Configuración de la asociación de inquilinos para admitir directivas de seguridad de puntos de conexión desde Intune
Cuando use el escenario de asociación de inquilinos de Configuration Manager, puede implementar directivas de seguridad de punto de conexión desde Intune en los dispositivos que administra con Configuration Manager. Para usar este escenario, primero debe configurar la asociación de inquilinos para Configuration Manager y habilitar colecciones de dispositivos de Configuration Manager para su uso con Intune. Una vez habilitadas las colecciones para su uso, use el Centro de administración de Microsoft Intune para crear e implementar directivas.
Requisitos para usar la directiva de Intune para la asociación de inquilinos
Para admitir el uso de directivas de seguridad de puntos de conexión de Intune con dispositivos de Configuration Manager, el entorno de Configuration Manager requiere las siguientes configuraciones. En este artículo se proporcionan instrucciones de configuración:
Requisitos generales para la asociación de inquilinos
Configuración de la asociación de inquilinos : con el escenario de asociación de inquilinos , sincroniza los dispositivos de Configuration Manager con el Centro de administración de Microsoft Intune. A continuación, puede usar el Centro de administración para implementar directivas admitidas en esas colecciones.
La asociación de inquilinos suele configurarse con la administración conjunta, pero puede configurar la asociación de inquilinos por sí sola.
Sincronizar colecciones y dispositivos de Configuration Manager : después de configurar la asociación de inquilinos, puede seleccionar los dispositivos de Configuration Manager para sincronizarlos con el Centro de administración de Microsoft Intune. También puede volver más adelante para modificar los dispositivos que sincroniza.
Después de seleccionar los dispositivos que se van a sincronizar, debe habilitar las recopilaciones para su uso con directivas de seguridad de puntos de conexión de Intune. Las directivas admitidas para dispositivos de Configuration Manager solo se pueden asignar a las recopilaciones que haya habilitado.
Permisos para Microsoft Entra ID : para completar la configuración de la asociación de inquilinos, la cuenta debe tener permisos de administrador global para la suscripción de Azure.
Inquilino de Microsoft Defender para punto de conexión : el inquilino de Microsoft Defender para punto de conexión debe integrarse con el inquilino de Microsoft Intune (suscripción al plan 1 de Microsoft Intune). Consulte Uso de Microsoft Defender para punto de conexión en la documentación de Intune.
Requisitos de versión de Configuration Manager para directivas de seguridad de puntos de conexión de Intune
Antivirus
Administrar la configuración del antivirus para dispositivos de Configuration Manager, cuando se usa la asociación de inquilinos.
Ruta de acceso de directiva:
- Antivirus de seguridad >> de puntos de conexión Windows (ConfigMgr)
Perfiles:
- Antivirus de Microsoft Defender (versión preliminar)
- Experiencia de seguridad de Windows (versión preliminar)
Versión necesaria de Configuration Manager:
- Versión 2006 o posterior de la rama actual de Configuration Manager
Plataformas de dispositivos de Configuration Manager compatibles:
- Windows 8.1 (x86, x64), a partir de la versión 2010 de Configuration Manager
- Windows 10 y versiones posteriores (x86, x64, ARM64)
- Windows 11 y versiones posteriores (x86, x64, ARM64)
- Windows Server 2012 R2 (x64), a partir de la versión 2010 de Configuration Manager
- Windows Server 2016 y versiones posteriores (x64)
Importante
El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.
Si actualmente usa Windows 8.1, vaya a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos con cliente de Windows 10/11.
Detección y respuesta de puntos de conexión
Para administrar la configuración de la directiva de respuesta y de detección de puntos de conexión para dispositivos de Configuration Manager cuando se usa la asociación de inquilinos.
Plataforma: Windows (ConfigMgr)
Perfil: detección y respuesta del punto de conexión (ConfigMgr)
Versión necesaria de Configuration Manager:
- Versión 2002 o posterior de la rama actual de Configuration Manager, con la revisión de Configuration Manager 2002 (KB4563473)
- Versión preliminar técnica de Configuration Manager 2003 o posterior
Plataformas de dispositivos de Configuration Manager compatibles:
- Windows 8.1 (x86, x64) a partir de la versión 2010 de Configuration Manager
- Windows 10 y versiones posteriores (x86, x64, ARM64)
- Windows 11 y versiones posteriores (x86, x64, ARM64)
- Windows Server 2012 R2 (x64) a partir de la versión 2010 de Configuration Manager
- Windows Server 2016 y versiones posteriores(x64)
Importante
El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.
Si actualmente usa Windows 8.1, vaya a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos con cliente de Windows 10/11.
Firewall
La compatibilidad con dispositivos administrados por Configuration Manager está en versión preliminar.
Administre la configuración de directivas de firewall para dispositivos de Configuration Manager cuando use la asociación de inquilinos.
Ruta de acceso de directiva:
- Firewall de seguridad > de puntos de conexión
Perfiles:
- Firewall de Windows (ConfigurationMgr)
Versión necesaria de Configuration Manager:
- Versión 2006 o posterior de la rama actual de Configuration Manager, con la revisión de Configuration Manager 2006 (KB4578605)
Plataformas de dispositivos de Configuration Manager compatibles:
- Windows 11 y versiones posteriores (x86, x64, ARM64)
- Windows 10 y versiones posteriores (x86, x64, ARM64)
Configuración de Configuration Manager para admitir directivas de Intune
Antes de implementar directivas de Intune en dispositivos de Configuration Manager, complete las configuraciones detalladas en las secciones siguientes. Estas configuraciones incorporan los dispositivos de Configuration Manager con Microsoft Defender para punto de conexión y les permiten trabajar con las directivas de Intune.
Las siguientes tareas se completan en la consola de Configuration Manager. Si no está familiarizado con Configuration Manager, trabaje con un administrador de Configuration Manager para completar estas tareas.
- Confirmación del entorno de Configuration Manager
- Configuración de dispositivos de asociación y sincronización de inquilinos
- Selección de dispositivos para sincronizar
- Habilitación de colecciones para directivas de seguridad de puntos de conexión
Sugerencia
Para más información sobre el uso de Microsoft Defender para punto de conexión con Configuration Manager, consulte los siguientes artículos en el contenido de Configuration Manager:
Tarea 1: Confirmar el entorno de Configuration Manager
Las directivas de Intune para dispositivos de Configuration Manager requieren diferentes versiones mínimas de Configuration Manager, en función de cuándo se publicó la directiva por primera vez. Revise los requisitos de versión de Configuration Manager para las directivas de seguridad de puntos de conexión de Intune que se encontraron anteriormente en este artículo para asegurarse de que el entorno admite las directivas que planea usar. Una versión más reciente de Configuration Manager admite directivas que requieren una versión anterior.
Cuando sea necesaria una revisión de Configuration Manager, puede encontrar la revisión como una actualización en la consola de Configuration Manager. Para obtener más información, consulte Instalación de actualizaciones en la consola en la documentación de Configuration Manager.
Después de instalar las actualizaciones necesarias, vuelva aquí para continuar configurando el entorno para admitir directivas de seguridad de puntos de conexión desde el Centro de administración de Microsoft Intune.
Tarea 2: Configuración de la asociación de inquilinos y sincronización de dispositivos
Con la asociación de inquilinos, se especifican colecciones de dispositivos de la implementación de Configuration Manager para sincronizarse con el Centro de administración de Microsoft Intune. Después de sincronizar las recopilaciones, use el Centro de administración para ver información sobre esos dispositivos e implementar la directiva de seguridad de puntos de conexión desde Intune en ellos.
Para obtener más información sobre el escenario de asociación de inquilinos, consulte Habilitación de la asociación de inquilinos en el contenido de Configuration Manager.
Habilitación de la asociación de inquilinos cuando no se ha habilitado la administración conjunta
Sugerencia
Use el Asistente para configuración de administración conjunta en la consola de Configuration Manager para habilitar la asociación de inquilinos, pero no es necesario habilitar la administración conjunta.
Si tiene previsto habilitar la administración conjunta, familiarícese con la administración conjunta, sus requisitos previos y cómo administrar las cargas de trabajo antes de continuar. Consulte ¿Qué es la administración conjunta? en la documentación de Configuration Manager.
En la consola de administración de Configuration Manager, vaya a Administración>Información general sobre> laadministración conjunta deCloud Services>.
En la cinta de opciones, seleccione Configurar la administración conjunta para abrir el asistente.
En la página Incorporación de inquilinos,, seleccione AzurePublicCloud para su entorno. No se admite la nube de Azure Government.
Seleccione Iniciar sesión. Use su cuenta de Administrador global para iniciar sesión.
Asegúrese de que la opción Cargar en el Centro de administración de Microsoft Intune está seleccionada en la página Incorporación de inquilinos .
Quite la comprobación de Habilitar la inscripción automática de cliente para la administración conjunta.
Cuando se selecciona esta opción, el Asistente presenta páginas adicionales para completar la configuración de la administración conjunta. Para obtener más información, consulte Habilitación de la administración conjunta en el contenido de Configuration Manager.
Seleccione Siguiente y, a continuación , Sí para aceptar la notificación Crear aplicación de Microsoft Entra . Esta acción aprovisiona una entidad de servicio y crea un registro de aplicación de Microsoft Entra para facilitar la sincronización de colecciones con el Centro de administración de Microsoft Intune.
En la página Configurar carga , configure qué colecciones de dispositivos desea sincronizar. Puede limitar la configuración a colecciones de dispositivos o usar la configuración de carga de dispositivos recomendada para Todos mis dispositivos administrados por Microsoft Endpoint Configuration Manager.
Sugerencia
Puede omitir la selección de colecciones ahora y, más adelante, usar la información de la siguiente tarea, Tarea 3, para configurar qué colecciones de dispositivos se sincronizarán con el Centro de administración de Microsoft Intune.
Seleccione Resumen para revisar la selección y, a continuación, seleccione Siguiente.
Cuando se complete el asistente, seleccione Cerrar.
La asociación de inquilinos ya está configurada y los dispositivos seleccionados se sincronizan con el Centro de administración de Microsoft Intune.
Habilitación de la asociación de inquilinos cuando ya se usa la administración conjunta
En la consola de administración de Configuration Manager, vaya a Administración>Información general sobre> laadministración conjunta deCloud Services>.
Haga clic con el botón derecho en la configuración de administración conjunta y seleccione Propiedades.
En la pestaña Configurar carga , seleccione Cargar en el Centro de administración de Microsoft Intune y, a continuación, Aplicar.
La configuración predeterminada para la carga de dispositivos esTodos mis dispositivos administrados por Microsoft Endpoint Configuration Manager. También puede optar por limitar la configuración a una o varias recopilaciones de dispositivos.
Inicie sesión con la cuenta de administrador global cuando se le pida.
Seleccione Sí para aceptar la notificación Crear aplicación de Microsoft Entra . Esta acción aprovisiona una entidad de servicio y crea un registro de aplicación Microsoft Entra para facilitar la sincronización.
Seleccione Aceptar para salir de las propiedades de administración conjunta si ha terminado de realizar cambios. De lo contrario, vaya a la tarea 3 para habilitar selectivamente la carga de dispositivos en el Centro de administración de Microsoft Intune.
La asociación de inquilinos ya está configurada y los dispositivos seleccionados se sincronizan con el Centro de administración de Microsoft Intune.
Tarea 3: Seleccionar dispositivos para sincronizar
Cuando se configura la asociación de inquilinos, puede seleccionar los dispositivos que desea sincronizar. Si aún no ha sincronizado dispositivos o necesita volver a configurar los que sincroniza, puede editar las propiedades de la administración conjunta en la consola de Configuration Manager para hacerlo.
Selección de dispositivos que se van a cargar
En la consola de administración de Configuration Manager, vaya a Administración>Información general sobre> laadministración conjunta deCloud Services>.
Haga clic con el botón derecho en la configuración de administración conjunta y seleccione Propiedades.
En la pestaña Configurar carga , seleccione Cargar en el Centro de administración de Microsoft Intune y, a continuación, Aplicar.
La configuración predeterminada para la carga de dispositivos esTodos mis dispositivos administrados por Microsoft Endpoint Configuration Manager. También puede optar por limitar la configuración a una o varias recopilaciones de dispositivos.
Tarea 4: Habilitar recopilaciones para directivas de seguridad de puntos de conexión
Después de configurar los dispositivos para que se sincronicen con el Centro de administración de Microsoft Intune, debe habilitar las recopilaciones para que funcionen con directivas de seguridad de puntos de conexión. Al habilitar colecciones de dispositivos para que funcionen con directivas de seguridad de puntos de conexión de Intune, las recopilaciones configuradas estarán disponibles para que estén destinadas a directivas de seguridad de puntos de conexión.
Habilitación de colecciones para su uso con directivas de seguridad de punto de conexión
Desde una consola de Configuration Manager conectada al sitio de nivel superior, haga clic con el botón derecho en una colección de dispositivos que sincronice con el Centro de administración de Microsoft Intune y seleccione Propiedades.
En la pestaña Sincronización en la nube, habilite la opción Hacer que esta colección esté disponible para asignar directivas de seguridad de punto de conexión desde el Centro de administración de Microsoft Intune.
- No puede seleccionar esta opción si la jerarquía de Configuration Manager no está asociada al inquilino.
- Las colecciones disponibles para esta opción están limitadas por el ámbito de recopilación seleccionado para la carga de asociación de inquilinos.
Seleccione Agregar y, a continuación, seleccione el grupo Microsoft Entra que desea sincronizar con Recopilar resultados de pertenencia.
Seleccione Aceptar para guardar la configuración.
Los dispositivos de esta colección ahora pueden incorporarse con Microsoft Defender para punto de conexión y admitir el uso de directivas de seguridad de puntos de conexión de Intune.
Mostrar el estado del conector
El conector de Configuration Manager proporciona detalles sobre la implementación de Configuration Manager. Desde el Centro de administración de Microsoft Intune, puede revisar los detalles sobre el conector de Configuration Manager, como la última hora de sincronización correcta y el estado de la conexión.
Para mostrar el estado del conector de Configuration Manager:
Inicie sesión en Microsoft Intune centro de administración.
Seleccione Administración de inquilinos>Conectores y tokens>Microsoft Endpoint Configuration Manager. Seleccione una jerarquía de Configuration Manager que ejecute la versión 2006 o posterior para mostrar información adicional al respecto.
Nota:
Cierta información no está disponible si la jerarquía ejecuta Configuration Manager versión 2006 o anterior.
Una vez que confirme que la conexión a Configuration Manager desde Microsoft Intune es Correcta, ha conectado correctamente el inquilino a Configuration Manager.
Ver detalles del dispositivo local
Puede ver los detalles del cliente de Configuration Manager, incluidas las recopilaciones, la pertenencia a grupos de límites y la información de cliente de un dispositivo específico en el Centro de administración de Microsoft Intune.
Ver los detalles del cliente en función del dispositivo
Siga estos pasos para ver los detalles del cliente para un dispositivo específico:
En un explorador, vaya al Centro de administración de Microsoft Intune.
Seleccione Dispositivos>Todos los dispositivos.
Los dispositivos que se han cargado mediante la asociación de inquilinos muestran ConfigMgr en la columna Administrado por .
Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.
Seleccione Detalles del cliente para ver más detalles.
Una vez cada hora, se actualizan los siguientes campos:
- Última solicitud de directiva
- Hora de la última activación
- Punto de administración
Seleccione Colecciones para enumerar las colecciones del cliente.
Las colecciones le ayudan a organizar los recursos en unidades administrables.
Ver una lista de dispositivos en función del usuario
Siga estos pasos para ver una lista de los dispositivos que pertenecen a un usuario:
En un explorador, vaya al Centro de administración de Microsoft Intune.
Seleccione Solución de problemas y soporte técnico>Solución de problemas>Seleccionar usuario.
Si ya tiene un usuario mostrado, elija Cambiar usuario para seleccionar otro usuario.
Busque o seleccione un usuario de la lista y, a continuación, haga clic en Seleccionar.
En la tabla Dispositivos se enumeran los dispositivos del Administrador de configuración asociados con el usuario.
Para obtener más información sobre cómo ver los detalles del cliente y la asociación de inquilinos, vea Asociación de inquilinos: Detalles del cliente de ConfigMgr en el centro de administración.
Visualización de datos de dispositivos locales
Desde el Centro de administración de Microsoft Intune, puede ver el inventario de hardware para los dispositivos de Configuration Manager cargados mediante el Explorador de recursos.
Para ver los datos del dispositivo desde el explorador de recursos:
En un explorador, vaya al Centro de administración de Microsoft Intune.
Seleccione Dispositivos>Todos los dispositivos.
Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.
Los dispositivos que se sincronizan a través de la asociación de inquilinos muestran ConfigMgr en la columna Administrado por . Los dispositivos también pueden mostrar administrados conjuntamente cuando se aplican Configuration Manager e Intune, y mostrar Intune cuando solo se aplica la administración de Intune.
Seleccione Explorador de recursos para ver el inventario de hardware.
Busque o seleccione una clase (un valor de dispositivo) para recuperar información del cliente.
El Explorador de recursos puede mostrar una vista histórica del inventario de dispositivos en el Centro de administración de Microsoft Intune. Al solucionar problemas, tener datos de inventario históricos puede proporcionar información valiosa sobre los cambios en el dispositivo.
En el Centro de administración de Microsoft Intune, seleccione Explorador de recursos si aún no lo tiene seleccionado.
Seleccione una clase (un valor de dispositivo).
Escriba una fecha personalizada en el selector de fecha y hora para obtener los datos históricos del inventario.
Cierre el Explorador de recursos y vuelva a la información del dispositivo seleccionando el
X
icono en la parte superior derecha del Explorador de recursos.
Para obtener más información sobre la visualización de los datos del dispositivo para los dispositivos de asociación de inquilinos, consulte Asociación de inquilinos: Explorador de recursos en el centro de administración.
Visualización de la administración de aplicaciones locales
Desde el Centro de administración de Microsoft Intune, puede iniciar una instalación de aplicación en tiempo real para un dispositivo conectado al inquilino. Puede implementar una aplicación en un dispositivo o usuario. Además, puede reparar, reevaluar, reinstalar o desinstalar una aplicación.
Siga estos pasos para instalar una aplicación en un dispositivo local:
En un explorador, vaya al Centro de administración de Microsoft Intune.
Seleccione Dispositivos>Todos los dispositivos.
Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.
Como se indicó anteriormente, los dispositivos que se sincronizan a través de la asociación de inquilinos muestran ConfigMgr en la columna Administrado por . Los dispositivos se muestran administrados conjuntamente cuando se aplican Configuration Manager e Intune, y muestran Intune cuando solo se aplica la administración de Intune.
Seleccione Aplicaciones para ver una lista de las aplicaciones aplicables.
Seleccione una aplicación que no se haya instalado y, a continuación, seleccione Instalar.
Para obtener más información sobre las aplicaciones y la asociación de inquilinos, consulte Asociación de inquilinos: Instalar una aplicación desde el centro de administración.
Visualización de scripts locales
Puede ejecutar scripts de PowerShell en tiempo real desde la nube en un dispositivo administrado por el Administrador de configuración individual. También puede permitir que otros usuarios, como Helpdesk, ejecuten scripts de PowerShell. Esto proporciona todas las ventajas de los scripts de PowerShell definidos y aprobados por el administrador de Configuration Manager para usarlos en este nuevo entorno.
En un explorador, vaya al Centro de administración de Microsoft Intune.
Seleccione Dispositivos>Todos los dispositivos.
Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.
Como se indicó anteriormente, los dispositivos que se sincronizan a través de la asociación de inquilinos muestran ConfigMgr en la columna Administrado por . Los dispositivos se muestran administrados conjuntamente cuando se aplican Configuration Manager e Intune, y muestran Intune cuando solo se aplica la administración de Intune.
Seleccione Scripts para ver una lista de los scripts disponibles.
Se muestran los scripts que se ejecutaron recientemente que tienen como destino directamente el dispositivo. La lista incluye scripts que se ejecutan desde el centro de administración, el SDK o la consola del Administrador de configuración. Los scripts iniciados desde la consola de Configuration Manager con colecciones que contienen el dispositivo no se muestran, a menos que los scripts también se hayan iniciado específicamente para el dispositivo único.
Para obtener más información sobre la ejecución de scripts en los dispositivos conectados al inquilino, consulte Asociación de inquilinos: Ejecutar scripts desde el centro de administración.
Visualización de la escala de tiempo de eventos del dispositivo local
Cuando Configuration Manager sincroniza un dispositivo con Microsoft Intune mediante la asociación de inquilinos, puede ver una escala de tiempo de eventos para esos dispositivos en el Centro de administración de Microsoft Intune. Esta escala de tiempo muestra la actividad pasada en el dispositivo que puede ayudarte a solucionar problemas.
Una vez al día, Configuration Manager envía los eventos de dispositivo local al Centro de administración de Microsoft Intune. Solo los eventos recopilados después de que el cliente reciba la directiva Habilitar el análisis del punto de conexión son visibles en el centro de administración. Puede generar eventos de prueba fácilmente al instalar una aplicación o una actualización desde el Administrador de configuración o reiniciando el dispositivo. Los eventos se conservan durante 30 días.
Nota:
Como requisito previo para ver la escala de tiempo desde el Centro de administración de Microsoft Intune, debe establecer Habilitar recopilación de datos de Análisis de puntos de conexión en Sí en Configuration Manager. Para obtener más información sobre la implementación de la escala de tiempo del dispositivo, consulte Asociación de inquilinos: Escala de tiempo del dispositivo en el centro de administración.
Para ver la escala de tiempo del evento del dispositivo:
En un explorador, vaya al Centro de administración de Microsoft Intune.
Seleccione Dispositivos>Todos los dispositivos.
Seleccione un dispositivo que se sincronice desde el Administrador de configuración a través de la asociación de inquilinos.
Como se indicó anteriormente, los dispositivos que se sincronizan a través de la asociación de inquilinos muestran ConfigMgr en la columna Administrado por . Los dispositivos se muestran administrados conjuntamente cuando se aplican Configuration Manager e Intune, y muestran Intune cuando solo se aplica la administración de Intune.
Seleccione Escala de tiempo. De forma predeterminada, se muestran los eventos de las últimas 24 horas.
- Seleccione Sincronizar para capturar los datos recientes generados en el cliente. El dispositivo envía eventos una vez al día al centro de administración de forma predeterminada.
- Use el botón Filtro para cambiar el Intervalo de tiempo, los Niveles del evento y el Nombre de proveedor.
- Si selecciona un evento, puede ver el mensaje detallado para él.
- Seleccione Actualizar para volver a cargar la página y ver los eventos recién recopilados.
Para obtener más información sobre cómo ver los eventos de un dispositivo para los dispositivos conectados a inquilinos, consulte Asociación de inquilinos: Escala de tiempo del dispositivo en el centro de administración.
Pasos siguientes
- Configure las directivas de seguridad de puntos de conexión para ladetección y respuesta de antivirus, firewall y punto de conexión.
- Obtenga más información sobre Microsoft Defender para punto de conexión.