Share via

  • Artículo

Directivas de cumplimiento de Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

La información de este tema se aplica a las versiones System Center 2012 Configuration Manager SP1 y System Center 2012 R2 Configuration Manager o versiones posteriores.

Las directivas de cumplimiento en Configuration Manager definen las reglas y los valores de configuración que un dispositivo debe cumplir para que se considere conformes a las directivas de acceso condicional. Las directivas de cumplimiento también se pueden usar para supervisar y corregir problemas de compatibilidad con dispositivos independientemente del acceso condicional.

System_CAPS_importantImportante

Las directivas de cumplimiento solo se aplican a los dispositivos administrados por Microsoft Intune.

Estas reglas incluyen:

  • PIN y contraseñas

  • Cifrado

  • Si el dispositivo está desbloqueado o modificado

  • Si el correo electrónico en el dispositivo administrado por una directiva de Intune

  • Versión de SO mínima requerida: normalmente depende de las directivas de cumplimiento y los requisitos de seguridad de la empresa. Esto ayuda a impedir el acceso a dispositivos que podrían tener vulnerabilidades de seguridad porque usan una versión de SO anterior.

  • Versión de SO máxima permitida: puede optar por no admitir la última versión de SO disponible antes de las pruebas o por otros motivos. Puede decidir bloquear los dispositivos que tengan una versión posterior a la especificada. El dispositivo no podrá acceder a recursos de la empresa mientras no se modifique la directiva.

Nota

Para usar las reglas de versión de SO mínima y máxima, debe usar la versión más reciente de la extensión de acceso condicional para System Center 2012 R2 Configuration Manager SP1.

Nota

En equipos con Windows, la versión 8.1 del sistema operativo Windows se notifica como 6.3 en lugar de 8.1. Si la regla de la versión de SO se establece en Windows 8.1 para Windows, el dispositivo se notificará como no compatible incluso aunque tenga Windows OS 8.1. Asegúrese de que está estableciendo la versión notificada correcta de Windows para las reglas de SO mínimo y máximo. El número de versión debe coincidir con la versión devuelta por el comando winver.

Windows Phone no tiene este problema, ya que la versión se notifica como 8.1 según lo previsto.

Puede implementar directivas de cumplimiento para recopilaciones de usuarios. Cuando se implementa una directiva de cumplimiento para un usuario, se comprueba el cumplimiento de todos los dispositivos del usuario.

En la siguiente tabla se enumeran los tipos de dispositivos compatibles con las directivas de cumplimiento y se indica cómo se administran los valores de configuración no compatibles cuando se usa la directiva con una directiva de acceso condicional.

Tipo de dispositivo

Configuración de contraseña o PIN

Cifrado del dispositivo

Dispositivo liberado o modificado

Perfil de correo electrónico

Versión de SO mínima

Versión de SO máxima

Windows 8.1 y posterior

Corregido

No aplicable

No aplicable

No aplicable

En cuarentena

En cuarentena

Windows Phone 8.1 y versiones posteriores

Corregido

Corregido

No aplicable

No aplicable

En cuarentena

En cuarentena

iOS 6.0 y versiones posteriores

Corregido

Corregido (estableciendo PIN)

En cuarentena (no es una configuración)

En cuarentena

En cuarentena

En cuarentena

Android 4.0 y versiones posteriores

En cuarentena

En cuarentena

En cuarentena (no es una configuración)

No aplicable

En cuarentena

En cuarentena

Samsung KNOX Standard 4.0 y posterior

En cuarentena

En cuarentena

En cuarentena (no es una configuración)

No aplicable

En cuarentena

En cuarentena

Corregido = el sistema operativo del dispositivo exige el cumplimiento (por ejemplo, el usuario debe establecer un PIN). La configuración nunca será no conforme.

En cuarentena = el sistema operativo del dispositivo no exige el cumplimiento (por ejemplo, los dispositivos Android no obligan al usuario a cifrar el dispositivo). En este caso:

  • El dispositivo se bloqueará si el usuario se rige por una directiva de acceso condicional.

  • El portal de empresa o portal web notificará al usuario los problemas de cumplimiento que se produzcan.

Paso 1: Crear una directiva de cumplimiento

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

  2. En el área de trabajo Activos y compatibilidad, expanda Configuración de cumplimiento y, a continuación, haga clic en Directivas de cumplimiento.

  3. En la pestaña Inicio, en el grupo Crear, haga clic en Crear directiva de cumplimiento.

  4. En la página General del Asistente para crear directivas de cumplimiento, especifique la información siguiente:

    Configuración

    Más información

    Nombre

    Escriba un nombre único para la directiva de cumplimiento. Puede utilizar un máximo de 256 caracteres.

    Descripción

    Escriba una descripción general del perfil de VPN y ayude a identificarlo en la consola de Configuration Manager. Puede utilizar un máximo de 256 caracteres.

    Gravedad de no compatibilidad para informes

    Especifique el nivel de gravedad que indica si esta directiva de cumplimiento se evalúa como no conforme. Los niveles de gravedad disponibles son los siguientes:

    • Ninguno Los equipos que no cumplan esta regla de compatibilidad no notificarán ninguna gravedad de error en informes de Configuration Manager.

    • Información Los equipos que no cumplan esta regla de compatibilidad notificarán una gravedad de error de Información en informes de Configuration Manager.

    • Advertencia Los equipos que no cumplan esta regla de compatibilidad notificarán una gravedad de error de Advertencia en informes de Configuration Manager.

    • Crítico Los equipos que no cumplan esta regla de compatibilidad notificarán una gravedad de error de Crítico en informes de Configuration Manager.

    • Crítico con evento Los equipos que no cumplan esta regla de compatibilidad notificarán una gravedad de error de Crítico en informes de Configuration Manager. Este nivel de gravedad también se registra como evento de Windows en el registro de eventos de la aplicación.

  5. En la página Plataformas compatibles, elija las plataformas de dispositivos en las que esta directiva de cumplimiento se evaluará o haga clic en Seleccionar todo para elegir todas las plataformas de los dispositivos.

  6. En la página Reglas, se definen una o varias reglas que definen la configuración que los dispositivos deben tener para poder ser evaluadas como compatibles. La tabla siguiente muestra las reglas disponibles. Cuando se crea una directiva de cumplimiento, algunas de las reglas se habilitan de forma predeterminada, pero puede editarlas o eliminarlas.

    Nombre de la regla

    Más información

    Plataformas compatibles

    Requerir configuración de contraseña en dispositivos móviles

    Exija a los usuarios que escriban una contraseña para acceder al dispositivo.

    (Habilitada de forma predeterminada)

    • Windows Phone 8 y versiones posteriores

    • iOS 6 y versiones posteriores

    • Android 4.0 y versiones posteriores

    • Samsung KNOX Standard 4.0 y posterior

    Permitir contraseñas sencillas

    Permita a los usuarios crear contraseñas sencillas como "1234" o "1111".

    (Deshabilitada de forma predeterminada)

    • Windows Phone 8 y versiones posteriores

    • iOS 6 y versiones posteriores

    Longitud mínima de contraseña1

    Especifica el número mínimo de dígitos o caracteres que debe contener la contraseña del usuario.

    (6 de manera predeterminada)

    • Windows Phone 8 y versiones posteriores

    • Windows 8.1

    • iOS 6 y versiones posteriores

    • Android 4.0 y versiones posteriores

    • Samsung KNOX Standard 4.0 y posterior

    Cifrado de archivos en dispositivo móvil

    Requiere el cifrado del dispositivo para conectarse a los recursos.

    Los dispositivos que ejecutan Windows Phone 8 se cifran automáticamente.

    System_CAPS_importantImportante

    Los dispositivos que ejecutan iOS se cifran al configurar la opción de Requerir configuración de contraseña en dispositivos móviles.

    (Habilitada de forma predeterminada)

    • Windows Phone 8 y versiones posteriores

    • Android 4.0 y versiones posteriores

    • Samsung KNOX Standard 4.0 y posterior

    El dispositivo no debe estar liberado ni modificado

    Si está habilitada, los dispositivos liberados (iOS) o modificados (Android) no serán compatibles.

    (Deshabilitada de forma predeterminada)

    • iOS 6 y versiones posteriores

    • Android 4.0 y versiones posteriores

    • Samsung KNOX Standard 4.0 y posterior

    El perfil de correo electrónico debe administrarse mediante Intune

    Cuando esta opción está seleccionada, si el usuario ha establecido una cuenta de correo electrónico en el dispositivo que coincida con un perfil de correo electrónico implementando por un administrador de TI, el dispositivo no será conforme.Configuration Manager no puede sobrescribir el perfil implementado por el usuario y, por tanto, no puede administrarlo.

    Para garantizar el cumplimiento, el usuario debe quitar la configuración de correo electrónico existente para que Configuration Manager pueda instalar el perfil de correo electrónico administrado.

    Para obtener información sobre los perfiles de correo electrónico, consulte Habilitar el acceso al correo electrónico corporativo mediante perfiles de correo electrónico con Microsoft Intune.

    (Deshabilitada de forma predeterminada)

    • iOS 6 y versiones posteriores

    Perfil de correo electrónico

    Si se selecciona la opción La cuenta de correo electrónico debe administrarse mediante Intune, haga clic en Seleccionar para elegir el perfil de correo electrónico que debe administrar los dispositivos. El perfil de correo electrónico debe estar presente en el dispositivo.

    • iOS 6 y versiones posteriores

    SO mínimo requerido

    Cuando un dispositivo no cumpla el requisito de versión de SO mínima, se notificará como no compatible. Se mostrará un vínculo con información sobre cómo realizar la actualización. El usuario final puede optar por actualizar el dispositivo, tras lo cual podrá acceder a los recursos de la empresa.

    • Windows Phone 8 y versiones posteriores

    • Windows 8.1

    • iOS 6 y versiones posteriores

    • Android 4.0 y versiones posteriores

    • Samsung KNOX Standard 4.0 y posterior

    Versión de SO máxima permitida

    Cuando un dispositivo usa una versión de SO posterior a la especificada en la regla, se bloquea el acceso a los recursos de la empresa y se solicita al usuario que se ponga en contacto con el administrador de TI. Mientras no se cambie la regla para permitir la versión de SO, este dispositivo no podrá usarse para acceder a los recursos de la empresa.

    • Windows Phone 8 y versiones posteriores

    • Windows 8.1

    • iOS 6 y versiones posteriores

    • Android 4.0 y versiones posteriores

    • Samsung KNOX Standard 4.0 y posterior

    1 En los dispositivos que ejecutan Windows y están protegidos con una cuenta de Microsoft, la directiva de cumplimiento no podrá evaluarse correctamente si la longitud mínima de la contraseña es superior a 8 caracteres o el número mínimo de conjuntos de caracteres es superior a 2.

  7. En la página Resumen del asistente, revise la configuración realizada y, a continuación, complete el asistente.

La nueva directiva se muestra en el nodo Directivas de cumplimiento del área de trabajo Activos y compatibilidad.

Implementar una directiva de cumplimiento

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

  2. En el área de trabajo Activos y compatibilidad, expanda Configuración de cumplimiento y, a continuación, haga clic en Directivas de cumplimiento.

  3. En la pestaña Inicio, en el grupo Implementación, haga clic en Implementar.

  4. En el cuadro de diálogo Implementar directiva de cumplimiento, haga clic en Examinar para seleccionar la recopilación de usuarios en la que se va a implementar la directiva.

    Además, puede seleccionar opciones para generar alertas cuando la directiva no es compatible y también para configurar la programación por medio de la cual se evaluará esta directiva para el cumplimiento.

  5. Cuando haya terminado, haga clic en Aceptar.

Supervisar la directiva de cumplimiento

Para ver los resultados de compatibilidad en la consola de Configuration Manager

  1. En la consola de Configuration Manager, haga clic en Supervisión.

  2. En el área de trabajo Supervisión, haga clic en Implementaciones.

  3. En la lista Implementaciones, seleccione la implementación de directiva de cumplimiento para la que desea revisar la información de compatibilidad.

  4. Puede revisar la información de resumen sobre la compatibilidad de la implementación de la directiva en la página principal. Para ver información más detallada, seleccione la implementación y, a continuación, en la pestaña Inicio del grupo Implementación, haga clic en Ver estado para abrir la página Estado de implementación.

    La página Estado de implementación contiene las siguientes pestañas:

    - **Compatible**: muestra la compatibilidad de la directiva en función del número de activos afectados. Puede hacer clic en una regla para crear un nodo temporal en el nodo **Usuarios** o **Dispositivos** en el área de trabajo **Activos y compatibilidad**, que contiene todos los usuarios o dispositivos compatibles con esta regla. El panel **Detalles del activo** muestra los usuarios o dispositivos que son compatibles con la directiva. Haga doble clic en un usuario o dispositivo de la lista para mostrar información adicional.

- **Error**: muestra una lista de todos los errores de la implementación de directiva seleccionada, en función del número de activos afectados. Puede hacer clic en una regla para crear un nodo temporal en el nodo **Usuarios** o **Dispositivos**, en el área de trabajo **Activos y compatibilidad**, que contiene todos los usuarios o dispositivos que generaron errores con esta regla. Cuando se selecciona un usuario o dispositivo, el panel **Detalles del activo** muestra los usuarios o dispositivos afectados por el problema seleccionado. Haga doble clic en un dispositivo o usuario de la lista para mostrar información adicional sobre el problema.

- **No compatible**: muestra una lista de todas las reglas no compatibles en la directiva en función del número de activos afectados. Puede hacer clic en una regla para crear un nodo temporal en el nodo **Usuarios** o **Dispositivos** en el área de trabajo **Activos y compatibilidad**, que contiene todos los usuarios o dispositivos no compatibles con esta regla. Cuando se selecciona un usuario o dispositivo, el panel **Detalles del activo** muestra los usuarios o dispositivos afectados por el problema seleccionado. Haga doble clic en un usuario o dispositivo de la lista para mostrar información adicional sobre el problema.

- **Desconocido**: muestra una lista de todos los usuarios y dispositivos que no notificaron la compatibilidad de la implementación de directiva seleccionada y el estado de cliente actual de los dispositivos.

Pasos siguientes

Ahora puede usar la directiva de cumplimiento con las directivas de acceso condicional para controlar el acceso a los servicios de su organización.