Introducción al servicio de directivas en la nube para Microsoft 365

Nota:

Se ha cambiado el nombre de "Servicio de directivas en la nube de Office" a "Servicio de directivas en la nube para Microsoft 365". En la mayoría de los casos, simplemente nos referiremos a ella como Directiva en la nube.

El servicio de directivas en la nube para Microsoft 365 le permite aplicar la configuración de directivas para Aplicaciones Microsoft 365 para empresas en el dispositivo de un usuario, incluso si el dispositivo no está unido a un dominio o administrado de otro modo. Cuando un usuario inicia sesión en las Aplicaciones de Microsoft 365 para empresas en un dispositivo, la configuración de la Directiva se desplaza a ese dispositivo. La configuración de directivas está disponible para dispositivos que ejecutan Windows, macOS, iOS y Android, aunque no todas las configuraciones de directiva están disponibles para todos los sistemas operativos. También puede aplicar algunas configuraciones de directiva para Office para la Web y Loop, tanto para los usuarios invitados que han iniciado sesión como para los usuarios que acceden a documentos de forma anónima.

Cloud Policy forma parte del centro de administración de Aplicaciones Microsoft 365. El servicio incluye muchas de las mismas opciones de configuración de directiva basadas en el usuario que están disponibles en directiva de grupo. También puede usar la directiva en la nube directamente en el centro de administración de Microsoft Intune, en Directivasde directivas> deaplicaciones> para aplicaciones de Office.

Requisitos

Roles de administrador integrados admitidos

Puede usar los siguientes roles integrados de Microsoft Entra para acceder a la característica y administrarla:

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Role Descripción
Administrador de aplicaciones de Office (recomendado) Este rol puede administrar servicios en la nube de aplicaciones de Office, incluida la administración de directivas y configuraciones, y administrar la capacidad de seleccionar, anular la selección y publicar contenido de características "novedades" en los dispositivos del usuario final.
Administrador de seguridad Este rol puede leer información de seguridad e informes y administrar la configuración en Microsoft Entra ID y Office 365.
Administrador global Este rol puede administrar todos los aspectos de Microsoft Entra ID y los servicios Microsoft que utilizan identidades de Microsoft Entra.

Nota:

Lector global es otro rol integrado compatible con el centro de administración de Aplicaciones de Microsoft 365, pero no admite algunas características, como la actualización en la nube o la página Configuración moderna de aplicaciones.

Requisitos de licencias

El usuario debe estar asignado a uno de los siguientes planes de suscripción:

Tipo Plan de suscripción
Educación
  • Microsoft 365 A3
  • Microsoft 365 A5
  • Business
  • Microsoft 365 Empresa Estándar
  • Microsoft 365 Empresa Premium
  • Enterprise
  • Office 365 E3
  • Office 365 E5
  • Microsoft 365 E3
  • Microsoft 365 E5
  • Government
  • Microsoft 365 G3
  • Microsoft 365 G5
  • Importante

    No se admiten los siguientes planes:

    • Microsoft 365 ofrecido por 21Vianet
    • Microsoft 365 GCC High y DoD

    Nota:

    Requisitos de versión del producto

    Puede administrar Aplicaciones de Microsoft 365 en Windows con los siguientes requisitos de versión:

    Nota:

    Para los clientes de GCC, la versión mínima de cliente de Office compatible para las directivas que se van a entregar a Aplicaciones Microsoft 365 que se ejecutan en Windows es la versión 2410 o posterior.

    Requisitos de red

    Los dispositivos que ejecutan Aplicaciones de Microsoft 365 requieren acceso a los siguientes puntos de conexión:

    Servicio de Microsoft Direcciones URL necesarias en la lista de permitidos
    Centro de Administración de Aplicaciones de Microsoft 365
  • login.live.com
  • *.office.com
  • *.office.net
  • Red de entrega de contenido de Office(CDN)
  • officecdn.microsoft.com
  • officecdn.microsoft.com.edgesuite.net
  • otelrules.azureedge.net
  • Origen: URL de Microsoft 365 e intervalos de direcciones IP

    Eliminación de grupos de Microsoft Entra

    Cloud Policy Service admite el uso de grupos de Microsoft Entra con los siguientes requisitos:

    • Las directivas solo se aplican a objetos de usuario.
    • Los objetos de usuario deben estar presentes en Microsoft Entra ID y tener asignada una licencia compatible.
    • Los grupos anidados admiten hasta tres niveles de profundidad.
    • Un grupo puede contener objetos de dispositivo y objetos de usuario, pero se omitirán los objetos de dispositivo .

    Pasos para crear una configuración de directiva

    Estos son los pasos básicos para crear una configuración de directiva.

    1. Inicie sesión en el centro de administración de Aplicaciones Microsoft 365. Si usa el Centro de administración por primera vez, revise los términos. A continuación, seleccione Aceptar.
    2. En Personalización, seleccione Administración de directivas.
    3. En la página Configuraciones de directiva , seleccione Crear.
    4. En la página Iniciar con los conceptos básicos , escriba un nombre (obligatorio) y una descripción (opcional) y, a continuación, seleccione Siguiente.
    5. En la página Elegir el ámbito, determine si la configuración de la directiva se aplica a todos los usuarios, grupos específicos o a los usuarios que acceden de forma anónima a documentos mediante Office para la Web.
    6. Si la configuración de directiva se aplica a grupos específicos, ahora puede agregar varios grupos a una única configuración de directiva para una segmentación más flexible. Para agregar grupos, seleccione Agregar Grupos y elija los grupos pertinentes. Agregar varios grupos a una sola configuración de directiva permite que el mismo grupo se incluya en varias configuraciones de directiva, lo que facilita un proceso de administración de directivas más simplificado y eficaz.
    7. Después de realizar la selección, elija Siguiente.
    8. En la página Configurar configuración , seleccione las directivas que desea incluir en la configuración de directiva. Puede buscar la directiva por nombre o puede crear un filtro personalizado. Puede filtrar por plataforma, por aplicación, por si la directiva está configurada y por si la directiva es una línea base de seguridad recomendada.
    9. Después de realizar las selecciones, seleccione Siguiente para revisar las selecciones. A continuación, seleccione Crear para crear la configuración de directiva.

    Administración de configuraciones de directiva

    Para cambiar una configuración de directiva:

    1. Vaya a la página Configuraciones de directiva .
    2. Para abrir los detalles de configuración de la directiva que desea cambiar, selecciónela.
    3. Realice los cambios adecuados en la configuración de la directiva.
    4. Vaya a la página Revisar y publicar .
    5. Seleccione Actualizar para guardar y aplicar los cambios.

    Si desea crear una nueva configuración de directiva similar a una configuración de directiva existente, seleccione la configuración de directiva existente en la página Configuraciones de directiva y, a continuación, seleccione Copiar. Realice los cambios adecuados y, a continuación, seleccione Crear.

    Para ver qué directivas se configuran al editar una configuración de directiva, vaya a la sección Directivas y filtre por la columna Estado o seleccione la segmentación Configurada en la parte superior de la tabla de directivas. También puede filtrar por aplicación y plataforma.

    Para cambiar el orden de prioridad de las configuraciones de directiva, seleccione Reordenar prioridad en la página Configuraciones de directiva.

    Si desea exportar una configuración de directiva, seleccione la configuración de directiva existente en la página Configuraciones de directiva y, a continuación, seleccione Exportar. Esta acción genera un archivo CSV para su descarga.

    Cómo se aplica la configuración de directiva

    El servicio Hacer clic y ejecutar que usa Aplicaciones Microsoft 365 para empresas comprueba con regularidad el servicio Cloud Policy para ver si hay alguna directiva relacionada con el usuario que ha iniciado sesión. Si existen, se aplican las directivas adecuadas y surten efecto la próxima vez que el usuario abra una aplicación de Office, como Word o Excel.

    • Cuando se inicia una aplicación de Office o cambia el usuario que ha iniciado sesión, el servicio Hacer clic y ejecutar determina si es el momento de recuperar directivas para el usuario que ha iniciado sesión.
      • Si este es el primer inicio de sesión del usuario, se realiza la llamada de protección para recuperar las directivas del usuario que ha iniciado sesión.
      • Si el usuario ha iniciado sesión anteriormente, la llamada de registro solo se realiza si el intervalo de registro ha expirado.
    • Cuando el servicio recibe la llamada de protección, Microsoft Entra pertenencia a grupos se determina para el usuario.
      • Si el usuario no es miembro de un grupo de Microsoft Entra al que se le asigna una configuración de directiva, el servicio informa a Click-to-Run de que vuelva a comprobarlo en 24 horas para este usuario.
      • Si el usuario es miembro de un grupo de Microsoft Entra al que se le asigna una configuración de directiva, el servicio devuelve la configuración de directiva adecuada para el usuario e informa a Click-to-Run para que vuelva a comprobarla en 90 minutos.
      • Si se produce un error, se realiza otra llamada de protección la próxima vez que el usuario abre una aplicación de Office, como Word o Excel.
      • Si no se ejecuta ninguna aplicación de Office cuando se programa la siguiente llamada de protección, la comprobación se realizará la próxima vez que el usuario abra una aplicación de Office, como Word o Excel.

    Nota:

    • Las directivas de cloud policy solo se aplican cuando se reinicia la aplicación de Office. El comportamiento es el mismo que con directiva de grupo. En el caso de los dispositivos Windows, las directivas se aplican en función del usuario principal que ha iniciado sesión en Aplicaciones Microsoft 365 para empresas. Si hay varias cuentas que han iniciado sesión, solo se aplican las directivas de la cuenta principal. Si se cambia la cuenta principal, la mayoría de las directivas asignadas a esa cuenta no se aplicarán hasta que se reinicien las aplicaciones de Office. Algunas directivas relacionadas con los controles de privacidad se aplicarán sin reiniciar ninguna aplicación de Office.

    • Si los usuarios se encuentran en grupos anidados y el grupo primario está destinado a las directivas, los usuarios de los grupos anidados recibirán las directivas. Los grupos anidados y los usuarios de esos grupos anidados deben crearse en o sincronizarse con Microsoft Entra ID.

    • El servicio Cloud Policy controla el intervalo de protección y se comunica a Click-to-Run durante cada llamada de protección.

    Si el usuario es miembro de varios grupos de Microsoft Entra con configuraciones de directiva en conflicto, se usa la prioridad para determinar qué configuración de directiva se aplica. Se aplica la prioridad más alta, siendo "0" la prioridad más alta que se puede asignar. Para establecer la prioridad, elija Reordenar prioridad en la página Configuraciones de directiva.

    Además, la configuración de directivas implementada mediante la directiva en la nube tiene prioridad sobre la configuración de directiva implementada mediante directiva de grupo en Windows Server y tiene prioridad sobre la configuración de preferencias o la configuración de directiva aplicada localmente.

    Líneas base

    En Microsoft, nos esforzamos por innovar y reducir la carga de los administradores de TI con la creación de herramientas de administración modernas. Dicho esto, las líneas base de Cloud Policy son otra forma de ahorrar tiempo al implementar la directiva para su organización. Las líneas base de seguridad y accesibilidad ofrecen un filtro único sobre los directiva de grupo necesarios para proteger su organización y permitir que los usuarios finales creen contenido accesible.

    Línea base de seguridad

    Para identificar fácilmente las directivas de línea base de seguridad, se agregó una nueva columna denominada Recomendación a la tabla de directivas. Las directivas recomendadas para la línea base de seguridad se desencadenan en esta columna. También puede usar el filtro de columna para limitar la vista a solo las directivas etiquetadas como línea base de seguridad.

    Para obtener más información, consulte Línea base de seguridad para Aplicaciones Microsoft 365 para empresas.

    Línea base de accesibilidad

    La mayoría de nuestros clientes están avanzando para ser más accesibles como organización. La línea base de accesibilidad permite a los profesionales de TI configurar directivas de accesibilidad para permitir a sus usuarios finales crear contenido accesible y limitar la capacidad de quitar la configuración del comprobador de accesibilidad de deshabilitarse.

    Información adicional sobre cloud policy

    • Solo está disponible la configuración de directiva basada en el usuario. La configuración de directivas basada en equipos no está disponible.
    • A medida que la nueva configuración de directiva basada en el usuario está disponible para Office, Cloud Policy las agrega automáticamente. No es necesario descargar archivos de plantillas administrativas actualizados (ADMX/ADML).
    • También puede crear configuraciones de directiva para aplicar la configuración de directiva para las versiones compatibles de las aplicaciones de escritorio que vienen con planes de suscripción de Project y Visio.
    • La característica de estado de mantenimiento se retiró en la segunda mitad de marzo de 2022. En el futuro (no hay ninguna fecha conocida en este momento), tenemos previsto proporcionar características avanzadas de informes de estado y supervisión de cumplimiento para Cloud Policy.

    Sugerencias para solucionar problemas

    Si las directivas esperadas no se aplican correctamente al dispositivo de un usuario, pruebe las siguientes acciones:

    • Asegúrese de que el usuario ha iniciado sesión en Aplicaciones Microsoft 365 para empresas, lo ha activado y tiene una licencia válida.

    • Asegúrese de que el usuario forma parte del grupo de seguridad adecuado.

    • Compruebe que no usa un proxy autenticado.

    • Compruebe la prioridad de las configuraciones de directiva. Si el usuario está en varios grupos de seguridad que tienen configuraciones de directiva asignadas, la prioridad de las configuraciones de directiva determina qué directivas surten efecto.

    • En algunos casos, es posible que las directivas no se apliquen correctamente si dos usuarios con directivas diferentes inician sesión en Office en el mismo dispositivo durante la misma sesión de Windows.

    • La configuración de directiva recuperada de Cloud Policy se almacena en el Registro de Windows en HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0. Esta clave se sobrescribe cada vez que se recupera un nuevo conjunto de directivas del servicio de directivas durante el proceso de protección.

    • La actividad de protección del servicio de directivas se almacena en el Registro de Windows en HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. Al eliminar esta clave y reiniciar las aplicaciones de Office, el servicio de directivas se activará la próxima vez que se inicie una aplicación de Office.

    • Si desea ver la próxima vez que un dispositivo que ejecuta Windows esté programado para comprobarlo con Cloud Policy, consulte FetchInterval en HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. El valor se expresa en minutos. Por ejemplo, 1440, lo que equivale a 24 horas.

    • Es posible que encuentre un valor FetchInterval de 0. Si este valor existe, el cliente espera 24 horas desde el último check-in antes de intentar volver a comprobar con Cloud Policy.