Uso de grupos reutilizables de configuración con directivas de Intune

  • Artículo

Esta característica está en versión preliminar pública.

Intune admite grupos de configuración reutilizables que puede agregar a directivas y perfiles de configuración para ayudar a simplificar la administración de la configuración común. Un buen momento para usar grupos reutilizables es cuando necesita usar la configuración con la misma configuración en más de un solo perfil.

Al editar la configuración de un grupo reutilizable, los cambios que realice se aplicarán automáticamente a cada perfil que incluya el grupo. Al guardar los cambios en el grupo de configuración reutilizable, Intune actualiza los perfiles con esas nuevas configuraciones e implementa el perfil actualizado en los dispositivos en función de las asignaciones del perfil.

Los perfiles siguientes admiten grupos reutilizables:

Introducción a los grupos de configuración reutilizables

Cada grupo de configuración reutilizable es un único objeto que puede incluir varias opciones de configuración. Después de configurar uno o varios grupos reutilizables para su uso con un tipo de perfil específico, cree o edite un perfil para agregar los grupos. Los perfiles pueden admitir varios grupos.

Para administrar grupos de configuraciones reutilizables, en el centro de administración de Microsoft Intune se usa la pestaña Configuración reutilizable asociada a la directiva y los perfiles con los que desea usar un grupo. En la pestaña, puede crear un grupo, editar la configuración de un grupo y ver el recuento de directivas que heredan la configuración de cada grupo. Cada grupo de configuración reutilizable se usa solo con su tipo de perfil relacionado.

Por ejemplo, en la imagen siguiente se muestra la pestaña Configuración reutilizable que usarías para administrar grupos reutilizables para el perfil de reglas de firewall de Firewall de Windows:

Captura de pantalla que muestra la pestaña Configuración reutilizable de directivas de firewall en el centro de administración de Microsoft Intune.

Después de crear grupos reutilizables, se usa una opción en una página Configuración de perfiles para agregar grupos a ese perfil. Los perfiles que incluyen uno o varios grupos reutilizables usan cada configuración de cada grupo incluido como si la configuración se configurara directamente en el perfil.

Requisitos previos

Los perfiles siguientes admiten el uso de grupos de configuración reutilizables:

Directiva de seguridad de puntos de conexión

  • Firewall>Reglas de Firewall de Windows:

    • Plataformas: Windows 10, Windows 11 y Windows Server
    • Versiones de Windows: los dispositivos deben ejecutarse Windows 10 20H2 o posterior, o Windows 11

  • Reducción de la superficie expuesta a ataques>Control de dispositivo:

    • Plataformas: Windows 10, Windows 11 y Windows Server

Administración de privilegios de punto de conexión

  • Directiva de reglas de elevación de Windows

Nota:

Los grupos de configuración reutilizables no se admiten actualmente para su uso con Security Management para Microsoft Defender para punto de conexión.

Creación de un grupo reutilizable

Cada grupo de configuración reutilizable incluye un subconjunto de opciones del perfil completo para el que va a crear el grupo. Use los vínculos siguientes para ver la configuración que puede configurar en un grupo de opciones para cada perfil:

Para crear un grupo de configuración reutilizable:

  1. Abra el centro de administración de Microsoft Intune, vaya a la directiva para la que desea crear un grupo reutilizable y, a continuación, seleccione la pestaña Configuración reutilizable (versión preliminar).

  2. Seleccione Agregar para abrir el flujo de trabajo Configurar opciones reutilizables (versión preliminar ).

  3. En la página Aspectos básicos , configure un nombre. La descripción es opcional.

  4. En la página Configuración , seleccione Agregar y, a continuación, configure las opciones de este grupo como si configurara los valores directamente en el perfil admitido.

    En Control de dispositivos, al seleccionar Agregar , debe elegir el tipo de configuración de grupo que se va a configurar y, a continuación, seleccionar Editar instancia para continuar. Si agrega más de una instancia, revise la configuración Del tipo de coincidencia para el grupo.

    Hay un límite de 100 instancias por grupo. Use el texto de información del Centro de administración para cada configuración del grupo de configuración reutilizable como guía. Siga el vínculo Más información de una configuración para ver detalles sobre la configuración desde ese origen de contenido de configuración.

    Sugerencia

    Asigne un nombre a cada grupo reutilizable que cree para asegurarse de que puede identificarlo más adelante. Esto es importante porque cada grupo reutilizable que cree, para cualquier tipo de directiva, es visible al agregar grupos reutilizables a una directiva, incluso si el grupo contiene una configuración que normalmente no se aplicaría a la directiva que está configurando. Por ejemplo, si tiene un grupo reutilizable creado para las reglas de Firewall de Windows, ese grupo será visible y se podrá seleccionar al agregar grupos reutilizables a las directivas de Control de dispositivos.

  5. En la página Revisar y agregar , seleccione Agregar para guardar el grupo de configuración reutilizable.

Modificación de un grupo reutilizable

Al editar la configuración de un grupo reutilizable, cada perfil que usa ese grupo se actualiza automáticamente para aplicar la nueva configuración a los dispositivos.

  1. Abra el centro de administración de Microsoft Intune, vaya a la directiva para la que desea crear un grupo reutilizable y, a continuación, seleccione la pestaña Configuración reutilizable (versión preliminar).

  2. Seleccione el grupo de configuración reutilizable que desea editar. Esto abre el flujo de trabajo de configuración similar al flujo de trabajo para crear un nuevo grupo reutilizable.

  3. En la página Aspectos básicos puede cambiar el nombre del grupo y, en la página Configuración , puede volver a configurar la configuración. En la última página, seleccione Guardar para guardar la configuración y actualizar los perfiles que usan el grupo de configuración.

Agregar grupos reutilizables a un perfil de regla de firewall de Windows

Agregue grupos de configuración reutilizables a los perfiles al editar o crear el perfil. En la página Configuración de perfiles, use una opción que admita la adición de uno o varios grupos creados anteriormente.

  1. En el centro de administración de Microsoft Intune, cree un nuevo perfil o seleccione y edite un perfil existente.

  2. En la página Configuración , seleccione Agregar para agregar una nueva regla o Editar regla para administrar una regla creada anteriormente.

  3. En el panel Configurar instancia de la regla, configure Acción para determinar cómo administra esta regla valores como direcciones IP o FQDN. Por ejemplo, puede establecer Acción para permitir o bloquear. Esta configuración se aplica tanto a la configuración que agrega directamente a esta regla como a la configuración que se encuentra en cada grupo reutilizable que se agrega a esta regla.

    Guarde la configuración de la regla.

  4. Para la regla que guardó, seleccione Establecer configuración reutilizable para abrir el panel Seleccionar configuración reutilizable .

    Captura de pantalla del flujo de trabajo configuración para configurar un grupo reutilizable.

  5. Seleccione uno o varios de los grupos disponibles para agregarlos a esta regla y, a continuación, guarde las selecciones.

    Captura de pantalla que muestra el panel Seleccionar configuración reutilizable.

  6. Después de agregar grupos reutilizables a un perfil, guarde la configuración. Cuando se guarda, Intune incluye la configuración de los grupos reutilizables e implementa el perfil en los dispositivos en función de las asignaciones del perfil.

Adición de grupos reutilizables a un perfil de Control de dispositivos

Agregue grupos de configuración reutilizables a los perfiles al editar o crear el perfil. Los grupos reutilizables para perfiles de Device Control admiten los siguientes tipos de configuración:

  • Dispositivo de impresora
  • Medios de almacenamiento extraíbles

En la página Configuración de perfiles, use una opción que admita la adición de uno o varios grupos creados anteriormente.

  1. En el centro de administración de Microsoft Intune, cree un nuevo perfil o seleccione y edite un perfil existente.

  2. En la página Configuración , expanda la categoría Control de dispositivos y seleccione Agregar para agregar una nueva regla o Editar entrada para administrar una regla creada anteriormente.

    • Seleccione Agregar para agregar más reglas.
    • Seleccione Editar entrada para abrir el panel Configurar entrada para configurar aún más el uso del grupo.

  3. En el panel Configurar entrada , asigne a la entrada un nombre y, a continuación, configure lo siguiente y, a continuación, seleccione Aceptar para guardar la regla:

    • Tipo: define la acción para los grupos de almacenamiento extraíbles. Cuando hay conflictos para Type para el mismo medio, se aplica el primer tipo definido en la directiva.
    • Opciones: define si se va a mostrar una notificación al usuario del dispositivo. Las opciones disponibles dependen del tipo seleccionado.
    • Máscara de acceso: elija uno o varios de Lectura, Escritura y Ejecución.
    • Sid: sid de usuario local, grupo de sid de usuario o sid del objeto de AD, define si se debe aplicar esta directiva a un usuario o grupo de usuarios específico; una entrada puede tener un máximo de un Sid y una entrada sin ningún Sid significa que aplica la directiva a través de la máquina.
    • Sid de equipo: sid de equipo local o grupo de sid de equipo o sid del objeto de AD, define si se debe aplicar esta directiva a un equipo o grupo de máquinas específico; una entrada puede tener un máximo de un ComputerSid y una entrada sin ningún ComputerSid significa que aplica la directiva a través de la máquina. Si desea aplicar una entrada a un usuario específico y a una máquina específica, agregue Sid y ComputerSid a la misma entrada.

    Para obtener más información sobre estas opciones, consulte los siguientes artículos en la documentación de Microsoft Defender para punto de conexión:

  4. Para la regla que guardó, seleccione Establecer la configuración reutilizable para Id. incluido e Id. excluido para satisfacer sus necesidades. Ambas selecciones abren un panel Seleccionar configuración reutilizable .

    Captura de pantalla que muestra el panel Seleccionar configuración reutilizable para los perfiles de control de dispositivo.

  5. Seleccione uno o varios de los grupos disponibles para agregarlos a esta regla y, a continuación, guarde las selecciones. A continuación se muestra una configuración con un solo grupo seleccionado para Id. excluido:

    Captura de pantalla que muestra el resultado de seleccionar un grupo solo para un identificador excluido.

  6. Después de agregar grupos reutilizables a un perfil, complete la configuración de la directiva. Cuando se guarda, Intune incluye la configuración de los grupos reutilizables e implementa el perfil en los dispositivos en función de las asignaciones del perfil. Se puede agregar un máximo de 100 grupos reutilizables por perfil.

Si tiene una licencia E5, puede usar Microsoft Defender para punto de conexión para ver los eventos de control de dispositivos en el informe Control de dispositivos y Búsqueda avanzada. Consulte Protección de los datos de su organización con control de dispositivos | Microsoft Docs en la documentación de Defender para punto de conexión.

Uso de grupos reutilizables para Endpoint Privilege Manager

Para obtener información sobre la compatibilidad con el uso de grupos reutilizables para Endpoint Privilege Manager, consulte Directivas para Endpoint Privilege Manager.

Acerca de los conflictos de directivas

La configuración del dispositivo que puede administrar a través de grupos de configuración reutilizables se aplica Intune lo mismo que la configuración que se configura directamente en un perfil. Si la configuración de los grupos reutilizables introduce conflictos o superposiciones, puede usar el mismo proceso de solución de problemas para identificar y resolver esos conflictos.

Para obtener más información, revise las instrucciones que podrían ser específicas de los tipos de perfil que use. Para obtener instrucciones generales, consulte Solución de problemas de directivas y perfiles en Microsoft Intune y Preguntas y respuestas comunes con directivas y perfiles de dispositivo en Microsoft Intune.

Pasos siguientes

Información general sobre la configuración de dispositivos