Configuración de acciones para dispositivos no compatibles en Intune

Las directivas de cumplimiento pueden incluir acciones para el incumplimiento, que son pasos que la directiva realiza según una programación cuando detecta que un dispositivo no cumple los requisitos de seguridad. Por ejemplo, una directiva puede bloquear de forma remota un dispositivo no compatible para ayudar a protegerlo o enviar una notificación a los usuarios para que puedan comprender y resolver el problema.

Importante

La administración del administrador de dispositivos Android (DA) está en desuso y ya no está disponible para los dispositivos con acceso a Google Mobile Services (GMS). Si actualmente usa la administración de DA, se recomienda cambiar a otra opción de administración de Android. La documentación de soporte técnico y ayuda sigue estando disponible para algunos dispositivos Android 15 y anteriores sin GMS. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Información general

Cada directiva de cumplimiento incluye Marcar el dispositivo no conforme como una acción predeterminada integrada, programada para desencadenarse inmediatamente en cero días. Cuando Intune detecta que un dispositivo no es compatible, marca el dispositivo como no conforme de inmediato. Microsoft Entra acceso condicional puede impedir que el dispositivo acceda a los recursos de la organización.

Agregar más acciones le proporciona control sobre lo que sucede con los dispositivos no conformes y cuándo. Por ejemplo, puede conceder a los usuarios un período de gracia para que se vuelvan conformes antes de bloquear su acceso.

Para cada acción que establezca, puede configurar una programación que determine cuándo surte efecto la acción. La programación se basa en los días posteriores a que el dispositivo se marca como no conforme. También puede agregar la misma acción varias veces. Si el dispositivo sigue sin ser compatible, la acción se repite en cada hora programada.

No todas las acciones están disponibles para todas las plataformas.

Nota:

El campo Programación (días después del incumplimiento) del centro de administración acepta números enteros y valores decimales en incrementos de 0,25. Por ejemplo, 0.25 es igual a 6 horas e 0.5 igual a 12 horas. Para usar otros valores decimales, como 0.33 (8 horas), configure la programación mediante Microsoft Graph en su lugar.

Acciones disponibles en caso de incumplimiento

Las siguientes acciones están disponibles para el incumplimiento:

  • Marcar dispositivo no compatible: esta acción predeterminada integrada se incluye en todas las directivas de cumplimiento, establecida en cero (0) días, por lo que los dispositivos se marcan como no conformes inmediatamente.

    Al cambiar la programación predeterminada, proporciona un período de gracia en el que un usuario puede corregir problemas o ser conforme sin marcarse como no conforme.

    Esta acción se admite en todas las plataformas compatibles con Intune.

  • Enviar correo electrónico al usuario final: esta acción envía una notificación por correo electrónico al usuario. Al habilitar esta acción, las opciones son:

    • Seleccione una plantilla de mensaje de notificación que envíe esta acción. Cree una plantilla de mensaje de notificación antes de poder asignar una a esta acción. Al crear la notificación personalizada, se personaliza la configuración regional, el asunto y el cuerpo del mensaje, y puede incluir el logotipo, el nombre de la empresa y otra información de contacto.
    • Elija enviar el mensaje a más destinatarios seleccionando uno o varios de los grupos de Microsoft Entra.

    Intune usa la dirección de correo electrónico en el perfil del usuario final, no su nombre principal de usuario (UPN). Si no hay ninguna dirección de correo electrónico en el archivo, Intune no envía la notificación. Cuando se envía el correo electrónico, Intune incluye información sobre los dispositivos no compatibles en la notificación de este correo.

    Esta acción se admite en todas las plataformas compatibles con Intune.

    Nota:

    Los correos electrónicos de notificación se envían desde [email protected].

    Asegúrese de que no tiene ninguna directiva de buzón de correo que impida la entrega de correos electrónicos desde estas direcciones. De lo contrario, es posible que los usuarios finales no reciban la notificación por correo electrónico. Se espera que los correos electrónicos de notificación de cumplimiento se envíen en un plazo de 6 horas después de que un dispositivo esté marcado como no conforme.

  • Bloquear de forma remota el dispositivo no compatible: use esta acción para bloquear un dispositivo de forma remota. Después se pide al usuario un PIN o una contraseña para desbloquear el dispositivo. Para obtener más información, vea Bloqueo remoto.

    Las siguientes plataformas admiten esta acción:

    • Administrador de dispositivos Android
    • Android (AOSP)
    • Android Enterprise:
      • Totalmente administrado
      • Dedicado
      • Perfil de trabajo de propiedad corporativa
      • Perfil de trabajo de propiedad personal
    • iOS/iPadOS
    • macOS

  • Agregar dispositivo a la lista de retirada: cuando se realiza esta acción en un dispositivo, el dispositivo se agrega a una lista de dispositivos retirados y no conformes en el centro de administración de Intune. Puede ir aCumplimiento dedispositivos> y seleccionar la pestaña Retirar dispositivos no conformes para ver la lista. Sin embargo, el dispositivo no se retira hasta que un administrador inicia explícitamente el proceso de retirada. Cuando un administrador retira el dispositivo de esa lista, la retirada quita todos los datos de la empresa del dispositivo y quita ese dispositivo de Intune administración.

    Las siguientes plataformas admiten esta acción:

    • Administrador de dispositivos Android
    • Android (AOSP)
    • Android Enterprise:
      • Totalmente administrado
      • Dedicado
      • Perfil de trabajo de propiedad corporativa
      • Perfil de trabajo de propiedad personal
    • iOS/iPadOS
    • macOS
    • Windows

    Nota:

    Solo los dispositivos a los que se desencadena la acción agregar dispositivo para retirar lista aparecen en la pestaña Retirar dispositivos seleccionados . Para ver una lista de todos los dispositivos que no son compatibles, consulte el informe Dispositivos no compatibles mencionado en Supervisión de la directiva de cumplimiento de dispositivos.

    Para retirar uno o varios dispositivos de la lista, seleccione dispositivos para retirar y, a continuación, seleccione Retirar los dispositivos seleccionados. Al elegir una acción que retira los dispositivos, aparece un cuadro de diálogo de confirmación. Solo después de confirmar la intención de retirar los dispositivos, se borran los datos de la empresa y se quitan de la administración de Intune.

    Otras opciones son Retirar todos los dispositivos, Borrar el estado de retirada de todos los dispositivos y Borrar el estado de retirada de dispositivos seleccionados. Al borrar el estado de retirada de un dispositivo, se quita el dispositivo de la lista de dispositivos que se pueden retirar hasta que la acción agregar dispositivo a la lista de retirada se aplique de nuevo a ese dispositivo.

    Más información sobre la retirada de los dispositivos.

  • Enviar notificación push al usuario final: configure esta acción para enviar una notificación push sobre el incumplimiento de un dispositivo a través de la aplicación Portal de empresa o Intune aplicación en el dispositivo.

    Las siguientes plataformas admiten esta acción:

    • Administrador de dispositivos Android
    • Android Enterprise:
      • Totalmente administrado
      • Dedicado
      • Perfil de trabajo de propiedad corporativa
      • Perfil de trabajo de propiedad personal
    • iOS/iPadOS

    La notificación push se envía la primera vez que un dispositivo comprueba con Intune y se detecta que no es compatible con la directiva. Cuando un usuario selecciona la notificación, se abre la aplicación de Portal de empresa o Intune y muestra información sobre por qué no son conformes. Después, el usuario puede tomar medidas para resolver la incidencia. Los detalles del mensaje sobre el incumplimiento se generan por Intune y no se pueden personalizar.

    Importante

    Intune, la aplicación Portal de empresa y la aplicación Microsoft Intune no pueden garantizar la entrega de una notificación push. Las notificaciones pueden aparecer después de varias horas de retraso, en caso de que se produzcan. Esta limitación incluye cuando los usuarios desactivan las notificaciones push.

    No confíe en este método de notificación para mensajes urgentes.

    Cada instancia de la acción envía una notificación una sola vez. Para volver a enviar la misma notificación desde una directiva, configure más instancias de la acción en esa directiva, cada una con una programación distinta.

    Por ejemplo, se puede programar la primera acción a los cero días y, después, agregar una segunda instancia de la acción establecida a los tres días. Este retraso antes de la segunda notificación proporciona al usuario unos días para resolver el problema y evitar la segunda notificación.

    Para evitar enviar a los usuarios demasiadas notificaciones duplicadas, tenga en cuenta los siguientes puntos:

    • Una sola directiva con varias notificaciones push programadas para el mismo día envía solo una notificación ese día.
    • Varias directivas con las mismas condiciones de cumplimiento y la misma programación envían una notificación independiente, lo que da como resultado varias notificaciones al mismo dispositivo el mismo día.

Nota:

Las siguientes acciones para el incumplimiento no son compatibles con los dispositivos administrados por un asociado de administración de cumplimiento de dispositivos:

  • Enviar correo electrónico al usuario final
  • Bloquear de forma remota el dispositivo no compatible
  • Agregar dispositivo a la lista de retirada
  • Enviar notificación push al usuario final

Antes de empezar

Puede agregar acciones para no cumplimiento al configurar una directiva de cumplimiento de dispositivos o posterior editando la directiva. Agregue acciones adicionales a cada directiva para satisfacer sus necesidades. Tenga en cuenta que cada directiva de cumplimiento incluye automáticamente la acción predeterminada para el incumplimiento que marca los dispositivos como no conformes, con una programación establecida en cero días.

Para usar directivas de cumplimiento de dispositivos para bloquear dispositivos de recursos corporativos, configure Microsoft Entra acceso condicional. Para obtener instrucciones, consulte Acceso condicional en Microsoft Entra ID.

Para obtener instrucciones específicas de la plataforma sobre la creación de una directiva de cumplimiento de dispositivos, consulte los artículos siguientes:

Creación de una plantilla de mensaje de notificación

Para enviar correo electrónico a los usuarios, cree una plantilla de mensaje de notificación y asocie esa plantilla a la directiva de cumplimiento como una acción para el incumplimiento. Cuando un dispositivo no es compatible, los detalles especificados en la plantilla se muestran en el correo electrónico enviado a los usuarios.

Una plantilla de mensaje de notificación puede incluir varios mensajes que son cada uno para una configuración regional diferente. Al especificar varios mensajes y configuraciones regionales, los usuarios finales no conformes reciben el mensaje localizado adecuado en función de su idioma preferido de Microsoft 365.

Agregue variables al mensaje para crear un correo electrónico personalizado con contenido dinámico. En la tabla siguiente se describen las variables que puede usar en la línea y el cuerpo del asunto del mensaje.

Nombre de la variable Token que se va a usar Descripción
Nombre de usuario {{UserName}} Agregue el nombre del usuario principal para el dispositivo no compatible.
Ejemplo: John Doe
Nombre del dispositivo {{DeviceName}} Agregue el nombre del dispositivo no compatible tal como se registra en Microsoft Intune.
Ejemplo: John's iPad
Id. de dispositivo {{DeviceId}} Agregue el identificador de dispositivo Intune que pertenece al dispositivo no compatible.
Ejemplo: 12ab345c-6789-def0-1234-000000000000
Versión de SO del dispositivo {{OSAndVersion}} Agregue el sistema operativo y la versión del dispositivo no compatible.
Ejemplo: Android 12

Creación de la plantilla

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Seguridad de punto de conexión>Conformidad de dispositivos>Notificaciones>Crear notificación.

  3. En Aspectos básicos, escriba un nombre descriptivo para la plantilla que le ayude a identificarla. Después, seleccione Siguiente.

  4. En Configuración de encabezado y pie de página, agregue los detalles y el logotipo de la empresa.

    Captura de pantalla que muestra el ejemplo de la página configuración de encabezado y pie de página de un mensaje de notificación en Intune.

    Las opciones son:

    • encabezado Email: mostrar el logotipo de la empresa (valor predeterminado = Habilitar): cargue un logotipo para agregar la personalización de marca de su organización a las plantillas de correo electrónico. Para más información sobre la personalización de marca del Portal de empresa, vea Personalización de la marca de empresa.
    • pie de página de Email: mostrar el nombre de la empresa (valor predeterminado = Habilitar): habilite esta opción para mostrar el nombre de la empresa en el correo electrónico. Consulte Valor del inquilino para revisar el nombre de la empresa en el registro.
    • pie de página de Email: mostrar información de contacto (valor predeterminado = Habilitar): habilite esta opción para mostrar la información de contacto de su organización, como el nombre, el número de teléfono y la dirección de correo electrónico, en el correo electrónico. Consulte Valor del inquilino para revisar la información de contacto en el registro.
    • pie de página de Email: mostrar el vínculo al sitio web del portal de empresa (valor predeterminado = Deshabilitar): habilite esta opción para incluir un vínculo al sitio web de Portal de empresa en el correo electrónico. Consulte Valor del inquilino para revisar el vínculo del sitio web que se muestra a los usuarios.

    Seleccione Siguiente para continuar.

  5. En Plantillas de mensaje de notificación, configure uno o varios mensajes. Para cada mensaje, especifique los detalles siguientes:

    • Configuración regional: seleccione el idioma que se correlaciona con la configuración regional del usuario del dispositivo.
    • Asunto: agregue la línea de asunto para el correo electrónico. Puede escribir hasta 78 caracteres.
    • Editor HTML sin formato: active el editor HTML para obtener sugerencias al agregar formato HTML y vínculos al mensaje. Puede usar el href atributo para agregar un vínculo (debe ser una dirección URL HTTPS). Entre las etiquetas HTML admitidas se incluyen: , , , , <u><ol>, <ul><li>, , <p>, <br>, <thead><tr><code><table><tbody><td><th>. <b><strong><a> No es necesario usar el editor HTML y puede agregar HTML compatible sin activar el editor.
    • Mensaje: cree un mensaje que explique el motivo del incumplimiento. Puede escribir hasta 2000 caracteres.

    Para crear una plantilla con contenido dinámico, inserte el token de una variable admitida en la línea de asunto o el mensaje. Para obtener una lista de las variables admitidas, consulte la tabla en Crear una plantilla de mensaje de notificación en este artículo.

    Importante

    Asegúrese de usar solo etiquetas y atributos HTML compatibles con Intune en el cuerpo del mensaje. Intune envía mensajes que contienen otros tipos de etiquetas, elementos o estilos como texto no cifrado en lugar de formato HTML. Esta condición incluye mensajes que contienen:

    • CSS
    • Etiquetas y atributos no enumerados en este artículo

    Nota:

    Intune convierte los nuevos caracteres de línea de estilo windows en <br> Etiquetas HTML, pero omite todos los demás tipos de caracteres de línea nuevos, incluidos los de macOS y Linux. Para garantizar que los saltos de línea se representen correctamente en las plantillas, se recomienda usar la <br> etiqueta para indicar el final de una línea.

  6. Active la casilla Es predeterminado para uno de los mensajes. Intune envía el mensaje predeterminado a los usuarios que no han establecido un idioma preferido o cuando la plantilla no incluye un mensaje específico para su configuración regional. Solo se puede establecer un mensaje como predeterminado. Para eliminar un mensaje, seleccione los puntos suspensivos (...) y, luego, Eliminar.

    Seleccione Siguiente para continuar.

  7. En Etiquetas de ámbito, seleccione etiquetas para limitar la visibilidad y la administración de este mensaje a grupos de administradores de Intune específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vea Usar control de acceso basado en rol (RBAC) y etiquetas de ámbito.

    Seleccione Siguiente para continuar.

  8. En Revisar y crear, revise las configuraciones para asegurarse de que la plantilla de mensaje de notificación está lista para usarse. Seleccione Crear para terminar de crear la notificación.

Visualización y edición de notificaciones

Puede ver las notificaciones que cree en Directivas de cumplimiento>Notificaciones. En esta página, seleccione una notificación para ver su configuración y:

  • Seleccione Enviar correo electrónico de vista previa para enviar una vista previa del correo electrónico de notificación a la cuenta que usó para iniciar sesión en Intune.

    Para enviar correctamente el correo electrónico de vista previa, la cuenta debe tener permisos iguales a los de los siguientes grupos de Microsoft Entra o roles de Intune: administrador de Intune (también conocido como administrador de servicios de Intune) o Administrador de directivas y perfiles.

  • Seleccionar Editar para Conceptos básicos o Etiquetas de ámbito para hacer un cambio.

Nota:

El correo electrónico de vista previa no contiene las variables de dispositivo que especifique en la plantilla de mensaje de notificación.

Adición de acciones en caso de incumplimiento

Puede agregar acciones opcionales al crear una directiva de cumplimiento o bien actualizar una directiva existente. La acción predeterminada marcar como no conforme se agrega automáticamente y no se puede quitar, pero puede ajustar su programación.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Vaya aCumplimiento dedispositivos>.

  3. Seleccione una directiva y, a continuación, propiedades.

    ¿Aún no tiene una directiva? Cree una directiva de Android, iOS, Windows o de otra plataforma.

    Nota:

    Los dispositivos administrados por asociados de cumplimiento de dispositivos de terceros destinados a grupos de dispositivos no pueden recibir acciones de cumplimiento en este momento.

  4. Seleccione Acciones para editar no conformidad>.

  5. Seleccione la Acción:

    • Enviar correo electrónico a los usuarios finales: cuando el dispositivo no es compatible, elija que se envíe un correo electrónico al usuario. Además:

      • Elija la Plantilla de mensaje que ha creado antes
      • Escriba los Destinatarios adicionales mediante la selección de grupos

    • Bloquear de forma remota los dispositivos no compatibles: cuando el dispositivo no es compatible, se bloquea el dispositivo. Esta acción obliga al usuario a escribir un PIN o una contraseña para desbloquear el dispositivo.

    • Agregar dispositivo a la lista de retirada: cuando el dispositivo no es compatible, se agrega a una lista de retirada en el centro de administración. Un administrador debe retirar explícitamente el dispositivo de esa lista antes de que se quiten los datos de la empresa y el dispositivo se quite de Intune administración.

    • Enviar notificación push al usuario final: configure esta acción para enviar una notificación push sobre el incumplimiento de un dispositivo a través de la aplicación Portal de empresa o Intune aplicación en el dispositivo.

  6. Configurar una programación: escriba el número de días (de 0 a 365) después del incumplimiento para desencadenar la acción. Si escribe 0, la acción surte efecto inmediatamente. Después de este período de gracia, puede aplicar una directiva de acceso condicional para bloquear el acceso a recursos como el correo electrónico y SharePoint.

    Para obtener más información sobre la acción predeterminada Marcar dispositivo no conforme y cómo afecta la programación a los períodos de gracia, consulte Acciones disponibles para no cumplimiento.

    Por ejemplo, agregue la acción Enviar correo electrónico al usuario final con una programación de dos días. Si el dispositivo sigue sin ser compatible el segundo día, se envía el correo electrónico. Para enviar un correo electrónico de seguimiento el día cinco, agregue una segunda instancia de la acción con una programación de cinco días.

    Para obtener más información sobre el cumplimiento y las acciones integradas, consulte la información general de cumplimiento.

  7. Cuando termine, haga clic en Agregar>Aceptar para guardar los cambios.

Siguientes pasos

Supervise las directivas.

  • Last updated on