Configuración de la asociación de inquilinos para admitir directivas de seguridad de puntos de conexión desde Intune

Al usar el escenario de asociación de inquilinos Configuration Manager, puede implementar directivas de seguridad de punto de conexión desde Intune en los dispositivos que administra con Configuration Manager. Para usar este escenario, primero debe configurar la asociación de inquilinos para Configuration Manager y habilitar colecciones de dispositivos de Configuration Manager para su uso con Intune. Una vez habilitadas las colecciones para su uso, use el centro de administración de Microsoft Intune para crear e implementar directivas.

Requisitos para usar la directiva de Intune para la asociación de inquilinos

Para admitir el uso de directivas de seguridad de puntos de conexión de Intune con dispositivos Configuration Manager, el entorno de Configuration Manager requiere las siguientes configuraciones. En este artículo se proporcionan instrucciones de configuración:

Requisitos generales para la asociación de inquilinos

• Configuración de la asociación de inquilinos: con el escenario de asociación de inquilinos, los dispositivos se sincronizan desde Configuration Manager al centro de administración de Microsoft Intune. A continuación, puede usar el Centro de administración para implementar directivas admitidas en esas colecciones.

  La asociación de inquilinos suele configurarse con la administración conjunta, pero puede configurar la asociación de inquilinos por sí sola.

• Sincronizar Configuration Manager dispositivos y colecciones: después de configurar la asociación de inquilinos, puede seleccionar los dispositivos Configuration Manager para sincronizar con Microsoft Intune centro de administración. También puede volver más adelante para modificar los dispositivos que sincroniza.

  Después de seleccionar los dispositivos que se van a sincronizar, debe habilitar las recopilaciones para su uso con directivas de seguridad de puntos de conexión de Intune. Las directivas admitidas para Configuration Manager dispositivos solo se pueden asignar a las colecciones que haya habilitado.

• Permisos para Microsoft Entra identificador: para completar la configuración de la asociación de inquilinos, la cuenta debe tener permisos de administrador global para la suscripción de Azure.

• Inquilino para Microsoft Defender para punto de conexión: el inquilino de Microsoft Defender para punto de conexión debe integrarse con el inquilino de Microsoft Intune (Microsoft Intune Suscripción al plan 1). Consulte Uso de Microsoft Defender para punto de conexión en la documentación de Intune.

Configuration Manager requisitos de versión para las directivas de seguridad de puntos de conexión de Intune

Antivirus

Administre la configuración del antivirus para Configuration Manager dispositivos cuando use la asociación de inquilinos.

Ruta de acceso de directiva:

• Antivirus > de seguridad > de puntos de conexión Windows 10, Windows 11 y Windows Server (ConfigMgr)

Perfiles:

• Microsoft Defender Antivirus (versión preliminar)
• Seguridad de Windows experiencia (versión preliminar)

Versión necesaria de Configuration Manager:

• Configuration Manager rama actual, versión 2006 o posterior

Plataformas de dispositivos Configuration Manager compatibles:

• Windows 8.1 (x86, x64), a partir de Configuration Manager versión 2010
• Windows 10 y versiones posteriores (x86, x64, ARM64)
• Windows 11 y versiones posteriores (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), a partir de Configuration Manager versión 2010
• Windows Server 2016 y versiones posteriores (x64)

Importante

El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.

Si actualmente usa Windows 8.1, se recomienda pasar a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos cliente Windows 10/11.

Detección y respuesta de puntos de conexión

Administre la configuración de la directiva de respuesta y de detección de puntos de conexión para dispositivos Configuration Manager cuando use la asociación de inquilinos.

Ruta de acceso de directiva:

• Detección y respuesta > de puntos de conexión de seguridad > de puntos de conexión Windows 10, Windows 11 y Windows Server (ConfigMgr)

Perfiles:

• Detección y respuesta de puntos de conexión (ConfigMgr) (versión preliminar)

Versión necesaria de Configuration Manager:

• Configuration Manager versión de rama actual 2002 o posterior, con la actualización en consola Configuration Manager revisión de 2002 (KB4563473)
• Configuration Manager technical preview 2003 o posterior

Plataformas de dispositivos Configuration Manager compatibles:

• Windows 8.1 (x86, x64) a partir de la versión 2010 de Configuration Manager
• Windows 10 y versiones posteriores (x86, x64, ARM64)
• Windows 11 y versiones posteriores (x86, x64, ARM64)
• Windows Server 2012 R2 (x64) a partir de la versión 2010 de Configuration Manager
• Windows Server 2016 y versiones posteriores(x64)

Importante

El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.

Si actualmente usa Windows 8.1, se recomienda pasar a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos cliente Windows 10/11.

Firewall

La compatibilidad con dispositivos administrados por Configuration Manager está en versión preliminar.

Administre la configuración de directivas de firewall para Configuration Manager dispositivos cuando use la asociación de inquilinos.

Ruta de acceso de directiva:

• Firewall > de seguridad > de punto de conexión Windows 10 y versiones posteriores

Perfiles:

• Firewall de Windows (ConfigurationMgr)

Versión necesaria de Configuration Manager:

• Configuration Manager la versión actual de la rama 2006 o posterior, con la actualización en consola Configuration Manager revisión de 2006 (KB4578605)

Plataformas de dispositivos Configuration Manager compatibles:

• Windows 11 y versiones posteriores (x86, x64, ARM64)
• Windows 10 y versiones posteriores (x86, x64, ARM64)

Configuración de Configuration Manager para admitir directivas de Intune

Antes de implementar directivas de Intune en Configuration Manager dispositivos, complete las configuraciones detalladas en las secciones siguientes. Estas configuraciones incorporan los dispositivos Configuration Manager con Microsoft Defender para punto de conexión y les permiten trabajar con las directivas de Intune.

Las siguientes tareas se completan en la consola de Configuration Manager. Si no está familiarizado con Configuration Manager, trabaje con un administrador de Configuration Manager para completar estas tareas.

1. Confirmación del entorno de Configuration Manager
2. Configuración de dispositivos de asociación y sincronización de inquilinos
3. Selección de dispositivos para sincronizar
4. Habilitación de colecciones para directivas de seguridad de puntos de conexión

Sugerencia

Para más información sobre el uso de Microsoft Defender para punto de conexión con Configuration Manager, consulte los siguientes artículos en el contenido de Configuration Manager:

• Incorporación de clientes Configuration Manager a Microsoft Defender para punto de conexión a través del centro de administración de Microsoft Intune
• Microsoft Intune asociación de inquilinos: sincronización de dispositivos y acciones del dispositivo

Tarea 1: Confirmar el entorno de Configuration Manager

Las directivas de Intune para dispositivos Configuration Manager requieren diferentes versiones mínimas de Configuration Manager, en función de cuándo se publicó la directiva por primera vez. Revise los requisitos de versión de Configuration Manager para las directivas de seguridad de puntos de conexión de Intune que se encontraron anteriormente en este artículo para asegurarse de que el entorno admite las directivas que planea usar. Una versión más reciente de Configuration Manager admite directivas que requieren una versión anterior.

Cuando sea necesaria una revisión de Configuration Manager, puede encontrarla como una actualización en la consola para Configuration Manager. Para obtener más información, consulte Instalación de actualizaciones en la consola en la documentación de Configuration Manager.

Después de instalar las actualizaciones necesarias, vuelva aquí para continuar configurando el entorno para admitir directivas de seguridad de punto de conexión desde el centro de administración de Microsoft Intune.

Tarea 2: Configuración de la asociación de inquilinos y sincronización de dispositivos

Con la asociación de inquilinos, especifique colecciones de dispositivos de la implementación de Configuration Manager para sincronizar con el centro de administración de Microsoft Intune. Después de sincronizar las recopilaciones, use el Centro de administración para ver información sobre esos dispositivos e implementar la directiva de seguridad de puntos de conexión desde Intune en ellos.

Para obtener más información sobre el escenario de asociación de inquilinos, vea Habilitar la asociación de inquilinos en el contenido de Configuration Manager.

Habilitación de la asociación de inquilinos cuando no se ha habilitado la administración conjunta

Sugerencia

Use el Asistente para configuración de administración conjunta en la consola de Configuration Manager para habilitar la asociación de inquilinos, pero no es necesario habilitar la administración conjunta.

Si tiene previsto habilitar la administración conjunta, familiarícese con la administración conjunta, sus requisitos previos y cómo administrar las cargas de trabajo antes de continuar. Consulte ¿Qué es la administración conjunta? en la documentación de Configuration Manager.

1. En la consola de administración de Configuration Manager, vaya aIntroducción> a la administración>Cloud Services>Administración conjunta.

2. En la cinta de opciones, seleccione Configurar la administración conjunta para abrir el asistente.

3. En la página Incorporación de inquilinos,, seleccione AzurePublicCloud para su entorno. no se admite Azure Government nube.

   1. Seleccione Iniciar sesión. Use su cuenta de Administrador global para iniciar sesión.

   2. Asegúrese de que la opción Cargar en Microsoft Intune centro de administración está seleccionada en la página Incorporación de inquilinos.

   3. Quite la comprobación de Habilitar la inscripción automática de cliente para la administración conjunta.

      Cuando se selecciona esta opción, el Asistente presenta páginas adicionales para completar la configuración de la administración conjunta. Para obtener más información, vea Habilitar la administración conjunta en el contenido de Configuration Manager.

      

4. Seleccione Siguiente y, a continuación, Sí para aceptar la notificación Crear Microsoft Entra aplicación. Esta acción aprovisiona una entidad de servicio y crea un registro de aplicación Microsoft Entra para facilitar la sincronización de colecciones con el centro de administración de Microsoft Intune.

5. En la página Configurar carga, configure qué colecciones de dispositivos desea sincronizar. Puede limitar la configuración a recopilaciones de dispositivos o usar la configuración de carga de dispositivos recomendada para Todos mis dispositivos administrados por Microsoft Endpoint Configuration Manager.

   Sugerencia

   Puede omitir la selección de colecciones ahora y, más adelante, usar la información de la siguiente tarea, Tarea 3, para configurar qué colecciones de dispositivos se sincronizarán con el centro de administración de Microsoft Intune.

6. Seleccione Resumen para revisar la selección y, a continuación, seleccione Siguiente.

7. Cuando se complete el asistente, seleccione Cerrar.

La asociación de inquilinos ya está configurada y los dispositivos seleccionados se sincronizan con Microsoft Intune centro de administración.

Habilitación de la asociación de inquilinos cuando ya se usa la administración conjunta

1. En la consola de administración de Configuration Manager, vaya aIntroducción> a la administración>Cloud Services>Administración conjunta.

2. Haga clic con el botón derecho en la configuración de administración conjunta y seleccione Propiedades.

3. En la pestaña Configurar carga, seleccione Cargar en Microsoft Intune centro de administración y, a continuación, Aplicar.

   La configuración predeterminada para la carga de dispositivos esTodos mis dispositivos administrados por Microsoft Endpoint Configuration Manager. También puede optar por limitar la configuración a una o varias recopilaciones de dispositivos.

   

4. Inicie sesión con la cuenta de administrador global cuando se le pida.

5. Seleccione Sí para aceptar la notificación Crear Microsoft Entra aplicación. Esta acción aprovisiona una entidad de servicio y crea un registro de aplicación Microsoft Entra para facilitar la sincronización.

6. Seleccione Aceptar para salir de las propiedades de administración conjunta si ha terminado de realizar cambios. De lo contrario, vaya a la tarea 3 para habilitar selectivamente la carga de dispositivos en el centro de administración de Microsoft Intune.

   La asociación de inquilinos ya está configurada y los dispositivos seleccionados se sincronizan con Microsoft Intune centro de administración.

Tarea 3: Seleccionar dispositivos para sincronizar

Cuando se configura la asociación de inquilinos, puede seleccionar los dispositivos que desea sincronizar. Si aún no ha sincronizado dispositivos o necesita volver a configurar los que sincroniza, puede editar las propiedades de la administración conjunta en la consola de Configuration Manager para hacerlo.

Selección de dispositivos que se van a cargar

1. En la consola de administración de Configuration Manager, vaya aIntroducción> a la administración>Cloud Services>Administración conjunta.

2. Haga clic con el botón derecho en la configuración de administración conjunta y seleccione Propiedades.

3. En la pestaña Configurar carga, seleccione Cargar en Microsoft Intune centro de administración y, a continuación, Aplicar.

   La configuración predeterminada para la carga de dispositivos esTodos mis dispositivos administrados por Microsoft Endpoint Configuration Manager. También puede optar por limitar la configuración a una o varias recopilaciones de dispositivos.

Tarea 4: Habilitar recopilaciones para directivas de seguridad de puntos de conexión

Después de configurar los dispositivos para que se sincronicen con Microsoft Intune centro de administración, debe habilitar las recopilaciones para que funcionen con directivas de seguridad de puntos de conexión. Al habilitar colecciones de dispositivos para que funcionen con directivas de seguridad de puntos de conexión de Intune, las recopilaciones configuradas estarán disponibles para que estén destinadas a directivas de seguridad de puntos de conexión.

Habilitación de colecciones para su uso con directivas de seguridad de punto de conexión

1. En una consola de Configuration Manager conectada al sitio de nivel superior, haga clic con el botón derecho en una colección de dispositivos que sincronice para Microsoft Intune centro de administración y seleccione Propiedades.

2. En la pestaña Sincronización en la nube, habilite la opción Hacer que esta colección esté disponible para asignar directivas de seguridad de punto de conexión desde Microsoft Intune centro de administración.

   • No puede seleccionar esta opción si la jerarquía de Configuration Manager no está asociada al inquilino.
   • Las colecciones disponibles para esta opción están limitadas por el ámbito de recopilación seleccionado para la carga de asociación de inquilinos.

   

3. Seleccione Agregar y, a continuación, seleccione el grupo de Microsoft Entra que desea sincronizar con Recopilar resultados de pertenencia.

4. Seleccione Aceptar para guardar la configuración.

   Los dispositivos de esta colección ahora pueden incorporarse con Microsoft Defender para punto de conexión y admitir el uso de directivas de seguridad de puntos de conexión de Intune.

Mostrar el estado del conector

El conector de Configuration Manager proporciona detalles sobre la implementación de Configuration Manager. Desde el centro de administración de Microsoft Intune, puede revisar los detalles sobre el conector de Configuration Manager, como la última hora de sincronización correcta y el estado de la conexión.

Para mostrar el estado del conector de Configuration Manager:

1. Inicie sesión en Microsoft Intune centro de administración.

2. Seleccione Administración de inquilinos>Conectores y tokens>Microsoft Endpoint Configuration Manager. Seleccione una jerarquía de Configuration Manager que ejecute la versión 2006 o posterior para mostrar información adicional al respecto.

   

   Nota:

   Cierta información no está disponible si la jerarquía ejecuta Configuration Manager versión 2006 o anterior.

Una vez que confirme que la conexión a Configuration Manager desde Microsoft Intune es Correcto, ha conectado correctamente el inquilino a Configuration Manager.

Ver detalles del dispositivo local

Puede ver Configuration Manager detalles de cliente, incluidas recopilaciones, pertenencia a grupos de límites e información de cliente de un dispositivo específico en el centro de administración de Microsoft Intune.

Ver los detalles del cliente en función del dispositivo

Siga estos pasos para ver los detalles del cliente para un dispositivo específico:

1. En un explorador, vaya a Microsoft Intune centro de administración.

2. Seleccione Dispositivos>Todos los dispositivos.

   Los dispositivos que se han cargado mediante la asociación de inquilinos muestran ConfigMgr en la columna Administrado por .

   

3. Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.

4. Seleccione Detalles del cliente para ver más detalles.

   Una vez cada hora, se actualizan los siguientes campos:

   • Última solicitud de directiva
   • Hora de la última activación
   • Punto de administración

   

5. Seleccione Colecciones para enumerar las colecciones del cliente.

   Las colecciones le ayudan a organizar los recursos en unidades administrables.

   

Ver una lista de dispositivos en función del usuario

Siga estos pasos para ver una lista de los dispositivos que pertenecen a un usuario:

1. En un explorador, vaya a Microsoft Intune centro de administración.

2. Seleccione Solución de problemas y soporte técnico>Solución de problemas>Seleccionar usuario.

   Si ya tiene un usuario mostrado, elija Cambiar usuario para seleccionar otro usuario.

3. Busque o seleccione un usuario de la lista y, a continuación, haga clic en Seleccionar.

   En la tabla Dispositivos se enumeran los dispositivos del Administrador de configuración asociados con el usuario.

Para obtener más información sobre cómo ver los detalles del cliente y la asociación de inquilinos, vea Asociación de inquilinos: Detalles del cliente de ConfigMgr en el centro de administración.

Visualización de datos de dispositivos locales

Desde el centro de administración de Microsoft Intune, puede ver el inventario de hardware para los dispositivos Configuration Manager cargados mediante el Explorador de recursos.

Para ver los datos del dispositivo desde el explorador de recursos:

1. En un explorador, vaya a Microsoft Intune centro de administración.

2. Seleccione Dispositivos>Todos los dispositivos.

3. Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.

   Los dispositivos que se sincronizan a través de la asociación de inquilinos muestran ConfigMgr en la columna Administrado por . Los dispositivos también pueden mostrar administrados conjuntamente cuando se aplican tanto Configuration Manager como Intune, y mostrar Intune cuando solo se aplica la administración de Intune.

4. Seleccione Explorador de recursos para ver el inventario de hardware.

5. Busque o seleccione una clase (un valor de dispositivo) para recuperar información del cliente.

   

El Explorador de recursos puede mostrar una vista histórica del inventario de dispositivos en el centro de administración de Microsoft Intune. Al solucionar problemas, tener datos de inventario históricos puede proporcionar información valiosa sobre los cambios en el dispositivo.

1. En el centro de administración de Microsoft Intune, seleccione Explorador de recursos si aún no lo tiene seleccionado.

2. Seleccione una clase (un valor de dispositivo).

3. Escriba una fecha personalizada en el selector de fecha y hora para obtener los datos históricos del inventario.

   

4. Cierre el Explorador de recursos y vuelva a la información del dispositivo seleccionando el X icono en la parte superior derecha del Explorador de recursos.

   

Para obtener más información sobre la visualización de los datos del dispositivo para los dispositivos de asociación de inquilinos, consulte Asociación de inquilinos: Explorador de recursos en el centro de administración.

Visualización de la administración de aplicaciones locales

Desde el centro de administración de Microsoft Intune, puede iniciar una instalación de aplicación en tiempo real para un dispositivo conectado al inquilino. Puede implementar una aplicación en un dispositivo o usuario. Además, puede reparar, reevaluar, reinstalar o desinstalar una aplicación.

Siga estos pasos para instalar una aplicación en un dispositivo local:

1. En un explorador, vaya a Microsoft Intune centro de administración.

2. Seleccione Dispositivos>Todos los dispositivos.

3. Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.

   Como se indicó anteriormente, los dispositivos que se sincronizan a través de la asociación de inquilinos muestran ConfigMgr en la columna Administrado por . Los dispositivos se muestran administrados conjuntamente cuando se aplican Configuration Manager e Intune, y muestran Intune cuando solo se aplica la administración de Intune.

4. Seleccione Aplicaciones para ver una lista de las aplicaciones aplicables.

5. Seleccione una aplicación que no se haya instalado y, a continuación, seleccione Instalar.

   

Para obtener más información sobre las aplicaciones y la asociación de inquilinos, consulte Asociación de inquilinos: Instalar una aplicación desde el centro de administración.

Visualización de scripts locales

Puede ejecutar scripts de PowerShell en tiempo real desde la nube en un dispositivo administrado por el Administrador de configuración individual. También puede permitir que otros usuarios, como Helpdesk, ejecuten scripts de PowerShell. Esto proporciona todas las ventajas de los scripts de PowerShell definidos y aprobados por el administrador de Configuration Manager para usarlos en este nuevo entorno.

1. En un explorador, vaya a Microsoft Intune centro de administración.

2. Seleccione Dispositivos>Todos los dispositivos.

3. Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.

   Como se indicó anteriormente, los dispositivos que se sincronizan a través de la asociación de inquilinos muestran ConfigMgr en la columna Administrado por . Los dispositivos se muestran administrados conjuntamente cuando se aplican Configuration Manager e Intune, y muestran Intune cuando solo se aplica la administración de Intune.

4. Seleccione Scripts para ver una lista de los scripts disponibles.

   Se muestran los scripts que se ejecutaron recientemente que tienen como destino directamente el dispositivo. La lista incluye scripts que se ejecutan desde el centro de administración, el SDK o la consola del Administrador de configuración. Los scripts iniciados desde la consola de Configuration Manager en colecciones que contienen el dispositivo no se muestran, a menos que los scripts también se hayan iniciado específicamente para el único dispositivo.

   

Para obtener más información sobre la ejecución de scripts en los dispositivos conectados al inquilino, consulte Asociación de inquilinos: Ejecutar scripts desde el centro de administración.

Visualización de la escala de tiempo de eventos del dispositivo local

Cuando Configuration Manager sincroniza un dispositivo para Microsoft Intune mediante la asociación de inquilinos, puede ver una escala de tiempo de eventos para esos dispositivos dentro de Microsoft Intune centro de administración. Esta escala de tiempo muestra la actividad pasada en el dispositivo que puede ayudarte a solucionar problemas.

Una vez al día Configuration Manager envía los eventos de dispositivo local al centro de administración de Microsoft Intune. Solo los eventos recopilados después de que el cliente reciba la directiva Habilitar el análisis del punto de conexión son visibles en el centro de administración. Puede generar eventos de prueba fácilmente al instalar una aplicación o una actualización desde el Administrador de configuración o reiniciando el dispositivo. Los eventos se conservan durante 30 días.

Nota:

Como requisito previo para ver la escala de tiempo desde el centro de administración de Microsoft Intune, debe establecer Habilitar recopilación de datos de Análisis de puntos de conexión en Sí en Configuration Manager. Para obtener más información sobre la implementación de la escala de tiempo del dispositivo, consulte Asociación de inquilinos: Escala de tiempo del dispositivo en el centro de administración.

Para ver la escala de tiempo del evento del dispositivo:

1. En un explorador, vaya a Microsoft Intune centro de administración.

2. Seleccione Dispositivos>Todos los dispositivos.

3. Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.

   Como se indicó anteriormente, los dispositivos que se sincronizan a través de la asociación de inquilinos muestran ConfigMgr en la columna Administrado por . Los dispositivos se muestran administrados conjuntamente cuando se aplican Configuration Manager e Intune, y muestran Intune cuando solo se aplica la administración de Intune.

4. Seleccione Escala de tiempo. De forma predeterminada, se muestran los eventos de las últimas 24 horas.

   • Seleccione Sincronizar para capturar los datos recientes generados en el cliente. El dispositivo envía eventos una vez al día al centro de administración de forma predeterminada.
   • Use el botón Filtro para cambiar el Intervalo de tiempo, los Niveles del evento y el Nombre de proveedor.
   • Si selecciona un evento, puede ver el mensaje detallado para él.
   • Seleccione Actualizar para volver a cargar la página y ver los eventos recién recopilados.

   

Para obtener más información sobre cómo ver los eventos de un dispositivo para los dispositivos conectados a inquilinos, consulte Asociación de inquilinos: Escala de tiempo del dispositivo en el centro de administración.

Siguientes pasos

• Configure las directivas de seguridad de puntos de conexión para ladetección y respuesta de antivirus, firewall y punto de conexión.

• Más información sobre Microsoft Defender para punto de conexión.