Explorar la directiva de conformidad de dispositivos
Las directivas de cumplimiento definen las reglas y las opciones que se deben configurar en un dispositivo para que se considere compatible. Después de configurar e implementar una directiva de cumplimiento, puede supervisar el estado de cumplimiento de los dispositivos, así como los dispositivos individuales que están configurados de la forma esperada.
Para poder aplicar una directiva de cumplimiento a un dispositivo, primero debe inscribirlo en Intune. Después de la inscripción, el dispositivo se puede agregar automáticamente a un grupo de dispositivos. Si se asignó una directiva de cumplimiento a ese grupo, la directiva se evaluará en el dispositivo y su estado de cumplimiento se notificará automáticamente a Intune y se mostrará en el portal.
Las directivas de cumplimiento de dispositivos establecen la configuración necesaria para:
- Contraseñas
- Cifrado
- Dispositivos con jailbreak o rooteados
- La versión mínima del sistema operativo
- La versión máxima del sistema operativo
- El nivel máximo de defensa contra amenazas móviles
Cuando un dispositivo se inscribe en Intune, se agrega su información (como su estado de cumplimiento) a Microsoft Entra ID. Las directivas de cumplimiento se asignan a los usuarios en lugar de a los dispositivos. Las directivas de acceso condicional utilizan la información de Microsoft Entra para bloquear o permitir el acceso al correo electrónico y a otros datos de la organización. No es obligatorio usar directivas de cumplimiento junto con el acceso condicional; las directivas de cumplimiento se pueden emplear únicamente con fines de informes.
Las directivas de cumplimiento de Intune se crean en la sección Dispositivos del Centro de administración de Intune. El panel de cumplimiento de dispositivos para la supervisión se puede encontrar en "Informes".
De forma predeterminada, cuando Intune detecta un dispositivo que no es compatible, lo marca inmediatamente como tal. En cada directiva de cumplimiento, puede configurar acciones para dispositivos no compatibles, lo que le proporciona flexibilidad adicional para decidir qué hacer. Por ejemplo, en un escenario típico, las organizaciones bloquearán el acceso a los recursos de la empresa desde un dispositivo no compatible. Sin embargo, puede configurar una directiva de cumplimiento que permita que un dispositivo no compatible acceda a los recursos de la empresa siempre y cuando sea compatible dentro de un período de gracia especificado. Si el cumplimiento no se logra en ese momento, el dispositivo ya no podrá acceder a los recursos de la empresa.
Existen dos tipos de acciones de no cumplimiento:
- Notificar a los usuarios finales por correo electrónico. Puede personalizar una notificación por correo electrónico antes de enviarla al usuario final. Puede personalizar los destinatarios, el asunto y el cuerpo del mensaje, incluido el logotipo de la empresa y la información de contacto. Intune incluye detalles sobre el dispositivo no conforme en la notificación por correo electrónico.
- Marcar el dispositivo como no compatible. Puede especificar el número de días tras los cuales el dispositivo se marca como no compatible. Esto puede ocurrir inmediatamente después de que el dispositivo se marque como no compatible, o puede dar al usuario un periodo de gracia en el que pueda actualizar el dispositivo para hacerlo compatible. Si el dispositivo sigue sin ser compatible después del número de días especificado, se marcará como no compatible.
Las directivas de cumplimiento de dispositivos se pueden usar de la siguiente manera:
- Con acceso condicional. Para los dispositivos que cumplan las normas de la directiva, puede permitir que esos dispositivos accedan al correo electrónico y a otros recursos de la empresa. Si los dispositivos no cumplen las normas de la directiva, no tienen acceso a los recursos de la empresa.
- Sin acceso condicional. También puede utilizar directivas de cumplimiento de dispositivos sin ningún acceso condicional. Cuando se utilizan directivas de cumplimiento sin acceso condicional, no hay restricciones de acceso a los recursos de la empresa.
Uso de grupos de dispositivos de Microsoft Entra para directivas
Se recomienda usar grupos de Microsoft Entra para que los usuarios y dispositivos apliquen cualquier tipo de directivas implementadas con Intune. Puede crear un grupo en Microsoft Entra ID con pertenencia dinámica especificando una regla para determinar la pertenencia en función de las propiedades del usuario o del dispositivo. Cuando cambian los atributos de un usuario o de un dispositivo, Microsoft Entra ID evalúa todos los grupos dinámicos de un directorio para ver si el cambio desencadenaría adiciones o eliminaciones en el grupo. Si un usuario o un dispositivo cumple una regla de un grupo, se agrega a este como miembro. Si ya no cumplen la regla, se quitan del grupo.
Una regla de pertenencia a grupos se usa para rellenar automáticamente un grupo con usuarios o dispositivos. Se trata de una expresión binaria que da como resultado Verdadero o Falso. Las tres partes de una regla simple de pertenencia a grupos incluyen:
- Propiedad. Especifica el atributo del objeto; por ejemplo, puede utilizar user.department para hacer referencia al atributo Department de un objeto de usuario, o device.displayName para hacer referencia al atributo displayName de un objeto de dispositivo.
- Operador. Puede ser uno de los muchos operadores admitidos, como Equals (-eq), Starts With (-startsWith), Contains (-contains) o Match (-match).
- Valor. Valor con el que desea evaluar la propiedad mediante el operador.
Por ejemplo, podría utilizar la siguiente regla de pertenencia a grupos para incluir todos los dispositivos fabricados por Microsoft:
device.deviceManufacturer -eq "Microsoft