Compartir a través de


Ajustar la configuración después de la inscripción

Después de completar la inscripción en el Escritorio administrado de Microsoft, es posible que sea necesario ajustar algunas opciones de administración. Para comprobar y ajustar si es necesario, siga estos pasos:

  1. Revise la configuración de Microsoft Intune y Microsoft Entra descrita en la sección siguiente.
  2. Si alguno de los elementos se aplica a su entorno, realice los ajustes conforme se describe.

Nota:

A medida que las operaciones continúan en los meses siguientes, si realiza cambios después de la inscripción en las directivas de Microsoft Intune, Microsoft Entra ID o Microsoft 365 que afectan a Microsoft Managed Desktop, es posible que Microsoft Managed Desktop deje de funcionar correctamente. Para evitar problemas con el servicio, compruebe la configuración específica que se describe en Corregir problemas encontrados por la herramienta de evaluación de preparación antes de cambiar las directivas enumeradas allí.

Configuración de Microsoft Intune

Configuración Descripción
Perfil de la implementación de Autopilot Si usa alguna directiva de Autopilot, actualice cada una de ellas para excluir el grupo Modern Workplace Devices -All Microsoft Entra.

Para actualizar las directivas de Autopilot:

En Asignaciones, en Grupos excluidos, seleccione el grupo Modern Workplace Devices -All Microsoft Entra que se creó durante la inscripción de Microsoft Managed Desktop.

El Escritorio administrado de Microsoft también habrá creado un perfil de Autopilot, que tendrá "Modern Workplace" en el nombre (el Perfil de Autopilot de Modern Workplace). Al actualizar sus propios perfiles de Autopilot, asegúrese de no excluir el grupo Modern Workplace Devices -All Microsoft Entra del perfil moderno de Autopilot workplace creado por Microsoft Managed Desktop.
Directivas de acceso condicional Si crea directivas de acceso condicional nuevas relacionadas con el identificador de Microsoft Entra, Microsoft Intune o XDR de Microsoft Defender para punto de conexión después de la inscripción de Microsoft Managed Desktop, excluya del grupo Microsoft Entra las cuentas de servicio de Modern Workplace. Para obtener más información, consulte Acceso condicional: usuarios y grupos. Escritorio administrado de Microsoft mantiene directivas de acceso condicional independientes para restringir el acceso a estas cuentas.

Para revisar la directiva de acceso condicional del Escritorio administrado de Microsoft (Modern Workplace: Estación de trabajo segura Secure):

Vaya al Centro de administración de Microsoft Intune y vaya a Acceso condicional en Seguridad de punto de conexión. No modifique ninguna directiva de acceso condicional de Microsoft Entra creada por Microsoft Managed Desktop que tenga "Modern Workplace" en el nombre.
Autenticación multifactor Si crea nuevos requisitos de autenticación multifactor en las directivas de acceso condicional relacionadas con el identificador de Microsoft Entra, Intune o Microsoft Defender XDR para punto de conexión después de la inscripción de Microsoft Managed Desktop, excluya del grupo Microsoft Entra las cuentas de servicio modernos del área de trabajo. Para obtener más información, consulte Acceso condicional: usuarios y grupos. El Escritorio administrado de Microsoft mantiene directivas de acceso condicional independientes para restringir el acceso a los miembros de este grupo.

Para revisar la directiva de acceso condicional del Escritorio administrado de Microsoft (Modern Workplace -):

Vaya al Centro de administración de Microsoft Intune y vaya a Acceso condicional en Seguridad de punto de conexión.
Círculo de actualizaciones de Windows 10 En el caso de las directivas de anillo de actualización de Windows 10 que haya creado, excluya el grupo Modern Workplace Devices -All Microsoft Entra de cada directiva. Para obtener más información, consulte Crear y asignar círculo de actualizaciones.

Escritorio administrado de Microsoft también habrá creado algunas directivas de círculo de actualizaciones, todas con "Modern Workplace" en el nombre. Por ejemplo:
  • Directiva de actualización de Modern Workplace [Amplia]
  • Directiva de actualización de Modern Workplace [Rápido]
  • Directiva de actualización de Modern Workplace [Primero]
  • Directiva de actualización de Modern Workplace [Prueba]

Al actualizar sus propias directivas, asegúrese de no excluir el grupo Modern Workplace Devices -All Microsoft Entra de los que creó Microsoft Managed Desktop.

Configuración de Microsoft Entra

Restablecimiento de contraseñas de autoservicio: si utiliza el restablecimiento de contraseñas de autoservicio para todos los usuarios, ajuste la asignación para excluir las cuentas de servicio del Escritorio administrado de Microsoft.

Para ajustar esta asignación:

  1. Creación de un grupo dinámico de Microsoft Entra para todos los usuarios excepto las cuentas de servicio de Microsoft Managed Desktop
  2. Use ese grupo para la asignación en lugar de "todos los usuarios."

Para ayudarle a encontrar y excluir las cuentas de servicio, este es un ejemplo de una consulta dinámica que puede usar:

(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")

En esta consulta, reemplace @TENANT por el nombre de dominio del inquilino.