Comparteix a través de


Administrar aplicaciones aprobadas para dispositivos Windows con directivas de App Control para empresas e Instaladores administrados para Microsoft Intune

Esta característica está en versión preliminar pública.

Todos los días aparecen nuevos archivos malintencionados y aplicaciones en estado salvaje. Cuando se ejecutan en dispositivos de su organización, presentan un riesgo, que puede ser difícil de administrar o evitar. Para ayudar a evitar que las aplicaciones no deseadas se ejecuten en los dispositivos Windows administrados, puede usar Microsoft Intune directivas de App Control para empresas.

Las directivas de App Control for Business de Intune forman parte de la seguridad del punto de conexión y usan el CSP de ApplicationControl de Windows para administrar las aplicaciones permitidas en dispositivos Windows.

También disponible a través de la directiva de App Control para empresas, puede usar una directiva de instalador administrada para agregar la extensión de administración de Intune al inquilino como instalador administrado. Con esta extensión como instalador administrado, el instalador etiqueta automáticamente las aplicaciones que implementa a través de Intune. Las aplicaciones etiquetadas se pueden identificar mediante las directivas de App Control para empresas como aplicaciones seguras que se pueden ejecutar en los dispositivos.

La información de este artículo puede ayudarle a:

Para obtener información relacionada, consulta Control de aplicaciones de Windows Defender en la documentación de Seguridad de Windows.

Nota:

Directiva de Control de aplicaciones para empresas frente a perfiles de control de aplicaciones: Intune directivas de App Control para empresas usan el CSP de ApplicationControl. Las directivas de reducción de superficie expuesta a ataques de Intune usan el CSP de AppLocker para sus perfiles de control de aplicaciones. Windows introdujo el CSP de ApplicationControl para reemplazar el CSP de AppLocker. Windows sigue siendo compatible con el CSP de AppLocker, pero ya no le agrega nuevas características. En su lugar, el desarrollo continúa a través del CSP de ApplicationControl.

Se aplica a:

  • Windows 10
  • Windows 11

Requisitos previos

Dispositivos

Los siguientes dispositivos son compatibles con las directivas de App Control para empresas cuando están inscritos con Intune:

  • Windows Enterprise o Education:

    • Windows 10, versión 1903 o posterior
    • Windows 11 versión 1903 o posterior
  • Windows Professional:

  • Windows 11 SE:

  • Azure Virtual Desktop (AVD):

    • Los dispositivos AVD son compatibles con el uso de directivas de App Control para empresas
    • Para dirigirse a dispositivos de varias sesiones de AVD, use el nodo Control de aplicaciones para empresas en Endpoint Security. Sin embargo, El control de aplicaciones para empresas es solo el ámbito del dispositivo.
  • Dispositivos administrados conjuntamente:

    • Para admitir el control de aplicaciones para directivas empresariales en dispositivos administrados conjuntamente, establezca el control deslizante del control deslizante de Endpoint Protection en Intune.

Control de aplicaciones de Windows Defender para empresas

Consulta Requisitos de licencia y edición de Windows en Acerca del control de aplicaciones para Windows en la documentación de Seguridad de Windows.

Controles de acceso basados en roles

Para administrar las directivas de App Control for Business, se debe asignar a una cuenta un rol de control de acceso basado en rol (RBAC) Intune que incluya permisos y derechos suficientes para completar una tarea deseada.

Las siguientes son las tareas disponibles con sus permisos y derechos necesarios.

  • Habilitar el uso de un instalador administrado: las cuentas deben tener asignado el rol de administrador de Intune. Habilitar el instalador es un evento único.

    Importante

    Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. El administrador de Intune y cuentas similares son roles con privilegios elevados que deben limitarse a escenarios que no pueden usar un rol diferente.

  • Administrar la directiva de Control de aplicaciones para empresas : las cuentas deben tener el permiso Control de aplicaciones para empresas , que incluye derechos para eliminar, leer, asignar, crear, actualizar y ver informes.

  • Ver informes de la directiva de App Control para empresas : las cuentas deben tener uno de los siguientes permisos y derechos:

    • El permiso Control de aplicaciones para empresas con Ver informes.
    • Permiso de organización con lectura.

Para obtener instrucciones sobre cómo asignar el nivel adecuado de permisos y derechos para administrar Intune directiva de App Control para empresas, consulte Assign-role-based-access-controls-for-endpoint-security-policy.

Soporte técnico de la nube de administración pública

Intune seguridad de puntos de conexión Las directivas de control de aplicaciones y la configuración de un instalador administrado son compatibles con los siguientes entornos de nube soberana:

  • Nubes del Gobierno de EE. UU.
  • 21Vianet

Introducción a los instaladores administrados

Con app control empresarial de seguridad de puntos de conexión de Intune, puede usar la directiva para agregar la extensión de administración de Intune como instalador administrado en los dispositivos Windows administrados.

Después de habilitar un instalador administrado, todas las aplicaciones posteriores que implemente en dispositivos Windows a través de Intune se marcan con la etiqueta del instalador administrado. La etiqueta identifica que la aplicación se instaló mediante un origen conocido y que puede ser de confianza. Las directivas de App Control para empresas usan el etiquetado del instalador administrado de las aplicaciones para identificar automáticamente las aplicaciones aprobadas para ejecutarse en los dispositivos del entorno.

Las directivas de Control de aplicaciones para empresas son una implementación del Control de aplicaciones de Windows Defender (WDAC). Para obtener más información sobre wdac y etiquetado de aplicaciones, consulte Acerca del control de aplicaciones para Windows y la guía de etiquetado de id. de aplicación WDAC (AppId) en la documentación de Control de aplicaciones de Windows Defender.

Consideraciones para usar un instalador administrado:

  • Establecer un instalador administrado es una configuración de todo el inquilino que se aplica a todos los dispositivos Windows administrados.

  • Después de habilitar la extensión Intune Management como instalador administrado, todas las aplicaciones que implemente en dispositivos Windows a través de Intune se etiquetan con la marca del instalador administrado.

  • Por sí sola, esta etiqueta no tiene ningún efecto en qué aplicaciones se pueden ejecutar en los dispositivos. La etiqueta solo se usa cuando también se asignan directivas WDAC que determinan qué aplicaciones pueden ejecutarse en los dispositivos administrados.

  • Dado que no hay etiquetado retroactivo, no se etiquetan todas las aplicaciones de los dispositivos que se implementaron antes de habilitar el instalador administrado. Si aplica una directiva WDAC, debe incluir configuraciones explícitas para permitir que se ejecuten estas aplicaciones sin etiquetar.

  • Para desactivar esta directiva, edite la directiva del instalador administrado. Al desactivar la directiva, se impide que las aplicaciones posteriores se etiqueten con el instalador administrado. Las aplicaciones que se instalaron y etiquetaron anteriormente permanecen etiquetadas. Para obtener información sobre la limpieza manual de un instalador administrado después de desactivar la directiva, vea Quitar la extensión de administración de Intune como instalador administrado más adelante en este artículo.

Obtenga más información sobre cómo Intune establecer el instalador administrado en la documentación de Seguridad de Windows.

Importante

Posible impacto en los eventos recopilados por las integraciones de Log Analytics

Log Analytics es una herramienta de Azure Portal que los clientes pueden usar para recopilar datos de eventos de directiva de AppLocker. Con esta versión preliminar pública, si completa la acción de participación, la directiva de AppLocker comenzará a implementarse en los dispositivos aplicables en el inquilino. En función de la configuración de Log Analytics, especialmente si recopila algunos de los registros más detallados, esto dará lugar a un aumento de los eventos generados por la directiva de AppLocker. Si su organización usa Log Analytics, nuestra recomendación es revisar la configuración de Log Analytics para que:

  • Comprenda la configuración de Log Analytics y asegúrese de que hay un límite de recopilación de datos adecuado para evitar costos de facturación inesperados.
  • Desactive la colección de eventos de AppLocker por completo en Log Analytics (error, advertencia e información) con la excepción de los registros MSI y Script.

Adición de un instalador administrado al inquilino

El siguiente procedimiento le guía a través de la adición de la extensión de administración de Intune como instalador administrado para el inquilino. Intune admite una única directiva de instalador administrado.

  1. En el centro de administración de Microsoft Intune, vaya a Seguridad del punto de conexión (versión preliminar), seleccione la pestaña Instalador administrado y, a continuación, seleccione *Agregar. Se abre el panel Agregar instalador administrado .

    Captura de pantalla de la página Instalador administrado, con el panel Agregar instalador administrado en el lado derecho.

  2. Seleccione Agregar y, a continuación, para confirmar la adición de la extensión de administración de Intune como instalador administrado.

  3. Después de agregar el instalador administrado, en algunos casos poco frecuentes, es posible que tenga que esperar hasta 10 minutos antes de que se agregue la nueva directiva al inquilino. Seleccione Actualizar para actualizar el centro de administración periódicamente, hasta que esté disponible.

    La directiva está lista en el servicio cuando Intune muestra una directiva de instalador administrada con el nombre Instalador administrado: Intune Extensión de administración con el estado Activo. Desde el lado cliente, es posible que tenga que esperar hasta una hora para que la directiva empiece a entregarse.

    Captura de pantalla del panel Control de aplicaciones para empresas, con la directiva del instalador administrado presente y activa.

  4. Ahora puede seleccionar la directiva para editar su configuración. Solo las dos áreas de directiva siguientes admiten modificaciones:

    • Configuración: al editar la configuración de directiva, se abre el panel Optar por el instalador administrado , donde puede cambiar el valor de Establecer instalador administrado entre Activado y Desactivado. Al agregar el instalador, el valor predeterminado de Establecer instalador administrado es Activado. Antes de cambiar la configuración, asegúrese de revisar el comportamiento detallado en el panel de Activado y Desactivado.

    • Etiquetas de ámbito: puede agregar y modificar etiquetas de ámbito asignadas a esta directiva. Esto le permite especificar qué administradores pueden ver los detalles de la directiva.

Antes de que la directiva tenga efecto, debe crear e implementar una directiva de Control de aplicaciones para empresas para especificar reglas para las aplicaciones que se pueden ejecutar en los dispositivos Windows.

Para obtener más información, consulte Permitir aplicaciones instaladas por un instalador administrado en la documentación de Seguridad de Windows.

Importante

Riesgo de posible no arranque de la combinación de directivas de AppLocker

Al habilitar el instalador administrado a través de Intune, se implementa una directiva de AppLocker con una regla ficticia y se combina con la directiva existente de AppLocker en el dispositivo de destino. Si la directiva existente de AppLocker incluye una RuleCollection definida como NotConfigured con un conjunto de reglas vacío, se combinará como NotConfigured con la regla ficticia. Una colección de reglas NotConfigured aplicará de forma predeterminada si hay alguna regla definida en la colección. Cuando la regla ficticia es la única regla configurada, esto implica que cualquier otra cosa se bloqueará para que se cargue o ejecute. Esto puede provocar problemas inesperados, como que las aplicaciones no se inicien y que no arranquen o inicien sesión en Windows. Para evitar este problema, se recomienda quitar cualquier RuleCollection definida como NotConfigured con un conjunto de reglas vacío de la directiva de AppLocker existente si está actualmente en vigor.

  • El instalador administrado puede habilitar las directivas de App-Locker detenidas o deshabilitadas (en equipos de destino) aplicadas desde GPO.

Quitar la extensión de administración de Intune como instalador administrado

Si es necesario, puede dejar de configurar la extensión de administración de Intune como instalador administrado para el inquilino. Esto requiere que desactive la directiva del instalador administrado. Una vez desactivada la directiva, puede optar por usar acciones de limpieza adicionales.

Desactivar la directiva de extensión de administración de Intune (obligatorio)

La siguiente configuración es necesaria para dejar de agregar la extensión de administración de Intune como instalador administrado a los dispositivos.

  1. En el Centro de administración, vaya a Seguridad de puntos de conexión (versión preliminar), seleccione la pestaña Instalador administrado y, a continuación, seleccione El instalador administrado : Intune directiva de extensión de administración.

  2. Edite la directiva y cambie Establecer instalador administrado en Desactivado y guarde la directiva.

Los nuevos dispositivos no se configurarán con la extensión de administración de Intune como instalador administrado. Esto no quita la extensión de administración de Intune como instalador administrado de los dispositivos que ya están configurados para usarla.

Quitar la extensión de administración de Intune como instalador administrado en dispositivos (opcional)

Como paso de limpieza opcional, puede ejecutar un script para quitar la extensión de administración de Intune como instalador administrado en los dispositivos que ya lo han instalado. Este paso es opcional, ya que esta configuración no tiene ningún efecto en los dispositivos, a menos que también use directivas de App Control para empresas que hagan referencia al instalador administrado.

  1. Descargue el script de PowerShellCatCleanIMEOnly.ps1. Este script está disponible en https://aka.ms/intune_WDAC/CatCleanIMEOnly desde download.microsoft.com.

  2. Ejecute este script en dispositivos que tengan la extensión de administración de Intune establecida como instalador administrado. Este script quita solo la extensión de administración de Intune como instalador administrado.

  3. Reinicie el servicio de extensión de administración de Intune para que los cambios anteriores surtan efecto.

Para ejecutar este script, puede usar Intune para ejecutar scripts de PowerShell u otros métodos de su elección.

Quitar todas las directivas de AppLocker de un dispositivo (opcional)

Para quitar todas las directivas de Windows AppLocker de un dispositivo, puede usar el script de PowerShellCatCleanAll.ps1 . Este script quita no solo la extensión de administración de Intune como instalador administrado, sino todas las directivas basadas en Windows AppLocker de un dispositivo. Antes de usar este script, asegúrese de comprender el uso de las directivas de AppLocker por parte de las organizaciones.

  1. Descargue el script de PowerShellCatCleanAll.ps1. Este script está disponible en https://aka.ms/intune_WDAC/CatCleanAll desde download.microsoft.com.

  2. Ejecute este script en dispositivos que tengan la extensión de administración de Intune establecida como instalador administrado. Este script quita del dispositivo la extensión de administración de Intune como instalador administrado y directivas de AppLocker.

  3. Reinicie el servicio de extensión de administración de Intune para que los cambios anteriores surtan efecto.

Para ejecutar este script, puede usar Intune para ejecutar scripts de PowerShell u otros métodos de su elección.

Introducción a las directivas de App Control for Business

Con las directivas de App Control para empresas de seguridad de puntos de conexión de Intune, puede administrar qué aplicaciones de los dispositivos Windows administrados pueden ejecutarse. Las aplicaciones que no tienen permiso explícito para ejecutarse mediante una directiva se bloquean para que no se ejecuten a menos que haya configurado la directiva para usar un modo auditoría. Con el modo de auditoría, la directiva permite que todas las aplicaciones ejecuten y registren los detalles sobre ellas localmente en el cliente.

Para administrar qué aplicaciones se permiten o bloquean, Intune usa el CSP de Windows ApplicationControl en dispositivos Windows.

Al crear una directiva de App Control para empresas, debe elegir un formato de configuración para usar:

  • Especificar datos XML : al elegir especificar datos xml, debe proporcionar a la directiva un conjunto de propiedades XML personalizadas que definan la directiva de App Control for Business.

  • Controles integrados : esta opción es la ruta de acceso más sencilla de configurar, pero sigue siendo una opción eficaz. Con los controles integrados, puedes aprobar fácilmente todas las aplicaciones instaladas por un instalador administrado y permitir la confianza de los componentes de Windows y las aplicaciones de la tienda.

    Hay más detalles sobre estas opciones disponibles en la interfaz de usuario al crear una directiva y también se detallan en el procedimiento siguiente que le guiará a través de la creación de una directiva.

Después de crear una directiva de App Control para empresas, puede expandir el ámbito de esa directiva mediante la creación de directivas complementarias que agreguen más reglas en formato XML a esa directiva original. Cuando se usan directivas complementarias, la directiva original se conoce como directiva base.

Nota:

Si el inquilino es un inquilino educativo, consulte Directivas de App Control para empresas para inquilinos de Education para obtener información sobre la compatibilidad adicional de dispositivos y la directiva de Control de aplicaciones para empresas para esos dispositivos.

Creación de una directiva de App Control para empresas

Use el procedimiento siguiente para ayudarle a crear una directiva de App Control for Business correcta. Esta directiva se considera una directiva base si va a crear directivas complementarias para expandir el ámbito de confianza que defina con esta directiva.

  1. Inicie sesión en el centro de administración de Microsoft Intune y vaya a Endpoint security>App Control for Business (versión preliminar)> seleccione la pestaña >Control de aplicaciones para empresas y, a continuación, seleccione Crear directiva. Las directivas de App Control para empresas se asignan automáticamente a un tipo de plataforma de Windows 10 y versiones posteriores.

    Captura de pantalla que muestra la ruta de acceso en el centro de administración para crear una nueva directiva de App Control for Business.

  2. En Conceptos básicos, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asigne un nombre a los perfiles para que pueda identificarlos fácilmente más adelante.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional, pero se recomienda aplicarla.
  3. En Configuración, elija un formato configuración:

    Escriba datos xml : con esta opción debe proporcionar propiedades XML personalizadas para definir la directiva de App Control for Business. Si selecciona esta opción pero no agrega propiedades XLM a la directiva, actúa como No configurado. Una directiva de Control de aplicaciones para empresas que no está configurada da como resultado comportamientos predeterminados en un dispositivo, sin opciones agregadas del CSP de ApplicationControl.

    Controles integrados : con esta opción, la directiva no usa XML personalizado. En su lugar, configure los siguientes valores:

    • Habilitar la confianza de componentes de Windows y aplicaciones de la tienda : cuando esta configuración está habilitada (valor predeterminado), los dispositivos administrados pueden ejecutar componentes de Windows y almacenar aplicaciones, así como otras aplicaciones que pueda configurar como de confianza. Las aplicaciones que no se definen como de confianza para esta directiva no se pueden ejecutar.

      Esta configuración también admite un modo de solo auditoría . Con el modo de auditoría, todos los eventos se registran en los registros de cliente local, pero no se bloquea la ejecución de las aplicaciones.

    • Seleccione opciones adicionales para las aplicaciones de confianza : para esta configuración, puede seleccionar una o ambas de las siguientes opciones:

      • Confiar en aplicaciones con una buena reputación : esta opción permite a los dispositivos ejecutar aplicaciones de confianza según lo definido por Microsoft Intelligent Security Graph. Para obtener información sobre el uso de Intelligent Security Graph (ISG), consulte Permitir aplicaciones de confianza con Intelligent Security Graph (ISG) en la documentación de Seguridad de Windows.

      • Confiar en aplicaciones de instaladores administrados : esta opción permite a los dispositivos ejecutar las aplicaciones implementadas por un origen autorizado, que es un instalador administrado. Esto se aplica a las aplicaciones que implemente a través de Intune después de configurar la extensión de administración de Intune como instalador administrado.

        El comportamiento de todas las demás aplicaciones y archivos no especificados por las reglas de esta directiva depende de la configuración de Habilitar la confianza de los componentes de Windows y las aplicaciones de la tienda:

        • Si está habilitado, se bloquea la ejecución de archivos y aplicaciones en los dispositivos.
        • Si se establece en Solo auditoría, los archivos y las aplicaciones solo se auditan en los registros de cliente local.

    Esta captura de pantalla muestra las opciones predeterminadas y la configuración de la directiva de Control de aplicaciones para empresas cuando se usan los controles integrados.

  4. En la página Etiquetas de ámbito, seleccione las etiquetas de ámbito que desee aplicar y, a continuación, seleccione Siguiente.

  5. En Asignaciones, seleccione los grupos que reciben la directiva, pero tenga en cuenta que las directivas WDAC solo se aplican al ámbito del dispositivo. Para continuar, seleccione Siguiente.

    Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

  6. En Revisar y crear, revise la configuración y, a continuación, seleccione Crear. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de directivas.

Uso de la directiva complementaria

Una o varias directivas complementarias pueden ayudarle a expandir una directiva base de App Control para empresas para aumentar el círculo de confianza de esa directiva. Una directiva complementaria solo puede expandir una directiva base, pero varios complementos pueden expandir la misma directiva base. Al agregar directivas complementarias, las aplicaciones permitidas por la directiva base y sus directivas complementarias se pueden ejecutar en dispositivos.

Las directivas complementarias deben estar en formato XML y deben hacer referencia al identificador de directiva de la directiva base.

El identificador de directiva de una directiva base de App Control para empresas viene determinado por la configuración de la directiva base:

  • Las directivas base que se crean mediante XML personalizado tienen un policyID único que se basa en esa configuración XML.

  • Las directivas base que se crean mediante los controles integrados para App Control for Business tienen una de las cuatro directivas posibles que están determinadas por las posibles combinaciones de la configuración integrada. En la tabla siguiente se identifican las combinaciones y el policyID relacionado:

    PolicyID de una directiva base Opciones de la directiva WDAC (auditoría o aplicación)
    {A8012CFC-D8AE-493C-B2EA-510F035F1250} Habilitación de la directiva de control de aplicaciones para confiar en componentes de Windows y aplicaciones de la Tienda
    {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} Habilitación de la directiva de control de aplicaciones para confiar en componentes de Windows y aplicaciones
    de la Tienda y
    aplicaciones de confianza con buena reputación
    {63D1178A-816A-4AB6-8ECD-127F2DF0CE47} Habilitación de la directiva de control de aplicaciones para confiar en componentes de Windows y aplicaciones
    de la Tienda y
    aplicaciones de confianza de instaladores administrados
    {2DA0F72D-1688-4097-847D-C42C39E631BC} Habilitación de la directiva de control de aplicaciones para confiar en componentes de Windows y aplicaciones
    de la Tienda y
    aplicaciones de confianza con aplicaciones de buena reputación
    y
    confianza de instaladores administrados

Aunque dos directivas de App Control para empresas que usan la misma configuración de controles integrados tienen el mismo PolicyID, puede aplicar directivas complementarias diferentes en función de las asignaciones de las directivas.

Tenga en cuenta el siguiente escenario:

  • Se crean dos directivas base que usan la misma configuración y, por lo tanto, tienen el mismo policyID. Uno de ellos se implementa en el equipo ejecutivo y la segunda directiva se implementa en el equipo del Departamento de soporte técnico.

  • A continuación, creará una directiva complementaria que permita que otras aplicaciones se ejecuten según lo requiera el equipo ejecutivo. Esta directiva complementaria se asigna a ese mismo grupo, el equipo ejecutivo.

  • A continuación, crea una segunda directiva complementaria que permite ejecutar varias herramientas necesarias para el equipo del departamento de soporte técnico. Esta directiva se asigna al grupo del Departamento de soporte técnico.

Como resultado de estas implementaciones, ambas directivas complementarias podrían modificar ambas instancias de la directiva base. Sin embargo, debido a las asignaciones distintas y independientes, la primera directiva complementaria modifica solo las aplicaciones permitidas asignadas al equipo ejecutivo y la segunda directiva modifica solo las aplicaciones permitidas que usa el equipo del Departamento de soporte técnico.

Creación de una directiva complementaria

  1. Use el Asistente para el control de aplicaciones de Windows Defender o los cmdlets de PowerShell para generar una directiva de App Control para empresas en formato XML.

    Para obtener información sobre el Asistente, consulte aka.ms/wdacWizard o Asistente para WDAC de Microsoft.

    Al crear una directiva en formato XML, debe hacer referencia al identificador de directiva de la directiva base.

  2. Una vez creada la directiva complementaria de App Control for Business en formato XML, inicie sesión en el centro de administración de Microsoft Intune y vaya a Endpoint security>App Control for Business (versión preliminar)> seleccione la pestaña Control de aplicaciones para empresas y, a continuación, seleccione Crear directiva.

  3. En Conceptos básicos, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asigne un nombre a los perfiles para que pueda identificarlos fácilmente más adelante.

    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional, pero se recomienda aplicarla.

  4. En Configuración, en Formato de configuración , seleccione Escribir datos xml y cargue el archivo XML.

  5. En Asignaciones, seleccione los mismos grupos asignados a la directiva base a la que desea aplicar la directiva complementaria y, a continuación, seleccione Siguiente.

  6. En Revisar y crear, revise la configuración y, a continuación, seleccione Crear. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de directivas.

Directivas de Control de aplicaciones para empresas para inquilinos de Educación

Las directivas de Control de aplicaciones para empresas en inquilinos para organizaciones educativas también admiten Windows 11 SE además de las plataformas admitidas en los requisitos previos.

Windows 11 SE es un sistema operativo de primera nube optimizado para su uso en las aulas. Al igual que Intune para Educación, Windows SE 11 prioriza la productividad, la privacidad de los alumnos y el aprendizaje, y solo admite características y aplicaciones que son esenciales para la educación.

Para ayudar a esta optimización, la directiva WDAC y la extensión de administración de Intune se configuran automáticamente para Windows 11 SE dispositivos:

  • Intune compatibilidad con dispositivos Windows 11 SE se limita a la implementación de directivas WDAC predefinidas con una lista establecida de aplicaciones en inquilinos EDU. Estas directivas se implementan automáticamente y no se pueden cambiar.

  • Para Intune inquilinos EDU, la extensión de administración de Intune se establece automáticamente como instalador administrado. Esta configuración es automática y no se puede cambiar.

Eliminación de la directiva de Control de aplicaciones para empresas

Como se detalla en Implementar directivas WDAC con Mobile Administración de dispositivos (MDM) (Windows 10): seguridad de Windows en la documentación de Seguridad de Windows, las directivas eliminadas de la interfaz de usuario de Intune se quitan del sistema y de los dispositivos, pero permanecen en vigor hasta el siguiente reinicio de la máquina.

Para deshabilitar o eliminar la aplicación wdac:

  1. Reemplace la directiva existente por una nueva versión de la directiva que , Allow /*como las reglas de la directiva de ejemplo que se encuentra en dispositivos Windows en %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

    Esta configuración quita los bloques que, de lo contrario, podrían dejarse en su lugar en un dispositivo después de quitar la directiva.

  2. Una vez implementada la directiva actualizada, puede eliminar la nueva directiva del portal de Intune.

Esta secuencia impide que cualquier cosa se bloquee y quita completamente la directiva WDAC en el siguiente reinicio.

Supervisión de directivas de App Control for Business y el instalador administrado

Después de asignar a los dispositivos las directivas de App Control para empresas y de instalador administrado, puede ver los detalles de la directiva en el Centro de administración.

  • Para ver los informes, la cuenta debe tener el permiso De lectura para la categoría de control de acceso basado en rol Intune de La organización.

Para ver los informes, inicie sesión en el centro de administración de Intune y vaya al nodo Control de cuentas. (Seguridad >del punto de conexiónControl de cuentas (versión preliminar)). Aquí puede seleccionar la pestaña de los detalles de directiva que desea ver:

Instalador administrado

En la pestaña Instalador administrado, puede ver el estado, el recuento de operaciones correctas y los detalles de error de la directiva Instalador administrado: Intune Extensión de administración:

Esta captura de pantalla muestra una vista de la página de información general de la directiva del instalador administrado.

Seleccione el nombre de la directiva para abrir su página Información general, donde puede ver la siguiente información:

  • Estado del dispositivo, un recuento estático de éxito frente a errores.

  • Tendencia de estado del dispositivo, un gráfico histórico que muestra una escala de tiempo y un recuento de dispositivos en cada categoría de detalle.

Los detalles del informe incluyen:

  • Correcto: dispositivos que aplicaron correctamente la directiva.

  • Error: dispositivos con errores.

  • Nuevos dispositivos: los nuevos dispositivos identifican los dispositivos que han aplicado recientemente la directiva.

    Esta captura de pantalla muestra información general sobre el instalador administrado.

Las secciones Estado del dispositivo y Tendencia del estado del dispositivo pueden tardar hasta 24 horas en actualizarse en información general.

Al ver los detalles de la directiva, puede seleccionar Estado del dispositivo (debajo de Monitor) para abrir una vista basada en dispositivos de los detalles de la directiva. La vista Estado del dispositivo muestra los siguientes detalles que puede usar para identificar problemas en caso de que un dispositivo no aplique correctamente la directiva:

  • Nombre del dispositivo
  • Nombre de usuario
  • Versión del sistema operativo
  • Estado del instalador administrado (correcto o error)

La vista basada en dispositivos de los detalles de la directiva puede tardar varios minutos en actualizarse después de que el dispositivo reciba realmente la directiva.

Control de aplicaciones para empresas

En la pestaña Control de aplicaciones para empresas , puede ver la lista de las directivas de App Control para empresas y los detalles básicos, incluidos si está asignado y cuándo se modificó por última vez.

Seleccione una directiva para abrir una vista que tenga más opciones de informe:

Esta captura de pantalla muestra una vista de estado por directiva y iconos para dos informes adicionales.

Las opciones de informe de la directiva incluyen:

  • Estado de protección de dispositivos y usuarios : un gráfico sencillo que muestra el número de dispositivos que notifican cada estado disponible para esta directiva.

  • Ver informe : se abre una vista con una lista de los dispositivos que recibieron esta directiva. Aquí puede seleccionar dispositivos para explorar en profundidad y ver su formato de configuración de directiva de Control de aplicaciones para empresas.

La vista de directiva también incluye los siguientes iconos de informe:

  • Estado de asignación de dispositivos: en este informe se muestran todos los dispositivos destinados a la directiva, incluidos los dispositivos en un estado de asignación de directiva pendiente.

    Con este informe, puede seleccionar los valores de estado de asignación que desea ver y, a continuación, seleccionar Generar informe para actualizar la vista de informe dispositivos individuales que recibieron la directiva, su último usuario activo y el estado de asignación.

    También puede seleccionar dispositivos para explorar en profundidad y ver su formato de configuración de directiva de Control de aplicaciones para empresas.

  • Estado de configuración : este informe muestra un recuento de dispositivos que notifican el estado como Correcto, Error o Conflicto para la configuración de esta directiva.

Preguntas más frecuentes

¿Cuándo debo establecer la extensión de administración de Intune como instalador administrado?

Se recomienda configurar la extensión de administración de Intune como instalador administrado en la próxima oportunidad disponible.

Una vez establecidas, las aplicaciones posteriores que implemente en los dispositivos se etiquetan correctamente para admitir directivas WDAC que confían en aplicaciones de instaladores administrados.

En entornos en los que las aplicaciones se implementaron antes de configurar un instalador administrado, se recomienda implementar nuevas directivas WDAC en modo de auditoría para que pueda identificar que las aplicaciones se implementaron pero no se etiquetaron como de confianza. A continuación, puede revisar los resultados de la auditoría y determinar qué aplicaciones deben ser de confianza. En el caso de las aplicaciones en las que confiará y permitirá que se ejecuten, puede crear directivas WDAC personalizadas para permitir esas aplicaciones.

Puede ser útil explorar la búsqueda avanzada, que es una característica de Microsoft Defender para punto de conexión que facilita la consulta de eventos de auditoría en las muchas máquinas que los administradores de TI administran y les ayudan a crear directivas.

¿Qué hago con la directiva de control de aplicaciones antigua de mi directiva de reducción de superficie expuesta a ataques?

Es posible que observe instancias de la directiva de Control de aplicaciones en la interfaz de usuario de Intune en Seguridad de los puntos de conexión>Adjuntar reducción de superficie o en Dispositivos> Administrarla configuración dedispositivos>. Estos estarán en desuso en una versión futura.

¿Qué ocurre si tengo varias directivas base o complementarias en el mismo dispositivo?

Antes de Windows 10 1903, App Control for Business solo admitía una sola directiva activa en un sistema en un momento dado. Ese comportamiento limita significativamente a los clientes en situaciones en las que sería útil usar varias directivas con intenciones diferentes. En la actualidad, se admiten varias directivas base y complementarias en el mismo dispositivo. Obtenga más información sobre la implementación de varias directivas de App Control para empresas.

En una nota relacionada, ya no hay una limitación de 32 directivas activas en el mismo dispositivo para App Control para empresas. Este problema se resuelve para los dispositivos que ejecutan Windows 10 1903 o posterior con una actualización de seguridad de Windows publicada el 12 de marzo de 2024 o posterior. Se espera que las versiones anteriores de Windows reciban esta corrección en futuras actualizaciones de seguridad de Windows.

¿La funcionalidad de instalación administrada de las aplicaciones del conjunto de inquilinos está instalada desde Configuration Manager con la etiqueta adecuada?

No. Esta versión se centra en la configuración de aplicaciones instaladas desde Intune, mediante la extensión de administración de Intune, como instalador administrado. No puede establecer Configuration Manager como instalador administrado.

Si se desea establecer Configuration Manager como el instalador administrado, puede permitir ese comportamiento desde dentro de Configuration Manager. Si ya tiene Configuration Manager establecido como instalador administrado, el comportamiento esperado es que la nueva directiva de AppLocker de extensión de administración de Intune se combine con la directiva de Configuration Manager existente.

¿Qué consideraciones debo tener para los dispositivos de Entra Hybrid Join (HAADJ) de mi organización que quieran usar el instalador administrado?

Los dispositivos de unión híbrida de entra requieren conectividad a un controlador de dominio (DC) local para aplicar directivas de grupo, incluida la directiva del instalador administrado (a través de AppLocker). Sin conectividad de controlador de dominio, especialmente durante el aprovisionamiento de Autopilot, la directiva del instalador administrado no se aplicará correctamente. Considere:

  1. En su lugar, use Autopilot con Entra join. Para obtener más información, consulte nuestra recomendación sobre la opción de unión a Entra .

  2. En Entrar hybrid join (Unión híbrida de Entra), elija una o ambas de las siguientes opciones:

    • Use métodos de aprovisionamiento de dispositivos que proporcionen conectividad de controlador de dominio en el momento de la instalación de la aplicación, ya que es posible que Autopilot no funcione aquí.
    • Implemente aplicaciones una vez completado el aprovisionamiento de Autopilot, de modo que se establezca la conectividad de controlador de dominio en el momento de la instalación de la aplicación y se pueda aplicar la directiva del instalador administrado.

Pasos siguientes

Configuración de directivas de seguridad de puntos de conexión