Configuración de cumplimiento de dispositivos para Windows 10/11 en Intune

En este artículo se enumeran y describen las distintas opciones de cumplimiento que puede configurar en dispositivos Windows en Intune. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para requerir BitLocker, establecer un sistema operativo mínimo y máximo, establecer un nivel de riesgo mediante Microsoft Defender para punto de conexión y mucho más.

Esta característica se aplica a:

• Windows 10 u 11
• Windows Holographic for Business
• Surface Hub

Como administrador de Intune, use esta configuración de cumplimiento para ayudar a proteger los recursos de la organización. Para obtener más información sobre las directivas de cumplimiento y lo que hacen, consulte Introducción al cumplimiento de dispositivos.

Antes de empezar

Cree una directiva de cumplimiento. En Plataforma, seleccione Windows 10 y versiones posteriores.

Estado del dispositivo

Reglas de evaluación del servicio de atestación de mantenimiento de Windows

• Requerir BitLocker:
  Cifrado de unidad de Windows BitLocker cifra todos los datos almacenados en el volumen del sistema operativo Windows. BitLocker usa el módulo de plataforma segura (TPM) para ayudar a proteger el sistema operativo Windows y los datos de usuario. También ayuda a confirmar que un equipo no está alterado, incluso si su izquierda desatendida, perdida o robada. Si el equipo está equipado con un TPM compatible, BitLocker usa el TPM para bloquear las claves de cifrado que protegen los datos. Como resultado, no se puede acceder a las claves hasta que el TPM compruebe el estado del equipo.

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : el dispositivo puede proteger los datos almacenados en la unidad contra el acceso no autorizado cuando el sistema está apagado o hiberna.

  CSP de Device HealthAttestation: BitLockerStatus

  Nota:

  Si usa una directiva de cumplimiento de dispositivos en Intune, tenga en cuenta que el estado de esta configuración solo se mide en el momento del arranque. Por lo tanto, aunque el cifrado de BitLocker haya finalizado, se requerirá un reinicio para que el dispositivo lo detecte y se vuelva compatible. Para obtener más información, consulte el siguiente blog de soporte técnico de Microsoft en Atestación de estado de dispositivos.

• Requerir que arranque seguro esté habilitado en el dispositivo:

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : el sistema se ve obligado a arrancar en un estado de confianza de fábrica. Los componentes principales que se usan para arrancar la máquina deben tener firmas criptográficas correctas de confianza para la organización que fabricó el dispositivo. El firmware UEFI comprueba la firma antes de que permita que se inicie la máquina. Si se altera algún archivo, lo que interrumpe su firma, el sistema no arranca.

  Nota:

  La opción Requerir arranque seguro que se va a habilitar en la configuración del dispositivo se admite en algunos dispositivos TPM 1.2 y 2.0. En el caso de los dispositivos que no admiten TPM 2.0 o posterior, el estado de la directiva en Intune se muestra como No compatible. Para obtener más información sobre las versiones admitidas, consulte Atestación de estado del dispositivo.

• Requerir integridad de código:
  La integridad del código es una característica que valida la integridad de un controlador o archivo del sistema cada vez que se carga en la memoria.

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : requiere integridad de código, que detecta si se está cargando un archivo de sistema o controlador sin firmar en el kernel. También detecta si un archivo del sistema es cambiado por software malintencionado o ejecutado por una cuenta de usuario con privilegios de administrador.

Más recursos:

• Para obtener más información sobre cómo funciona el servicio de atestación de estado, consulte CSP de atestación de estado.
• Sugerencia de soporte técnico: Usar la configuración de atestación de estado del dispositivo como parte de la directiva de cumplimiento de Intune.

Propiedades del dispositivo

Versión del sistema operativo

Para detectar versiones de compilación para todos los Novedades de características de Windows 10/11 y Novedades acumulativas (que se usarán en algunos de los campos siguientes), vea Información de la versión de Windows. Asegúrese de incluir el prefijo de versión adecuado antes de los números de compilación, como 10.0 para Windows 10, como se muestra en los ejemplos siguientes.

• Versión mínima del sistema operativo:
  Escriba la versión mínima permitida en el formato de número major.minor.build.revision . Para obtener el valor correcto, abra un símbolo del sistema y escriba ver. El ver comando devuelve la versión en el formato siguiente:

  Microsoft Windows [Version 10.0.17134.1]

  Cuando un dispositivo tiene una versión anterior a la versión del sistema operativo que escriba, se notifica como no compatible. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede elegir actualizar su dispositivo. Después de actualizar, pueden acceder a los recursos de la empresa.

• Versión máxima del sistema operativo:
  Escriba la versión máxima permitida, en el formato de número major.minor.build.revision . Para obtener el valor correcto, abra un símbolo del sistema y escriba ver. El ver comando devuelve la versión en el formato siguiente:

  Microsoft Windows [Version 10.0.17134.1]

  Cuando un dispositivo usa una versión del sistema operativo posterior a la especificada, se bloquea el acceso a los recursos de la organización. Se pide al usuario final que se ponga en contacto con su administrador de TI. El dispositivo no puede acceder a los recursos de la organización hasta que se cambie la regla para permitir la versión del sistema operativo.

• Sistema operativo mínimo necesario para dispositivos móviles:
  Escriba la versión mínima permitida, en el formato de número major.minor.build.

  Cuando un dispositivo tiene una versión anterior que la versión del sistema operativo que escriba, se notifica como no compatible. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede elegir actualizar su dispositivo. Después de actualizar, pueden acceder a los recursos de la empresa.

• Sistema operativo máximo necesario para dispositivos móviles:
  Escriba la versión máxima permitida, en el número major.minor.build.

  Cuando un dispositivo usa una versión del sistema operativo posterior a la especificada, se bloquea el acceso a los recursos de la organización. Se pide al usuario final que se ponga en contacto con su administrador de TI. El dispositivo no puede acceder a los recursos de la organización hasta que se cambie la regla para permitir la versión del sistema operativo.

• Compilaciones válidas del sistema operativo:
  Especifique una lista de compilaciones mínimas y máximas del sistema operativo. Las compilaciones de sistema operativo válidas proporcionan flexibilidad adicional en comparación con las versiones mínima y máxima del sistema operativo. Considere un escenario en el que la versión mínima del sistema operativo se establece en 10.0.18362.xxx (Windows 10 1903) y la versión máxima del sistema operativo se establece en 10.0.18363.xxx (Windows 10 1909). Esta configuración puede permitir que un dispositivo Windows 10 1903 que no tenga instaladas actualizaciones acumulativas recientes se identifique como compatible. Es posible que las versiones mínimas y máximas del sistema operativo sean adecuadas si se ha estandarizado en una sola versión de Windows 10, pero es posible que no cumpla los requisitos si necesita usar varias compilaciones, cada una con niveles de revisión específicos. En tal caso, considere la posibilidad de aprovechar las compilaciones válidas del sistema operativo en su lugar, lo que permite especificar varias compilaciones según el ejemplo siguiente.

  El valor más grande admitido para cada uno de los campos de versión, principal, secundario y de compilación es 65535. Por ejemplo, el valor más grande que puede especificar es 65535.65535.65535.65535.

  Ejemplo:
  La tabla siguiente es un ejemplo de un intervalo para las versiones de sistemas operativos aceptables para diferentes versiones de Windows 10. En este ejemplo, se han permitido tres Novedades de características diferentes (1809, 1909 y 2004). En concreto, solo las versiones de Windows y que han aplicado actualizaciones acumulativas de junio a septiembre de 2020 se considerarán compatibles. Solo se trata de datos de ejemplo. La tabla incluye una primera columna que incluye cualquier texto que quiera describir la entrada, seguida de la versión mínima y máxima del sistema operativo para esa entrada. La segunda y tercera columnas deben cumplir las versiones de compilación del sistema operativo válidas en el formato de número major.minor.build.revision . Después de definir una o varias entradas, puede exportar la lista como un archivo de valores separados por comas (CSV).

  Description	Versión de SO mínima	Versión de SO máxima
  Win 10 2004 (junio-septiembre de 2020)	10.0.19041.329	10.0.19041.508
  Ganar 10 1909 (junio-septiembre de 2020)	10.0.18363.900	10.0.18363.1110
  Ganar 10 1809 (junio-septiembre de 2020)	10.0.17763.1282	10.0.17763.1490

  Nota:

  Si especifica varios intervalos de compilaciones de versión del sistema operativo en la directiva y un dispositivo tiene una compilación fuera de los intervalos conformes, Portal de empresa notificará al usuario del dispositivo que el dispositivo no es conforme con esta configuración. Sin embargo, tenga en cuenta que, debido a limitaciones técnicas, el mensaje de corrección de cumplimiento solo muestra el primer intervalo de versiones del sistema operativo especificado en la directiva. Se recomienda documentar los intervalos de versiones del sistema operativo aceptables para los dispositivos administrados de la organización.

Cumplimiento de Configuration Manager

Solo se aplica a los dispositivos administrados conjuntamente que ejecutan Windows 10/11. Los dispositivos solo de Intune devuelven un estado no disponible.

• Requerir el cumplimiento del dispositivo de Configuration Manager:
  • No configurado (valor predeterminado): Intune no comprueba el cumplimiento de ninguna de las opciones de Configuration Manager.
  • Requerir: requerir que todos los valores (elementos de configuración) de Configuration Manager sean compatibles.

Seguridad del sistema

Password

• Requerir una contraseña para desbloquear dispositivos móviles:

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo.

• Contraseñas sencillas:

  • No configurado (valor predeterminado): los usuarios pueden crear contraseñas sencillas, como 1234 o 1111.
  • Bloquear : los usuarios no pueden crear contraseñas sencillas, como 1234 o 1111.

• Tipo de contraseña:
  Elija el tipo de contraseña o PIN necesario. Sus opciones:

  • Valor predeterminado del dispositivo (valor predeterminado): requerir una contraseña, un PIN numérico o un PIN alfanumérico
  • Numérico : requerir una contraseña o un PIN numérico
  • Alfanumérico : requiere una contraseña o un PIN alfanumérico.

  Cuando se establece en Alfanumérico, están disponibles los siguientes valores:

  • Complejidad de la contraseña:
    Sus opciones:

    • Requerir dígitos y letras minúsculas (valor predeterminado)
    • Requerir dígitos, letras minúsculas y letras mayúsculas
    • Requerir dígitos, letras minúsculas, letras mayúsculas y caracteres especiales

    Sugerencia

    Las directivas de contraseña alfanuméricas pueden ser complejas. Animamos a los administradores a leer los CSP para obtener más información:

    • DeviceLock/AlphanumericDevicePasswordRequired CSP
    • DeviceLock/MinDevicePasswordComplexCharacters CSP

• Longitud mínima de la contraseña:
  Escriba el número mínimo de dígitos o caracteres que debe tener la contraseña.

• Máximo de minutos de inactividad antes de que se requiera la contraseña:
  Escriba el tiempo de inactividad antes de que el usuario deba volver a escribir su contraseña.

• Expiración de contraseña (días):
  Escriba el número de días antes de que expire la contraseña y debe crear uno nuevo, del 1 al 730.

• Número de contraseñas anteriores para evitar la reutilización:
  Escriba el número de contraseñas usadas anteriormente que no se pueden usar.

• Requerir contraseña cuando el dispositivo vuelva del estado de inactividad (móvil y holográfico):

  • No configurado (valor predeterminado)
  • Requerir : requerir a los usuarios del dispositivo que escriban la contraseña cada vez que el dispositivo vuelva de un estado inactivo.

  Importante

  Cuando se cambia el requisito de contraseña en un escritorio de Windows, los usuarios se ven afectados la próxima vez que inician sesión, ya que es cuando el dispositivo pasa de inactivo a activo. A los usuarios con contraseñas que cumplan el requisito se les pedirá que cambien sus contraseñas.

Cifrado

• Cifrado del almacenamiento de datos en un dispositivo:
  Esta configuración se aplica a todas las unidades de un dispositivo.

  • No configurado (valor predeterminado)
  • Requerir : use Requerir para cifrar el almacenamiento de datos en los dispositivos.

  CSP de DeviceStatus: DeviceStatus/Compliance/EncryptionCompliance

  Nota:

  La configuración Cifrado de almacenamiento de datos en un dispositivo comprueba genéricamente la presencia de cifrado en el dispositivo, más específicamente en el nivel de unidad del sistema operativo. Actualmente, Intune solo admite la comprobación de cifrado con BitLocker. Para obtener una configuración de cifrado más sólida, considere la posibilidad de usar Requerir BitLocker, que aprovecha la atestación de estado de dispositivos Windows para validar el estado de BitLocker en el nivel de TPM. Sin embargo, al aprovechar esta configuración, tenga en cuenta que es posible que se requiera un reinicio antes de que el dispositivo se refleje como compatible.

Seguridad del dispositivo

• Firewall:

  • No configurado (valor predeterminado): Intune no controla el Firewall de Windows ni cambia la configuración existente.
  • Requerir: activa el Firewall de Windows e impide que los usuarios lo desactiven.

  CSP de firewall

  Nota:

  • Si el dispositivo se sincroniza inmediatamente después de un reinicio o sincroniza inmediatamente el despertar de la suspensión, esta configuración puede notificarse como un error. Es posible que este escenario no afecte al estado de cumplimiento general del dispositivo. Para volver a evaluar el estado de cumplimiento, sincronice manualmente el dispositivo.

  • Si se aplica una configuración (por ejemplo, a través de una directiva de grupo) a un dispositivo que configura Firewall de Windows para permitir todo el tráfico entrante o desactiva el firewall, al establecer Firewall en Requerir se devolverá No compatible, incluso si la directiva de configuración de dispositivos de Intune activa Firewall. Esto se debe a que el objeto de directiva de grupo invalida la directiva de Intune. Para solucionar este problema, se recomienda quitar cualquier configuración de directiva de grupo en conflicto o migrar la configuración de directiva de grupo relacionada con firewall a la directiva de configuración de dispositivos de Intune. En general, se recomienda mantener la configuración predeterminada, incluido el bloqueo de conexiones entrantes. Para obtener más información, consulte Procedimientos recomendados para configurar Firewall de Windows.

• Módulo de plataforma segura (TPM):

  • No configurado (valor predeterminado): Intune no comprueba la versión del chip tpm en el dispositivo.
  • Requerir : Intune comprueba el cumplimiento de la versión del chip de TPM. El dispositivo es compatible si la versión del chip tpm es mayor que 0 (cero). El dispositivo no es compatible si no hay una versión de TPM en el dispositivo.

  CSP de DeviceStatus: DeviceStatus/TPM/SpecificationVersion

• Antivirus:

  • No configurado (valor predeterminado): Intune no comprueba si hay ninguna solución antivirus instalada en el dispositivo.
  • Requerir: compruebe el cumplimiento mediante soluciones antivirus registradas con Seguridad de Windows Center, como Symantec y Microsoft Defender. Cuando se establece en Requerir, un dispositivo que tiene su software Antivirus deshabilitado o obsoleto no es conforme.

  CSP de DeviceStatus: DeviceStatus/Antivirus/Status

• Antispyware:

  • No configurado (valor predeterminado): Intune no comprueba si hay ninguna solución de antispyware instalada en el dispositivo.
  • Requerir: compruebe el cumplimiento mediante soluciones antispyware registradas en Seguridad de Windows Center, como Symantec y Microsoft Defender. Cuando se establece en Requerir, un dispositivo que tiene su software antimalware deshabilitado o obsoleto no es conforme.

  CSP de DeviceStatus: DeviceStatus/Antispyware/Status

Defender

La siguiente configuración de cumplimiento es compatible con Windows 10/11 Desktop.

• Microsoft Defender Antimalware:

  • No configurado (valor predeterminado): Intune no controla el servicio ni cambia la configuración existente.
  • Requerir: active el servicio antimalware Microsoft Defender y evite que los usuarios lo desactiven.

• Microsoft Defender versión mínima de Antimalware:
  Escriba la versión mínima permitida de Microsoft Defender servicio antimalware. Por ejemplo, escriba 4.11.0.0. Cuando se deja en blanco, se puede usar cualquier versión del servicio antimalware Microsoft Defender.

  De forma predeterminada, no se configura ninguna versión.

• Microsoft Defender inteligencia de seguridad antimalware actualizada:
  Controla las actualizaciones de protección contra amenazas y virus de Seguridad de Windows en los dispositivos.

  • No configurado (valor predeterminado): Intune no aplica ningún requisito.
  • Requerir: forzar que la inteligencia de seguridad de Microsoft Defender esté actualizada.

  CSP de Defender: CSP de Defender/Health/SignatureOutOfDate

  Para obtener más información, consulte Actualizaciones de inteligencia de seguridad para Microsoft Defender Antivirus y otros antimalware de Microsoft.

• Protección en tiempo real:

  • No configurado (valor predeterminado): Intune no controla esta característica ni cambia la configuración existente.
  • Requerir : activa la protección en tiempo real, que busca malware, spyware y otro software no deseado.

  CSP de directiva: CSP de Defender/AllowRealtimeMonitoring

Microsoft Defender para punto de conexión

reglas de Microsoft Defender para punto de conexión

Para obtener más información sobre la integración de Microsoft Defender para punto de conexión en escenarios de acceso condicional, vea Configurar el acceso condicional en Microsoft Defender para punto de conexión.

• Requerir que el dispositivo esté en la puntuación de riesgo de la máquina o en ella:
  Use esta configuración para tomar la evaluación de riesgos de los servicios de amenazas de defensa como condición para el cumplimiento. Elija el nivel de amenaza máximo permitido:

  • No configurado (valor predeterminado)
  • Borrar : esta opción es la más segura, ya que el dispositivo no puede tener ninguna amenaza. Si se detecta que el dispositivo tiene cualquier nivel de amenazas, se evalúa como no compatible.
  • Bajo : el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier cosa superior coloca el dispositivo en un estado no compatible.
  • Medio : el dispositivo se evalúa como compatible si las amenazas existentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que no es compatible.
  • Alto : esta opción es la menos segura y permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.

  Para configurar Microsoft Defender para punto de conexión como servicio de amenazas de defensa, consulte Habilitación de Microsoft Defender para punto de conexión con acceso condicional.

Windows Holographic for Business

Windows Holographic for Business usa la plataforma Windows 10 y posterior. Windows Holographic for Business admite la siguiente configuración:

• Seguridad> del sistemaCifrado>Cifrado del almacenamiento de datos en el dispositivo.

Para comprobar el cifrado de dispositivos en el Microsoft HoloLens, consulte Comprobación del cifrado de dispositivos.

Surface Hub

Surface Hub usa la plataforma Windows 10 y posterior. Los Surface Hubs son compatibles con el cumplimiento y el acceso condicional. Para habilitar estas características en Surface Hubs, te recomendamos habilitar la inscripción automática de Windows en Intune (requiere Microsoft Entra ID) y dirigirte a los dispositivos Surface Hub como grupos de dispositivos. Los Surface Hubs deben estar Microsoft Entra unidos para que el cumplimiento y el acceso condicional funcionen.

Para obtener instrucciones, consulte Configuración de la inscripción para dispositivos Windows.

Consideración especial para surface hubs que ejecutan el sistema operativo de equipo Windows 10/11:
Los surface hubs que ejecutan Windows 10/11 Team OS no admiten las directivas de cumplimiento de Microsoft Defender para punto de conexión y contraseña en este momento. Por lo tanto, para surface hubs que ejecutan el sistema operativo de equipo Windows 10/11, establezca los dos valores predeterminados siguientes en No configurado:

• En la categoría Contraseña, establezca Requerir una contraseña para desbloquear dispositivos móviles en el valor predeterminado No configurado.

• En la categoría Microsoft Defender para punto de conexión, establezca Requerir que el dispositivo esté en o bajo la puntuación de riesgo de la máquina en el valor predeterminado No configurado.

Siguientes pasos

• Agregue acciones para dispositivos no compatibles y use etiquetas de ámbito para filtrar directivas.
• Supervise las directivas de cumplimiento.
• Consulte la configuración de la directiva de cumplimiento para dispositivos Windows 8.1.