Tutorial: Creación de una directiva de catálogo de configuración de Intune y comparación con ADMX local

La directiva de grupo y las plantillas ADMX incluyen la configuración que puede configurar en dispositivos Windows. Estos valores los usan y administran los proveedores de Mobile Administración de dispositivos (MDM), como Microsoft Intune, para configurar características y opciones en dispositivos Windows. Por ejemplo, puede activar Ideas de diseño en PowerPoint, establecer una página principal en Microsoft Edge y mucho más.

Esta configuración se integra en el catálogo de configuración de Microsoft Intune. En un perfil de catálogo de configuración, configura los valores que desea incluir y, a continuación, asigna este perfil a los dispositivos.

En este tutorial:

Al final de este laboratorio, puede usar Intune para administrar los usuarios e implementar directivas de catálogo de configuración.

Esta característica se aplica a:

• Windows
• Versión 77 de Microsoft Edge y versiones posteriores

Requisitos previos

• Una suscripción Microsoft 365 E3 o E5, que incluye Intune y Microsoft Entra ID P1 o P2. Si no tiene una suscripción A3 o E5, pruébelo de forma gratuita.

  Para obtener más información sobre lo que obtiene con las distintas licencias de Microsoft 365, vaya a Transformación de su empresa con Microsoft 365.

• Microsoft Intune se configura como la entidad de MDM Intune. Para obtener más información, vaya a Establecer la entidad de administración de dispositivos móviles.

  

• En un controlador de dominio Active Directory local (DC):

  1. Copie las siguientes plantillas de Office y Microsoft Edge en el Almacén central (carpeta sysvol):

     • Plantillas administrativas de Office
     • Archivo de directiva de Microsoft Edge

  2. Cree una directiva de grupo para insertar estas plantillas en un equipo administrador de Windows Enterprise en el mismo dominio que el controlador de dominio. En este tutorial:

     • La directiva de grupo que hemos creado con estas plantillas se denomina OfficeandEdge. Verá este nombre en las imágenes.
     • El equipo administrador de Windows Enterprise que usamos se denomina equipo Administración.

     En la mayoría de las organizaciones, un administrador de dominio tiene dos cuentas:

     • Una cuenta de trabajo de dominio típica
     • Una cuenta de administrador de dominio diferente que solo se usa para tareas de administrador de dominio, como la directiva de grupo.

     El propósito de esta Administración equipo es que los administradores inicien sesión con su cuenta de administrador de dominio y las herramientas de acceso diseñadas para administrar la directiva de grupo.

• En este equipo Administración:

  • Inicie sesión con una cuenta de administrador de dominio.

  • Agregue RSAT: herramientas de administración de directiva de grupo:

    1. Abra la aplicación >ConfiguraciónSistema>Agregar una característica> opcionalVer características.

    2. Seleccione RSAT: agregar herramientas> de administración de directiva de grupo.

       Espere mientras Windows agrega la característica. Cuando se completa, finalmente se muestra en la aplicación Herramientas administrativas de Windows .

       

  • Asegúrese de que tiene acceso a Internet y derechos de administrador para la suscripción de Microsoft 365, que incluye el centro de administración de Intune.

Abra el centro de administración de Intune

1. Abra un explorador web basado en Chromium, como Microsoft Edge.

2. Vaya al centro de administración de Microsoft Intune. Inicie sesión con la siguiente cuenta:

   Usuario: escriba la cuenta de administrador de su suscripción de inquilino de Microsoft 365. Contraseña: escriba su contraseña.

El centro de administración de Intune se centra en la administración de dispositivos e incluye servicios de Azure, como Microsoft Entra ID. Es posible que no vea la personalización de marca Microsoft Entra ID y Azure, pero las usa.

También puede abrir el centro de administración de Intune desde el Centro de administración de Microsoft 365:

1. Ve a https://admin.microsoft.com.

2. Inicie sesión con la cuenta de administrador de su suscripción de inquilino de Microsoft 365.

3. Seleccione Mostrar todos>Administración centros>Microsoft Intune. Se abre el centro de administración de Intune.

   

Crear grupos y agregar usuarios

Las directivas locales se aplican en el orden LSDOU: local, sitio, dominio y unidad organizativa (OU). En esta jerarquía, las directivas de unidad organizativa sobrescriben las directivas locales, las directivas de dominio sobrescriben las directivas de sitio, etc.

En Intune, las directivas se aplican a los usuarios y a los grupos que se crean. No existe ninguna jerarquía. Por ejemplo:

• Si dos directivas actualizan el mismo valor, este se muestra como un conflicto.
• Si hay dos directivas de cumplimiento en conflicto, se aplica la directiva más restrictiva.
• Si hay dos perfiles de configuración en conflicto, no se aplica la configuración.

Para obtener más información, vaya a Preguntas comunes, problemas y soluciones con directivas y perfiles de dispositivo.

En estos pasos siguientes, creará grupos de seguridad y agregará usuarios a estos grupos. Puede agregar un usuario a varios grupos. Por ejemplo, es normal que un usuario tenga varios dispositivos, como un Surface Pro para el trabajo y un dispositivo móvil Android para personal. Además, es normal que una persona acceda a los recursos de la organización desde estos varios dispositivos.

1. En el centro de administración de Intune, seleccione Grupos>Nuevo grupo.

2. Escriba los valores siguientes:

   • Tipo de grupo: seleccione Seguridad.
   • Nombre del grupo: escriba Todos los dispositivos windows student.
   • Tipo de pertenencia: seleccione Asignado.

3. Seleccione Miembros y agregue algunos dispositivos.

   Agregar dispositivos es opcional. El objetivo es practicar la creación de grupos y saber cómo agregar dispositivos. Si usa este tutorial en un entorno de producción, tenga en cuenta lo que está haciendo.

4. Seleccionar>Cree para guardar los cambios.

   ¿No ves tu grupo? Seleccione Actualizar.

5. Seleccione Nuevo grupo y escriba la siguiente configuración:

   • Tipo de grupo: seleccione Seguridad.

   • Nombre del grupo: escriba Todos los dispositivos Windows.

   • Tipo de pertenencia: seleccione Dispositivo dinámico.

   • Miembros del dispositivo dinámico: seleccione Agregar consulta dinámica y configure la consulta:

     • Propiedad: seleccione deviceOSType.
     • Operador: seleccione Igual.
     • Valor: escriba Windows.

     1. Seleccione Agregar expresión. La expresión se muestra en la sintaxis rule:

        

        Cuando los usuarios o dispositivos cumplen los criterios especificados, se agregan automáticamente a los grupos dinámicos. En este ejemplo, los dispositivos se agregan automáticamente a este grupo cuando el sistema operativo es Windows. Si usa este tutorial en un entorno de producción, tenga cuidado. El objetivo es practicar la creación de grupos dinámicos.

     2. Guardar>Cree para guardar los cambios.

6. Cree el grupo Todos los profesores con la siguiente configuración:

   • Tipo de grupo: seleccione Seguridad.

   • Nombre del grupo: escriba Todos los profesores.

   • Tipo de pertenencia: seleccione Usuario dinámico.

   • Miembros de usuario dinámicos: seleccione Agregar consulta dinámica y configure la consulta:

     • Propiedad: seleccione departamento.

     • Operador: seleccione Igual.

     • Valor: escriba Profesores.

       1. Seleccione Agregar expresión. La expresión se muestra en la sintaxis rule.

          Cuando los usuarios o dispositivos cumplen los criterios especificados, se agregan automáticamente a los grupos dinámicos. En este ejemplo, los usuarios se agregan automáticamente a este grupo cuando su departamento es Profesores. Puede especificar el departamento y otras propiedades cuando se agreguen usuarios a su organización. Si usa este tutorial en un entorno de producción, tenga cuidado. El objetivo es practicar la creación de grupos dinámicos.

       2. Guardar>Cree para guardar los cambios.

Puntos de conversación

• Los grupos dinámicos son una característica de algunas licencias de Microsoft Entra ID. Si no tiene la licencia Microsoft Entra ID correcta, solo tiene licencia para crear grupos asignados. Para obtener más información sobre los grupos dinámicos, vaya a:

  • Descripción y administración del procesamiento dinámico de grupos en Microsoft Entra ID
  • Administración de reglas para grupos de pertenencia dinámica en Microsoft Entra ID

• La licencia de Microsoft Entra ID puede incluir otros servicios que se usan habitualmente al administrar aplicaciones y dispositivos, como la autenticación multifactor (MFA) y el acceso condicional.

• Muchos administradores preguntan cuándo usar grupos de usuarios y cuándo usar grupos de dispositivos. Para obtener algunas instrucciones, vaya a Grupos de usuarios frente a grupos de dispositivos.

• Recuerde que un usuario puede pertenecer a varios grupos. Tenga en cuenta algunos de los otros grupos dinámicos de usuarios y dispositivos que puede crear, como:

  • Todos los estudiantes
  • Todos los dispositivos Android
  • Todos los dispositivos iOS/iPadOS
  • Marketing
  • Recursos humanos
  • Todos los empleados de Charlotte
  • Todos los empleados de Redmond
  • Administradores de TI de la costa oeste
  • Administradores de TI de la costa este

Los usuarios y grupos creados también se ven en la Centro de administración de Microsoft 365 y Centro de administración Microsoft Entra. Puede crear y administrar grupos en todas estas áreas para la suscripción de inquilino. Si el objetivo es la administración de dispositivos, use el centro de administración de Microsoft Intune.

Revisión de la pertenencia a grupos

1. En el centro de administración de Intune, seleccione Usuarios>Todos los usuarios> y seleccione el nombre de cualquier usuario existente.
2. Revise parte de la información que puede agregar o cambiar. Por ejemplo, examine las propiedades que puede configurar, como el título del trabajo, el departamento, la ciudad, la ubicación de Office, etc. Puede usar estas propiedades en las consultas dinámicas al crear grupos dinámicos.
3. Seleccione Grupos para ver la pertenencia de este usuario. También puede quitar el usuario de un grupo.
4. Seleccione algunas de las otras opciones para ver más información y lo que puede hacer. Por ejemplo, examine la licencia asignada, los dispositivos del usuario y mucho más.

¿Qué acabo de hacer?

En el centro de administración de Intune, ha creado nuevos grupos de seguridad y ha agregado usuarios y dispositivos existentes a estos grupos. Usamos estos grupos en los pasos posteriores de este tutorial.

Crear una directiva de catálogo de configuración en Intune

En esta sección, se crea una directiva de catálogo de configuración en Intune, se examinan algunas opciones de configuración en administración de directiva de grupo locales y se compara la misma configuración en Intune. El objetivo es mostrar una configuración en la directiva de grupo y mostrar la misma configuración en Intune.

1. En el centro de administración de Intune, seleccione Dispositivos>Administrar dispositivos>Configuración>Crear>nueva directiva.

2. Escriba las propiedades siguientes:

   • Plataforma: seleccione Windows 10 y posteriores.
   • Tipo de perfil: seleccione Catálogo de configuración.

3. Seleccione Crear.

4. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para el perfil. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, escriba dispositivos windows student.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

5. Seleccione Siguiente.

6. En Opciones de configuración, seleccione Agregar configuración. Verá una lista de todas las configuraciones.

   

   También puede filtrar la configuración que se aplica a los dispositivos y la configuración que se aplican a los usuarios, y buscar la configuración:

   

7. En la búsqueda, escriba descargar. Todas las opciones de configuración de directiva con "download" en su nombre se filtran y se muestran en la lista:

   

8. Vaya a la categoría >Microsoft Edge y seleccione Configuración de SmartScreen. Observe que la configuración de directiva de SmartScreen con "download" en su nombre se filtra y se muestra:

   

Comparación de una directiva en directiva de grupo Management y Intune

En esta sección, se muestra una directiva en Intune y su directiva de coincidencia en directiva de grupo Editor de administración.

1. En el equipo Administración, abra la aplicación administración de directiva de grupo.

   Esta aplicación se instala con RSAT: herramientas de administración de directiva de grupo, que es una característica opcional que se agrega en Windows. Requisitos previos (en este artículo) enumera los pasos para instalarlo.

2. Expanda Dominios> y seleccione el dominio. Por ejemplo, seleccione contoso.net.

3. Haga clic con el botón derecho en OfficeandEdge policyEdit (Editar directiva > de OfficeandEdge). Se abre la aplicación Editor de administración de directiva de grupo.

   

   OfficeandEdge es una directiva de grupo que incluye las plantillas ADMX de Office y Microsoft Edge. Esta directiva se describe en requisitos previos (en este artículo).

4. ExpandaDirectivas> de configuración> del equipoPlantillas> administrativas Panel de control>Personalización. Observe la configuración disponible.

   

   Haga doble clic en Impedir la habilitación de la cámara de pantalla de bloqueo y vea las opciones disponibles:

   

5. En el centro de administración de Intune, vaya a la directiva de catálogo de configuración de dispositivos de alumnos de Windows.

6. Seleccione Configuración>Editar Agregar>configuración. Busque Personalización y seleccione la Administrative templates\Panel de control\Personalization categoría. Observe la configuración disponible:

   

   Esta ruta de acceso y la configuración disponible son similares a las que se ven en directiva de grupo Editor de administración. Si selecciona la opción Impedir la habilitación de la cámara de pantalla de bloqueo, verá opciones similares que están disponibles en directiva de grupo Editor de administración.

   

Comparar una directiva de usuario en directiva de grupo Management y Intune

1. En la directiva de catálogo de configuración de dispositivos windows student , seleccione Configuración>Editar Agregar>configuración. Busque inprivate browsing. Observe las opciones de configuración. La (User) configuración se aplica a las configuraciones de usuario. La otra configuración se aplica a las configuraciones de dispositivo.

   

2. En directiva de grupo Editor de administración, busque la configuración de usuario y dispositivo coincidente:

   • Dispositivo: expandaDirectivasde configuración> del > equipoPlantillas> administrativasComponentes> de WindowsPrivacidad> deInternet Explorer>Desactivar exploración inprivate.
   • Usuario: expandaDirectivas> de configuración> de usuarioPlantillas> administrativasComponentes> de WindowsPrivacidad> deInternet Explorer>Desactivar exploración de InPrivate.

   

¿Qué acabo de hacer?

Ha creado una directiva de catálogo de configuración en Intune. En esta directiva, hemos examinado algunas opciones de configuración y hemos examinado la misma configuración de ADMX en la administración de directiva de grupo local.

Creación de una directiva de catálogo de configuración de OneDrive

En esta sección, creará una directiva de catálogo de configuración de OneDrive en Intune para controlar algunas opciones de configuración. Estas configuraciones específicas se eligen porque las usan normalmente las organizaciones.

1. Cree otra directiva de Intune (Dispositivos>Administrar dispositivos>Configuración>Crear>nueva directiva).

2. Escriba las propiedades siguientes:

   • Plataforma: seleccione Windows 10 y posteriores.
   • Tipo de perfil: seleccione Catálogo de configuración.

3. Seleccione Crear.

4. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba directivas de OneDrive para todos los usuarios de Windows.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

5. Seleccione Siguiente.

6. En Opciones de configuración, seleccione Agregar configuración. En la lista de categorías, busque o vaya a OneDrive. Seleccione la siguiente configuración y, a continuación, cierre el selector de configuración:

   • Impedir que los usuarios sincronicen cuentas personales de OneDrive (usuario)
   • Registrar a usuarios silenciosamente en la aplicación de sincronización de OneDrive con sus credenciales de Windows
   • Usar Archivos a petición de OneDrive

7. Configure estas opciones:

   Configuración	Valor
   Impedir que los usuarios sincronicen cuentas personales de OneDrive (usuario)	Habilitado
   Iniciar silenciosamente la sesión de los usuarios en la aplicación de sincronización de OneDrive con sus credenciales de Windows	Habilitado
   Usar Archivos a petición de OneDrive	Habilitado

Su configuración tiene un aspecto similar a la siguiente configuración:

Para obtener más información sobre la configuración de cliente de OneDrive, vaya a Usar directiva de grupo para controlar Sincronización de OneDrive configuración de cliente.

Asignación de la directiva

1. En la directiva, seleccione Siguiente hasta que llegue a Asignaciones. Elija Agregar grupos:

2. Se muestra una lista de usuarios y grupos existentes. Seleccione el grupo Todos los dispositivos Windows que creó anteriormente >Seleccione.

   Si usa este tutorial en un entorno de producción, considere la posibilidad de agregar grupos vacíos. El objetivo es practicar la asignación de la directiva.

3. Seleccione Siguiente. En Revisar y crear, seleccione Crear para guardar los cambios.

En esta sección, ha creado algunas directivas de catálogo de configuración y las ha asignado a los grupos que ha creado.

Procedimientos recomendados de directiva

Al crear directivas y perfiles en Intune, hay algunas recomendaciones y procedimientos recomendados que se deben tener en cuenta. Para obtener más información, vaya a Procedimientos recomendados de directiva y perfil.

Limpie los recursos

Cuando ya no sea necesario, puede hacer lo siguiente:

• Elimine los grupos que ha creado:

  • Todos los dispositivos windows student
  • Todos los dispositivos Windows
  • Todos los profesores

• Elimine las directivas de catálogo de configuración que creó:

  • Dispositivos windows student
  • Directivas de OneDrive que se aplican a todos los usuarios de Windows

Resumen

En este tutorial, está más familiarizado con el centro de administración de Microsoft Intune, ha usado el generador de consultas para crear grupos dinámicos y ha creado directivas de catálogo de configuración en Intune para configurar diferentes opciones. También ha comparado el uso de plantillas de ADMX en el entorno local y en la nube con Intune.