Configuración de Movilidad básica y seguridad en Microsoft 365 para empresas

Para poder usar Movilidad básica y seguridad para administrar dispositivos y proteger el acceso a la empresa, debe seguir los procedimientos de este artículo para activar y configurar Movilidad básica y seguridad en la organización.

Para obtener más información sobre Movilidad básica y seguridad, consulte Información general sobre Movilidad básica y seguridad en Microsoft 365 para empresas.

¿Qué necesita saber antes de empezar?

• Abra la página Movilidad básica y seguridad en https://compliance.microsoft.com/basicmobilityandsecurity.

• Para conectarse a PowerShell de cumplimiento de & de seguridad, consulte Conexión a PowerShell de cumplimiento de & de seguridad.

• Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

  • Microsoft Entra permisos: la pertenencia a los roles de administrador^* global o escritor de directorios proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.

    Importante

    ^* Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

• No puede usar una cuenta de administrador delegada para administrar Movilidad básica y seguridad. Para obtener más información sobre la administración delegada, vea Partners: Administración delegada de ofertas.

• ¿Tiene preguntas? Consulte las preguntas más frecuentes sobre Movilidad básica y seguridad.

Paso 1: Habilitar Movilidad básica y seguridad en la organización

Sugerencia

Si Movilidad básica y seguridad ya está habilitada en su organización, la característica Habilitar no está disponible en la pestaña Información general de la página Movilidad básica y seguridad, por lo que puede omitir este paso.

Siga estos pasos para habilitar Movilidad básica y seguridad en su organización:

1. En la página Movilidad básica y seguridad de https://compliance.microsoft.com/basicmobilityandsecurity, compruebe que la pestaña Información general está seleccionada.

2. En la pestaña Información general , seleccione Habilitar característica.

   

3. En el cuadro de diálogo de confirmación que se abre, seleccione Aceptar. En el cuadro de diálogo se muestra el siguiente mensaje:

   Solicitud de activación enviada para su procesamiento. Vuelva a cargar la página en unos minutos.

4. Después de unos minutos, actualice la página en el explorador.

Después de habilitar Movilidad básica y seguridad, se producen los siguientes cambios en la pestaña Información general de la página Movilidad básica y seguridad:

• La característica Habilitar en la pestaña Información general se reemplaza por Dispositivos administrados y Administrar certificado push MDM de Apple.
• Las pestañas Directivas y Configuración de la organización están disponibles.

Uso de PowerShell para habilitar Movilidad básica y seguridad en la organización

Si prefiere usar Security & Compliance PowerShell para habilitar la movilidad básica y la seguridad en su organización, siga estos pasos:

1. Ejecute los siguientes comandos de línea para ver si Movilidad básica y seguridad ya está habilitado en la organización:

   Write-Output -InputObject `r`n,"Device tenant policy",("-"*25); Get-DeviceTenantPolicy | Format-Table Name; Write-Output -InputObject "Device tenant rule",("-"*25); Get-DeviceTenantRule | Format-List Name,ExclusionList,BlockUnsupportedDevices
   

2. Si el comando anterior no devuelve ningún resultado, ejecute los siguientes comandos para habilitar Movilidad básica y seguridad con los mismos valores que si lo habilitase en la pestaña Información general de la página Movilidad básica y seguridad:

   New-DeviceTenantPolicy
   
   New-DeviceTenantRule -ExclusionList 00000000-0000-0000-0000-000000000000
   

   Sugerencia

   El valor 00000000-0000-0000-0000-000000000000 significa que todos los usuarios se incluyen en Movilidad básica y seguridad (ningún grupo de seguridad especifica excepciones de Movilidad básica y seguridad). O bien, puede especificar los valores GUID de uno o varios grupos de seguridad separados por comas para excluir de Movilidad básica y seguridad/ Para obtener instrucciones, consulte la sección Uso de PowerShell para configurar la organización en Movilidad básica y seguridad sección más adelante en este artículo.

   Del mismo modo, puede establecer el parámetro BlockUnsupportedDevices en el valor $true al crear la regla de inquilino del dispositivo en lugar de establecerla más adelante.

Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-DeviceTenantPolicy y New-DeviceTenantRule.

Paso 2: Configurar registros CNAME para dominios personalizados de Microsoft 365 en Movilidad básica y seguridad

Sugerencia

Este paso es necesario si los usuarios inician sesión con cuentas en un dominio personalizado de Microsoft 365 (por ejemplo, michelle@contoso.com). Si los usuarios inician sesión con cuentas en el dominio microsoft online Email dirección de enrutamiento (MOERA) solo (por ejemplo, michelle@contoso.onmicrosoft.com), puede omitir este paso.

Debe agregar dos registros CNAME para Movilidad básica y seguridad en el registrador DNS para el dominio de correo electrónico personalizado de Microsoft 365. La sintaxis básica de los registros CNAME es:

Hostname: EnterpriseEnrollment.company_domain.com
Points to address or value: EnterpriseEnrollment-s.manage.microsoft.us

Hostname: EnterpriseRegistration.company_domain.com
Points to address or value: EnterpriseRegistration.windows.net

Por ejemplo:

Hostname: EnterpriseEnrollment.contoso.com
Points to address or value: EnterpriseEnrollment-s.manage.microsoft.us

Hostname: EnterpriseRegistration.contoso.com
Points to address or value: EnterpriseRegistration.windows.net

Sugerencia

¿Necesita ayuda para configurar los registros CNAME? Proporcionamos instrucciones para crear registros CNAME para diferentes servicios de Microsoft 365 en muchos registradores de dominios. Puede usar estas instrucciones como punto de partida para crear los registros CNAME para Movilidad básica y seguridad. Para obtener más información, consulte Agregar registros DNS para conectar el dominio.

Si no está familiarizado con la configuración de DNS, póngase en contacto con el registrador de dominios y solicite ayuda.

Después de agregar los registros CNAME, los usuarios que inician sesión en dispositivos Windows mediante direcciones de correo electrónico en el dominio personalizado de Microsoft 365 se redirigen para inscribirse en Movilidad básica y seguridad.

Paso 3: Creación de un certificado del servicio de notificaciones push de Apple para dispositivos Apple

Sugerencia

Si no tiene previsto usar Movilidad básica y seguridad para administrar dispositivos iOS/iPadOS, puede omitir este paso.

Movilidad básica y seguridad requiere un certificado de Apple Push Notification Service (APN) para administrar dispositivos iOS/iPadOS. Siga estos pasos para crear un certificado APNs:

1. Realice uno de los pasos siguientes:

   • En la pestaña Información general de la página Movilidad básica y seguridad en https://compliance.microsoft.com/basicmobilityandsecurity, seleccione Administrar certificado push MDM de Apple para abrir la página Configurar certificado push MDM. O bien, use el vínculo https://portal.azure.com/#view/Microsoft_Intune_Enrollment/APNSCertificateUploadBladedirecto .
   • Vaya a iOS/iPadOS | Página de inscripción del centro de administración de Intune en https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesIosMenu/~/iosEnrollment. En la sección Requisitos previos , seleccione Certificado push MDM de Apple para abrir el control flotante Configurar certificado push MDM .

2. En la página o el control flotante Configurar certificado de inserción MDM , realice los pasos mostrados para configurar el certificado de APNs. Para obtener instrucciones detalladas, comience en Paso 1: Concesión de permiso de Microsoft para enviar información de usuario y dispositivo a Apple.

El certificado push MDM de Apple es válido durante 365 días (con un período de gracia de 30 días para renovarse una vez expirado). Debe renovar el certificado cada año para mantener la administración de dispositivos apple. Para obtener instrucciones, consulte Renovación del certificado push MDM de Apple.

Paso 4: Configuración de la organización en Movilidad básica y seguridad

La pestaña Configuración de la organización de la página Movilidad básica y seguridad de https://compliance.microsoft.com/basicmobilityandsecurity contiene la configuración siguiente que debe tener en cuenta:

• Restricción de acceso para dispositivos MDM no compatibles: impide que los usuarios accedan al correo electrónico de Microsoft 365 en dispositivos que Movilidad básica y seguridad no admiten. Para obtener más información sobre los dispositivos compatibles, consulte Plataformas de dispositivos compatibles en Movilidad básica y seguridad.

  Después de expandir esta sección, están disponibles los siguientes valores:

  • Permitir acceso (se requiere la inscripción de dispositivos). Este valor es el predeterminado.

  • Bloquear acceso: se recomienda este valor para ayudar a proteger su organización. No se permite que los dispositivos no admitidos accedan al correo electrónico de Microsoft 365 en el dispositivo. Después de seleccionar este valor, la pestaña se actualiza automáticamente y ambas secciones de la página se contraen. Expanda esta sección para ver el valor seleccionado.

  

• Grupos de seguridad excluidos del control de acceso: use esta configuración para excluir miembros de los grupos de seguridad especificados de Movilidad básica y seguridad. Por ejemplo:

  • Excepciones temporales específicas para dispositivos conocidos no compatibles.
  • Ya no desea usar Movilidad básica y seguridad en su organización (especifique uno o varios grupos que contengan todos los usuarios de la organización).

  Se admiten los siguientes tipos de grupo de seguridad:

  • Grupos de usuarios: para crear grupos de seguridad de usuarios en el Centro de administración de Microsoft 365, consulte Creación, edición o eliminación de un grupo de seguridad.

    Business Basic y Business Standard incluyen Microsoft Entra Gratis, que admite la creación de grupos de usuarios asignados (no grupos de usuarios dinámicos), aunque el grupo de usuarios dinámico Todos los usuarios integrado está disponible. Para crear grupos de usuarios asignados en el Centro de administración Microsoft Entra, consulte Creación de un grupo básico y adición de miembros. Use la configuración siguiente:

    • Tipo de grupo: Seguridad (valor predeterminado).
    • Microsoft Entra roles se pueden asignar al grupo: No (valor predeterminado).
    • Miembros: (paso 10): seleccione No hay miembros seleccionados. En la página Agregar miembros que se abre, seleccione la pestaña Usuarios para seleccionar los usuarios que se van a agregar al grupo.

  • Grupos de dispositivos asignados: de forma similar, Microsoft Entra Free admite la creación de grupos de dispositivos asignados (no grupos de dispositivos dinámicos). Para crear grupos de dispositivos asignados en el Centro de administración Microsoft Entra, consulte Creación de un grupo básico y adición de miembros. Use la configuración siguiente:

    • Tipo de grupo: Seguridad (valor predeterminado).
    • Microsoft Entra roles se pueden asignar al grupo: No (valor predeterminado).
    • Miembros: (paso 10): seleccione No hay miembros seleccionados. En la página Agregar miembros que se abre, seleccione la pestaña Dispositivos para seleccionar los dispositivos que se van a agregar al grupo.

    Después de expandir esta sección, empiece a escribir el nombre del grupo en el cuadro y, a continuación, seleccione el grupo cuando aparezca. La pestaña se actualiza automáticamente y la sección se contrae. Expanda la sección para ver el grupo seleccionado debajo del cuadro.

    Para quitar un grupo seleccionado, seleccione en la entrada. La pestaña se actualiza automáticamente y la sección se contrae. Expanda la sección para ver que el grupo que quitó ya no está debajo del cuadro.

    Repita estos pasos tantas veces como sea necesario.

Use PowerShell para configurar las opciones de la organización en Movilidad básica y seguridad

Si prefiere usar Security & Compliance PowerShell para configurar la configuración de la organización en Movilidad básica y seguridad de la organización, siga estos pasos:

1. Ejecute el siguiente comando para ver el estado actual de la configuración:

   Get-DeviceTenantRule | Format-List BlockUnsupportedDevices,ExclusionList
   

   Si se truncan los valores actuales de ExclusionList , ejecute el siguiente comando para verlos todos:

   Get-DeviceTenantRule | Select-Object -ExpandProperty ExclusionList
   

2. Para configurar los valores de la organización, use la sintaxis siguiente:

   Set-DeviceTenantPolicy [-BlockUnsupportedDevices <$true | $false>] [-ExclusionList "SecurityGroupGUID1","SecurityGroupGUID2",..."SecurityGroupGUIDN"]
   

   • BlockUnsupportedDevices: corresponde a la opción Restricción de acceso para dispositivos MDM no admitidos .

     • $true = Bloquear acceso
     • $false = Permitir acceso (se requiere la inscripción de dispositivos) (valor predeterminado)

   • ExclusionList: corresponde a la configuración Grupos de seguridad excluidos del control de acceso . Especifique uno o varios grupos de seguridad separados por comas. Los grupos se identifican por valor GUID:

     • El valor 00000000-0000-0000-0000-000000000000 significa que no se excluye ningún grupo de seguridad (valor predeterminado).
     • Para buscar los valores GUID de los grupos de seguridad disponibles, use los procedimientos siguientes:

       1. Si es necesario, ejecute el siguiente comando para instalar el módulo de PowerShell de Microsoft Graph en PowerShell:

          Install-Module -Name Microsoft.Graph -Scope CurrentUser
          

          Responda sí a las directivas sobre la instalación del proveedor NuGet o la instalación desde PSGallery.

       2. Conéctese a PowerShell Microsoft.Graph.Groups mediante la ejecución del siguiente comando:

          Connect-MgGraph -Scopes "Group.ReadWrite.All"
          

          Para obtener información detallada sobre la sintaxis y los parámetros, consulte Connect-MgGraph.

       3. Ejecute el siguiente comando:

          Get-MgGroup
          

          Use el valor DisplayName para buscar y copiar el valor id. que se va a usar.

          Sugerencia

          Es posible que tenga que reducir el tamaño de fuente en la ventana de PowerShell y volver a ejecutar el comando para ver claramente todos los valores. Por ejemplo, haga clic en la ventana y use la rueda de desplazamiento del mouse para desplazarse hacia abajo y, a continuación, vuelva a ejecutar el comando.

          No se puede usar Grupos de Microsoft 365 (el valor de la propiedad GroupTypes es Unified).

          Los valores que especifique para el parámetro ExclusionList sobrescriben los valores existentes. Vuelva al paso 1 para ver la lista completa de grupos de seguridad.

          Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-MgGroup.

   En este ejemplo se configuran las siguientes opciones de organización:

   • Bloquear el acceso para dispositivos no admitidos.
   • Excluya los grupos de seguridad especificados de Movilidad básica y seguridad.

   Set-DeviceTenantPolicy -BlockUnsupportedDevices $true -ExclusionList "6010e907-3193-4a6f-b94c-a4c24b1398cc","0be37e4a-8f43-4b9f-ab7f-74659816067a"
   

   Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-DeviceTenantPolicy.

Paso 5: Creación de directivas de seguridad de dispositivos

Para obtener instrucciones, consulte Configurar directivas en Movilidad básica y seguridad.

Pasos siguientes

Después de crear al menos una directiva en Movilidad básica y seguridad, los usuarios identificados en las directivas reciben mensajes de inscripción la próxima vez que inicien sesión en su dispositivo con un identificador de Microsoft 365 o intenten acceder a los datos de la empresa mediante una aplicación compatible.

Los usuarios deben completar los pasos de inscripción y activación para poder acceder al correo electrónico y a los documentos de Microsoft 365. Para obtener más información, consulte Inscripción del dispositivo móvil mediante Movilidad básica y seguridad.

Sugerencia

Si el idioma preferido de un usuario no está disponible en el proceso de inscripción de dispositivos, es posible que el usuario reciba la notificación y los pasos en otro idioma. Actualmente, no todos los idiomas admitidos en Microsoft 365 están disponibles para el proceso de inscripción en dispositivos móviles.