Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Intune se basa en tres pilares: las identidades que inician sesión, los dispositivos desde los que inician sesión y las aplicaciones que usan para realizar el trabajo. Intune orquesta estos pilares sobre Microsoft Entra ID y alimenta la posición del dispositivo y la aplicación de vuelta a Microsoft Entra acceso condicional, que permite acceder a los recursos corporativos.
Para obtener una introducción a lo que hace y por qué Intune, consulte ¿Qué es Microsoft Intune?. Para conocer los componentes, las integraciones y la vista de implementación, consulte Microsoft Intune arquitectura.
Los tres pilares
| Pilar | ¿Qué hace Intune? | En qué se basa Intune |
|---|---|---|
| Identidades | Tiene como destino directivas para usuarios y grupos, limita el acceso de administrador a través del control de acceso basado en rol (RBAC) y crea afinidad de usuario en la inscripción. | Microsoft Entra ID para cuentas, grupos, autenticación y acceso condicional. |
| Devices | Inscribe, configura, protege y retira el hardware que ejecuta el trabajo de su organización. Notifica el estado de cumplimiento del acceso condicional. | Programas de inscripción de plataforma (Windows Autopilot, Apple Automated Device Enrollment, Android Enterprise). |
| Aplicaciones | Implementa, configura, protege y actualiza las aplicaciones que los usuarios necesitan en dispositivos inscritos y personales. | Tiendas de aplicaciones y catálogos de proveedores (Microsoft Store, App Store, Google Play administrado, Apple Business). |
El resto de este artículo recorre cada pilar y termina con un ejemplo trabajado que realiza un seguimiento de un inicio de sesión único en los tres.
Identidades
Intune no almacena identidades de usuario. Usa Microsoft Entra ID para cuentas, grupos, autenticación y acceso condicional. Dentro de Intune, las identidades aparecen en tres lugares.
Afinidad de usuario en la inscripción
Cuando un usuario inicia sesión en un dispositivo por primera vez, el dispositivo se asocia a ese usuario. Esta asociación se denomina afinidad de usuario. Las directivas asignadas al usuario las siguen en todos sus dispositivos asociados y el usuario puede acceder a su correo electrónico, archivos y aplicaciones desde cualquiera de esos dispositivos.
Cuando no hay ningún usuario asociado a un dispositivo, el dispositivo es sin usuario. Este patrón es común para quioscos dedicados a una sola tarea y para dispositivos compartidos usados por varias personas.
Decida el propósito previsto del dispositivo antes de la inscripción para que pueda elegir el método de inscripción adecuado. Para obtener instrucciones específicas de la plataforma, consulte Inscripción de dispositivos en Microsoft Intune.
Acceso basado en rol para administradores
Intune usa el control de acceso basado en rol (RBAC) para determinar lo que cada administrador puede ver y hacer en el centro de administración. Roles integrados como Application Manager y permisos de ámbito de Policy y Profile Manager para tareas específicas de administración de puntos de conexión. Dado que Intune usa Microsoft Entra ID, también están disponibles los roles de Microsoft Entra integrados (incluido el administrador de Intune).
Empareje RBAC con etiquetas de ámbito para restringir lo que un administrador puede ver, no solo lo que puede hacer. Por ejemplo, asigne a un departamento de soporte técnico regional un rol que permita borrados de dispositivos, pero etiquete para que solo puedan ver y borrar dispositivos en su región.
Para obtener más información, consulte Control de acceso basado en rol con Microsoft Intune y Uso de etiquetas de ámbito para filtrar directivas.
Directivas y asignaciones de destino
Intune se basa en la nube y tiene como destino directivas directamente a usuarios o grupos. No hay ninguna jerarquía de contenedores como unidades organizativas. Cree una directiva y, a continuación, asígnela a uno o varios grupos de Microsoft Entra.
Puede dirigirse a una directiva para:
- Grupos de usuarios, cuando la configuración debe seguir al usuario en sus dispositivos. Por ejemplo, un perfil de correo electrónico o una implementación de aplicación.
- Grupos de dispositivos, cuando la configuración debe aplicarse independientemente de quién haya iniciado sesión Por ejemplo, una configuración de pantalla completa o una directiva de trabajo de primera línea.
- Grupos virtuales integrados (todos los usuarios, todos los dispositivos) cuando se aplica una configuración en todo el inquilino.
Para obtener más información, consulte Agregar grupos para organizar usuarios y dispositivos y Asignar perfiles de dispositivo en Microsoft Intune.
Dispositivos
Intune administra y protege los equipos de escritorio, portátiles, tabletas y teléfonos en los que se basa su organización en Android, iOS, iPadOS, Linux, macOS, tvOS, visionOS y Windows. Para ver la matriz completa del sistema operativo compatible, consulte Sistemas operativos y exploradores compatibles.
Ciclo de vida del dispositivo
Cada dispositivo administrado pasa por cuatro fases, todas controladas en el mismo centro de administración.
- Inscribir: ponga los dispositivos bajo administración. El hardware propiedad de la organización suele usar la inscripción automatizada a través de Windows Autopilot, La inscripción de dispositivos automatizada de Apple o Android Enterprise. Los dispositivos personales se inscriben a través de la aplicación Portal de empresa.
- Configurar: aplique la configuración de Wi-Fi, VPN, certificados, correo electrónico, características de dispositivo y opciones específicas de la plataforma. El catálogo de configuración expone miles de configuraciones de plataforma.
- Proteger: aplique reglas de cumplimiento, cifre discos, implemente líneas base de seguridad e integre con la defensa contra amenazas móviles. Fuentes de estado de cumplimiento Microsoft Entra acceso condicional.
- Retirar: cuando se pierde, reemplaza o ya no se necesita un dispositivo, las acciones remotas le permiten borrar los datos de la organización, restablecer de fábrica el dispositivo o anular su inscripción.
MDM y MAM
Intune admite dos modos de administración. Puede usarlos de forma independiente o conjunta.
- La administración de dispositivos móviles (MDM) pone todo el dispositivo bajo Intune control: configuración, aplicaciones y datos. MDM es típico del hardware propiedad de la organización.
- La administración de aplicaciones móviles (MAM) solo administra las aplicaciones de trabajo y los datos que contiene. El usuario mantiene el control del resto del dispositivo. MAM es típico para escenarios de bring-your-own-device (BYOD).
Puede combinar los dos en el mismo dispositivo. Por ejemplo, un teléfono corporativo inscrito (MDM) también puede tener directivas de protección de aplicaciones (MAM) en aplicaciones que controlan datos especialmente confidenciales.
Para obtener más información, consulte Introducción a la inscripción de dispositivos en lasdirectivas de Microsoft Intune y Protección de aplicaciones.
Dispositivos personales y propiedad de la organización
La mayoría de las organizaciones administran dos poblaciones de dispositivos: hardware que poseen y dispositivos personales que los empleados usan para trabajar. Intune admite ambos con controles diferentes.
- Los dispositivos propiedad de la organización deben inscribirse en MDM. No confíe en los usuarios para administrar estos dispositivos por sí mismos.
- Los dispositivos personales pueden inscribirse en MDM cuando los usuarios quieren acceso completo a los recursos de la organización, o pueden usar solo directivas MAM que protejan los datos dentro de Outlook, Teams y otras aplicaciones administradas.
Grupos de dispositivo
Los grupos de dispositivos son Microsoft Entra grupos que solo contienen dispositivos. Son útiles cuando se debe aplicar una configuración independientemente de quién haya iniciado sesión: quioscos, equipos compartidos, dispositivos de frontline-worker o hardware especializado.
La pertenencia puede ser estática o dinámica:
- Los grupos estáticos requieren la adición y eliminación manual de dispositivos. Son útiles para conjuntos de dispositivos pequeños y estables.
- Los grupos dinámicos agregan y quitan dispositivos automáticamente en función de los criterios que defina. Son útiles para flotas grandes y cambiantes de dispositivos
Aplicaciones
Intune cubre todo el ciclo de vida de la aplicación (implementar, configurar, proteger, actualizar) en todas las plataformas admitidas.
Ciclo de vida de la aplicación
- Implemente aplicaciones desde tiendas públicas, catálogos de proveedores, sus propios paquetes de línea de negocio (LOB) o entradas integradas en el centro de administración.
- Configure las aplicaciones antes de que los usuarios las abran mediante directivas de configuración de aplicaciones. Establezca el idioma de la aplicación, agregue el logotipo de su organización, bloquee cuentas personales y mucho más.
- Proteja los datos dentro de las aplicaciones mediante directivas de protección de aplicaciones. Requerir un PIN, bloquear copiar y pegar en aplicaciones personales, evitar copias de seguridad en servicios en la nube personales, cifrar datos en reposo y borrar selectivamente los datos de la organización.
- Actualice las aplicaciones automáticamente a medida que estén disponibles nuevas versiones. En el caso de las aplicaciones de Microsoft 365, Microsoft Edge y Microsoft Teams en Windows, puede entregar actualizaciones a Windows Autopatch.
Protección de aplicaciones sin inscripción (MAM-WE)
Protección de aplicaciones directivas no requieren inscripción de MDM. Funcionan en tres poblaciones de dispositivos:
- Dispositivos personales que no están inscritos en ningún MDM (BYOD).
- Dispositivos inscritos en otro proveedor de MDM: Intune todavía pueden proteger los datos dentro de sus aplicaciones administradas.
- Intune dispositivos inscritos, para las aplicaciones que necesitan una capa adicional más allá de MDM.
Para obtener más información, consulte introducción a las directivas de Protección de aplicaciones.
Aplicaciones por plataforma
Intune admite aplicaciones de la tienda pública, aplicaciones de línea de negocio (LOB), aplicaciones web y tipos de aplicaciones específicos de la plataforma en Android, iOS, iPadOS, macOS y Windows. Para ver el desglose por plataforma de los tipos de aplicación y de dónde proceden, consulte Agregar y actualizar aplicaciones en Microsoft Intune.
Cómo encajan los pilares
Una decisión de acceso típica afecta a los tres pilares:
- Un usuario inicia sesión en un dispositivo administrado y Microsoft Entra ID autentica al usuario.
- El dispositivo comprueba con Intune e informa de su estado de cumplimiento e inventario.
- Intune reenvía el estado de cumplimiento a Microsoft Entra ID.
- El usuario abre una aplicación corporativa. Microsoft Entra acceso condicional evalúa la solicitud mediante el usuario, el estado de cumplimiento del dispositivo, la aplicación, la ubicación y las señales de seguridad del punto de conexión en Microsoft Defender.
- El acceso condicional permite o bloquea el acceso. Si se permite el acceso y la aplicación es una aplicación administrada, las directivas de protección de aplicaciones aplican controles en la aplicación (PIN, restricciones de copiar y pegar, borrado selectivo).
Cada decisión de acceso ejerce los tres pilares juntos: la identidad del usuario, el cumplimiento del dispositivo y la aplicación que el usuario está abriendo.
Contenido relacionado
- Identidades: Microsoft Entra ID aspectos básicos, Uso del acceso condicional con Microsoft Intune, control de acceso basado en rol con Microsoft Intune
- Dispositivos: Inscripción de dispositivos en Microsoft Intune, Usar directivas de cumplimiento para establecer reglas para los dispositivos que administra, Administrar la seguridad de los puntos de conexión en Microsoft Intune
- Aplicaciones: Incorporación y actualización de aplicaciones en Microsoft Intune, directivas de configuración de aplicaciones, introducción a las directivas de Protección de aplicaciones
- Arquitectura: arquitectura Microsoft Intune