Asignación de directivas en Microsoft Intune

Al crear una directiva de Intune, incluye toda la configuración que agregó y configuró dentro de la directiva. Cuando la directiva esté lista para implementarse, el siguiente paso es "asignar" la directiva a los grupos de usuarios o dispositivos. Cuando se asigna, los usuarios y dispositivos reciben la directiva y se aplica la configuración especificada.

En Intune, puede crear y asignar las siguientes directivas:

  • Directivas de protección de aplicaciones
  • Directivas de configuración de aplicaciones
  • Directivas de cumplimiento
  • Directivas de acceso condicional
  • Perfiles de configuración de dispositivos
  • Directivas de inscripción

En este artículo se muestra cómo asignar una directiva, se incluye información sobre el uso de etiquetas de ámbito, se describe cuándo asignar directivas a grupos de usuarios o grupos de dispositivos, etc.

Antes de empezar

Asegúrese de que tiene el rol correcto para asignar directivas y perfiles. Para obtener más información, vaya a Control de acceso basado en rol (RBAC) con Microsoft Intune.

Asignación de una directiva a usuarios o grupos

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Configuración de dispositivos>. Se muestran todos los perfiles.

  3. Seleccione el perfil que desea asignar >Edición de asignaciones de>propiedades>:

    Por ejemplo, para asignar un perfil de configuración de dispositivo:

    1. Vaya aConfiguración dedispositivos>. Se muestran todos los perfiles.

    2. Seleccione la directiva que desea asignar > Editarasignaciones> de propiedades>:

      Captura de pantalla que muestra cómo seleccionar asignaciones para implementar el perfil en usuarios y grupos de Microsoft Intune.

  4. En Grupos incluidos o Grupos excluidos, elija Agregar grupos para seleccionar uno o varios grupos Microsoft Entra. Si tiene previsto implementar la directiva en general en todos los dispositivos aplicables, seleccione Agregar todos los usuarios o Agregar todos los dispositivos.

    Nota:

    Si selecciona "Todos los dispositivos" y "Todos los usuarios", se deshabilita la opción para agregar grupos de Microsoft Entra adicionales.

  5. Seleccione Revisar y guardar. Este paso no asigna la directiva.

  6. Seleccione Guardar. Al guardar, se asigna la directiva. Los grupos recibirán la configuración de directiva cuando los dispositivos se registren con el servicio Intune.

Características de asignación que debe conocer y usar

Grupos de usuarios y grupos de dispositivos

Muchos usuarios se preguntan cuándo usar grupos de usuarios y cuándo grupos de dispositivos. La respuesta depende del objetivo. Esta es una guía para ayudarle a comenzar.

Grupos de dispositivo

Si desea aplicar la configuración en un dispositivo, independientemente de quién haya iniciado sesión, asigne las directivas a un grupo de dispositivos. La configuración que se aplica a grupos de dispositivos siempre va con el dispositivo, no con el usuario.

Por ejemplo:

  • Los grupos de dispositivos son útiles para administrar dispositivos que no tienen un usuario dedicado. Este sería el caso de dispositivos que imprimen entradas, examinan inventario, se comparten entre los trabajadores por turnos o se asignan a un almacén específico. Coloque estos dispositivos en un grupo de dispositivos y asigne las directivas a este grupo de dispositivos.

  • Se crea un perfil Device Firmware Configuration Interface (DFCI) de Intune que actualiza la configuración en el BIOS. Por ejemplo, configure esta directiva para deshabilitar la cámara del dispositivo o bloquee las opciones de arranque para evitar que los usuarios arranquen otro sistema operativo. Esta directiva es un buen escenario para asignar a un grupo de dispositivos.

  • En algunos dispositivos Windows específicos, siempre le interesará controlar algunos valores de configuración de Microsoft Edge, con independencia de quién use el dispositivo. Por ejemplo, si quiere bloquear todas las descargas, limite todas las cookies a la sesión de exploración actual y elimine el historial de exploración. En este escenario, coloque estos dispositivos Windows específicos en un grupo de dispositivos. A continuación, cree una plantilla administrativa en Intune, agregue esta configuración de dispositivo y, a continuación, asigne esta directiva al grupo de dispositivos.

En resumen, use grupos de dispositivos cuando no le preocupe quién haya iniciado sesión en el dispositivo o si alguien lo hace. Le interesa que la configuración esté siempre en el dispositivo.

Grupos de usuario

La configuración de directiva aplicada a los grupos de usuarios siempre va con el usuario y va con el usuario cuando inicia sesión en sus muchos dispositivos. Es normal que los usuarios tengan muchos dispositivos, como un equipo Surface Pro para trabajar o un dispositivo iOS/iPadOS personal. Además, es normal que una persona acceda al correo electrónico y a otros recursos de la organización desde estos dispositivos.

Si un usuario tiene varios dispositivos en la misma plataforma, puede usar filtros en la asignación de grupo. Por ejemplo, un usuario tiene un dispositivo iOS/iPadOS personal y otro iOS/iPadOS que pertenece a la organización. Cuando se asigna una política para ese usuario, se pueden utilizar filtros para dirigirse solo al dispositivo propiedad de la organización.

Siga esta regla general: si una característica pertenece a un usuario, por ejemplo, los certificados de usuario o el correo electrónico, asígnela a los grupos de usuarios.

Por ejemplo:

  • Quiere colocar un icono del departamento de soporte técnico en todos los dispositivos de todos los usuarios. En este escenario, coloque estos usuarios en un grupo de usuarios y asigne la directiva de icono del Departamento de soporte técnico a este grupo de usuarios.

  • Un usuario recibe un nuevo dispositivo propiedad de la organización. El usuario inicia sesión en el dispositivo con su cuenta de dominio. El dispositivo se registra automáticamente en Microsoft Entra ID y se administra automáticamente mediante Intune. Esta directiva es un buen escenario para asignar a un grupo de usuarios.

  • Cada vez que un usuario inicia sesión en un dispositivo, querrá controlar las características de las aplicaciones, como OneDrive u Office. En este escenario, asigne la configuración de la directiva de OneDrive u Office a un grupo de usuarios.

    Por ejemplo, quiere bloquear los controles ActiveX que no son de confianza en las aplicaciones de Office. Puede crear una plantilla administrativa en Intune, configurar esta configuración y, a continuación, asignar esta directiva a un grupo de usuarios.

En resumen, use grupos de usuarios cuando quiera que la configuración y las reglas vayan siempre con el usuario, sea cual sea el dispositivo que usen.

Sesión múltiple de Azure Virtual Desktop

Puede usar Intune para administrar escritorios remotos de varias sesiones de Windows creados con Azure Virtual Desktop, al igual que administra cualquier otro dispositivo cliente de Windows compartido. Al asignar directivas a grupos de usuarios o dispositivos, la sesión múltiple de Azure Virtual Desktop es un escenario especial. Cuando se usan estas máquinas virtuales, los CSP de dispositivo deben tener como destino grupos de dispositivos. Los CSP de usuario deben tener como destino grupos de usuarios.

Para obtener más información, vaya a Uso de varias sesiones de Azure Virtual Desktop con Microsoft Intune.

CSP de Windows y su comportamiento

La configuración de directiva para dispositivos Windows se basa en los proveedores de servicios de configuración (CSP). Esta configuración se asigna a los archivos o claves de registro en los dispositivos.

Esto es lo que necesita saber sobre los CSP de Windows:

  • Intune expone estos CSP para que pueda configurar estas opciones y asignarlas a los dispositivos Windows. Esta configuración se puede configurar mediante las plantillas integradas y el catálogo de configuración. En el catálogo de configuración, verá que algunas opciones de configuración se aplican al ámbito de usuario y otras al ámbito del dispositivo.

    Para obtener información sobre cómo se aplica la configuración de ámbito de usuario y de dispositivo a dispositivos Windows, vaya al Catálogo de configuración: configuración del ámbito del dispositivo frente al ámbito de usuario.

  • Cuando se quita una directiva o ya no se asigna a un dispositivo, pueden ocurrir diferentes cosas, en función de la configuración de la directiva. Cada CSP puede controlar la eliminación de directivas de forma diferente.

    Por ejemplo, un valor de configuración podría mantener el valor existente y no volver a un valor predeterminado. Cada CSP controla el comportamiento en el sistema operativo. Para una lista de CSP de Windows, consulte la referencia del proveedor de servicios de configuración (CSP).

    Para cambiar una configuración a un valor diferente, cree una nueva directiva, configure la configuración en No configurada y asigne la directiva. Cuando la directiva se aplica al dispositivo, los usuarios deben tener control para cambiar la configuración a su valor preferido.

  • Al configurar estas opciones, se recomienda implementar en un grupo piloto. Para más información sobre el lanzamiento de Intune, consulte cómo crear un plan de lanzamiento.

Excluir grupos de una asignación de directiva

Intune directivas de configuración de dispositivos le permiten incluir y excluir grupos de la asignación de directivas.

Como procedimiento recomendado:

  • Cree y asigne directivas específicamente para los grupos de usuarios. Use filtros para incluir o excluir dispositivos de esos usuarios.
  • Cree y asigne directivas diferentes específicamente para los grupos de dispositivos.

Para más información sobre los grupos, consulte Agregar grupos para organizar usuarios y dispositivos.

Principios de inclusión y exclusión de grupos

Al asignar las directivas y directivas, aplique los siguientes principios generales:

  • Piense en Grupos incluidos o Grupos excluidos como punto de partida para los usuarios y dispositivos que recibirán las directivas. El grupo Microsoft Entra es el grupo de limitación, por lo que debe usar el ámbito de grupo más pequeño posible. Use filtros para limitar o refinar la asignación de directiva.

  • Los grupos de Microsoft Entra asignados, también conocidos como grupos estáticos, se pueden agregar a grupos incluidos o grupos excluidos.

    Normalmente, los dispositivos se asignan estáticamente a un grupo de Microsoft Entra si están previamente registrados en Microsoft Entra ID, como con Windows Autopilot. O bien, si desea combinar dispositivos para una implementación única y ad hoc. De lo contrario, podría no ser práctico asignar dispositivos estáticamente a un grupo de Microsoft Entra.

  • Los grupos de usuarios Microsoft Entra dinámicos se pueden agregar a grupos incluidos o grupos excluidos.

  • Los grupos excluidos pueden ser grupos con usuarios o grupos con dispositivos.

  • Los grupos de dispositivos Microsoft Entra dinámicos se pueden agregar a grupos incluidos. Sin embargo, puede haber latencia al rellenar la pertenencia dinámica a grupos. En escenarios sensibles a la latencia, use filtros para utilizar como destino dispositivos específicos y asigne las directivas a grupos de usuarios.

    Por ejemplo, quiere que las directivas se asignen a los dispositivos en cuanto se inscriban. En esta situación sensible a la latencia, cree un filtro para utilizar como destino los dispositivos que desee y asigne la directiva con este filtro a los grupos de usuarios. No asignar a grupos de dispositivos.

    En un escenario sin usuario, cree un filtro para dirigirse a los dispositivos que desee y asigne la directiva con el filtro al grupo "Todos los dispositivos".

  • Evite agregar grupos de dispositivos Microsoft Entra dinámicos a grupos excluidos. La latencia en el cálculo de grupos de dispositivos dinámicos durante la inscripción puede provocar resultados no deseados. Por ejemplo, es posible implementar aplicaciones y directivas no deseadas antes de que se rellene la pertenencia al grupo excluido.

Matriz de compatibilidad

Use la siguiente matriz para comprender la compatibilidad para excluir grupos:

  • ✔️: Compatible
  • ❌: No compatible
  • ❕: Parcialmente compatible

Captura de pantalla que muestra las opciones admitidas para incluir o excluir grupos de una asignación de directiva.

Escenario Soporte técnico
1 ❕ Se admite

la asignación parcial de directivas a un grupo de dispositivos dinámicos mientras se excluye otro grupo de dispositivos dinámicos. Sin embargo, no se recomienda en escenarios sensibles a la latencia. Cualquier retraso en el cálculo de la pertenencia a grupos de exclusión puede provocar que se ofrezcan directivas a los dispositivos. En este escenario, se recomienda usar filtros en lugar de grupos de dispositivos dinámicos para excluir dispositivos.

Por ejemplo, tiene una directiva de dispositivo asignada a Todos los dispositivos. Más adelante, tiene el requisito de que los nuevos dispositivos de marketing no reciban esta directiva. Por lo tanto, se crea un grupo de dispositivos dinámicos denominado Dispositivos de marketing en función de la propiedad enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). En la directiva, se agrega el grupo dinámico Dispositivos de marketing como grupo excluido.

Por primera vez se inscribe un nuevo dispositivo de marketing en Intune y se crea un nuevo objeto de dispositivo Microsoft Entra. El proceso de agrupación dinámica coloca el dispositivo en el grupo Dispositivos de marketing con un posible cálculo retrasado. De forma paralela, el dispositivo se inscribe en Intune y comienza a recibir todas las directivas aplicables. La directiva de Intune se puede implementar antes de que el dispositivo se coloque en el grupo de exclusión. Este comportamiento da lugar a la implementación de una directiva (o aplicación) no deseada en el grupo Dispositivos de marketing.

Como resultado, no se recomienda usar grupos de dispositivos dinámicos para exclusiones en escenarios confidenciales de latencia. En su lugar, use filtros.
2 ✔️ Se admite

la asignación de una directiva a un grupo de dispositivos dinámicos mientras se excluye un grupo de dispositivos estáticos.
3 ❌ No se admite

la asignación de una directiva a un grupo de dispositivos dinámicos, mientras que no se admiten grupos de usuarios (tanto dinámicos como estáticos). Intune no evalúa las relaciones de grupo entre usuarios y dispositivos, y los dispositivos de los usuarios incluidos no se excluirán.
4 ❌ No se admite

la asignación de una directiva a un grupo de dispositivos dinámicos y la exclusión de grupos de usuarios (tanto dinámicos como estáticos). Intune no evalúa las relaciones de grupo entre usuarios y dispositivos, y los dispositivos de los usuarios incluidos no se excluirán.
5 ❕ Se admite

la asignación parcial de una directiva a un grupo de dispositivos estáticos mientras se excluye un grupo de dispositivos dinámicos. Sin embargo, no se recomienda en escenarios sensibles a la latencia. Cualquier retraso en el cálculo de la pertenencia a grupos de exclusión puede provocar que se ofrezcan directivas a los dispositivos. En este escenario, se recomienda usar filtros en lugar de grupos de dispositivos dinámicos para excluir dispositivos.
6 ✔️ Se admite

la asignación de una directiva a un grupo de dispositivos estáticos y la exclusión de otro grupo de dispositivos estáticos.
7 ❌ No se admite

La asignación de una directiva a un grupo de dispositivos estáticos y la exclusión de grupos de usuarios (tanto dinámicos como estáticos) no se admite. Intune no evalúa las relaciones de grupo entre usuarios y dispositivos, y los dispositivos de los usuarios incluidos no se excluirán.
8 ❌ No se admite

La asignación de una directiva a un grupo de dispositivos estáticos y la exclusión de grupos de usuarios (tanto dinámicos como estáticos) no se admite. Intune no evalúa las relaciones de grupo entre usuarios y dispositivos, y los dispositivos de los usuarios incluidos no se excluirán.
9 ❌ No se admite

La asignación de una directiva a un grupo de usuarios dinámico y la exclusión de grupos de dispositivos (tanto dinámicos como estáticos) no se admite.
10 ❌ No se admite

La asignación de una directiva a un grupo de usuarios dinámico y la exclusión de grupos de dispositivos (tanto dinámicos como estáticos) no se admite.
11 ✔️ Se admite

la asignación de una directiva a un grupo de usuarios dinámico mientras se excluyen otros grupos de usuarios (tanto dinámicos como estáticos).
12 ✔️ Se admite

la asignación de una directiva a un grupo de usuarios dinámico mientras se excluyen otros grupos de usuarios (tanto dinámicos como estáticos).
13 ❌ No se admite

la asignación de una directiva a un grupo de usuarios estáticos, mientras que no se admiten grupos de dispositivos (tanto dinámicos como estáticos).
14 ❌ No se admite

la asignación de una directiva a un grupo de usuarios estáticos, mientras que no se admiten grupos de dispositivos (tanto dinámicos como estáticos).
15 ✔️ Se admite

la asignación de una directiva a un grupo de usuarios estático mientras se excluyen otros grupos de usuarios (tanto dinámicos como estáticos).
16 ✔️ Se admite

la asignación de una directiva a un grupo de usuarios estático mientras se excluyen otros grupos de usuarios (tanto dinámicos como estáticos).

Pasos siguientes

Consulte Supervisión de perfiles de dispositivo para obtener instrucciones sobre cómo supervisar las directivas y los dispositivos que ejecutan las directivas.