Administración de directivas basada en grupos

  • 4 minutos

Las asignaciones de dispositivos, aplicaciones y directivas se pueden administrar según grupos de usuarios o dispositivos.

Puede agregar los siguientes tipos de grupos:

  • Grupos asignados: agregue manualmente usuarios o dispositivos a un grupo estático.
  • Grupos dinámicos (requiere Microsoft Entra ID P1 o P2): Agregue automáticamente usuarios o dispositivos a grupos de usuarios o grupos de dispositivos según una expresión que cree.

Dispositivos

Para facilitar la administración de los dispositivos, puede usar las categorías de dispositivos de Microsoft Intune para agregar automáticamente dispositivos a grupos en función de las categorías que defina.

Las categorías de dispositivos usan el siguiente flujo de trabajo:

  1. Crear categorías que los usuarios pueden elegir cuando inscriban sus dispositivos.
  2. Cuando los usuarios de dispositivos iOS/iPadOS y Android inscriben un dispositivo, deben elegir una categoría de la lista de categorías que se hayan configurado. Para asignar una categoría a un dispositivo Windows, los usuarios deben usar el sitio web del Portal de empresa.
  3. Después, puede implementar directivas y aplicaciones en esos grupos.

Puede crear todas las categorías de dispositivo que quiera. Por ejemplo:

  • Dispositivo de punto de venta
  • Dispositivo de demostración
  • Sales
  • Control
  • Manager

Después de haber inscrito el dispositivo, se convierte en administrado. La organización puede asignar directivas y aplicaciones al dispositivo mediante un proveedor de administración de dispositivos móviles (MDM), como Intune.

Aplicaciones

Después de agregar una aplicación a Microsoft Intune, podrá asignarla a los usuarios y dispositivos. Es importante tener en cuenta que puede asignar una aplicación a un dispositivo independientemente de si el dispositivo está administrado por Intune o no.

Con Intune, puede determinar quién tiene acceso a una aplicación mediante la asignación de grupos de usuarios que quiera incluir o excluir. Antes de asignar grupos a la aplicación, se debe establecer el tipo de asignación de una aplicación. El tipo de asignación hace que la aplicación esté disponible, sea obligatoria o se desinstale.

Para establecer la disponibilidad de una aplicación, la inclusión y exclusión de asignaciones de aplicaciones en un grupo de usuarios o dispositivos se realiza mediante una combinación de asignaciones de grupo de inclusión y exclusión. Esta capacidad puede serle útil en el momento de hacer que la aplicación esté disponible mediante la inclusión de un grupo grande, para después restringir los usuarios seleccionados excluyendo un grupo más reducido. El grupo más pequeño podría ser un grupo de prueba o un grupo ejecutivo.

Como procedimiento recomendado, cree y asigne aplicaciones específicas para los grupos de usuarios y por separado para los grupos de dispositivos.

Por ejemplo, cuando agrega un usuario con el puesto de Administrador, dicho usuario se agrega automáticamente a un grupo de usuarios de Todos los administradores. Cuando un dispositivo tiene el tipo de sistema operativo de un dispositivo iOS/iPadOS, dicho dispositivo se agrega automáticamente a un grupo Todos los dispositivos iOS/iPadOS.

Después de asignar una aplicación a un grupo en Intune, se pueden asignar directivas sobre la aplicación a usuarios o dispositivos.

Directivas

Puede usar Intune para asignar directivas a grupos. Cuando se asignan directivas, se puede elegir quién se va a incluir y quién no.

Grupos de usuarios y grupos de dispositivos

Muchos usuarios se preguntan cuándo usar grupos de usuarios y cuándo grupos de dispositivos. La respuesta depende del objetivo. Esta es una guía para ayudarle a comenzar:

Grupos de dispositivos

Si se quiere aplicar una configuración en un dispositivo, independientemente de quién haya iniciado sesión, asigne los perfiles a un grupo de dispositivos. La configuración que se aplica a grupos de dispositivos siempre va con el dispositivo, no con el usuario. Los grupos de dispositivos se suelen usar para dispositivos compartidos y especializados.

Por ejemplo:

  • Los grupos de dispositivos son útiles para administrar dispositivos que no tienen un usuario dedicado. Este sería el caso de dispositivos que imprimen entradas, examinan inventario, se comparten entre los trabajadores por turnos o se asignan a un almacén específico. Coloque estos dispositivos en un grupo de dispositivos y asigne los perfiles a este grupo de dispositivos.
  • Se crea un perfil Device Firmware Configuration Interface (DFCI) de Intune que actualiza la configuración en el BIOS. Por ejemplo, puede configurar este perfil para deshabilitar la cámara del dispositivo o bloquear las opciones de arranque a fin de impedir que los usuarios arranquen otro sistema operativo. Este perfil es un buen escenario para asignarlo a un grupo de dispositivos.
  • En algunos dispositivos Windows específicos, siempre le interesará controlar algunos valores de configuración de Microsoft Edge, con independencia de quién use el dispositivo. Por ejemplo, si quiere bloquear todas las descargas, limite todas las cookies a la sesión de exploración actual y elimine el historial de exploración. En este escenario, coloque estos dispositivos de Windows específicos en un grupo de dispositivos y, a continuación, cree una plantilla administrativa en Intune, agregue esta configuración de dispositivo y asigne este perfil al grupo de dispositivos.

En resumen, use grupos de dispositivos cuando no le preocupe quién haya iniciado sesión en el dispositivo, o si alguien ha iniciado sesión. Le interesa que la configuración esté siempre en el dispositivo.

Grupos de usuarios

La configuración del perfil que se aplica a los grupos de usuarios siempre acompaña al usuario y va con él cuando inicia sesión en sus muchos dispositivos. Es normal que los usuarios tengan muchos dispositivos, como un equipo Surface Pro para trabajar o un dispositivo iOS/iPadOS personal. También es normal que una persona acceda al correo electrónico y a otros recursos de la organización desde estos dispositivos. Los grupos de usuarios los suelen usar los trabajadores del conocimiento y en labores de información.

Por ejemplo:

  • Quiere colocar un icono del departamento de soporte técnico en todos los dispositivos de todos los usuarios. En este escenario, incluya estos usuarios en un grupo de usuarios y asigne el perfil de icono del departamento de soporte técnico a este grupo de usuarios.

  • Un usuario recibe un nuevo dispositivo propiedad de la organización. El usuario inicia sesión en el dispositivo con su cuenta de dominio. El dispositivo se registra automáticamente en Microsoft Entra ID y se administra automáticamente mediante Intune. Este perfil es un buen escenario para asignarlo a un grupo de usuarios.

  • Cada vez que un usuario inicia sesión en un dispositivo, querrá controlar las características de las aplicaciones, como OneDrive u Office. En este escenario, asigne la configuración de perfil de OneDrive u Office a un grupo de usuarios.

    Por ejemplo, quiere bloquear los controles ActiveX que no son de confianza en las aplicaciones de Office. A tal efecto, puede crear una plantilla administrativa en Intune, configurar esta opción y asignar este perfil a un grupo de usuarios.

En resumen, use grupos de usuarios cuando quiera que la configuración y las reglas vayan siempre con el usuario, sea cual sea el dispositivo que usen.