Compartir por


guía de configuración paso a paso de Windows 10/11 en la nube

Windows 10/11 en la configuración en la nube (configuración en la nube) es una configuración de dispositivo para dispositivos cliente Windows. Está diseñado para simplificar la experiencia del usuario final. Para obtener más información sobre qué es la configuración de la nube, incluidos los requisitos mínimos, vaya a Introducción al escenario guiado de configuración en la nube de Windows.

Con la configuración en la nube, se usan directivas de Microsoft Intune para convertir un dispositivo cliente Windows en un dispositivo optimizado para la nube. Windows 10/11 en la configuración en la nube:

  • Optimiza los dispositivos para la nube configurándolos para que se inscriban en Intune administración con Microsoft Entra. Los datos de usuario se almacenan automáticamente en OneDrive con el movimiento de carpetas conocido configurado.

  • Instala Microsoft Teams y Microsoft Edge en dispositivos.

  • Configura los usuarios finales para que sean usuarios estándar en los dispositivos, lo que proporciona a TI más control sobre las aplicaciones instaladas en los dispositivos.

  • Quita las aplicaciones integradas y la aplicación de Microsoft Store, lo que simplifica la experiencia del usuario final.

  • Aplica la configuración de seguridad del punto de conexión y una directiva de cumplimiento. Estas directivas ayudan a proteger los dispositivos y a supervisar el estado de los dispositivos.

  • Garantiza que los dispositivos se actualicen automáticamente a través de Windows Update para empresas.

  • Opcionalmente, también puede:

    • Agregue otras aplicaciones de Microsoft 365, como Outlook, Word, Excel y PowerPoint.
    • Agregue aplicaciones de línea de negocio (LOB) esenciales que los usuarios finales necesiten tener éxito. Microsoft recomienda mantener estas aplicaciones al mínimo para que la configuración sea sencilla.
    • Agregue recursos esenciales, como perfiles de Wi-Fi, conexiones VPN, certificados y controladores de impresora necesarios para los flujos de trabajo de usuario.

Sugerencia

Para obtener información general sobre Windows 10/11 en la configuración en la nube y sus usos, vaya a Windows 10/11 en la configuración en la nube.

Hay dos maneras de implementar la configuración en la nube:

  • Opción 1: automático: use el escenario guiado para crear automáticamente todos los grupos y directivas con sus valores configurados. Para obtener más información sobre esta opción, vaya a Introducción al escenario guiado de configuración en la nube de Windows.
  • Opción 2: manual (este artículo): siga los pasos de este artículo para implementar la configuración en la nube usted mismo.

Esta guía le ayuda a crear su propia implementación de configuración en la nube. En las secciones siguientes se describe cómo usar Microsoft Intune para configurar la configuración en la nube:

  1. Creación de un grupo de Microsoft Entra
  2. Configuración de la inscripción de dispositivos
  3. Implementación de un script para configurar el movimiento de carpetas conocidas y quitar aplicaciones integradas
  4. Implementar aplicaciones
  5. Implementación de la configuración de seguridad del punto de conexión
  6. Configuración de Windows Update
  7. Implementación de una directiva de cumplimiento de Windows
  8. Configuraciones opcionales

Paso 1: Creación de un grupo de Microsoft Entra

El primer paso consiste en crear un grupo de seguridad Microsoft Entra que reciba las configuraciones que implemente.

Este grupo dedicado le ayuda a organizar los dispositivos y administrar los recursos de configuración en la nube en Intune. Microsoft recomienda implementar solo las configuraciones de esta guía. A continuación, según sea necesario, agregue más aplicaciones esenciales y otras configuraciones de dispositivo.

Siga estos pasos para crear el grupo:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Grupos>Todos los grupos>Nuevo grupo.

  3. Para Tipo de grupo, seleccione Seguridad.

  4. Escriba un nombre de grupo, como Cloud config PCs.

  5. En Tipo de pertenencia, seleccione Asignado.

  6. Si lo desea, puede agregar dispositivos al nuevo grupo ahora. Seleccione No hay miembros seleccionados y agregue miembros al grupo.

    También puede empezar con un grupo vacío y agregar dispositivos más adelante.

  7. Seleccione Crear.

Sugerencia

Cuando se crea el grupo, puede agregar dispositivos Windows Autopilot previamente registrados a este grupo.

Dispositivos existentes

Si tiene dispositivos existentes inscritos en Intune que desea usar con la configuración en la nube, se recomienda empezar de nuevo con estos dispositivos. En concreto:

  • Quite las aplicaciones y perfiles existentes implementados en estos dispositivos.
  • Restablezca estos dispositivos.
  • Vuelva a inscribir el dispositivo en Intune e implemente la configuración en la nube.

Estos pasos adicionales se recomiendan para los dispositivos existentes, ya que proporcionan una experiencia de usuario simplificada. A continuación, puede agregar otras aplicaciones esenciales y asegurarse de que los dispositivos solo tienen lo que necesitan los usuarios.

Paso 2: Configuración de la inscripción de dispositivos

En este paso, habilitará la inscripción automática de MDM en Intune y configurará cómo se inscriben los dispositivos en Intune.

Si ya usa Windows Autopilot, omita este paso y vaya al Paso 3: Implementación de un script para configurar el movimiento de carpetas conocidas y quitar aplicaciones integradas (en este artículo).

✅ 1: Habilitación de la inscripción automática

Habilite la inscripción automática para los usuarios de la organización que desea usar en la configuración en la nube. La inscripción automática es necesaria para la configuración en la nube. Para obtener más información sobre la inscripción automática, vaya a Guía de inscripción: Inscripción automática de Windows.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>por plataforma>WindowsInscripciónautomática de >inscripción> de dispositivosWindows>.

  3. En Ámbito de usuario mdm, seleccione una de las siguientes opciones:

    • Seleccione Todo para aplicar la configuración en la nube a todos los dispositivos Windows que usan los usuarios de su organización. En la mayoría de los escenarios de configuración en la nube, se selecciona Todo .
    • Seleccione Algunos para aplicar la configuración en la nube a los dispositivos usados por un subconjunto de usuarios de la organización. Si quiere aplicar la configuración de nube en un enfoque preconfigurado, es posible que algunos sean una buena opción.
  4. No configure el ámbito de usuario mam, los términos de MAM de la dirección URL del usuario, la dirección URL de detección de MDM y la configuración de la dirección URL de cumplimiento de MAM. Deje esta configuración en blanco. La configuración de MAM no está configurada para la configuración en la nube.

  5. Seleccione Guardar para guardar los cambios.

✅ 2- Elegir cómo se inscriben y configuran los dispositivos para que sean usuarios estándar en los dispositivos

Una vez habilitada la inscripción automática de Windows en Intune, el siguiente paso es determinar cómo se inscriben los dispositivos en Intune. Cuando se inscriben, están disponibles para recibir las directivas de configuración en la nube. También debe configurar los usuarios para que sean usuarios estándar en sus dispositivos. Los usuarios estándar solo pueden instalar las aplicaciones que aprueba su organización.

Para la inscripción, tiene tres opciones. Seleccione una opción de inscripción.

  • Uso de Windows Autopilot (recomendado)
  • Inscripción masiva mediante un paquete de aprovisionamiento
  • Usar la Microsoft Entra ID en la experiencia integrada (OOBE)

En esta sección se proporciona más información sobre estas opciones de inscripción y se configura a los usuarios como usuarios estándar en sus dispositivos.

Se recomienda usar la inscripción de Windows Autopilot y la Página de estado de inscripción (ESP). Este método de inscripción y el ESP proporcionan una experiencia de usuario final coherente.

  • Los dispositivos se registrarán previamente con el servicio de implementación de Windows Autopilot. Con Windows Autopilot, los administradores configuran cómo se inician e inscriben los dispositivos en la administración de dispositivos.
  • La directiva Intune Windows Autopilot configura la experiencia integrada (OOBE). En la OOBE, seleccione usuarios para que sean usuarios estándar.
  • La directiva Intune Windows Autopilot configura la página de estado de inscripción (ESP). El ESP muestra el progreso de la configuración. Los usuarios permanecen en el ESP hasta que se apliquen todas las opciones de configuración de la nube al dispositivo.

Para configurar la inscripción controlada por el usuario de Windows Autopilot, siga estos pasos:

  1. Agregar dispositivos a Windows Autopilot.

    Registre los dispositivos en Windows Autopilot siguiendo los pasos descritos en Paso 3: Registro de dispositivos en Windows Autopilot (abre un artículo de Windows Autopilot).

    Nota:

    El artículo Paso 3: Registro de dispositivos en Windows Autopilot Windows Autopilot forma parte de una serie de pasos. Para esta configuración en la nube, siga solo paso 3: Registro de dispositivos en Windows Autopilot para registrar los dispositivos. No siga los demás pasos de la serie. Los otros pasos de esa serie de Windows Autopilot son para un escenario de Windows Autopilot diferente.

    También puede registrar manualmente los dispositivos para usar Windows Autopilot. El registro manual de dispositivos se usa a menudo para reutilizar el hardware existente que no se configuró anteriormente con Windows Autopilot.

  2. Cree y asigne un perfil de implementación de Windows Autopilot en Intune.

    1. Inicie sesión en el Centro de administración de Microsoft Intune.

    2. Seleccione Dispositivos>por plataforma>WindowsInscripción>de incorporación> de dispositivos windows> Windows Autopilot DeploymentPerfiles de implementación del programa>.

    3. Seleccione Crear perfil>Windows PC. Escriba un nombre para el perfil.

    4. En la configuración Convertir todos los dispositivos de destino en Autopilot , seleccione . Seleccione Siguiente.

      Puede aplicar la configuración en la nube a los dispositivos inscritos mediante métodos de inscripción distintos de Windows Autopilot. Al agregar esos dispositivos (dispositivos que no son Windows Autopilot) al grupo, los dispositivos se convierten en Windows Autopilot. La próxima vez que los dispositivos se restablezcan y pasen por la experiencia integrada de Windows (OOBE), se inscriben a través de Windows Autopilot.

    5. En la pestaña Experiencia integrada (OOBE), escriba los siguientes valores y, a continuación, seleccione Siguiente:

      Configuración Valor
      Modo de implementación Controlado por el usuario
      Unirse a Microsoft Entra ID como Microsoft Entra unidos
      Términos de licencia del software de Microsoft Ocultar
      Configuración de privacidad Ocultar
      Ocultar las opciones de la cuenta de cambio Ocultar
      Tipo de cuenta de usuario Estándar
      Permitir la implementación aprovisionada previamente No
      Idioma (región) Valor predeterminado del sistema operativo
      Configurar automáticamente el teclado
      Aplicar plantilla de nombre de dispositivo Opcional. Puede aplicar una plantilla de nombre de dispositivo. Use un prefijo de nombre que pueda ayudarle a identificar los dispositivos de configuración en la nube, como Cloud-%SERIAL%.'
    6. Asigne el perfil al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo) y, a continuación, seleccione Siguiente.

    7. Revise el nuevo perfil y, a continuación, seleccione Crear.

  3. Cree y asigne una página de estado de inscripción en Intune.

    1. Inicie sesión en el Centro de administración de Microsoft Intune.

    2. Seleccione Dispositivos>por plataforma>PáginaEstado deinscripción>general>de incorporación de> dispositivos Windows.>

    3. Seleccione Crear y escriba un nombre para la página Estado de inscripción.

    4. En la pestaña Configuración , escriba los valores siguientes y, a continuación, seleccione Siguiente:

      Configuración Valor
      Mostrar proceso de configuración de perfiles y aplicaciones
      Mostrar un error cuando la instalación tarda más de un número determinado de minutos 60
      Mostrar un mensaje personalizado cuando se produce un error de límite de tiempo Sí: también puede cambiar el mensaje predeterminado.
      Permitir a los usuarios recopilar registros sobre errores de instalación
      Bloquear el usuario del dispositivo hasta que se instalen todas las aplicaciones y perfiles
      Permitir a los usuarios restablecer el dispositivo si se produce un error de instalación
      Permitir a los usuarios utilizar el dispositivo si se produce un error de instalación No
      Bloquear el usuario del dispositivo hasta que se instalen estas aplicaciones necesarias si se asignan al usuario o dispositivo todas

      Nota:

      Si se produce un error de instalación, se recomienda impedir que los usuarios usen el dispositivo. Al bloquear a los usuarios, se asegura de que solo puedan empezar a usar el dispositivo después de que se aplique completamente la configuración en la nube.

      Si se produce un error de instalación, en función de sus necesidades de implementación, puede permitir que el usuario use el dispositivo. Si permite usar el dispositivo, cuando el dispositivo se registra con Intune, Intune sigue intentando aplicar las configuraciones.

    5. En Asignaciones, asigne la página Estado de inscripción al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo).

      Seleccione Siguiente.

    6. Seleccione Crear para crear y asignar la página Estado de inscripción.

Opción de inscripción 2: inscripción masiva mediante un paquete de aprovisionamiento

Puede inscribir dispositivos mediante un paquete de aprovisionamiento creado mediante la configuración de Windows Designer o la aplicación de Configurar equipos académicos.

Para obtener más información sobre la inscripción masiva, vaya a Inscripción masiva para dispositivos Windows.

Con la inscripción masiva:

  • Después de que los dispositivos se inscriban en Intune, agréguelos al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo). Cuando se agregan al grupo, reciben la configuración de la nube.
  • Todos los usuarios son usuarios estándar automáticamente en el dispositivo.
  • No hay una página de estado de inscripción. Los usuarios no pueden ver el progreso como se aplican todas las opciones de configuración de la nube. Los usuarios pueden empezar a usar el dispositivo antes de que se aplique completamente la configuración en la nube.
  • Antes de distribuir dispositivos a los usuarios, Microsoft recomienda comprobar que la configuración y las aplicaciones están en los dispositivos.

Opción de inscripción 3: Inscribirse mediante Microsoft Entra ID en la experiencia integrada (OOBE)

Con la inscripción automática de MDM habilitada en Intune, durante la OOBE, los usuarios inician sesión con sus cuentas de Microsoft Entra. Cuando inician sesión, la inscripción se inicia automáticamente.

Con esta opción de inscripción, puede:

  1. Configure un perfil personalizado de Microsoft Intune para restringir los administradores locales en los dispositivos. El CSP de directiva incluye un XML de definición de directiva de ejemplo que puede usar en el perfil personalizado.

    Sugerencia

    En este perfil personalizado, hay otra configuración que agrega un grupo que puede ser administradores locales en el dispositivo. Este grupo de administración local solo debe incluir administradores de TI en el entorno.

  2. Asigne el perfil personalizado al grupo que creó en Paso 1: Creación de un grupo de Microsoft Entra (en este artículo).

Paso 3: Configuración del movimiento de carpetas conocidas de OneDrive e implementación de un script para quitar aplicaciones integradas

Al configurar el movimiento de carpetas conocidas de OneDrive, los archivos de usuario y los datos se guardan automáticamente en OneDrive. Al quitar aplicaciones de Windows integradas y Microsoft Store, se simplifican el menú Inicio y la experiencia del dispositivo.

Este paso ayuda a simplificar la experiencia del usuario de Windows.

✅ 1- Configurar el movimiento de carpetas conocidas de OneDrive con una plantilla administrativa

Con el movimiento de carpetas conocidas, los datos de los usuarios (archivos y carpetas) se guardan en OneDrive. Cuando los usuarios inician sesión en otro dispositivo, OneDrive sincroniza automáticamente los datos con el nuevo dispositivo. Los usuarios no tienen que mover manualmente sus archivos.

Nota:

Debido a un problema de sincronización con la configuración de Movimiento de carpetas conocidas de OneDrive y SharedPC, Microsoft no recomienda usar la configuración de Windows en la nube con un dispositivo que tenga varios usuarios iniciando sesión y saliendo.

Para configurar el movimiento de carpetas conocidas, use una plantilla ADMX en Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>por plataforma>Windows>Administrar dispositivos>Configuración>Crear>nueva directiva.

  3. Seleccione Windows 10 y versiones posteriores para la plataforma y seleccione Plantillas para el tipo de perfil.

  4. Seleccione Plantillas administrativas y seleccione Crear.

  5. Escriba un nombre para el perfil y seleccione Siguiente.

  6. En Configuración, busque la configuración de la tabla siguiente y seleccione sus valores recomendados:

    Nombre de valor de configuración Valor
    Mover de forma silenciosa carpetas conocidas de Windows al identificador de inquilino habilitado para OneDrive Escriba el identificador de inquilino de su organización.

    El identificador de inquilino se muestra en Centro de administración Microsoft Entra >página> PropiedadesId. de inquilino.
    Mostrar notificación a los usuarios después de redirigir las carpetas Sí. También puede ocultar la notificación.
    Iniciar silenciosamente la sesión de los usuarios en la aplicación de sincronización de OneDrive con sus credenciales de Windows Habilitado
    Impedir que los usuarios muevan sus carpetas conocidas de Windows a OneDrive Habilitado
    Impedir que los usuarios redirijan sus carpetas conocidas de Windows a su equipo Habilitado
    Usar Archivos a petición de OneDrive Habilitado
  7. Asigne el perfil al grupo que creó en Paso 1: Creación de un grupo de Microsoft Entra (en este artículo).

✅ 2: Implementación de un script para quitar aplicaciones integradas

Microsoft creó un script Windows PowerShell que:

  • Quita las aplicaciones integradas de los dispositivos.
  • Quita la aplicación de Microsoft Store de los dispositivos.

El script se implementa en dispositivos que usan en Intune. Para agregar e implementar el script, siga estos pasos:

  1. Descargue el script de eliminación de aplicaciones de PowerShell de ventana de configuración en la nube. Este script quita la aplicación de Microsoft Store y las aplicaciones integradas.

    Nota:

    Si quieres mantener la aplicación de Microsoft Store en los dispositivos, puedes usar el script que quita las aplicaciones integradas, pero mantiene la Microsoft Store en su lugar. Para usar este script, descárguelo en su lugar y siga los mismos pasos. Este script intenta quitar aplicaciones integradas, pero es posible que no las quite todas. Es posible que deba modificar el script para quitar todas las aplicaciones integradas en los dispositivos.

  2. Inicie sesión en el Centro de administración de Microsoft Intune.

  3. Seleccione Dispositivos>Por plataforma>Windows>Administrar dispositivos>Scripts y correcciones>Scripts de plataforma pestaña >Agregar.

  4. En Aspectos básicos, escriba un nombre para la directiva de script y seleccione Siguiente.

  5. En Configuración de script, cargue el script que descargó. Deje la otra configuración sin cambios y seleccione Siguiente.

  6. Asigne el script al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo).

Aplicación de Microsoft Store

Si anteriormente quitó la aplicación de Microsoft Store, puede volver a implementarla mediante Microsoft Intune. Para volver a agregar la aplicación de Microsoft Store (o cualquier otra aplicación que quiera volver a agregar), agregue la aplicación de Microsoft Store al repositorio de aplicaciones de la organización privada. A continuación, implemente la aplicación en dispositivos mediante Intune. La aplicación Microsoft Store ayuda a mantener actualizadas las aplicaciones. Para obtener información sobre cómo configurar el acceso a la aplicación Microsoft Store, consulte Administrar el acceso a la tienda privada.

El repositorio de aplicaciones de la organización privada puede ser la aplicación o el sitio web de Portal de empresa de Intune.

Con Intune, en dispositivos de Windows 10/11 Enterprise y Education, puede impedir que los usuarios finales instalen aplicaciones de Microsoft Store fuera del repositorio de aplicaciones privadas de su organización.

Para evitar estas aplicaciones externas, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>por plataforma>Windows>Administrar dispositivos>Configuración>Crear>nueva directiva.

  3. Seleccione Windows 10 y versiones posteriores para la plataforma y seleccione Catálogo de configuración para el tipo de perfil. Seleccione Crear.

  4. En Aspectos básicos, escriba un nombre para el perfil.

  5. En Opciones de configuración, seleccione Agregar configuración. Luego:

    1. En el selector de configuración, busque private store. En los resultados de la búsqueda en la categoría Microsoft App Store, seleccione Requerir solo tienda privada.
    2. Establezca la opción Requerir solo almacén privado en Solo el almacén privado está habilitado.
    3. Seleccione Siguiente.
  6. En Asignaciones, asigne el perfil al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo).

  7. En Revisar y crear , revise el perfil y seleccione Crear.

Paso 4: Implementación de aplicaciones

En este paso se implementa Microsoft Edge y Microsoft Teams. Puede implementar otras aplicaciones esenciales en este paso. Recuerde que solo implemente lo que necesitan los usuarios.

✅ 1: Implementación de Microsoft Edge

  1. Agregue Microsoft Edge a Intune.
  2. En Configuración de la aplicación, seleccione canal estable.
  3. Asigne la aplicación Microsoft Edge al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo).

✅ 2: Implementación de Microsoft Teams

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Aplicaciones windows>.

  3. Seleccione Agregar para crear una nueva aplicación.

  4. Para Aplicaciones Microsoft 365, seleccione Windows 10 y, después,>Seleccione.

  5. En Nombre del conjunto de aplicaciones, escriba un nombre o use el nombre sugerido. Seleccione Siguiente.

  6. En Configurar conjunto de aplicaciones, solo seleccione Teams.

    Si desea implementar otras aplicaciones de Microsoft 365, selecciónelas en esta lista. Recuerde que solo implemente lo que necesitan los usuarios.

    Sugerencia

    No es necesario elegir OneDrive. OneDrive está integrado en Windows 10/11 Pro, Enterprise y Education.

  7. Para obtener información sobre el conjunto de aplicaciones, configure los siguientes valores:

    Configuración Valor
    Arquitectura 64 bits

    La configuración en la nube también funciona con 32 bits. Microsoft recomienda elegir 64 bits.
    Canal de actualización Canal actual
    Eliminación de otras versiones Yes
    Versión que se va a instalar Más reciente
  8. En Propiedades, configure los siguientes valores:

    Configuración Valor
    Uso de la activación de equipos compartidos Yes
    Aceptación de los términos de licencia de software de Microsoft en nombre de los usuarios Yes
  9. Seleccione Siguiente.

  10. Asigne el conjunto al grupo que creó en Paso 1: Creación de un grupo de Microsoft Entra (en este artículo).

Paso 5: Implementación de la configuración de seguridad del punto de conexión

En este paso se configuran las opciones de seguridad del punto de conexión para ayudar a proteger los dispositivos, incluida la línea base de seguridad integrada de Windows y la configuración de BitLocker.

✅1: Implementación de la línea de base de seguridad de MDM Windows 10/11

Para la configuración de Windows en la nube, se recomienda usar la línea base de seguridad Windows 10/11. Hay algunos valores de configuración que puede cambiar en función de las preferencias de su organización.

Configure la línea base de seguridad en Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Líneasbase> de seguridad de punto> de conexiónLínea base de seguridad Línea base de seguridad para Windows 10 y versiones posteriores.

  3. Seleccione Crear perfil para crear una nueva línea base de seguridad.

  4. Escriba un nombre para la línea de base de seguridad y seleccione Siguiente.

  5. Acepte los valores de configuración predeterminados. O bien, puede cambiar la siguiente configuración en función de las necesidades de su organización:

    Configuración de la categoría Configuración Motivo para cambiar
    Explorador Bloquear administrador de contraseñas Si desea permitir que los usuarios finales usen administradores de contraseñas, deshabilite esta configuración.
    Asistencia remota Asistencia remota solicitada Esta configuración permite que el personal de soporte técnico se conecte de forma remota a los dispositivos. Microsoft recomienda deshabilitar esta configuración a menos que sea necesaria.
    Firewall Toda la configuración del firewall Si necesita permitir ciertas conexiones a dispositivos en función de las necesidades de su organización, cambie la configuración predeterminada del firewall.

    Seleccione Siguiente.

  6. En Asignaciones, seleccione el grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo).

  7. Seleccione Crear para crear y asignar la línea base.

✅ 2: Implementación de más configuraciones de BitLocker con un perfil de seguridad de punto de conexión de cifrado de unidad

Hay más configuraciones de BitLocker que ayudan a proteger los dispositivos. Configure estas opciones de BitLocker en Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Seguridad de los puntos de conexión>Cifrado de disco>Crear directiva.

  3. En Plataforma, seleccione Windows 10 y versiones posteriores.

  4. En Perfil, seleccione Crear de BitLocker>.

  5. En Aspectos básicos, escriba un nombre para el perfil.

  6. En Configuración, seleccione los valores siguientes:

    Configuración de la categoría Configuración Valor
    BitLocker: configuración base Habilitación del cifrado de disco completo para el sistema operativo y las unidades de datos fijas Yes
         
    BitLocker: configuración de unidad fija Directiva de unidades de disco fijas de BitLocker Configurar
      Bloquear el acceso de escritura a unidades de datos fijas no protegidas por BitLocker Yes
      Configuración del método de cifrado para unidades de datos fijas AES XTS de 128 bits
         
    BitLocker: configuración de la unidad del sistema operativo Directiva de unidades de disco de sistema de BitLocker Configurar
      Autenticación de inicio necesaria Yes
      Inicio de TPM compatible Permitido
      PIN de inicio de TPM compatible Permitido
      Clave de inicio de TPM compatible Obligatorio
      Clave de inicio y PIN de TPM compatibles Permitido
      Deshabilitación de BitLocker en dispositivos en los que TPM no es compatible Yes
      Configuración del método de cifrado para unidades de sistema operativo AES XTS de 128 bits
         
    BitLocker: configuración de unidad extraíble Directiva de unidad extraíble de BitLocker Configurar
      Configuración del método de cifrado para unidades de datos extraíbles AES 128 bits CBC
      Bloquear el acceso de escritura a unidades de datos extraíbles no protegidas por BitLocker Yes
  7. En Asignaciones, asigne el perfil al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo).

  8. Seleccione Crear para crear y asignar el perfil.

Paso 6: Configuración de Windows Update

En este paso se usa un anillo de Windows Update para mantener los dispositivos actualizados automáticamente. La configuración de esta guía se alinea con la configuración recomendada en la línea base de Windows Update.

Configure el anillo de actualización en Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Administrar actualizaciones>Windows 10 y actualizaciones posteriores> Pestaña >Anillos de actualizaciónCrear perfil.

  3. En Aspectos básicos, escriba un nombre para el anillo de actualización.

  4. En Actualizar configuración de anillo, configure los siguientes valores y seleccione Siguiente:

    Configuración Valor
    Canal de mantenimiento Canal semianual
    Actualizaciones de productos de Microsoft Permitir
    Controladores de Windows Permitir
    Período de aplazamiento de actualización de calidad (días) 0
    Período de aplazamiento de actualización de características (días) 0
    Establecer el período de desinstalación de actualización de características 10
    Comportamiento de las actualizaciones automáticas Restablecer valores predeterminados
    Comprobaciones de reinicio Permitir
    Opción para pausar las actualizaciones de Windows Habilitación
    Opción para comprobar si hay actualizaciones de Windows Habilitación
    Requerir aprobación del usuario para descartar la notificación de reinicio No
    Recordar al usuario antes del reinicio automático necesario con aviso descartable (horas) Deje esta configuración sin configurar.
    Recordar al usuario antes del reinicio automático necesario con recordatorio permanente (minutos) Deje esta configuración sin configurar.
    Cambiar el nivel de actualización de las notificaciones Usar las notificaciones de Windows Update predeterminadas
    Uso de la configuración de fecha límite Permitir
    Fecha límite para las actualizaciones de características 7
    Fecha límite para las actualizaciones de calidad 2
    Período de gracia 2
    Reinicio automático antes de la fecha límite Yes
  5. Asigne el anillo Actualizar al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo).

Paso 7: Implementación de una directiva de cumplimiento de Windows

Configure una directiva de cumplimiento para ayudar a supervisar el cumplimiento y el estado de los dispositivos. La directiva informa sobre el incumplimiento y sigue permitiendo a los usuarios usar dispositivos. Puede elegir cómo abordar el incumplimiento de otras acciones en función de los procesos de su organización.

Cree la directiva de cumplimiento en Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Directivade creaciónde cumplimiento de>dispositivos>.

  3. En Plataforma, seleccione Windows 10 y versiones posteriores>Crear.

  4. En Aspectos básicos, escriba un nombre para la directiva de cumplimiento. Seleccione Siguiente.

  5. En Configuración de cumplimiento, configure los siguientes valores y seleccione Siguiente:

    Configuración de la categoría Configuración Valor
    Estado del dispositivo Require BitLocker Obligatoria
      Requerir que arranque seguro esté habilitado en el dispositivo Obligatoria
      Requerir integridad de código Obligatoria
         
    Seguridad del sistema Firewall Obligatoria
      Antivirus Obligatoria
      Antiespía Obligatoria
      Requerir una contraseña para desbloquear dispositivos móviles Obligatoria
      Contraseñas sencillas Bloquear
      Tipo de contraseña Alfanumérica
      Longitud mínima de la contraseña 8
      Máximo de minutos de inactividad antes de solicitar la contraseña 1 minuto
      Expiración de contraseña (días) 41
      Número de contraseñas anteriores que no se pueden reutilizar 5
         
    Defender Antimalware de Microsoft Defender Obligatoria
      Actualización de la inteligencia de seguridad de Antimalware de Microsoft Defender Obligatoria
      Protección en tiempo real Obligatoria
  6. En Acciones para no cumplimiento, para la acción Marcar dispositivo no conforme , configure Programación (días después del incumplimiento) al 1 día. Puede configurar un período de gracia diferente en función de las preferencias de la organización.

    Si usa directivas de acceso condicional en su organización, se recomienda configurar un período de gracia. Los períodos de gracia impiden que los dispositivos no conformes pierdan inmediatamente el acceso a los recursos de la organización.

  7. Puede agregar una acción a los usuarios de correo electrónico informándoles de que no cumplen los pasos necesarios para cumplir con los requisitos.

  8. Asigne la directiva de cumplimiento al grupo que creó en Paso 1: Creación de un grupo de Microsoft Entra (en este artículo).

Paso 8: Configuraciones opcionales

Hay directivas opcionales que puede crear e implementar con la configuración de la nube. En esta sección se describen estas directivas opcionales.

✅ Configuración de un nombre de dominio de inquilino

Configure los dispositivos para que usen automáticamente el nombre de dominio del inquilino para los inicios de sesión de usuario. Al agregar un nombre de dominio, los usuarios no tienen que escribir su UPN completo para iniciar sesión.

Agregue el nombre de dominio del inquilino en Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.
  2. Seleccione Dispositivos>por plataforma>Windows>Administrar dispositivos>Configuración>Crear>nueva directiva.
  3. En plataforma, seleccione Windows 10 y versiones posteriores.
  4. En Tipo de perfil, seleccione Plantillas>Restricciones de dispositivo>Crear.
  5. Escriba un nombre para el perfil y seleccione Siguiente.
  6. En Configuración, en Contraseña, configure el dominio de inquilino Microsoft Entra preferido. Escriba el nombre de dominio Microsoft Entra que los usuarios deben usar para iniciar sesión en los dispositivos.
  7. Asigne el perfil al grupo que creó en Paso 1: Creación de un grupo de Microsoft Entra (en este artículo).

✅ Implementación de otras aplicaciones esenciales de productividad y línea de negocio (LOB)

Es posible que tenga algunas aplicaciones LOB esenciales que necesitan todos los dispositivos. Elija un número mínimo de estas aplicaciones para implementar. Si entrega aplicaciones mediante una solución de virtualización, implemente también la aplicación cliente de virtualización en los dispositivos.

No hay restricciones en el número o el tamaño de otras aplicaciones que se pueden implementar con las aplicaciones agregadas a la configuración de la nube. Sin embargo, Microsoft recomienda mantener estas otras aplicaciones al mínimo en función de lo que los usuarios necesitan para sus roles. Asigne estas aplicaciones esenciales al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo).

Es posible que necesite aplicaciones LOB específicas en algunos de los dispositivos. O bien, puede haber algunas aplicaciones que tengan requisitos complejos de empaquetado o procedimiento. En estos escenarios, considere la posibilidad de mover estas aplicaciones fuera de la implementación de configuración en la nube. O bien, mantenga los dispositivos que necesitan estas aplicaciones en el modelo de administración de Windows existente.

La configuración en la nube se recomienda para los dispositivos que necesitan solo algunas aplicaciones clave, junto con la colaboración y la exploración.

✅ Implementación de recursos que los usuarios necesitan para el acceso a la organización

Configure los recursos esenciales que los usuarios puedan necesitar, lo que depende de los procesos de la organización. Los recursos esenciales pueden incluir certificados, impresoras, conexiones VPN y perfiles de Wi-Fi.

En Intune, asigne estos recursos al grupo que creó en Paso 1: Crear un grupo de Microsoft Entra (en este artículo).

Hay más opciones de configuración que mejoran la experiencia del usuario para el movimiento de carpetas conocidas de OneDrive. La configuración no es necesaria para que el movimiento de carpetas conocidas funcione, pero resulta útil.

Para obtener más información sobre esta configuración, vaya a Configuración de OneDrive recomendada para Movimiento de carpetas conocidas.

Hay algunas opciones de configuración de aplicaciones de Microsoft Edge que se pueden configurar para mejorar la experiencia del usuario. Puede configurar estas opciones en función de los requisitos o las preferencias de la experiencia del usuario final.

Para configurar estas opciones recomendadas, use Intune:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>por plataforma>Windows>Administrar dispositivos>Configuración>Crear>nueva directiva.

  3. Seleccione Windows 10 y versiones posteriores para plataforma y Plantillas para el tipo de perfil.

  4. Seleccione Plantillas administrativas y seleccione Crear.

  5. Escriba un nombre para el perfil y seleccione Siguiente.

  6. En Configuración, busque los valores siguientes y configúrelos en sus valores recomendados:

    Establecer categoría Configuración Valor(s)
      Configuración de la integración de Internet Explorer Habilitado, modo Internet Explorer
       
    Configuración de SmartScreen Configuración de Microsoft Defender SmartScreen Habilitado
      Forzar Microsoft Defender comprobaciones de SmartScreen en descargas de orígenes de confianza Habilitado
      Configuración de Microsoft Defender SmartScreen para bloquear aplicaciones potencialmente no deseadas Habilitado

    Nota:

    La configuración de SmartScreen también se aplica mediante Microsoft Defender. Al configurar la configuración de SmartScreen a través de la aplicación Microsoft Edge, Microsoft Edge aplica directamente la configuración.

  7. Asigne el perfil al grupo que creó en Paso 1: Creación de un grupo de Microsoft Entra (en este artículo).

Supervisión del estado de la configuración en la nube

Al aplicar la configuración en la nube a los dispositivos, puede usar Intune para supervisar el estado de las aplicaciones y las configuraciones de dispositivos.

Estado del script

Puede supervisar el estado de instalación de los scripts implementados:

  1. En el centro de administración de Microsoft Intune, vaya a Dispositivos>por scriptsdeWindows> de plataforma >y correcciones>Scripts de la plataforma.
  2. Seleccione el script que implementó.
  3. En la página de detalles del script, seleccione Estado del dispositivo. Se muestran los detalles de instalación del script.

Instalaciones de aplicaciones

Puede supervisar el estado de instalación de las aplicaciones implementadas:

  1. En el centro de administración de Microsoft Intune, vaya a Aplicaciones aplicaciones> deWindows>para Windows.
  2. Seleccione una aplicación que implementó, como Microsoft 365 App Suite.
  3. Seleccione Estado de instalación del dispositivo o Estado de instalación del usuario. Se muestran los detalles de instalación de la aplicación.

Para obtener información sobre cómo solucionar problemas de aplicaciones en dispositivos individuales, vaya a Solución de problemas de instalación de aplicaciones Intune.

Línea base de seguridad

Puede supervisar el estado de instalación de la línea base de seguridad implementada. Para obtener más información, vaya a Supervisión de líneas base y perfiles de seguridad en Intune.

Perfil de cifrado de disco

En Paso 5: Implementación de la configuración de seguridad del punto de conexión (en este artículo), es posible que haya configurado e implementado la configuración de BitLocker.

Puede supervisar el estado de este perfil de BitLocker:

  1. En el centro de administración de Microsoft Intune, vaya a Seguridad del punto de conexión>Cifrado de disco.
  2. Seleccione el perfil de cifrado de disco que implementó en la configuración en la nube.
  3. Seleccione Estado de instalación del dispositivo o Estado de instalación del usuario. Se muestran los detalles del perfil.

Configuración de Windows Update

Puede supervisar el estado de la directiva de anillo de Windows Update:

  1. En el centro de administración de Microsoft Intune, vaya a Dispositivos>Administrar actualizaciones>Windows 10 y actualizaciones posteriores> pestañaAnillos de actualización.
  2. Seleccione el anillo de actualización que implementó como parte de la configuración de la nube.
  3. Seleccione Estado del dispositivo, Estado del usuario o Estado de actualización del usuario final. Se muestran los detalles de la configuración del anillo de actualización.

Para obtener más información sobre los informes de los anillos de Windows Update, vaya a Informes de anillos de actualización para Windows 10 y directivas posteriores.

Directiva de cumplimiento

Puede supervisar el estado de la directiva de cumplimiento:

  1. En el centro de administración de Microsoft Intune, vaya aCumplimiento dedispositivos>.
  2. Seleccione la directiva de cumplimiento que implementó como parte de la configuración de la nube.

La vista de supervisión de cumplimiento de dispositivos tiene información detallada sobre el estado de asignación y los errores de asignación de las directivas de cumplimiento. También tiene vistas para encontrar rápidamente dispositivos no compatibles y tomar medidas.

Para obtener información más detallada sobre la supervisión de directivas de cumplimiento en Intune, vaya a Supervisión de los resultados de las directivas de cumplimiento de dispositivos de Intune.