Uso de directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune

Las soluciones de administración de dispositivos móviles (MDM) como Intune pueden ayudar a proteger los datos de la organización exigiendo a los usuarios y dispositivos que cumplan algunos requisitos. En Intune, esta característica se denomina directivas de cumplimiento.

Las directivas de cumplimiento en Intune:

  • Definen las reglas y la configuración que los usuarios y los dispositivos deben cumplir para ser compatibles.
  • Incluyen las acciones que se aplican a los dispositivos que no son compatibles. Las acciones en caso de no cumplimiento pueden alertar a los usuarios de las condiciones de no cumplimiento y proteger los datos en dispositivos no compatibles.
  • Se pueden combinar con el acceso condicional, que luego puede bloquear a los usuarios y dispositivos que no cumplen las reglas.
  • Puede invalidar la configuración de los valores que también administra a través de directivas de configuración de dispositivos. Para obtener más información sobre la resolución de conflictos para las directivas, consulte Directivas de cumplimiento y configuración de dispositivos que entran en conflicto.

Las directivas de cumplimiento de Intune tienen dos partes:

  • Configuración de directivas de cumplimiento: la configuración para todo el inquilino que es similar a una directiva de cumplimiento integrada que cada dispositivo recibe. La configuración de directivas de cumplimiento establece una línea de base para el funcionamiento de la directiva de cumplimiento en el entorno de Intune, lo que incluye si los dispositivos que no han recibido directivas de cumplimiento de dispositivos son compatibles o no.

  • Directiva de cumplimiento de dispositivos: reglas específicas de la plataforma que se configuran e implementan en grupos de usuarios o dispositivos. Estas reglas definen los requisitos de los dispositivos, como los sistemas operativos mínimos o el uso del cifrado de discos. Los dispositivos deben cumplir estas reglas para que se consideren compatibles.

Al igual que otras directivas de Intune, las evaluaciones de las directivas de cumplimiento de un dispositivo dependen del momento en el que el dispositivo se sincroniza con Intune y los ciclos de actualización de directivas y perfiles.

Configuración de directiva de cumplimiento

La configuración de directivas de cumplimiento es una configuración para todo el inquilino que determina cómo el servicio de cumplimiento de Intune interactúa con los dispositivos. Esta configuración es distinta de la que se configura en una directiva de cumplimiento de dispositivos.

Para administrar la configuración de la directiva de cumplimiento, inicie sesión en Microsoft Intune centro de administración y vaya a Configuración de la directiva decumplimiento> de dispositivos de seguridad>de punto de conexión.

La configuración de directivas de cumplimiento incluye las configuraciones siguientes:

  • Marcar los dispositivos que no tienen asignada una directiva de cumplimiento como

    Esta configuración determina cómo Intune trata los dispositivos a los que no se ha asignado una directiva de cumplimiento de dispositivos. Esta configuración tiene dos valores:

    • Compatible (predeterminado): esta característica de seguridad está desactivada. Los dispositivos a los que no se les envía una directiva de cumplimiento de dispositivos se consideran compatibles.
    • No compatible: esta característica de seguridad está activada. Los dispositivos que no han recibido una directiva de cumplimiento de dispositivos se consideran no compatibles.

    Si usa el acceso condicional con las directivas de cumplimiento de dispositivos, cambie esta configuración a No compatible para asegurarse de que solo los dispositivos que se confirmen como compatibles puedan acceder a los recursos.

    Si un usuario final no es compatible porque no se le ha asignado ninguna directiva, la aplicación Portal de empresa muestra que no se han asignado directivas de cumplimiento.

  • Período de validez del estado de cumplimiento (días)

    Especifique un período en el que los dispositivos deben notificar correctamente todas las directivas de cumplimiento recibidas. Si un dispositivo no puede informar su estado de cumplimiento con respecto a una directiva antes de que expire el período de validez, el dispositivo se considerará como no compatible.

    De manera predeterminada, el período se establece en 30 días. Puede configurar un período de entre 1 y 120 días.

    Puede ver detalles sobre el cumplimiento de un dispositivo con la configuración del período de validez. Inicie sesión en Microsoft Intune centro de administración y vaya a Cumplimiento dela configuracióndel monitor> de dispositivos>. Esta configuración tiene el nombre Is active (Activo) en la columna Configuración. Para más información sobre esta vista de estado de cumplimiento y vistas de estados de cumplimiento relacionadas, consulte Supervisión del cumplimiento de dispositivos.

Directivas de cumplimiento de dispositivos

Directivas de cumplimiento de dispositivos de Intune:

  • Definen las reglas y la configuración que los usuarios y los dispositivos administrados deben cumplir para ser compatibles. Algunos ejemplos de reglas incluyen requerir que los dispositivos ejecuten una versión mínima del sistema operativo, que no tengan jailbreak ni acceso "root" y que tengan un nivel de amenaza según lo especificado en el software de administración de amenazas que ha integrado con Intune.
  • Admiten acciones que se aplican a los dispositivos que no cumplen con las reglas de cumplimiento. Entre los ejemplos de acciones se incluyen el bloqueo remoto o el envío de un correo electrónico del usuario del dispositivo sobre el estado del dispositivo para poder corregirlo.
  • Se implementan en los usuarios de grupos de usuarios o dispositivos de grupos de dispositivos. Cuando se implementa una directiva de cumplimiento en un usuario, se comprueba el cumplimiento de todos los dispositivos del usuario. El uso de grupos de dispositivos en este contexto ayuda con los informes de cumplimiento.

Si usa el acceso condicional, las directivas de acceso condicional pueden usar los resultados de cumplimiento de dispositivos para bloquear el acceso a los recursos desde dispositivos no compatibles.

La configuración disponible que puede especificar en una directiva de cumplimiento de dispositivos depende del tipo de plataforma que selecciona cuando crea una directiva. Las distintas plataformas de dispositivos admiten diferentes configuraciones y cada tipo de plataforma requiere una directiva independiente.

Los temas siguientes se vinculan a artículos dedicados para distintos aspectos de la directiva de configuración de dispositivos.

  • Acciones en caso de no cumplimiento: cada directiva de cumplimiento de dispositivos incluye una o varias acciones en caso de no cumplimiento. Estas acciones son reglas que se aplican a los dispositivos que no cumplen con las condiciones establecidas en la directiva.

    De manera predeterminada, cada directiva de cumplimiento de dispositivos incluye la acción para marcar un dispositivo como no compatible si no cumple con una regla de directiva. Después, la directiva aplica al dispositivo cualquier acción adicional en caso de no cumplimiento que se haya configurado, en función de las programaciones que establece para esas acciones.

    Las acciones en caso de no cumplimiento pueden ayudar a alertar a los usuarios cuando su dispositivo no es compatible o a proteger los datos que pueda haber en un dispositivo. Algunos ejemplos de acciones son:

    • El envío de alertas por correo electrónico a usuarios y grupos con detalles sobre el dispositivo no compatible. Puede configurar la directiva para enviar un correo electrónico inmediatamente después de que el dispositivo se marca como no conforme y, de nuevo, de manera periódica, hasta que el dispositivo sea compatible.
    • El bloqueo remoto de dispositivos que no son compatibles durante algún tiempo.
    • La retirada de dispositivos después de que no hayan sido compatibles durante un tiempo. Esta acción marca un dispositivo que cumple los requisitos y que está listo para retirarse. A continuación, un administrador puede ver una lista de dispositivos marcados para su retirada y debe realizar una acción explícita para retirar uno o varios dispositivos. La retirada de un dispositivo lo quita de la administración de Intune y quita todos los datos de empresa del dispositivo. Para obtener más información sobre esta acción, consulte Acciones de no cumplimiento disponibles.
  • Creación de una directiva: con la información que aparece en este artículo, puede revisar los requisitos previos, examinar las opciones para configurar reglas, especificar acciones en caso de no cumplimiento y asignar la directiva a los grupos. En este artículo también se incluye información sobre los tiempos de actualización de directivas.

    Consulte la configuración de cumplimiento de dispositivos para las distintas plataformas de dispositivos:

  • Configuración de cumplimiento personalizada : con la configuración de cumplimiento personalizada, puede expandir las opciones de cumplimiento de dispositivos integradas de Intune. La configuración personalizada proporciona flexibilidad para basar el cumplimiento en la configuración que está disponible en un dispositivo sin tener que esperar a que Intune agregue esa configuración.

    Puede usar la configuración de cumplimiento personalizada con las siguientes plataformas:

    • Linux: Ubuntu Desktop, versión 20.04 LTS y 22.04 LTS
    • Windows 10 u 11

Supervisión del estado de cumplimiento

Intune incluye un panel de cumplimiento de dispositivos que se usa para supervisar el estado de cumplimiento de los dispositivos y para profundizar en las directivas y los dispositivos para saber más. Para más información sobre este panel, consulte Supervisión del cumplimiento de dispositivos.

Integración con el acceso condicional

Cuando usa el acceso condicional, puede configurar las directivas de acceso condicional para usar los resultados de las directivas de cumplimiento de dispositivos con el fin de determinar qué dispositivos pueden acceder a los recursos de la organización. Este control de acceso es aparte de las acciones en caso de no cumplimiento que se incluyen en las directivas de cumplimiento de dispositivos.

Cuando un dispositivo se inscribe en Intune, se registra en Microsoft Entra identificador. El estado de cumplimiento de los dispositivos se notifica a Microsoft Entra identificador. Si las directivas de acceso condicional tienen controles de acceso establecidos en Requerir que el dispositivo esté marcado como compatible, el acceso condicional usa ese estado de cumplimiento para determinar si se debe conceder o bloquear el acceso al correo electrónico y a otros recursos de la organización.

Si va a utilizar el estado de cumplimiento de dispositivos con directivas de acceso condicional, revise cómo el inquilino ha configurado la opción Marcar los dispositivos que no tienen asignada una directiva de cumplimiento como, que se administra en Configuración de directivas de cumplimiento.

Para más información sobre cómo usar el acceso condicional con las directivas de cumplimiento de dispositivos, consulte Acceso condicional basado en dispositivos.

Obtenga más información sobre el acceso condicional en la documentación de Microsoft Entra:

Referencia para el no cumplimiento y acceso condicional en las distintas plataformas

En la tabla siguiente se describe cómo administrar la configuración de no cumplimiento cuando se usa una directiva de cumplimiento con una directiva de acceso condicional.

  • Corregido: el sistema operativo del dispositivo exige el cumplimiento. Por ejemplo, se obliga al usuario a establecer un PIN.

  • En cuarentena: el sistema operativo del dispositivo no exige el cumplimiento. Por ejemplo, los dispositivos Android y Android Enterprise no obligan al usuario a cifrar el dispositivo. Si el dispositivo no es compatible, se emprenden las siguientes acciones:

    • El dispositivo se bloquea si se aplica una directiva de acceso condicional al usuario.
    • La aplicación Portal de empresa de Intune notifica al usuario sobre cualquier problema de cumplimiento.

Configuración de directiva Plataforma
Distribuciones permitidas Linux(only): en cuarentena
Cifrado del dispositivo - Android 4.0 y versiones posteriores: en cuarentena
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena
- Android Enterprise: en cuarentena

- iOS 8.0 y versiones posteriores: corregido (con la configuración del PIN)
- macOS 10.11 y versiones posteriores: en cuarentena

- Linux: en cuarentena

- Windows 10/11: en cuarentena
Perfil de correo electrónico - Android 4.0 y versiones posteriores: no aplicable
- Samsung Knox Standard 4.0 y versiones posteriores: no aplicable
- Android Enterprise: no aplicable

- iOS 8.0 y versiones posteriores: en cuarentena
- macOS 10.11 y versiones posteriores: en cuarentena

- Linux: no aplicable

- Windows 10/11: No aplicable
Dispositivo con acceso "root" o con jailbreak - Android 4.0 y versiones posteriores: en cuarentena (no es una configuración)
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena (no es una configuración)
- Android Enterprise: en cuarentena (no es una configuración)

- iOS 8.0 y versiones posteriores: en cuarentena (no es una configuración)
- macOS 10.11 y versiones posteriores: no aplicable

- Linux: no aplicable

- Windows 10/11: No aplicable
Versión de SO máxima - Android 4.0 y versiones posteriores: en cuarentena
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena
- Android Enterprise: en cuarentena

- iOS 8.0 y versiones posteriores: en cuarentena
- macOS 10.11 y versiones posteriores: en cuarentena

- Linux: consulte Distribuciones permitidas

- Windows 10/11: en cuarentena
Versión de SO mínima - Android 4.0 y versiones posteriores: en cuarentena
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena
- Android Enterprise: en cuarentena

- iOS 8.0 y versiones posteriores: en cuarentena
- macOS 10.11 y versiones posteriores: en cuarentena

- Linux: consulte Distribuciones permitidas

- Windows 10/11: en cuarentena
Configuración del PIN o de la contraseña - Android 4.0 y versiones posteriores: en cuarentena
- Samsung Knox Standard 4.0 y versiones posteriores: en cuarentena
- Android Enterprise: en cuarentena

- iOS 8.0 y versiones posteriores: corregido
- macOS 10.11 y versiones posteriores: corregido

- Linux: en cuarentena

- Windows 10/11: Corregido
Atestación de estado de Windows - Android 4.0 y versiones posteriores: no aplicable
- Samsung Knox Standard 4.0 y versiones posteriores: no aplicable
- Android Enterprise: no aplicable

- iOS 8.0 y versiones posteriores: no aplicable
- macOS 10.11 y versiones posteriores: no aplicable

- Linux: no aplicable

- Windows 10/11: en cuarentena

Nota:

La aplicación Portal de empresa entra en el flujo de corrección de inscripción cuando el usuario inicia sesión en la aplicación y el dispositivo no se ha registrado correctamente con Intune durante 30 días o más (o el dispositivo no es compatible debido a un motivo de cumplimiento de contactos perdidos). En este flujo, intentamos iniciar una comprobación una vez más. Si todavía no se realiza correctamente, emitimos un comando retire para permitir que el usuario vuelva a inscribir el dispositivo manualmente.


Siguientes pasos