Especifica si las aplicaciones de Windows pueden obtener acceso al correo electrónico. Establecer en 2 (dos)
    14. Mensajería: Privacidad/LetAppsAccessMessaging. Especifica si las aplicaciones de Windows pueden leer o enviar mensajes (texto o MMS). Establecer en 2 (dos)
    15. Llamadas de teléfono: Privacidad/LetAppsAccessPhone. Especifica si las aplicaciones de Windows pueden realizar llamadas de teléfono. Establecer en 2 (dos)
    16. Radios: Privacidad/LetAppsAccessRadios. Especifica si las aplicaciones de Windows tienen acceso para controlar las señales de radio. Establecer en 2 (dos)
    17. Otros dispositivos: Privacidad/LetAppsSyncWithDevices. Especifica si las aplicaciones de Windows se pueden sincronizar con dispositivos. Establecer en 2 (dos)
    18. Otros dispositivos: Privacidad/LetAppsAccessTrustedDevices. Especifica si las aplicaciones de Windows pueden obtener acceso a dispositivos de confianza. Establecer en 2 (dos)
    19. Comentarios y diagnósticos: Sistema/AllowTelemetry. Permite que el dispositivo envíe datos de telemetría de diagnóstico y uso, como Watson. Establecer en 0 (cero)
    20. Comentarios y diagnósticos: Experiencia/DoNotShowFeedbackNotifications. Impide que los dispositivos muestren preguntas de comentarios de Microsoft. Establecer en 1 (uno)
    21. Aplicaciones en segundo plano: Privacidad/LetAppsRunInBackground. Especifica si las aplicaciones de Windows se pueden ejecutar en segundo plano. Establecer en 2 (dos)
    22. Movimiento: Privacidad/LetAppsAccessMotion. Especifica si las aplicaciones de Windows pueden obtener acceso a datos de movimiento. Establecer en 2 (dos)
    23. Tareas: Privacidad/LetAppsAccessTasks. Desactiva la posibilidad de elegir qué aplicaciones tienen acceso a tareas. Establecer en 2 (dos)
    24. Diagnóstico de la aplicación: Privacidad/LetAppsGetDiagnosticInfo. Forzar permiso, forzar denegación o proporcionar control de usuario de las aplicaciones que pueden obtener información de diagnóstico sobre otras aplicaciones en ejecución. Establecer en 2 (dos)

  17. Plataforma de protección de software - Licencias/DisallowKMSClientOnlineAVSValidation. Optar por no enviar automáticamente los datos de activación del cliente de KMS a Microsoft. Establecer en 1 (uno)

  18. Estado de almacenamiento - Almacenamiento/AllowDiskHealthModelUpdates. Permite actualizaciones del modelo de estado del disco. Establecer en 0 (cero)

  19. Sincronizar la configuración - Experiencia/AllowSyncMySettings. Controla si la configuración está sincronizada. Establecer en 0 (cero)

  20. Teredo: no se necesita MDM. Teredo está Desactivado de manera predeterminada. La Optimización de distribución (DO) puede activar Teredo, pero se desactiva mediante MDM.

  21. Sensor Wi-Fi: no se necesita MDM. Sensor Wi-Fi ya no está disponible en Windows 10, versión 1803 y versiones posteriores, ni Windows 11.

  22. Windows Defender

    1. Defender/AllowCloudProtection. Desconéctese del servicio de protección de Microsoft Antimalware. Establecer en 0 (cero)
    2. Defender/SubmitSamplesConsent. Deja de enviar muestras de archivos a Microsoft. Establecer en 2 (dos)
    3. Defender/EnableSmartScreenInShell. Desactiva SmartScreen en Windows para la ejecución de aplicaciones y archivos. Establecer en 0 (cero)
    4. SmartScreen de Windows Defender - Browser/AllowSmartScreen. Deshabilitar SmartScreen de Windows Defender. Establecer en 0 (cero)
    5. EnableAppInstallControl de SmartScreen de Windows Defender: SmartScreen/EnableAppInstallControl. Controla si los usuarios pueden instalar aplicaciones desde ubicaciones distintas de Microsoft Store. Establecer en 0 (cero)
    6. Protección de aplicaciones potencialmente no deseadas (PUA) de Windows Defender: Defender/PUAProtection. Especifica el nivel de detección de las aplicaciones potencialmente no deseadas (PUA). Establecer en 1 (uno)
    7. Defender/SignatureUpdateFallbackOrder. Te permite definir el orden en el que se deben contactar diferentes orígenes de actualización de definiciones. El OMA-URI para esto es: ./Vendor/msft/Policy/config/defender/SignatureUpdateFallbackOrder, Tipo de datos: Cadena, Valor: FileShares

  23. Contenido destacado de Windows - Experiencia/AllowWindowsSpotlight. Deshabilitar el contenido destacado de Windows. Establecer en 0 (cero)

  24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps. Valor booleano que deshabilita el inicio de todas las aplicaciones de Microsoft Store que venían instaladas o que se descargaron. Establecer en 1 (uno)
    2. ApplicationManagement/AllowAppStoreAutoUpdate. Especifica si se permite la actualización automática de las aplicaciones de Microsoft Store. Establecer en 0 (cero)

  25. Aplicaciones para sitios web - ApplicationDefaults/EnableAppUriHandlers. Esta configuración de directiva determina si Windows admite la vinculación de web a aplicación con controladores de URI de la aplicación. Establecer en 0 (cero)

  26. Optimización de distribución de Windows Update: las siguientes directivas MDM de Optimización de distribución están disponibles en el CSP de directivas.

    1. DeliveryOptimization/DODownloadMode. Vamos a elegir dónde la Optimización de distribución obtiene o envía actualizaciones y aplicaciones. Establecer en 99 (noventa y nueve)

  27. Windows Update

    1. Actualizar/AllowAutoUpdate. Controla actualizaciones automáticas. Establecer en 5 (cinco)
    2. Allow Update Service de Windows Update: Actualizar/AllowUpdateService. Especifica si el dispositivo puede usar Microsoft Update, Windows Server Update Services (WSUS) o Microsoft Store. Establecer en 0 (cero)
    3. Dirección URL del servicio Windows Update: Actualizar/UpdateServiceUrl. Permite al dispositivo buscar actualizaciones de un servidor WSUS en lugar de Microsoft Update. Establecer en cadena con el valor:
      1. <Replace><CmdID>$CmdID$<Item><Meta><Format>chr<Type>text/plain</Meta><Target><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

  28. Recomendaciones
    a. Configuración HideRecentJumplists en el proveedor de soluciones en la nube (CSP) de la directiva de inicio. Para ocultar una lista de aplicaciones y archivos recomendados en la sección Recomendaciones del menú Inicio.

Tráfico permitido para configuraciones de Microsoft Intune/MDM

Puntos de conexión de tráfico permitidos
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
\*microsoft.com/pkiops/\*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com