Compartir a través de


Configuración de cumplimiento de dispositivos para Windows 10/11 en Intune

En este artículo se enumeran y describen las distintas opciones de cumplimiento que puede configurar en dispositivos Windows en Intune. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para requerir BitLocker, establecer un sistema operativo mínimo y máximo, establecer un nivel de riesgo mediante Microsoft Defender para punto de conexión, etc.

Esta característica se aplica a:

  • Windows 10 u 11
  • Windows Holographic for Business
  • Surface Hub

Como administrador de Intune, use esta configuración de cumplimiento para ayudar a proteger los recursos de la organización. Para obtener más información sobre las directivas de cumplimiento y lo que hacen, consulte Introducción al cumplimiento de dispositivos.

Antes de empezar

Cree una directiva de cumplimiento. En Plataforma, seleccione Windows 10 y versiones posteriores.

Estado del dispositivo

Para garantizar que los dispositivos arranquen en un estado de confianza, Intune usa los servicios de atestación de dispositivos de Microsoft. Los dispositivos en los servicios comerciales de Intune, GCC High y DoD de la administración pública de EE. UU. que ejecutan Windows 10 usan el servicio Atestación de estado de dispositivos (DHA).

Para más información, vea:

Reglas de evaluación del servicio de atestación de mantenimiento de Windows

  • Requerir BitLocker:
    Cifrado de unidad de Windows BitLocker cifra todos los datos almacenados en el volumen del sistema operativo Windows. BitLocker usa el módulo de plataforma segura (TPM) para ayudar a proteger el sistema operativo Windows y los datos de usuario. También ayuda a confirmar que un equipo no está alterado, incluso si su izquierda desatendida, perdida o robada. Si el equipo está equipado con un TPM compatible, BitLocker usa el TPM para bloquear las claves de cifrado que protegen los datos. Como resultado, no se puede acceder a las claves hasta que el TPM compruebe el estado del equipo.

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : el dispositivo puede proteger los datos almacenados en la unidad contra el acceso no autorizado cuando el sistema está apagado o hiberna.

    CSP de Device HealthAttestation: BitLockerStatus

    Nota:

    Si usa una directiva de cumplimiento de dispositivos en Intune, tenga en cuenta que el estado de esta configuración solo se mide en el momento del arranque. Por lo tanto, aunque el cifrado de BitLocker haya finalizado, se requerirá un reinicio para que el dispositivo lo detecte y se vuelva compatible. Para obtener más información, consulte el siguiente blog de soporte técnico de Microsoft en Atestación de estado de dispositivos.

  • Requerir que arranque seguro esté habilitado en el dispositivo:

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : el sistema se ve obligado a arrancar en un estado de confianza de fábrica. Los componentes principales que se usan para arrancar la máquina deben tener firmas criptográficas correctas de confianza para la organización que fabricó el dispositivo. El firmware UEFI comprueba la firma antes de que permita que se inicie la máquina. Si se altera algún archivo, lo que interrumpe su firma, el sistema no arranca.

    Nota:

    La opción Requerir arranque seguro que se va a habilitar en la configuración del dispositivo se admite en algunos dispositivos TPM 1.2 y 2.0. En el caso de los dispositivos que no admiten TPM 2.0 o posterior, el estado de la directiva en Intune se muestra como No compatible. Para obtener más información sobre las versiones admitidas, consulte Atestación de estado del dispositivo.

  • Requerir integridad de código:
    La integridad del código es una característica que valida la integridad de un controlador o archivo del sistema cada vez que se carga en la memoria.

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : requiere integridad de código, que detecta si se está cargando un archivo de sistema o controlador sin firmar en el kernel. También detecta si un archivo del sistema es cambiado por software malintencionado o ejecutado por una cuenta de usuario con privilegios de administrador.

Para más información, vea:

Propiedades del dispositivo

Versión del sistema operativo

Para detectar versiones de compilación para todas las actualizaciones de características y actualizaciones acumulativas de Windows 10/11 (que se usarán en algunos de los campos siguientes), consulta Información de la versión de Windows. Asegúrese de incluir el prefijo de versión adecuado antes de los números de compilación, como 10.0 para Windows 10, como se muestra en los ejemplos siguientes.

  • Versión mínima del sistema operativo:
    Escriba la versión mínima permitida en el formato de número major.minor.build.revision . Para obtener el valor correcto, abra un símbolo del sistema y escriba ver. El ver comando devuelve la versión en el formato siguiente:

    Microsoft Windows [Version 10.0.17134.1]

    Cuando un dispositivo tiene una versión anterior a la versión del sistema operativo que escriba, se notifica como no compatible. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede elegir actualizar su dispositivo. Después de actualizar, pueden acceder a los recursos de la empresa.

  • Versión máxima del sistema operativo:
    Escriba la versión máxima permitida, en el formato de número major.minor.build.revision . Para obtener el valor correcto, abra un símbolo del sistema y escriba ver. El ver comando devuelve la versión en el formato siguiente:

    Microsoft Windows [Version 10.0.17134.1]

    Cuando un dispositivo usa una versión del sistema operativo posterior a la especificada, se bloquea el acceso a los recursos de la organización. Se pide al usuario final que se ponga en contacto con su administrador de TI. El dispositivo no puede acceder a los recursos de la organización hasta que se cambie la regla para permitir la versión del sistema operativo.

  • Sistema operativo mínimo necesario para dispositivos móviles:
    Escriba la versión mínima permitida, en el formato de número major.minor.build.

    Cuando un dispositivo tiene una versión anterior que la versión del sistema operativo que escriba, se notifica como no compatible. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede elegir actualizar su dispositivo. Después de actualizar, pueden acceder a los recursos de la empresa.

  • Sistema operativo máximo necesario para dispositivos móviles:
    Escriba la versión máxima permitida, en el número major.minor.build.

    Cuando un dispositivo usa una versión del sistema operativo posterior a la especificada, se bloquea el acceso a los recursos de la organización. Se pide al usuario final que se ponga en contacto con su administrador de TI. El dispositivo no puede acceder a los recursos de la organización hasta que se cambie la regla para permitir la versión del sistema operativo.

  • Compilaciones válidas del sistema operativo:
    Especifique una lista de compilaciones mínimas y máximas del sistema operativo. Las compilaciones de sistema operativo válidas proporcionan flexibilidad adicional en comparación con las versiones mínima y máxima del sistema operativo. Considere un escenario en el que la versión mínima del sistema operativo se establece en 10.0.18362.xxx (Windows 10 1903) y la versión máxima del sistema operativo se establece en 10.0.18363.xxx (Windows 10 1909). Esta configuración puede permitir que un dispositivo Windows 10 1903 que no tenga instaladas actualizaciones acumulativas recientes se identifique como compatible. Las versiones mínimas y máximas del sistema operativo pueden ser adecuadas si se han estandarizado en una sola versión de Windows 10, pero es posible que no cumplan sus requisitos si necesita usar varias compilaciones, cada una con niveles de revisión específicos. En tal caso, considere la posibilidad de aprovechar las compilaciones válidas del sistema operativo en su lugar, lo que permite especificar varias compilaciones según el ejemplo siguiente.

    El valor más grande admitido para cada uno de los campos de versión, principal, secundario y de compilación es 65535. Por ejemplo, el valor más grande que puede especificar es 65535.65535.65535.65535.

    Ejemplo:
    En la tabla siguiente se muestra un ejemplo de un intervalo para las versiones de sistemas operativos aceptables para diferentes versiones de Windows 10. En este ejemplo, se han permitido tres actualizaciones de características diferentes (1809, 1909 y 2004). En concreto, solo las versiones de Windows y que han aplicado actualizaciones acumulativas de junio a septiembre de 2020 se considerarán compatibles. Solo se trata de datos de ejemplo. La tabla incluye una primera columna que incluye cualquier texto que quiera describir la entrada, seguida de la versión mínima y máxima del sistema operativo para esa entrada. La segunda y tercera columnas deben cumplir las versiones de compilación del sistema operativo válidas en el formato de número major.minor.build.revision . Después de definir una o varias entradas, puede exportar la lista como un archivo de valores separados por comas (CSV).

    Descripción Versión de SO mínima Versión de SO máxima
    Win 10 2004 (junio-septiembre de 2020) 10.0.19041.329 10.0.19041.508
    Ganar 10 1909 (junio-septiembre de 2020) 10.0.18363.900 10.0.18363.1110
    Ganar 10 1809 (junio-septiembre de 2020) 10.0.17763.1282 10.0.17763.1490

    Nota:

    Si especifica varios intervalos de compilaciones de versión del sistema operativo en la directiva y un dispositivo tiene una compilación fuera de los intervalos conformes, portal de empresa notificará al usuario del dispositivo que el dispositivo no es conforme con esta configuración. Sin embargo, tenga en cuenta que, debido a limitaciones técnicas, el mensaje de corrección de cumplimiento solo muestra el primer intervalo de versiones del sistema operativo especificado en la directiva. Se recomienda documentar los intervalos de versiones del sistema operativo aceptables para los dispositivos administrados de la organización.

Cumplimiento de Configuration Manager

Solo se aplica a los dispositivos administrados conjuntamente que ejecutan Windows 10/11. Los dispositivos solo de Intune devuelven un estado no disponible.

  • Requerir cumplimiento de dispositivos de Configuration Manager:
    • No configurado (valor predeterminado): Intune no comprueba el cumplimiento de ninguna de las opciones de configuración de Configuration Manager.
    • Requerir : requerir que todos los valores (elementos de configuración) de Configuration Manager sean compatibles.

Seguridad del sistema

Password

  • Requerir una contraseña para desbloquear dispositivos móviles:

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo.
  • Contraseñas sencillas:

    • No configurado (valor predeterminado): los usuarios pueden crear contraseñas sencillas, como 1234 o 1111.
    • Bloquear : los usuarios no pueden crear contraseñas sencillas, como 1234 o 1111.
  • Tipo de contraseña:
    Elija el tipo de contraseña o PIN necesario. Las opciones son:

    • Valor predeterminado del dispositivo (valor predeterminado): requerir una contraseña, un PIN numérico o un PIN alfanumérico
    • Numérico : requerir una contraseña o un PIN numérico
    • Alfanumérico : requiere una contraseña o un PIN alfanumérico.

    Cuando se establece en Alfanumérico, están disponibles los siguientes valores:

    • Complejidad de la contraseña:
      Las opciones son:

      • Requerir dígitos y letras minúsculas (valor predeterminado)
      • Requerir dígitos, letras minúsculas y letras mayúsculas
      • Requerir dígitos, letras minúsculas, letras mayúsculas y caracteres especiales

      Sugerencia

      Las directivas de contraseña alfanuméricas pueden ser complejas. Animamos a los administradores a leer los CSP para obtener más información:

  • Longitud mínima de la contraseña:
    Escriba el número mínimo de dígitos o caracteres que debe tener la contraseña.

  • Máximo de minutos de inactividad antes de que se requiera la contraseña:
    Escriba el tiempo de inactividad antes de que el usuario deba volver a escribir su contraseña.

  • Expiración de contraseña (días):
    Escriba el número de días antes de que expire la contraseña y debe crear uno nuevo, del 1 al 730.

  • Número de contraseñas anteriores para evitar la reutilización:
    Escriba el número de contraseñas usadas anteriormente que no se pueden usar.

  • Requerir contraseña cuando el dispositivo vuelva del estado de inactividad (móvil y holográfico):

    • No configurado (valor predeterminado)
    • Requerir : requerir a los usuarios del dispositivo que escriban la contraseña cada vez que el dispositivo vuelva de un estado inactivo.

    Importante

    Cuando se cambia el requisito de contraseña en un escritorio de Windows, los usuarios se ven afectados la próxima vez que inician sesión, ya que es cuando el dispositivo pasa de inactivo a activo. A los usuarios con contraseñas que cumplan el requisito se les pedirá que cambien sus contraseñas.

Cifrado

  • Cifrado del almacenamiento de datos en un dispositivo:
    Esta configuración se aplica a todas las unidades de un dispositivo.

    • No configurado (valor predeterminado)
    • Requerir : use Requerir para cifrar el almacenamiento de datos en los dispositivos.

    CSP de DeviceStatus: DeviceStatus/Compliance/EncryptionCompliance

    Nota:

    La configuración Cifrado de almacenamiento de datos en un dispositivo comprueba genéricamente la presencia de cifrado en el dispositivo, más específicamente en el nivel de unidad del sistema operativo. Actualmente, Intune solo admite la comprobación de cifrado con BitLocker. Para obtener una configuración de cifrado más sólida, considere la posibilidad de usar Requerir BitLocker, que aprovecha la atestación de estado de dispositivos Windows para validar el estado de BitLocker en el nivel de TPM. Sin embargo, al aprovechar esta configuración, tenga en cuenta que es posible que se requiera un reinicio antes de que el dispositivo se refleje como compatible.

Seguridad del dispositivo

  • Firewall:

    • No configurado (valor predeterminado): Intune no controla el Firewall de Windows ni cambia la configuración existente.
    • Requerir: activa el Firewall de Windows e impide que los usuarios lo desactiven.

    CSP de firewall

    Nota:

    • Si el dispositivo se sincroniza inmediatamente después de un reinicio o sincroniza inmediatamente el despertar de la suspensión, esta configuración puede notificarse como un error. Es posible que este escenario no afecte al estado de cumplimiento general del dispositivo. Para volver a evaluar el estado de cumplimiento, sincronice manualmente el dispositivo.

    • Si se aplica una configuración (por ejemplo, a través de una directiva de grupo) a un dispositivo que configura Firewall de Windows para permitir todo el tráfico entrante o desactiva el firewall, al establecer Firewall en Requerir se devolverá No compatible, incluso si la directiva de configuración de dispositivos de Intune activa Firewall. Esto se debe a que el objeto de directiva de grupo invalida la directiva de Intune. Para solucionar este problema, se recomienda quitar cualquier configuración de directiva de grupo en conflicto o migrar la configuración de directiva de grupo relacionada con firewall a la directiva de configuración de dispositivos de Intune. En general, se recomienda mantener la configuración predeterminada, incluido el bloqueo de conexiones entrantes. Para obtener más información, consulte Procedimientos recomendados para configurar Firewall de Windows.

  • Módulo de plataforma segura (TPM):

    • No configurado (valor predeterminado): Intune no comprueba la versión del chip tpm en el dispositivo.
    • Requerir : Intune comprueba el cumplimiento de la versión del chip de TPM. El dispositivo es compatible si la versión del chip tpm es mayor que 0 (cero). El dispositivo no es compatible si no hay una versión de TPM en el dispositivo.

    CSP de DeviceStatus: DeviceStatus/TPM/SpecificationVersion

  • Antivirus:

    • No configurado (valor predeterminado): Intune no comprueba si hay ninguna solución antivirus instalada en el dispositivo.
    • Requerir : compruebe el cumplimiento mediante soluciones antivirus registradas con Windows Security Center, como Symantec y Microsoft Defender. Cuando se establece en Requerir, un dispositivo que tiene su software Antivirus deshabilitado o obsoleto no es conforme.

    CSP de DeviceStatus: DeviceStatus/Antivirus/Status

  • Antispyware:

    • No configurado (valor predeterminado): Intune no comprueba si hay ninguna solución de antispyware instalada en el dispositivo.
    • Requerir : compruebe el cumplimiento mediante soluciones antispyware registradas con Windows Security Center, como Symantec y Microsoft Defender. Cuando se establece en Requerir, un dispositivo que tiene su software antimalware deshabilitado o obsoleto no es conforme.

    CSP de DeviceStatus: DeviceStatus/Antispyware/Status

Defender

La siguiente configuración de cumplimiento es compatible con Windows 10/11 Desktop.

  • Antimalware de Microsoft Defender:

    • No configurado (valor predeterminado): Intune no controla el servicio ni cambia la configuración existente.
    • Requerir: active el servicio antimalware de Microsoft Defender e impida que los usuarios lo desactiven.
  • Versión mínima de Antimalware de Microsoft Defender:
    Escriba la versión mínima permitida del servicio antimalware de Microsoft Defender. Por ejemplo, escriba 4.11.0.0. Cuando se deja en blanco, se puede usar cualquier versión del servicio antimalware de Microsoft Defender.

    De forma predeterminada, no se configura ninguna versión.

  • Inteligencia de seguridad antimalware de Microsoft Defender actualizada:
    Controla las actualizaciones de protección contra amenazas y virus de seguridad de Windows en los dispositivos.

    • No configurado (valor predeterminado): Intune no aplica ningún requisito.
    • Requerir : forzar que la inteligencia de seguridad de Microsoft Defender esté actualizada.

    CSP de Defender: CSP de Defender/Health/SignatureOutOfDate

    Para obtener más información, consulte Actualizaciones de inteligencia de seguridad para antivirus de Microsoft Defender y otros antimalware de Microsoft.

  • Protección en tiempo real:

    • No configurado (valor predeterminado): Intune no controla esta característica ni cambia la configuración existente.
    • Requerir : activa la protección en tiempo real, que busca malware, spyware y otro software no deseado.

    CSP de directiva: CSP de Defender/AllowRealtimeMonitoring

Microsoft Defender para punto de conexión

Reglas de Microsoft Defender para punto de conexión

Para obtener información adicional sobre la integración de Microsoft Defender para punto de conexión en escenarios de acceso condicional, consulte Configuración del acceso condicional en Microsoft Defender para punto de conexión.

  • Requerir que el dispositivo esté en la puntuación de riesgo de la máquina o en ella:
    Use esta configuración para tomar la evaluación de riesgos de los servicios de amenazas de defensa como condición para el cumplimiento. Elija el nivel de amenaza máximo permitido:

    • No configurado (valor predeterminado)
    • Borrar : esta opción es la más segura, ya que el dispositivo no puede tener ninguna amenaza. Si se detecta que el dispositivo tiene cualquier nivel de amenazas, se evalúa como no compatible.
    • Bajo : el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier cosa superior coloca el dispositivo en un estado no compatible.
    • Medio : el dispositivo se evalúa como compatible si las amenazas existentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que no es compatible.
    • Alto : esta opción es la menos segura y permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.

    Para configurar Microsoft Defender para punto de conexión como servicio de amenazas de defensa, consulte Habilitación de Microsoft Defender para punto de conexión con acceso condicional.

Windows Holographic for Business

Windows Holographic for Business usa la plataforma Windows 10 y versiones posteriores . Windows Holographic for Business admite la siguiente configuración:

  • Seguridad> del sistemaEncriptación>Cifrado del almacenamiento de datos en el dispositivo.

Para comprobar el cifrado de dispositivos en Microsoft HoloLens, consulte Comprobación del cifrado de dispositivos.

Surface Hub

Surface Hub usa la plataforma Windows 10 y versiones posteriores . Los Surface Hubs son compatibles con el cumplimiento y el acceso condicional. Para habilitar estas características en Surface Hubs, te recomendamos que habilites la inscripción automática de Windows en Intune (requiere Microsoft Entra ID) y que tengas como destino los dispositivos Surface Hub como grupos de dispositivos. Los Surface Hubs deben estar unidos a Microsoft Entra para que funcione el cumplimiento y el acceso condicional.

Para obtener instrucciones, consulte Configuración de la inscripción para dispositivos Windows.

Consideración especial para surface hubs que ejecutan el sistema operativo de equipo windows 10/11:
En este momento, los surface hubs que ejecutan el sistema operativo de equipo de Windows 10/11 no admiten las directivas de cumplimiento de Microsoft Defender para punto de conexión y contraseña. Por lo tanto, para surface hubs que ejecutan el sistema operativo de equipo de Windows 10/11, establezca las dos opciones siguientes en su valor predeterminado No configurado:

  • En la categoría Contraseña, establezca Requerir una contraseña para desbloquear dispositivos móviles en el valor predeterminado No configurado.

  • En la categoría Microsoft Defender para punto de conexión, establezca Requerir que el dispositivo esté en o bajo la puntuación de riesgo de la máquina en el valor predeterminado No configurado.

Siguientes pasos