Establecer la entidad de administración de dispositivos móviles

  • Artículo

La configuración de la entidad de administración de dispositivos móviles (MDM) determina cómo se administran los dispositivos. Como administrador de TI, debe establecer una entidad de MDM antes de que los usuarios puedan inscribir dispositivos para la administración. También se le debe asignar una licencia de Intune para establecer la entidad de MDM.

Las configuraciones posibles son:

  • Intune independiente: administración solo en la nube, que se configura con Azure Portal. Incluye el conjunto completo de funcionalidades que ofrece Intune. Establezca la entidad de MDM en el centro de administración de Microsoft Intune.

  • Administración conjunta de Intune: integración de la solución de nube de Intune con Configuration Manager para dispositivos Windows 10. Intune se configura mediante la consola de Configuration Manager. Configuración de la inscripción automática de dispositivos en Intune.

  • Movilidad básica y seguridad para Microsoft 365: después de activar esta configuración, la entidad de MDM se establece en "Office 365". Si quiere empezar a usar Intune, debe comprar licencias de Intune.

  • Movilidad básica y seguridad para la coexistencia de Microsoft 365: puede agregar Intune a su inquilino si ya usa Movilidad básica y seguridad para Microsoft 365. Puede establecer la autoridad de administración en Intune o Movilidad básica y seguridad para Microsoft 365 para que cada usuario determine qué servicio se usa para administrar sus dispositivos inscritos en MDM. La autoridad de administración de cada usuario se define en función de la licencia asignada al usuario:

    • Movilidad básica y seguridad para Microsoft 365 administra los dispositivos de los usuarios que solo tienen una licencia para Microsoft 365 Básico o Standard.
    • Intune administra los dispositivos de los usuarios que tienen una licencia que los concede para usarlos.
    • Si agrega una licencia que da derecho a Intune a un usuario administrado anteriormente por Movilidad básica y seguridad para Microsoft 365, sus dispositivos se cambian a administración de Intune. Para evitar perder Movilidad básica y seguridad para la configuración de Microsoft 365 en los dispositivos de los usuarios, asegúrese de asignar configuraciones de Intune a los usuarios antes de cambiarlas a Intune.

Establecer entidad de MDM en Intune

En el caso de los inquilinos que usan la versión de servicio 1911 y versiones posteriores, la entidad de MDM se establece automáticamente en Intune.

En el caso de los inquilinos que usan la versión de servicio 1911 y versiones posteriores, si ha activado Movilidad básica y seguridad, siga los pasos de esta sección.

Para los inquilinos de versión de servicio anteriores a 1911, si aún no ha establecido la entidad de MDM, siga los pasos de esta sección.

  1. En el centro de administración de Microsoft Intune, seleccione el banner naranja para abrir la configuración Mobile Administración de dispositivos Authority (Entidad de Administración de dispositivos móvil). El banner naranja aparece únicamente si aún no ha establecido la entidad de MDM.

  2. En Entidad de administración de dispositivos móviles, elija la entidad de MDM entre las opciones siguientes:

    • Entidad de MDM de Intune
    • Ninguna

    Captura de pantalla de la pantalla establecimiento de la entidad de administración de dispositivos móviles en Intune.

Un mensaje indica que ha configurado correctamente su entidad de MDM en Intune.

Flujo de trabajo de UI de administración de Intune

Cuando se habilita la administración de dispositivos Android o Apple, Intune envía información del usuario y dispositivo para integrar con estos servicios de terceros a fin de administrar sus dispositivos correspondientes.

Los escenarios que agregan un consentimiento para compartir datos se incluyen cuando:

  • Se habilitan perfiles de trabajo de propiedad personal y corporativa de Android Enterprise.
  • Se habilitan y cargan certificados push MDM de Apple.
  • Se habilita cualquiera de los servicios de Apple, por ejemplo, el Programa de inscripción de dispositivos, School Manager o el Programa de Compras por Volumen.

En cada caso, el consentimiento está estrictamente relacionado con la ejecución de un servicio de administración de dispositivos móviles. Por ejemplo, confirmar que un administrador de TI ha autorizado a dispositivos Google o Apple para que se inscriban. La documentación para tratar qué información se comparte cuando los nuevos flujos de trabajo se publican está disponible en las siguientes ubicaciones:

Principales consideraciones

Después de cambiar a la nueva entidad de MDM, hay algún tiempo de transición (hasta ocho horas) antes de que el dispositivo se compruebe y se sincronice con el servicio. Debe configurar los valores de la nueva entidad de MDM para asegurarse de que los dispositivos inscritos sigan siendo administrados y protegidos después del cambio.

  • Los dispositivos deben conectarse al servicio después del cambio para que la configuración de la nueva entidad de MDM (Intune independiente) reemplace la configuración existente en el dispositivo.
  • Después de cambiar la entidad de MDM, algunas de las opciones básicas (como los perfiles) de la entidad de MDM anterior permanecerán en el dispositivo durante siete días o hasta que el dispositivo se conecte al servicio por primera vez. Debe configurar aplicaciones y opciones (como directivas, perfiles y aplicaciones) en la nueva entidad de MDM lo antes posible e implementar la configuración en los grupos de usuarios que contienen usuarios que tienen dispositivos inscritos existentes. En cuanto el dispositivo se conecte con el servicio tras el cambio en la entidad de MDM, recibirá la nueva configuración desde la nueva entidad de MDM, evitando así los tiempos de inactividad en administración y protección.
  • Los dispositivos sin usuarios asociados (normalmente cuando se tiene el Programa de inscripción de dispositivos iOS/iPadOS o escenarios de inscripción masiva) no se migran a la nueva entidad de MDM. Para esos dispositivos, debe llamar al soporte técnico para solicitar ayuda para trasladarlos a la nueva entidad de MDM.

Coexistencia

Al habilitar la coexistencia, puede usar Intune para un nuevo conjunto de usuarios mientras continúa usando Movilidad básica y seguridad para los usuarios existentes. Puede controlar qué dispositivos administra Intune a través del usuario. Intune administra todos los dispositivos inscritos por un usuario, si el usuario tiene una licencia de Intune o usa la administración conjunta de Intune con Configuration Manager. De lo contrario, el usuario se administra mediante la movilidad y seguridad básicas.

Para habilitar la coexistencia, se deben realizar principalmente tres pasos:

  1. Preparación
  2. Adición de la entidad de MDM de Intune
  3. Migración de usuarios y dispositivos (opcional).

Preparación

Antes de habilitar la coexistencia con la movilidad y seguridad básicas, tenga en cuenta lo siguiente:

  • Asegúrese de que dispone de suficientes licencias de Intune para los usuarios que quiere administrar mediante Intune.
  • Revise qué usuarios tienen asignadas licencias de Intune. Después de habilitar la coexistencia, todos los usuarios a los que ya se les haya asignado una licencia de Intune, tendrán sus dispositivos cambiados a Intune. Para evitar cambios de dispositivo inesperados, se recomienda no asignar ninguna licencia de Intune hasta que se haya habilitado la coexistencia.
  • Cree e implemente directivas de Intune para reemplazar las directivas de seguridad de dispositivos que se implementaron originalmente mediante el Portal de seguridad y cumplimiento de Office 365. Este reemplazo debe realizarse para los usuarios que pasan de la movilidad y seguridad básicas a Intune. Si no hay ninguna directiva de Intune asignada a esos usuarios, la habilitación de la coexistencia podría hacer que se perdiera la configuración de la movilidad y seguridad básicas. Esta configuración se pierde sin reemplazo, como los perfiles de correo electrónico administrado. Incluso al reemplazar las directivas de seguridad de dispositivos por directivas de Intune, es posible que se pida a los usuarios que vuelvan a autenticar sus perfiles de correo electrónico después de que el dispositivo se mueva a la administración de Intune.
  • No se puede desaprovisionar la movilidad y la seguridad básicas después de configurarlas. Sin embargo, hay pasos que puede seguir para desactivar las directivas. Para obtener más información, vea Desactivar movilidad y seguridad básicas.

Agregar entidad de MDM de Intune

Para habilitar la coexistencia, debe agregar Intune como entidad de MDM a su entorno:

  1. Inicie sesión en el centro de administración de Microsoft Intune con Microsoft Entra derechos de administrador de servicios globales o de Intune.

  2. Navegar a Dispositivos.

  3. Se muestra la hoja Agregar entidad de MDM.

  4. Para cambiar la entidad de MDM de Office 365 a Intune y habilitar la coexistencia, seleccione Entidad de Intune MDM>Agregar.

    Captura de pantalla de la pantalla Agregar entidad de MDM.

Migración de usuarios y dispositivos (opcional)

Después de habilitar la entidad de MDM de Intune, se activa la coexistencia y puede empezar a administrar usuarios a través de Intune. Opcionalmente, puede mover los dispositivos administrados anteriormente por Movilidad básica y seguridad para que los administre Intune mediante la asignación de una licencia de Intune a esos usuarios. Los dispositivos de los usuarios cambiarán a Intune en la siguiente sincronización de MDM. La configuración que se aplicó a estos dispositivos a través de Movilidad básica y seguridad ya no se aplica y se quita de los dispositivos.

Limpieza de dispositivos móviles tras la expiración del certificado MDM

El certificado MDM se renueva automáticamente cuando los dispositivos móviles se comunican con el servicio de Intune. Si se borran los dispositivos móviles o estos no pueden comunicarse con el servicio de Intune durante un tiempo, el certificado MDM no se renueva. El dispositivo se quita de Azure Portal 180 días después de que expire el certificado MDM.

Eliminación de la entidad de MDM

No se puede cambiar la entidad de MDM a Desconocido. El servicio usa la entidad de MDM para determinar a qué portal informan los dispositivos inscritos (Microsoft Intune o Basic Mobility and Security for Microsoft 365).

Qué esperar después de cambiar la entidad de MDM

  • Cuando el servicio intune detecta un cambio en la entidad de MDM de un inquilino, envía un mensaje de notificación a todos los dispositivos inscritos. El mensaje de notificación solicita a los dispositivos que se activen y sincronicen con el servicio, fuera de su programación habitual. Como resultado, todos los dispositivos encendidos y en línea se conectan con el servicio y reciben la nueva entidad de MDM. La nueva autoridad administra y protege los dispositivos sin interrupciones. Por lo tanto, después de cambiar la entidad de MDM para el inquilino de Intune independiente, los dispositivos seguirán funcionando normalmente bajo la nueva entidad de MDM.

  • Los dispositivos que están encendidos y en línea durante o poco después del cambio en la entidad de MDM experimentan un retraso. El retraso puede durar hasta ocho horas, dependiendo del tiempo de la próxima comprobación regular programada. Durante el retraso, los dispositivos no se registran en el servicio bajo la nueva entidad de MDM. Después del retraso, los dispositivos están totalmente registrados y operativos bajo la nueva entidad de MDM.

    Importante

    Entre el momento en que cambie la entidad MDM y se cargue el certificado de APNs renovado en la nueva entidad, se producirá un error en las inscripciones de nuevos dispositivos y las comprobaciones de dispositivos iOS/iPadOS. Por lo tanto, es importante revisar y cargar el certificado de Apple Push Notification Service en la nueva entidad tan pronto como sea posible después del cambio de entidad de MDM.

  • Los usuarios pueden cambiar rápidamente a la nueva entidad de MDM iniciando manualmente una comprobación desde el dispositivo en el servicio. Los usuarios pueden realizar este cambio con facilidad mediante la aplicación del Portal de empresa y el inicio de una comprobación de cumplimiento del dispositivo.

  • Para validar que todo funciona correctamente después de que los dispositivos se hayan comprobado y sincronizado con el servicio tras el cambio de entidad de MDM, busque los dispositivos en la entidad de MDM.

  • Existe un período transitorio entre el momento en que un dispositivo está sin conexión durante el cambio de entidad de MDM y el momento en que se comprueba la idoneidad de ese dispositivo para su registro en el servicio. Durante el período intermedio, es importante proteger y mantener la funcionalidad del dispositivo. Para proteger y mantener la funcionalidad del dispositivo, los siguientes perfiles permanecen en el dispositivo. Estos perfiles permanecen en el dispositivo hasta siete días o hasta que el dispositivo se conecta con la nueva entidad de MDM. Una vez que el dispositivo se conecta y recibe una nueva configuración, se sobrescriben los perfiles existentes:

    • Perfil de correo electrónico
    • Perfil de VPN
    • Perfil de certificado
    • Perfil de Wi-Fi
    • Perfiles de configuración

  • Después de cambiar a la nueva entidad de MDM, los datos de cumplimiento del centro de administración de Microsoft Intune pueden tardar hasta una semana en informar con precisión. Sin embargo, los estados de cumplimiento en Microsoft Entra id. y en el dispositivo son precisos para que el dispositivo siga estando protegido.

  • Asegúrese de que la nueva configuración destinada a sobrescribir la configuración existente tenga el mismo nombre que las anteriores para asegurarse de que se sobrescribe la configuración anterior. En caso contrario, los dispositivos podrían terminar con directivas y perfiles redundantes.

    Sugerencia

    Es recomendable que cree todas las configuraciones y parámetros de administración, así como las implementaciones, poco después de que se haya completado el cambio a la entidad de MDM. De este modo, se asegurará de que los dispositivos están protegidos y se administran de manera activa durante el período transitorio.

  • Después de cambiar la entidad de MDM, siga estos pasos para validar que los nuevos dispositivos se inscriben correctamente en la nueva entidad:

    • Inscripción de un dispositivo nuevo
    • Asegúrese de que el dispositivo recién inscrito aparece en la entidad de MDM.
    • Realice una acción, como Bloqueo remoto, desde el centro de administración de Microsoft Intune al dispositivo. Si se realiza correctamente, la nueva entidad de MDM administra el dispositivo.

  • Si tiene problemas con dispositivos concretos, puede anular la inscripción de esos dispositivos y realizarla de nuevo para que se conecten a la nueva entidad y se administren lo antes posible.

Confirmación de la entidad de MDM del inquilino

Para confirmar que la entidad de MDM está establecida en Intune, siga estos pasos:

  1. En el centro de administración de Microsoft Intune, seleccione Administración de inquilinos>Estado del inquilino.
  2. En la pestaña Detalles del inquilino , busque Entidad de MDM.

Siguientes pasos

Con la entidad de MDM configurada, puede empezar a inscribir dispositivos.