Asignar directivas en Microsoft Intune
Al crear una directiva de Intune, se incluyen todas las opciones de configuración que estableció dentro de la directiva. Cuando la directiva esté lista para implementarse, el siguiente paso es "asignar" la directiva a los grupos de usuarios o dispositivos. Al asignar la directiva, los usuarios y dispositivos la reciben y se aplican las opciones de configuración especificadas.
En Intune, puede crear y asignar las siguientes directivas:
- Directivas de protección de aplicaciones
- Directivas de configuración de aplicaciones
- Directivas de cumplimiento
- Directivas de acceso condicional
- Perfiles de configuración de dispositivos
- Directivas de inscripción
En este artículo se explica cómo asignar una directiva, se incluye información sobre el uso de etiquetas de ámbito, se indica cuándo asignar directivas a grupos de usuarios o grupos de dispositivos, etc.
Esta característica se aplica a:
- Android
- iOS/iPadOS
- macOS
- Linux
- Windows
Antes de empezar
Asegúrese de que tiene el rol correcto para asignar directivas y perfiles. Para obtener más información, consulte Control de acceso basado en roles (RBAC) con Microsoft Intune.
Considere la posibilidad de usar Microsoft Copilot en Intune. Estas son algunas de las ventajas:
- Al crear una directiva y establecer las opciones de configuración, Copilot proporciona más información sobre cada configuración, puede recomendar un valor y encontrar posibles conflictos.
- Al asignar una directiva, Copilot puede indicarle los grupos a los que se les ha asignado la directiva y ayudarle a comprender el efecto de la directiva.
Para obtener más información, consulte Microsoft Copilot en Intune.
Asignar una directiva a usuarios o grupos
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Dispositivos>Administrar dispositivos>Configuración. Se muestran todos los perfiles.
Seleccione el perfil que quiere asignar >Propiedades>Asignaciones>Editar:
Por ejemplo, para asignar un perfil de configuración de dispositivo:
Vaya a Dispositivos>Administrar dispositivos>Configuración. Se muestran todos los perfiles.
Seleccione la directiva que quiere asignar >Propiedades>Asignaciones>Editar:
En Grupos incluidos o Grupos excluidos, elija Agregar grupos para seleccionar uno o más grupos de Microsoft Entra. Si tiene previsto implementar la directiva de forma amplia en todos los dispositivos aplicables, seleccione Agregar a todos los usuarios o Agregar todos los dispositivos.
Nota:
Si selecciona "Todos los dispositivos" y "Todos los usuarios", se deshabilita la opción de agregar grupos de Microsoft Entra adicionales.
Seleccione Revisar y guardar. En este paso no se asigna la directiva.
Haga clic en Guardar. Al guardar, se asigna la directiva. Los grupos recibirán las opciones de configuración de la directiva cuando los dispositivos se registren con el servicio de Intune.
Características de la asignación que debe conocer y usar
Use Filtros para asignar una directiva basada en las reglas que cree. Puede crear filtros para:
- Directivas de configuración de aplicaciones
- Directivas de protección de aplicaciones
- Asignaciones de aplicaciones
- Directivas de cumplimiento
- Perfiles de configuración de dispositivos
Para obtener más información, vaya a:
Los conjuntos de directivas crean un grupo o una colección de aplicaciones y directivas existentes. Cuando se crea el conjunto de directivas, puede asignarlo desde un único lugar en el Centro de administración de Microsoft Intune.
Para obtener más información, consulte Usar conjuntos de directivas para agrupar colecciones de objetos de administración en Microsoft Intune.
Las etiquetas de ámbito son una excelente manera de filtrar directivas para grupos específicos, como
US-NC IT Team
oJohnGlenn_ITDepartment
. Para obtener más información, consulte Usar RBAC y etiquetas de ámbito para TI distribuida.En dispositivos Windows, puede agregar reglas de aplicabilidad para que la directiva solo se aplique a una versión específica del sistema operativo o a una edición de Windows específica. Para obtener más información, consulte Reglas de aplicabilidad.
Grupos de usuarios y grupos de dispositivos
Muchos usuarios se preguntan cuándo usar grupos de usuarios y cuándo grupos de dispositivos. La respuesta depende del objetivo. Esta es una guía para ayudarle a comenzar.
Grupos de dispositivo
Si quiere aplicar las opciones de configuración en un dispositivo con independencia de quién haya iniciado sesión, asigne las directivas a un grupo de dispositivos. La configuración que se aplica a grupos de dispositivos siempre va con el dispositivo, no con el usuario.
Por ejemplo:
Los grupos de dispositivos son útiles para administrar dispositivos que no tienen un usuario dedicado. Este sería el caso de dispositivos que imprimen entradas, examinan inventario, se comparten entre los trabajadores por turnos o se asignan a un almacén específico. Coloque estos dispositivos en un grupo de dispositivos y asigne las directivas a este grupo.
Se crea un perfil Device Firmware Configuration Interface (DFCI) de Intune que actualiza la configuración en el BIOS. Por ejemplo, puede configurar esta directiva para deshabilitar la cámara del dispositivo o para bloquear las opciones de arranque e impedir que los usuarios arranquen otro SO. Esta directiva es un buen ejemplo para asignar a un grupo de dispositivos.
En algunos dispositivos Windows específicos, siempre le interesará controlar algunos valores de configuración de Microsoft Edge, con independencia de quién use el dispositivo. Por ejemplo, si quiere bloquear todas las descargas, limite todas las cookies a la sesión de exploración actual y elimine el historial de exploración. En este escenario, coloque estos dispositivos Windows específicos en un grupo de dispositivos. Luego, cree una plantilla administrativa en Intune, agregue las opciones de configuración del dispositivo, y asigne la directiva al grupo dispositivos.
En resumen, use grupos de dispositivos cuando no le preocupe quién haya iniciado sesión en el dispositivo o si alguien lo hace. Le interesa que la configuración esté siempre en el dispositivo.
Grupos de usuario
Las opciones de configuración de directivas que se aplica a los grupos de usuarios siempre acompañan al usuario cuando inicia sesión en sus diferentes dispositivos. Es normal que los usuarios tengan muchos dispositivos, como un equipo Surface Pro para trabajar o un dispositivo iOS/iPadOS personal. Además, es normal que una persona acceda al correo electrónico y a otros recursos de la organización desde estos dispositivos.
Si un usuario tiene varios dispositivos en la misma plataforma, puede usar filtros en la asignación de grupo. Por ejemplo, un usuario tiene un dispositivo iOS/iPadOS personal y otro iOS/iPadOS que pertenece a la organización. Cuando se asigna una política para ese usuario, se pueden utilizar filtros para dirigirse solo al dispositivo propiedad de la organización.
Siga esta regla general: si una característica pertenece a un usuario, por ejemplo, los certificados de usuario o el correo electrónico, asígnela a los grupos de usuarios.
Por ejemplo:
Quiere colocar un icono del departamento de soporte técnico en todos los dispositivos de todos los usuarios. En este caso, coloque a los usuarios en un grupo de usuarios y asigne la directiva de icono del servicio de asistencia a este grupo de usuarios.
Un usuario recibe un nuevo dispositivo propiedad de la organización. El usuario inicia sesión en el dispositivo con su cuenta de dominio. El dispositivo se registra automáticamente en Microsoft Entra ID y se administra automáticamente en Intune. Esta directiva es un buen ejemplo para asignar a un grupo de usuarios.
Cada vez que un usuario inicia sesión en un dispositivo, querrá controlar las características de las aplicaciones, como OneDrive u Office. En este caso, asigne las opciones de configuración de directiva de OneDrive u Office a un grupo de usuarios.
Por ejemplo, quiere bloquear los controles ActiveX que no son de confianza en las aplicaciones de Office. Puede crear una plantilla administrativa en Intune, configurar esta opción y, luego, asignar esta directiva a un grupo de usuarios.
En resumen, use grupos de usuarios cuando quiera que la configuración y las reglas vayan siempre con el usuario, sea cual sea el dispositivo que usen.
Sesión múltiple de Azure Virtual Desktop
Puede usar Intune para administrar escritorios remotos de sesión múltiple de Windows creados con Azure Virtual Desktop, como sucede con cualquier otro dispositivo compartido cliente de Windows. Al asignar directivas a grupos de usuarios o dispositivos, la sesión múltiple de Azure Virtual Desktop es un caso especial. Con las máquinas virtuales, los CSP de dispositivos deben tener como destino grupos de dispositivos. Los CSP de usuarios deben tener como destino grupos de usuarios.
Para obtener más información, consulte Usar la sesión múltiple de Azure Virtual Desktop con Microsoft Intune.
CSP de Windows y su comportamiento
La configuración de directiva para dispositivos Windows se basa en los proveedores de servicios de configuración (CSP). Esta configuración se asigna a los archivos o claves de registro en los dispositivos.
Esto es lo que necesita saber sobre los CSP de Windows:
Intune expone estos CSP para que pueda configurar estas opciones y asignarlas a los dispositivos Windows. Esta configuración se puede configurar mediante las plantillas integradas y el catálogo de configuración. En el catálogo de configuración, verá que algunas opciones de configuración se aplican al ámbito del usuario y otras al ámbito del dispositivo.
Para obtener información sobre cómo se aplica la configuración de ámbito de usuario y de dispositivo a dispositivos Windows, vaya al Catálogo de configuración: configuración del ámbito del dispositivo frente al ámbito de usuario.
Cuando se quita una directiva o ya no se asigna a un dispositivo, lo que sucede luego depende de las opciones de configuración de la directiva. La eliminación de directivas se lleva a cabo de diferentes formas según el CSP.
Por ejemplo, un valor de configuración podría mantener el valor existente y no volver a un valor predeterminado. Cada CSP controla el comportamiento. Para una lista de CSP de Windows, consulte la referencia del proveedor de servicios de configuración (CSP).
Para cambiar una opción de configuración a otro valor, cree una nueva directiva, establezca la configuración en No configurado y asigne la directiva. Una vez se aplica la directiva al dispositivo, los usuarios pueden cambiar la configuración a su valor preferido.
Al configurar estas opciones, se recomienda implementar en un grupo piloto. Para más información sobre el lanzamiento de Intune, consulte cómo crear un plan de lanzamiento.
Excluir grupos de una asignación de directiva
Las directivas de configuración de dispositivos de Intune permiten incluir y excluir grupos de la asignación de directivas.
Como procedimiento recomendado:
- Cree y asigne directivas específicamente para los grupos de usuarios. Use filtros para incluir o excluir dispositivos de esos usuarios.
- Cree y asigne directivas diferentes específicamente para los grupos de dispositivos.
Para más información sobre los grupos, consulte Agregar grupos para organizar usuarios y dispositivos.
Principios de inclusión y exclusión de grupos
Al asignar las directivas, aplique los siguientes principios generales:
Piense en Grupos incluidos o Grupos excluidos como punto de partida para los usuarios y dispositivos que recibirán las directivas. El grupo de Microsoft Entra es el grupo que delimita, por lo que debe usar el ámbito de grupo más pequeño posible. Use filtros para limitar o refinar la asignación de directiva.
Los grupos de Microsoft Entra asignados, también conocidos como grupos estáticos, se pueden agregar a grupos incluidos o grupos excluidos.
Normalmente, los dispositivos se asignan estáticamente a un grupo de Microsoft Entra si están previamente registrados en Microsoft Entra ID, como Windows Autopilot. O bien, si desea combinar dispositivos para una implementación única y ad hoc. De lo contrario, podría no resultar práctico asignar dispositivos estáticamente a un grupo de Microsoft Entra.
Los grupos de usuarios dinámicos de Microsoft Entra se pueden agregar a grupos incluidos o grupos excluidos.
Los grupos excluidos pueden ser grupos con usuarios o grupos con dispositivos.
Los grupos de dispositivos dinámicos de Microsoft Entra se pueden agregar a los grupos incluidos. Sin embargo, puede haber latencia al rellenar la pertenencia dinámica a grupos. En escenarios sensibles a la latencia, use filtros para utilizar como destino dispositivos específicos y asigne las directivas a grupos de usuarios.
Por ejemplo, quiere que las directivas se asignen a los dispositivos en cuanto se inscriban. En esta situación sensible a la latencia, cree un filtro para utilizar como destino los dispositivos que desee y asigne la directiva con este filtro a los grupos de usuarios. No asignar a grupos de dispositivos.
En el caso de que no haya usuarios, cree un filtro para utilizar como destino los dispositivos que desee y asigne la directiva con el filtro al grupo "Todos los dispositivos".
Evite agregar grupos de dispositivos dinámicos de Microsoft Entra a grupos excluidos. La latencia en el cálculo de grupos de dispositivos dinámicos durante la inscripción puede provocar resultados no deseados. Por ejemplo, es posible implementar aplicaciones y directivas no deseadas antes de que se rellene la pertenencia al grupo excluido.
Matriz de compatibilidad
Use la siguiente matriz para comprender la compatibilidad para excluir grupos:
- ✅:Soportado
- ❌: No compatible
- ❕: Parcialmente compatible
Escenario | Soporte técnico |
---|---|
1 | ❕ Se admite parcialmente la asignación de directivas a un grupo de dispositivos dinámicos mientras se excluye otro grupo de dispositivos dinámicos. Sin embargo, no se recomienda en escenarios sensibles a la latencia. Cualquier retraso en el cálculo de la pertenencia a grupos de exclusión puede provocar que se ofrezcan directivas a los dispositivos. En este escenario, se recomienda usar filtros en lugar de grupos de dispositivos dinámicos para excluir dispositivos. Por ejemplo, tiene una directiva de dispositivos asignada a Todos los dispositivos. Más adelante, tiene el requisito de que los nuevos dispositivos de marketing no reciban esta directiva. Por lo tanto, se crea un grupo de dispositivos dinámicos denominado Dispositivos de marketing en función de la propiedad enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices" ). En la directiva, se agrega el grupo dinámico Dispositivos de marketing como grupo excluido.
Se inscribe un nuevo dispositivo de marketing en Intune por primera vez y se crea un nuevo objeto de dispositivo de Microsoft Entra. El proceso de agrupación dinámica coloca el dispositivo en el grupo Dispositivos de marketing con un posible cálculo retrasado. De forma paralela, el dispositivo se inscribe en Intune y comienza a recibir todas las directivas aplicables. La directiva de Intune se puede implementar antes de que el dispositivo se coloque en el grupo de exclusión. Este comportamiento da lugar a la implementación de una directiva (o aplicación) no deseada en el grupo Dispositivos de marketing. Como consecuencia, no se recomienda el uso de grupos de dispositivos dinámicos para las exclusiones en casos que puedan experimentar latencia. En su lugar, use filtros. |
2 |
✅ Se admite la asignación de una directiva a un grupo de dispositivos dinámicos mientras se excluye un grupo de dispositivos estáticos. |
3 |
❌ No se admite la asignación de una directiva a un grupo de dispositivos dinámicos al tiempo que se excluyen grupos de usuarios (tanto dinámicos como estáticos). Intune no evalúa las relaciones entre usuarios y grupos de dispositivos, y los dispositivos de los usuarios incluidos no se excluyen. |
4 |
❌ No se admite la asignación de una directiva a un grupo de dispositivos dinámicos si se excluye los grupos de usuarios (dinámicos y estáticos). Intune no evalúa las relaciones entre usuarios y grupos de dispositivos, y los dispositivos de los usuarios incluidos no se excluyen. |
5 | ❕ Se admite parcialmente la asignación de una directiva a un grupo de dispositivos estáticos mientras se excluye un grupo de dispositivos dinámicos. Sin embargo, no se recomienda en escenarios sensibles a la latencia. Cualquier retraso en el cálculo de la pertenencia a grupos de exclusión puede provocar que se ofrezcan directivas a los dispositivos. En este escenario, se recomienda usar filtros en lugar de grupos de dispositivos dinámicos para excluir dispositivos. |
6 |
✅ Se admite la asignación de una directiva a un grupo de dispositivos estáticos y la exclusión de otro grupo de dispositivos estáticos. |
7 |
❌ No se admite la asignación de una directiva a un grupo de dispositivos estáticos si se excluye a grupos de usuarios (tanto dinámicos como estáticos). Intune no evalúa las relaciones entre usuarios y grupos de dispositivos, y los dispositivos de los usuarios incluidos no se excluyen. |
8 |
❌ No se admite la asignación de una directiva a un grupo de dispositivos estáticos si se excluye a grupos de usuarios (tanto dinámicos como estáticos). Intune no evalúa las relaciones entre usuarios y grupos de dispositivos, y los dispositivos de los usuarios incluidos no se excluyen. |
9 |
❌ No se admite la asignación de una directiva a un grupo de usuarios dinámicos si se excluyen grupos de dispositivos (tanto dinámicos como estáticos). |
10 |
❌ No se admite la asignación de una directiva a un grupo de usuarios dinámicos si se excluyen grupos de dispositivos (tanto dinámicos como estáticos). |
11 |
✅ Se admite la asignación de una directiva a un grupo de usuarios dinámico mientras se excluyen otros grupos de usuarios (tanto dinámicos como estáticos). |
12 |
✅ Se admite la asignación de una directiva a un grupo de usuarios dinámico mientras se excluyen otros grupos de usuarios (tanto dinámicos como estáticos). |
13 |
❌ No se admite la asignación de una directiva a un grupo de usuarios estáticos si se excluyen grupos de dispositivos (tanto dinámicos como estáticos). |
14 |
❌ No se admite la asignación de una directiva a un grupo de usuarios estáticos si se excluyen grupos de dispositivos (tanto dinámicos como estáticos). |
15 |
✅ Se admite la asignación de una directiva a un grupo de usuarios estático mientras se excluyen otros grupos de usuarios (tanto dinámicos como estáticos). |
16 |
✅ Se admite la asignación de una directiva a un grupo de usuarios estático mientras se excluyen otros grupos de usuarios (tanto dinámicos como estáticos). |
Artículos relacionados
Consulte Supervisar perfiles de dispositivo para obtener instrucciones sobre cómo supervisar las directivas y los dispositivos que las ejecutan.