Preguntas, respuestas y escenarios comunes con directivas y perfiles en Microsoft Intune
Importante
El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.
Si actualmente usa Windows 8.1, se recomienda pasar a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos cliente Windows 10/11.
Obtenga respuestas a preguntas comunes al trabajar con directivas en Intune. En este artículo también se muestran los intervalos de tiempo de sincronización, se proporcionan más detalles sobre los conflictos, y más.
Este artículo se aplica a las siguientes directivas:
- Directivas de protección de aplicaciones
- Directivas de configuración de aplicaciones
- Directivas de cumplimiento
- Directivas de acceso condicional
- Perfiles de configuración de dispositivos
- Directivas de inscripción
Intervalos de actualización de directivas
Intune notifica al dispositivo que se sincronice con el servicio de Intune. Los tiempos de notificación varían y van desde inmediatamente hasta unas horas. Estos tiempos de notificación también varían según la plataforma. En dispositivos Android, Googe Mobile Services (GMS) puede afectar a los intervalos de actualización de directivas.
Si un dispositivo no se sincroniza para recibir la directiva o el perfil después de la primera notificación, Intune hace tres intentos más. Es posible que un dispositivo sin conexión, como desactivado o no conectado a una red, no reciba las notificaciones. En ese caso, el dispositivo obtiene la directiva o el perfil en la próxima sincronización programada con el servicio Intune. Lo mismo se aplica a las comprobaciones de incumplimiento, incluidos los dispositivos que pasan de un estado conforme a un estado no conforme.
Frecuencias estimadas:
| Plataforma | Ciclo de actualización |
|---|---|
| Android, AOSP | Aproximadamente cada 8 horas |
| iOS/iPadOS | Aproximadamente cada 8 horas |
| macOS | Aproximadamente cada 8 horas |
| equipos Windows 10/11 inscritos como dispositivos | Aproximadamente cada 8 horas |
| Windows 8.1 | Aproximadamente cada 8 horas |
Si los dispositivos se inscriben recientemente, el cumplimiento, el incumplimiento y el registro de configuración se ejecutan con más frecuencia. Las protecciones se estiman en:
| Plataforma | Frecuencia |
|---|---|
| Android, AOSP | Cada 3 minutos durante 15 minutos, luego cada 15 minutos durante 2 horas y, luego, cada 8 horas |
| iOS/iPadOS | Cada 15 minutos durante 1 hora y, luego, cada 8 horas |
| macOS | Cada 15 minutos durante 1 hora y, luego, cada 8 horas |
| equipos Windows 10/11 inscritos como dispositivos | Cada 3 minutos durante 15 minutos, luego cada 15 minutos durante 2 horas y, luego, cada 8 horas |
| Windows 8.1 | Cada 5 minutos durante 15 minutos, luego cada 15 minutos durante 2 horas y, luego, cada 8 horas |
Para intervalos de actualización de directivas de protección de aplicaciones, vaya a Tiempo de entrega de directivas de Protección de aplicaciones.
En cualquier momento, los usuarios pueden abrir la aplicación de Portal de empresa, Estado decomprobación de dispositivos> o Sincronización de configuración> para comprobar inmediatamente si hay actualizaciones de directivas o perfiles. Para obtener información relacionada sobre el agente de extensión de administración de Intune o las aplicaciones Win32, consulte Administración de aplicaciones Win32 en Microsoft Intune.
Acciones de Intune que envían inmediatamente una notificación a un dispositivo
Hay diferentes acciones que desencadenan una notificación. Por ejemplo, cuando se asigna (o se desasigna) una directiva, un perfil o una aplicación, o bien estos se actualizan, se eliminan, etc. Estos tiempos de acción varían según la plataforma.
Los dispositivos se sincronizan con Intune cuando reciben una notificación para sincronizarse o durante la sincronización programada. Cuando el destino es un dispositivo o usuario con una acción, Intune lo notifica inmediatamente al dispositivo para que se sincronice y reciba estas actualizaciones. Por ejemplo, una notificación se produce cuando se ejecuta una acción de bloqueo, restablecimiento de código de acceso, aplicación o asignación de directivas.
Otros cambios no provocan una notificación inmediata a los dispositivos, incluida la revisión de la información de contacto en la aplicación Portal de empresa o las actualizaciones de un .ipa archivo.
La configuración de la directiva o el perfil de aplica en toda sincronización. Una entrada de blog Windows 10 del cliente de actualización de directiva MDM podría ser un buen recurso.
Conflictos
Los conflictos pueden producirse cuando diferentes directivas actualizan la misma configuración a valores diferentes. Por ejemplo, tiene dos directivas que actualizan la configuración de copiar y pegar a valores diferentes. El conflicto se controla de forma diferente en función del tipo de directiva.
Protección de aplicaciones directivas que entran en conflicto
Los valores de conflicto son la configuración más restrictiva disponible en una directiva de protección de aplicaciones. La excepción son los campos de entrada numéricos, por ejemplo, los intentos de PIN antes de restablecer. Los campos de entrada numéricos se establecen igual que los valores, como si se creara una directiva MAM con la opción de configuración recomendada.
Se producen conflictos cuando dos configuraciones de perfil son iguales. Por ejemplo, si configura dos directivas MAM que son idénticas, salvo por la configuración de copiar y pegar. En este escenario, la configuración de copiar y pegar se establece en el valor más restrictivo. El resto de las opciones se aplican según lo configurado.
Se implementa una directiva en la aplicación y surte efecto. Se implementa una segunda directiva. En este escenario, la primera directiva tiene prioridad y sigue siendo la directiva aplicada. La segunda directiva muestra un conflicto. Si ambas se aplican al mismo tiempo, lo que significa que no hay ninguna directiva precedente, ambas están en conflicto. Cualquier configuración en conflicto se establece en los valores más restrictivos.
Directivas de cumplimiento y configuración de dispositivos que entran en conflicto
Cuando se asignan dos o más directivas al mismo usuario o dispositivo, la configuración que se aplica se produce en el nivel de configuración individual:
Si usa directivas de cumplimiento personalizadas para establecer la configuración del dispositivo, la configuración de la directiva de cumplimiento personalizada tiene prioridad sobre la misma configuración dentro de las directivas de configuración de dispositivos. La configuración de directivas de cumplimiento siempre tiene prioridad respecto a la configuración de perfiles de configuración.
Si se evalúa una directiva de cumplimiento con el mismo valor en otra directiva de cumplimiento, se aplica el valor de directiva de cumplimiento más restrictivo.
Si una opción de la directiva de configuración entra en conflicto con una opción de otra directiva de configuración, este conflicto se muestra en Intune. Resuelva estos conflictos de forma manual.
En el Centro de administración de Intune, hay algunos lugares en los que puede crear directivas de configuración, como análisis de directiva de grupo, seguridad de puntos de conexión, líneas base de seguridad, etc. Si hay un conflicto y tiene varias directivas, compruebe todos los lugares donde configuró las directivas. Además, las características de informes integradas podrán ayudar con los conflictos. Para obtener más información sobre los informes disponibles, vaya a Informes de Intune.
Directivas de iOS/iPadOS o macOS personalizadas que entran en conflicto
Intune no evalúa la carga de archivos de configuración de Apple ni directivas personalizadas de identificador uniforme de recursos de Open Mobile Alliance (OMA-URI). Sencillamente, se usa como mecanismo de entrega.
Al asignar una directiva personalizada, confirme que los valores configurados no entran en conflicto con las directivas de cumplimiento, configuración o personalizadas. Si una directiva personalizada y su configuración entran en conflicto, Apple aplica aleatoriamente la configuración.
Las características de informes integradas pueden ayudar con los conflictos. Para obtener más información sobre los informes disponibles, vaya a Informes de Intune.
Se elimina un perfil o ya no se aplica
Al eliminar un perfil o quitar un dispositivo de un grupo que tiene asignado el perfil, tanto el perfil como la configuración se quitan del dispositivo. Se quitan tal como se describe en la siguiente lista:
Perfiles de correo electrónico, certificado, VPN y Wi-Fi: estos perfiles se quitan de todos los dispositivos inscritos admitidos.
Todos los demás tipos de perfiles:
Dispositivos Android: la configuración no se quita del dispositivo.
iOS: se quitan todas las configuraciones, excepto:
- Permitir itinerancia de voz
- Permitir itinerancia de datos
- Permitir la sincronización automática en itinerancia
Dispositivos Windows: después de quitar o anular la asignación del perfil, haga que el usuario Microsoft Entra inicie sesión en el dispositivo y sincronice con el servicio Intune.
la configuración de Intune se basa en el proveedor de servicios de configuración (CSP) de Windows. El comportamiento depende del CSP. Algunos CSP quitan el valor y otros mantienen el valor, también llamado tatuaje.
Un perfil se aplica a un grupo de usuarios. Más adelante, se quita un usuario del grupo. Para que la configuración sea retirada de ese usuario, puede tardar hasta 7 horas o más en:
- Perfil que se va a quitar de la asignación de directiva en el Centro de administración de Intune
- Dispositivo que se va a sincronizar con el objeto de Intune mediante el ciclo de actualización de directivas específicas de plataforma (en este artículo)
He cambiado un perfil de restricción de dispositivos, pero los cambios no han surtido efecto
Para aplicar un perfil menos restrictivo, es posible que algunos dispositivos deban retirarse y volver a inscribirse en Intune. Por ejemplo, es posible que tenga que retirar y volver a inscribir dispositivos cliente De Android, iOS/iPadOS y Windows.
Algunas opciones de configuración de perfil de Windows 10/11 devuelven "No es aplicable"
Algunas opciones de configuración de los dispositivos cliente Windows pueden mostrarse como No aplicables. Cuando sucede esta situación, esa configuración concreta no se admite en la versión o edición de Windows que se esté ejecutando en el dispositivo. Este mensaje puede aparecer por las siguientes razones:
- La configuración solo está disponible para versiones más recientes de Windows, pero no para la versión actual del sistema operativo (SO) del dispositivo.
- La configuración solo está disponible para ediciones de Windows o SKU específicas, como Home, Professional, Enterprise o Education.
Para obtener más información sobre los requisitos de versión y edición para las distintas opciones de configuración, consulte la referencia del proveedor de servicios de configuración (CSP).
Cuando los dispositivos se inscriben, hay un retraso en la aplicación de aplicaciones y directivas asignadas a grupos de dispositivos dinámicos.
Durante la inscripción, puede usar Microsoft Entra grupos de dispositivos dinámicos. Por ejemplo, puede crear un grupo de dispositivos dinámicos en función del nombre o el perfil de inscripción de un dispositivo.
El perfil de inscripción se aplica al registro del dispositivo durante la configuración inicial del dispositivo. Microsoft Entra agrupación dinámica no es instantánea. Es posible que el dispositivo no esté en el grupo dinámico durante algún tiempo, posiblemente de minutos a horas, en función de otros cambios que se realicen en el inquilino.
Si el dispositivo no se agrega al grupo, las aplicaciones y las directivas no se asignan al dispositivo durante la protección inicial de Intune. Es posible que las directivas no se apliquen hasta el siguiente registro programado.
Si la entrega rápida de aplicaciones y directivas es importante para el escenario de instalación o inscripción, asigne las aplicaciones y directivas a grupos de usuarios, no a grupos de dispositivos dinámicos. Los grupos de usuarios se rellenan previamente con miembros antes de la configuración del dispositivo y no tienen este retraso.
Para obtener más información sobre los grupos dinámicos, vaya a:
- Adición de grupos para organizar usuarios y dispositivos en Intune
- Recomendaciones de rendimiento al usar Intune para agrupar, dirigirse y filtrar
- Reglas de pertenencia dinámica para grupos de Microsoft Entra ID
Pasos siguientes
- Solución de problemas de directivas y perfiles.
- ¿Necesita más ayuda? Consulte Cómo obtener soporte técnico en Microsoft Intune.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de