Compartir por


Supervisión de las líneas base de seguridad y los perfiles en Microsoft Intune

Intune proporciona varias opciones para supervisar las líneas de base de seguridad. Puede:

  • Supervisar una línea base de seguridad y todos los dispositivos que coincidan (o no) con los valores recomendados.
  • Supervisar el perfil de las líneas base de seguridad que se aplica a los usuarios y dispositivos.
  • Ver cómo se establecen las opciones de configuración de un perfil seleccionado en un dispositivo determinado.

También puede ver el Informe de configuración de dispositivo para ver qué directivas basadas en la configuración de dispositivos se aplican a dispositivos individuales, que incluyen líneas base de seguridad.

Para obtener más información sobre la característica, vea Líneas de base de seguridad en Intune.

Nota:

En mayo de 2023, Intune comenzó a implementar un nuevo formato de línea de base de seguridad que se aplica a los nuevos tipos de línea base, como Aplicaciones de Microsoft 365, y a las versiones más recientes de las líneas base existentes, como la versión 112 de línea base de Microsoft Edge. El nuevo formato actualiza la configuración de línea base para tomar directamente sus opciones de nombre y configuración del proveedor de servicios de configuración (CSP) que administra la configuración de línea base.

Intune también introdujo un nuevo proceso para ayudarle a migrar un perfil de línea base de seguridad existente a la versión de línea base más reciente. Este nuevo comportamiento es un proceso único que reemplaza el comportamiento de actualización normal al pasar de la versión más reciente de un perfil anterior a una versión más reciente que estaba disponible en mayo de 2023 o posterior.

Las instancias de líneas base que usan este nuevo formato también tienen una estructura actualizada de informes y supervisión que se alinea con otras mejoras de informe que se implementarán este año en las áreas de características de Intune. Los detalles de la vista de informe para el nuevo formato se presentan en este artículo por separado de los detalles originales proporcionados para las líneas base anteriores, muchos de los conceptos tratados para las vistas anteriores siguen siendo pertinentes.

Supervisión de la línea base y los dispositivos

Sugerencia

La siguiente información se aplica a las versiones de perfil publicadas en mayo de 2023 o posterior. Para ver información sobre las versiones de perfil publicadas antes de mayo de 2023, consulte Supervisión de perfiles para versiones de línea base publicadas antes de mayo de 2023, más adelante en este artículo.

Al seleccionar un perfil de línea base de seguridad que ha implementado, puede obtener información sobre el estado de seguridad de los dispositivos que recibieron esa línea base. Para ver estas conclusiones, inicie sesión en el Centro de administración de Microsoft Intune, vaya aLíneas base de seguridad de punto > de conexióny seleccione un tipo de línea base de seguridad como Microsoft 365 Apps for Enterprise Security Baseline. A continuación, en el panel Perfiles , seleccione la instancia de perfil para la que desea ver los detalles para abrir la vista del panel de perfiles.

Vea el panel para ver un perfil de línea base de seguridad.

Esta vista del panel incluye:

  • Un resumen de alto nivel del informe predeterminado, el estado de protección del dispositivo y el usuario.
  • Una opción Ver informe para obtener más detalles.
  • Dos iconos de informe adicionales:
    • Estado de asignación de dispositivo
    • Por estado de configuración
  • Una lista de propiedades en la que puede revisar y editar la configuración de la línea de base de seguridad.

Vista de resumen

Este resumen es un gráfico sencillo que presenta un recuento de dispositivos que notifican un resultado de estado específico para la línea base. La barra horizontal se divide en colores de las categorías disponibles en proporción al número de dispositivos de cada categoría. En la captura de pantalla anterior, un único dispositivo ha procesado la directiva y ha notificado que se ha realizado correctamente. Como resultado, la barra representacional es completamente verde.

Ver informe

Al seleccionar el botón Ver informe , Intune muestra una vista más detallada del estado de protección de dispositivos y usuarios para estas instancias de línea base. Cuando abra el informe por primera vez, estará vacío hasta que seleccione Generar informe, después de lo cual mostrará información.

Vea los detalles del informe del estado de protección de dispositivos y usuarios.

En la imagen anterior se muestran los resultados iniciales del informe de vista para la misma línea base desde la vista del panel. Esta vista muestra que hay otros dos dispositivos que tienen un estado de asignaciónpendiente, lo que significa que aún no han devuelto el estado de esta línea base.

Puede filtrar esta vista de informe por valores de estado de asignación específicos y seleccionar Generar de nuevo para actualizar los resultados visibles. También puede ordenar cualquiera de las columnas disponibles.

Si selecciona el nombre de un dispositivo en la columna Nombre del dispositivo, Intune muestra la vista Configuración del perfil , donde puede ver los resultados del estado de los dispositivos para cada configuración de la línea base de seguridad. A continuación, en la página Configuración del perfil, puede seleccionar una configuración para ver más detalles, lo que resulta útil cuando un dispositivo notifica un resultado para cualquier configuración que no sea Correcto.

En la imagen siguiente, obtenemos detalles sobre EAGLE003, el único dispositivo que muestra éxito para la línea base y, a continuación, seleccionamos la configuración Administración de complementos:

Vea el estado notificado de un dispositivo para cada configuración de la línea base.

En el panel Configuración de detalles, podemos ver cada perfil asignado a este dispositivo que también configura esta misma configuración.

Para este dispositivo, solo hay un perfil de origen que administra la configuración de administración de complementos. Si hubiera otros perfiles que configuraran esta configuración, esos perfiles también se mostrarían como perfil de origen.

Si esta configuración está en conflicto, esta vista puede ayudarle a identificar los otros perfiles para que pueda conciliar una configuración coherente o asignaciones de perfiles de línea base posteriores para quitar el conflicto.

Informe de estado de asignación de dispositivos

Seleccione el icono Estado de asignación de dispositivos para ver este informe. En este informe:

  • Los resultados son una lista de dispositivos, similar al informe de estado de protección de dispositivos y usuarios .
  • Al seleccionar un dispositivo en esta página, se abre la vista Configuración del perfil de los dispositivos, que es la misma vista que puede ver en la obtención de detalles del informe principal a la que tiene acceso desde el botón Ver informe. Sin embargo, los dispositivos que tienen un estado de asignación pendiente no tienen resultados que mostrar.
  • Al seleccionar una configuración de esta vista, se abre el panel Detalles de configuración, igual que a través de la obtención de detalles del informe principal.

Informe de estado por configuración

Seleccione el icono Por estado de configuración para ver este informe. En este informe se muestra una lista de la configuración del perfil y, para cada uno, el recuento de resultados de los dispositivos para cada estado, como el número de dispositivos que notifican éxito, error o conflicto.

Esta vista no admite la obtención de detalles. En su lugar, para buscar la configuración que está en error o conflicto, puede usar los demás informes y vistas. Por ejemplo, para encontrar más información sobre los dispositivos que podrían haber notificado un error o conflicto, puede abrir el icono Estado de asignación de dispositivos y, para ese informe, limitar el estado del informe para mostrar solo el estado que está investigando. A continuación, con ese informe puede continuar profundizando para ejecutar los detalles pertinentes.

Propiedades

Debajo de la sección de informes del panel, puede encontrar la vista Propiedades de perfiles. En Propiedades, puede hacer lo siguiente:

  • Vea la configuración de cada página del perfil.
  • Edite la configuración de perfiles, como el nombre descriptivo que proporcionó al perfil, sus asignaciones y cualquiera de los valores de perfil.

Vea la configuración de líneas base, donde puede editar para realizar cambios.

Supervisión de perfiles para versiones de línea base publicadas antes de mayo de 2023

Sugerencia

La siguiente información se aplica a las versiones de perfil publicadas antes de mayo de 2023. Para ver información sobre las versiones de perfil publicadas después de mayo de 2023, consulte Supervisión de la línea base y los dispositivos, anteriormente en este artículo.

Al supervisar una línea base, obtiene conclusiones sobre el estado de seguridad de los dispositivos según las recomendaciones de Microsoft. Para ver estas conclusiones, inicie sesión en el Centro de administración de Microsoft Intune, vaya aLíneas base de seguridad de punto > de conexióny seleccione un tipo de línea de base de seguridad como línea base de seguridad para Windows 10 y versiones posteriores. Después, en el panel Versiones, seleccione la instancia del perfil para el que quiera ver los detalles y abrir su panel Información general.

En el panel Información general se muestran dos vistas de estado de la línea de base seleccionada:

  • Gráfico Posición de línea de base de seguridad: en este gráfico se muestran detalles generales sobre el estado del dispositivo para la versión de línea de base. Los detalles disponibles son los siguientes:

    • Coincide con la línea de base predeterminada: este estado identifica cuándo la configuración de un dispositivo coincide con la configuración de línea de base predeterminada (sin modificar).
    • Coincide con la configuración personalizada: este estado identifica cuándo la configuración de un dispositivo coincide con la versión personalizada de la línea de base que haya implementado.
    • Configuración errónea: este estado es una acumulación que representa tres condiciones de estado de un dispositivo: Error, Pendiente o Conflicto. Estos estados independientes están disponibles desde otras vistas, como Posición de línea de base de seguridad por categoría, una vista de lista que aparece debajo de este gráfico.
    • No aplicable: este estado representa un dispositivo que no puede recibir la directiva. Por ejemplo, la directiva actualiza una configuración específica a la versión más reciente de Windows, pero el dispositivo ejecuta una versión anterior que no es compatible con esa configuración.
  • Posición de línea de base de seguridad por categoría: una vista de lista en la que se muestra el estado del dispositivo por categoría. En esta vista de lista, están disponibles los mismos detalles que en el gráfico Posición de línea de base de seguridad. Sin embargo, en lugar de Mal configurado hay tres columnas para los estados de estado que componen Mal configurado:

    • Error: no se pudo aplicar la directiva. El mensaje se suele mostrar con un código de error vinculado a una explicación.
    • Conflicto: se aplican dos configuraciones al mismo dispositivo e Intune no puede solucionar el conflicto. Un administrador debe encargarse de revisar.
    • Pendiente: el dispositivo no se ha registrado aún con Intune para recibir la directiva.

Al profundizar en las dos vistas anteriores, puede ver los detalles siguientes para el estado de configuración y las vistas de lista de estado del dispositivo:

  • Correcto: se ha aplicado la directiva.
  • Error: no se ha podido aplicar la directiva. El mensaje se suele mostrar con un código de error vinculado a una explicación.
  • Conflicto: se aplican dos configuraciones al mismo dispositivo e Intune no puede solucionar el conflicto. Un administrador debe encargarse de revisar.
  • Pendiente: el dispositivo no se ha registrado aún con Intune para recibir la directiva.
  • No aplicable: el dispositivo no puede recibir la directiva. Por ejemplo, la directiva actualiza una configuración específica a la versión más reciente de Windows, pero el dispositivo ejecuta una versión anterior que no es compatible con esa configuración.

En la vista Versión, puede seleccionar Estado del dispositivo. En la vista Estado del dispositivo se muestra una lista de los dispositivos que reciben esta línea de base e incluye los detalles siguientes:

  • NOMBRE PRINCIPAL DE USUARIO: el perfil de usuario asociado a la línea base en el dispositivo.
  • POSICIÓN DE LÍNEA DE BASE DE SEGURIDAD: en esta columna se muestra el estado del dispositivo:
    • Correcto: se ha aplicado la directiva.
    • Error: no se ha podido aplicar la directiva. El mensaje se suele mostrar con un código de error vinculado a una explicación.
    • Conflicto: se aplican dos configuraciones al mismo dispositivo e Intune no puede solucionar el conflicto. Un administrador debe encargarse de revisar.
    • Pendiente: el dispositivo no se ha registrado aún con Intune para recibir la directiva.
    • No aplicable: el dispositivo no puede recibir la directiva. Por ejemplo, la directiva actualiza una configuración específica de la versión más reciente de Windows, pero el dispositivo ejecuta una versión anterior que no es compatible con esa configuración
  • Última SINCRONIZACIÓN: la última vez que el dispositivo ha recibido el estado.

Sugerencia

Los datos tardan hasta 24 horas en aparecer después de asignar una línea base en primer lugar. Los cambios posteriores tardan hasta seis horas en aparecer.

Supervisión del perfil

La supervisión del perfil proporciona conclusiones sobre el estado de implementación de los dispositivos, pero no sobre el de la seguridad según las recomendaciones de las líneas base.

  1. En Intune, seleccioneLíneas base de seguridad de punto> de conexión, seleccione un tipo de línea de base de seguridad como línea base de seguridad para Windows 10 y, posteriormente>,seleccione una instancia de dicha línea base>Propiedades.

  2. En Propiedades de la línea base, expanda Configuración para explorar en profundidad y ver todas las categorías de configuración y la configuración individual de la línea base, incluida su configuración para esta instancia de la línea base.

    Imagen de pantalla en la que se muestra la vista de configuración

  3. Use las opciones de Monitor para ver el estado de implementación del perfil en dispositivos individuales, el estado de cada usuario y el estado de cada valor de configuración en la línea de base:

    Visualización de diferentes opciones de supervisión para un perfil de las líneas de base de seguridad

Resolución de conflictos de líneas de base de seguridad

Para ayudar a resolver un conflicto o error en la configuración de los perfiles de línea de base de seguridad o las directivas de seguridad de los puntos de conexión, vea el Informe de configuración del dispositivo de un dispositivo. Esta vista de informe le ayuda a identificar dónde sus perfiles y directivas contienen configuraciones que conducen a un estado de Conflicto o Error.

También puede obtener información sobre la configuración en conflicto o error a través de dos rutas de acceso desde el Centro de administración de Microsoft Intune:

  • Seguridad >del punto de conexiónLíneas base de> seguridadseleccionar un tipo de línea base>Perfiles>seleccionar una instancia de línea base>Estado del dispositivo.
  • Dispositivos>Todos los dispositivos>seleccionar un dispositivo>Configuración del dispositivo>seleccionar una directiva>seleccionar una configuración de la lista de opciones que muestra un conflicto o error.

Profundización para identificar y resolver conflictos

  1. Al ver el informe de configuración de dispositivo para un dispositivo, seleccione una directiva para profundizar en el problema que da lugar a un conflicto o a un estado de error.

    Al profundizar, Intune muestra una lista de opciones de configuración para esa directiva que incluye cada configuración que no se estableció como No configuradoy el estado de esa configuración.

  2. Para ver detalles sobre una configuración específica, selecciónela para abrir el panel Detalles de configuración. En este panel puede ver:

    • Configuración: nombre de la configuración.
    • Estado: estado de la configuración en el dispositivo.
    • Perfiles de origen: lista de cada perfil en conflicto que establece la misma configuración pero con un valor diferente.
  3. Para volver a configurar los perfiles en conflicto, seleccione un registro de la lista de Perfiles de origen para abrir información general para ese perfil. Seleccione los perfiles Propiedades y, a continuación, puede revisar y editar la configuración de ese perfil para quitar el conflicto.

Vista de la configuración de los perfiles que se aplican a un dispositivo

Puede seleccionar un perfil para una línea base de seguridad y explorar en profundidad para ver una lista de la configuración de ese perfil a medida que se aplican a un dispositivo individual. Para profundizar en:

  • Seguridad del punto de> conexiónTodos los dispositivos>seleccionar un dispositivo> Configuración del > dispositivo seleccione una instancia de directiva de línea base.

Después de profundizar, el centro de administración muestra una lista de la configuración de ese perfil y el estado de la configuración. Los estados de estado incluyen:

  • Correcto: la configuración del dispositivo coincide con el valor configurado en el perfil. Este es el valor predeterminado de las líneas base y el recomendado, o un valor personalizado que ha especificado un administrador cuando se ha configurado el perfil.
  • Conflicto: la configuración está en conflicto con otra directiva, tiene un error o está pendiente de una actualización.
  • Error: no se pudo aplicar la configuración.

Solución de problemas utilizando el estado por valor de configuración

Ha implementado una línea de base de seguridad, pero el estado de implementación muestra un error. Los pasos siguientes ofrecen algunas instrucciones sobre cómo solucionar el error.

  1. En Intune, seleccione Líneasbase> de seguridad de punto> de conexión y seleccione perfiles de línea base.>

  2. Seleccione un perfil > en Supervisar>estado por configuración.

  3. La tabla muestra todas las configuraciones y el estado de cada valor de configuración. Seleccione la columna Error o la columna Conflicto para ver el valor de configuración que causa el error.

Información de diagnóstico MDM

Ahora conoce el valor de configuración problemático. El siguiente paso es averiguar por qué este valor de configuración está causando un error o conflicto.

En dispositivos con Windows 10/11, hay un informe de detalles de diagnóstico integrado de MDM. Este informe incluye valores predeterminados, valores actuales, enumera la directiva, muestra si se implementa en el dispositivo o el usuario, etc. Use este informe para ayudar a determinar por qué el valor de configuración está causando un conflicto o error.

  1. En el dispositivo, vaya a Configuración>Cuentas>Obtener acceso a trabajo o escuela.

  2. Seleccione la cuenta InfoAdvanced Diagnostic Report>Create report (Crear informe de diagnóstico avanzado de información> de la cuenta>).

  3. Elija Exportar y abra el archivo generado.

  4. En el informe, busque el error o el valor de configuración conflictivo en las diferentes secciones del informe.

Por ejemplo, busque en las secciones Enrolled configuration sources and target resources (Recursos de destino y orígenes de configuración inscritos) o Unmanaged policies (Directivas no administradas). Es posible que tenga una idea de por qué está causando un error o un conflicto.

En Diagnose MDM failures in Windows 10 (Diagnósticos de errores MDM en Windows 10) se proporciona más información sobre este informe integrado.

Sugerencia

  • Algunas configuraciones también enumeran el GUID. Puede buscar este GUID en el registro local (regedit) para cualquier valor establecido.
  • Los registros del Visor de eventos también pueden incluir alguna información de error sobre el valor de configuración problemático (Visor de eventos>Registros de aplicaciones y servicios>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin).

Siguientes pasos