Comparteix a través de


Uso de directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune

Las directivas de cumplimiento de Microsoft Intune son conjuntos de reglas y condiciones que se usan para evaluar la configuración de los dispositivos administrados. Estas directivas pueden ayudarle a proteger los datos y recursos de la organización desde dispositivos que no cumplen esos requisitos de configuración. Los dispositivos administrados deben cumplir las condiciones establecidas en las directivas para que Intune las considere compatibles.

Si también integra los resultados de cumplimiento de las directivas con el acceso condicional de Microsoft Entra, puede beneficiarse de una capa adicional de seguridad. El acceso condicional puede aplicar controles de acceso de Microsoft Entra en función del estado de cumplimiento actual de los dispositivos para ayudar a garantizar que solo los dispositivos conformes puedan acceder a los recursos corporativos.

Las directivas de cumplimiento de Intune se dividen en dos áreas:

  • La configuración de directivas de cumplimiento son configuraciones de todo el inquilino que actúan como una directiva de cumplimiento integrada que recibe cada dispositivo. La configuración de directivas de cumplimiento establece cómo funciona la directiva de cumplimiento en el entorno de Intune, incluido cómo tratar los dispositivos a los que no se asigna una directiva de cumplimiento explícita de dispositivos.

  • Las directivas de cumplimiento de dispositivos son conjuntos discretos de reglas y configuraciones específicas de la plataforma que se implementan en grupos de usuarios o dispositivos. Los dispositivos evalúan las reglas de la directiva para notificar el estado de cumplimiento de un dispositivo. Un estado no conforme puede dar lugar a una o varias acciones por incumplimiento. Las directivas de acceso condicional de Microsoft Entra también pueden usar ese estado para bloquear el acceso a los recursos de la organización desde ese dispositivo.

Configuración de directiva de cumplimiento

La configuración de directivas de cumplimiento es una configuración para todo el inquilino que determina cómo el servicio de cumplimiento de Intune interactúa con los dispositivos. Esta configuración es distinta de la que se configura en una directiva de cumplimiento de dispositivos.

Para administrar la configuración de la directiva de cumplimiento, inicie sesión en el Centro de administración de Microsoft Intune y vaya a Configuración de directiva decumplimiento> de dispositivos de seguridad>de punto de conexión.

La configuración de directivas de cumplimiento incluye las configuraciones siguientes:

  • Marcar los dispositivos que no tienen asignada una directiva de cumplimiento como

    Esta configuración determina cómo Intune trata los dispositivos a los que no se les asigna una directiva de cumplimiento de dispositivos. Esta configuración tiene dos valores:

    • Compatible (predeterminado): esta característica de seguridad está desactivada. Los dispositivos a los que no se les envía una directiva de cumplimiento de dispositivos se consideran compatibles.
    • No compatible: esta característica de seguridad está activada. Los dispositivos sin una directiva de cumplimiento de dispositivos se consideran no conformes.

    Si usa el acceso condicional con las directivas de cumplimiento de dispositivos, cambie esta configuración a No compatible para asegurarse de que solo los dispositivos que se confirmen como compatibles puedan acceder a los recursos.

    Si un usuario final no es compatible porque no se le ha asignado ninguna directiva, la aplicación Portal de empresa muestra que no se han asignado directivas de cumplimiento.

  • Período de validez del estado de cumplimiento (días)

    Especifique un período en el que los dispositivos deben notificar correctamente todas las directivas de cumplimiento recibidas. Si un dispositivo no puede informar su estado de cumplimiento con respecto a una directiva antes de que expire el período de validez, el dispositivo se considerará como no compatible.

    De manera predeterminada, el período se establece en 30 días. Puede configurar un período de entre 1 y 120 días.

    Puede ver detalles sobre el cumplimiento de un dispositivo con la configuración del período de validez. Inicie sesión en el Centro de administración de Microsoft Intune y vaya a Cumplimiento dela configuración deMonitor> de dispositivos>. Esta configuración tiene el nombre Is active (Activo) en la columna Configuración. Para más información sobre esta vista de estado de cumplimiento y vistas de estados de cumplimiento relacionadas, consulte Supervisión del cumplimiento de dispositivos.

Directivas de cumplimiento de dispositivos

Las directivas de cumplimiento de dispositivos de Intune son conjuntos discretos de reglas y configuraciones específicas de la plataforma que se implementan en grupos de usuarios o dispositivos. Use directivas de cumplimiento para:

  • Definen las reglas y la configuración que los usuarios y los dispositivos administrados deben cumplir para ser compatibles. Entre los ejemplos de reglas se incluyen la necesidad de que los dispositivos ejecuten una versión mínima del sistema operativo, que no se rompa o se enragrega y que estén en un nivel de amenaza especificado por el software de administración de amenazas que se integra con Intune.

  • Admitir acciones para el incumplimiento que se aplican a los dispositivos que no cumplen esas reglas de cumplimiento de directivas. Algunos ejemplos de acciones para no cumplimiento son marcar el dispositivo como no conforme, bloquearse de forma remota y enviar un correo electrónico del usuario del dispositivo sobre el estado del dispositivo para que pueda corregirlo.

Al usar directivas de cumplimiento de dispositivos:

  • Algunas configuraciones de directivas de cumplimiento pueden invalidar la configuración de las opciones que también se administran a través de directivas de configuración de dispositivos. Para obtener más información sobre la resolución de conflictos para las directivas, consulte Directivas de cumplimiento y configuración de dispositivos que entran en conflicto.

  • Las directivas se pueden implementar en usuarios de grupos de usuarios o dispositivos en grupos de dispositivos. Cuando se implementa una directiva de cumplimiento en un usuario, se comprueba el cumplimiento de todos los dispositivos del usuario. El uso de grupos de dispositivos en este contexto ayuda con los informes de cumplimiento.

  • Si usa el acceso condicional de Microsoft Entra, las directivas de acceso condicional pueden usar los resultados de cumplimiento de dispositivos para bloquear el acceso a los recursos desde dispositivos no conformes.

  • Al igual que otras directivas de Intune, las evaluaciones de directivas de cumplimiento para un dispositivo dependen de cuándo el dispositivo se registra con Intune y de los ciclos de actualización de directivas y perfiles.

La configuración disponible que puede especificar en una directiva de cumplimiento de dispositivos depende del tipo de plataforma que selecciona cuando crea una directiva. Las distintas plataformas de dispositivos admiten diferentes configuraciones y cada tipo de plataforma requiere una directiva independiente.

Los temas siguientes se vinculan a artículos dedicados para distintos aspectos de la directiva de configuración de dispositivos.

  • Acciones para el incumplimiento : de forma predeterminada, cada directiva de cumplimiento de dispositivos incluye la acción para marcar un dispositivo como no conforme si no cumple una regla de directiva. Cada directiva puede admitir más acciones basadas en la plataforma del dispositivo. Entre los ejemplos de acción adicional se incluyen:

    • El envío de alertas por correo electrónico a usuarios y grupos con detalles sobre el dispositivo no compatible. Puede configurar la directiva para enviar un correo electrónico inmediatamente después de que el dispositivo se marca como no conforme y, de nuevo, de manera periódica, hasta que el dispositivo sea compatible.
    • El bloqueo remoto de dispositivos que no son compatibles durante algún tiempo.
    • La retirada de dispositivos después de que no hayan sido compatibles durante un tiempo. Esta acción marca un dispositivo que cumple los requisitos y que está listo para retirarse. A continuación, un administrador puede ver una lista de dispositivos marcados para su retirada y debe realizar una acción explícita para retirar uno o varios dispositivos. La retirada de un dispositivo lo quita de la administración de Intune y quita todos los datos de empresa del dispositivo. Para obtener más información sobre esta acción, consulte Acciones de no cumplimiento disponibles.
  • Crear una directiva de cumplimiento : con la información del artículo vinculado, puede revisar los requisitos previos, trabajar con las opciones para configurar reglas, especificar acciones para el incumplimiento y asignar la directiva a grupos. En este artículo también se incluye información sobre los tiempos de actualización de directivas.

    Consulte la configuración de cumplimiento de dispositivos para las distintas plataformas de dispositivos:

  • Configuración de cumplimiento personalizada : con la configuración de cumplimiento personalizada, puede expandir las opciones de cumplimiento de dispositivos integradas de Intune. La configuración personalizada proporciona flexibilidad para basar el cumplimiento en la configuración que está disponible en un dispositivo sin tener que esperar a que Intune agregue esa configuración.

    Puede usar la configuración de cumplimiento personalizada con las siguientes plataformas:

    • Linux: Ubuntu Desktop, versión 20.04 LTS y 22.04 LTS
    • Windows 10
    • Windows 11

Supervisión del estado de cumplimiento

Intune incluye un panel de cumplimiento de dispositivos que se usa para supervisar el estado de cumplimiento de los dispositivos y para profundizar en las directivas y los dispositivos para saber más. Para más información sobre este panel, consulte Supervisión del cumplimiento de dispositivos.

Integración con el acceso condicional

Cuando usa el acceso condicional, puede configurar las directivas de acceso condicional para usar los resultados de las directivas de cumplimiento de dispositivos con el fin de determinar qué dispositivos pueden acceder a los recursos de la organización. Este control de acceso es aparte de las acciones en caso de no cumplimiento que se incluyen en las directivas de cumplimiento de dispositivos.

Cuando un dispositivo se inscribe en Intune, se registra en Microsoft Entra ID. El estado de cumplimiento de los dispositivos se notifica a Microsoft Entra ID. Si las directivas de acceso condicional tienen controles de acceso establecidos en Requerir que el dispositivo esté marcado como compatible, el acceso condicional usa ese estado de cumplimiento para determinar si se debe conceder o bloquear el acceso al correo electrónico y a otros recursos de la organización.

Si usa el estado de cumplimiento de dispositivos con directivas de acceso condicional, revise cómo el inquilino configura los dispositivos Mark sin ninguna directiva de cumplimiento asignada como opción, que administra en Configuración de directivas de cumplimiento.

Para obtener más información sobre el uso del acceso condicional con las directivas de cumplimiento de dispositivos, consulte Acceso condicional basado en dispositivos.

Obtenga más información sobre el acceso condicional en la documentación de Microsoft Entra:

Referencia para el no cumplimiento y el acceso condicional en las distintas plataformas

En la tabla siguiente se describe cómo administrar la configuración de no cumplimiento cuando se usa una directiva de cumplimiento con una directiva de acceso condicional.

  • Corregido: el sistema operativo del dispositivo exige el cumplimiento. Por ejemplo, se obliga al usuario a establecer un PIN.

  • En cuarentena: el sistema operativo del dispositivo no exige el cumplimiento. Por ejemplo, los dispositivos Android y Android Enterprise no obligan al usuario a cifrar el dispositivo. Si el dispositivo no es compatible, se emprenden las siguientes acciones:

    • El dispositivo se bloquea si se aplica una directiva de acceso condicional al usuario.
    • La aplicación Portal de empresa de Intune notifica al usuario sobre cualquier problema de cumplimiento.

Configuración de directiva Plataforma
Distribuciones permitidas Linux(only): en cuarentena
Cifrado del dispositivo - Android 4.0 y versiones posteriores: en cuarentena
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena
- Android Enterprise: en cuarentena

- iOS 8.0 y versiones posteriores: corregido (con la configuración del PIN)
- macOS 10.11 y versiones posteriores: en cuarentena

- Linux: en cuarentena

- Windows 10/11: en cuarentena
Perfil de correo electrónico - Android 4.0 y versiones posteriores: no aplicable
- Samsung Knox Standard 4.0 y versiones posteriores: no aplicable
- Android Enterprise: no aplicable

- iOS 8.0 y versiones posteriores: en cuarentena
- macOS 10.11 y versiones posteriores: en cuarentena

- Linux: no aplicable

- Windows 10/11: no aplicable
Dispositivo con acceso "root" o con jailbreak - Android 4.0 y versiones posteriores: en cuarentena (no es una configuración)
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena (no es una configuración)
- Android Enterprise: en cuarentena (no es una configuración)

- iOS 8.0 y versiones posteriores: en cuarentena (no es una configuración)
- macOS 10.11 y versiones posteriores: no aplicable

- Linux: no aplicable

- Windows 10/11: no aplicable
Versión de SO máxima - Android 4.0 y versiones posteriores: en cuarentena
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena
- Android Enterprise: en cuarentena

- iOS 8.0 y versiones posteriores: en cuarentena
- macOS 10.11 y versiones posteriores: en cuarentena

- Linux: consulte Distribuciones permitidas

- Windows 10/11: en cuarentena
Versión de SO mínima - Android 4.0 y versiones posteriores: en cuarentena
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena
- Android Enterprise: en cuarentena

- iOS 8.0 y versiones posteriores: en cuarentena
- macOS 10.11 y versiones posteriores: en cuarentena

- Linux: consulte Distribuciones permitidas

- Windows 10/11: en cuarentena
Configuración del PIN o de la contraseña - Android 4.0 y versiones posteriores: en cuarentena
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena
- Android Enterprise: en cuarentena

- iOS 8.0 y versiones posteriores: corregido
- macOS 10.11 y versiones posteriores: corregido

- Linux: en cuarentena

- Windows 10/11: corregido
Atestación de estado de Windows - Android 4.0 y versiones posteriores: no aplicable
- Samsung Knox Standard 4.0 y versiones posteriores: no aplicable
- Android Enterprise: no aplicable

- iOS 8.0 y versiones posteriores: no aplicable
- macOS 10.11 y versiones posteriores: no aplicable

- Linux: no aplicable

- Windows 10/11: en cuarentena

Nota:

La aplicación Portal de empresa entra en el flujo de corrección de inscripción cuando el usuario inicia sesión en la aplicación y el dispositivo no se ha registrado correctamente con Intune durante 30 días o más (o el dispositivo no es compatible debido a un motivo de cumplimiento de contactos perdidos ). En este flujo, intentamos iniciar una comprobación una vez más. Si todavía no se realiza correctamente, emitimos un comando retire para permitir que el usuario vuelva a inscribir el dispositivo manualmente.


Siguientes pasos