Tutorial: configuración de un punto de conexión de Windows nativo en la nube con Microsoft Intune
Artículo
Sugerencia
Al leer sobre los puntos de conexión nativos de la nube, verá los términos siguientes:
Punto de conexión: un punto de conexión es un dispositivo, como un teléfono móvil, una tableta, un portátil o un equipo de escritorio. "Puntos de conexión" y "dispositivos" se usan indistintamente.
Puntos de conexión administrados: puntos de conexión que reciben directivas de la organización mediante una solución MDM u objetos directiva de grupo. Estos dispositivos suelen ser propiedad de la organización, pero también pueden ser dispositivos BYOD o de propiedad personal.
Puntos de conexión nativos en la nube: puntos de conexión que están unidos a Microsoft Entra. No están unidos a AD local.
Carga de trabajo: cualquier programa, servicio o proceso.
Esta guía le guiará por los pasos para crear una configuración de punto de conexión de Windows nativo de la nube para su organización. Para obtener información general sobre los puntos de conexión nativos de la nube y sus ventajas, consulte ¿Qué son los puntos de conexión nativos de la nube?
En la tabla siguiente se describe la diferencia clave entre esta guía y La configuración de Windows en la nube:
Solución
Objetivo
Tutorial: Introducción a los puntos de conexión de Windows nativos de la nube (esta guía)
Le guiará en la creación de su propia configuración para su entorno, basada en la configuración recomendada por Microsoft, y le ayudará a iniciar las pruebas.
Una experiencia de escenario guiada que crea y aplica una configuración pregenerada basada en los procedimientos recomendados de Microsoft para los trabajadores de primera línea, remotos y otros con necesidades más específicas.
Puede usar esta guía combinada con la configuración de Windows en la nube para personalizar aún más la experiencia precompilada.
Como empezar
Utilice las cinco fases ordenadas de esta guía, que se basan unas en otras para ayudarle a preparar la configuración del punto de conexión de Windows nativo en la nube. Al completar estas fases en orden, verá un progreso tangible y estará listo para aprovisionar nuevos dispositivos.
Antes de crear su primer punto de conexión nativo de Windows en la nube, hay algunos requisitos y configuraciones clave que deberán comprobarse. Esta fase le guía a través de la comprobación de los requisitos, la configuración de Windows Autopilot y la creación de algunos ajustes y aplicaciones.
Paso 1: requisitos de la red
El punto de conexión de Windows en la nube necesita acceso a varios servicios de Internet. Inicie las pruebas en una red abierta. O utilice su red corporativa después de proporcionar acceso a todos los puntos de conexión que se enumeren en los requisitos de red de Windows Autopilot.
Si su red inalámbrica requiere certificados, puede comenzar con una conexión Ethernet durante las pruebas mientras determina el mejor enfoque para las conexiones inalámbricas para el aprovisionamiento de dispositivos.
Paso 2: inscripción y licencias
Antes de unirse a Microsoft Entra e inscribirse en Intune, hay algunas cosas que debe comprobar. Puede crear un nuevo grupo de Microsoft Entra, como el nombre Usuarios de MDM de Intune. Después, agregue cuentas de usuario de prueba específicas y dirija cada una de las siguientes configuraciones a ese grupo para limitar quién puede inscribir dispositivos mientras establece su configuración. Para crear un grupo de Microsoft Entra, vaya a Administrar grupos de Microsoft Entra y pertenencia a grupos.
Restricciones de inscripción Las restricciones de inscripción le permiten controlar qué tipos de dispositivos pueden inscribirse en la administración con Intune. Para que esta guía tenga éxito, asegúrese de que la inscripción de Windows (MDM) está permitida, que es la configuración por defecto.
Configuración de MDM del dispositivo Microsoft Entra Al unir un dispositivo Windows a Microsoft Entra, Microsoft Entra se puede configurar para indicar a los dispositivos que se inscriban automáticamente con una MDM. Esta configuración es necesaria para que Windows Autopilot funcione.
Personalización de marca de la empresa Microsoft Entra Agregar el logotipo corporativo y las imágenes a Microsoft Entra garantiza que los usuarios vean una apariencia familiar y coherente al iniciar sesión en Microsoft 365. Esta configuración es necesaria para que Windows Autopilot funcione.
Ambos tipos de licencias suelen incluirse en paquetes de licencias como Microsoft 365 E3 (o A3) y superior. Ver las comparaciones de las licencias M365 aquí.
Paso 3: importar dispositivo de prueba
Para probar los puntos de conexión de Windows nativo de la nube, tendremos que empezar por conseguir una máquina virtual o un dispositivo físico listo para las pruebas. Los siguientes pasos recopilan los detalles del dispositivo y los cargan en el servicio Windows Autopilot para que se usen más adelante en este artículo.
Nota
Mientras que los siguientes pasos proporcionarán una forma de importar un dispositivo para probarlo, los socios y los OEM podrán importar dispositivos en Windows Autopilot en su nombre como parte de la compra. Hay más información sobre Windows Autopilot en Fase 5.
Instalar Windows (preferiblemente 20H2 o posterior) en una máquina virtual o restablecer el dispositivo físico para que esté esperando en la pantalla de configuración del OOBE. Para una máquina virtual, puede crear opcionalmente un punto de control.
Complete los pasos necesarios para conectarse a Internet.
Abra un símbolo del sistema utilizando la combinación de teclado Mayús+F10.
Compruebe que tiene acceso a Internet haciendo ping a bing.com:
ping bing.com
Cambie a PowerShell ejecutando el comando:
powershell.exe
Descargue el script Get-WindowsAutopilotInfo ejecutando los comandos siguientes:
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
Las etiquetas de grupo permiten crear grupos dinámicos de Microsoft Entra basados en un subconjunto de dispositivos. Las etiquetas de grupo pueden establecerse al importar los dispositivos o modificarse posteriormente en el Centro de administración de Microsoft Intune. Utilizaremos la etiqueta de grupo CloudNative en el paso 4. Puede establecer el nombre de la etiqueta con algo diferente para sus pruebas.
Cuando se le soliciten credenciales, inicie sesión con su cuenta de administrador de Intune.
Dejar el ordenador en la experiencia de configuración rápida hasta la fase 2.
Paso 4: Creación de un grupo dinámico de Microsoft Entra para el dispositivo
Para limitar las configuraciones de esta guía a los dispositivos de prueba que importe a Windows Autopilot, cree un grupo dinámico de Microsoft Entra. Este grupo debería incluir automáticamente los dispositivos que se importen a Windows Autopilot y tener la etiqueta de grupo CloudNative. A continuación, puede dirigir todas sus configuraciones y aplicaciones a este grupo.
Los grupos dinámicos tardan unos minutos en rellenarse luego de los cambios. En las grandes organizaciones, puede llevar mucho más tiempo. Luego de crear un nuevo grupo, espere unos minutos antes de comprobar que el dispositivo es ahora miembro del grupo.
Para obtener más información sobre los grupos dinámicos para dispositivos, vaya a Reglas para dispositivos.
Paso 5: configurar la página de estado de la inscripción
La página de estado de inscripción (ESP) es el mecanismo que un profesional de TI utiliza para controlar la experiencia del usuario final durante el aprovisionamiento de puntos finales. Consulte Configurar la página de estado de la inscripción. Para limitar el ámbito de la página de estado de inscripción, puede crear un nuevo perfil y dirigirse al grupo Autopilot Cloud-Native puntos de conexión de Windows creado en el paso anterior, Crear grupo dinámico de Microsoft Entra para el dispositivo.
Para las pruebas, recomendamos los siguientes ajustes, pero siéntase libre de ajustarlos según sea necesario:
Mostrar el progreso de la configuración de la aplicación y del perfil: sí
Mostrar la página sólo a los dispositivos aprovisionados por la experiencia de configuración rápida (OOBE): sí (predeterminado)
Paso 6: crear y asignar el perfil de Windows Autopilot
Ahora podremos crear un perfil de Windows Autopilot y asignarlo a nuestro dispositivo de prueba. Este perfil indica al dispositivo que se una a Microsoft Entra y qué configuración se aplicará durante OOBE.
Seleccione DispositivosInscripción>>de incorporación de> dispositivosPerfiles de implementación deWindows Autopilot> deWindows>.
Seleccione Crear perfil>Windows PC.
Introduzca el nombre Puntos de conexión nativos en la nube de Windows Autopilot y, luego, seleccione Siguiente.
Revise y deje la configuración predeterminada y seleccione Siguiente.
Deje las etiquetas de alcance y seleccione Siguiente.
Asigne el perfil al grupo Microsoft Entra que creó denominado Autopilot Cloud-Native punto de conexión de Windows, seleccione Siguiente y, a continuación, crear.
Paso 7: sincronizar dispositivos con Windows Autopilot
El servicio de Windows Autopilot se sincroniza varias veces al día. También puede activar una sincronización inmediatamente para que tu dispositivo esté listo para la prueba. Para sincronizar inmediatamente:
La sincronización tarda varios minutos y continua en segundo plano. Cuando la sincronización se ha completado, el estado del perfil para el dispositivo importado muestra Asignado.
Paso 8: configurar los ajustes para una experiencia óptima de Microsoft 365
Hemos seleccionado algunas opciones para configurar. Esta configuración demostrará una experiencia óptima de usuario final de Microsoft 365 en dispositivos nativos en la nube de Windows. Estos ajustes se configuran mediante un perfil de catálogo de ajustes de configuración del dispositivo. Para obtener más información, vaya a Crear una directiva mediante el catálogo de configuración en Microsoft Intune.
Una vez que haya creado el perfil y haya agregado su configuración, asigne el perfil al grupo Puntos de conexión nativos en la nube de Windows Autopilot creado anteriormente.
Microsoft Outlook Para mejorar la primera experiencia de ejecución de Microsoft Outlook, la siguiente configuración configura automáticamente un perfil cuando Outlook se abre por primera vez.
Microsoft Outlook 2016\Configuración de la cuenta\Exchange (configuración del usuario)
Configurar automáticamente sólo el primer perfil basado en la dirección SMTP principal de Active Directory: habilitado
Microsoft Edge Para mejorar la primera experiencia de ejecución de Microsoft Edge, los siguientes valores configuran Microsoft Edge para sincronizar la configuración del usuario y omitir la primera experiencia de ejecución.
Microsoft Edge
Ocultar la pantalla de presentación y la experiencia de primera ejecución: habilitado
Forzar la sincronización de los datos del navegador y no mostrar el aviso de consentimiento de sincronización: habilitado
Microsoft OneDrive
Para mejorar la primera experiencia de inicio de sesión, los siguientes ajustes configuran Microsoft OneDrive para iniciar sesión automáticamente y redirigir el Escritorio, las Imágenes y los Documentos a OneDrive. También se recomienda Archivos a petición (FOD). Está habilitado de forma predeterminada y no se incluye en la lista siguiente. Para obtener más información sobre la configuración recomendada para la aplicación de sincronización de OneDrive, vaya a Configuración de la aplicación de sincronización recomendada para Microsoft OneDrive.
OneDrive
Iniciar la sesión de los usuarios en la aplicación de sincronización de OneDrive de forma silenciosa con sus credenciales de Windows: habilitado
Mover de manera silenciosa las carpetas conocidas de Windows a OneDrive: habilitado
La siguiente captura de pantalla muestra un ejemplo de un perfil del catálogo de configuración con cada uno de los ajustes sugeridos configurados:
Paso 9: crear y asignar algunas aplicaciones
Su punto de conexión nativo en la nube necesita algunas aplicaciones. Para empezar, recomendamos configurar las siguientes aplicaciones y dirigirlas al grupo Puntos de conexión nativos en la nube de Windows Autopilot creado anteriormente.
Aplicaciones de Microsoft 365 (anteriormente Office 365 ProPlus) Aplicaciones de Microsoft 365, como Word, Excel y Outlook, se pueden implementar fácilmente en dispositivos mediante las aplicaciones integradas de Microsoft 365 para el perfil de aplicación de Windows en Intune.
Seleccione el diseñador de configuración para el formato de los ajustes, en lugar de XML.
Seleccione Canal actual para el canal de actualización.
Aplicación Portal de empresa Se recomienda implementar la aplicación Portal de empresa de Intune en todos los dispositivos como una aplicación necesaria. La aplicación Portal de empresa es el centro de autoservicio para los usuarios que utilizan para instalar aplicaciones desde múltiples fuentes, como Intune, Microsoft Store y Configuration Manager. Los usuarios también utilizan la aplicación del Portal de empresa para sincronizar su dispositivo con Intune, comprobar el estado de cumplimiento, etc.
Aplicación de Microsoft Store (pizarra) Aunque Intune puede implementar una amplia variedad de aplicaciones, implementamos una aplicación de tienda (Pizarra de Microsoft) para facilitar las cosas en esta guía. Siga los pasos de Agregar aplicaciones de Microsoft Store a Microsoft Intune para instalar Microsoft Whiteboard.
Fase 2: crear un punto de conexión de Windows nativo de la nube
Para crear su primer punto de conexión de Windows nativo en la nube, utilice la misma máquina virtual o dispositivo físico desde el que reunió y luego cargó el hash de hardware al servicio de Windows Autopilot en la Fase 1 > Paso 3. Con este dispositivo, siga el proceso de Windows Autopilot.
Reanude (o reinicie si es necesario) su PC con Windows a la experiencia de configuración rápida (OOBE).
Nota
Si se le pide que elija la configuración para personal o para una organización, entonces el proceso de Autopilot no se ha activado. En esa situación, reinicie el dispositivo y asegúrese de que tiene acceso a Internet. Si sigue sin funcionar, intente reiniciando el PC o reinstalando Windows.
Inicie sesión con las credenciales de Microsoft Entra (UPN o AzureAD\username).
La página de estado de la inscripción muestra el estado de la configuración del dispositivo.
Enhorabuena. Ha aprovisionado su primer punto de conexión de Windows nativo en la nube.
Algunas cosas que debería comprobar en su nuevo punto de conexión de Windows nativo de la nube:
Se redirigen las carpetas OneDrive. Cuando se abra Outlook, se configurará automáticamente para conectarse a Office 365.
Abra la aplicación Portal de empresa desde el Menú de inicio y observe que Microsoft Whiteboard está disponible para su instalación.
Considere la posibilidad de probar el acceso desde el dispositivo a recursos locales como archivos compartidos, impresoras y sitios de intranet.
Nota
Si no ha configurado Windows Hello for Business Hybrid, es posible que en los inicios de sesión de Windows Hello se le pida que introduzca contraseñas para acceder a los recursos locales. Para seguir probando el acceso de inicio de sesión único, puede configurar Windows Hello for Business Hybrid o iniciar sesión en el dispositivo con nombre de usuario y contraseña en lugar de Windows Hello. Para ello, seleccione el icono con forma de llave en la pantalla de inicio de sesión.
Fase 3: proteger su punto de conexión de Windows nativo de la nube
Esta fase está diseñada para ayudarle a construir la configuración de seguridad de su organización. Esta sección llama su atención sobre los diversos componentes de Seguridad de puntos de conexión en Microsoft Intune, incluyendo:
Los siguientes ajustes se recomiendan como configuración mínima para el antivirus de Microsoft Defender, un componente del sistema operativo Windows incorporado. Esta configuración no requiere ningún contrato de licencia específico, como E3 o E5, y se puede habilitar en el Centro de administración de Microsoft Intune. En el centro de administración, vaya a Seguridad de puntos de conexión>Antivirus>Crear directiva>Windows y versiones posteriores>Tipo de perfil = Antivirus de Microsoft Defender.
Protección de la nube:
Activar la protección proporcionada en la nube: sí
Nivel de protección proporcionada en la nube: no configurado
Tiempo de espera extendido de Defender Cloud en segundos: 50
Protección en tiempo real:
Activar la protección en tiempo real: sí
Habilitar la protección de acceso: sí
Supervisión de los archivos entrantes y salientes: supervisar todos los archivos
Activar la supervisión del comportamiento: sí
Activar la prevención de intrusiones: sí
Habilitar la protección de red: habilitar
Escanear todos los archivos descargados y los adjuntos: sí
Escanear los scripts que se utilizan en los navegadores de Microsoft: sí
Escanear archivos de red: no configurado
Escanear correos electrónicos: sí
Corrección:
Número de días (0-90) para mantener el malware en cuarentena: 30
Presentar muestras de consentimiento: enviar muestras seguras automáticamente
Acción a realizar sobre las aplicaciones potencialmente no deseadas: habilitar
Acciones para las amenazas detectadas: configurar
Amenaza baja: cuarentena
Amenaza moderada: cuarentena
Amenaza alta: cuarentena
Amenaza grave: cuarentena
Ajustes configurados en el perfil de MDAV dentro de Seguridad de puntos de conexión:
Para obtener más información sobre la configuración de Windows Defender, incluyendo Microsoft Defender para punto de conexión para clientes con licencia para E3 y E5, consulte:
Firewall de Microsoft Defender puede detectar una red de confianza mediante el CSP de NetworkListManager. Además, puede cambiar al perfil de firewall de dominio en los puntos de conexión que ejecutan las siguientes versiones del sistema operativo:
El uso del perfil de red de dominio permite separar las reglas de firewall en función de una red de confianza, una red privada y una red pública. Esta configuración se puede aplicar mediante un perfil personalizado de Windows.
Nota
Los puntos de conexión unidos a Microsoft Entra no pueden aprovechar LDAP para detectar una conexión de dominio de la misma manera que los puntos de conexión unidos a un dominio. En su lugar, use el CSP NetworkListManager para especificar un punto de conexión TLS que, cuando sea accesible, cambiará el punto de conexión al perfil de firewall del dominio.
Cifrado de BitLocker
Use Seguridad de puntos de conexión en Microsoft Intune para configurar el cifrado con BitLocker.
Esta configuración se puede habilitar en el centro de administración de Microsoft Intune. En el Centro de administración, vaya a Seguridad> de punto de conexiónAdministrar>cifrado> de discoCrear directiva>Windows y, más adelante>, Perfil de = BitLocker.
Al configurar las siguientes opciones del BitLocker, habilitan silenciosamente el cifrado de 128 bits para los usuarios estándares, que es una situación común. Sin embargo, es posible que su organización tenga requisitos de seguridad diferentes. Por ello, use la documentación de BitLocker para otras configuraciones.
BitLocker: configuración básica:
Habilitar el cifrado de disco completo para el sistema operativo y las unidades de datos fijas: sí
Requiere que las tarjetas de almacenamiento estén encriptadas (sólo para móviles): no está configurado
Ocultar el aviso sobre el cifrado de terceros: sí
Permitir a los usuarios estándar habilitar el cifrado durante el piloto automático: sí
Configuración de la rotación de contraseñas de recuperación controlada por el cliente: habilitar la rotación en dispositivos unidos a Microsoft Entra
BitLocker - configuración de la unidad fija:
Directiva de unidad fija de BitLocker: configurar
Directiva de unidad fija de BitLocker: configurar
Creación de archivos de claves de recuperación: bloqueado
Configurar el paquete de recuperación de BitLocker: contraseña y clave
Requerir que el dispositivo haga una copia de seguridad de la información de recuperación en Azure AD: sí
Creación de la contraseña de recuperación: permitido
Ocultar las opciones de recuperación durante la configuración de BitLocker: no configurado
Habilitar BitLocker después de la información de recuperación para almacenar: no configurado
Bloquear el uso del agente de recuperación de datos (DRA) basado en certificados: no configurado
Bloquear el acceso de escritura a las unidades de datos fijas no protegidas por BitLocker: no configurado
Configurar el método de encriptación para las unidades de datos fijas: no configurado
BitLocker - Configuración de la unidad del SO:
Directiva de unidad de sistema de BitLocker: configurar
Se requiere autenticación de inicio: sí
Inicio de TPM compatible: obligatorio
PIN de inicio de TPM compatible: Block
Clave de inicio de TPM compatible: Block
PIN y clave de inicio de TPM compatible: Block
Desactivar BitLocker en dispositivos donde el TPM es incompatible: no configurado
Habilitar el mensaje y la URL de recuperación previa al prearranque: no configurado
Recuperación de la unidad del sistema: configurar
Creación de archivos de claves de recuperación: bloqueado
Configurar el paquete de recuperación de BitLocker: contraseña y clave
Requerir que el dispositivo haga una copia de seguridad de la información de recuperación en Azure AD: sí
Creación de la contraseña de recuperación: permitido
Ocultar las opciones de recuperación durante la configuración de BitLocker: no configurado
Habilitar BitLocker después de la información de recuperación para almacenar: no configurado
Bloquear el uso del agente de recuperación de datos (DRA) basado en certificados: no configurado
Longitud mínima del PIN: dejar en blanco
Configurar el método de cifrado para las unidades del sistema operativo: no configurado
BitLocker - Configuración de la unidad extraíble:
Directiva de unidades extraíbles de BitLocker: configurar
Configurar el método de encriptación para los discos de datos extraíbles: no configurado
Bloquear el acceso de escritura a las unidades de datos extraíbles no protegidas por BitLocker: no configurado
Bloquear el acceso de escritura a los dispositivos configurados en otra organización: no configurado
Solución de contraseñas de administrador local de Windows (LAPS)
De forma predeterminada, la cuenta de administrador local integrada (SID conocido S-1-5-500) está deshabilitada. Hay algunos escenarios en los que una cuenta de administrador local puede ser beneficiosa, como la solución de problemas, el soporte técnico para el usuario final y la recuperación de dispositivos. Si decide habilitar la cuenta de administrador integrada o crear una nueva cuenta de administrador local, es importante proteger la contraseña de esa cuenta.
La solución de contraseñas de administrador local de Windows (LAPS) es una de las características que puede usar para almacenar la contraseña de forma aleatoria y segura en Microsoft Entra. Si usa Intune como servicio MDM, siga estos pasos para habilitar LAPS de Windows.
Importante
Windows LAPS supone que la cuenta de administrador local predeterminada está habilitada, incluso si se ha cambiado el nombre o si se crea otra cuenta de administrador local. Windows LAPS no crea ni habilita ninguna cuenta local para usted.
Debe crear o habilitar las cuentas locales independientemente de la configuración de LAPS de Windows. Puede crear scripts para esta tarea o usar los proveedores de servicios de configuración (CSP), como el CSP de cuentas de o el CSP de directivas.
Asegúrate de que los dispositivos Windows 10 (20H2 o posterior) o Windows 11 tengan instalada la actualización de seguridad de abril de 2023 (o posterior).
Seleccione Seguridad de puntos de conexión>Protección de cuenta>Crear directiva>Windows 10 y versiones posteriores>Solución de contraseñas de administrador local (Windows LAPS)>Crear.
Puede utilizar líneas base de seguridad para aplicar un conjunto de configuraciones que se sabe que aumentan la seguridad de un punto de conexión de Windows. Para obtener más información sobre las líneas base de seguridad, vaya a Configuración de la línea base de seguridad de Windows MDM para Intune.
Las líneas base pueden aplicarse utilizando los ajustes sugeridos y personalizarse según sus necesidades. Algunas configuraciones dentro de las líneas base pueden causar resultados inesperados o ser incompatibles con las aplicaciones y servicios que se ejecutan en sus puntos de conexión de Windows. Como resultado, las líneas base deben probarse de forma aislada. Aplique únicamente la línea de base a un grupo selectivo de puntos de conexión de prueba, sin ningún otro perfil de configuración o ajuste.
Problemas conocidos de las líneas base de seguridad
Los siguientes ajustes en la línea base de seguridad de Windows pueden causar problemas con Windows Autopilot o al intentar instalar aplicaciones como usuario estándar:
Opciones de seguridad de las directivas locales/Comportamiento de la solicitud de elevación del administrador (valor predeterminado = Solicitar el consentimiento en el escritorio seguro)
Comportamiento estándar de la solicitud de elevación del usuario (valor predeterminado = Denegar automáticamente las solicitudes de elevación)
Windows Update para Empresas es la tecnología en la nube para controlar cómo y cuándo se instalan las actualizaciones en los dispositivos. En Intune, Windows Update para Empresas puede configurarse mediante:
Si desea un control más granular de las actualizaciones de Windows y utiliza Configuration Manager, considere la posibilidad de la administración conjunta.
Fase 4: aplicar las personalizaciones y revisar la configuración local
En esta fase, aplicará la configuración específica de la organización, las aplicaciones y revisará la configuración local. La fase le ayudará a crear cualquier personalización específica para su organización. Observe los distintos componentes de Windows y cómo puede revisar las configuraciones existentes desde un entorno de directiva de grupo de AD local y aplicarlas a los puntos de conexión nativos en la nube. Hay secciones para cada una de las siguientes áreas:
Microsoft Edge se incluye en los dispositivos que funcionan:
Windows 11
Windows 10 20H2 o posterior
Windows 10 1803 o posterior, con la actualización de seguridad mensual acumulativa de mayo de 2021 o posterior
Después de que los usuarios inicien sesión, Microsoft Edge se actualizará automáticamente. Para desencadenar una actualización de Microsoft Edge durante la implementación, puede ejecutar el siguiente comando:
Dos componentes de la experiencia Microsoft Edge, que se aplican cuando los usuarios inician sesión con sus credenciales de Microsoft 365, se pueden configurar desde el Administración de Microsoft 365 web.
El logotipo de la página de inicio en Microsoft Edge se puede personalizar configurando la sección Tu organización dentro del centro de administración de Microsoft 365. Para obtener más información, vaya a Personalización del tema de Microsoft 365 para su organización.
La experiencia de la página de nueva pestaña predeterminada en Microsoft Edge incluye información de Office 365 y noticias personalizadas. La forma en que se muestra esta página se puede personalizar desde el Centro de administración de Microsoft 365 en Configuración>Configuración de la organización>Noticias>Página de la nueva pestaña de Microsoft Edge.
También puede establecer otras configuraciones para Microsoft Edge utilizando los perfiles del catálogo de configuraciones. Por ejemplo, es posible que desee configurar ajustes de sincronización específicos para su organización.
Microsoft Edge
Configurar la lista de tipos que se excluyen de la sincronización - contraseñas
Diseño de la barra de tareas y de inicio
Puede personalizar y establecer un diseño estándar para el inicio y la barra de tareas mediante Intune.
Una vez creado el diseño, se puede cargar en Intune configurando un perfil de Restricciones de dispositivos. La configuración se encuentra en la categoría Inicio.
El catálogo de configuraciones es una ubicación única en la que aparecen todas las opciones configurables de Windows. Esta función simplifica la creación de una directiva y la visualización de todas las opciones de configuración disponibles. Para obtener más información, vaya a Crear una directiva mediante el catálogo de configuración en Microsoft Intune.
Nota
Es posible que algunas opciones de configuración no estén disponibles en el catálogo, pero están disponibles en plantillas para perfiles de configuración de dispositivos de Intune.
Si tiene intención de aprovechar las plantillas ADMX o el catálogo de ajustes (recomendado), asegúrese de actualizar sus dispositivos con la actualización del "martes de revisión" de septiembre de 2021 (KB5005565) para las versiones 2004 y posteriores de Windows 10. Esta actualización mensual incluye KB5005101 que aporta más de 1400 configuraciones de directiva de grupo a MDM. Si no se aplica esta actualización, aparecerá un mensaje de "No aplicable" junto a la configuración en el Centro de administración de Intune. Aunque inicialmente solo es compatible con las versiones Enterprise y Edu de Windows, a partir de mayo de 2022, esta configuración adicional ahora también funciona en las versiones Pro de Windows 10/11. Si usa las versiones Pro de Windows 10/11, asegúrese de instalar KB5013942 o posterior en Windows 10 y KB5013943 o posterior en Windows 11 como se ha mencionado en La última paridad de configuración de directiva de grupo en la administración de dispositivos móviles.
A continuación se presentan algunos ajustes disponibles en el catálogo de ajustes que podrían ser relevantes para su organización:
Dominio de inquilino preferido de Azure Active Directory Esta configuración configura el nombre de dominio de inquilino preferido que se anexará al nombre de usuario de un usuario. Un dominio de inquilino preferido permite a los usuarios iniciar sesión en puntos de conexión de Microsoft Entra solo con su nombre de usuario en lugar de con su UPN completo, siempre y cuando el nombre de dominio del usuario coincida con el dominio de inquilino preferido. Para los usuarios que tienen diferentes nombres de dominio, pueden escribir su UPN completo.
La configuración se puede encontrar en:
Autenticación
Nombre de dominio de inquilino de AAD preferido: especifique el nombre del dominio, como contoso.onmicrosoft.com.
Contenido destacado de Windows De forma predeterminada, se habilitan varias características de consumidor de Windows, lo que da como resultado la instalación de aplicaciones de la Tienda seleccionadas y sugerencias de terceros en la pantalla de bloqueo. Puede controlar esto utilizando la sección Experiencia del catálogo de configuraciones.
Experiencia
Permitir funciones de consumidor de Windows: bloquear
Permitir sugerencias de terceros en los Destacados de Windows (usuario): bloquear
Microsoft Store Las organizaciones suelen querer restringir las aplicaciones que se pueden instalar en puntos de conexión. Utilice esta configuración si su organización desea controlar qué aplicaciones pueden instalarse desde Microsoft Store. Esta configuración evita que los usuarios instalen aplicaciones a menos que sean aprobadas.
Microsoft App Store
Requerir sólo tienda privada: sólo se habilita la tienda privada
Nota
Esta configuración se aplica a Windows 10. En Windows 11, esta configuración bloquea el acceso al almacén público de Microsoft. Una tienda privada llegará a Windows 11. Para obtener más información, vaya a:
Bloquear juegos Es posible que las organizaciones prefieran que los puntos de conexión corporativos no se puedan usar para jugar a juegos. La página de Juegos dentro de la aplicación de Configuración se puede ocultar por completo utilizando la siguiente configuración.
Para obtener más información sobre la visibilidad de la página de configuración, vaya a la documentación de CSP y a la referencia de esquema URI de la configuración MS.
Configuraciones
Lista de visibilidad de la página: hide:gaming-gamebar;gaming-gamedvr;gaming-broadcasting;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame
Controlar la visibilidad del icono de chat en la barra de tareas. La visibilidad del icono de chat de la barra de tareas de Windows 11 se puede controlar mediante el CSP de directivas.
Experiencia
Configurar icono de chat: deshabilitado
Controlar en qué inquilinos puede iniciar sesión el cliente de escritorio de Teams
Cuando esta directiva se configura en un dispositivo, los usuarios solo pueden iniciar sesión con cuentas que se encuentran en un inquilino de Microsoft Entra que se incluye en la "Lista de permitidos de inquilinos" definida en esta directiva. La "Lista de permitidos de inquilinos" es una lista separada por comas de identificadores de inquilino de Microsoft Entra. Al especificar esta directiva y definir un inquilino de Microsoft Entra, también se bloquea el inicio de sesión en Teams para su uso personal. Para obtener más información, vaya a Cómo restringir el inicio de sesión en dispositivos de escritorio.
Plantillas administrativas \ Microsoft Teams
Restringir el inicio de sesión a Teams cuentas de inquilinos específicos (usuario): habilitado
Restricciones de dispositivos
Las plantillas de restricciones de dispositivos de Windows contienen muchas de las configuraciones necesarias para proteger y administrar un punto de conexión de Windows mediante los proveedores de servicios de configuración de Windows (CSP). Con el tiempo, habrá más ajustes disponibles en el catálogo de configuraciones. Para obtener más información, vaya a Restricciones de dispositivos.
Para crear un perfil que use la plantilla Restricciones de dispositivos, en el Centro de administración de Microsoft Intune, vaya a Dispositivos>Administrar dispositivos>Configuración>Crear>nueva directiva> Seleccione Windows 10 y versiones posteriores para Plantillas de plataforma >Restricciones de dispositivos para el tipo de perfil.
Dirección URL de la imagen de fondo del escritorio (solo escritorio) Use esta configuración para establecer un fondo de pantalla en las SKU de Windows Enterprise o Windows Education. Se alojará el archivo en línea o se hará referencia a un archivo que se ha copiado de forma local. Para configurar este ajuste, en la pestaña de Ajustes de configuración del perfil deRestricciones del dispositivo, expanda Personalización y configure la URL de la imagen de fondo del escritorio (sólo para el escritorio).
Requerir que los usuarios se conecten a una red durante la instalación del dispositivo Esta configuración reduce el riesgo de que un dispositivo pueda omitir Windows Autopilot si el equipo se restablece. Esta configuración requiere que los dispositivos tengan una conexión de red durante la fase de experiencia de configuración rápida. Para configurar este ajuste, en la pestaña Ajustes de configuración del perfil Restricciones del dispositivo, expanda General y configure Requerir que los usuarios se conecten a la red durante la configuración del dispositivo.
Nota
La configuración se hace efectiva la próxima vez que se borra o restablece el dispositivo.
Optimización de entrega
La optimización de la entrega se utiliza para reducir el consumo de ancho de banda compartiendo el trabajo de descarga de los paquetes compatibles entre varios puntos de conexión. La optimización de la entrega es una caché distribuida auto organizada que permite a los clientes descargar esos paquetes desde fuentes alternativas, como los pares en la red. Estas fuentes paritarias complementan los servidores tradicionales basados en Internet. Puede conocer todos los ajustes disponibles para la optimización de la entrega y qué tipos de descargas son compatibles en Optimización de la entrega para las actualizaciones de Windows.
Para aplicar la configuración de Optimización de entrega, cree un perfil de una Optimización de entrega de Intune o un perfil de catálogo de configuración.
Algunos ajustes que suelen usar las organizaciones son:
Restringir la selección de pares: subred. Esta configuración restringe el almacenamiento en caché de los compañeros a los ordenadores de la misma subred.
Id. de grupo. Los clientes de Optimización de entrega pueden configurarse para que sólo compartan contenidos con los dispositivos del mismo grupo. Las Id. de grupo pueden configurarse directamente enviando un GUID a través de la directiva o utilizando las opciones de DHCP en los ámbitos de DHCP.
Los clientes que utilizan Microsoft Configuration Manager pueden implementar servidores de caché conectados que pueden utilizarse para alojar contenidos de Optimización de entrega. Para obtener más información, vaya a Caché conectada de Microsoft en el administrador de configuración.
Es posible que el servicio de asistencia de TI u otro personal de apoyo necesite tener derechos de administrador local en un grupo selecto de dispositivos. Con Windows 2004 o posterior, puede cumplir este requisito utilizando los siguientes proveedores de servicios de configuración (CSP).
Migración de la directiva de grupo a la configuración de MDM
Hay varias opciones para crear la configuración de los dispositivos cuando se valore hacer una migración de la directiva de grupo a la administración de dispositivos nativa en la nube:
Empiece de cero y aplique los ajustes personalizados que necesite.
Revise las directivas de grupo existentes y aplique la configuración necesaria. Puede utilizar herramientas de ayuda, como Análisis de directiva de grupo.
Utilice el análisis de directiva de grupo para crear perfiles de configuración de dispositivos directamente para los ajustes admitidos.
La transición a un punto de conexión de Windows nativo en la nube representará una oportunidad para revisar sus requisitos informáticos de usuario final y establecer una nueva configuración para el futuro. Siempre que sea posible, empiece de cero con un conjunto mínimo de directivas. Evitar traer configuraciones innecesarias o heredadas de un entorno unido a un dominio o de sistemas operativos antiguos, como Windows 7 o Windows XP.
Para empezar de cero, revise sus requisitos actuales e implemente una colección mínima de configuraciones para cumplir con estos requisitos. Los requisitos pueden incluir ajustes de seguridad reglamentarios u obligatorios y ajustes para mejorar la experiencia del usuario final. La empresa crea una lista de requisitos, no TI. Todos los escenarios deben estar documentados, comprendidos y deben servir para algo.
La migración de la configuración de las directivas de grupo existentes a MDM (Microsoft Intune) no es el enfoque preferido. Cuando realice la transición a Windows nativo en la nube, la intención no debería ser aumentar y cambiar la configuración de las directivas de grupo existentes. En su lugar, hay que tener en cuenta el público al que se dirige y los ajustes que necesita. Lleva mucho tiempo y probablemente no es práctico revisar cada configuración de directiva de grupo en su entorno para determinar su relevancia y compatibilidad con un dispositivo administrado moderno. Evite tratar de evaluar cada directiva de grupo y cada ajuste individual. En su lugar, concéntrese en evaluar aquellas directivas comunes que cubren la mayoría de los dispositivos y escenarios.
En su lugar, identifique las configuraciones de la directiva de grupo que son obligatorias y revise esas configuraciones contra las configuraciones disponibles de MDM. Cualquier brecha podría representar bloqueos que podrían impedirle avanzar con un dispositivo nativo en la nube si no se resolvieran. Se pueden utilizar herramientas como Análisis de directiva de grupo para analizar la configuración de las directivas de grupo y determinar si se pueden migrar a las directivas de MDM o no.
Los escenarios nativos en la nube no tienen una solución integrada para las unidades de red asignadas. En su lugar, recomendamos que los usuarios migren a Teams, SharePoint y OneDrive para la Empresa. Si la migración no es posible, considere el uso de scripts si es necesario.
Para el almacenamiento de documentos, los usuarios también pueden beneficiarse de la integración de SharePoint con el Explorador de archivos y la posibilidad de sincronizar bibliotecas localmente, como se indica aquí: sincronizar archivos de SharePoint y Teams con el ordenador.
Si utilizas las plantillas de documentos corporativos de Office, que suelen estar en servidores internos, considera el nuevo equivalente basado en la nube que permite a los usuarios acceder a las plantillas desde cualquier lugar.
Si tiene aplicaciones que utilizan instaladores MSI, EXE o de secuencias de comandos, puede implementar todas estas aplicaciones mediante la administración de aplicaciones Win32 en Microsoft Intune. Envolver estos instaladores en el formato Win32 proporcionará más flexibilidad y beneficios, como notificaciones, optimización de la entrega, dependencias, reglas de detección y soporte para la página de estado de inscripción en Windows Autopilot.
Nota
Para evitar conflictos durante la instalación, le recomendamos que utilice exclusivamente las funciones de aplicaciones de línea de negocio de Windows o de aplicaciones Win32. Si tiene aplicaciones empaquetadas como .msi o .exe, estas pueden convertirse en aplicaciones Win32 (.intunewin) utilizando la herramienta Microsoft Win32 Content Prep Tool, que está disponible en GitHub.
Fase 5: implementar a escala con Windows Autopilot
Ahora que ya ha configurado el punto de conexión de Windows nativo en la nube y lo ha aprovisionado con Windows Autopilot, puede considerar cómo podría importar más dispositivos. Considere también cómo puede trabajar con su socio o proveedor de hardware para comenzar a aprovisionar nuevos puntos de conexión desde la nube. Revise los siguientes recursos para determinar el mejor enfoque para su organización.
En este módulo se enseña a los asociados de educación a configurar y configurar Intune para Educación y a administrar las actualizaciones con Windows Update para empresas. Parte de la serie de éxito de asociados.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.