Creación de una directiva de cumplimiento en Microsoft Intune

Las directivas de cumplimiento de dispositivos son una característica clave cuando se usa Intune para proteger los recursos de su organización. En Intune, puede crear reglas y opciones de configuración que los dispositivos deben cumplir para que se consideren conformes, por ejemplo, una versión de SO mínima. Si el dispositivo no las cumple, puede bloquear el acceso a datos y recursos mediante el acceso condicional.

También puede realizar acciones en caso de incumplimiento, como enviar un correo electrónico de notificación al usuario. Para información general sobre lo que hacen las directivas de cumplimiento y cómo se usan, consulte Introducción al cumplimiento de dispositivos.

En este artículo:

  • Se enumeran los requisitos previos y los pasos para crear una directiva de cumplimiento.
  • Se muestra cómo asignar la directiva a los grupos de dispositivos y usuarios.
  • Se describen características adicionales, como las etiquetas de ámbito para "filtrar" las directivas, y los pasos que puede realizar en los dispositivos que no cumplen con las reglamentaciones.
  • Se enumeran los tiempos de ciclo de actualización de sincronización cuando los dispositivos reciben actualizaciones de directiva.

Antes de empezar

Para usar las directivas de cumplimiento de dispositivos, asegúrese de lo siguiente:

  • Use las siguientes suscripciones:

    • Intune
    • Si usa el acceso condicional, necesitará Microsoft Entra ID edición P1 o P2. Microsoft Entra precios muestra lo que se obtiene con las distintas ediciones. El cumplimiento de Intune no requiere Microsoft Entra ID.
  • Use una plataforma compatible:

    • Administrador de dispositivos Android
    • Android AOSP
    • Android Enterprise
    • iOS
    • Linux: Ubuntu Desktop, versión 20.04 LTS y 22.04 LTS
    • macOS
    • Windows 10/11

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

  • Inscriba dispositivos en Intune (necesario para ver el estado de cumplimiento)

  • Inscriba dispositivos en un usuario o realice la inscripción sin un usuario primario. Los dispositivos únicos no se pueden inscribir en varios usuarios.

Además de la configuración de cumplimiento integrada en Intune, las siguientes plataformas admiten la adición de la configuración de cumplimiento personalizada a las directivas de cumplimiento:

  • Ubuntu Desktop, versión 20.04 LTS y 22.04 LTS
  • Windows 10 u 11

Para poder agregar la configuración personalizada, debe preparar un archivo JSON personalizado que defina la configuración en la que desea basar el cumplimiento personalizado y un script que se ejecute en dispositivos para detectar la configuración definida en json.

Para obtener más información sobre el uso de la configuración de cumplimiento personalizada, incluidas las plataformas admitidas, los requisitos previos y cómo configurar la categoría Cumplimiento personalizado al crear una directiva, consulte Uso de la configuración de cumplimiento personalizada.

Crear la directiva

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Vaya aCumplimiento dedispositivos> y elija Crear directiva.

  3. Selecciona una plataforma para esta directiva de entre las siguientes opciones:

    • Administrador de dispositivos Android
    • Android (AOSP)
    • Android Enterprise
    • iOS/iPadOS
    • Linux : (Ubuntu Desktop, versión 20.04 LTS y 22.04 LTS)
    • macOS
    • Windows 8.1 y versiones posteriores
    • Windows 10 y versiones posteriores

    Para Android Enterprise, también seleccionará un tipo de directiva:

    • Totalmente administrado
    • Dedicado
    • Perfil de trabajo de propiedad corporativa
    • Perfil de trabajo de propiedad personal

    Luego, seleccione Crear para abrir la ventana de configuración Crear directiva.

  4. En la pestaña Aspectos básicos, rellene el campo Nombre para que le ayude a identificarla más tarde. Por ejemplo, un buen nombre de directiva es marcar los dispositivos liberados de iOS/iPadOS como no conformes.

    También puede especificar una descripción en Descripción.

  5. En la pestaña Configuración de cumplimiento, expanda las categorías disponibles y configure las opciones de la directiva. En los artículos siguientes se describen las opciones de cumplimiento disponibles para cada plataforma:

  6. Agregue la configuración personalizada a las directivas para las plataformas admitidas.

    Sugerencia

    Este es un paso opcional que solo se admite para las siguientes plataformas:

    • Linux: Ubuntu Desktop, versión 20.04 LTS y 22.04 LTS
    • Windows 10/11 Antes de agregar una configuración personalizada a una directiva, debe haber cargado un script de detección en Intune y tener listo un archivo JSON que defina la configuración que desea usar para el cumplimiento. Consulte Configuración de cumplimiento personalizada.

    En la página Configuración de cumplimiento , expanda la categoría Cumplimiento personalizado :

    Para Windows:

    1. En la página Configuración de cumplimiento , expanda Cumplimiento personalizado y establezca Cumplimiento personalizado en Requerir.
    2. En Seleccionar el script de detección, seleccione Haga clic para seleccionar y, a continuación, especifique un script que se haya agregado anteriormente al centro de administración de Microsoft Intune. Este script debe haberse cargado antes de empezar a crear la directiva.
    3. En Cargar y validar el archivo JSON con la configuración de cumplimiento personalizada, seleccione el icono de carpeta y, a continuación, busque y agregue el archivo JSON para Windows que desea usar con esta directiva. Para obtener ayuda con json, consulte Creación de un JSON para la configuración de cumplimiento personalizada.

    Para Linux:

    1. En la página Configuración de cumplimiento , seleccione Agregar configuración para abrir el panel selector Configuración .
    2. Seleccione Cumplimiento personalizado y, a continuación, seleccione 8.
    3. De nuevo en la página Configuración de cumplimiento , seleccione el botón de alternancia de Requerir cumplimiento personalizado para cambiarlo a True.
    4. En Seleccionar el script de detección, seleccione Establecer configuración reutilizable y, a continuación, especifique un script que se haya agregado anteriormente al centro de administración de Microsoft Intune. Este script debe haberse cargado antes de empezar a crear la directiva.
    5. En Seleccionar el archivo de reglas, seleccione el icono de carpeta y, a continuación, busque y agregue el archivo JSON para Linux que desea usar con esta directiva. Para obtener ayuda con json, consulte Creación de un JSON para la configuración de cumplimiento personalizada.

    El json especificado se valida y se muestran los problemas. Después de la validación del contenido JSON, las reglas del JSON se muestran en formato de tabla.

  7. En la pestaña Acciones de no cumplimiento, especifique una secuencia de acciones que se aplicarán automáticamente a los dispositivos que no satisfagan esta directiva de cumplimiento.

    Puede agregar varias acciones y configurar programaciones y detalles adicionales para algunas de ellas. Por ejemplo, puede cambiar la programación de la acción predeterminada Marcar el dispositivo como no conforme para que se produzca después de un día. Luego, puede agregar una acción para enviar un correo electrónico al usuario cuando el dispositivo no sea compatible para advertir de ese estado. También puede agregar acciones que bloqueen o retiren dispositivos que no cumplan los requisitos.

    Para información sobre las acciones que se pueden configurar, consulte Adición de acciones para dispositivos no compatibles, donde se habla también de cómo crear correos electrónicos de notificación para enviarlos a los usuarios.

    Otro ejemplo incluye el uso de ubicaciones en las que se agrega al menos una ubicación a una directiva de cumplimiento. En este caso, la acción predeterminada en caso de no cumplimiento se aplica cuando se selecciona al menos una ubicación. Si el dispositivo no está conectado a ninguna de las ubicaciones seleccionadas, se considera no compatible. Puede configurar la programación para dar a los usuarios un período de gracia, por ejemplo, un día.

  8. En la pestaña Etiquetas de ámbito, seleccione etiquetas para filtrar las directivas por grupos concretos, como US-NC IT Team o JohnGlenn_ITDepartment. Una vez que agrega la configuración, también puede agregar una etiqueta de ámbito a las directivas de cumplimiento.

    Para información sobre el uso de etiquetas de ámbito, consulte Uso de etiquetas de ámbito para filtrar directivas.

  9. En la pestaña Asignaciones, asigne la directiva a los grupos.

Seleccione + Seleccionar grupos para incluir y, luego, asigne la directiva a uno o varios grupos. La directiva se aplicará a estos grupos cuando la guarde después del siguiente paso.

Las directivas para Linux no admiten asignaciones basadas en el usuario y solo se pueden asignar a grupos de dispositivos.

  1. En la pestaña Revisar + crear, revise la configuración y seleccione Crear cuando esté listo para guardar la directiva de cumplimiento.

    Los usuarios o dispositivos de destino de la directiva se evalúan para comprobar su cumplimiento cuando se registran en Intune.

Tiempos de ciclo de actualización

Intune usa distintos ciclos de actualización para comprobar las actualizaciones de las directivas de cumplimiento. Si el dispositivo se inscribió recientemente, la inserción en el repositorio se ejecuta con más frecuencia. En el artículo sobre ciclos de actualización de directivas y perfiles se muestran los tiempos de actualización estimados.

En cualquier momento, los usuarios pueden abrir la aplicación Portal de empresa de Intune y sincronizar el dispositivo para comprobar de inmediato las actualizaciones del perfil.

Asignar un estado InGracePeriod

El estado InGracePeriod de una directiva de cumplimiento es un valor. Este valor se determina mediante la combinación del período de gracia de un dispositivo y el estado real del dispositivo para esa directiva de cumplimiento.

En concreto, si un dispositivo tiene un estado No conforme para una directiva de cumplimiento asignada y:

  • El dispositivo no tiene asignado ningún período de gracia, de modo que el valor asignado para la directiva de cumplimiento es No conforme.
  • El dispositivo tiene un período de gracia que ha expirado, de modo que el valor asignado para la directiva de cumplimiento es No conforme.
  • El dispositivo tiene un período de gracia futuro, de modo que el valor asignado para la directiva de cumplimiento es En período de gracia

En la siguiente tabla se resumen estos aspectos:

Estado de cumplimiento real Valor del período de gracia asignado Estado de cumplimiento efectivo
No conforme Ningún periodo de gracia asignado No conforme
No conforme Fecha de ayer No conforme
No conforme Fecha de mañana InGracePeriod

Para obtener más información sobre la supervisión de las directivas de cumplimiento de dispositivos, vea Supervisión de las directivas de cumplimiento de dispositivos Intune.

Asignar un estado de directiva de cumplimiento resultante

Si un dispositivo tiene varias directivas de cumplimiento y distintos estados de cumplimiento para dos o más de dichas directivas, se asigna un único estado de cumplimiento resultante. Esta asignación se basa en un nivel de gravedad conceptual que se asigna a cada estado de cumplimiento. Cada estado de cumplimiento tiene el nivel de gravedad siguiente:

Estado Severity
Unknown 1
NotApplicable 2
Compliant 3
InGracePeriod 4
No conforme 5
Error 6

Si un dispositivo tiene varias directivas de cumplimiento, se le asignará el nivel de gravedad más alto de todas las directivas.

Por ejemplo, un dispositivo tiene 3 directivas de cumplimiento asignadas: la primera, con el estado Desconocido (gravedad 1); la segunda, con el estado Conforme (gravedad 3) y, la tercera, con el estado InGracePeriod (gravedad 4). El estado InGracePeriod tiene el nivel de gravedad más alto. Por lo tanto, las tres directivas tienen el estado de cumplimiento InGracePeriod.

Siguientes pasos

Supervise las directivas.