Administración de perfiles de línea de base de seguridad en Microsoft Intune

Para ayudar a proteger los usuarios y los dispositivos Windows, puede configurar e implementar distintas instancias de perfiles de línea base de seguridad de Microsoft Intune en diferentes grupos de dispositivos y usuarios de Windows. Hay líneas base diferentes para diferentes productos y cada una es un grupo de configuraciones preconfiguradas que representan la posición de seguridad recomendada de ese equipo de seguridad de los productos. Puede implementar una línea base predeterminada (sin modificar) o personalizar los perfiles para configurar dispositivos con la configuración que requiere su organización.

Para obtener una lista de las líneas base de seguridad disponibles, consulte Introducción a las líneas de base de seguridad.

Esta característica se aplica a:

• Windows 11
• Windows 10, versión 1809 y posteriores

Importante

El 14 de octubre de 2025, Windows 10 llegó al final del soporte técnico y no recibirá actualizaciones de calidad y características. Windows 10 es una versión permitida en Intune. Los dispositivos que ejecutan esta versión todavía pueden inscribirse en Intune y usar características aptas, pero la funcionalidad no se garantizará y puede variar.

Introducción a las líneas base de seguridad

Al crear un perfil de línea de base de seguridad en Intune, está creando una plantilla que consta de varios valores de configuración de dispositivos.

Cuando existen varias versiones de una línea base de seguridad, solo se puede usar la versión más reciente para crear una nueva instancia de esa línea base. Puede seguir usando instancias de líneas base anteriores que creó anteriormente y editar los grupos a los que están asignados. Sin embargo, las versiones obsoletas no admiten cambios en sus configuraciones de configuración. En su lugar, cree nuevas líneas base que usen la versión de línea de base más reciente o actualice las líneas base anteriores a esa versión más reciente si necesita introducir nuevas configuraciones para la configuración.

Se recomienda actualizar las versiones de línea base anteriores a la versión más reciente tan pronto como sea práctico hacerlo. Una versión más reciente puede:

• Incluya una nueva configuración que no estuviera disponible en las versiones anteriores.
• Retire y quite la configuración antigua que ya no se admite.
• Cambie la configuración predeterminada para que la configuración se alinee con las recomendaciones de seguridad actuales para el producto aplicable.

Las tareas comunes cuando se trabaja con líneas de base de seguridad incluyen:

• Creación de una nueva instancia de perfil : configure los valores que desea usar y asigne la línea base a los grupos.
• Actualizar una línea base de versión anterior a la versión de línea base más actual : cambie la versión de línea base en uso por un perfil.
• Quitar una asignación de línea de base: obtenga información sobre lo que ocurre cuando deja de administrar la configuración con una línea de base de seguridad.

Requisitos previos

Descubra lo que necesita para administrar las líneas base de seguridad de Intune.

Licencias

• El uso de Intune para implementar líneas base de seguridad requiere una suscripción Plan 1 de Microsoft Intune. Consulte Licencias de Microsoft Intune.

  Sugerencia

  Intune proporciona una interfaz de usuario fácil de usar para configurar e implementar líneas base de seguridad, pero no crea ni define las líneas base de seguridad. Fuera de Intune, hay disponibles otras opciones para implementar líneas base de seguridad, como las disponibles en security compliance toolkit.

• El uso de líneas base a través de Intune requiere que tenga una suscripción activa para el producto administrado, cuando corresponda. Por ejemplo, el uso de la línea base de Microsoft Defender para punto de conexión no concede derechos para usar Microsoft Defender. En su lugar, la línea base proporciona un método para configurar y administrar los valores que están presentes en los dispositivos con licencia y administrados por Microsoft Defender para punto de conexión.

Controles de acceso basados en rol para administrar líneas base de seguridad de Intune

Para administrar líneas base de seguridad en Intune, a su cuenta se le debe asignar un rol de control de acceso basado en rol (RBAC) de Intune que incluya las siguientes categorías y permisos suficientes para completar la tarea deseada:

• Organización:

  • Lectura

• Líneas base de seguridad:

  • Assign
  • Crear
  • Eliminar
  • Lectura
  • Actualizar

Puede agregar estos permisos a sus propios roles de RBAC personalizados o usar un rol RBAC integrado de Intune.

El rol integrado de Intune con privilegios mínimos que admite la administración de líneas base de seguridad es el Administrador de perfiles y directivas.

Creación de un perfil para una línea base de seguridad

Las siguientes instrucciones se pueden usar cada vez que cree un nuevo perfil de línea base de seguridad.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Seguridad de los puntos de conexión>Líneas base de seguridad para ver la lista de líneas base disponibles.

   

3. Seleccione la línea base que desea usar y, a continuación, seleccione Crear directiva.

4. En la pestaña Aspectos básicos, especifique estas propiedades:

   • Nombre: escriba un nombre para el perfil de las líneas de base de seguridad. Por ejemplo, escriba Perfil estándar para Defender para punto de conexión.

   • Descripción: escriba algún texto que describa lo que hace esta línea de base. La descripción es para que introduzca cualquier texto que desee. Es opcional, pero se recomienda.

   Seleccione Siguiente para pasar a la pestaña siguiente. Después de avanzar a una nueva pestaña, puede seleccionar el nombre de la pestaña para volver a una pestaña vista anteriormente.

5. En la pestaña Opciones de configuración, consulte los grupos de Configuración que están disponibles en la línea de base seleccionada. Puede expandir un grupo para ver su configuración, además de los valores predeterminados de dicha configuración de la línea de base. Para encontrar la configuración específica:

   • Seleccione un grupo para expandir y revisar la configuración disponible.
   • Las conclusiones de una configuración están disponibles junto a un icono de bombilla. Las conclusiones de configuración proporcionan confianza en las configuraciones agregando información que organizaciones similares adoptaron correctamente. Las conclusiones están disponibles para algunas opciones de configuración y no para todas. Para obtener más información, consulte Información de configuración.
   • Use la barra De búsqueda y especifique palabras clave que filtren la vista para ver solo los grupos que contienen los criterios de búsqueda.

   Cada valor de una línea base tiene un valor predeterminado de configuración para esa versión de línea base. Algunas no están configuradas, mientras que otras se establecen para configurar valores o condiciones específicos en un dispositivo. Los valores preestablecidos predeterminados que se encuentran en una línea base representan la posición de seguridad recomendada del equipo de seguridad de ese producto. Al configurar una línea base:

   • Asegúrese de revisar cada configuración y, cuando sea necesario, vuelva a configurar un valor preestablecido predeterminado cuando sus necesidades empresariales requieran una configuración diferente.
   • Tenga en cuenta que diferentes tipos de línea base y versiones pueden incluir valores que también están en otras líneas base, y cada una de ellas podría recomendar un valor predeterminado diferente para una configuración.

   

6. En la pestaña Etiquetas de ámbito, seleccione Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas para asignar etiquetas de ámbito al perfil.

7. En la pestaña Asignaciones , seleccione Seleccionar grupos para incluir y, a continuación, asigne la línea base a uno o varios grupos. Use Seleccionar grupos para excluir para ajustar la asignación.

   Nota:

   Las líneas base de seguridad se asignan a grupos de usuarios o grupos de dispositivos en función del ámbito de la configuración que se usa. Por este motivo, es posible que se necesiten varias líneas de base al asignar la configuración basada en el usuario y el dispositivo.

   

8. Cuando esté listo para implementar la línea de base, avance a la pestaña Revisar y crear para revisar los detalles de la línea de base. Seleccione Crear para guardar e implementar el perfil.

   En cuanto se crea el perfil, Intune lo inserta en el grupo asignado, que lo aplica inmediatamente.

   Sugerencia

   Si guarda un perfil sin asignarlo primero a grupos, más tarde podrá editarlo para hacerlo.

   

9. Después de crear un perfil, edítelo en Seguridad de los puntos de conexión>Líneas de base de seguridad, seleccione el tipo de línea de base que ha configurado y, luego, Perfiles. Seleccione el perfil en la lista de perfiles disponibles y, a continuación, seleccione Propiedades. Puede editar la configuración de todas las pestañas de configuración disponibles y seleccionar Revisar y guardar para confirmar los cambios.

Actualización de un perfil de línea base a la versión más reciente

Nota:

La información de esta sección se aplica a la actualización de un perfil de línea base creado en mayo de 2023 o posterior a una versión más reciente de esa misma línea base.

El formato de las líneas base de seguridad cambió en mayo de 2023. Debido a este cambio, el proceso de actualización de los perfiles de línea base creado antes de mayo de 2023 para versiones posteriores representa escenarios independientes. Para ver las actualizaciones de las líneas base creadas antes de mayo de 2023, consulte el siguiente contenido de este artículo que se aplica al escenario de actualización de línea base:

• Actualización de líneas base realizadas antes de mayo de 2023 a una versión de línea base publicada en mayo de 2023 o posterior
• Actualizar líneas base anteriores a versiones más recientes cuando la versión más reciente es anterior a mayo de 2023

Cuando haya disponible una nueva versión de una línea base, planee actualizar los perfiles existentes a la nueva versión.

Cuando se publica una nueva versión de cualquier tipo de línea base:

• Los perfiles existentes para ese tipo de línea base no se actualizan automáticamente a la nueva versión.
• La configuración de los perfiles existentes se convierte en de solo lectura. Aunque puede seguir usando esos perfiles y editar su nombre, descripción y asignaciones, no puede modificar la configuración de ninguna configuración en ellos.

Al actualizar la versión de un perfil de línea base:

• Novedades usar siempre la versión más reciente disponible del mismo tipo de línea base. No se puede actualizar una línea base a otra que no sea la versión publicada más recientemente.

• El proceso de actualización crea una nueva instancia de la línea base basada en la versión más reciente como una copia en paralelo del perfil original. Como parte de la actualización, tiene la opción de:

  • Mantener personalizaciones : Intune aplica todas las personalizaciones de configuración de la línea base original que va a actualizar a la nueva plantilla de líneas base. El resultado es que la nueva instancia de línea base conserva (incluye) todas las modificaciones específicas de la organización.
  • Descartar personalizaciones : Intune crea una nueva instancia de línea base "predeterminada" con la nueva versión. Ninguna de las personalizaciones de configuración se aplica automáticamente.

• Durante la actualización, debe proporcionar un nombre a la nueva instancia, pero no puede editar los demás detalles del perfil hasta que se haya creado. Tanto las etiquetas de ámbito como las asignaciones no se transfieren y permanecen en blanco. Sin embargo, puede revisar los valores de configuración del perfil antes de guardarlo.

Una vez completado el proceso de actualización:

• Puede editar la nueva instancia de línea base, incluida la personalización de la configuración, la adición de asignaciones y la configuración de etiquetas de ámbito.
• La línea base original se deja sin cambios y conserva sus configuraciones de configuración, nombre, etiquetas de ámbito y asignaciones. Para evitar conflictos de configuración, asegúrese de quitar configuraciones como etiquetas de ámbito y asignaciones de la instancia de línea base original al agregar la misma a la línea base actualizada.
• Una vez que la versión de línea base anterior ya no esté asignada a ningún grupo, puede eliminarla del inquilino si lo desea.

Actualización de una línea base a la versión más reciente

Se aplica a la actualización de un perfil de línea base creado en mayo de 2023 o posterior.

1. Inicie sesión en el Centro de administración de Microsoft Intune y vaya aLíneas base> de seguridad de punto> de conexiónseleccione el tipo de línea base con el perfil que desea actualizar. En la página Perfiles de líneas base, active la casilla de la instancia de línea base que desea actualizar y, a continuación, seleccione Actualizar versión. Intune muestra el panel Actualizar versión .

2. En el panel Actualizar versión , seleccione el método de actualización que se va a usar:

   • Aceptar cambios de línea base, pero mantener mis personalizaciones de configuración existentes : crea una nueva instancia del perfil de línea base con la versión más reciente. La configuración personalizada actual se conserva y se aplica al nuevo perfil.
   • Aceptar cambios de línea base y descartar personalizaciones de configuración existentes : crea una nueva instancia del perfil de línea base con la versión más reciente. Ninguna de las personalizaciones del perfil que se está actualizando se agrega al nuevo perfil. El nuevo perfil usa su configuración predeterminada.

   Después de seleccionar un método de actualización, seleccione Crear para abrir el flujo de trabajo de directiva de actualización del nuevo perfil de línea base que va a crear.

3. En la pestaña Aspectos básicos , especifique un nombre para este nuevo perfil. El campo Descripción ya está rellenado, pero se puede editar en este momento.

4. En la pestaña Configuración , puede revisar la configuración de la configuración de la línea base. Si decide mantener las personalizaciones de configuración existentes, las verá aquí y puede realizar otras personalizaciones si lo desea.

5. En el caso de las etiquetas de ámbito, la configuración es opcional. El proceso de actualización no aplica las etiquetas de ámbito del perfil anterior a este nuevo perfil. Puede elegir configurar las etiquetas de ámbito ahora o volver a editar el perfil para agregarlas más adelante.

6. En Asignaciones, planee asignar el nuevo perfil a grupos de usuarios o grupos de dispositivos. El proceso de actualización no aplica las asignaciones del perfil anterior a este nuevo perfil. Puede optar por configurar las asignaciones para este perfil ahora y también volver a editar el perfil y agregarlas más adelante.

   Si configura asignaciones en este momento, planee volver a visitar las asignaciones de perfiles anteriores para quitarlas o modificarlas según sea necesario para evitar la creación de conflictos entre los perfiles antiguos y los nuevos.

   Nota:

   Las líneas base de seguridad se asignan a grupos de usuarios o grupos de dispositivos en función del ámbito de la configuración que se usa. Por este motivo, es posible que se necesiten varias líneas de base al asignar la configuración basada en el usuario y el dispositivo.

7. En la pestaña Revisar , revise los detalles de la línea base y, a continuación, seleccione Crear para guardar el nuevo perfil.

   Cuando se guarda, un perfil se implementa inmediatamente en todos los grupos asignados.

Prueba de la línea base actualizada

Durante la actualización de una línea base, Intune crea una copia del perfil original, pero no incluye las asignaciones de grupo. Esto significa que la nueva instancia de línea base no se implementa en ningún dispositivo en el momento en que realiza una copia o en el momento de actualizarla a una nueva versión. Después de actualizar el perfil a la versión más reciente, puede editar la configuración de esa nueva instancia de perfil. Esto incluye la asignación del nuevo perfil de línea base a grupos de dispositivos y la edición de la configuración de perfiles para satisfacer las expectativas de su organización.

Actualización de líneas base realizadas antes de mayo de 2023 a una versión de línea base publicada en mayo de 2023 o posterior

Nota:

La información de esta sección se aplica a la actualización de perfiles de línea base creados antes de mayo de 2023, cuando se publicó la versión de línea base más reciente disponible en mayo de 2023 o posterior.

Después de mayo de 2023, cuando se publique una nueva versión de una línea base, planee actualizar los perfiles existentes a la nueva versión. Al pasar de un formato anterior al nuevo formato de línea base (de una versión publicada antes de mayo de 2023 a una publicada en mayo de 2023 o posterior):

• Todos los perfiles nuevos para el tipo de línea base, como Microsoft Edge, usan el nuevo formato. No se admite la creación de una nueva línea base que use una versión de línea base anterior.

• Las versiones de línea base publicadas antes de mayo de 2023 no se actualizan al nuevo formato. En su lugar, cree un nuevo perfil que use el nuevo formato y configure los valores de la línea base antigua en ese nuevo formato de línea base. La recreación del perfil es un proceso único necesario para mover una línea base del formato anterior al nuevo formato de línea base.

  Para ayudarle en este proceso, Intune puede exportar el perfil antiguo a un formato CSV que identifique cada configuración en función del nombre de la configuración tal como aparece en la nueva versión del perfil, junto con su configuración.

• Después de crear una nueva línea base que pueda reemplazar la versión de línea base anterior, el perfil anterior permanece sin cambios y puede seguir usándola. Puede seguir implementando, reasignando y editando la configuración en el formato de línea base anterior.

  Sugerencia

  La compatibilidad con la edición de la configuración en una versión de línea base anterior después de actualizar a una nueva versión es un cambio con respecto al comportamiento anterior. Este comportamiento solo es posible al pasar de las versiones de línea base creadas antes de mayo de 2023 a las versiones creadas en mayo de 2023 o posterior porque el nuevo formato de línea base existe en paralelo con el formato de línea de base anterior en lugar de reemplazarlo. Más adelante, al actualizar una instancia de línea base creada en mayo de 2023 o posterior a una versión más reciente, se devuelve el comportamiento original en el que no se puede editar la configuración en la versión anterior.

  Se recomienda planear la interrupción del uso del formato anterior e implementar un perfil basado en la versión más reciente lo antes posible. Los perfiles anteriores no reciben actualizaciones mientras que las versiones más recientes publicadas en mayo de 2023:

  • Use el nuevo formato de configuración en la interfaz de usuario de Intune que se alinea directamente con el origen del proveedor de servicios de configuración (CSP) para cada configuración.
  • Están preconfigurados con configuraciones predeterminadas que recomiendan los equipos de seguridad pertinentes.

Actualización de una línea base al nuevo formato

Para actualizar una línea base creada antes de mayo de 2023 al nuevo formato, debe crear una nueva instancia de línea base. Para ayudarle a volver a crear la configuración de líneas base originales, puede hacer que Intune exporte la configuración de las líneas base actuales como un archivo .CSV. Las exportaciones incluyen:

• Cada valor de la línea base anterior se identifica mediante el nombre de la configuración tal como aparece en la nueva línea base. Aunque el nombre de la configuración no se presenta textualmente en el .csv, puede encontrar la ruta de acceso de la configuración, que contiene parte del nombre de la configuración.
• Cómo se configuró cada valor de la línea base anterior.
• Si la configuración de un valor de la línea base antigua coincide con la configuración predeterminada de la nueva línea base.

Con la información de una exportación, puede volver a configurar rápidamente la nueva línea base para usar los mismos valores que la instancia de línea base anterior.

1. Inicie sesión en el Centro de administración de Microsoft Intune y vaya aLíneas base> de seguridad> de punto de conexiónSeleccione el tipo de línea base y, a continuación, active la casilla del perfil de línea base (instancia) que desea replicar en el nuevo formato de línea base y, a continuación, seleccione Cambiar versión. Intune muestra el panel Cambiar versión .

   En la captura de pantalla siguiente se muestra una vista de la línea base de seguridad para Microsoft Edge. Tenemos dos perfiles en este momento. Uno es un nuevo perfil para Microsoft Edge v112 y el otro es un perfil anterior de septiembre de 2020. El perfil anterior también muestra un icono de flecha para indicar que hay una versión más reciente para reemplazarlo.

   

2. En el panel Cambiar versión , hay instrucciones para mover los detalles de configuración de la línea base anterior a un perfil que usa el nuevo formato. El panel también identifica el nombre y la versión de las líneas base seleccionadas, y cuál es la versión de línea base más reciente.

   1. Seleccione Exportar configuración de perfil para crear un archivo .csv que muestre la configuración de la línea base seleccionada junto con sus configuraciones actuales si no están establecidas en el valor predeterminado de las líneas base. Al seleccionar la opción para exportar los detalles de línea base, Intune prepara la exportación y, a continuación, requiere que acepte continuar. Seleccione Sí para descargar la exportación de archivos .CSV.

   2. Después de descargar el archivo, puede abrirlo para ver la configuración actual de líneas base anteriores.

   El panel Cambiar versión también incluye un botón para Crear un nuevo perfil para la línea base seleccionada, que tiene la misma función que la opción Crear perfil que se usa más comúnmente para crear nuevas instancias de línea base.

   La captura de pantalla siguiente muestra una exportación para el perfil de Microsoft Edge versión 85, tal como se ve en Microsoft Excel. De las nuevas líneas base de Microsoft Edge 17 opciones de configuración que se encontraron en el perfil anterior, solo se cambia una configuración: Habilitar el aislamiento de sitio para cada sitio se estableció en Deshabilitado en la línea base anterior. En la línea base más reciente, el valor predeterminado ahora es Habilitado:

   

   En la imagen anterior, hay tres columnas de información. La información identifica la configuración del perfil anterior y la configuración de cada una de ellas que tenía en el perfil anterior.

   • DefinitionId : esta columna muestra el nombre del Registro de configuración. La información después del carácter de subrayado ( _ ) identifica el nombre de configuración tal como aparece en el perfil y el formato de línea base antiguos, pero sin espacios en el nombre. Este valor también es el nombre de la configuración de CSP que administra esta configuración de línea base.

     Por ejemplo, nuestra configuración modificada habilitar el aislamiento de sitio para cada sitio aparece en esta exportación como admx--microsoftedge_SitePerProcess. La última parte, SitePerProcess, ayuda a identificar la configuración.

   • defaultJson : esta columna identifica la configuración predeterminada para esta configuración, tal como se muestra en el nuevo formato de línea base. Nuestra configuración de ejemplo para el CSP de SitePerProcess está establecida en habilitado de forma predeterminada.

   • customizedJson : la columna final muestra la configuración de cada configuración de la versión del perfil anterior. Esta información le ayuda a comprender qué opciones de configuración del nuevo perfil requieren modificaciones para que coincidan con la configuración de los perfiles anteriores. Nuestra configuración de ejemplo se estableció en deshabilitada. Todas las demás opciones muestran "NotApplicable" ya que no se modificaron de la configuración predeterminada en la versión de línea base anterior que hemos estado usando.

   Es posible que tenga en cuenta que el perfil de línea base de Microsoft Edge actualizado tiene más de las 17 configuraciones que se encuentran en el perfil anterior. La exportación de línea base no identifica esta nueva configuración, ya que no estaban disponibles en la versión de línea base anterior que está revisando.

   Más adelante, al crear y configurar el nuevo perfil, puede usar la lista de la exportación csv para asegurarse de que cada configuración del perfil anterior se establece en el nuevo perfil con la misma configuración.

Actualizar líneas base anteriores a una versión más reciente cuando la versión más reciente es anterior a mayo de 2023

Nota:

La información de esta sección se aplica a la actualización de un perfil de línea base que se creó antes de mayo de 2023, cuando la versión de línea base más reciente que está disponible también se publicó antes de mayo de 2023.

Cuando una nueva versión de una línea base esté disponible, planee actualizar los perfiles existentes a la nueva versión:

• Los perfiles existentes no se actualizan automáticamente a las nuevas versiones.
• La configuración de los perfiles de línea de base que no usan la versión más reciente pasará a ser de solo lectura. Puede seguir usando esos perfiles anteriores, incluida la edición de su nombre, descripción y asignaciones. Sin embargo, no puede editar la configuración en ellos ni crear perfiles nuevos en función de esas versiones anteriores.

Se recomienda probar la actualización de la versión en una copia de los perfiles existentes antes de actualizar los perfiles activos.

Al cambiar la versión del perfil:

• Seleccione la instancia más reciente de la misma línea de base. No puede cambiar entre dos tipos de línea de base distintos, como cambiar un perfil que usa una línea de base para Defender para punto de conexión a usar la línea de base de seguridad MDM.

• Puede exportar y descargar un archivo CSV que muestre los cambios entre las dos versiones de línea base implicadas.

• Elija cómo actualizar el perfil:

  • Puede conservar todas las personalizaciones de la versión de línea de base original.
  • Puede optar por usar los valores predeterminados para todas las opciones de configuración de la nueva versión de línea de base.

  No se pueden cambiar solo algunas opciones de configuración de un perfil durante la actualización.

Durante la conversión:

• Se agregan las opciones de configuración nuevas que no estaban en la versión anterior que usaba. Cualquier nueva configuración de la nueva versión usa sus valores predeterminados.

• La configuración que no esté en la nueva versión de línea de base seleccionada se quitará y este perfil de la línea de base de seguridad ya no la aplicará.

  Si un perfil de línea de base deja de administrar una configuración, dicha configuración no se restablecerá en el dispositivo. En su lugar, la configuración del dispositivo seguirá estando establecida en su última configuración hasta que otro proceso la administre para cambiarla. Algunos ejemplos de procesos que pueden cambiar una configuración después de dejar de administrarla incluyen un perfil de línea base diferente, una configuración de directiva de grupo o una configuración manual que se ha aplicado en el dispositivo.

Una vez completada la conversión a la nueva versión de línea de base:

• La línea de base se vuelve a implementar inmediatamente en los grupos asignados.
• Puede editar la línea de base para cambiar la configuración individual.

Prueba de la conversión y la línea de base actualizada

Antes de actualizar un perfil de línea de base a una nueva versión, cree una copia de este para poder probar la nueva versión del perfil en un grupo de dispositivos. Consulte Duplicado de una línea de base de seguridad más adelante en este artículo.

• Al crear una copia, no se incluyen las asignaciones de grupo, lo que significa que la copia de línea base no se implementa en ningún dispositivo en el momento en que realiza una copia o en el momento en que la actualiza a una nueva versión.
• Después de actualizar el perfil a la versión más reciente, puede editar su configuración. Puede asignar la copia actualizada a un grupo de dispositivos y editarla para introducir cambios en la configuración individual del perfil.

Para cambiar la versión de línea de base de un perfil

Antes de actualizar la versión de un perfil que tiene grupos asignados, pruebe la actualización de la versión en una copia del perfil para que pueda validar la nueva configuración de líneas base en el grupo de pruebas de dispositivos.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Seguridad de los puntos de conexión>Líneas base de seguridad y, luego, seleccione el icono del tipo de línea base que tenga el perfil que quiere cambiar.

3. A continuación, seleccione Perfiles, active la casilla del perfil que desea editar y seleccione Cambiar versión.

   

4. En el panel Cambiar versión, use la lista desplegable Select a security baseline to update to (Seleccionar una línea de base de seguridad a la que actualizar) y seleccione la instancia de versión que desea usar.

   

5. Seleccione Revisar actualización para descargar un archivo CSV que muestre la diferencia entre la versión actual del perfil y la nueva versión. Revise este archivo para comprender qué configuración es nueva o se quita, y cuáles son los valores predeterminados de esta configuración en el perfil actualizado.

   Cuando esté listo, continúe con el siguiente paso.

6. Elija una de las dos opciones para Seleccionar un método para actualizar el perfil:

   • Aceptar los cambios en la línea de base, pero conservar mis personalizaciones de configuración existentes: esta opción conserva las personalizaciones que realizó en el perfil de la línea de base y las aplica a la nueva versión que ha seleccionado para su uso.
   • Aceptar los cambios en la línea de base y descartar las personalizaciones de configuración existentes: esta opción sobrescribe su perfil original por completo. El perfil actualizado usa los valores predeterminados para toda la configuración.

7. Seleccione Enviar. El perfil se actualiza a la versión de línea de base seleccionada y, una vez que se ha completado la conversión, la línea de base vuelve a implementarse inmediatamente en grupos asignados.

Quitar una asignación de la línea de base de seguridad

Cuando una configuración de línea base de seguridad ya no se aplica a un dispositivo o la configuración de una línea base se establece en No configurada, es posible que dicha configuración en un dispositivo no se revierta a una configuración administrada previamente en función de la configuración de la línea base de seguridad. La configuración se basa en CSP y cada CSP puede controlar la eliminación de cambios de forma diferente.

Otros procesos que podrían cambiar la configuración del dispositivo posteriormente incluyen una línea de base de seguridad nueva o diferente, un perfil de configuración de dispositivo, configuraciones de directiva de grupo o una edición manual de la configuración del dispositivo.

Duplicado de una línea base de seguridad

Puede crear duplicados de las líneas base de seguridad. El duplicado de una línea de base resulta útil cuando se quiere asignar una línea de base similar pero distinta a un subconjunto de dispositivos. Al crear un duplicado, no es necesario volver a crear manualmente toda la línea base. sino que se puede duplicar cualquiera de las líneas base actuales y luego incorporar solo los cambios que necesita la nueva instancia. Solo se puede cambiar un valor específico y el grupo al que está asignada la línea base.

Al crear un duplicado, asigne a la copia un nombre nuevo. La copia se realiza con las mismas configuraciones de configuración y etiquetas de ámbito que el original, pero no tiene ninguna asignación. Debe editar la nueva línea base para agregar asignaciones.

Todas las líneas base de seguridad admiten la creación de duplicados.

Después de duplicar una línea base, revise y edite la nueva instancia para realizar cambios en su configuración.

Para duplicar una línea base

1. Inicie sesión en el Centro de administración de Microsoft Intune.
2. Vaya a Seguridad de los puntos de conexión>Líneas base de seguridad, seleccione el tipo de línea base que quiere duplicar y luego Perfiles.
3. Haga clic con el botón derecho en el perfil que quiere duplicar y seleccione Duplicar, o bien seleccione los puntos suspensivos (...) situados a la derecha de la línea base y luego Duplicar.
4. Proporcione un Nuevo nombre a la línea base y seleccione Guardar.

Después de Actualizar, el nuevo perfil de línea base aparece en el centro de administración.

Para editar una línea base

1. Seleccione la línea base y luego Propiedades.

2. En esta vista, puede seleccionar Editar para las categorías siguientes a fin de modificar el perfil:

   • Conceptos básicos
   • Tareas
   • Etiquetas de ámbito
   • Opciones de configuración

   Puede Editar las Opciones de configuración de un perfil solo cuando dicho perfil usa la versión más reciente de esa línea de base de seguridad. En el caso de los perfiles que usan versiones anteriores, puede expandir Configuración para ver cómo se han establecido los valores del perfil, pero no puede modificarlos. Después de actualizar un perfil a la versión de línea de base más reciente, podrá editar la configuración del perfil.

3. Después de realizar los cambios, seleccione Guardar para guardar las modificaciones. Debe guardar las ediciones en una categoría para poder introducir modificaciones en otras categorías.

Acerca de las versiones de línea base anteriores

Microsoft Intune actualiza las versiones de las líneas base de seguridad integradas en función de las necesidades cambiantes de una organización típica. En cada versión nueva se genera una actualización de la versión de una línea de base determinada. La expectativa es que los clientes usen la versión de línea base más reciente como punto de partida para sus perfiles de configuración de dispositivos.

Si tiene un perfil de línea base asociado a una versión de línea base anterior en uso, ese perfil de línea base anterior sigue aparecen en la lista.

Dispositivos administrados conjuntamente

Las líneas de base de seguridad en dispositivos administrados por Intune son similares a los dispositivos administrados conjuntamente con Configuration Manager. Los dispositivos administrados conjuntamente usan Configuration Manager y Microsoft Intune para administrar los dispositivos Windows simultáneamente. Le permite conectar a la nube su inversión existente de Configuration Manager a las ventajas de Intune. La introducción a la administración conjunta es un excelente recurso si usa Configuration Manager y también quiere las ventajas de la nube.

Cuando se usen dispositivos administrados conjuntamente, debe cambiar la carga de trabajo de la configuración del dispositivo (su configuración) a Intune. Las cargas de trabajo de configuración de dispositivo proporcionan más información.

Siguientes pasos

• Comprobación del estado y supervisión de la base de referencia y el perfil

• Consulte la configuración en las versiones más recientes de las líneas de base disponibles:

  • Windows 10 y versiones posteriores: línea base de seguridad de MDM
  • Línea base de Microsoft Defender para punto de conexión
  • Aplicaciones Microsoft 365 para Empresas (línea base de Office)
  • Microsoft Edge (versión 112 y posteriores)
  • Línea base de seguridad de Windows 365