Uso de grupos para organizar usuarios y dispositivos para Microsoft Intune

Microsoft Intune usa grupos de seguridad de Microsoft Entra ID para diversas necesidades organizativas. Estas necesidades incluyen la agrupación de usuarios o dispositivos por ubicación geográfica, departamento, características de hardware, etc. Para admitir el uso de grupos entra por Intune, el centro de administración de Intune incluye la interfaz de usuario de Entra Groups con toda su funcionalidad. Todos los grupos que aparecen en Entra y los nuevos grupos que un administrador de Intune puede crear son visibles en Intune, Entra y otros productos que comparten la interfaz de usuario de Entra Groups, como Microsoft 365.

Intune administradores usan grupos bien definidos al implementar directivas, implementar aplicaciones y asignar permisos de otros usuarios administrativos para que puedan ayudar a administrar diferentes aspectos de la suscripción Intune.

Este artículo se centra en el uso del centro de administración de Intune para crear grupos para su uso con Intune, incluidos los detalles sobre los permisos necesarios para administrar y usar esos grupos dentro del centro de administración.

Puede obtener más información sobre Microsoft Entra grupos en la documentación de Entra.

Controles de acceso basados en rol para trabajar con grupos

De forma predeterminada, todas las cuentas de usuario de Microsoft Entra tienen permisos para crear y configurar nuevos grupos sin tener asignado un rol de control de acceso basado en rol (RBAC) de Entra. Estos permisos se extienden al uso del nodo Grupos en el centro de administración de Intune.

Solo el usuario que creó el grupo, los usuarios que están asignados como propietario y los usuarios que tienen suficientes permisos de Entra RBAC para administrar grupos entra pueden editar las propiedades de un grupo. Otros usuarios sin derechos para editar un grupo pueden ver su pertenencia y, si administran Intune, pueden asignar Intune directivas, aplicaciones y asignaciones de roles al grupo.

El siguiente Microsoft Entra rol RBAC integrado es el rol integrado con privilegios mínimos que incluye permisos suficientes para editar y administrar grupos Entra creados por otros usuarios:

• Administrador de grupos: este rol proporciona permisos suficientes para agregar y editar grupos desde los centros de administración para Microsoft Intune, Microsoft Entra y Microsoft 365.

Cuando se trabaja con RBAC, Microsoft recomienda seguir el principio de permisos mínimos mediante el uso de solo cuentas que tengan los permisos mínimos necesarios para una tarea y limitar el uso y la asignación de roles administrativos con privilegios, como el administrador de Intune.

Para obtener más información sobre Microsoft Entra grupos y el acceso a grupos, consulte Información sobre los grupos y los derechos de acceso en la documentación de Entra.

Requisitos de los grupos que se usan con Intune

Intune administradores deben tener en cuenta los siguientes aspectos de los grupos de Microsoft Entra al crear grupos nuevos o asignarlos para la implementación de directivas o roles administrativos.

Seguridad: los grupos que se usan con Intune deben ser grupos habilitados para la seguridad. Esto normalmente requiere que el tipo de grupo de grupos se establezca en Seguridad cuando se crea el grupo. Un grupo de seguridad admite usuarios y dispositivos como miembros.

De forma predeterminada, los grupos de Microsoft 365 de Microsoft Entra no están habilitados para la seguridad, solo admiten usuarios como miembros y no son compatibles con Intune. Aunque puede usar Microsoft Graph PowerShell para crear grupos de Microsoft 365 habilitados para la seguridad que Intune admiten, como los grupos predeterminados de Microsoft 365, solo pueden incluir usuarios y no dispositivos.

Pertenencia: Intune admite las pertenencias a grupos asignadas y dinámicas. Elija el tipo de pertenencia en función de cómo planee administrar la pertenencia a grupos, de forma manual o automática en función de las reglas. Por ejemplo, para asignar un rol de RBAC integrado Intune como Endpoint Security Manager a usuarios administrativos, use un grupo con miembros asignados manualmente para limitar quién recibe ese rol con privilegios. Por el contrario, para implementar un conjunto predeterminado de directivas de configuración de dispositivos en todos los dispositivos Windows 11, puede usar un grupo que agregue dinámicamente miembros en función de una versión del sistema operativo de dispositivos. El uso de un grupo dinámico puede ayudarle a garantizar que los dispositivos que se inscriben con Intune reciban automáticamente la directiva predeterminada prevista sin que el dispositivo tenga que agregarse manualmente a un grupo.

El Intune todos los usuarios y todos los grupos de dispositivos

Además de los grupos de Microsoft Entra que puede crear y usar con Intune, Intune incluye dos grupos virtuales que solo están disponibles en el contexto de Intune y desde el centro de administración de Intune:

• Todos los usuarios: este grupo incluye automáticamente a todos los usuarios que tienen una licencia para Intune.
• Todos los dispositivos: este grupo incluye automáticamente cada dispositivo que se inscribe con Intune.

Estos grupos virtuales proporcionan una manera sencilla de dirigirse a todos los usuarios o dispositivos aplicables con directivas y asignaciones de Intune que deben aplicarse ampliamente.

Por ejemplo, puede implementar una directiva de cumplimiento de Intune en el grupo de todos los dispositivos para establecer un nivel mínimo de requisitos de cumplimiento que todos los dispositivos de su organización deben cumplir. Más adelante, puede implementar más requisitos en grupos de Entra específicos para aplicar requisitos adicionales que pueda tener para grupos específicos de dispositivos o usuarios.

Sugerencia

Considere el uso de filtros para grupos dentro de Intune. Puede usar filtros dentro de Intune al asignar aplicaciones, directivas y perfiles en Microsoft Intune a grupos grandes como Todos los usuarios y Todos los dispositivos. Los filtros pueden ayudarle a controlar dinámicamente qué dispositivos o usuarios reciben la implementación. Para obtener información sobre el uso de filtros, consulte:

• Usar filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune
• Recomendaciones de rendimiento para agrupación, segmentación y filtrado en entornos de Microsoft Intune grandes

Agregar grupos a Intune

Al crear un grupo en el centro de administración de Microsoft Intune, realmente está creando un grupo en Microsoft Entra ID. El siguiente procedimiento proporciona instrucciones básicas para crear grupos en el centro de administración de Intune. Para obtener información más detallada, consulte los siguientes artículos de Microsoft Entra:

• Administración de grupos Microsoft Entra y pertenencia a grupos
• Cree un grupo básico y agregue miembros mediante Microsoft Entra ID
• Reglas de pertenencia dinámica para grupos en Microsoft Entra ID

Para crear grupos en el centro de administración de Microsoft Intune:

1. Inicie sesión en el centro de administración de Microsoft Intune y, a continuación, seleccione Grupos>Nuevo grupo:

   

2. Se abre el panel Nuevo grupo, que es la misma interfaz que se encuentra en Microsoft Entra:

   

   Configure las siguientes opciones para el nuevo grupo:

   1. Establezca Tipo de grupo en Seguridad.

   2. En Nombre de grupo, especifique un nombre significativo que identifique claramente el grupo. Este nombre es visible para los usuarios que trabajan con grupos en el centro de administración.

   3. En Descripción del grupo, que es opcional, especifique otros detalles sobre el grupo, como su uso previsto.

   4. En Tipo de pertenencia, seleccione una de las opciones siguientes:

      • Asignado : con este tipo de pertenencia, deberá agregar manualmente usuarios al grupo, lo que se puede hacer ahora o más adelante después de crear el grupo.

        Para agregar usuarios en este momento, busque y seleccione No hay miembros seleccionados para abrir el panel Agregar miembros .

        En el panel, use la pestaña Usuarios o dispositivos , donde puede seleccionar la casilla situada junto a cada objeto que quiera agregar a este grupo.

        También puede seleccionar la pestaña Grupos si desea anidar un grupo dentro de este grupo. Un grupo que incluye un grupo como miembro se conoce como grupo primario. Tenga cuidado al anidar grupos, ya que es posible que las relaciones de pertenencia no sean claras para los administradores que posteriormente usan el grupo primario para una asignación. Los cambios de pertenencia realizados en un grupo anidado se aplican automáticamente a la pertenencia efectiva del grupo primario.

        Importante

        Evite crear grupos que incluyan usuarios y dispositivos, ya que esto puede provocar conflictos de directivas y un comportamiento imprevisible durante las implementaciones de Intune.

        Sugerencia

        Para crear grupos de dispositivos, puede usar categorías de dispositivos para unir automáticamente los dispositivos a un grupo en el momento en que se inscriben con Intune.

      • Usuario dinámico : con este tipo de pertenencia, seleccione Agregar consulta dinámica y, a continuación, configure las reglas de pertenencia dinámica. Para obtener instrucciones, consulte Administración de reglas para grupos de pertenencia dinámica en Microsoft Entra ID.

        Importante

        Para usar grupos de usuarios dinámicos, debe tener una licencia Microsoft Entra ID P1 para cada usuario que sea miembro del grupo dinámico.

      • Dispositivo dinámico : con este tipo de pertenencia, seleccione Agregar consulta dinámica y, a continuación, configure las reglas de pertenencia dinámica. Para obtener instrucciones, consulte Administración de reglas para grupos de pertenencia dinámica en Microsoft Entra ID.

        Sugerencia

        No se requiere ninguna licencia de Entra ID específica para los miembros de grupos de dispositivos dinámicos.

   5. La configuración Propietarios es opcional. De forma predeterminada, el usuario que crea un grupo es propietario. Para agregar otros propietarios, seleccione Sin propietarios seleccionado y, a continuación, la pestaña Usuarios , donde puede seleccionar uno o varios usuarios para agregar como propietarios de este grupo.

3. Seleccione Crear para agregar el nuevo grupo. El grupo se muestra en la lista.

Edición de un grupo

Como administrador de Intune, puede editar grupos, como cambiar los miembros del grupo, el propietario y las propiedades.

Siga estos pasos para editar un grupo existente:

1. Inicie sesión en el Centro de administración de Microsoft Intune.
2. Seleccione Grupos>Todos los grupos>y seleccione el nombre de un grupo que se va a editar.
3. En el grupo de menús Administrar , seleccione un área del grupo que desea editar, como Propiedades, Miembros o Propietarios. Intune muestra la interfaz de usuario relacionada con esa opción de configuración.

Eliminar un grupo

Como administrador de Intune, puede eliminar grupos que ya no son necesarios.

Siga estos pasos para eliminar un grupo existente:

1. Inicie sesión en el Centro de administración de Microsoft Intune.
2. Seleccione Grupos>Todos los grupos.
3. Active la casilla de cada grupo que quiera eliminar y, a continuación, seleccione Eliminar de las opciones de la parte superior de la vista Todos los grupos . Como alternativa, puede seleccionar el nombre de un grupo para abrir la página Información general de un solo grupo y, a continuación, seleccionar Eliminar* en la parte superior de esa vista.

Sugerencia

Una vez eliminado un grupo, puede tardar algún tiempo en aparecer en la lista Grupos eliminados .

Contenido relacionado

• Asignar licencias de usuarios a Intune
• Asignación de roles de Microsoft Intune a grupos de usuarios para el control de acceso basado en rol