Ajustar la configuración después de la inscripción
Después de completar la inscripción en el Escritorio administrado de Microsoft, es posible que sea necesario ajustar algunas opciones de administración. Para comprobar y ajustar si es necesario, siga estos pasos:
- Revise la configuración de Microsoft Intune y Microsoft Entra descrita en la sección siguiente.
- Si alguno de los elementos se aplica a su entorno, realice los ajustes conforme se describe.
Nota:
A medida que las operaciones continúan en los meses siguientes, si realiza cambios después de la inscripción en las directivas de Microsoft Intune, Microsoft Entra id. o Microsoft 365 que afectan a Microsoft Managed Desktop, es posible que Microsoft Managed Desktop deje de funcionar correctamente. Para evitar problemas con el servicio, compruebe la configuración específica que se describe en Corregir problemas encontrados por la herramienta de evaluación de preparación antes de cambiar las directivas enumeradas allí.
Configuración de Microsoft Intune
| Configuración | Descripción |
|---|---|
| Perfil de la implementación de Autopilot | Si usa alguna directiva de Autopilot, actualice cada una de ellas para excluir el grupo Modern Workplace Devices -All Microsoft Entra. Para actualizar las directivas de Autopilot: En Asignaciones, en Grupos excluidos, seleccione el grupo Modern Workplace Devices -All Microsoft Entra que se creó durante la inscripción de Microsoft Managed Desktop. El Escritorio administrado de Microsoft también habrá creado un perfil de Autopilot, que tendrá "Modern Workplace" en el nombre (el Perfil de Autopilot de Modern Workplace). Al actualizar sus propios perfiles de Autopilot, asegúrese de que no excluya el grupo Modern Workplace Devices -All Microsoft Entra del perfil de Autopilot del área de trabajo moderna creado por Microsoft Managed Desktop. |
| Directivas de acceso condicional | Si crea directivas de acceso condicional nuevas relacionadas con el identificador de Microsoft Entra, Microsoft Intune o Microsoft Defender XDR para punto de conexión después de la inscripción de Microsoft Managed Desktop, excluya del grupo de Microsoft Entra las cuentas de servicio de Modern Workplace. Para obtener más información, consulte Acceso condicional: usuarios y grupos. Escritorio administrado de Microsoft mantiene directivas de acceso condicional independientes para restringir el acceso a estas cuentas. Para revisar la directiva de acceso condicional del Escritorio administrado de Microsoft (Modern Workplace: Estación de trabajo segura Secure): Vaya al centro de administración de Microsoft Intune y vaya a Acceso condicional en Seguridad del punto de conexión. No modifique ninguna Microsoft Entra directivas de acceso condicional creadas por Microsoft Managed Desktop que tengan "Modern Workplace" en el nombre. |
| Autenticación multifactor | Si crea nuevos requisitos de autenticación multifactor en directivas de acceso condicional relacionadas con el identificador de Microsoft Entra, Intune o Microsoft Defender XDR para punto de conexión después de la inscripción de Microsoft Managed Desktop, excluya del grupo de Microsoft Entra las cuentas de servicio modernas de Workplace. Para obtener más información, consulte Acceso condicional: usuarios y grupos. El Escritorio administrado de Microsoft mantiene directivas de acceso condicional independientes para restringir el acceso a los miembros de este grupo. Para revisar la directiva de acceso condicional del Escritorio administrado de Microsoft (Modern Workplace -): Vaya al centro de administración de Microsoft Intune y vaya a Acceso condicional en Seguridad del punto de conexión. |
| Círculo de actualizaciones de Windows 10 | Para cualquier Windows 10 directivas de anillo de actualización que haya creado, excluya el grupo Modern Workplace Devices -All Microsoft Entra de cada directiva. Para obtener más información, consulte Crear y asignar círculo de actualizaciones. Escritorio administrado de Microsoft también habrá creado algunas directivas de círculo de actualizaciones, todas con "Modern Workplace" en el nombre. Por ejemplo:
Al actualizar sus propias directivas, asegúrese de no excluir el grupo Modern Workplace Devices -All Microsoft Entra de los que creó Microsoft Managed Desktop. |
configuración de Microsoft Entra
Restablecimiento de contraseñas de autoservicio: si utiliza el restablecimiento de contraseñas de autoservicio para todos los usuarios, ajuste la asignación para excluir las cuentas de servicio del Escritorio administrado de Microsoft.
Para ajustar esta asignación:
- Creación de un grupo dinámico de Microsoft Entra para todos los usuarios excepto las cuentas de servicio de Microsoft Managed Desktop
- Use ese grupo para la asignación en lugar de "todos los usuarios."
Para ayudarle a encontrar y excluir las cuentas de servicio, este es un ejemplo de una consulta dinámica que puede usar:
(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")
En esta consulta, reemplace @TENANT por el nombre de dominio del inquilino.