Compartir a través de


Seguridad y privacidad para clientes Configuration Manager

Se aplica a: Configuration Manager (rama actual)

En este artículo se describe la información de seguridad y privacidad de los clientes de Configuration Manager. También incluye información para dispositivos móviles administrados por el conector de Exchange Server.

Guía de seguridad para clientes

El sitio Configuration Manager acepta datos de dispositivos que ejecutan el cliente de Configuration Manager. Este comportamiento presenta el riesgo de que los clientes puedan atacar el sitio. Por ejemplo, podrían enviar un inventario con formato incorrecto o intentar sobrecargar los sistemas de sitio. Implemente el cliente Configuration Manager solo en los dispositivos en los que confíe.

Use las siguientes instrucciones de seguridad para ayudar a proteger el sitio de dispositivos no autorizados o en peligro.

Uso de certificados de infraestructura de clave pública (PKI) para las comunicaciones de cliente con sistemas de sitio que ejecutan IIS

  • Como propiedad de sitio, configure la configuración del sistema de sitiosolo para HTTPS. Para obtener más información, vea Configurar la seguridad.

  • Instale clientes con la propiedad UsePKICert CCMSetup.

  • Use una lista de revocación de certificados (CRL). Asegúrese de que los clientes y los servidores de comunicación siempre puedan acceder a él.

Los clientes de dispositivos móviles y algunos clientes basados en Internet requieren estos certificados. Microsoft recomienda estos certificados para todas las conexiones de cliente de la intranet.

Para obtener más información sobre el uso de certificados en Configuration Manager, consulte Planeamiento de certificados.

Importante

A partir de Configuration Manager versión 2103, los sitios que permiten la comunicación de cliente HTTP están en desuso. Configure el sitio para HTTPS o HTTP mejorado. Para obtener más información, consulte Habilitación del sitio para HTTP mejorado o solo HTTPS.

Aprobar automáticamente equipos cliente de dominios de confianza y comprobar y aprobar manualmente otros equipos

Cuando no se puede usar la autenticación PKI, la aprobación identifica un equipo en el que confía para que lo administre Configuration Manager. La jerarquía tiene las siguientes opciones para configurar la aprobación del cliente:

  • Manual
  • Automático para equipos en dominios de confianza
  • Automático para todos los equipos

El método de aprobación más seguro es aprobar automáticamente los clientes que son miembros de dominios de confianza. Esta opción incluye clientes unidos a un dominio en la nube de inquilinos Microsoft Entra conectados. A continuación, compruebe y apruebe manualmente todos los demás equipos. No se recomienda aprobar automáticamente todos los clientes, a menos que tenga otros controles de acceso para evitar que los equipos no confiables accedan a la red.

Para obtener más información sobre cómo aprobar manualmente equipos, consulte Administración de clientes desde el nodo dispositivos.

No confíe en el bloqueo para impedir que los clientes accedan a la jerarquía de Configuration Manager

La infraestructura de Configuration Manager rechaza los clientes bloqueados. Si los clientes están bloqueados, no pueden comunicarse con sistemas de sitio para descargar la directiva, cargar datos de inventario o enviar mensajes de estado o estado.

El bloqueo está diseñado para los siguientes escenarios:

  • Para bloquear los medios de arranque perdidos o en peligro al implementar un sistema operativo en los clientes
  • Cuando todos los sistemas de sitio aceptan conexiones de cliente HTTPS

Cuando los sistemas de sitio acepten conexiones de cliente HTTP, no confíe en el bloqueo para proteger la jerarquía de Configuration Manager de equipos que no son de confianza. En este escenario, un cliente bloqueado podría volver a unirse al sitio con un nuevo certificado autofirmado y un identificador de hardware.

La revocación de certificados es la línea de defensa principal frente a certificados potencialmente comprometidos. Una lista de revocación de certificados (CRL) solo está disponible desde una infraestructura de clave pública (PKI) compatible. Bloquear clientes en Configuration Manager ofrece una segunda línea de defensa para proteger la jerarquía.

Para obtener más información, vea Determinar si se deben bloquear los clientes.

Use los métodos de instalación de cliente más seguros que sean prácticos para su entorno.

  • En el caso de los equipos de dominio, la instalación de cliente de directiva de grupo y los métodos de instalación de cliente basados en actualizaciones de software son más seguros que la instalación de inserción de cliente .

  • Si aplica controles de acceso y controles de cambio, use métodos de instalación manual y de creación de imágenes.

  • Use la autenticación mutua kerberos con la instalación de inserción de cliente.

De todos los métodos de instalación de cliente, la instalación de inserción de cliente es la menos segura debido a las muchas dependencias que tiene. Estas dependencias incluyen permisos administrativos locales, el Admin$ recurso compartido y las excepciones de firewall. El número y el tipo de estas dependencias aumentan la superficie expuesta a ataques.

Cuando se usa la inserción de cliente, el sitio puede requerir autenticación mutua kerberos al no permitir la reserva a NTLM antes de establecer la conexión. Esta mejora ayuda a proteger la comunicación entre el servidor y el cliente. Para obtener más información, consulte Instalación de clientes con inserción de cliente.

Para obtener más información sobre los distintos métodos de instalación de cliente, vea Métodos de instalación de cliente.

Siempre que sea posible, seleccione un método de instalación de cliente que requiera los permisos de seguridad mínimos en Configuration Manager. Restrinja los usuarios administrativos a los que se asignan roles de seguridad con permisos que se pueden usar para fines distintos de la implementación de cliente. Por ejemplo, la configuración de la actualización automática del cliente requiere el rol de seguridad Administrador total , que concede a un usuario administrativo todos los permisos de seguridad.

Para obtener más información sobre las dependencias y los permisos de seguridad necesarios para cada método de instalación de cliente, vea Requisitos previos para los clientes de equipo.

Si debe usar la instalación de inserción de cliente, proteja la cuenta de instalación de inserción de cliente.

La cuenta de instalación de inserción de cliente debe ser miembro del grupo de administradores local en cada equipo que instale el cliente de Configuration Manager. Nunca agregue la cuenta de instalación de inserción de cliente al grupo Administradores de dominio . En su lugar, cree un grupo global y, a continuación, agregue ese grupo global al grupo de administradores local en los clientes. Cree un objeto de directiva de grupo para agregar una configuración de grupo restringido para agregar la cuenta de instalación de inserción de cliente al grupo de administradores local.

Para mayor seguridad, cree varias cuentas de instalación de inserción de cliente, cada una con acceso administrativo a un número limitado de equipos. Si una cuenta está en peligro, solo se ponen en peligro los equipos cliente a los que esa cuenta tiene acceso.

Eliminación de certificados antes de crear imágenes de clientes

Al implementar clientes mediante imágenes del sistema operativo, quite siempre los certificados antes de capturar la imagen. Estos certificados incluyen certificados PKI para la autenticación de cliente y certificados autofirmados. Si no quita estos certificados, es posible que los clientes se suplantan entre sí. No se pueden comprobar los datos de cada cliente.

Para obtener más información, vea Crear una secuencia de tareas para capturar un sistema operativo.

Asegúrese de que Configuration Manager cliente obtiene una copia autorizada de certificados

El certificado de clave raíz de confianza Configuration Manager

Cuando se cumplen las dos instrucciones siguientes, los clientes confían en la clave raíz de confianza Configuration Manager para autenticar puntos de administración válidos:

  • No ha ampliado el esquema de Active Directory para Configuration Manager
  • Los clientes no usan certificados PKI cuando se comunican con puntos de administración

En este escenario, los clientes no tienen ninguna manera de comprobar que el punto de administración es de confianza para la jerarquía a menos que usen la clave raíz de confianza. Sin la clave raíz de confianza, un atacante cualificado podría dirigir a los clientes a un punto de administración no autorizado.

Cuando los clientes no usan certificados PKI y no pueden descargar la clave raíz de confianza del catálogo global de Active Directory, aprovisione previamente los clientes con la clave raíz de confianza. Esta acción garantiza que no se puedan dirigir a un punto de administración no autorizado. Para obtener más información, consulte Planeamiento de la clave raíz de confianza.

Certificado de firma del servidor de sitio

Los clientes usan el certificado de firma del servidor de sitio para comprobar que el servidor de sitio firmó la directiva descargada desde un punto de administración. El servidor de sitio autofirma este certificado y se publica en Servicios de dominio de Active Directory.

Cuando los clientes no pueden descargar este certificado del catálogo global de Active Directory, lo descargan de forma predeterminada desde el punto de administración. Si el punto de administración se expone a una red que no es de confianza como Internet, instale manualmente el certificado de firma del servidor de sitio en los clientes. Esta acción garantiza que no pueden descargar directivas de cliente alteradas desde un punto de administración en peligro.

Para instalar manualmente el certificado de firma del servidor de sitio, use la propiedad client.msi CCMSetup SMSSIGNCERT.

Si el cliente descarga la clave raíz de confianza desde el primer punto de administración al que se pone en contacto, no use la asignación automática de sitios.

Para evitar el riesgo de que un nuevo cliente descargue la clave raíz de confianza desde un punto de administración no autorizado, use solo la asignación automática de sitios en los siguientes escenarios:

  • El cliente puede acceder a Configuration Manager información del sitio que se publica en Servicios de dominio de Active Directory.

  • Aprovisione previamente el cliente con la clave raíz de confianza.

  • Los certificados PKI de una entidad de certificación empresarial se usan para establecer la confianza entre el cliente y el punto de administración.

Para obtener más información sobre la clave raíz de confianza, consulte Planeamiento de la clave raíz de confianza.

Asegúrese de que las ventanas de mantenimiento sean lo suficientemente grandes como para implementar actualizaciones de software críticas.

Las ventanas de mantenimiento de las recopilaciones de dispositivos restringen los tiempos en que Configuration Manager pueden instalar software en estos dispositivos. Si configura la ventana de mantenimiento para que sea demasiado pequeña, es posible que el cliente no instale actualizaciones de software críticas. Este comportamiento deja al cliente vulnerable a cualquier ataque que la actualización de software mitiga.

Tome precauciones de seguridad para reducir la superficie expuesta a ataques en dispositivos Windows Embedded con filtros de escritura.

Al habilitar filtros de escritura en dispositivos Windows Embedded, las instalaciones de software o los cambios solo se realizan en la superposición. Estos cambios no se conservan después de reiniciar el dispositivo. Si usa Configuration Manager para deshabilitar los filtros de escritura, durante este período el dispositivo incrustado es vulnerable a los cambios en todos los volúmenes. Estos volúmenes incluyen carpetas compartidas.

Configuration Manager bloquea el equipo durante este período para que solo los administradores locales puedan iniciar sesión. Siempre que sea posible, tome otras precauciones de seguridad para ayudar a proteger el equipo. Por ejemplo, habilite las restricciones en el firewall.

Si usa ventanas de mantenimiento para conservar los cambios, planee estas ventanas cuidadosamente. Minimice el tiempo que se deshabilitan los filtros de escritura, pero consíguelos lo suficiente como para permitir que se completen las instalaciones y reinicios de software.

Uso de la versión de cliente más reciente con la instalación de cliente basada en actualizaciones de software

Si usa la instalación de cliente basada en actualizaciones de software e instala una versión posterior del cliente en el sitio, actualice la actualización de software publicada. A continuación, los clientes reciben la versión más reciente del punto de actualización de software.

Al actualizar el sitio, la actualización de software para la implementación de cliente que se publica en el punto de actualización de software no se actualiza automáticamente. Vuelva a publicar el cliente de Configuration Manager en el punto de actualización de software y actualice el número de versión.

Para obtener más información, consulte Instalación de Configuration Manager clientes mediante la instalación basada en actualizaciones de software.

Suspender solo la entrada de PIN de BitLocker en dispositivos de acceso restringido y de confianza

Configure solo la configuración de cliente para suspender la entrada de PIN de BitLocker al reiniciar enAlways para los equipos en los que confíe y que tengan acceso físico restringido.

Al establecer esta configuración de cliente en Always, Configuration Manager puede completar la instalación de software. Este comportamiento ayuda a instalar actualizaciones de software críticas y a reanudar los servicios. Si un atacante intercepta el proceso de reinicio, podría tomar el control del equipo. Use esta configuración solo cuando confíe en el equipo y cuando el acceso físico al equipo esté restringido. Por ejemplo, esta configuración podría ser adecuada para los servidores de un centro de datos.

Para obtener más información sobre esta configuración de cliente, consulte Acerca de la configuración de cliente.

No omitir la directiva de ejecución de PowerShell

Si configura la configuración de cliente de Configuration Manager para la directiva de ejecución de PowerShell en Omitir, Windows permite ejecutar scripts de PowerShell sin firmar. Este comportamiento podría permitir que el malware se ejecute en equipos cliente. Cuando la organización requiera esta opción, use una configuración de cliente personalizada. Asígnelo solo a los equipos cliente que deben ejecutar scripts de PowerShell sin firmar.

Para obtener más información sobre esta configuración de cliente, consulte Acerca de la configuración de cliente.

Guía de seguridad para dispositivos móviles

Instalación del punto de proxy de inscripción en una red perimetral y el punto de inscripción en la intranet

Para los dispositivos móviles basados en Internet que se inscriben con Configuration Manager, instale el punto de proxy de inscripción en una red perimetral y el punto de inscripción en la intranet. Esta separación de roles ayuda a proteger el punto de inscripción frente a ataques. Si un atacante pone en peligro el punto de inscripción, podría obtener certificados para la autenticación. También pueden robar las credenciales de los usuarios que inscriben sus dispositivos móviles.

Configuración de la contraseña para ayudar a proteger los dispositivos móviles frente al acceso no autorizado

Para dispositivos móviles inscritos por Configuration Manager: use un elemento de configuración de dispositivo móvil para configurar la complejidad de la contraseña como PIN. Especifique al menos la longitud mínima predeterminada de la contraseña.

Para los dispositivos móviles que no tienen instalado el cliente Configuration Manager pero que están administrados por el conector de Exchange Server: configure la configuración de contraseña para el conector de Exchange Server de modo que la complejidad de la contraseña sea el PIN. Especifique al menos la longitud mínima predeterminada de la contraseña.

Permitir solo la ejecución de aplicaciones firmadas por empresas en las que confíe

Ayude a evitar la alteración de la información de inventario y la información de estado al permitir que las aplicaciones se ejecuten solo cuando están firmadas por empresas en las que confía. No permita que los dispositivos instalen archivos sin firmar.

Para dispositivos móviles inscritos por Configuration Manager: use un elemento de configuración de dispositivo móvil para configurar la configuración de seguridad Aplicaciones sin firmar como Prohibidas. Configure las instalaciones de archivos sin firmar para que sean un origen de confianza.

En el caso de los dispositivos móviles que no tienen instalado el cliente de Configuration Manager, pero que están administrados por el conector de Exchange Server: configure la configuración de la aplicación para el conector de Exchange Server de modo que se prohíba la instalación de archivos sin firmar y las aplicaciones sin firmar.

Bloquear dispositivos móviles cuando no están en uso

Para evitar ataques de elevación de privilegios, bloquee el dispositivo móvil cuando no se use.

Para dispositivos móviles inscritos por Configuration Manager: use un elemento de configuración de dispositivo móvil para configurar la configuración de contraseña Tiempo de inactividad en minutos antes de que se bloquee el dispositivo móvil.

En el caso de los dispositivos móviles que no tienen instalado el cliente Configuration Manager pero que están administrados por el conector de Exchange Server: configure la configuración de contraseña del conector de Exchange Server para establecer el tiempo de inactividad en minutos antes de que se bloquee el dispositivo móvil.

Restricción de los usuarios que pueden inscribir sus dispositivos móviles

Ayude a evitar la elevación de privilegios mediante la restricción de los usuarios que pueden inscribir sus dispositivos móviles. Use una configuración de cliente personalizada en lugar de la configuración de cliente predeterminada para permitir que solo los usuarios autorizados inscriban sus dispositivos móviles.

Guía de afinidad de dispositivo de usuario para dispositivos móviles

No implemente aplicaciones en usuarios que tengan dispositivos móviles inscritos por Configuration Manager en los escenarios siguientes:

  • Más de una persona usa el dispositivo móvil.

  • El dispositivo está inscrito por un administrador en nombre de un usuario.

  • El dispositivo se transfiere a otra persona sin retirarse y, a continuación, se vuelve a inscribir el dispositivo.

La inscripción de dispositivos crea una relación de afinidad de dispositivo de usuario. Esta relación asigna al usuario que realiza la inscripción al dispositivo móvil. Si otro usuario usa el dispositivo móvil, puede ejecutar las aplicaciones implementadas en el usuario original, lo que podría dar lugar a una elevación de privilegios. De forma similar, si un administrador inscribe el dispositivo móvil para un usuario, las aplicaciones implementadas en el usuario no se instalan en el dispositivo móvil. En su lugar, es posible que se instalen las aplicaciones implementadas en el administrador.

Proteger la conexión entre el servidor de sitio Configuration Manager y el Exchange Server

Si el Exchange Server es local, use IPsec. Exchange hospedado protege automáticamente la conexión con HTTPS.

Uso del principio de privilegios mínimos para el conector de Exchange

Para obtener una lista de los cmdlets mínimos que requiere el conector de Exchange Server, consulte Administración de dispositivos móviles con Configuration Manager y Exchange.

Guía de seguridad para dispositivos macOS

Almacenar y acceder a los archivos de origen del cliente desde una ubicación protegida

Antes de instalar o inscribir el cliente en un equipo macOS, Configuration Manager no comprueba si estos archivos de origen de cliente se han alterado. Descargue estos archivos de un origen de confianza. Almacene y acceda a ellos de forma segura.

Supervisión y seguimiento del período de validez del certificado

Supervise y realice un seguimiento del período de validez de los certificados que usa para equipos macOS. Configuration Manager no admite la renovación automática de este certificado o le advierte de que el certificado está a punto de expirar. Un período de validez típico es de un año.

Para obtener más información sobre cómo renovar el certificado, consulte Renovación manual del certificado de cliente macOS.

Configuración del certificado raíz de confianza solo para SSL

Para ayudar a protegerse frente a la elevación de privilegios, configure el certificado para la entidad de certificación raíz de confianza para que solo sea de confianza para el protocolo SSL.

Al inscribir equipos Mac, se instala automáticamente un certificado de usuario para administrar el cliente de Configuration Manager. Este certificado de usuario incluye los certificados raíz de confianza en su cadena de confianza. Para restringir la confianza de este certificado raíz solo al protocolo SSL, use el procedimiento siguiente:

  1. En el equipo Mac, abra una ventana de terminal.

  2. Escriba el siguiente comando: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. En el cuadro de diálogo Acceso a llaveros , en la sección Cadenas de claves , seleccione Sistema. A continuación, en la sección Categoría , seleccione Certificados.

  4. Busque y abra el certificado de ca raíz para el certificado de cliente Mac.

  5. En el cuadro de diálogo del certificado de CA raíz, expanda la sección Confianza y, a continuación, realice los siguientes cambios:

    1. Al usar este certificado: cambie la opción Confianza siempre a Usar valores predeterminados del sistema.

    2. Capa de sockets seguros (SSL):no cambie ningún valor especificado a Confianza siempre.

  6. Cierre el cuadro de diálogo. Cuando se le solicite, escriba la contraseña del administrador y, a continuación, seleccione Actualizar configuración.

Después de completar este procedimiento, el certificado raíz solo es de confianza para validar el protocolo SSL. Otros protocolos que ahora no son de confianza con este certificado raíz son Correo seguro (S/MIME), Autenticación extensible (EAP) o firma de código.

Nota:

Use también este procedimiento si instaló el certificado de cliente independientemente de Configuration Manager.

Problemas de seguridad para los clientes

Los siguientes problemas de seguridad no tienen mitigación:

Los mensajes de estado no se autentican

El punto de administración no autentica los mensajes de estado. Cuando un punto de administración acepta conexiones de cliente HTTP, cualquier dispositivo puede enviar mensajes de estado al punto de administración. Si el punto de administración solo acepta conexiones de cliente HTTPS, un dispositivo debe tener un certificado de autenticación de cliente válido, pero también podría enviar cualquier mensaje de estado. El punto de administración descarta cualquier mensaje de estado no válido recibido de un cliente.

Hay algunos posibles ataques contra esta vulnerabilidad:

  • Un atacante podría enviar un mensaje de estado falso para obtener la pertenencia a una colección basada en consultas de mensajes de estado.
  • Cualquier cliente podría iniciar una denegación de servicio en el punto de administración inundando con mensajes de estado.
  • Si los mensajes de estado desencadenan acciones en las reglas de filtro de mensajes de estado, un atacante podría desencadenar la regla de filtro de mensajes de estado.
  • Un atacante podría enviar un mensaje de estado que haría que la información de informes fuera inexacta.

Las directivas se pueden redestinar a clientes no de destino

Hay varios métodos que los atacantes podrían usar para que una directiva destinada a un cliente se aplique a un cliente completamente diferente. Por ejemplo, un atacante de un cliente de confianza podría enviar información de detección o de inventario falsa para que el equipo se agregue a una colección a la que no debería pertenecer. A continuación, ese cliente recibe todas las implementaciones en esa colección.

Existen controles que ayudan a evitar que los atacantes modifiquen directamente la directiva. Sin embargo, los atacantes podrían tomar una directiva existente que reforma y vuelve a implementar un sistema operativo y enviarlo a otro equipo. Esta directiva redirigida podría crear una denegación de servicio. Estos tipos de ataques requerirían un tiempo preciso y un amplio conocimiento de la infraestructura de Configuration Manager.

Los registros de cliente permiten el acceso del usuario

Todos los archivos de registro de cliente permiten al grupo Usuarios con acceso de lectura y al usuario interactivo especial con acceso para escribir datos. Si habilita el registro detallado, los atacantes podrían leer los archivos de registro para buscar información sobre las vulnerabilidades de cumplimiento o del sistema. Los procesos como el software que el cliente instala en el contexto de un usuario deben escribir en los registros con una cuenta de usuario con pocos derechos. Este comportamiento significa que un atacante también podría escribir en los registros con una cuenta de derechos bajos.

El riesgo más grave es que un atacante pueda quitar información en los archivos de registro. Es posible que un administrador necesite esta información para la auditoría y la detección de intrusiones.

Un equipo podría usarse para obtener un certificado diseñado para la inscripción de dispositivos móviles

Cuando Configuration Manager procesa una solicitud de inscripción, no puede comprobar que la solicitud se originó desde un dispositivo móvil en lugar de desde un equipo. Si la solicitud procede de un equipo, puede instalar un certificado PKI que le permita registrarse con Configuration Manager.

Para ayudar a evitar un ataque de elevación de privilegios en este escenario, solo permita que los usuarios de confianza inscriban sus dispositivos móviles. Supervise cuidadosamente las actividades de inscripción de dispositivos en el sitio.

Un cliente bloqueado todavía puede enviar mensajes al punto de administración

Cuando bloquea un cliente en el que ya no confía, pero establece una conexión de red para la notificación de cliente, Configuration Manager no desconecta la sesión. El cliente bloqueado puede seguir enviando paquetes a su punto de administración hasta que el cliente se desconecte de la red. Estos paquetes son solamente paquetes pequeños y persistentes. Este cliente no se puede administrar mediante Configuration Manager hasta que se desbloquee.

La actualización automática del cliente no comprueba el punto de administración

Cuando se usa la actualización automática del cliente, se puede dirigir al cliente a un punto de administración para descargar los archivos de origen del cliente. En este escenario, el cliente no comprueba el punto de administración como origen de confianza.

Cuando los usuarios inscriben por primera vez equipos macOS, están en riesgo de suplantación de dns

Cuando el equipo macOS se conecta al punto de proxy de inscripción durante la inscripción, es poco probable que el equipo macOS ya tenga el certificado de ca raíz de confianza. En este momento, el equipo macOS no confía en el servidor y pide al usuario que continúe. Si un servidor DNS no autorizado resuelve el nombre de dominio completo (FQDN) del punto de proxy de inscripción, podría dirigir el equipo macOS a un punto de proxy de inscripción no autorizado para instalar certificados desde un origen que no es de confianza. Para ayudar a reducir este riesgo, siga las instrucciones de DNS para evitar la suplantación de identidad en su entorno.

La inscripción de macOS no limita las solicitudes de certificado

Los usuarios pueden volver a inscribir sus equipos macOS, cada vez que solicitan un nuevo certificado de cliente. Configuration Manager no comprueba varias solicitudes ni limita el número de certificados solicitados desde un único equipo. Un usuario no autorizado podría ejecutar un script que repita la solicitud de inscripción de línea de comandos. Este ataque podría provocar una denegación de servicio en la red o en la entidad de certificación (CA) emisora. Para ayudar a reducir este riesgo, supervise cuidadosamente la entidad de certificación emisora para este tipo de comportamiento sospechoso. Bloquee inmediatamente de la jerarquía de Configuration Manager cualquier equipo que muestre este patrón de comportamiento.

Una confirmación de borrado no comprueba que el dispositivo se haya borrado correctamente

Al iniciar una acción de borrado para un dispositivo móvil y Configuration Manager confirma el borrado, la comprobación es que Configuration Manager enviado correctamente el mensaje. No comprueba que el dispositivo actuó en la solicitud.

En el caso de los dispositivos móviles administrados por el conector de Exchange Server, una confirmación de borrado comprueba que Exchange ha recibido el comando, no el dispositivo.

Si usa las opciones para confirmar cambios en dispositivos Windows Embedded, es posible que las cuentas se bloquee antes de lo esperado.

Si el dispositivo Windows Embedded ejecuta una versión del sistema operativo anterior a Windows 7 y un usuario intenta iniciar sesión mientras los filtros de escritura están deshabilitados por Configuration Manager, Windows solo permite la mitad del número configurado de intentos incorrectos antes de que se bloquee la cuenta.

Por ejemplo, configura la directiva de dominio para umbral de bloqueo de cuenta a seis intentos. Un usuario escribe erróneamente su contraseña tres veces y la cuenta está bloqueada. Este comportamiento crea de forma eficaz una denegación de servicio. Si los usuarios deben iniciar sesión en dispositivos incrustados en este escenario, adviviémoslos sobre la posibilidad de un umbral de bloqueo reducido.

Información de privacidad para clientes

Al implementar el cliente de Configuration Manager, se habilita la configuración del cliente para las características de Configuration Manager. Los valores que se usan para configurar las características se pueden aplicar a todos los clientes de la jerarquía de Configuration Manager. Este comportamiento es el mismo si están conectados directamente a la red interna, conectados a través de una sesión remota o conectados a Internet.

La información de cliente se almacena en la base de datos del sitio de Configuration Manager en el SQL Server y no se envía a Microsoft. La información se mantiene en la base de datos hasta que la tarea de mantenimiento del sitio elimina datos de detección antiguos cada 90 días. Puede configurar el intervalo de eliminación.

Algunos datos de uso y diagnósticos resumidos o agregados se envían a Microsoft. Para obtener más información, consulte Diagnósticos y datos de uso.

Puede obtener más información sobre la recopilación y el uso de datos de Microsoft en la Declaración de privacidad de Microsoft.

Estado del cliente

Configuration Manager supervisa la actividad de los clientes. Evalúa periódicamente el cliente Configuration Manager y puede corregir problemas con el cliente y sus dependencias. El estado del cliente está habilitado de forma predeterminada. Usa métricas del lado servidor para las comprobaciones de actividad del cliente. El estado del cliente usa acciones del lado cliente para las comprobaciones automáticas, la corrección y el envío de información de estado de cliente al sitio. El cliente ejecuta las comprobaciones automáticas según una programación que configure. El cliente envía los resultados de las comprobaciones al sitio de Configuration Manager. Esta información se cifra durante la transferencia.

La información de estado del cliente se almacena en la base de datos Configuration Manager de la SQL Server y no se envía a Microsoft. La información no se almacena en formato cifrado en la base de datos del sitio. Esta información se conserva en la base de datos hasta que se elimina según el valor configurado para la opción Conservar el historial de estado de cliente para el siguiente número de días de configuración de estado de cliente. El valor predeterminado de esta configuración es cada 31 días.

Información de privacidad del conector de Exchange Server

El conector de Exchange Server busca y administra los dispositivos que se conectan a un Exchange Server local o hospedado mediante el protocolo ActiveSync. Los registros encontrados por Exchange Server Connector se almacenan en la base de datos de Configuration Manager de la SQL Server. La información se recopila del Exchange Server. No contiene información adicional de lo que los dispositivos móviles envían a Exchange Server.

La información del dispositivo móvil no se envía a Microsoft. La información del dispositivo móvil se almacena en la base de datos Configuration Manager de la SQL Server. La información se mantiene en la base de datos hasta que la tarea de mantenimiento del sitio elimina datos de detección antiguos cada 90 días. Configure el intervalo de eliminación.

Puede obtener más información sobre la recopilación y el uso de datos de Microsoft en la Declaración de privacidad de Microsoft.