Guía de planeamiento de Microsoft Intune
Una implementación o migración correcta de Microsoft Intune comienza con el planeamiento. Esta guía le ayuda a planear el traslado o la adopción de Intune como solución unificada de administración de puntos de conexión.
Intune ofrece a las organizaciones opciones para hacer lo mejor para ellos y los distintos dispositivos de usuario. Puede inscribir dispositivos en Intune para la administración de dispositivos móviles (MDM). También puede usar directivas de protección de aplicaciones para la administración de aplicaciones móviles (MAM) que se centran en la protección de datos de aplicaciones.
Esta guía:
- Listas y describe algunos objetivos comunes para la administración de dispositivos
- Listas posibles necesidades de licencia
- Proporciona instrucciones sobre el control de dispositivos de propiedad personal
- Recomienda revisar las directivas y la infraestructura actuales
- Proporciona ejemplos de creación de un plan de implementación
- Y más
Use esta guía para planear el traslado o la migración a Intune.
Sugerencia
- ¿Desea imprimir o guardar esta guía como PDF? En el explorador web, use la opción Imprimir , Guardar como PDF.
- Esta guía es una cosa viviente. Así pues, no dude en agregar o actualizar las sugerencias e instrucciones existentes que le hayan parecido útiles.
Paso 1: Determinación de los objetivos
Las organizaciones usan la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM) para controlar los datos de la organización de forma segura y con interrupciones mínimas para los usuarios. Al evaluar una solución MDM/MAM, como Microsoft Intune, examine cuál es el objetivo y lo que quiere lograr.
En esta sección, se describen los objetivos o escenarios comunes al usar Intune.
Objetivo: Acceder a las aplicaciones organizativas y al correo electrónico
Los usuarios esperan trabajar en dispositivos con aplicaciones de la organización, lo que incluye tareas como leer y responder correos electrónicos, actualizar y compartir datos, etc. En Intune, puede implementar diferentes tipos de aplicaciones, entre las que se incluyen las siguientes:
- Aplicaciones de Microsoft 365
- Aplicaciones Win32
- Aplicaciones de línea de negocio (LOB)
- Aplicaciones personalizadas
- Aplicaciones integradas
- Aplicaciones de la Tienda
✅ Tarea: Haga una lista de las aplicaciones que los usuarios usan con regularidad.
Estas aplicaciones son las que deben estar incluidas en sus dispositivos. Algunas consideraciones que hay que tener en cuenta:
Muchas organizaciones implementan todas las aplicaciones de Microsoft 365, como Word, Excel, OneNote, PowerPoint y Teams. En dispositivos más pequeños, como teléfonos móviles, puede instalar aplicaciones individuales, en función de los requisitos del usuario.
Por ejemplo, el equipo de ventas podría requerir Teams, Excel y SharePoint. En dispositivos móviles, solo puede implementar estas aplicaciones, en lugar de implementar toda la familia de productos de Microsoft 365.
Los usuarios prefieren leer & responder al correo electrónico y unirse a reuniones en todos los dispositivos, incluidos los dispositivos personales. En los dispositivos propiedad de la organización, puede implementar Outlook y Teams, y preconfigurar estas aplicaciones con la configuración de la organización.
En dispositivos personales, es posible que no tenga este control. Por lo tanto, determine si desea proporcionar a los usuarios acceso a aplicaciones de la organización, como el correo electrónico y las reuniones.
Para obtener más información y consideraciones, vaya a Dispositivos personales frente a dispositivos propiedad de la organización (en este artículo).
Si tiene previsto usar Microsoft Outlook en los dispositivos Android e iOS/iPadOS, puede preconfigurar Outlook mediante Intune directivas de configuración de aplicaciones.
Revise las aplicaciones protegidas diseñadas para trabajar con Intune. Estas aplicaciones son aplicaciones de asociado compatibles y aplicaciones de Microsoft que se usan normalmente con Microsoft Intune.
Objetivo: Proteger el acceso en todos los dispositivos
Cuando los datos se almacenan en dispositivos móviles, deben protegerse frente a actividades malintencionadas.
✅ Tarea: Determinar cómo desea proteger los dispositivos
Antivirus, análisis de malware, respuesta a amenazas y mantener los dispositivos actualizados son consideraciones importantes. También quiere minimizar el impacto de la actividad malintencionada.
Algunas consideraciones que hay que tener en cuenta:
Antivirus (AV) y protección contra malware son imprescindibles. Intune se integra con Microsoft Defender para punto de conexión y diferentes asociados de Mobile Threat Defense (MTD) para ayudar a proteger los dispositivos administrados, los dispositivos personales y las aplicaciones.
Microsoft Defender para punto de conexión incluye características de seguridad y un portal para supervisar las amenazas y reaccionar ante ellas.
Si un dispositivo está en peligro, quiere limitar el impacto malintencionado mediante el acceso condicional.
Por ejemplo, Microsoft Defender para punto de conexión examina un dispositivo y puede determinar si el dispositivo está en peligro. El acceso condicional puede bloquear automáticamente el acceso a la organización en este dispositivo, incluido el correo electrónico.
El acceso condicional ayuda a proteger la red y los recursos de los dispositivos, incluso los dispositivos que no están inscritos en Intune.
Actualice el dispositivo, el sistema operativo y las aplicaciones para ayudar a proteger los datos. Cree un plan en el que defina cómo y cuándo se instalan las actualizaciones. En Intune hay directivas que ayudan a administrar las actualizaciones, incluidas actualizaciones para aplicaciones de la tienda.
Las siguientes guías de planeación de actualizaciones de software pueden ayudarle a determinar la estrategia de actualización:
Determine cómo se autenticarán los usuarios en los recursos de la organización desde sus muchos dispositivos. Por ejemplo, puede:
Use certificados en dispositivos para autenticar características y aplicaciones, como conectarse a una red privada virtual (VPN), abrir Outlook y mucho más. Estos certificados permiten una experiencia de usuario sin contraseña. El acceso sin contraseña se considera más seguro que pedirles a los usuarios que escriban su nombre de usuario y contraseña de la organización.
Si tiene previsto usar certificados, use una infraestructura de infraestructura de clave pública (PKI) compatible para crear e implementar perfiles de certificado.
Use la autenticación multifactor (MFA) para una capa adicional de autenticación en dispositivos propiedad de la organización. También puede emplear MFA para autenticar aplicaciones en dispositivos personales. También se pueden usar biometrías, como el reconocimiento facial y las huellas digitales.
Si tiene previsto usar la biometría para la autenticación, asegúrese de que los dispositivos admiten biometría. La mayoría de los dispositivos modernos son compatibles con esta opción.
Implemente una implementación de Confianza cero. Con Confianza cero, usa las características de Microsoft Entra ID y Microsoft Intune para proteger todos los puntos de conexión, usa la autenticación sin contraseña, etc.
Configure las directivas de contención de datos que vienen con las aplicaciones de Microsoft 365. Estas directivas ayudan a evitar que los datos de la organización se compartan con otras aplicaciones y ubicaciones de almacenamiento que el departamento de TI no administra.
Si algunos usuarios solo necesitan acceso al correo electrónico y a los documentos corporativos, que es común para los dispositivos de propiedad personal, puede requerir que los usuarios usen aplicaciones de Microsoft 365 con directivas de protección de aplicaciones. Los dispositivos no tienen que inscribirse en Intune.
Para obtener más información y consideraciones, vaya a Dispositivos personales frente a dispositivos propiedad de la organización (en este artículo).
Objetivo: distribuir TI
Muchas organizaciones quieren dar a diferentes administradores control sobre ubicaciones, departamentos, etc. Por ejemplo, el grupo Administradores de TI de Charlotte controla y supervisa las directivas del campus de Charlotte. Los administradores de TI de Charlotte solo pueden ver y administrar las directivas de esta ubicación. No pueden ver ni administrar directivas de la ubicación de Redmond. Este enfoque se denomina TI distribuida.
En Intune, la TI distribuida se beneficia de las siguientes características:
Las etiquetas de ámbito usan el control de acceso basado en rol (RBAC). Por lo tanto, solo los usuarios de un grupo específico tienen permiso para administrar las directivas y los perfiles de los usuarios y los dispositivos del ámbito.
Cuando se usan categorías de inscripción de dispositivos, los dispositivos se agregan automáticamente a grupos en función de las categorías que cree. Esta característica usa Microsoft Entra grupos dinámicos y ayuda a facilitar la administración de dispositivos.
Cuando los usuarios inscriben su dispositivo, eligen una categoría, como Ventas, administrador de TI, dispositivo de punto de venta, etc. Cuando los dispositivos se agregan a una categoría, estos grupos de dispositivos están listos para recibir las directivas.
Cuando los administradores crean directivas, puede requerir la aprobación de varios administradores para directivas específicas, incluidas las directivas que ejecutan scripts o implementan aplicaciones.
Endpoint Privilege Management permite que el usuario no administrador estándar complete tareas que requieren privilegios elevados, como la instalación de aplicaciones y la actualización de controladores de dispositivos. Endpoint Privilege Management forma parte de Intune Suite.
✅ Tarea: Determine cómo desea distribuir las reglas y la configuración
Las reglas y la configuración se implementan mediante directivas diferentes. Algunas consideraciones que hay que tener en cuenta:
Determine la estructura de administración. Por ejemplo, es posible que quiera separar por ubicación, como administradores de TI de Charlotte o administradores de TI de Cambridge. Es posible que quiera separar por rol, como los administradores de red que controlan todo el acceso a la red, incluida la VPN.
Estas categorías se convierten en etiquetas de ámbito.
Para obtener más información sobre cómo crear grupos de administración, vaya a:
A veces, las organizaciones necesitan usar TI distribuida en sistemas en los que un gran número de administradores locales se conectan a un único inquilino Intune. Por ejemplo, una organización grande tiene un único inquilino Intune. La organización tiene un gran número de administradores locales y cada administrador administra un sistema, región o ubicación específicos. Cada administrador debe administrar solo su ubicación y no toda la organización.
Para obtener más información, vaya al entorno de TI distribuido con muchos administradores en el mismo inquilino de Intune.
Muchas organizaciones separan grupos por tipo de dispositivo, como dispositivos iOS/iPadOS, Android o Windows. Por ejemplo:
- Distribución de aplicaciones específicas en dispositivos específicos. Por ejemplo, implemente la aplicación de transporte de Microsoft en dispositivos móviles de la red redmond.
- Implementación de directivas en ubicaciones específicas. Por ejemplo, implemente un perfil de Wi-Fi en los dispositivos de la red de Charlotte para que se conecten automáticamente cuando estén en el intervalo.
- Control de la configuración de dispositivos específicos. Por ejemplo, deshabilite la cámara en dispositivos Android Enterprise usados en una planta de fabricación, cree un perfil de antivirus de Windows Defender para todos los dispositivos Windows o agregue la configuración de correo electrónico a todos los dispositivos iOS/iPadOS.
Estas categorías se convierten en las categorías de inscripción de dispositivos.
Objetivo: mantener los datos de la organización dentro de la organización
Los datos que se almacenan en los dispositivos móviles deben estar protegidos contra la pérdida accidental o el uso compartido. Este objetivo también incluye limpiar los datos de la organización de dispositivos personales y propiedad de la organización.
✅ Tarea: Cree un plan para cubrir diferentes escenarios que afectan a su organización.
Algunos escenarios de ejemplo:
Se produce la pérdida o el robo de un dispositivo, o bien deja de usarse. Un usuario deja la organización.
- En Intune, puede quitar dispositivos mediante el borrado, la retirada o la anulación manual de la inscripción. También puede quitar automáticamente los dispositivos que no se hayan registrado con Intune durante x días.
- En el nivel de la aplicación, puede quitar los datos de la organización de las aplicaciones administradas por Intune. La eliminación selectiva es ideal para los dispositivos personales, ya que conserva los datos personales en el dispositivo y solo quita los datos de la organización.
En los dispositivos personales, es posible que quiera impedir que los usuarios copien o peguen, realicen capturas de pantalla o reenvíen correos electrónicos. Las directivas de protección de aplicaciones pueden bloquear estas características en los dispositivos que no administra usted.
En los dispositivos administrados (inscritos en Intune), también puede controlar estas características mediante el uso de perfiles de configuración de dispositivos. Los perfiles de configuración de dispositivos controlan la configuración del dispositivo, no de la aplicación. En los dispositivos que acceden a datos altamente confidenciales, los perfiles de configuración de dispositivos pueden impedir realizar acciones de copiar y pegar, tomar capturas de pantalla, etc.
Para obtener más información y consideraciones, vaya a Dispositivos personales frente a dispositivos propiedad de la organización (en este artículo).
Paso 2: Inventario de los dispositivos
Las organizaciones tienen una amplia gama de dispositivos, como equipos de escritorio, portátiles, tabletas, escáneres portátiles y teléfonos móviles. Estos dispositivos pertenecen a la organización o son propiedad de los usuarios. Al planear la estrategia de administración de dispositivos, tenga en cuenta todo lo que accede a los recursos de la organización, incluidos los dispositivos personales.
Esta sección incluye la información del dispositivo que debe tener en cuenta.
Plataformas compatibles
Intune admite las plataformas de dispositivos comunes y populares. Para las versiones específicas, vaya a las plataformas admitidas.
✅ Tarea: Actualizar o reemplazar dispositivos antiguos
Si los dispositivos usan versiones no compatibles, que son principalmente sistemas operativos más antiguos, es el momento de actualizar el sistema operativo o reemplazar los dispositivos. Estos dispositivos y sistemas operativos antiguos pueden tener una compatibilidad limitada y suponen un riesgo de seguridad potencial. En esta tarea se incluyen los equipos de escritorio que ejecutan Windows 7, los dispositivos iPhone 7 que ejecutan el sistema operativo original de la versión 10.0, etc.
Dispositivos personales frente a dispositivos propiedad de la organización
En los dispositivos personales, es normal y se espera que los usuarios comprueben el correo electrónico, se unan a reuniones, actualicen archivos, etc. Muchas organizaciones permiten que los dispositivos personales accedan a los recursos de la organización.
Los dispositivos BYOD/personales forman parte de una estrategia de administración de aplicaciones móviles (MAM) que:
- Sigue creciendo en popularidad con muchas organizaciones
- Es una buena opción para las organizaciones que quieren proteger los datos de la organización, pero no quieren administrar todo el dispositivo.
- Reduce los costos de hardware.
- Puede aumentar las opciones de productividad móvil para los empleados, incluidos los trabajadores híbridos & remotos
- Solo quita los datos de la organización de las aplicaciones, en lugar de quitar todos los datos del dispositivo.
Los dispositivos propiedad de la organización forman parte de una estrategia de administración de dispositivos móviles (MDM) que:
- Proporciona control total a los administradores de TI de la organización
- Tiene un amplio conjunto de características que administra aplicaciones, dispositivos y usuarios
- Es una buena opción para las organizaciones que quieren administrar todo el dispositivo, incluido el hardware y el software.
- Puede aumentar los costos de hardware, especialmente si los dispositivos existentes están obsoletos o ya no se admiten
- Puede quitar todos los datos del dispositivo, incluidos los datos personales.
Como organización y como administrador, decide si se permiten dispositivos personales. Si permite dispositivos personales, debe tomar decisiones importantes, incluida la forma de proteger los datos de su organización.
✅ Tarea: Determinar cómo desea controlar los dispositivos personales
Si ser móvil o admitir trabajadores remotos es importante para su organización, tenga en cuenta los siguientes enfoques:
Opción 1: Permitir que los dispositivos personales accedan a los recursos de la organización. Los usuarios tienen la opción de inscribirse o no.
Para los usuarios que inscriben sus dispositivos personales, los administradores administran completamente estos dispositivos, incluidas las directivas de inserción, el control de las características del dispositivo & la configuración e incluso el borrado de dispositivos. Como administrador, es posible que quiera este control o que piense que desea este control.
Cuando los usuarios inscriben sus dispositivos personales, es posible que no se den cuenta o entiendan que los administradores pueden hacer cualquier cosa en el dispositivo, incluido el borrado o el restablecimiento accidental del dispositivo. Como administrador, es posible que no quiera esta responsabilidad o un posible impacto en los dispositivos que su organización no posee.
Además, muchos usuarios se niegan a inscribirse y pueden encontrar otras formas de acceder a los recursos de la organización. Por ejemplo, necesita que los dispositivos estén inscritos para usar la aplicación de Outlook y consultar el correo electrónico de la organización. Para omitir este requisito, los usuarios abren cualquier explorador web en el dispositivo e inician sesión en Outlook Web Access, que podría no ser lo que desea. También podrían realizar capturas de pantalla y guardar las imágenes en el dispositivo, algo que tal vez no le interese.
Si elige esta opción, asegúrese de informar a los usuarios sobre los riesgos y las ventajas de inscribir sus dispositivos personales.
Para los usuarios que no inscriben sus dispositivos personales, administra el acceso a la aplicación y protege los datos de la aplicación mediante directivas de protección de aplicaciones.
Use una declaración de términos y condiciones con una directiva de acceso condicional. Si los usuarios no la aceptan, no tendrán acceso a las aplicaciones. Si los usuarios aceptan la instrucción , se agrega un registro de dispositivo a Microsoft Entra ID y el dispositivo se convierte en una entidad conocida. Si el dispositivo es conocido, puede llevar un seguimiento de a qué recursos se accede desde el dispositivo.
Controle siempre el acceso y la seguridad mediante directivas de aplicación.
Examine las tareas que más usa su organización, como el correo electrónico y la unión a reuniones. Use directivas de configuración de aplicaciones para configurar opciones específicas de la aplicación, como Outlook. Use directivas de protección de aplicaciones para controlar la seguridad y el acceso a estas aplicaciones.
Por ejemplo, los usuarios pueden usar la aplicación de Outlook en su dispositivo personal para consultar el correo electrónico del trabajo. En Intune, los administradores crean una directiva de protección de aplicaciones de Outlook. Esta directiva usa la autenticación multifactor (MFA) cada vez que se abre la aplicación de Outlook, impide copiar y pegar y restringe otras características.
Opción 2: quiere que todos los dispositivos se administren completamente. En este escenario, todos los dispositivos están inscritos en Intune y administrados por la organización, incluidos los dispositivos personales.
Para ayudar a aplicar la inscripción, puede implementar una directiva de acceso condicional (CA) que requiera que los dispositivos se inscriban en Intune. En estos dispositivos, también puede:
- Configure una conexión WiFi/VPN para la conectividad de la organización e implemente estas directivas de conexión en los dispositivos. Los usuarios no necesitan especificar ninguna configuración.
- Si los usuarios necesitan aplicaciones específicas en su dispositivo, implemente las aplicaciones. También puede implementar aplicaciones que su organización necesita por motivos de seguridad, como una aplicación de defensa contra amenazas móviles.
- Use directivas de cumplimiento para establecer las reglas que debe seguir su organización, como las normativas o las directivas que llaman a controles MDM específicos. Por ejemplo, necesita Intune para cifrar todo el dispositivo o para generar un informe de todas las aplicaciones del dispositivo.
Si también quieres controlar el hardware, proporciona a los usuarios todos los dispositivos que necesitan, incluidos los teléfonos móviles. Invierta en un plan de actualización de hardware para que los usuarios sigan siendo productivos y obtengan las características de seguridad integradas más recientes. Inscriba en Intune estos dispositivos propiedad de la organización y adminístrelos mediante directivas.
Se recomienda que siempre dé por supuesto que habrá datos que salgan del dispositivo. Asegúrese de contar con métodos de seguimiento y auditoría. Para obtener más información, consulte Confianza cero con Microsoft Intune.
Administración de equipos de escritorio
Intune puede administrar equipos de escritorio que ejecutan Windows 10 y versiones más recientes. El sistema operativo cliente de Windows incluye características de administración de dispositivos modernas integradas y quita las dependencias de la directiva de grupo de Active Directory local (AD). Obtendrá las ventajas de la nube al crear reglas y configuraciones en Intune, e implementar estas directivas en todos los dispositivos cliente Windows, incluidos equipos de escritorio y PC.
Para obtener más información, vaya a Escenario guiado: Escritorio moderno administrado en la nube.
Si los dispositivos Windows se administran actualmente mediante Administrador de configuración, todavía puede inscribir estos dispositivos en Intune. Este enfoque se denomina administración conjunta. La administración conjunta ofrece muchas ventajas, como ejecutar acciones remotas en el dispositivo (reinicio, control remoto, restablecimiento de fábrica), acceso condicional con cumplimiento del dispositivo, etc. También puede asociar a la nube los dispositivos en Intune.
Para obtener más información, vaya a:
- ¿Qué es la administración conjunta?
- Caminos para la administración conjunta
- Configuration Manager asociación de inquilinos
✅ Tarea: Examine lo que usa actualmente para la administración de dispositivos móviles.
La adopción de una administración de dispositivos móviles puede depender de lo que su organización usa actualmente, incluido si esa solución usa características o programas locales.
La guía de implementación de configuración contiene información útil.
Algunas consideraciones que hay que tener en cuenta:
Si actualmente no usa ningún servicio o solución MDM, es posible que sea mejor ir directamente a Intune.
Si actualmente usa objetos de directiva de grupo locales (GPO), ir a Intune y usar el catálogo de configuración de Intune es similar y puede ser una transición más fácil a la directiva de dispositivos basada en la nube. El catálogo de configuración también incluye la configuración para dispositivos Apple y Google Chrome.
En el caso de los nuevos dispositivos no inscritos en Configuration Manager o en cualquier solución MDM, es posible que sea mejor ir directamente a Intune.
Si actualmente usa Configuration Manager, dispone de las opciones siguientes:
- Si quiere conservar la infraestructura existente y trasladar algunas cargas de trabajo a la nube, use la administración conjunta. Obtendrá las ventajas de ambos servicios. Los dispositivos existentes pueden recibir algunas directivas de Configuration Manager (local) y otras directivas de Intune (nube).
- Si quiere conservar la infraestructura existente y usar Intune para ayudar a supervisar los dispositivos locales, use la asociación de inquilinos. Obtendrá la ventaja de usar el centro de administración de Intune, mientras sigue usando Configuration Manager para administrar dispositivos.
- Si quiere una solución en la nube pura para administrar los dispositivos, trasládese a Intune. Algunos usuarios Configuration Manager prefieren seguir usando Configuration Manager con la asociación o administración conjunta de inquilinos.
Para obtener más información, vaya a Cargas de trabajo de administración conjunta.
Dispositivos de frontline worker (FLW)
Las tabletas y dispositivos compartidos son comunes para los trabajadores de primera línea (FLW). Se usan en muchos sectores, como el comercio minorista, el sector sanitario, la fabricación y mucho más.
Hay opciones disponibles para las distintas plataformas, como dispositivos de realidad virtual Android (AOSP), dispositivos iPad y equipos Windows 365 en la nube.
✅ Tarea: Determinación de los escenarios de FLW
Los dispositivos FLW son propiedad de la organización, están inscritos en la administración de dispositivos y los usan un usuario (asignado por el usuario) o muchos usuarios (dispositivos compartidos). Estos dispositivos son fundamentales para que los trabajadores de primera línea realicen su trabajo y, a menudo, se usan en un modo de uso limitado. Por ejemplo, puede ser un dispositivo que examina elementos, un quiosco que muestra información o una tableta que revisa a los pacientes en un hospital o centro médico.
Para obtener más información, vaya a Administración de dispositivos de trabajo de primera línea en Microsoft Intune.
Paso 3: Determinación de costos y licencias
La administración de dispositivos consiste en una relación con diversos servicios. Intune incluye opciones de configuración y características que puede controlar en distintos dispositivos. También hay otros servicios que desempeñan un papel fundamental:
Microsoft Entra ID P1 o P2 (incluidos en la licencia de Microsoft 365 E5) incluye varias características clave para administrar dispositivos, entre las que se incluyen:
- Windows Autopilot: los dispositivos cliente de Windows pueden inscribirse automáticamente en Intune y recibir automáticamente las directivas.
- Autenticación multifactor (MFA): los usuarios deben especificar dos o más métodos de verificación, como un PIN, una aplicación autenticadora, una huella digital y mucho más. MFA es una excelente opción al usar directivas de protección de aplicaciones para dispositivos personales y dispositivos propiedad de la organización que requieren seguridad adicional.
- Acceso condicional: si los usuarios y dispositivos siguen las reglas, como un código de acceso de 6 dígitos, obtienen acceso a los recursos de la organización. En caso de que no las cumplan, no podrán acceder.
- Grupos de usuarios dinámicos y grupos de dispositivos dinámicos: agregue usuarios o dispositivos automáticamente a grupos cuando cumplan los criterios, como una ciudad, un puesto de trabajo, un tipo de sistema operativo, una versión del sistema operativo, etc.
Las aplicaciones de Microsoft 365 (incluidas en la licencia de Microsoft 365 E5) incluyen las aplicaciones en las que los usuarios confían, como Outlook, Word, SharePoint, Teams, OneDrive, etc. Puede implementar estas aplicaciones en los dispositivos mediante Intune.
Microsoft Defender para punto de conexión (incluido en la licencia de Microsoft 365 E5) ayuda a supervisar y examinar los dispositivos cliente windows en busca de actividad malintencionada. También puede establecer un nivel de amenaza aceptable. Cuando se combina con el acceso condicional, puede bloquear el acceso a los recursos de la organización si se supera el nivel de amenaza.
Microsoft Purview (incluido en la licencia de Microsoft 365 E5) clasifica y protege documentos y correos electrónicos mediante la aplicación de etiquetas. En las aplicaciones de Microsoft 365, puede usar este servicio para evitar el acceso no autorizado a los datos de la organización, incluidas las aplicaciones en dispositivos personales.
Microsoft Copilot en Intune es una herramienta de análisis de seguridad de IA generativa. Accede a los datos de Intune y puede ayudarle a administrar las directivas y la configuración, comprender su posición de seguridad y solucionar problemas del dispositivo.
Copilot en Intune tiene licencia a través de Microsoft Copilot de seguridad. Para obtener más información, vaya a Introducción a Microsoft Copilot para la seguridad.
Intune Suite proporciona características avanzadas de seguridad y administración de puntos de conexión, como ayuda remota, PKI en la nube de Microsoft, administración de privilegios de punto de conexión, etc. El Intune Suite está disponible como una licencia independiente.
Para obtener más información, vaya a:
- Licencias de Microsoft Intune
- Microsoft 365 para empresas
- Licencias empresariales de Microsoft 365
- Microsoft Intune Suite
✅ Tarea: Determinar los servicios con licencia que necesita su organización
Algunas consideraciones que hay que tener en cuenta:
Si el objetivo es implementar directivas (reglas) y perfiles (configuración), sin ninguna aplicación, como mínimo, necesitará lo siguiente:
- Intune
Intune está disponible con distintas suscripciones, e incluso como servicio independiente. Para obtener más información, vaya a Microsoft Intune licencias.
Actualmente usa Configuration Manager y quiere configurar la administración conjunta de sus dispositivos. Intune ya está incluido en la licencia de Configuration Manager. Si desea que Intune administre completamente los dispositivos nuevos o los dispositivos administrados conjuntamente existentes, necesita una licencia de Intune independiente.
Quiere aplicar las reglas de cumplimiento o de contraseña que cree en Intune. Como mínimo, necesita:
- Intune
- Microsoft Entra ID P1 o P2
Intune y Microsoft Entra ID P1 o P2 están disponibles con Enterprise Mobility + Security. Para obtener más información, vaya a Enterprise Mobility + Security opciones de precios.
Solo quiere administrar aplicaciones de Microsoft 365 en dispositivos. Como mínimo, necesita:
- Microsoft 365 Básico movilidad y seguridad
Para obtener más información, vaya a:
Quiere implementar aplicaciones de Microsoft 365 en los dispositivos y crear directivas para ayudar a proteger los dispositivos que ejecutan estas aplicaciones. Como mínimo, necesita:
- Intune
- Aplicaciones de Microsoft 365
Quiere crear directivas en Intune, implementar aplicaciones de Microsoft 365 y aplicar las reglas y la configuración. Como mínimo, necesita:
- Intune
- Aplicaciones de Microsoft 365
- Microsoft Entra ID P1 o P2
Dado que todos estos servicios se incluyen en algunos planes de Microsoft 365, es posible que resulte rentable usar la licencia de Microsoft 365. Para obtener más información, vaya a Planes de licencias de Microsoft 365.
Paso 4: Revisión de las directivas e infraestructura existentes
Muchas organizaciones tienen una infraestructura de administración de dispositivos y directivas que simplemente se mantiene. Por ejemplo, podría tener directivas de grupo de 20 años de antigüedad, pero no saber lo que hacen. Al considerar la posibilidad de migrar a la nube, en lugar de centrarse en lo que ha hecho siempre, determine cuáles son sus objetivos.
Teniendo en cuenta estos objetivos, cree una línea base para las directivas. Si tiene varias soluciones de administración de dispositivos, ahora podría ser el momento de usar un único servicio de administración de dispositivos móviles.
✅ Tarea: Examine las tareas que ejecuta en el entorno local.
Esta tarea incluye examinar los servicios que podrían moverse a la nube. Recuerde que, en lugar de centrarse en lo que ha hecho siempre, debe determinar cuáles son sus objetivos.
Sugerencia
Más información sobre los puntos de conexión nativos de la nube es un buen recurso.
Algunas consideraciones que hay que tener en cuenta:
Revise las directivas existentes y su estructura. Algunas directivas se pueden aplicar globalmente, otras se aplican en el nivel de sitio y otras son específicas de un dispositivo. El objetivo consiste en conocer y comprender la intención de las directivas globales, de las directivas locales, etc.
Las directivas de grupo de Active Directory locales se aplican en el orden LSDOU: local, sitio, dominio y unidad organizativa (OU). En esta jerarquía, las directivas de UO sobrescriben a las directivas locales, las de dominio sobrescriben a las de sitio, y así sucesivamente.
En Intune, las directivas se aplican a los usuarios y a los grupos que se crean. No existe ninguna jerarquía. Si dos directivas actualizan el mismo valor, este se muestra como un conflicto. Para obtener más información sobre el comportamiento de los conflictos, vaya a Preguntas comunes, problemas y soluciones con directivas y perfiles de dispositivo.
Después de revisar las directivas, las directivas globales de AD comienzan a aplicarse lógicamente a los grupos que tiene o a los grupos que necesita. Estos grupos incluyen usuarios y dispositivos a los que quiere dirigirse a nivel global, nivel de sitio, etc. Esta tarea le ofrece una idea de la estructura de grupo que necesita en Intune. Las recomendaciones de rendimiento para la agrupación, la segmentación y el filtrado en entornos de Microsoft Intune grandes podrían ser un buen recurso.
Esté preparado para crear nuevas directivas en Intune. Intune incluye varias características que abarcan escenarios que pueden interesarle. Por ejemplo:
Líneas base de seguridad: en los dispositivos cliente Windows, las líneas base de seguridad son valores de seguridad preconfigurados para los valores recomendados. Si no está familiarizado con la protección de dispositivos o quiere una línea base completa, examine las líneas base de seguridad.
La información de configuración proporciona confianza en las configuraciones agregando información que organizaciones similares adoptaron correctamente. Las conclusiones están disponibles para algunas opciones de configuración y no para todas. Para obtener más información, consulte Información de configuración.
Catálogo de configuración: en los dispositivos cliente de Apple y Windows, el catálogo de opciones muestra todas las opciones que puede configurar y tiene un aspecto similar al de los GPO locales. Cuando se crea la directiva, se empieza desde cero y se configuran los valores en un nivel pormenorizada.
Plantillas administrativas (ADMX): en dispositivos cliente Windows, use plantillas ADMX para configurar las opciones de directiva de grupo para Windows, Internet Explorer, Office y Microsoft Edge, versión 77 y posteriores. Estas plantillas ADMX son las mismas plantillas ADMX que se usan en la directiva de grupo de AD local, pero están 100 % basadas en la nube en Intune.
Directiva de grupo: useanálisis de directivas de grupo para importar y analizar los GPO. Esta característica ayuda a determinar cómo se traducen los GPO en la nube. La salida muestra qué valores se admiten en los proveedores de MDM, incluido Microsoft Intune. También se muestra cualquier configuración en desuso o la configuración que no está disponible para los proveedores de MDM.
También puede crear una directiva de Intune basada en la configuración importada. Para obtener más información, vaya a Creación de una directiva de catálogo de configuración mediante los GPO importados.
Escenarios guiados: escenarios guiados son una serie personalizada de pasos centrados en casos de uso de un extremo a otro. Estos escenarios incluyen automáticamente directivas, aplicaciones, asignaciones y otras configuraciones de administración.
Cree una línea base de directiva que incluya el mínimo de sus objetivos. Por ejemplo:
Correo electrónico seguro: como mínimo, es posible que quiera:
- Crear directivas de protección de aplicaciones de Outlook.
- Habilite el acceso condicional para Exchange Online o conéctese a otra solución de correo electrónico local.
Configuración del dispositivo: como mínimo, es posible que quieras:
- Requerir un PIN de seis caracteres para desbloquear el dispositivo.
- Evite copias de seguridad en servicios en la nube personales, como iCloud o OneDrive.
Perfiles de dispositivo: como mínimo, es posible que quiera:
- Crear un perfil de Wi-Fi con la configuración predeterminada para conectarse a la red inalámbrica Contoso Wi-Fi.
- Crear un perfil de VPN con un certificado para autenticarse automáticamente y conectarse a una VPN de la organización.
- Cree un perfil de correo electrónico con la configuración preconfigurada que se conecta a Outlook.
Aplicaciones: como mínimo, es posible que quieras:
- Implemente aplicaciones de Microsoft 365 con directivas de protección de aplicaciones.
- Implementar una línea de negocio (LOB) con directivas de protección de aplicaciones.
Para obtener más información sobre la configuración mínima recomendada, vaya a:
Revise la estructura actual de los grupos. En Intune, puede crear y asignar directivas a grupos de usuarios, grupos de dispositivos y grupos dinámicos de usuarios y dispositivos (requiere Microsoft Entra ID P1 o P2).
Al crear grupos en la nube, como Intune o Microsoft 365, los grupos se crean en Microsoft Entra ID. Es posible que no vea la personalización de marca Microsoft Entra ID, pero eso es lo que está usando.
Crear nuevos grupos puede ser una tarea fácil. Se pueden crear en el centro de administración de Microsoft Intune. Para obtener más información, vaya a Agregar grupos para organizar usuarios y dispositivos.
Mover listas de distribución existentes (DL) a Microsoft Entra ID podría ser más difícil. Una vez que se encuentran en Microsoft Entra ID, estos grupos están disponibles para Intune y Microsoft 365. Para obtener más información, vaya a:
Si ya tiene grupos de Office 365, puede pasar a usar Microsoft 365. Los grupos existentes permanecen y obtiene todas las características y servicios de Microsoft 365. Para obtener más información, vaya a:
Si tiene varias soluciones de administración de dispositivos, vaya a una única solución de administración de dispositivos móviles. Se recomienda usar Intune para ayudar a proteger los datos de la organización en aplicaciones y dispositivos.
Para obtener más información, vaya a Microsoft Intune administra identidades de forma segura, administra aplicaciones y administra dispositivos.
Paso 5: Creación de un plan de implementación
La siguiente tarea consiste en planear el modo y el momento en que los usuarios y los dispositivos recibirán las directivas. En esta tarea, tenga en cuenta también las siguientes consideraciones:
- Defina los objetivos y las métricas de éxito. Use estos puntos de datos para crear otras fases de lanzamiento. Asegurarse de que los objetivos sean específicos, mensurables, alcanzables, realistas y oportunos (SMART, Specific, Measurable, Attainable, Realistic, and Timely). Planee la medición en relación con los objetivos en cada fase para que el proyecto de lanzamiento se mantenga encarrilado.
- Tenga objetivos claramente definidos. Inclúyalos en todas las actividades de difusión y aprendizaje para que los usuarios entiendan por qué la organización ha elegido Intune.
✅ Tarea: Crear un plan para implementar las directivas
Además, elija cómo los usuarios inscriben sus dispositivos en Intune. Algunas consideraciones que hay que tener en cuenta:
Implemente las directivas en fases. Por ejemplo:
Empiece con un grupo piloto o de prueba. Estos grupos deben saber que son los primeros usuarios y estar dispuestos a proporcionar comentarios. Use estos comentarios para mejorar la configuración, la documentación y las notificaciones y para facilitar el proceso a los usuarios en un lanzamiento futuro. Estos usuarios no deben ser ejecutivos ni personas VIP.
Después de las pruebas iniciales, agregue más usuarios al grupo piloto. También puede crear más grupos piloto que se centren en un lanzamiento diferente, por ejemplo:
Departamentos: cada departamento puede ser una fase de implementación. Puede centrarse en un departamento completo a la vez. En este lanzamiento, los usuarios de cada departamento podrían usar el dispositivo de la misma forma y acceder a las mismas aplicaciones. Los usuarios probablemente tendrán los mismos tipos de directivas.
Geografía: implemente las directivas para todos los usuarios de una geografía específica, ya sea el mismo continente, país o región o el mismo edificio de la organización. Este lanzamiento le permite centrarse en la ubicación específica de los usuarios. Podría proporcionar un entorno de Windows Autopilot para un enfoque de implementación previamente aprovisionado, ya que el número de ubicaciones que implementan Intune al mismo tiempo es menor. Es posible que existan departamentos o casos de uso diferentes en la misma ubicación. Por lo tanto, podría probar diferentes casos de uso al mismo tiempo.
Plataforma: esta implementación implementa plataformas similares al mismo tiempo. Por ejemplo, podría implementar directivas en todos los dispositivos iOS/iPadOS en febrero, en todos los dispositivos Android en marzo y en todos los dispositivos Windows en abril. Este enfoque permitiría simplificar las solicitudes de ayuda al departamento de soporte técnico, ya que solo admiten una plataforma a la vez.
Con un enfoque por fases, puede recibir comentarios de tipos de usuarios muy diferentes.
Tras una prueba piloto correcta, ya está listo para iniciar un lanzamiento de producción completo. El ejemplo siguiente consiste en un plan de lanzamiento de Intune que incluye grupos de destino y escalas de tiempo:
Fase de implementación Julio Agosto Septiembre Octubre Piloto limitado TI (50 usuarios) Piloto expandido TI (200 usuarios), ejecutivos de TI (10 usuarios) Fase de implementación de producción 1 Ventas y marketing (2000 usuarios) Fase de implementación de producción 2 Minorista (1000 usuarios) Fase de implementación de producción 3 Recursos humanos (50 usuarios), Finanzas (40 usuarios), Ejecutivos (30 usuarios) Esta plantilla también está disponible para la descarga en Planeamiento, diseño e implementación de Intune: plantillas de tabla.
Elija cómo inscribirán los usuarios sus dispositivos personales y propiedad de la organización. Hay varios métodos de inscripción, entre los que se incluyen los siguientes:
- Autoservicio de usuario: los usuarios inscriben sus propios dispositivos siguiendo los pasos proporcionados por su organización de TI. Este método es el que más se usa y es más escalable que la inscripción asistida por el usuario.
- Inscripción asistida por el usuario: en este enfoque de implementación aprovisionada previamente, un miembro de TI ayuda a los usuarios a través del proceso de inscripción, en persona o mediante Teams. Este método se usa normalmente con personal ejecutivo y otros grupos que pueden necesitar más ayuda.
- Feria de la industria tecnológica de TI: en este evento, el grupo de TI configura una cabina de asistencia para la inscripción de Intune. Aquí, los usuarios reciben información sobre la inscripción de Intune, realizan preguntas y obtienen ayuda para inscribir los dispositivos. Esta opción resulta beneficiosa para los usuarios y el departamento de TI, sobre todo durante las primeras fases del lanzamiento de Intune.
En el ejemplo siguiente se incluyen los métodos de inscripción:
Fase de implementación Julio Agosto Septiembre Octubre Piloto limitado Autoservicio TI Piloto expandido Autoservicio TI Previamente aprovisionado Ejecutivos de TI Fase de implementación de producción 1 Ventas, Marketing Autoservicio Ventas y marketing Fase de implementación de producción 2 Venta minorista Autoservicio Venta minorista Fase de implementación de producción 3 Ejecutivos, recursos humanos, finanzas Autoservicio Recursos humanos, finanzas Previamente aprovisionado Ejecutivos Para obtener más información sobre los distintos métodos de inscripción para cada plataforma, vaya a Guía de implementación: Inscribir dispositivos en Microsoft Intune.
Paso 6: Comunicar cambios
La administración de los cambios se basa en comunicaciones claras y útiles sobre los cambios futuros. La idea es tener una implementación de Intune sin problemas y hacer que los usuarios conozcan los cambios & cualquier interrupción.
✅ Tarea: El plan de comunicación de lanzamiento debe incluir información importante
Esta información debe incluir cómo notificar a los usuarios y cuándo comunicarse. Algunas consideraciones que hay que tener en cuenta:
Determine qué información se va a comunicar. Comuníquese en fases con los grupos y usuarios, comenzando con una puesta en marcha del lanzamiento de Intune, seguida de una inscripción previa y una posterior:
fase de puesta en marcha: comunicación amplia que presenta el proyecto de Intune. Debe responder a preguntas clave, como:
- ¿Qué es Intune?
- ¿Por qué la organización usa Intune? (Deben incluirse las ventajas para la organización y los usuarios).
- Proporcione un plan de alto nivel para la implementación y el lanzamiento.
- Si no se permiten los dispositivos personales a menos que los dispositivos estén inscritos, explique por qué tomó la decisión.
Fase de preinscripción: comunicación amplia que incluye información sobre Intune y otros servicios (como Office, Outlook y OneDrive), recursos de usuario y escalas de tiempo específicas cuando los usuarios y grupos se inscribirán en Intune.
Fase de inscripción: la comunicación se dirige a los usuarios y grupos de la organización que están programados para inscribirse en Intune. Debe informar a los usuarios de que están listos para inscribirse, incluir pasos de inscripción y con quién ponerse en contacto para obtener ayuda y preguntas.
Fase posterior a la inscripción: la comunicación se dirige a los usuarios y grupos de la organización inscritos en Intune. Debe proporcionar más recursos que podrían ser útiles para los usuarios y recopilar comentarios sobre su experiencia durante y después de la inscripción.
Elija cómo comunicar Intune información de lanzamiento a los grupos y usuarios de destino. Por ejemplo:
Cree una reunión presencial de toda la organización o use Microsoft Teams.
Cree un correo electrónico para la inscripción previa, otro para la inscripción y otro para la inscripción posterior. Por ejemplo:
- Correo electrónico 1: explique las ventajas, las expectativas y la programación. Aproveche la ocasión para mostrar otros servicios a los que se concede acceso en los dispositivos administrados por Intune.
- Correo electrónico 2: anuncie que ahora hay servicios listos para su acceso a través de Intune. Indique a los usuarios que se inscriban ahora. Proporcione a los usuarios una escala de tiempo antes de que su acceso se vea afectado. Recuerde a los usuarios las ventajas y las razones estratégicas para la migración.
Use un sitio web de la organización en el que se expliquen las fases de lanzamiento, lo que los usuarios pueden esperar y con quién deben ponerse en contacto para obtener ayuda.
Cree pósteres, use plataformas de medios sociales de la organización (como Microsoft Viva Engage) o distribuya folletos para anunciar la fase de preinscripción.
Cree una escala de tiempo que incluya cuándo y quién. Las primeras comunicaciones de puesta en marcha de Intune pueden dirigirse a toda la organización o solo a un subconjunto. Pueden prolongarse varias semanas antes de que comience el lanzamiento de Intune. Después de esto, la información puede comunicarse en fases a los usuarios y los grupos, y adaptarse a la programación de lanzamiento de Intune.
El ejemplo siguiente es un plan de comunicaciones de lanzamiento de Intune de alto nivel:
Plan de comunicación Julio Agosto Septiembre Octubre Fase 1 Todo Reunión de puesta en marcha Primera semana Fase 2 TI Ventas y marketing Venta minorista Recursos humanos, finanzas y ejecutivos Correo electrónico de implementación previa 1 Primera semana Primera semana Primera semana Primera semana Fase 3 TI Ventas y marketing Venta minorista Recursos humanos, finanzas y ejecutivos Correo electrónico de implementación previa 2 Segunda semana Segunda semana Segunda semana Segunda semana Fase 4 TI Ventas y marketing Venta minorista Recursos humanos, finanzas y ejecutivos Correo electrónico de inscripción Tercera semana Tercera semana Tercera semana Tercera semana Fase 5 TI Ventas y marketing Venta minorista Recursos humanos, finanzas y ejecutivos Correo electrónico de inscripción posterior Cuarta semana Cuarta semana Cuarta semana Cuarta semana
Paso 7: Soporte técnico y usuarios finales
Incluya al departamento de soporte técnico de TI en las primeras fases de los esfuerzos piloto y el planeamiento de la implementación de Intune. La implicación temprana ayuda a los miembros del departamento a familiarizarse con Intune, lo que les permitirá obtener conocimientos y experiencia para identificar y resolver problemas de forma más eficaz. Además, los prepara para prestar asistencia durante todo el proceso de lanzamiento en producción dentro de la organización. Los equipos de soporte técnico y de asistencia experimentados son de gran ayuda para que los usuarios adopten estos cambios.
✅ Tarea: Entrenamiento de los equipos de soporte técnico
Validar la experiencia del usuario final con métricas de éxito en el plan de implementación. Algunas consideraciones que hay que tener en cuenta:
Determine quién admitirá a los usuarios finales. Las organizaciones pueden tener niveles o niveles diferentes (1-3). Por ejemplo, los niveles 1 y 2 pueden formar parte del equipo de soporte técnico. mientras que el nivel 3 puede incluir miembros del equipo de MDM responsable de la implementación de Intune.
El nivel 1 suele ser el primer nivel de soporte técnico y el primero con el que los usuarios se ponen en contacto. Si el nivel 1 no es capaz de resolver el problema, lo deriva al nivel 2. El nivel 2 lo derivará al nivel 3 si es necesario. El soporte técnico de Microsoft puede considerarse como nivel 4.
- En las fases iniciales de lanzamiento, asegúrese de que todos los niveles del equipo de soporte técnico documenten los problemas y las soluciones. Busque patrones y ajuste las comunicaciones para la siguiente fase de lanzamiento. Por ejemplo:
- Si distintos usuarios o grupos tienen dudas sobre la inscripción de sus dispositivos personales, considere la posibilidad de realizar una llamada de Teams para responder a las preguntas más habituales.
- Si los usuarios tienen los mismos problemas al inscribir dispositivos propiedad de la organización, organice un evento presencial para ayudar a los usuarios a inscribir los dispositivos.
- En las fases iniciales de lanzamiento, asegúrese de que todos los niveles del equipo de soporte técnico documenten los problemas y las soluciones. Busque patrones y ajuste las comunicaciones para la siguiente fase de lanzamiento. Por ejemplo:
Cree un flujo de trabajo del departamento de soporte técnico y comunique constantemente problemas de soporte técnico, tendencias y otra información importante a todos los niveles del equipo de soporte técnico. Por ejemplo, puede celebrar reuniones diarias o semanales a través de Teams para que todos los niveles sean conscientes de las tendencias y los patrones y puedan obtener ayuda.
En el ejemplo siguiente se muestra la manera en que Contoso implementa los flujos de trabajo de su departamento de soporte técnico de TI:
- El usuario final se pone en contacto con el nivel 1 del departamento de soporte técnico de TI con un problema de inscripción.
- El nivel 1 del departamento de soporte técnico de TI no puede determinar la causa principal y lo escala al nivel 2.
- El nivel 2 del departamento de soporte técnico de TI investiga el asunto. El nivel 2 no puede resolver el problema, de modo que lo deriva al nivel 3 y proporciona información adicional para ayudar.
- El nivel 3 del departamento de soporte técnico de TI investiga el problema, determina la causa principal y comunica la solución a los niveles 2 y 1.
- Después, el nivel 1 del departamento de soporte técnico de TI se pone en contacto con los usuarios y resuelve el problema.
Este método, especialmente en las primeras fases del lanzamiento de Intune, aporta muchas ventajas, como las siguientes:
- Ayuda para aprender la tecnología
- Identificación rápida de problemas y resolución
- Mejora de la experiencia general del usuario
Entrene al departamento de soporte técnico y a los equipos de soporte técnico. Pídales que inscriban dispositivos que ejecuten las distintas plataformas que se usan en su organización para que estén familiarizados con el proceso. Considere la posibilidad de usar los equipos de soporte técnico como grupo piloto para los escenarios.
Hay recursos de entrenamiento disponibles, como vídeos de YouTube, tutoriales de Microsoft sobre escenarios de Windows Autopilot, cumplimiento, configuración y cursos a través de asociados de entrenamiento.
A continuación se muestra un ejemplo de un programa de aprendizaje de soporte técnico de Intune:
- Revisión de un plan de soporte técnico de Intune
- Información general de Intune
- Solucionar los problemas comunes
- Herramientas y recursos
- Preguntas y respuestas
El foro de Intune basado en la comunidad y la documentación del usuario final también son excelentes recursos.