Administración de dispositivos de escritorio de Windows ... · Contenido 1 Introducción al...

Administración de dispositivos de escritorio de Windows

VMware Workspace ONE UEM 1908

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2019 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.


VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

1 Introducción al escritorio de Windows 6Requisitos de inscripción de escritorio de Windows 6

Dispositivos de escritorio de Windows compatibles 7

Matriz de versiones de Windows 10 7

2 Resumen de inscripción de escritorio de Windows 10Dispositivos de escritorio de Windows y Windows 7 12

Workspace ONE Intelligent Hub para la inscripción de Windows 13

Inscripción con el Workspace ONE Intelligent Hub de VMware 13

Inscripción de MDM nativa para escritorio de Windows 14

Inscripción mediante Work Access con el servicio de detección automática de Windows 15

Inscripción mediante Work Access sin el servicio de detección automática de Windows 16

Inscripción preparada 18

Importación masiva de números de serie de dispositivos 19

Inscripción mediante preparación con línea de comandos 20

Inscripción mediante inscripción preparada manual 20

Parámetros y valores para la inscripción silenciosa 21

Servicio de aprovisionamiento de Windows 10 de VMware AirWatch 24

Configuración del aprovisionamiento de Windows 10 24

Inscripción mediante integración con Azure AD 25

Configuración de la integración de los servicios de identidad de Azure AD 26

Inscripción de un dispositivo con Azure AD 29

Inscripción en Workspace ONE UEM de un dispositivo administrado con Azure AD 30

Inscripción mediante configuración rápida 31

Inscripción mediante las aplicaciones de Office 365 33

Inscripción y aprovisionamiento en masa 34

Inscripción mediante aprovisionamiento en masa 34

Instalación de paquetes de aprovisionamiento en masa 36

3 Resumen de los perfiles de escritorio de Windows 37Configuración de un perfil de código de acceso (escritorio de Windows) 38

Configuración de un perfil de Wi-Fi (escritorio de Windows) 40

Perfil de VPN (escritorio de Windows) 41

Configuración de un perfil de VPN (escritorio de Windows) 43

Perfil de credenciales (escritorio de Windows) 46

Configuración de un perfil de credenciales (escritorio de Windows) 46

Configuración de una carga útil de restricciones (escritorio de Windows) 48

VMware, Inc. 3

Perfil de protección contra vulnerabilidades de seguridad de Windows Defender (escritorio de Windows)53

Cómo crear un perfil de protección contra vulnerabilidades de seguridad (escritorio de Windows)55

Perfil de protección de datos (escritorio de Windows) 56

Configuración de un perfil de protección de datos (escritorio de Windows) 57

Creación de un certificado de sistema de cifrado de archivos (escritorio de Windows) 59

Perfil de Windows Hello (escritorio de Windows) 60

Creación de un perfil de Windows Hello (escritorio de Windows) 60

Cómo configurar un perfil de firewall (heredado) para escritorio de Windows 61

Configuración de un perfil de firewall (escritorio de Windows) 62

Configuración de un perfil de modo de aplicación única (escritorio de Windows) 64

Configuración de un perfil de antivirus (escritorio de Windows) 66

Perfil de cifrado (escritorio de Windows) 67

Configuración de un perfil de cifrado (escritorio de Windows) 69

Configuración de un perfil de actualizaciones de Windows (escritorio de Windows) 71

Ver lista de actualizaciones en el ciclo de vida 75

Aprobación de actualizaciones de Windows 76

Cómo crear un perfil de proxy (escritorio de Windows) 77

Configuración de un perfil de web clips (escritorio de Windows) 78

Perfiles de Exchange ActiveSync (escritorio de Windows) 78

Configuración de un perfil de Exchange ActiveSync (escritorio de Windows) 79

Perfil de SCEP (escritorio de Windows) 80

Configuración de un perfil de SCEP (escritorio de Windows) 81

Perfil de control de aplicaciones (escritorio de Windows) 81

Configuración de un perfil de control de aplicaciones (escritorio de Windows) 82

Configuración de un perfil de servicios web de Exchange (escritorio de Windows) 84

Creación de un perfil de licencias de Windows (escritorio de Windows) 85

Configuración de un perfil de BIOS (escritorio de Windows) 85

Configuración de un perfil de actualizaciones de OEM (escritorio de Windows) 88

Configuración de un perfil de quiosco (escritorio de Windows) 90

Cómo configurar un perfil de personalización (escritorio de Windows) 92

Distribución punto a punto con Workspace ONE 93

Cómo configurar un perfil de distribución punto a punto (escritorio de Windows) 94

Uso de ajustes personalizados (escritorio de Windows) 95

Impedir que los usuarios inhabiliten el servicio de AirWatch 96

4 Uso de Valores de referencia 98Cómo crear una línea de base 99

5 Políticas de conformidad 101Detección de dispositivos comprometidos con atestación de estado 101


VMware, Inc. 4

Configure la atestación de estado para las políticas de conformidad del escritorio de Windows 102

6 Resumen de las aplicaciones de escritorio de Windows 104VMware Workspace ONE para escritorio de Windows 104

Configurar Workspace ONE Intelligent Hub para dispositivos Windows 105

7 Cómo crear Sensores para dispositivos de escritorio de Windows 108Ejemplos de scripts de PowerShell para Sensores 109

Cómo crear un sensor para los dispositivos de escritorio de Windows 113

8 Cómo integrar Dell Command | Configure 115Cómo agregar Dell Command | Configure a Workspace ONE UEM 116

9 Integración de Dell Command | Monitor 117

10 Descripción general de Dell Command | Update 118Adición de Dell Command | Update a Workspace ONE UEM 119

11 Administración de dispositivos de escritorio de Windows 120Tablero de dispositivos 120

Vista de lista de dispositivos 121

Página de detalles de dispositivos de escritorio de Windows 122

Administración remota avanzada 126

Resumen del aprovisionamiento de productos 127


VMware, Inc. 5

Introducción al escritorio de Windows 1Workspace ONE UEM powered by AirWatch proporciona un conjunto de soluciones robustas de administración móvil para la inscripción, la protección, la configuración y la administración de su implementación de dispositivos con Windows 10.

A través de Consola Workspace ONE UEM, dispone de varias herramientas y funciones para la administración de todo el ciclo de vida de los dispositivos corporativos y de los empleados. También puede permitir que los usuarios finales realicen tareas por su cuenta, por ejemplo, a través del portal de autoservicio y la autoinscripción del usuario, lo cual le ahorra tiempo y recursos fundamentales.

Workspace ONE UEM le permite inscribir dispositivos corporativos y de los empleados para configurar y proteger los datos y el contenido de su empresa. Con nuestros perfiles de dispositivos, podrá configurar y proteger correctamente sus dispositivos Windows. Detecte los dispositivos comprometidos y retire el acceso a los recursos corporativos utilizando el motor de conformidad.

Al inscribir los dispositivos en Workspace ONE UEM, puede protegerlos y configurarlos en función de cuáles sean sus necesidades.

Este capítulo incluye los siguientes temas:

n Requisitos de inscripción de escritorio de Windows

n Dispositivos de escritorio de Windows compatibles

Requisitos de inscripción de escritorio de WindowsAntes de inscribir los dispositivos de escritorio de Windows, asegúrese de que cumple los requisitos. Estos requisitos incluyen información importante que ofrecer a los usuarios finales que inscriben sus propios dispositivos.

Requisitosn Entorno activo: el entorno activo de Workspace ONE UEM y el acceso a

Workspace ONE UEM Console.

n Permisos apropiados de administración: este tipo de permiso le permite crear perfiles, determinar políticas y administrar dispositivos dentro de la consola de UEM.

n URL de la inscripción: esta dirección URL es única para su entorno de inscripción y lo lleva directo a la pantalla de inscripción. Por ejemplo, mdm.example.com.

VMware, Inc. 6

n ID de grupo: este identificador de grupo asocia su dispositivo con su rol corporativo, y está definido en la consola de UEM.

Importante Si su servidor de inscripción está detrás de un proxy, debe configurar el servicio WINHTTP de Windows para que sea consciente del proxy al configurar sus ajustes de red.

Dispositivos de escritorio de Windows compatiblesLa plataforma de escritorio de Windows incluye versiones del sistema operativo de Windows que van desde Windows 8.0 hasta Windows 10 y las diversas versiones de cada iteración.

Plataformas y dispositivos compatiblesDispositivos con los siguientes sistemas operativos:

n Windows 10 Pro

n Windows 10 Enterprise

n Windows 10 Education

n Windows 10 Home

n Windows 10 S

Importante: para ver la versión de SO que cada rama de actualización admite, consulte la documentación de Microsoft sobre la información de versión de Windows 10: https://technet.microsoft.com/es-es/windows/release-info.aspx.

Matriz de versiones de Windows 10Compare la funcionalidad de MDM disponible en cada versión del sistema operativo Windows 10. Workspace ONE UEM admite todas las versiones del sistema operativo Windows 10 y las funciones compatibles.

Las diferentes ediciones de Windows 10 (Home, Professional, Enterprise y Education) tienen una funcionalidad distinta. La edición Windows 10 Home no ofrece la funcionalidad avanzada disponible en el sistema operativo Windows 10. Sopese la posibilidad de utilizar las ediciones Enterprise o Education para disfrutar de la mayor parte de las funcionalidades.

FunciónSistema operativo Windows 10 Home

Sistema operativo Windows 10 Professional

Sistema operativo Windows 10 Enterprise

Sistema operativo Windows 10 Education

Inscripción de cliente nativo

✓ ✓ ✓ ✓

Inscripción con el agente

✓ ✓ ✓ ✓

Requiere el ID de cuenta de Windows

Exige aceptación de los términos de uso

✓ ✓ ✓ ✓


VMware, Inc. 7

https://technet.microsoft.com/en-us/windows/release-info.aspx






Soporte para solicitudes de opciones durante la inscripción

✓ ✓ ✓ ✓

Active Directory/LDAP

✓ ✓ ✓ ✓

Inscripción con unión de dominio de nube

✓ ✓ ✓

Inscripción mediante configuración rápida

✓ ✓ ✓

Inscripción mediante aprovisionamiento en masa

✓ ✓ ✓

Inscripción preparada

✓ ✓ ✓ ✓

SMS

Mensajes de correo electrónico

✓ ✓ ✓

Política de contraseña

✓ ✓ ✓ ✓

Eliminación empresarial

✓ ✓ ✓ ✓

Eliminación total ✓ ✓ ✓ ✓

Correo electrónico y Exchange ActiveSync

✓ ✓ ✓ ✓

Wi-Fi ✓ ✓ ✓ ✓

VPN ✓ ✓ ✓ ✓

Administración de certificados

✓ ✓ ✓ ✓

Restricciones y configuraciones del dispositivo

✓ ✓ ✓ ✓

Windows Hello ✓ ✓ ✓ ✓

Personalización ✓ ✓

Cifrado ✓3 ✓ ✓ ✓

Control de aplicaciones (AppLocker)

✓ ✓


VMware, Inc. 8





Atestación de estado

✓ ✓ ✓ ✓

Actualizaciones de Windows para empresas

✓ ✓ ✓

Acceso asignado ✓ ✓

Administración de aplicaciones

✓ ✓ ✓

Workspace ONE Content

✓ ✓ ✓ ✓

Seguimiento de recursos

✓ ✓ ✓

Estado del dispositivo

✓ ✓ ✓

Dirección IP

Ubicación ✓ ✓ ✓ ✓

Red ✓ ✓ ✓

Envío de mensaje de soporte (solo correo electrónico y SMS)

✓ ✓ ✓

1 – Enterprise también incluye IoT Enterprise y Rama de servicio a largo plazo (LTSB). LTSB es una imagen de Windows 10 separada con muchas aplicaciones nativas eliminadas, como Microsoft Edge, Cortana y Microsoft Store. Parte de la funcionalidad de Workspace ONE UEM que usa estas funciones no tendrá soporte.

2 – Microsoft Passport requiere protección basada en hardware TPM 1.2 o 2.0 de credenciales o claves; si no hay TPM o no está configurado, la protección mediante credenciales o claves estará basada en el sistema operativo.

3 – El cifrado de dispositivos para la versión Home no incluye el cifrado de BitLocker.

4 – Solo se puede descargar de Microsoft Store. Windows 10 Home no admite el envío de aplicaciones internas.

5 – Requiere Workspace ONE Intelligent Hub descargado de Microsoft Store.


VMware, Inc. 9

Resumen de inscripción de escritorio de Windows 2Los métodos de inscripción de los dispositivos de escritorio de Windows varían en función de la implementación de Workspace ONE UEM, las integraciones empresariales y el sistema operativo del dispositivo. La plataforma de escritorio de Windows admite varias versiones de sistemas operativos y SKU de los dispositivos Windows.

Puntos básicos de inscripciónAntes de inscribir dispositivos, asegúrese de que dispone de la información necesaria para la inscripción. Para obtener más información, consulte Requisitos de inscripción de escritorio de Windows.

Simplifique la inscripción de usuarios finales mediante la configuración de los servicios de detección automática de Windows (WADS) en su entorno de Workspace ONE UEM. WADS es compatible con una solución en las instalaciones y WADS basado en la nube.

Los métodos de inscripción utilizan la funcionalidad MDM nativa del sistema operativo Windows, Workspace ONE Intelligent Hub para Windows o la integración con Azure AD.

Si quiere usar Workspace ONE UEM para administrar dispositivos Windows administrados mediante SCCM, debe descargar VMware AirWatch SCCM Integration Client. Utilice este cliente para inscribir dispositivos administrados con SCCM en Workspace ONE UEM.

Workspace ONE Intelligent Hub para la inscripción de WindowsEl flujo de inscripción más sencillo utiliza Workspace ONE Intelligent Hub para Windows para inscribir dispositivos. Los usuarios finales solo tienen que descargar Workspace ONE Intelligent Hub en awagent.com y seguir las indicaciones para inscribirse.

Considere la posibilidad de usar Workspace ONE Intelligent Hub para el flujo de trabajo de inscripción de Windows. Workspace ONE UEM admite otros flujos de inscripción que cumplan con escenarios de uso específicos.

VMware, Inc. 10

Inscripción mediante integración con Azure ADMediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se inscriben automáticamente en Workspace ONE UEM con una interacción mínima por parte del usuario final. La inscripción mediante la integración con Azure AD simplifica este proceso tanto para el usuario como para el administrador. La integración con Azure AD admite tres flujos de inscripción: unirse a Azure AD, inscripción de configuración rápida e inscripción con Office 365. Todos los métodos requieren que se configure la integración de Azure AD con Workspace ONE UEM.

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurar Workspace ONE UEM y Azure AD.

Inscripción MDM nativaWorkspace ONE UEM admite la inscripción de dispositivos de escritorio de Windows a través del flujo de inscripción MDM nativa. El nombre de la solución MDM nativa varía según la versión de Windows. Este flujo de inscripción cambia según la versión de Windows y de si utiliza WADS.

Inscripción preparadaSi desea configurar la administración de dispositivos en un equipo con Windows 10 antes de enviar un dispositivo al usuario final, plantéese el uso de la inscripción preparada de dispositivos de escritorio de Windows. Este flujo de inscripción le permite inscribir un dispositivo a través de Workspace ONE Intelligent Hub, instalar los perfiles en dicho dispositivo y, posteriormente, enviarlo al usuario final. Los dos métodos de inscripción preparada son la instalación manual y la instalación de línea de comandos. La instalación manual requiere que los dispositivos estén unidos al dominio para una integración con Azure AD. La instalación de línea de comandos funciona en todos los dispositivos con Windows 10.

Inscripción automática de escritorio de WindowsWorkspace ONE UEM es compatible con la inscripción automática de dispositivos específicos de escritorio de Windows adquiridos mediante Dell. La inscripción automática simplifica el proceso al inscribir de manera automática los dispositivos registrados con el método de inscripción mediante configuración rápida.

El Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch solo se aplica para seleccionar dispositivos para empresas de Dell con la imagen correcta de Windows 10. La funcionalidad de inscripción automática debe adquirirse dentro del pedido de Dell.


VMware, Inc. 11

Inscripción y aprovisionamiento en masaEl aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10 y los inscribe en Workspace ONE UEM. El aprovisionamiento en masa requiere la descarga del kit de evaluación y desarrollo de Microsoft y la instalación de la herramienta Diseñador de imágenes y configuraciones. Esta herramienta crea paquetes de aprovisionamiento que se utilizan para crear imágenes de los dispositivos.

Gracias a este flujo de aprovisionamiento en masa, puede incluir ajustes de Workspace ONE UEM en el paquete de aprovisionamiento para que los dispositivos aprovisionados se inscriban automáticamente durante el proceso de configuración rápida inicial.


n Dispositivos de escritorio de Windows y Windows 7

n Workspace ONE Intelligent Hub para la inscripción de Windows

n Inscripción de MDM nativa para escritorio de Windows

n Inscripción preparada

n Servicio de aprovisionamiento de Windows 10 de VMware AirWatch

n Inscripción mediante integración con Azure AD

n Inscripción y aprovisionamiento en masa

Dispositivos de escritorio de Windows y Windows 7Puede inscribir sus dispositivos Windows en una de las dos plataformas. La plataforma determina la funcionalidad de administración de dispositivos disponible para sus dispositivos Windows.

La plataforma de escritorio de Windows es compatible con dispositivos con Windows 10 mediante la inscripción de MDM nativa. La plataforma de Windows 7 es compatible con dispositivos con Windows 7, Windows 8 y Windows 10 mediante la inscripción con Workspace ONE Intelligent Hub para Windows.

La tabla siguiente muestra las diferencias entre los métodos de inscripción. Considere la posibilidad de inscribir los dispositivos con Windows 10 como dispositivos de escritorio de Windows, dada su mayor funcionalidad de administración de dispositivos.

Funcionalidad Windows 7 Escritorio de Windows

Método de inscripción MDM nativa ✓

Workspace ONE Intelligent HubInscripción

✓ ✓

Soporte de AirWatch Protection Agent ✓ ✓

Soporte completo para funcionalidad de Windows 10

✓


VMware, Inc. 12

Funcionalidad Windows 7 Escritorio de Windows

Soporte para dispositivos administrados con SCCM

✓ ✓

Soporte para dispositivos Windows 7 ✓

Workspace ONE Intelligent Hub para la inscripción de WindowsWorkspace ONE Intelligent Hub proporciona un recurso único de inscripción y facilita la comunicación entre el dispositivo y Workspace ONE UEM Console. Use Workspace ONE Intelligent Hub para simplificar la inscripción y habilitar la funcionalidad de MDM completamente.

Se aconseja utilizar Workspace ONE Intelligent Hub para Windows con el fin de inscribir sus dispositivos de escritorio de Windows, ya que Workspace ONE Intelligent Hub ofrece el flujo de inscripción más sencillo para los usuarios. Si tiene configurado Workspace ONE, al descargar Workspace ONE Intelligent Hub desde awagent.com también se descargará la aplicación Workspace ONE. Cuando termine la inscripción con Workspace ONE Intelligent Hub, la aplicación Workspace ONE se iniciará automáticamente y se configurará en función de su implementación de Workspace ONE UEM.

Workspace ONE Intelligent Hub Ofrece una funcionalidad adicional para los dispositivos de escritorio de Windows, incluidos los servicios de ubicación.

Puede simplificar la inscripción para sus usuarios finales con la detección automática de Windows. La detección automática de Windows permite a los usuarios finales introducir su dirección de correo electrónico para llenar los campos automáticamente con sus credenciales de inscripción.

AirWatch Cloud MessagingAirWatch Cloud Messaging (AWCM) permite el envío de políticas y comandos en tiempo real a Workspace ONE Intelligent Hub. Sin AWCM, Workspace ONE Intelligent Hub solo recibe políticas y comandos durante los intervalos de verificaciones de estado regulares establecidos en la consola de AirWatch. Considere la posibilidad de utilizar AWCM para enviar comandos y políticas en tiempo real a dispositivos de escritorio de Windows.

Inscripción con el Workspace ONE Intelligent Hub de VMwareUtilice Workspace ONE Intelligent Hub para iniciar la inscripción de los dispositivos de escritorio de Windows. Workspace ONE Intelligent Hub ofrece un flujo de inscripción simplificada para los usuarios finales, lo cual permite una inscripción rápida y fácil.

Procedimiento

1 En el dispositivo escritorio de Windows, navegue a https://getwsone.com.

2 Instale el Workspace ONE Intelligent Hub. Cuando la instalación se haya completado, inicie Workspace ONE Intelligent Hub.


VMware, Inc. 13

http://awagent.com/

https://getwsone.com

3 Seleccione Conectar una cuenta profesional o educativa. Workspace ONE Intelligent Hub abre la aplicación nativa de Workplace para completar la inscripción.

4 Introduzca la dirección de correo electrónico y seleccione Siguiente.

5 Si no está utilizando el servicio de detección automática de Windows, complete los siguientes ajustes:

a Introduzca la URL del servidor y seleccione Siguiente.

b Introduzca el ID de grupo y seleccione Siguiente.

c Introduzca el nombre de usuario y la contraseña.

6 Acepte los Términos de uso.

7 Seleccione Listo.

8 Abra Workspace ONE Intelligent Hub y complete la inscripción.

Inscripción de MDM nativa para escritorio de WindowsTodos los métodos de inscripción de escritorio de Windows utilizan el cliente de MDM nativa de Work Access. Use la inscripción de MDM nativa para inscribir dispositivos tanto corporativos como BYOD en el mismo flujo de inscripción.

Work Access procesa primero un plan de trabajo de Azure AD para dominios conectados a Office 365 o Azure AD cuando selecciona Conectar y no completa automáticamente el plan de trabajo de inscripción. Si usa Office 365 o Azure AD sin licencia Premium, es recomendable usar Workspace ONE Intelligent Hub, en lugar de la inscripción de MDM nativa, para inscribir dispositivos Windows 10. Para completar el plan de trabajo de inscripción mediante inscripción de MDM nativa, seleccione Conectar dos veces. Si tiene una licencia Premium de Azure AD, puede habilitar Requerir administración en su instancia de Azure para que la inscripción de MDM nativa complete el flujo de inscripción después del plan de trabajo de Azure. Puede usar la inscripción de MDM nativa sin problemas si no usa Office 365 o Azure AD.

Solo aquellos usuarios que tengan permisos de administración local en el dispositivo podrán inscribir un dispositivo en Workspace ONE UEM y habilitar MDM. Los permisos de administrador de dominio no sirven para inscribir un dispositivo. Para inscribir un dispositivo con un usuario estándar, debe usar el aprovisionamiento en masa para dispositivos con Windows 10.

Mediante el servicio de detección automática de Windows se simplifica la inscripción para el usuario final, ya que se necesita menos interacción durante la inscripción. Con el servicio de detección automática de Windows, tiene que seguir los pasos que se describen en VMware AirWatch Windows Auto-Discovery Service Installation Guide.

Los dispositivos que se han unido a un dominio se pueden inscribir mediante la inscripción nativa a través de Workplace. La dirección de correo electrónico introducida en la configuración se llena automáticamente con el atributo UPN de Active Directory. Si el usuario final quiere utilizar una dirección de correo electrónico diferente, debe descargarse la actualización opcional.


VMware, Inc. 14

Inscripción mediante Work Access con el servicio de detección automática de WindowsWork Access es el método de inscripción de MDM nativa para los dispositivos Windows 10. La inscripción a través de Work Access y mediante el servicio de detección automática de Windows ofrece un flujo de inscripción rápido y fácil para los usuarios finales.

Requisitos previos

Si registra su dominio en Workspace ONE UEM, ya no hay necesidad de introducir el ID de grupo durante la inscripción.

Nota Se aconseja usar Workspace ONE Intelligent Hub para Windows con el fin de inscribir sus dispositivos Windows 10 en lugar de la inscripción MDM nativa. El flujo de inscripción de MDM nativa no inscribe dispositivos en MDM si utiliza Office 365 o Azure AD en el mismo dominio.

Procedimiento

1 Navegue en el dispositivo a Ajustes > Cuentas > Work Access y seleccione Inscribir en la administración del dispositivo.

2 Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuario final, seguido del dominio del entorno con el formato [email protected] (como [email protected]). Seleccione Continuar.


VMware, Inc. 15

3 Introduzca el ID de grupo y seleccione Siguiente.

4 Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de su entorno de Workspace ONE UEM.

5 (opcional) Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo con estos.

Este paso es opcional y solo se muestra si se ha habilitado en Workspace ONE UEM Console.

6 (opcional) Seleccione Sí para guardar la información de inicio de sesión.

Tras esto, el dispositivo intenta conectarse a Workspace ONE UEM. Si establece conexión correctamente, aparece el icono de un maletín con Workspace ONE UEM escrito al lado. Este icono refleja la correcta conexión a Workspace ONE UEM.

Inscripción mediante Work Access sin el servicio de detección automática de WindowsWork Access es el método de inscripción de MDM nativa para los dispositivos Windows 10. La inscripción a través de Work Access sin WADS requiere que se introduzcan manualmente las credenciales de usuario final.


VMware, Inc. 16

Requisitos previos

Nota Se aconseja usar Workspace ONE Intelligent Hub para Windows con el fin de inscribir sus dispositivos Windows 10 en lugar de la inscripción MDM nativa. El flujo de inscripción de MDM nativa no inscribe dispositivos en MDM si utiliza Office 365 o Azure AD en el mismo dominio.

Procedimiento

1 Navegue en el dispositivo a Ajustes > Cuentas > Work Access y seleccione Inscribir en la administración del dispositivo.

2 Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuario final, seguido del dominio del entorno con el formato [email protected] (como [email protected]).

3 Introduzca la dirección del servidor como sigue: <URLdeServiciosdelDispositivo>/DeviceServices/Discovery.aws. No incluya “https://” en la dirección URL.

ds156.awmdm.com/deviceservices/discovery.aws.

4 Seleccione Continuar.

5 Introduzca el ID de grupo y seleccione Siguiente.


VMware, Inc. 17

6 Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de su entorno de Workspace ONE UEM.

7 (opcional) Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo con estos.

Este paso es opcional y solo se muestra si ha elegido habilitarlo.

8 (opcional) Seleccione Sí para guardar la información de inicio de sesión.

Tras esto, el dispositivo intenta conectarse a Workspace ONE UEM. Si establece conexión correctamente, aparece el icono de un maletín con Workspace ONE UEM escrito al lado. Este icono refleja la correcta conexión a Workspace ONE UEM.

Inscripción preparadaHabitualmente los administradores prefieren configurar la administración del dispositivo antes de enviarlo al usuario final. La inscripción preparada le permite inscribir un dispositivo con Workspace ONE Intelligent Hub, instalar perfiles en el dispositivo y enviarlo a un usuario final.


VMware, Inc. 18

También le permite inscribir su dispositivo con Windows 10 en Workspace ONE UEM. Esta inscripción requiere que Workspace ONE Intelligent Hub se inicie. Cualquier perfil asignado en el dispositivo se descarga en este último tras su inscripción. Una vez que el dispositivo esté completamente inscrito y configurado, puede enviarlo a los usuarios finales. Cuando el usuario final inicia sesión en el dispositivo, Workspace ONE Intelligent Hub actualiza el registro del dispositivo en Consola Workspace ONE UEM. Workspace ONE UEM reasigna el dispositivo al usuario final y envía los perfiles de usuario al dispositivo.

Hay dos métodos de preparación:

n Instalación manual: descargue e instale Workspace ONE Intelligent Hub e introduzca las credenciales de inscripción. Este método requiere que los dispositivos estén unidos al dominio antes de la inscripción.

n Instalación mediante línea de comandos: descargue Workspace ONE Intelligent Hub y después instale e inscriba el dispositivo mediante la línea de comandos.

La inscripción se puede completar de dos formas: con la actualización del registro de UEM console cuando un usuario se inscribe en un dispositivo unido al dominio, o bien mediante la comparación del nombre del usuario inscrito con una lista de números de serie registrados previamente.

Importación masiva de números de serie de dispositivosImporte números de serie de dispositivos que puede usar en la inscripción preparada para agregar dispositivos rápidamente a Workspace ONE UEM Console. La importación en masa requiere un archivo CSV con todos los números de serie que quiere importar.

Procedimiento

1 Acceda a Cuentas > Usuarios > Vista de lista o Dispositivos > Ciclo de vida > Estado de inscripción.

a Seleccione Agregar y luego Importar por lotes para ver la pantalla Importar por lotes.

2 Complete todas las opciones requeridas. Nombre del lote, Descripción del lote y Tipo de lote.

3 En la opción Archivo por lotes (.csv) hay una lista de plantillas basadas en tareas que puede utilizar para cargar los usuarios y sus dispositivos en masa.

4 Seleccione la plantilla de descarga adecuada y guarde el archivo de valores separados por comas (CSV) en un lugar accesible.

5 Busque el archivo CSV guardado, ábralo con Excel e introduzca toda la información relevante de los dispositivos que desea importar. Cada plantilla se rellena automáticamente con ejemplos para demostrar qué tipo de información (y su formato) debe incluirse en cada columna.

Los campos del archivo CSV con un asterisco (*) son obligatorios.

6 Guarde la plantilla que rellenó como un archivo CSV. En la consola de UEM, seleccione el botón Seleccionar archivo en la pantalla Importar por lotes, acceda a la ruta donde guardó el archivo CSV y selecciónelo.

7 Seleccione Guardar para completar la inscripción de todos los usuarios enumerados y los dispositivos correspondientes.


VMware, Inc. 19

Inscripción mediante preparación con línea de comandosSimplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivos de escritorio de Windows con la línea de comandos de Windows. Este método de inscripción inscribe el dispositivo y registra los perfiles en este en función de las credenciales de usuario introducidas.

Importante No cambie el nombre del archivo AirWatchAgent.msi, ya que interrumpiría el comando de preparación. Además, no utilice la importación masiva de números de serie si desea utilizar la preparación con línea de comandos.

Nota Este producto no debe utilizarse para llevar a cabo la instalación silenciosa de VMware Workspace ONE Intelligent Hub para Windows en dispositivos BYOD. Si realiza la instalación silenciosa en dispositivos BYOD, será el único responsable de facilitar los avisos necesarios a los usuarios finales del dispositivo con respecto al uso de la instalación silenciosa y los datos recopilados a partir de aplicaciones que se hayan instalado de forma silenciosa, para lo que la ley exige tanto el consentimiento de los usuarios finales del dispositivo como la conformidad con la legislación vigente.

Procedimiento

1 Navegue a www.awagent.com para descargar Workspace ONE Intelligent Hub.

Descargue solo el Workspace ONE Intelligent Hub . No inicie el ejecutable ni seleccione Ejecutar, ya que iniciaría un proceso de preparación estándar contrario al objetivo de la instalación silenciosa. Si es necesario, mueva Workspace ONE Intelligent Hub de la carpeta de descarga a una carpeta local o de red.

2 Abra una línea de comandos o cree un archivo BAT e introduzca todas las rutas, parámetros y valores necesarios sirviéndose de la información que se muestra en la sección Parámetros y valores para la inscripción silenciosa.

3 Ejecute el comando. Para ver ejemplos de sintaxis, consulte Parámetros y valores para la inscripción silenciosa.

Después de que el comando se ejecute, el dispositivo se inscribe en Workspace ONE UEM. Si el dispositivo está unido al dominio, Workspace ONE Intelligent Hub actualiza el registro del dispositivo de Workspace ONE UEM Console con el usuario correcto.

Inscripción mediante inscripción preparada manualSimplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivos Windows 10 a través de Workspace ONE Intelligent Hub. Este método de inscripción inscribe el dispositivo y descarga los perfiles en este para que el usuario final solo tenga que iniciar sesión en el dispositivo y empezar a usarlo.

Requisitos previos

Estos dispositivos deben estar unidos a un dominio.


VMware, Inc. 20

Procedimiento

1 Navegue a www.awagent.com para descargar el instalador de Workspace ONE Intelligent Hub.

2 Inicie el instalador cuando se haya descargado.

3 Seleccione Ejecutar para iniciar la instalación.

4 Seleccione Correo electrónico si ha habilitado la detección automática de AirWatch; de lo contrario, seleccione Detalles del servidor.

5 Complete la configuración que sea necesaria en función del tipo de autenticación seleccionado:

a Introduzca la dirección de correo electrónico para rellenar automáticamente la pantalla de detalles. Seleccione Siguiente para introducir los datos.

b Introduzca el nombre del servidor y el ID de grupo si no usa la detección automática de AirWatch para completar la configuración. Seleccione Siguiente.

6 Introduzca el nombre de usuario y la contraseña provisionales y seleccione Siguiente.

7 Complete cualquier otra pantalla adicional.

8 Seleccione Finalizar para completar la instalación

Cuando Workspace ONE Intelligent Hub detecta un usuario de inscripción preparada, se ejecuta el proceso de escucha de Workspace ONE Intelligent Hub, que escucha el siguiente inicio de sesión de Windows. Cuando el usuario final inicia sesión en el dispositivo, el proceso de escucha de Workspace ONE Intelligent Hub lee el UPN y la dirección de correo electrónico del usuario en el registro del dispositivo. Esta información se envía a Workspace ONE UEM Console y se actualiza el registro del dispositivo de modo que se registre el dispositivo para el usuario.

Parámetros y valores para la inscripción silenciosaLa inscripción silenciosa requiere entradas de línea de comandos o un archivo BAT para controlar cómo realiza Workspace ONE Intelligent Hub las descargas e instalaciones en el dispositivo.

Nota Este producto no debe utilizarse para llevar a cabo la instalación silenciosa de VMware Workspace ONE Intelligent Hub para Windows en dispositivos BYOD. Si realiza la instalación silenciosa en dispositivos BYOD, será el único responsable de facilitar los avisos necesarios a los usuarios finales del dispositivo con respecto al uso de la instalación silenciosa y los datos recopilados a partir de aplicaciones que se hayan instalado de forma silenciosa, para lo que la ley exige tanto el consentimiento de los usuarios finales del dispositivo como la conformidad con la legislación vigente.

La siguiente tabla incluye todos los parámetros de inscripción que pueden introducirse en una línea de comandos o en un archivo BAT, así como sus respectivos valores. Los parámetros marcados en azul y verde son los parámetros mínimos que se requieren para la inscripción. El azul significa solo imagen. El azul con el verde designa la inscripción del usuario.


VMware, Inc. 21

Parámetros de inscripción Valores para añadir al parámetro

ENROLL Seleccione "Y" para realizar la inscripción.

Seleccione "N" para solo imagen.

IMAGEN Seleccione "Y" para imagen.

Seleccione "N" para inscripción.

SERVER Introduzca la dirección URL de la inscripción.

LGName Introduzca el nombre del grupo organizativo.

USERNAME Introduzca el nombre del usuario para el que se realiza la inscripción o el nombre de usuario de inscripción preparada si se realiza una inscripción preparada en el dispositivo en nombre de un usuario.

PASSWORD Introduzca la contraseña del usuario para el que se realiza la inscripción o la contraseña del usuario de inscripción preparada si se realiza una inscripción preparada en el dispositivo en nombre de un usuario.

ASSIGNTOLOGGEDINUSER Seleccione "Y" para asignar el dispositivo al usuario de dominio que ha iniciado sesión.

STAGEUSERNAME Introduzca el nombre del usuario que se inscribe.

SECURITYTYPE Es necesario si la cuenta de usuario se añade a Workspace ONE UEM Console durante el proceso de inscripción:

n Seleccione "D" para Directorio.

n Seleccione "B" para el tipo Usuario básico.

STAGEEMAILUSRNAME* Introduzca el nombre de usuario del correo electrónico del usuario que se inscribe.

STAGEPASSWORD Introduzca la contraseña del usuario que se inscribe.

STAGEEMAIL* Introduzca la dirección de correo electrónico del usuario que se inscribe.

DEVICEOWNERSHIPTYPE* Seleccione "CD" para Corporativo - Dedicado.

Seleccione "CS" para Corporativo - Compartido.

Seleccione "EO" para Propiedad del empleado.

Seleccione "N" para no elegir ninguno.

INSTALLDIR* Introduzca la ruta del directorio si quiere cambiar la ruta de instalación.

Nota Nota: Si este parámetro no está presente, Workspace ONE Intelligent Hub utiliza la ruta predeterminada: C:\Program Files (x86)\AirWatch.

DOWNLOADWSBUNDLE Seleccione "Y" para descargar el catálogo de VMware Workspace ONE, junto con Workspace ONE Intelligent Hub para Windows.

Los elementos marcados con un asterisco (*) son opcionales.

Ejemplos de inscripción silenciosaA continuación se muestran varios casos prácticos en los que se emplean los parámetros de inscripción y los valores que pueden introducirse en una línea de comandos o emplear para crear un archivo BAT. Al realizar cualquiera de estos ejemplos, el dispositivo Windows se inscribe de forma silenciosa, sin que el usuario tenga que seleccionar ningún botón de confirmación.


VMware, Inc. 22

Instalación del agente para solo imagen sin inscripciónA continuación se muestra un ejemplo de instalación de Workspace ONE Intelligent Hub para solo imagen sin inscripción, utilizando los parámetros mínimos requeridos para solo imagen.

AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y

Inscripción de usuario básicoA continuación se muestra un ejemplo de cómo utilizar los parámetros mínimos que se requieren para la inscripción básica:

AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

Workspace ONE Intelligent HubInstalado en otro lugarA continuación se muestra un ejemplo de AirwatchAgent.msi en una ubicación distinta:

C:\AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

Directorio de instalación y Workspace ONE Intelligent Hub en la unidad de redA continuación se muestra un ejemplo del parámetro de directorio para la instalación con Workspace ONE Intelligent Hub en una unidad de red:

Importante Añada comillas extra para el parámetro INSTALLDIR cuando exista un espacio dentro del parámetro.

Q:\AirwatchAgent.msi /quiet INSTALLDIR=\"E:\Install Win32\" ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

Todos los parámetros y valores disponiblesA continuación se muestra un ejemplo de la sintaxis al utilizar todos los valores y parámetros que se muestran en la tabla anterior.

<AirwatchAgent.msi> /quiet INSTALLDIR=\"<Ruta del directorio>" ENROLL=<Y/N> IMAGE=<Y/N> SERVER=<URL empresa> LGNAME=<ID grupo de ubicación> USERNAME=<Nombre de usuario> PASSWORD=<Contraseña nombre de usuario> STAGEUSERNAME=<Nombre de usuario de preparación> SECURITYTYPE=<D/B> STAGEEMAILUSRNAME=<Inscripción de usuario> STAGEPASSWORD=<Contraseña para inscripción de usuario> STAGEEMAIL=<Dirección de correo electrónico para inscripción de usuario> DEVICEOWNERSHIPTYPE=<CD/CS/EO/N>ASSIGNTOLOGGEDINUSER=<Y/N>


VMware, Inc. 23

Servicio de aprovisionamiento de Windows 10 de VMware AirWatchWorkspace ONE UEM es compatible con la inscripción automática de dispositivos específicos de escritorio de Windows adquiridos mediante Dell. El Servicio de aprovisionamiento de Windows 10 de VMware AirWatch simplifica el proceso al inscribir de manera automática los dispositivos registrados con el método de inscripción mediante configuración rápida.

El Servicio de aprovisionamiento de Windows 10 de VMware AirWatch solo es posible en dispositivos concretos de Dell con la imagen correcta de Windows 10. La funcionalidad de inscripción automática debe adquirirse dentro del pedido de Dell. Workspace ONE UEM solo es compatible con Windows 10 Pro, Enterprise y SKU de educación para aprovisionamiento en la nube.

El Servicio de aprovisionamiento de Windows 10 de VMware AirWatch empareja los dispositivos registrados con los usuarios y, de forma automática, inscribe el dispositivo siguiendo el método de inscripción mediante configuración rápida. Cuando el usuario final se registra en el dispositivo, el agente de aprovisionamiento del dispositivo recibe los perfiles y aplicaciones asignadas al dispositivo y al usuario. Esta función es similar al Programa de Inscripción de Dispositivos Apple.

Cuando compra los dispositivos en Dell, Workspace ONE UEM recibe los datos de estos dispositivos. Para utilizar la inscripción automática, debe registrar los números de serie de todos los dispositivos comprados en Dell. Workspace ONE UEM empareja el número de serie con el proporcionado por Dell para que pueda emplearse con AirWatch Auto Discovery.

Debe registrar los dispositivos con una cuenta de usuario antes de enviar los dispositivos a los usuarios finales.

Para lograr una experiencia de inscripción sin fisuras, considere la posibilidad de configurar el método de autenticación de token de acceso externo de VMware Identity Manager. La autenticación de token de acceso externo permite que Workspace ONE UEM se abra y envíe aplicaciones al dispositivo automáticamente. Cuando esta función está habilitada, Workspace ONE UEM autentica y provee al usuario automáticamente de una experiencia de primer inicio en la que se muestra el progreso de la instalación de aplicaciones y políticas.

Importante "Los dispositivos inscritos a través de Servicio de aprovisionamiento de Windows 10 de VMware AirWatchno se volverán a inscribir automáticamente durante un restablecimiento de fábrica. El Servicio de aprovisionamiento de Windows 10 de VMware AirWatchsolo funciona para la primera inscripción.

Configuración del aprovisionamiento de Windows 10Configure el Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch para inscribir dispositivos Dell de escritorio de Windows automáticamente. La inscripción automática compara los números de serie de los dispositivos registrados con una lista suministrada por Dell para inscribir dispositivos mediante configuración rápida.


VMware, Inc. 24

Requisitos previos

Haber adquirido el servicio de aprovisionamiento de Windows 10 de VMware AirWatch dentro de un pedido realizado a Dell.

Procedimiento

1 Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows > Inscripción automática.

2 Cómo configurar los ajustes de inscripción automática:

Ajustes Descripción

Inscripción automática Seleccione Habilitar para utilizar el servicio de aprovisionamiento de Windows 10 de VMware AirWatch.

Intervalo de sincronización Seleccione la cantidad de tiempo entre los intentos de sincronización entre Workspace ONE Intelligent Hub y la consola de Workspace ONE UEM.

Aplique las políticas antes de iniciar sesión

Seleccione Habilitar para aplicar las políticas del dispositivo antes de que el usuario inicie sesión en él.

Tiempo máximo antes del inicio de sesión

Seleccione el número máximo de minutos que pueden transcurrir antes de que un usuario inicie sesión tras concluir la inscripción mediante configuración rápida.

3 Seleccione Guardar.

4 Registre los números de serie de dispositivo con Workspace ONE UEM. Este paso se ha completado para los clientes de SaaS, aunque solo es necesario para clientes locales. Valide que existen los registros del registro de dispositivos. Si no, complete los pasos siguientes. Existen tres flujos de registro de dispositivos:

a Navegue a Cuentas > Usuarios > Agregar > Agregar usuarioy agregue la cuenta de usuario. Una vez haya añadido el usuario, seleccione Guardar y añadir dispositivo. A continuación, complete la configuración de Añadir dispositivo. Debe configurar la plataforma para Escritorio de Windows.

b Navegue a Cuentas > Usuarios > Agregar > Importar por lotes. Descargue y complete la plantilla CSV para usuario y/o dispositivo. Cargue el CSV y seleccione Importar. Debe introducir Escritorio de Windows como Plataforma de dispositivo al completar la plantilla. Debe configurar la plataforma para Escritorio de Windows.

c Navegue a Ciclo de vida > Estado de inscripción > Añadir > Registrar dispositivo. Debe configurar la plataforma para Escritorio de Windows.

Inscripción mediante integración con Azure ADMediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se pueden inscribir automáticamente en Workspace ONE UEM con una interacción mínima por parte del usuario final. La inscripción mediante la integración con Azure AD simplifica este proceso tanto para el usuario como para el administrador.


VMware, Inc. 25

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurar Workspace ONE UEM y Azure AD. Esta configuración requiere introducir información en las implementaciones de Azure AD y Workspace ONE UEM para facilitar la comunicación.

La integración con Azure AD admite tres flujos de inscripción: unirse a Azure AD, inscripción de configuración rápida e inscripción con Office 365. Todos los métodos requieren que se configure la integración de Azure AD con Workspace ONE UEM.

Importante La inscripción mediante la integración de Azure AD requiere Windows 10 y una licencia Premium de Azure Active Directory.

Configuración de la integración de los servicios de identidad de Azure ADPara poder utilizar Azure AD para inscribir los dispositivos Windows, debe configurar Workspace ONE UEM de forma que use Azure AD como servicio de identidad. Para habilitar Azure AD se deben completar dos pasos durante los que se agregan los detalles de la inscripción de MDM a Azure.

Requisitos previos

Para integrar Azure AD con Workspace ONE UEM, debe tener una suscripción Azure AD Premium P1 o P2. La integración de Azure AD con Workspace ONE UEM debe configurarse en el inquilino en el que está configurada la instancia de Active Directory (como LDAP).

Importante Si establece la Configuración actual como Reemplazar en la página de configuración del sistema de "Servicios de directorio", los ajustes de LDAP se deben configurar y guardar antes de habilitar Azure AD para los servicios de identidad.

Procedimiento

1 Navegue a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > Servicios de directorio.

2 Habilite Utilizar Azure AD para los servicios de identidad en Opciones avanzadas. Una vez habilitado, anote las direcciones URL de los términos de uso de MDM y de inscripción de MDM, ya que se necesitan al configurar el directorio de Azure.

3 Inicie sesión en el portal de administración de Azure con una cuenta de Microsoft o una cuenta de una organización.

4 Seleccione el directorio y desplácese a la pestaña Movilidad (MDM y MAM). Esta pestaña era la pestaña Aplicaciones antes.

5 Seleccione Agregar aplicación y la aplicación AirWatch by VMware.

Si el ámbito de usuario está establecido en "Ninguno", puede utilizar las direcciones URL predeterminadas. Si procede, también puede utilizar direcciones URL de marcador de posición.


VMware, Inc. 26

6 Deje la aplicación AirWatch by VMware en los ajustes predeterminados. Cambie Ámbito de usuario de MDM a Ninguno.


VMware, Inc. 27

7 Vuelva a seleccionar Agregar aplicación y seleccione Configuración de la aplicación MDM local. Puede cambiar el nombre de la aplicación cuando la agregue.

8 Configure la aplicación MDM local; para ello, introduzca las direcciones URL URL de inscripción de MDM y Términos de uso de MDM desde Workspace ONE UEM Console.

9 Seleccione Configuración de la aplicación MDM local y, luego, seleccione Permisos necesarios > Active Directory de Microsoft Azure.

10 Cambie los permisos de la aplicación como se indica a continuación:

a Seleccione Leer y escribir datos del directorio.

b Seleccione Leer y escribir dispositivos.

11 Cambie los permisos delegados como se indica a continuación:

a Seleccione Acceder al directorio como usuario que ha iniciado sesión.

b Seleccione Leer datos del directorio.

c Seleccione Iniciar sesión y leer perfil de usuario.

12 Seleccione la opción Propiedades e introduzca el host de servicios de dispositivo en el cuadro de texto URI de id. de aplicación.

Utilice el mismo host que usó en los cuadros de texto URL de inscripción de MDM y Términos de uso de MDM.

https://<SERVIDOR DE MDM DS>

13 Establezca Ámbito de usuario de MDM en Todos para aplicar esta configuración a todos los usuarios.

También puede limitar la inscripción OOBE a determinados grupos de Azure AD si selecciona Algunos y agrega los grupos de su preferencia.

14 Seleccione Guardar para continuar.


VMware, Inc. 28

15 Vaya a la pestaña Propiedades y busque el identificador de Azure Directory. Esta opción se denominaba Identificador de inquilino antes.

16 Seleccione Detalles de cuenta de usuario en la esquina superior derecha. El nombre del inquilino es el nombre de su directorio de Azure. Puede encontrar el nombre bajo la pestaña Dominio.

17 Regrese a la consola de UEM y seleccione Utilizar Azure AD para los servicios de identidad para configurar la integración de Azure AD.

18 Introduzca el Id. de Azure Directory como Identificador de inquilino. Introduzca el dominio predeterminado como Nombre de inquilino de Azure Directory.

19 Seleccione Guardar para finalizar el proceso.

Inscripción de un dispositivo con Azure ADInscriba dispositivos mediante integración con Azure AD para inscribir automáticamente un dispositivo en el grupo organizativo correcto de Workspace ONE UEM. Los dispositivos inscritos mediante Azure AD se unen completamente, lo que significa que todos los usuarios del dispositivo se unen al dominio.

Este flujo de inscripción está pensado para dispositivos que aún no se han unido a Azure AD. Para obtener más información sobre la inscripción en un dispositivo administrado de Azure AD, consulte Inscripción en Workspace ONE UEM de un dispositivo administrado con Azure AD

Procedimiento

1 En el dispositivo Windows 10, vaya a Configuración > Cuentas > Obtener acceso a trabajo o escuela. Seleccione Continuar.


VMware, Inc. 29

2 Introduzca su Dirección de correo electrónico. Seleccione Siguiente.

3 Confirme que aparece la página de bienvenida de Workspace ONE UEM. Seleccione Continuar.

4 Seleccione Aceptar si están habilitados los términos de uso.

5 Seleccione Unirse para confirmar que desea inscribirse en Workspace ONE UEM.

6 Seleccione Finalizar para terminar de unir el dispositivo a Workspace ONE UEM. El dispositivo descargará las políticas y los perfiles correspondientes.

Inscripción en Workspace ONE UEM de un dispositivo administrado con Azure ADLos dispositivos que se unen a Azure AD utilizan un flujo de inscripción diferente a los dispositivos que se inscriben mediante la integración con Azure AD. Utilice este flujo para inscribir en Workspace ONE UEM un dispositivo que ya está unido a Azure AD.

Requisitos previos

n Sistema operativo Windows 10 con número de compilación 14393.82 y superior.

n Actualización KB3176934 instalada.

n Ninguna aplicación MDM instalada en el portal de administración de Azure AD.

n Cuenta de Azure AD configurada en el dispositivo

Procedimiento

1 En el dispositivo, navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela y seleccione Inscribirse solo en administración de dispositivos.

También se puede inscribir a través de VMware Workspace ONE UEM Unified Agent para Windows.

2 Finalice el proceso de inscripción. Debe introducir una dirección de correo electrónico con un dominio diferente al de su cuenta de Azure AD.

a Si utiliza la detección automática de Windows, consulte Inscripción mediante Work Access con el servicio de detección automática de Windows.

b Si no utiliza la detección automática de Windows, consulte Inscripción mediante Work Access con el servicio de detección automática de Windows.


VMware, Inc. 30

3 Navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela y asegúrese de que se han agregado una cuenta de Azure AD y una cuenta de Workspace ONE UEM MDM.

Inscripción mediante configuración rápidaLa inscripción mediante la configuración rápida (OOBE) inscribe el dispositivo automáticamente en el grupo organizativo correcto como parte de la configuración e instalación inicial de un dispositivo Windows 10.

Importante El flujo de inscripción de OOBE no admite la eliminación empresarial. Si realiza una eliminación empresarial, los usuarios no pueden podrán iniciar sesión en el dispositivo ya que se habrá perdido la conexión con Azure AD. Debe crear una cuenta de administrador local antes de enviar una eliminación empresarial o se quedará bloqueado fuera del se le bloqueará el acceso al dispositivo y se verá obligado a restablecer el dispositivo.

Requisitos previos

El proceso OOBE puede tardar algún tiempo en ejecutarse en los dispositivos de los usuarios finales. Puede habilitar la visualización del progreso del estado de la instalación. De esta forma, los usuarios finales pueden saber en qué punto del proceso se encuentran. Para habilitar la visualización, vaya a Grupos y ajustes > Todos los ajustes > General > Inscripción > Indicaciones opcionales.


VMware, Inc. 31

Procedimiento

1 Encienda el dispositivo y siga los pasos de configuración de Windows hasta que llegue a la pantalla Elija la forma de conectarse.

2 Seleccione Unirse a Azure AD. Seleccione Continuar.

3 Introduzca su dirección de correo electrónico de Azure AD o Workspace ONE UEM como Cuenta profesional o educativa.


VMware, Inc. 32

4 Introduzca su contraseña. Seleccione Iniciar sesión.

5 Asegúrese de que se muestre la pantalla Bienvenido a AirWatch. Seleccione Continuar.




Inscripción mediante las aplicaciones de Office 365Si la organización utiliza Office 365 y la integración de Azure AD, los usuarios finales pueden inscribir sus dispositivos la primera vez que abren una aplicación de Office 365.

Procedimiento

1 Seleccione Agregar una cuenta corporativa la primera vez que abra una aplicación de Office 365.

2 Introduzca su dirección de correo electrónico y su contraseña. Seleccione Iniciar sesión.

3 Asegúrese de que se muestre la página de bienvenida de Workspace ONE UEM. Seleccione Continuar.





VMware, Inc. 33

Inscripción y aprovisionamiento en masaEl aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10 y los inscribe en Workspace ONE UEM. Utilice el aprovisionamiento en masa para inscribir y configurar rápidamente múltiples dispositivos con una cuenta de usuario estándar.

Este flujo de inscripción es la única manera de inscribir un dispositivo con una cuenta de usuario estándar. No obstante, se requieren permisos de administrador para ejecutar el paquete preconfigurado. El aprovisionamiento en masa admite únicamente la inscripción preparada estándar de un solo usuario.

Para utilizar aprovisionamiento en masa, descargue el kit de evaluación y desarrollo de Microsoft e instale la herramienta Diseñador de imágenes y configuraciones (ICD). El ICD crea paquetes de aprovisionamiento utilizados en los dispositivos de imagen. Como parte de estos paquetes de aprovisionamiento, puede incluir ajustes de configuración de Workspace ONE UEM para que los dispositivos aprovisionados se inscriban automáticamente en Workspace ONE UEM durante el proceso de configuración rápida (OOBE) inicial.

Para asignar los dispositivos al usuario final correcto automáticamente, registre los dispositivos por usuario o mediante una importación en masa antes de crear el paquete de aprovisionamiento.

Inscripción mediante aprovisionamiento en masaLa herramienta Diseñador de imágenes y configuraciones de Microsoft le permite crear un paquete de aprovisionamiento para inscribir, rápida y fácilmente, múltiples dispositivos de Windows 10 en Workspace ONE UEM. Cuando ya se ha instalado el paquete, el dispositivo se inscribe automáticamente en Workspace ONE UEM.

Procedimiento

1 Descargue el kit de evaluación e implementación Assessment and Deployment Kit de Microsoft para Windows 10 e instale la herramienta Diseñador de imágenes y configuraciones (ICD) de Windows.

2 Inicie el ICD de Windows y seleccione Paquete de aprovisionamiento nuevo.

3 Introduzca Nombre del proyecto y seleccione los ajustes que se podrán ver y configurar.

La elección típica es la opción Común para todas las ediciones de escritorio de Windows.

4 (opcional) Importe un paquete de aprovisionamiento si quiere crear uno nuevo basado en los ajustes de un paquete anterior.

5 Navegue a Configuración de tiempo de ejecución > Área de trabajo > Inscripciones.

6 En la Consola Workspace ONE UEM, navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows > Inscripción preparada y aprovisionamiento.

Cuando navega a esta página de configuración, se crea un usuario de inscripción preparada y se muestran las direcciones URL pertenecientes al usuario de inscripción preparada creado. Puede crear su propio usuario de inscripción preparada para utilizarlo con el aprovisionamiento en masa, pero los ajustes mostrados en esta página de configuración no se aplican a ninguno de los usuarios creados.


VMware, Inc. 34

7 Copie el UPN y péguelo en el campo UPN de ICD.

8 Seleccione la flecha hacia abajo que aparece junto a Inscripciones en la ventana Personalizaciones disponibles.

9 Configure los siguientes ajustes:

a Seleccione AuthPolicy y elija el valor mostrado en la UEM console.

b Seleccione DiscoveryServiceFullURL y copie la dirección URL mostrada en la UEM console.

c Seleccione EnrollmentServiceFullURL y copie la dirección URL mostrada en la UEM console.

d Seleccione PolicyServiceFullURL y copie la dirección URL mostrada en la UEM console.

e Seleccione Secret y copie el valor mostrado en la UEM console.

10 Seleccione Archivo > Guardar para guardar el proyecto.

11 Seleccione Exportar > Paquete de aprovisionamiento para crear un paquete para utilizarlo con el aprovisionamiento en masa. Luego, seleccione Siguiente.

12 Guarde la Contraseña de cifrado para usarla posteriormente si decide cifrar el paquete y después seleccione Siguiente.

13 Guarde el paquete en una unidad USB para transferirlo a cada dispositivo que desee aprovisionar. También puede enviar el paquete por correo electrónico al dispositivo.

14 Seleccione Compilar para crear el paquete.


VMware, Inc. 35

Pasos siguientes

A continuación, debe instalar el paquete de aprovisionamiento en masa. Para obtener más información, consulte Instalación de paquetes de aprovisionamiento en masa

Instalación de paquetes de aprovisionamiento en masaDespués de crear los paquetes de aprovisionamiento utilizando Diseñador de imágenes y configuraciones de Microsoft, debe instalar el paquete de aprovisionamiento en los dispositivos de los usuarios finales.

Procedimiento

1 En el dispositivo que quiera aprovisionar, navegue a Ajustes > Cuentas > Acceso profesional y seleccione Agregar o quitar un paquete para el trabajo o el colegio. Si se envió el paquete por correo electrónico, ábralo desde su cliente de correo.

2 Seleccione Agregar un paquete y seleccione la opción Medio extraíble como método para agregar el paquete.

3 Seleccione el paquete correcto en la lista proporcionada.

Si agregó el dispositivo a la cuenta de usuario en Workspace ONE UEM Console antes de realizar el aprovisionamiento, el dispositivo se asigna al realizar la inscripción.


VMware, Inc. 36

Resumen de los perfiles de escritorio de Windows 3Los perfiles se utilizan principalmente para administrar dispositivos. Configure los perfiles para que sus dispositivos de escritorio de Windows estén protegidos y tengan acceso a su configuración preferida.

IntroducciónImagine que los perfiles son ajustes y reglas que, combinados con las políticas de conformidad, lo ayudan a aplicar reglas y procedimientos corporativos. Contienen los ajustes, las configuraciones y las restricciones que desea aplicar en los dispositivos.

Un perfil incluye ajustes generales de perfiles y una carga útil específica. Los perfiles funcionan mejor cuando solo contienen una única carga útil.

Los perfiles de escritorio de Windows se aplican en un dispositivo al nivel del usuario o al nivel del dispositivo. Al crear perfiles de escritorio de Windows, puede seleccionar el nivel al que desea que se aplique el perfil. Algunos perfiles solo pueden aplicarse al nivel del usuario o al nivel del dispositivo. Workspace ONE UEM ejecuta comandos que se aplican al contexto del dispositivo, incluso si en este no hay ningún inicio de sesión activo de un usuario inscrito. Los perfiles específicos para usuarios requieren un inicio de sesión activo de un usuario inscrito.

Valores de referenciaEl mantenimiento de las mejores configuraciones para proteger los dispositivos puede ser un desafío. Workspace ONE UEM guarda las prácticas recomendadas como Valores de referencia. Esta función le permite simplificar el proceso mediante la aplicación de los ajustes y las configuraciones recomendados por el sector. Con las Valores de referencia, solo tiene que seleccionar un grupo inteligente y una línea de base, y los dispositivos permanecerán actualizados con los ajustes recomendados por el sector, como las líneas de base de Microsoft o los bancos de pruebas de CIS. Para obtener más información sobre Valores de referencia, consulte Capítulo 4 Uso de Valores de referencia.


n Configuración de un perfil de código de acceso (escritorio de Windows)

n Configuración de un perfil de Wi-Fi (escritorio de Windows)

n Perfil de VPN (escritorio de Windows)

n Perfil de credenciales (escritorio de Windows)

VMware, Inc. 37

n Configuración de una carga útil de restricciones (escritorio de Windows)

n Perfil de protección contra vulnerabilidades de seguridad de Windows Defender (escritorio de Windows)

n Perfil de protección de datos (escritorio de Windows)

n Perfil de Windows Hello (escritorio de Windows)

n Cómo configurar un perfil de firewall (heredado) para escritorio de Windows

n Configuración de un perfil de firewall (escritorio de Windows)

n Configuración de un perfil de modo de aplicación única (escritorio de Windows)

n Configuración de un perfil de antivirus (escritorio de Windows)

n Perfil de cifrado (escritorio de Windows)

n Configuración de un perfil de actualizaciones de Windows (escritorio de Windows)

n Cómo crear un perfil de proxy (escritorio de Windows)

n Configuración de un perfil de web clips (escritorio de Windows)

n Perfiles de Exchange ActiveSync (escritorio de Windows)

n Perfil de SCEP (escritorio de Windows)

n Perfil de control de aplicaciones (escritorio de Windows)

n Configuración de un perfil de servicios web de Exchange (escritorio de Windows)

n Creación de un perfil de licencias de Windows (escritorio de Windows)

n Configuración de un perfil de BIOS (escritorio de Windows)

n Configuración de un perfil de actualizaciones de OEM (escritorio de Windows)

n Configuración de un perfil de quiosco (escritorio de Windows)

n Cómo configurar un perfil de personalización (escritorio de Windows)

n Distribución punto a punto con Workspace ONE

n Uso de ajustes personalizados (escritorio de Windows)

Configuración de un perfil de código de acceso (escritorio de Windows)Exija un perfil de código de acceso para proteger los dispositivos con códigos de acceso cada vez que regresen de un estado inactivo. Este código de acceso asegura que toda la información confidencial corporativa de los dispositivos administrados permanezca protegida.


VMware, Inc. 38

Los códigos de acceso establecidos con esta carga útil solo entrarán en vigor si el código de acceso es más estricto que los códigos de acceso existentes. Por ejemplo, si el código de acceso de la cuenta de Microsoft existente requiere unos ajustes más estrictos que los requeridos por la carga útil de código de acceso, el dispositivo sigue utilizando el código de acceso de la cuenta de Microsoft.

Importante La carga útil del código de acceso no se aplica a los dispositivos unidos al dominio.

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista en lista > Agregar y seleccione Agregar perfil.

2 Seleccione Windows y luego Escritorio de Windows.

3 Seleccione Perfil del dispositivo.

4 Configure los ajustes de la sección General del perfil.

5 Seleccione el perfil de código de acceso.

6 Configure los ajustes de Código de acceso:


Complejidad de contraseña Ajuste esta opción en Simple o Complejo para elegir el nivel de dificultad de la contraseña que prefiera.

Requerir valores alfanuméricos Habilite esta opción para exigir que el código de acceso sea un código de acceso alfanumérico.

Longitud mínima de la contraseña Introduzca la cantidad mínima de caracteres que debe contener una contraseña.

Vigencia máxima de la contraseña (días)

Introduzca la cantidad máxima de días que pueden pasar hasta que el usuario tenga que cambiar la contraseña.

Vigencia mínima de la contraseña (días)

Introduzca la cantidad mínima de días que pueden pasar hasta que el usuario tenga que cambiar la contraseña.

Tiempo de espera de bloqueo del dispositivo (minutos)

Introduzca la cantidad de minutos que pasarán hasta que el dispositivo se bloquee automáticamente y requiera reintroducir el código de acceso.

Número máximo de intentos fallidos Introduzca la cantidad máxima de intentos que el usuario final puede introducir antes de reiniciar el dispositivo.

Historial de contraseña (repeticiones) Introduzca la cantidad de veces que se recuerda la contraseña.

Si el usuario final reutiliza una contraseña el número de veces registrado, no podrá volver a utilizar dicha contraseña.

Por ejemplo, si introduce 12 en este campo, el usuario final no podrá reutilizar las 12 contraseñas anteriores.

Cifrado reversible para el almacenamiento de contraseña

Habilite esta opción para configurar el sistema operativo de forma que almacene las contraseñas utilizando el cifrado reversible.

Almacenar las contraseñas utilizando el cifrado reversible es, básicamente, lo mismo que almacenar versiones de las contraseñas en texto sin formato.

Por este motivo, esta política no debe habilitarse nunca a menos que los requisitos de la aplicación sean superiores a la necesidad de proteger la información de la contraseña.


VMware, Inc. 39


Utilizar agente de protección para dispositivos Windows 10

Habilite el uso de Workspace ONE Intelligent Hub para realizar ajustes de perfil de código de acceso en lugar de la funcionalidad de DM nativa. Habilite esta configuración si experimenta problemas utilizando la funcionalidad de DM nativa.

Política de contraseña de Windows 8.0

Habilite esta opción para utilizar la política de contraseña de Windows 8.0 heredada.

Caducar contraseña Habilite esta opción para que la contraseña existente en el dispositivo caduque y exigir la creación de una contraseña nueva.

Es necesario que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

7 Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Configuración de un perfil de Wi-Fi (escritorio de Windows)Cree un perfil de Wi-Fi para conectar los dispositivos a las redes corporativas, aun cuando estén ocultas, cifradas o protegidas mediante contraseña. Los perfiles de Wi-Fi son útiles para los usuarios finales que necesitan acceso a múltiples redes o para configurar que los dispositivos se conecten automáticamente a una red inalámbrica adecuada.

Procedimiento





5 Seleccione el perfil de Wi-Fi.

6 Configure los ajustes de la sección General.


Identificador de red Introduzca un identificador asociado con el nombre (SSID) de la red Wi-Fi deseada.

El SSID no puede contener espacios.

Red oculta Habilite esta opción si la red no está abierta para difusión.

Unirse automáticamente Habilite esta opción para que el dispositivo se una a la red de forma automática.

Tipo de seguridad Utilice el menú desplegable para seleccionar el tipo de seguridad (por ejemplo, WPA2 Personal) para la red Wi-Fi.

Cifrado Utilice el menú desplegable para seleccionar el tipo de cifrado utilizado.

Aparece según el tipo de seguridad.


VMware, Inc. 40


Contraseña Introduzca la contraseña requerida para unirse a la red Wi-Fi en los casos de redes con contraseñas estáticas.

Seleccione la casilla de verificación Mostrar los caracteres para inhabilitar la función de ocultar los caracteres en el campo.

Aparece según el tipo de seguridad.

Proxy Habilite esta opción para configurar los ajustes del proxy para la conexión Wi-Fi.

URL Introduzca la dirección URL del proxy.

Puerto Introduzca el puerto del proxy.

Protocolos Seleccione el tipo de protocolos que desea utilizar:

Certificado: PEAP-MsChapv2

EAP-TTLS: personalizado

Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise o WPA2 Enterprise.

Identidad interna Seleccione el método de autenticación a través de EAP-TTLS:

n Nombre de usuario/contraseñan CertificadoEsta sección aparece cuando la opción Protocolos está ajustada en EAP-TTLS o PEAP-MsChapv2.

Requerir enlace de cifrado Habilite esta opción para exigir el enlace criptográfico en ambas autenticaciones.

Esta opción limita los ataques de tipo “Man in the middle”.

Utilizar las credenciales de inicio de sesión de Windows

Habilite esta opción para usar las credenciales de inicio de sesión de Windows como el nombre usuario y la contraseña de autenticación.

Aparece cuando Nombre de usuario/Contraseña está ajustado como Identidad interna.

Certificado de identidad Seleccione un certificado de identidad que puede configurar utilizando la carga útil de credenciales. Consulte Perfil de credenciales (escritorio de Windows) para más información.

Aparece cuando Certificado está ajustado como Identidad interna.

Certificados de confianza Seleccione Agregar para agregar certificados de confianza al perfil de Wi-Fi.

Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise o WPA2 Enterprise.

Permitir excepciones de confianza Habilite esta opción para permitir que el usuario tome decisiones de confianza mediante un cuadro de diálogo.


Perfil de VPN (escritorio de Windows)Workspace ONE UEM es compatible con la configuración de los ajustes de VPN del dispositivo para que los usuarios finales puedan acceder de forma remota y segura a la red interna de la organización. El perfil de VPN ofrece un control detallado sobre los ajustes de la conexión, como los ajustes del proveedor de la VPN y acceso VPN por aplicación.


VMware, Inc. 41

Workspace ONE UEM es compatible con tipos específicos de conexiones VPN para diversos proveedores de VPN, entre los cuales se incluyen:

VPN por aplicaciónLa VPN por aplicación le permite configurar reglas de tráfico de VPN basadas en aplicaciones específicas. Si está configurada, la VPN se conecta automáticamente cuando se inicia una aplicación específica; se envía el tráfico de la aplicación a través de la conexión VPN, pero no el de otras aplicaciones. Con esta flexibilidad, puede confiar en que los datos permanecen protegidos, al tiempo que no limita el acceso del dispositivo a Internet.

Cada grupo de reglas de la sección Reglas de VPN por aplicación utiliza el operador lógico OR. De esta forma, si el tráfico coincide con alguna de las políticas establecidas, se permite a través de la VPN.

Las aplicaciones a las que se aplican las reglas de tráfico de VPN por aplicación pueden ser aplicaciones de Windows heredadas, como archivos EXE, o aplicaciones modernas descargadas de Microsoft Store. Al designar aplicaciones específicas para que se abran y utilicen la conexión VPN, solo el tráfico procedente de estas aplicaciones utiliza la VPN sin exigir que todo el tráfico procedente del dispositivo utilice tal conexión VPN. Esta lógica permite proteger los datos corporativos al tiempo que reduce el ancho de banda enviado a través de la VPN.

Para ayudar a reducir la restricción de VPN, puede configurar reglas de enrutamiento de DNS para la conexión VPN por aplicación. Estas reglas de enrutamiento limitan el tráfico enviado a través de la VPN a solo el tráfico que coincide con las reglas. Las reglas lógicas usan el operador AND, de modo que si establece una dirección IP, puerto y protocolo de IP, el tráfico debe coincidir con CADA uno de estos filtros para pasar a través de la VPN.


VMware, Inc. 42

La VPN por aplicación le permite crear un control pormenorizado y detallado de sus conexiones VPN específico de cada aplicación.

Configuración de un perfil de VPN (escritorio de Windows)Configure los ajustes de la VPN del dispositivo para tener acceso a la infraestructura corporativa de forma remota y segura. También se pueden configurar conexiones de VPN por aplicación que limitan el tráfico a través de la VPN a aplicaciones específicas y ajustar la VPN para que se conecte automáticamente cada vez que se inicie la aplicación especificada.

Procedimiento



3 Seleccione Perfil del usuario o Perfil del dispositivo.


5 Seleccione el perfil de VPN.

6 Configure los ajustes de Información de la conexión:


Nombre de la conexión Introduzca el nombre de la conexión de VPN.

Tipo de conexión Seleccione el tipo de conexión de VPN.

Servidor Introduzca la dirección IP o el nombre de host del servidor VPN.

Puerto Introduzca el puerto que utiliza el servidor VPN.

Ajustes de conexión avanzados Habilítelos para configurar las reglas de enrutamiento avanzadas para la conexión a la VPN del dispositivo.

Direcciones de enrutamiento Seleccione Agregar para introducir las direcciones IP y el tamaño del prefijo de la subred del servidor VPN.

Puede que necesite direcciones de enrutamiento adicionales.

Reglas de enrutamiento DNS Seleccione "Agregar" para introducir el Nombre de dominio que gobierna el uso de la VPN. Introduzca los servidores DNS y los servidores de proxy web que desea usar para cada dominio específico.

Política de enrutamiento Elija Exigir que todo el tráfico pase por VPN o Permitir el acceso directo a los recursos externos.

n Exigir que todo el tráfico pase por VPN (túnel forzado): en esta regla de tráfico, todo el tráfico de IP debe pasar exclusivamente a través de la interfaz de VPN.

n Permitir el acceso directo a los recursos externos (túnel dividido): en esta regla de tráfico, solo el tráfico destinado a la interfaz de VPN (según determine la pila de red) pasa a través de la interfaz. El tráfico de Internet puede seguir pasando a través de otras interfaces.

Proxy Seleccione Detección automática para detectar automáticamente los servidores proxy que utiliza la VPN. Seleccione Manual para configurar el servidor proxy.


VMware, Inc. 43


Servidor Introduzca la dirección IP del servidor proxy.

Aparece cuando Proxy se configura como Manual.

URL de configuración del servidor proxy

Introduzca la dirección URL para los ajustes de configuración del servidor proxy.

Aparece cuando Proxy se configura como Manual.

Desviar del proxy al local Habilite esta opción para omitir el servidor proxy cuando el dispositivo que lo detecte esté en la red local.

Protocolo Seleccione el protocolo de autenticación para la VPN:

n EAP – Permite diversos métodos de autenticación.

n Certificado de máquina: detecta un certificado de cliente en el almacén de certificados de dispositivos con vistas a su uso para la autenticación.

Tipo de EAP Seleccione el tipo de autenticación EAP.

n EAP-TLS – Autenticación mediante tarjeta inteligente o certificado de cliente.

n EAP-MSCHAPv2 – Nombre de usuario y contraseña

n EAP-TTLS

n PEAP

n Configuración personalizada – Permite todas las configuraciones EAP.

Solo se muestra si el Protocolo está ajustado a EAP.

Tipo de credenciales Seleccione Utilizar certificado para utilizar un certificado de cliente. Seleccione Utilizar tarjeta inteligente con el fin de utilizar una tarjeta inteligente para autenticarse.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

Selección de certificado simple Habilite esta opción para simplificar la lista de certificados desde la que elige el usuario. Los certificados se muestran según el certificado que se emitió hace menos tiempo para cada entidad.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

Utilizar las credenciales de inicio de sesión de Windows

Habilite esta opción para utilizar las mismas credenciales que el dispositivo Windows.

Aparece cuando Tipo de EAP está ajustado en EAP-MSCHAPv2.

Privacidad de la identidad Introduzca el valor que desea enviar a los servidores antes de que el cliente autentique la identidad del servidor.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Método de autenticación interna Seleccione el método de la autenticación para la autenticación de la identidad interna.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Habilitar reconexión rápida Habilite esta opción para reducir el periodo de tiempo entre una solicitud de autenticación emitida por un cliente y la respuesta procedente del servidor.

Aparece cuando Tipo de EAP está ajustado en PEAP.

Habilitar la privacidad de identidad Habilite esta opción para proteger la identidad del usuario hasta que el cliente se autentique con el servidor.

Reglas de VPN por aplicación Seleccione Agregar para agregar reglas de tráfico para aplicaciones heredadas y modernas específicas. Para obtener más información acerca de VPN por aplicación, consulte Perfil de VPN (escritorio de Windows).


VMware, Inc. 44


ID de aplicación Seleccione primero si la aplicación es una aplicación de la tienda o una aplicación de escritorio. Luego introduzca la ruta del archivo de la aplicación para las aplicaciones de escritorio o el nombre de familia de paquete para las aplicaciones de la tienda para especificar la aplicación a la que se aplican las reglas de tráfico.

n Ejemplo de la ruta del archivo: %ProgramFiles%/Internet Explorer/iexplore.exe

n Ejemplo del nombre de familia de paquete: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

La consulta de nombre de familia de paquete le permite buscar el nombre de familia de paquete al seleccionar el icono Buscar. Aparece una ventana que le permite seleccionar la aplicación que desea gobernar con las reglas de VPN por aplicación. El nombre de familia de paquete se llena automáticamente.

VPN a pedido Habilite esta opción para que la conexión VPN se conecte automáticamente al abrir la aplicación.

Política de enrutamiento Seleccione la política de enrutamiento de la aplicación.

n Permitir el acceso directo a los recursos externos permite el tráfico VPN y el tráfico a través de la conexión de red local.

n Exigir que todo el tráfico pase por VPN obliga a que todo el tráfico pase a través de la VPN.

Reglas de enrutamiento DNS Habilite esta opción para agregar reglas de enrutamiento de DNS para el tráfico de la aplicación.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas de enrutamiento. Solo podrá enviarse a través de la VPN el tráfico de la aplicación especificada que coincida con las reglas.

n Dirección IP: una lista de valores separados por comas que especifica los intervalos de las direcciones IP que se permiten.

n Puertos: una lista de valores separados por comas que especifica los intervalos de los puertos remotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidos cuando el protocolo está establecido como TCP o UDP.

n Protocolo de IP: valor numérico de 0 a 255 que representa el protocolo de IP que se permite. Por ejemplo, TCP = 6 y UDP = 17.

Para más información acerca de cómo funcionan estos filtros y políticas y la lógica utilizada, consulte Perfil de VPN (escritorio de Windows).

Reglas de VPN para todo el dispositivo

Seleccione Agregar para agregar reglas de tráfico para todo el dispositivo.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas de enrutamiento. Solo se podrá enviar a través de la VPN el tráfico que coincida con estas reglas.

n Dirección IP: una lista de valores separados por comas que especifica los intervalos de las direcciones IP que se permiten.

n Puertos: una lista de valores separados por comas que especifica los intervalos de los puertos remotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidos cuando el protocolo está establecido como TCP o UDP.

n Protocolo de IP: valor numérico de 0 a 255 que representa el protocolo de IP que se permite. Por ejemplo, TCP = 6 y UDP = 17. Para obtener una lista del valor numérico de todos los protocolos, consulte https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.


VMware, Inc. 45

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml


Recordar las credenciales Habilite esta opción para recordar las credenciales de inicio de sesión del usuario final.

Siempre prendido Habilite esta opción para hacer que la conexión VPN siempre esté activada.

Bloqueo de VPN Habilite esta opción para hacer que la VPN esté siempre activada y nunca se desconecte, inhabilitar el acceso a la red si la VPN no está conectada y evitar que otros perfiles de VPN se conecten al dispositivo.

Si hay un perfil de VPN con el bloqueo de VPN habilitado, debe eliminarlo antes de insertar un nuevo perfil de VPN en el dispositivo.

Esta función solo se muestra si el perfil está establecido en el contexto Dispositivo.

Desviar al local Habilite esta opción para omitir la conexión VPN para el tráfico de intranet local.

Detección de red de confianza Introduzca las direcciones de red de confianza separadas por comas. La VPN no se conecta cuando se detecta una conexión de red de confianza.

Dominio Seleccione Añadir un nuevo dominio para agregar dominios para la resolución mediante el servidor VMware Tunnel.

Cualquier dominio agregado se resuelve a través del servidor de VMware Tunnel con independencia de la aplicación que originase el tráfico. Por ejemplo, vmware.com se resolverá mediante el servidor VMware Tunnel si utiliza Chrome, que está en la lista blanca, o las aplicaciones Edge, que no están en la lista blanca.

Esta opción solo se muestra si crea el perfil de VPN como perfil de usuario.


Perfil de credenciales (escritorio de Windows)Un perfil de credenciales le permite insertar certificados raíz, intermedio y del cliente para admitir cualquier caso de uso de autenticación de certificado e infraestructura de clave pública (PKI). El perfil envía credenciales configuradas al almacén de credenciales adecuado en el dispositivo de escritorio de Windows.

Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a la fuerza bruta, ataques de diccionario y errores de sus empleados. Para obtener una seguridad más completa, puede implementar certificados digitales con los que proteger sus recursos corporativos. Para utilizar certificados de esta manera, debe configurar primero una carga útil de credenciales con una entidad de certificación (CA), y luego configurar las cargas útiles de Wi-Fi y VPN. Cada una de estas cargas tiene ajustes para asociar la entidad de certificación (CA) definida en la carga útil de credenciales.

El perfil de credenciales también le permite insertar certificados S/MIME en los dispositivos. Estos certificados se cargan en la cuenta de cada usuario y los controla el perfil de credenciales.

Configuración de un perfil de credenciales (escritorio de Windows)Un perfil de credenciales envía certificados a los dispositivos para utilizarlos en la autenticación. Con Workspace ONE UEM, puede configurar las credenciales para los almacenes de certificados de personas de confianza, editor de confianza, raíz de confianza, intermedios y personales.


VMware, Inc. 46

Procedimiento





5 Seleccione la carga útil de credenciales y configure los siguientes ajustes:


Fuente de credenciales Seleccione la fuente de credenciales como una Carga, una Entidad definida de certificación o un Certificado de usuarioLas opciones de carga útil restantes dependen de la fuente.

n Si selecciona Cargar, debe cargar un certificado nuevo.

n Si selecciona Entidad definida de certificación, debe escoger una entidad de certificación y una plantilla predefinidas.

n Si selecciona Certificado de usuario, debe seleccionar cómo se utiliza el certificado de S/MIME.

Cargar Seleccione esta opción para navegar hasta el archivo de certificado de credenciales deseado y cargarlo en Workspace ONE UEM Console.

Este ajuste se muestra cuando se selecciona Cargar como Fuente de credenciales.

Entidad de certificación Utilice el menú desplegable para seleccionar una entidad de certificación predefinida.

Este ajuste se muestra cuando se selecciona Entidad definida de certificación como Fuente de credenciales.

Plantilla de certificado Utilice el menú desplegable para seleccionar una plantilla de certificado predefinida específica de la entidad de certificación seleccionada.

Este ajuste se muestra cuando se selecciona Entidad definida de certificación como Fuente de credenciales.

Exportar la clave privada Seleccione Permitir para que los usuarios finales puedan exportar certificados con el Administrador de certificados de Windows.

Seleccione No permitir para que los usuarios no puedan exportar los certificados.

Ubicación de la clave Seleccione la ubicación de la clave privada del certificado:

n TPM, si está: seleccione esta opción para almacenar la clave privada en un módulo de plataforma segura si está presente en el dispositivo; de lo contrario, debe almacenarla en el sistema operativo.

n TPM requerido: seleccione esta opción para almacenar la clave privada en un modo de plataforma segura. Si no hay un módulo de plataforma segura presente, el certificado no se instala y se muestra un error en el dispositivo.

n Software: seleccione esta opción para almacenar la clave privada en el sistema operativo del dispositivo.

n Passport: seleccione esta opción para guardar la clave privada en Microsoft Passport. Esta opción requiere la integración con Azure AD.


VMware, Inc. 47


Almacén de certificados Seleccione el almacén de certificados adecuado para que la credencial resida en el dispositivo:

n Personal: seleccione esta opción para almacenar los certificados personales. Los certificados personales requieren Workspace ONE Intelligent Hub en el dispositivo o el uso de la carga útil SCEP.

n Intermedio: seleccione esta opción para almacenar los certificados de entidades de certificación intermedias.

n Raíz de confianza: seleccione esta opción para almacenar los certificados de entidades de certificación de confianza y los certificados raíz de su organización y de Microsoft.

n Publicador de confianza: seleccione esta opción para almacenar los certificados de entidades de certificación de confianza en los que se confía según las políticas de restricción de software.

n Personas de confianza: seleccione esta opción para almacenar los certificados de personas de confianza o de entidades finales en las que se confía explícitamente. A menudo estos certificados son certificados autofirmados o certificados en los que se confía explícitamente en una aplicación, como Microsoft Outlook.

Guardar la ubicación Seleccione Usuario o Máquina para definir dónde está ubicado el certificado.

S/MIME Seleccione si el certificado S/MIME es para cifrado o firma.

6 Seleccione Guardar y publicar para insertar el perfil en los dispositivos.

Configuración de una carga útil de restricciones (escritorio de Windows)Implemente una carga útil de restricciones para proporcionar una mayor protección a los dispositivos de escritorio de Windows. Utilice la carga útil de restricciones para inhabilitar el acceso de usuarios finales a las funciones de los dispositivos y garantizar así que no los manipulen.

La versión y la edición de Windows que utilice determinan las restricciones que se aplican al dispositivo.

Para aplicar un perfil de restricciones:

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista en lista y seleccione Agregar.




5 Seleccione el perfil de Restricciones.


VMware, Inc. 48

6 Configure los ajustes de Administración:


Permitir la anulación de inscripción manual de MDM

Permita al usuario final que anule la inscripción de Workspace ONE UEM de forma manual mediante la inscripción de Workplace/Work Access.

Esta restricción se aplica a dispositivos Windows 10 únicamente y no es compatible con dispositivos Windows 10 Home.

El Hub de configuración instalará los paquetes de aprovisionamiento durante la ejecución

Habilite esta opción para permitir el uso de paquetes de aprovisionamiento para inscribir dispositivos en Workspace ONE UEM (aprovisionamiento en masa).


Ubicación Seleccione la forma en qué los servicios de ubicación se ejecutan en el dispositivo.


Motor en tiempo de ejecución del agente de configuración para eliminar los paquetes de aprovisionamiento

Habilite esta opción para permitir la eliminación de los paquetes de aprovisionamiento.


Enviar datos de telemetría de diagnóstico y de uso

Seleccione el nivel de los datos de telemetría que desea enviar a Microsoft.


Exigir una cuenta de Microsoft para MDM

Habilite esta opción para exigir una cuenta de Microsoft para que los dispositivos reciban las políticas o las aplicaciones.

Requerir una cuenta de Microsoft para aplicaciones modernas

Habilite esta opción para exigir una cuenta de Microsoft para que los dispositivos descarguen e instalen aplicaciones de Windows.

Los paquetes de aprovisionamiento deben tener un certificado firmado por una entidad de confianza del dispositivo

Habilite esta opción para exigir un certificado de confianza para todos los paquetes de aprovisionamiento (aprovisionamiento en masa).


Permitir que el usuario cambie los ajustes de la reproducción automática

Permite al usuario cambiar el programa que se va a usar para reproducir automáticamente los tipos de archivos.


Permite que el usuario cambie los ajustes de Data Sense

Permite al usuario cambiar los ajustes de Data Sense para restringir el uso de datos en el dispositivo.


Fecha / hora Permite al usuario cambiar los ajustes de Fecha/Hora.


Idioma Permite al usuario cambiar los ajustes de idioma.



VMware, Inc. 49


Permitir que el usuario cambie los ajustes de inicio y suspensión

Permite al usuario cambiar los ajustes de inicio y suspensión.


Región Permite al usuario cambiar la región.


Permitir que el usuario cambie las opciones de inicio de sesión

Permite al usuario cambiar las opciones de inicio de sesión.


VPN Permite al usuario cambiar los ajustes de la VPN.


Permite al usuario cambiar los ajustes de Workplace

Permite al usuario cambiar los ajustes de Workplace y el funcionamiento de MDM en el dispositivo.


Permite al usuario cambiar los ajustes de cuenta

Permite al usuario cambiar los ajustes de idioma.


Bluetooth Permite utilizar la conexión Bluetooth en el dispositivo.


Publicidad del Bluetooth del dispositivo

Permite que el dispositivo difunda avisos de Bluetooth.


Dispositivos con capacidad de Bluetooth pueden descubrir el dispositivo

Permite que otros dispositivos con Bluetooth detecten el dispositivo.


Cámara Permite el acceso a la función de cámara del dispositivo.


Cortana Permite el acceso a la aplicación Cortana.


Experiencia del usuario de la detección del dispositivo en la pantalla de bloqueo

Permite que la experiencia de usuario de detección de dispositivos en la pantalla de bloqueo detecte proyectores y otras pantallas.

Si está habilitado, los accesos directos Win+P y Win+K no funcionan.



VMware, Inc. 50


Registros de IME Permite al usuario activar y desactivar el registro de conversiones incorrectas y guardar el resultado de ajuste automático en un archivo y la entrada predictiva basada en historial.


Acceso IME a la red Habilite esta opción para permitir al usuario activar el diccionario extendido abierto para integrar las búsquedas de Internet con el fin de proporcionar sugerencias de entrada que no existen en el diccionario local de los dispositivos.


SmartScreen Habilite esta opción para permitir al usuario final utilizar la función Microsoft SmartScreen, que es un método de seguridad que requiere que el usuario final dibuje formas sobre una imagen para desbloquear el dispositivo. Esta opción también permite al usuario final utilizar PIN como código de acceso.

Nota Después de inhabilitar esta función, no podrá volver a habilitarla mediante MDM de Workspace ONE UEM. Para habilitarla de nuevo, deberá realizar un restablecimiento de fábrica del dispositivo.

La restricción no se aplica a dispositivos Windows 10 Home.

Buscar para utilizar la información de ubicación

Permite que la opción de búsqueda utilice la información de la ubicación del dispositivo.


Tarjeta de almacenamiento Habilite esta opción para permitir el uso de una tarjeta SD y de los puertos USB del dispositivo.


Ajustes de sincronización de Windows

Permite al usuario sincronizar los ajustes de Windows entre dispositivos.


Sugerencias de Windows Permite mostrar sugerencias de Windows en el dispositivo para ayudar al usuario.


Ajustes del control de la cuenta del usuario

Seleccione el nivel de notificación enviado a los usuarios finales cuando un cambio en el sistema operativo requiere permisos de administración de un dispositivo.

Permitir aplicaciones de confianza que no sean de Microsoft Store

Permite descargar e instalar aplicaciones que no son de confianza para Microsoft Store.

Esta restricción se aplica a todos los dispositivos Windows 10.

Actualizaciones automáticas de la tienda de aplicaciones

Habilite esta opción para permitir que las aplicaciones descargadas desde Microsoft Store se actualicen automáticamente cuando existan versiones nuevas.



VMware, Inc. 51


Permitir desbloqueo de desarrollador Permite el uso del ajuste de desbloqueo de desarrollador para la carga de prueba de las aplicaciones en los dispositivos.


Permitir DVR y difusión de juegos Habilite esta opción para permitir la grabación y difusión de juegos en el dispositivo.


Permitir los datos compartidos entre varios usuarios que utilicen la misma aplicación

Permite compartir datos entre múltiples usuarios de una aplicación.


Restringir los datos de la aplicación al volumen del sistema

Restringe los datos de la aplicación al mismo volumen que el sistema operativo, en lugar de volúmenes secundarios o soportes extraíbles.


Restringir la instalación de aplicaciones a la unidad del sistema

Restringe la instalación de las aplicaciones a la unidad del sistema, en lugar de a unidades secundarias o medios extraíbles.


Conexión automática a las zonas Wi-Fi

Habilite esta opción para permitir que el dispositivo se conecte automáticamente a las zonas Wi-Fi utilizando la funcionalidad de detección de Wi-Fi.


Datos celulares en roaming Permite el uso de datos celulares cuando se está en roaming.


Uso compartido de Internet Habilite esta opción para permitir el uso compartido de Internet entre dispositivos.


Uso de datos en roaming Habilite esta opción para permitir a los usuarios finales transmitir y recibir los datos en roaming.

Esta restricción se aplica a todos los dispositivos Windows.

Conexión VPN en la red celular Permite utilizar VPN en conexiones de datos celulares.


Roaming de la conexión VPN en la red celular

Permite utilizar una VPN durante conexiones de datos celulares en roaming.


Relleno automático Permite el uso de la opción de relleno automático para completar información sobre el usuario.



VMware, Inc. 52


Cookies Permite el uso de cookies


No monitorear Permite el uso de solicitudes de "No monitorear".


Administrador de contraseñas Permite el uso de un administrador de contraseñas.


Ventanas emergentes Permite el uso de ventanas de emergentes del navegador


Buscar sugerencias en la barra de dirección

Permite que las sugerencias de búsqueda aparezcan en la barra de dirección


SmartScreen Permite el uso del filtro de sitios maliciosos y de contenido SmartScreen.


Enviar el tráfico intranet a Internet Explorer

Permite el tráfico de intranet para utilizar Internet Explorer.


Dirección URL de lista del sitio web empresarial

Introduzca la dirección URL para una lista del sitio web empresarial.



Perfil de protección contra vulnerabilidades de seguridad de Windows Defender (escritorio de Windows)Proteja sus dispositivos con Windows 10 frente a vulnerabilidades de seguridad y malware con el perfil de protección contra vulnerabilidades de seguridad de Windows Defender. Workspace ONE UEM usa estos ajustes para proteger los dispositivos contra vulnerabilidades de seguridad, reducir las superficies de ataque, controlar el acceso a carpetas y proteger las conexiones de red.

Protección contra vulnerabilidades de seguridad de Windows DefenderDiversas vulnerabilidades de seguridad y malware utilizan vulnerabilidades en sus dispositivos con Windows 10 para obtener acceso a su red y dispositivos. Workspace ONE UEM utiliza el perfil de protección contra vulnerabilidades de seguridad de Windows Defender para proteger los dispositivos de estos actores incorrectos. El perfil utiliza los ajustes de protección contra vulnerabilidades de seguridad de Windows Defender nativos de Windows 10. El perfil contiene cuatro métodos de protección diferentes. Estos métodos abarcan diferentes vulnerabilidades y vectores de ataque.


VMware, Inc. 53

Protección contra vulnerabilidadesLa protección contra vulnerabilidades aplica automáticamente mitigaciones de vulnerabilidades al sistema operativo y a las aplicaciones. Estas mitigaciones también funcionan con antivirus de terceros y el antivirus de Windows Defender. En el perfil de protección contra vulnerabilidades de seguridad de Windows Defender, configure estos ajustes cargando un archivo XML de configuración. Este archivo debe crearse con la aplicación de seguridad de Windows o PowerShell.

Reducción de la exposición de ataqueLas reglas de reducción de la exposición de ataques ayudan a evitar que las acciones típicas que usa el malware infecten los dispositivos. Estas reglas tienen como objetivo acciones como las siguientes:

n Archivos ejecutables y scripts utilizados en aplicaciones de Office o correo web que intentan descargar o ejecutar archivos

n Scripts confusos o sospechosos de otro tipo

n Acciones que las aplicaciones no suelen usar

Las reglas de reducción de la exposición de ataque requieren que se habilite la Protección en tiempo real de Windows Defender.

Acceso controlado a carpetasEl acceso controlado a carpetas ayuda a proteger datos valiosos frente a aplicaciones malintencionadas y amenazas, incluido el ransomware. Cuando se habilita, el antivirus de Windows Defender revisa todas las aplicaciones (.EXE, .SCR, .DLL, etc.). A continuación, Windows Defender determina si la aplicación es malintencionada o segura. Si la aplicación se marca como malintencionada o sospechosa, Windows evita que la aplicación cambie los archivos en carpetas protegidas.

Entre las carpetas protegidas se incluyen carpetas del sistema comunes. Puede agregar sus propias carpetas al acceso controlado a carpetas. La mayoría de las aplicaciones conocidas y de confianza pueden acceder a las carpetas protegidas. Si desea que una aplicación interna o desconocida acceda a carpetas protegidas, debe agregar la ruta de archivo de la aplicación al crear el perfil.

El acceso controlado a carpetas requiere que se habilite la Protección en tiempo real de Windows Defender.

Protección de redLa protección de red le ayuda a proteger a los usuarios y los datos de fraudes de phishing y sitios web malintencionados. Esta configuración evita que los usuarios utilicen cualquier aplicación para acceder a dominios peligrosos que puedan alojar ataques de phishing, vulnerabilidades de seguridad o malware.

La protección de red requiere que se habilite la Protección en tiempo real de Windows Defender.


VMware, Inc. 54

Información adicionalPara obtener más información sobre protecciones frente a vulnerabilidades de seguridad específicas y la configuración de ajustes, consulte https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy.

Cómo crear un perfil de protección contra vulnerabilidades de seguridad (escritorio de Windows)Cree un perfil de protección contra vulnerabilidades de seguridad para proteger dispositivos con Windows 10 frente a vulnerabilidades y malware. El perfil configura los ajustes de protección contra vulnerabilidades de seguridad de Windows Defender en sus dispositivos con Windows 10.

Requisitos previos

Para utilizar los ajustes de protección contra vulnerabilidades en este perfil, debe crear un archivo XML de configuración con la aplicación de seguridad de Windows o PowerShell en un dispositivo individual antes de crear el perfil.

Procedimiento





5 Seleccione la carga de Protección contra vulnerabilidades de seguridad.

6 Cargue el archivo XML de configuración de Ajustes de protección contra vulnerabilidades.

Estos ajustes aplican automáticamente las técnicas de mitigación de vulnerabilidad al sistema operativo y a las aplicaciones individuales. Debe crear el archivo XML mediante la aplicación de seguridad de Windows o PowerShell en un dispositivo individual.

7 Configure los ajustes de Reducción de la exposición de ataque. Estas reglas ayudan a evitar las acciones típicas que utiliza el malware para infectar dispositivos con código malintencionado. Seleccione Agregar para agregar reglas adicionales.

La descripción de cada regla describe las aplicaciones o los tipos de archivos a los que se aplican las reglas. Las reglas de reducción de la exposición de ataque requieren que se habilite la Protección en tiempo real de Windows Defender.


VMware, Inc. 55

https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy

https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy

8 Configure los ajustes de Acceso controlado a carpetas. Establezca Acceso controlado a carpetas en Habilitado para utilizar estos ajustes. Cuando se habilita, se protegen varias carpetas de forma predeterminada. Para ver la lista, coloque el cursor en el icono ?.

a Agregue las carpetas adicionales que desea proteger seleccionando Agregar nuevo e introduzca la ruta de archivo de las carpetas.

b Agregue aplicaciones que puedan acceder a carpetas protegidas seleccionando Agregar nuevo e introduzca la ruta de archivo de las aplicaciones. La mayoría de las aplicaciones conocidas y de confianza pueden acceder a las carpetas de forma predeterminada. Utilice esta opción para agregar aplicaciones internas o desconocidas para acceder a las carpetas protegidas.

Estas opciones protegen automáticamente sus datos contra malware y vulnerabilidades de seguridad. El acceso controlado a carpetas requiere que se habilite la Protección en tiempo real de Windows Defender.

9 Configure los ajustes de Protección de red. Establezca Protección de red en Habilitado para utilizar estos ajustes.

Estas opciones protegen a los usuarios y los datos de fraudes de phishing y sitios web malintencionados. La protección de red requiere que se habilite la Protección en tiempo real de Windows Defender.


Perfil de protección de datos (escritorio de Windows)El perfil de protección de datos configura reglas para controlar cómo las aplicaciones empresariales acceden a datos de procedencia diversa desde su organización. El uso de la protección de datos garantiza que solo se pueda acceder a su información mediante aplicaciones seguras y aprobadas.

Al tener datos corporativos y personales en el mismo dispositivo, es posible que se revele información de forma accidental a través de servicios que se encuentran fuera del control de su organización. Con la carga útil de protección de datos, Workspace ONE UEM controla la forma en la que los datos empresariales se transfieren entre las aplicaciones para limitar su exposición y causar una mínima repercusión en los usuarios finales. Workspace ONE UEM utiliza la función Microsoft Windows Information Protection (WIP) para proteger sus dispositivos Windows 10.

Con el perfil de protección de datos, las aplicaciones empresariales se agregan a una lista blanca para concederles permiso de acceso a los datos empresariales desde las redes protegidas. Si los usuarios transfieren datos a aplicaciones que no son de la empresa, podrá tomar medidas basadas en las políticas de cumplimiento seleccionadas.


VMware, Inc. 56

WIP divide los datos en dos categorías: datos personales no cifrados y datos corporativos que hay que proteger y cifrar. Las aplicaciones incluidas en la lista blanca de protección de datos se dividen en cuatro categorías, que determinan el modo en que la aplicación interactúa con los datos protegidos.

n Aplicaciones habilitadas: estas aplicaciones son totalmente compatibles con la funcionalidad WIP. Las aplicaciones habilitadas pueden acceder sin problemas a datos tanto personales como corporativos. Si los datos se crean con una aplicación habilitada, puede guardarlos como datos personales no cifrados o datos corporativos cifrados. Puede impedir que los usuarios guarden datos personales con aplicaciones habilitadas mediante el perfil de protección de datos.

n Permitidas: estas aplicaciones son compatibles con los datos cifrados con WIP. Las aplicaciones permitidas pueden acceder a datos tanto corporativos como personales, pero guardan como datos corporativos cifrados cualquier información a la que se acceda. Las aplicaciones permitidas guardan los datos personales como datos corporativos cifrados, a los que no se puede acceder desde aplicaciones no aprobadas por WIP. Se recomienda agregar las aplicaciones permitidas a la lista blanca de forma concienzuda e individualizada para evitar problemas con el acceso a los datos. Póngase en contacto con los proveedores de software para obtener información sobre la aprobación de WIP.

n Exentas: puede determinar qué aplicaciones están exentas de aplicar la política WIP al crear el perfil de protección de datos. Categorice como exenta cualquier aplicación que no admita datos con cifrado de WIP. Si una aplicación no admite el cifrado de WIP, se detiene al intentar acceder a datos corporativos cifrados. Las políticas WIP no se aplican a las aplicaciones exentas. Las aplicaciones exentas pueden acceder a datos personales no cifrados y a datos corporativos cifrados. Puesto que las aplicaciones de esta categoría pueden acceder a datos corporativos sin aplicar la política WIP, estas aplicaciones deben incluirse en la lista blanca con cautela. Las aplicaciones exentas abren brechas en la protección de datos y filtran datos corporativos.

n No permitidas: estas aplicaciones no se incluyen en la lista blanca ni están exentas de cumplir las políticas WIP, y no pueden acceder a datos corporativos cifrados. Las aplicaciones no permitidas pueden, aun así, acceder a datos personales en un dispositivo con protección WIP.

Importante el perfil de protección de datos requiere Windows Information Protection (WIP). Esta función requiere la Actualización de aniversario de Windows. Es aconsejable probar este perfil antes de implementarlo en la producción.

Configuración de un perfil de protección de datos (escritorio de Windows)Cree el perfil de protección de datos (vista previa) y use la característica Microsoft Windows Information Protection para establecer que los usuarios y las aplicaciones puedan acceder a los datos de su organización solamente en redes y aplicaciones aprobadas. Puede establecer controles detallados sobre la protección de datos.

Procedimiento



VMware, Inc. 57

2 Seleccione Windows y luego la plataforma de Escritorio de Windows.



5 Seleccione la carga útil Protección de datos empresariales.

6 Configure los ajustes de Protección de datos empresariales:


Agregar Seleccione agregar aplicaciones empresariales a la lista permitida de la empresa.

Se confía en las aplicaciones que se agregan aquí para utilizar los datos empresariales.

Tipo de aplicación Seleccione si la aplicación es una aplicación de escritorio tradicional o una aplicación de Microsoft Store.

También puede seleccionar un editor de aplicaciones para aplicaciones de escritorio o de la tienda. Si selecciona un editor, todas sus aplicaciones se incluirán en la lista blanca.

Nombre Escriba el nombre de la aplicación. Si es una aplicación de Microsoft Store,

seleccione el icono de búsqueda ( ) para buscar el nombre de familia de paquete (PFN) de la aplicación.

Identificador Introduzca la ruta del archivo para una aplicación de escritorio o el nombre de familia de paquete para una aplicación de la tienda.

Exenta Seleccione la casilla de verificación si la aplicación no es compatible con la protección de datos completa pero es necesario que acceda a los datos empresariales. Si habilita esta opción, la aplicación queda exenta de cumplir las restricciones de protección de datos. Suelen ser aplicaciones heredadas que aún no se han actualizado para que admitan protección de datos.

La creación de exenciones da lugar a brechas en la protección de datos. Cree exenciones solo si es necesario.

Dominio primario Introduzca el dominio primario que utilizan sus datos empresariales.

Solo las aplicaciones empresariales pueden acceder a los datos de las redes protegidas. Intentar acceder a una red protegida desde una aplicación que no se encuentra en la lista permitida de la empresa generará una acción de política de conformidad.

Use solo minúsculas para introducir los dominios.

Nombres de dominio protegidos de la empresa

Introduzca una lista de los dominios (exceptuando su dominio principal) que usa la empresa para las identidades de sus usuarios. Separe los dominios con un carácter de barra vertical (|).

Use solo minúsculas para introducir los dominios.

Intervalos de direcciones IP empresariales

Introduzca los intervalos de IP empresariales para definir los dispositivos Windows 10 en la red empresarial.

Los datos que proceden de dispositivos incluidos en el intervalo se consideran parte de la empresa y están protegidos. Estas ubicaciones se consideran un destino seguro para el uso compartido de datos empresariales.


VMware, Inc. 58


Nombres de dominios de la red empresarial

Introduzca una lista de los dominios que marcan los límites de la red empresarial.

Los datos procedentes de un dominio de la lista que se envían a un dispositivo se consideran datos empresariales y están protegidos. Estas ubicaciones se consideran un destino seguro para el uso compartido de datos empresariales.

Servidores proxy empresariales Introduzca la lista de servidores proxy que puede usar la empresa para recursos corporativos.

Recursos de Enterprise Cloud Introduzca una lista de los dominios de recursos empresariales alojados en la nube que necesitan protección mediante el enrutamiento a través de la red empresarial con un servidor proxy (en el puerto 80).

En el caso de que Windows no pueda determinar si permite que una aplicación se conecte a un recurso de la red, bloqueará la conexión automáticamente. Si desea que Windows permita las conexiones de forma predeterminada, agregue la cadena /*AppCompat*/ al ajuste. Por ejemplo:

www.air-watch.com | /*AppCompat*/

Agregue solo la cadena /*AppCompat*/ una vez para cambiar el ajuste predeterminado.

Nivel de protección de los datos de la aplicación

Establezca el nivel de protección y las acciones que se realizan para proteger los datos empresariales.

Mostrar iconos de EDP Habilite esta opción para mostrar un icono de EDP ( ) en el navegador web, explorador de archivos e iconos de la aplicación al acceder a datos protegidos. El icono también se muestra en ventanas de aplicaciones exclusivamente empresariales en el menú Inicio.

Revocar al anular la inscripción Habilite esta opción para revocar las claves de protección de datos de un dispositivo cuando se anule su inscripción en Workspace ONE UEM.

Descifrado del usuario Habilite esta opción para permitir que los usuarios seleccionen cómo se guardan los datos al usar una aplicación habilitada. Pueden seleccionar Guardar como corporativo o Guardar como personal.Si esta opción no está habilitada, todos los datos guardados al usar una aplicación habilitada se guardarán como datos corporativos y se cifrarán con cifrado corporativo.

Acceso directo a la memoria Habilite esta opción para permitir que los usuarios accedan directamente a la memoria del dispositivo.

Certificado de recuperación de datos Cargue el certificado del sistema de archivos de cifrado especial para utilizarlo con el fin de recuperar archivos, en caso de pérdida o daño de la clave de cifrado. Para obtener más información, consulte Creación de un certificado de sistema de cifrado de archivos (escritorio de Windows).


Creación de un certificado de sistema de cifrado de archivos (escritorio de Windows)El perfil de protección de datos cifra los datos empresariales y permite el acceso solo a los dispositivos aprobados. Cree un certificado EFS para cifrar los datos de su empresa protegidos mediante un perfil de protección de datos.


VMware, Inc. 59

Procedimiento

1 En un ordenador sin certificado EFS, abra una línea de comandos (con derechos de administrador) y navegue hasta el almacén de certificados en el que quiere almacenar el certificado.

2 Ejecute el comando:cipher /r:<EFSRA>

El valor de <EFSRA> es el nombre de los archivos .cer y .pfx que quiere crear.

3 Cuando se le indique, introduzca la contraseña para proteger el nuevo archivo .pfx.

4 Los archivos .cer y .pfx se crean en el almacén de certificados que seleccionó.

5 Cargue el certificado .cer en los dispositivos como parte del perfil de protección de datos. Para obtener más información, consulte Configuración de un perfil de protección de datos (escritorio de Windows).

Perfil de Windows Hello (escritorio de Windows)Windows Hello ofrece una alternativa segura al uso de contraseñas como medida de seguridad. El perfil de Windows Hello configura Windows Hello para empresas en dispositivos de escritorio de Windows, lo que permite a los usuarios finales poder acceder a los datos sin enviar una contraseña.

Proteger los dispositivos y las cuentas con nombre de usuario y contraseña crea posibles vulnerabilidades de la seguridad. Los usuarios pueden olvidar una contraseña o compartirla con personas ajenas a la empresa, lo que pone en riesgo los datos corporativos. Con Windows Hello, los dispositivos Windows 10 autentican al usuario de manera segura en las aplicaciones, los sitios web y las redes en nombre del usuario, sin enviar una contraseña. El usuario no tendrá que recordar las contraseñas, y es menos probable que los ataques de tipo “Man in the middle” comprometan la seguridad.

Windows Hello requiere que los usuarios verifiquen que poseen un dispositivo Windows 10 antes de autenticarlo mediante PIN o la verificación biométrica de Windows Hello. Una vez autenticado con Windows Hello, el dispositivo obtiene acceso instantáneo a los sitios web, las aplicaciones y las redes.

Importante Windows Hello para empresas requiere la integración con Azure AD para funcionar.

Creación de un perfil de Windows Hello (escritorio de Windows)Cree un perfil de Windows Hello para configurar Windows Hello para empresas en dispositivos de escritorio de Windows, lo que permitirá a los usuarios finales poder acceder sus aplicaciones, sitios web y redes sin tener que introducir una contraseña.

Importante Los perfiles de Windows Hello solo son válidos en los dispositivos inscritos mediante la integración de Azure AD.

Procedimiento




VMware, Inc. 60



5 Seleccione el perfil Windows Hello y configure los siguientes ajustes:


Gesto biométrico Habilite esta opción para permitir que los usuarios finales utilicen los lectores biométricos del dispositivo.

TPM (módulo de plataforma segura) Ajuste esta opción en Requerir para inhabilitar el uso de Passport si no hay un modo de plataforma segura instalado en el dispositivo.

Longitud mínima del PIN Introduzca el número mínimo de dígitos que debe contener un PIN.

Longitud máxima del PIN Introduzca el número máximo de dígitos que debe contener un PIN.

Dígitos Ajuste el nivel de permisos para utilizar dígitos en el PIN.

Mayúsculas Ajuste el nivel de permisos para utilizar letras mayúsculas en el PIN.

Minúsculas Ajuste el nivel de permisos para utilizar letras minúsculas en el PIN.

Caracteres especiales Ajuste el nivel de permisos para utilizar caracteres especiales (! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~) en el PIN.


Cómo configurar un perfil de firewall (heredado) para escritorio de WindowsEl perfil de firewall (heredado) para los dispositivos de escritorio de Windows le permite configurar los ajustes del firewall de Windows para los dispositivos. Considere la posibilidad de usar el nuevo perfil de firewall para escritorio de Windows, ya que el nuevo perfil utiliza nuevas funciones de Windows.

Requisitos previos

Importante El perfil de firewall requiere que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

Procedimiento





5 Seleccione la carga útil de Firewall (heredado).

6 Habilite Utilizar los ajustes recomendados para Windows para usar la configuración recomendada de Windows y deshabilite el resto de opciones disponibles en este perfil. Los ajustes cambiarán automáticamente a los ajustes recomendados, pero no podrá cambiarlos.


VMware, Inc. 61

7 Configure los ajustes de Red privada:


Firewall Habilite esta opción para utilizar el firewall cuando el dispositivo esté conectado a conexiones de red privada.

Bloquear todas las conexiones entrantes, incluso aquellas en la lista de aplicaciones permitidas

Habilite esta opción para bloquear todas las conexiones entrantes. Esta opción permite conexiones salientes.

Notificar al usuario cuando el firewall de Windows bloquee una aplicación nueva

Habilite esta opción para permitir que las notificaciones muestren cuándo el firewall de Windows bloquea una aplicación nueva.

8 Configure los ajustes de Red pública:


Firewall Habilite esta opción para utilizar el firewall cuando el dispositivo esté conectado a conexiones de red privada.

Bloquear todas las conexiones entrantes, incluso aquellas en la lista de aplicaciones permitidas

Habilite esta opción para bloquear todas las conexiones entrantes. Esta opción permite conexiones salientes.


Habilite esta opción para permitir que las notificaciones muestren cuándo el firewall de Windows bloquea una aplicación nueva.


Configuración de un perfil de firewall (escritorio de Windows)Cree un perfil de firewall para configurar los ajustes de firewall de escritorio de Windows nativos. Este perfil utiliza una funcionalidad más avanzada que el perfil de firewall (heredado).

Workspace ONE UEM incluye automáticamente el agente OMA-DM en una lista blanca para garantizar que Consola Workspace ONE UEM pueda comunicarse siempre con los dispositivos.

Procedimiento





5 Seleccione la carga útil de Firewall.


VMware, Inc. 62

6 Configure los ajustes en Global.


FTP con estado Establezca el modo en el que el firewall controla el tráfico FTP.

Si selecciona Habilitar, el firewall realiza el seguimiento de todo el tráfico FTP. Si selecciona Inhabilitar, el firewall no inspecciona el tráfico FTP.

Tiempo de inactividad de la asociación de seguridad

Seleccione Configurado y establezca el tiempo máximo (en segundos) que el dispositivo espera antes de eliminar las asociaciones de seguridad inactivas.

Las asociaciones de seguridad son un acuerdo entre dos elementos del mismo nivel o endpoints. Estos acuerdos contienen toda la información necesaria para intercambiar datos de forma segura.

Codificación de clave previamente compartida

Seleccione el tipo de codificación utilizado para la clave previamente compartida.

Exenciones de IPsec Seleccione las exenciones de IPSec que se utilizarán.

Verificación de la lista de revocación de certificados

Seleccione cómo aplicar la verificación de la lista de revocación de certificados.

Conjunto de autenticación de coincidencia de oportunidades por KM

Seleccione cómo los módulos de claves ignoran los conjuntos de autenticación. Al habilitar esta opción, se obliga a los módulos clave a omitir solo los conjuntos de autenticación que no admiten. Al deshabilitar esta opción, se fuerza a los módulos clave a omitir todo el conjunto de autenticación si no admiten todos los conjuntos de autenticación del conjunto.

Habilitar cola de paquetes Seleccione el modo en el que la cola de paquetes funciona en el dispositivo. Este ajuste permite garantizar una escalabilidad adecuada.

7 Configure el comportamiento del firewall cuando esté conectado a redes de dominio, privadas y

públicas.


Firewall Seleccione Habilitar para aplicar la configuración de las directivas en el tráfico de red. Si este ajuste está deshabilitado, el dispositivo permite todo el tráfico de red, independientemente de otras configuraciones de directivas.

Acción saliente Seleccione la acción predeterminada que realiza el firewall en las conexiones salientes.

Si establece esta opción en Bloquear, el firewall bloquea todo el tráfico saliente, a menos que se especifique explícitamente de otro modo.

Acción entrante Seleccione la acción predeterminada que realiza el firewall en las conexiones entrantes.

Si establece esta opción en Bloquear, el firewall bloquea todo el tráfico entrante, a menos que se especifique explícitamente de otro modo.

Unidifusión de respuestas para multidifusión o difusión de tráfico de red

Establezca el comportamiento de las respuestas al tráfico de red de multidifusión o difusión.

Si deshabilita esta opción, el firewall bloquea todas las respuestas al tráfico de red de multidifusión o difusión.


VMware, Inc. 63



Establezca el comportamiento de notificación del firewall.

Si selecciona Habilitar, el firewall puede enviar notificaciones al usuario cuando bloquea una nueva aplicación. Si selecciona Inhabilitar, el firewall no enviará notificaciones.

Modo invisible Para ajustar el dispositivo en modo invisible, seleccione Habilitar.El modo invisible ayuda a evitar que malhechores obtengan información sobre los servicios y los dispositivos de red. Cuando se habilita, el modo invisible bloquea los mensajes salientes ICMP de destino inalcanzable y los mensajes de restablecimiento de TCP de los puertos sin que una aplicación escuche activamente en ese puerto.

Permitir el tráfico de la red IPSec en modo invisible

Establezca el modo en el que el firewall gestiona el tráfico no solicitado protegido por IPSec.

Si selecciona Habilitar, el firewall permite el tráfico de red no solicitado protegido por IPSec.

Esta opción solo es aplicable si se habilita Modo invisible.

Reglas de firewall local Establezca el modo en el que el firewall interactúa con las reglas de firewall locales.

Si selecciona Habilitar, el firewall sigue las reglas locales. Si selecciona Inhabilitar, el firewall ignora las reglas locales y no las aplica.

Reglas de conexión local Establezca el modo en el que el firewall interactúa con las reglas de seguridad de conexión locales.

Si selecciona Habilitar, el firewall sigue las reglas locales. Si selecciona Inhabilitar, el firewall ignora las reglas locales y no las aplica, independientemente de las versiones de esquema y seguridad de conexión.

Reglas de firewall de puertos globales

Establezca el modo en el que el firewall interactúa con las reglas de firewall de puertos globales.

Si selecciona Habilitar, el firewall sigue las reglas de firewall de puertos globales. Si selecciona Inhabilitar, el firewall ignora las reglas y no las aplica.

Normas de aplicación autorizadas Establezca el modo en el que el firewall interactúa con las reglas de aplicación autorizadas locales.

Si selecciona Habilitar, el firewall sigue las reglas locales. Si selecciona Inhabilitar, el firewall ignora las reglas locales y no las aplica.

8 Para configurar reglas de firewall propias, seleccione Agregar regla de firewall. Después de

agregar una regla, configure las opciones según sea necesario. Puede agregar tantas reglas como desee.

9 Al terminar, seleccione Guardar y publicar para insertar el perfil en los dispositivos.

Configuración de un perfil de modo de aplicación única (escritorio de Windows)El perfil de modo de aplicación única le permite limitar el acceso al dispositivo a una única aplicación. Con el modo de aplicación única, el dispositivo permanece bloqueado en una sola aplicación hasta que la carga útil se elimina. La política se habilitará después de reiniciar el dispositivo.


VMware, Inc. 64

Requisitos previos

El modo de aplicación única tiene restricciones y limitaciones específicas.

n Solo aplicaciones modernas o universales de Windows. El modo de aplicación única no admite aplicaciones .msi o .exe heredadas.

n Los usuarios deben ser solo usuarios estándar locales. No puede ser un usuario de dominio, usuario administrador, cuenta de Microsoft o invitado. El usuario estándar debe ser un usuario local. No se admiten cuentas de dominio.

Procedimiento



3 Seleccione Perfil de usuario.


5 Seleccione el perfil de modo de aplicación única.

6 Configure los ajustes del modo de aplicación única:


Nombre de la aplicación Introduzca el nombre común de la aplicación.

En el caso de las aplicaciones de Windows, el nombre descriptivo es el Nombre del paquete o el ID del paquete.

Debe ejecutar un comando PowerShell para obtener el nombre común de la aplicación instalada en el dispositivo. El comando “Get-AppxPackage” devuelve el nombre común de la aplicación como “nombre”.

7 Después de configurar un perfil de modo de aplicación única, debe establecer el modo de aplicación

única en el dispositivo.

a Después de recibir el perfil del modo de aplicación única en el dispositivo, reinicie este último para comenzar.

b Cuando se reinicie, se le pedirá que inicie sesión en el dispositivo con la cuenta del usuario estándar.

Al iniciar sesión, la política empieza a aplicarse y ya puede usarse el modo de aplicación única.

Si debe salir del modo de aplicación única, presione la tecla Windows 5 veces rápidamente para abrir la pantalla de inicio y así conectarse a un usuario distinto.


VMware, Inc. 65

Configuración de un perfil de antivirus (escritorio de Windows)Cree un perfil de antivirus para configurar el antivirus Windows Defender nativo en los dispositivos de escritorio de Windows. Si Windows Defender está configurado para todos los dispositivos, tiene la garantía de que los usuarios finales están protegidos al utilizar el dispositivo.

Importante Este perfil solo configura Windows Defender nativo, no configurará ningún otro antivirus de terceros.

Procedimiento





5 Seleccione el perfil de antivirus.

6 Configure los ajustes de Antivirus:


Monitoreo en tiempo real Habilite esta opción para configurar Windows Defender de forma que supervise el dispositivo en tiempo real.

Escaneo completo Habilite esta opción para programar la ejecución de un escaneo completo del sistema. Seleccione el intervalo de tiempo (en horas) entre los escaneos.

Escaneo rápido Habilite esta opción para programar la ejecución de un escaneo rápido del sistema. Seleccione el intervalo de tiempo (en horas) entre los escaneos.

Exclusiones Seleccione las rutas de archivo o procesos que desea excluir de los escaneos de Windows Defender.

Seleccione Agregar nuevo para agregar una excepción.

Acción predeterminada de amenaza (Baja, Moderada, Alta, Severa)

Establezca la acción predeterminada para los distintos niveles de amenaza encontrados durante los escaneos.

n Limpiar – Seleccione esta opción para limpiar los problemas que provoque la amenaza.

n Cuarentena – Seleccione esta opción para enviar la amenaza a una carpeta de cuarentena.

n Eliminar – Seleccione esta opción para eliminar la amenaza del sistema.

n Permitir – Seleccione esta opción para no eliminar la amenaza.

n Definido por el usuario – Seleccione esta opción para permitir que el usuario decida qué hacer con la amenaza.

n Ninguna acción – Seleccione esta opción si no desea realizar una acción contra la amenaza.

n Bloquear – Seleccione esta opción para bloquear la amenaza y evitar que acceda al dispositivo.


VMware, Inc. 66


Factor de carga de la CPU medio del escaneo

Establezca el porcentaje de CPU medio máximo que Windows Defender puede utilizar durante el escaneo.

Bloqueo de IU Habilite esta opción para bloquear la interfaz de usuario por completo para que los usuarios finales no puedan cambiar la configuración.

Escaneo completo de actualización Habilite esta opción para permitir ejecutar un escaneo completo que se interrumpió o no se realizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneo programado de forma regular. Estos escaneos programados suelen omitirse porque el ordenador estaba apagado a la hora programada.

Escaneo rápido de actualización Habilite esta opción para permitir ejecutar un escaneo rápido que se interrumpió o no se realizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneo programado de forma regular. Estos escaneos programados suelen omitirse porque el ordenador estaba apagado a la hora programada.

Monitoreo de comportamiento Habilite esta opción para configurar el análisis de virus de manera que envíe un registro de actividad a Microsoft.

Sistema de prevención de intrusión Habilite esta opción para configurar la protección de la red contra el aprovechamiento de las vulnerabilidades conocidas.

Esta opción le permite a Windows Defender supervisar las conexiones de forma continua e identifica patrones de comportamiento potencialmente maliciosos. En este sentido, el software se comporta como un detector de virus clásico, solo que escanea el tráfico de red en lugar de archivos.

Analizar correo electrónico Habilite esta opción para permitir que Windows Defender escanee los correos electrónicos.

Analizar unidades de red asignadas Habilite esta opción para permitir que Windows Defender escanee las unidades de red asignadas a los dispositivos.

Analizar archivos Habilite esta opción para permitir que Windows Defender ejecute un escaneo de carpetas con archivos comprimidos.

Analizar unidades extraíbles Habilite esta opción para permitir que Windows Defender escanee las unidades extraíbles conectadas al dispositivo.

Eliminar archivos en cuarentena después de

Establezca durante cuánto tiempo se almacenan los archivos en cuarentena antes de eliminarlos.

7 Seleccione Guardar y publicar.

Perfil de cifrado (escritorio de Windows)Proteja los datos corporativos almacenados en los dispositivos de escritorio de Windows mediante el perfil de cifrado. El perfil de cifrado establece la política de cifrado de BitLocker nativo en los dispositivos de escritorio de Windows para garantizar la protección de los datos.

El cifrado de BitLocker solo está disponible en dispositivos con las versiones Windows 8 Enterprise y Pro, y Windows 10 Enterprise, Education y Pro.


VMware, Inc. 67

Dado que los portátiles y las tabletas son dispositivos móviles por definición, exponen los datos de su empresa a pérdidas o robos. Al exigir una política de cifrado mediante Workspace ONE UEM, puede proteger los datos del disco duro. BitLocker es el cifrado de Windows nativo y Dell Data Protection | Encryption es una solución de cifrado de terceros de Dell. Con el perfil de cifrado habilitado, Workspace ONE Intelligent Hub verifica continuamente el estado de cifrado del dispositivo. Si Workspace ONE Intelligent Hub detecta que el dispositivo no está cifrado, lo cifra automáticamente.

Si decide cifrar con BitLocker, una clave de recuperación creada durante el cifrado se almacena en Workspace ONE UEM Console y en el portal de autoservicio.

El perfil de cifrado requiere que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

Nota el perfil de cifrado no configura ni habilita Dell Data Protection | Encryption. El estado del cifrado se transmite a Workspace ONE UEM Console y al portal de autoservicio, aunque el cifrado debe configurarse manualmente en el dispositivo.

Precaución Windows 10 no es compatible con dispositivos sin teclado en pantalla previo al arranque. Sin el teclado, no puede introducir el código PIN de inicio necesario para desbloquear el disco duro e iniciar Windows en el dispositivo. Si se inserta este perfil en los dispositivos sin un teclado en pantalla previo al arranque, se detiene el dispositivo.

Funcionalidad de BitLockerEl perfil de cifrado utiliza la funcionalidad avanzada de BitLocker para controlar la autenticación e implementación del cifrado de BitLocker.

BitLocker utiliza el módulo de plataforma segura (TPM) en los dispositivos para guardar la contraseña de recuperación de estos con el fin de descifrar los discos duros conectados a la placa base. Si se retira el disco duro de la placa base, este no puede descifrarse. Para una autenticación mejorada, puede habilitar un PIN de cifrado que confirme la autenticación del usuario. Asimismo, como alternativa, puede requerir una contraseña para los dispositivos en los casos en los que el TPM no está disponible.

Comportamiento de implementaciónEl cifrado de BitLocker nativo de Windows protege los datos almacenados en los dispositivos de escritorio de Windows. Implementar el perfil de cifrado requiere acciones adicionales por parte del usuario final.

Si el perfil de cifrado se inserta en un dispositivo cifrado y la configuración actual de cifrado coincide con la del perfil, el Workspace ONE Intelligent Hub añade una clave de recuperación y la envía a Workspace ONE UEM Console. Esta nueva clave de recuperación también se almacena en una base de datos cifrada del dispositivo. Con esta función, si un usuario o un administrador intenta descifrar el dispositivo, el perfil de cifrado vuelve a cifrarlo con la nueva clave de recuperación. El cifrado tiene lugar aunque el dispositivo esté sin conexión.

Si el cifrado existente no coincide con la configuración de autenticación del perfil de cifrado, los protectores existentes se eliminan y se aplican nuevos protectores que coincidan con la configuración del perfil de cifrado.


VMware, Inc. 68

Si el método de cifrado existente no coincide con el perfil de cifrado, Workspace ONE UEM no interviene en él ni lo sustituye. Esta función también se aplica si añade una nueva versión del perfil de cifrado a un dispositivo administrado por un perfil de cifrado existente. El método de cifrado existente no cambia.

Si BitLocker está habilitado y se está utilizando, puede ver informes de estado sobre el estado de cifrado en las áreas siguientes:

n Tablero de Workspace ONE UEM

n Los detalles del dispositivo muestran la información de la clave de recuperación.

n La protección de BitLocker se muestra como habilitada.

n Portal de autoservicio de Workspace ONE UEM

n El portal de autoservicio muestra que la clave de recuperación es almacenada, pero no muestra sus detalles.

n La protección de BitLocker se muestra como habilitada.

Comportamiento de eliminaciónSi el perfil se elimina de Workspace ONE UEM Console, Workspace ONE UEM deja de exigir el cifrado y el dispositivo se descifra automáticamente. La eliminación empresarial o la desinstalación manual del Workspace ONE Intelligent Hub desde el Panel de control inhabilita el cifrado de BitLocker.

Si el usuario final decide anular la inscripción durante el proceso de cifrado de BitLocker, el proceso de cifrado continúa a menos que se desactive manualmente desde el Panel de control.

Configuración de un perfil de cifrado (escritorio de Windows)Cree un perfil de cifrado para proteger sus datos almacenados en los dispositivos de escritorio de Windows mediante el cifrado de BitLocker nativo.

Procedimiento





5 Seleccione el perfil de Cifrado y configure los ajustes:


Volumen cifrado Utilice el menú desplegable para seleccionar el tipo de cifrado como se muestra a continuación:

n Disco duro completo: cifra todo el disco duro del dispositivo, incluida la partición del sistema en la que está instalado el sistema operativo.

n Partición del sistema: cifra una partición o unidad en la misma ubicación en que Windows está instalado y desde la cual se inicia.

Método de cifrado Seleccione el método de cifrado del dispositivo.


VMware, Inc. 69


Cifrar solo el espacio utilizado durante el cifrado inicial

Habilitar para restringir el cifrado de BitLocker solo al espacio utilizado en el controlador en el momento del cifrado.

Dirección URL de clave de recuperación

Introduzca la dirección URL que mostrar en la pantalla bloqueada que redirige a los usuarios para que obtengan la clave de recuperación.

Es aconsejable introducir la dirección URL del portal de autoservicio, ya que Workspace ONE UEM aloja la clave de recuperación ahí.

Forzar cifrado Habilite esta opción para forzar el cifrado del dispositivo. Esta aplicación hace que el dispositivo se cifre de nuevo inmediatamente en caso de que BitLocker se deshabilite de forma manual.

Se recomienda que deshabilite esta opción para evitar errores durante las actualizaciones o las eliminaciones empresariales.

Modo de autenticación Seleccione el método para autenticar el acceso a un dispositivo con cifrado de BitLocker.

n TPM: utiliza el módulo de plataforma segura de dispositivos. Requiere un TPM en el dispositivo.

n Contraseña: utiliza una contraseña para la autenticación.

Exigir PIN de cifrado al iniciar sesión Seleccione la casilla de verificación para exigir a los usuarios que introduzcan un PIN para desbloquear el dispositivo. Esta opción bloquea el arranque del SO y la reanudación automática desde los modos de suspensión o hibernación hasta que el usuario introduzca el PIN correcto.

Utilizar contraseña si el TPM no está disponible

Seleccione esta casilla de verificación para utilizar una contraseña como solución alternativa al descifrado del dispositivo si el TPM no está disponible.

Si este ajuste no está habilitado, cualquier dispositivo sin un TPM no puede cifrar.

Longitud mínima de la contraseña Seleccione el número mínimo de caracteres que debe contener una contraseña.

Aparece si la opción Modo de autenticación está establecida como Contraseña o si la opción Utilizar contraseña si TPM no está disponible está habilitada.

Crear contraseña estática de BitLocker

Seleccione la casilla de verificación si hay habilitada una clave de recuperación estática.

Contraseña de recuperación de BitLocker

Seleccione el icono Generar ( ) para generar una nueva clave de recuperación.

Período de rotación Introduzca el número de días hasta que rote la clave de recuperación.

Periodo de gracia Introduzca el número de días tras la rotación que seguirá funcionando la clave de recuperación anterior.

Habilitar suspensión de BitLocker Seleccione la casilla de verificación para habilitar la suspensión de BitLocker. Esta funcionalidad suspende el cifrado de BitLocker durante un período de tiempo específico. Utilice esta función para suspender BitLocker cuando haya actualizaciones programadas, de modo que los dispositivos puedan reiniciarse sin exigir a los usuarios finales que introduzcan el PIN o la contraseña de cifrado.

Tipo de suspensión de BitLocker Seleccione el tipo de suspensión.

n Horario: seleccione la introducción del momento específico en el que BitLocker debe suspenderse. A continuación, defina la repetición del horario como diaria o semanal.

n Personalizado: seleccione la introducción del día y la hora de inicio y fin de la suspensión de BitLocker.


VMware, Inc. 70


Hora de inicio de la suspensión de BitLocker

Introduzca la hora a la que debe iniciarse la suspensión de BitLocker.

Hora de finalización de la suspensión de BitLocker

Introduzca la hora a la que debe finalizar la suspensión de BitLocker.

Tipo de repetición programada Defina si las repeticiones de la suspensión programada deben ser diarias o semanales. Si selecciona “Semanal”, indique los días de la semana en los que debe repetirse la programación.


Configuración de un perfil de actualizaciones de Windows (escritorio de Windows)Cree un perfil de actualizaciones de Windows con el fin de administrar los ajustes de actualizaciones de Windows para los dispositivos de escritorio de Windows. El perfil asegura que todos los dispositivos tengan las actualizaciones más recientes, lo que mejora la seguridad de la red y de los dispositivos.

Requisitos previos

Para utilizar los ajustes avanzados, el perfil de Actualizaciones de Windows requiere que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

Importante: para ver la versión de SO que cada rama de actualización admite, consulte la documentación de Microsoft sobre la información de versión de Windows 10: https://technet.microsoft.com/es-es/windows/release-info.aspx.

Para aplicar un perfil de actualizaciones de Windows:

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista en lista y seleccione Agregar perfil.




5 Seleccione el perfil de actualizaciones de Windows.


VMware, Inc. 71



6 Configure los ajustes de actualizaciones de Windows:


Origen de actualización de Windows Seleccione el origen de las Actualizaciones de Windows:

n Servicio de Microsoft Update: seleccione esta opción para utilizar el servidor de actualizaciones predeterminado de Microsoft.

n WSUS corporativo: seleccione esta opción para utilizar un servidor corporativo e introducir la dirección URL del servidor WSUS y el grupo WSUS.

Para que este ajuste surta efecto, el dispositivo debe contactar con el WSUS al menos una vez.

Elegir WSUS corporativo como origen permite al administrador de TI ver las actualizaciones instaladas y el estado de los dispositivos del grupo WSUS.

Actualizar rama Seleccione la rama de actualización que se debe seguir para las actualizaciones.

n Rama de Windows Insider: lenta

n Rama de Windows Insider: rápida

n Lanzamiento de la compilación de Windows Insider

n Canal semestral (dirigido)

n El dispositivo recibe todas las actualizaciones de funciones aplicables inmediatamente después del lanzamiento de una nueva versión de Windows. Considere la posibilidad de utilizar este canal para el proceso de pruebas de su organización.

n Canal semestral

n Este canal es la fase posterior a la implementación objetivo. Considere la posibilidad de utilizar este canal después de que el proceso de comprobación proporcione resultados correctos.

Aplazar el período de actualizaciones de funciones en días

Seleccione el número de días que aplazar las actualizaciones de la función antes de instalar las actualizaciones en el dispositivo.

El número máximo de días que puede aplazar una actualización ha cambiado en la versión 1703 de Windows 10. Los dispositivos que ejecuten una versión anterior a la 1703 solo pueden aplazarla durante 180 días. Los dispositivos que ejecuten una versión posterior a 1703 solo pueden aplazarla como máximo 365 días.

Si aplaza una actualización durante más de 180 días y envía el perfil a un dispositivo que ejecute una versión de Windows 10 antes de la actualización 1703, el perfil no se instala en el dispositivo.

Aplazar actualizaciones de funciones Habilite esta opción para aplazar todas las actualizaciones de funciones durante 60 días o hasta que se inhabilite. Este ajuste anula el de Aplazar el período de actualizaciones de funciones en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas y que, normalmente, se instalaría según sus ajustes de aplazamiento.

Período de actualizaciones de calidad del aplazamiento en días

Seleccione el número de días que aplazar las actualizaciones de calidad antes de instalar las actualizaciones en el dispositivo.

Aplazar actualizaciones de calidad Habilite esta opción para aplazar todas las actualizaciones de calidad durante 60 días o hasta que se inhabilite. Este ajuste anula el de Período de actualizaciones de calidad del aplazamiento en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas y que, normalmente, se instalaría según sus ajustes de aplazamiento.


VMware, Inc. 72


Habilitar ajustes para versiones anteriores de Windows

Seleccione habilitar los ajustes de aplazamiento para las versiones anteriores de Windows. Algunos de los ajustes son:

n Posponer las nuevas funciones (meses)n Posponer las nuevas actualizaciones (semanas)n Posponer aplazamientos

Actualizaciones automáticas Establezca cómo se gestionan las actualizaciones de la opción Actualizar rama seleccionada:

n Instalar actualizaciones automáticamente.

n Instalar las actualizaciones, pero permitir al usuario programar el ordenador.

n Instalar las actualizaciones automáticamente y reiniciar a la hora definida.

n Instalar las actualizaciones automáticamente e impedir que los usuarios modifiquen los ajustes del panel de control.

n Buscar actualizaciones, pero permitir que el usuario elija si desea descargarlas e instalarlas.

n Nunca buscar actualizaciones.

Hora de inicio de horas activas Introduzca la hora de inicio de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esas horas.

Tiempo de finalización de horas activas

Introduzca el tiempo de finalización de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esas horas.

Permitir servicio de actualización Permite las actualizaciones desde el servicio público de actualizaciones de Windows.

No permitir este servicio puede provocar problemas con Microsoft Store.

Permitir actualizaciones de MU Permitir actualizaciones desde Microsoft Update.

Actualizar otros productos de Microsoft cuando Windows se esté actualizando

Permite que otros productos de Microsoft se actualicen al actualizar Windows.

Instalar las actualizaciones firmadas de las entidades de terceros

Permite la instalación de actualizaciones de terceros aprobados.

Compilaciones de Insider Permite la descarga de compilaciones de Insider de Windows 10.

Requerir aprobación de actualizaciones

Habilite esta opción para requerir que se aprueben las actualizaciones antes de descargarlas en el dispositivo.

Habilite esta opción para requerir que los administradores aprueben explícitamente las actualizaciones antes de descargarlas en el dispositivo. Esta aprobación se realiza mediante grupos de actualizaciones o mediante la aprobación individual de actualizaciones.

Esta opción exige aceptar todos los términos de uso requeridos en nombre de los usuarios finales para poder insertar la aplicación en los dispositivos. Si es necesario aceptar términos de uso, se muestra un cuadro de diálogo de términos de uso.

Para aprobar actualizaciones, navegue a Ciclo de vida > Actualizaciones de Windows. Para obtener más información, consulte Aprobación de actualizaciones de Windows.


VMware, Inc. 73


Actualizaciones autoaprobadas Habilite esta opción para establecer grupos de actualizaciones cuya descarga en los dispositivos del usuario final se aprueba automáticamente.

Esta opción exige aceptar todos los términos de uso requeridos en nombre de los usuarios finales para poder insertar la aplicación en los dispositivos. Si es necesario aceptar términos de uso, se muestra un cuadro de diálogo de términos de uso.

Actualizaciones de funciones Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de funciones en los dispositivos asignados.

Se muestra si la opción Actualizaciones autoaprobadas está habilitada.

Aplicación Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de aplicaciones en los dispositivos asignados.


Conectores Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de conectores de Office 365 en los dispositivos asignados.


Críticas Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones críticas en los dispositivos asignados.


Definición Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de definiciones de Windows Defender en los dispositivos asignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de que sus dispositivos mantengan la protección de Windows Defender. Esta opción está habilitada de forma predeterminada.


Kit de desarrollador Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones del kit de desarrollador en los dispositivos asignados.


Controladores Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de controlador en los dispositivos asignados.


Feature Pack Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de paquetes de características en los dispositivos asignados.


Instrucciones Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de instrucciones en los dispositivos asignados.

Seguridad Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de seguridad en los dispositivos asignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de que sus dispositivos se mantengan protegidos. Esta opción está habilitada de forma predeterminada.


VMware, Inc. 74


Service Pack Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de Service Pack en los dispositivos asignados.


Actualizaciones de herramientas Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones de herramientas en los dispositivos asignados.


Paquetes acumulativos de actualizaciones

Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todos los paquetes acumulativos de actualizaciones en los dispositivos asignados.


General Establezca esta opción en Permitidas para aprobar automáticamente que se descarguen todas las actualizaciones generales en los dispositivos asignados.


Actualizaciones de igual a igual Permite el uso de descargas de igual a igual de las actualizaciones.

Permitir que se utilice el método de igual a igual

Seleccione el método de conexión de igual a igual que desea permitir.

Restringir el uso de igual a igual a los miembros que tengan el mismo ID de grupo

Restringe la descarga de igual a igual a los dispositivos que se encuentran en el mismo grupo organizativo.

Intervalo máximo que se mantiene cada archivo en la caché de optimización de entregas (segundos)

Permite definir el número de segundos que un archivo permanece en la caché de optimización de entregas antes de insertarse en los dispositivos.

La caché de optimización mantiene las actualizaciones disponibles en otros puntos a los que el dispositivo puede llegar para acelerar la descarga de las actualizaciones.

Tamaño máximo de la caché que puede utilizar la optimización de entrega (%)

Introduzca el porcentaje de la caché que puede utilizar la optimización de entregas.

Ancho de banda máximo para las cargas que un dispositivo utilizará entre todas las cargas simultáneas (kB/seg)

Introduzca el ancho de banda de carga máximo, en kB/segundo, que un dispositivo utilizará al enviar las actualizaciones a los dispositivos del mismo nivel.


Ver lista de actualizaciones en el ciclo de vidaWorkspace ONE UEM admite la revisión y aprobación de actualizaciones del sistema operativo y de OEM en dispositivos de Windows 10 y de actualizaciones del sistema operativo para las determinadas actualizaciones de Android específicas. La página de la consola actualizaciones muestra todas las actualizaciones disponibles para los dispositivos Windows 10 inscritos en el grupo organizativo actual.


VMware, Inc. 75

Actualizaciones de WindowsEn esta pestaña, puede aprobar actualizaciones y asignarlas a grupos inteligentes específicos de modo que se cumplan las necesidades de la empresa. Esta pestaña muestra todas las actualizaciones con los siguientes datos: fecha de publicación, plataforma, clasificación y grupo asignado. Solo se muestran las actualizaciones disponibles para los dispositivos Windows 10 inscritos en el grupo organizativo actual. Si no tiene ningún dispositivo Windows 10 inscrito en el GO, no se mostrará ninguna actualización.

Al seleccionar el nombre de la actualización, se abre una ventana con información detallada, un enlace a la página de la base de conocimientos de Microsoft con la actualización y datos del estado de la instalación de la actualización.

Para obtener más información sobre la aprobación de actualizaciones, consulte Aprobación de actualizaciones de Windows.

El estado de instalación de la actualización muestra la implementación de la actualización en sus dispositivos. Para consultar el estado de la implementación de la actualización, seleccione la opción Vista.

Estado Descripción

Asignado La actualización se ha aprobado y asignado al dispositivo.

Aprobado La actualización aprobada se ha asignado correctamente al dispositivo.

Disponible La actualización está disponible en el dispositivo para su instalación.

Instalación pendiente La instalación se ha aprobado y está disponible, aunque aún no se ha instalado.

Reinicio pendiente La instalación se ha pausado hasta que el dispositivo se reinicie.

Instalada La actualización se ha instalado correctamente.

Falló La instalación de la actualización ha fallado.

Actualizaciones de OEMEn esta pestaña, puede ver todas las actualizaciones de OEM implementadas en los dispositivos de escritorio de Windows. Puede ordenar la vista de lista por nombre, nivel, tipo y categoría del dispositivo. También puede filtrar las actualizaciones mostradas mediante filtros como controladores de audio, controladores de conjunto de chips, actualizaciones de BIOS y más.

Consulte el estado de instalación de la implementación de actualizacioónes seleccionando el nombre de la actualización.

Para obtener más información sobre el envío de actualizaciones de OEM a dispositivos, consulte Configuración de un perfil de actualizaciones de OEM (escritorio de Windows)

Aprobación de actualizaciones de WindowsRevise y apruebe actualizaciones de Windows para instalarlas en sus dispositivos con Windows 10. Esta función le permite asegurarse de que sus dispositivos permanezcan actualizados al tiempo que controla la distribución de actualizaciones según las necesidades de la empresa.


VMware, Inc. 76

Requisitos previos

Debe publicar un perfil de actualizaciones de Windows con la opción Requerir aprobación de actualizaciones habilitada.

Procedimiento

1 Navegue a Ciclo de vida > Actualizaciones > Windows.

2 Seleccione la casilla de verificación a la izquierda de la actualización. Seleccione el botón Asignar.

3 Introduzca los grupos inteligentes a los que se les aplicará la actualización.

4 Seleccione Agregar.

Pasos siguientes

Para obtener más información sobre la página de la consola de actualizaciones de Windows, consulte Ver lista de actualizaciones en el ciclo de vida

Cómo crear un perfil de proxy (escritorio de Windows)Cree un perfil de proxy con objeto de configurar un servidor proxy para los dispositivos de escritorio de Windows. Estos ajustes no se aplican a las conexiones VPN.

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista de lista > Agregar y seleccione Agregar perfil.




5 Seleccione el perfil de proxy y configure los ajustes:


Detectar ajustes automáticamente Habilite esta función para que el sistema intente encontrar automáticamente la ruta a un script de configuración automática del proxy (PAC).

Usar script de configuración Habilite esta opción para introducir la ruta del archivo al script de PAC.

Dirección de script Introduzca la ruta del archivo al script de PAC.

Esta opción se muestra cuando se habilita Usar script de configuración.

Usar servidor proxy Habilite esta opción para utilizar un servidor proxy estático para las conexiones Ethernet y Wi-Fi. Este servidor proxy se utiliza para todos los protocolos. Estos ajustes no se aplican a las conexiones VPN.

Dirección del servidor proxy Introduzca la dirección del servidor proxy. La dirección debe tener el siguiente formato: <server>[“:”<port>].


VMware, Inc. 77


Excepciones Introduzca las direcciones que no deben utilizar el servidor proxy. El sistema no utilizará el servidor proxy para estas direcciones. Separe las entradas con un punto y coma (;).

Usar proxy para direcciones locales (intranet)

Habilite esta opción para utilizar el servidor proxy para las direcciones locales (intranet).


Configuración de un perfil de web clips (escritorio de Windows)Un perfil de web clips le permite insertar direcciones URL a los dispositivos de los usuarios finales para que tengan fácil acceso a sitios web importantes.

Procedimiento





5 Seleccione el perfil de web clips.

6 Configure los ajustes de Web clips:


Etiqueta Introduzca una descripción para el web clip.

URL Introduzca la dirección URL de destino para el web clip.

Mostrar en Catálogo de aplicaciones Habilite esta opción para mostrar el web clip en el catálogo de aplicaciones.


Perfiles de Exchange ActiveSync (escritorio de Windows)Los perfiles de Exchange ActiveSync le permiten configurar los dispositivos de escritorio de Windows para que accedan a su servidor de Exchange ActiveSync y utilicen el correo electrónico y el calendario.

Utilice certificados firmados por una autoridad de certificado de terceros de confianza (CA). Cualquier error en sus certificados hace que las conexiones seguras se vuelvan vulnerables a posibles ataques de tipo “Man in the middle” (ataques de intermediarios). Ese tipo de ataques afectan negativamente la confidencialidad y la integridad de los datos que se transmiten entre los componentes del producto, y también les dan la oportunidad a los intrusos de interceptar o alterar los datos mientras están en tránsito. Consulte la sección Configuración de un perfil de credenciales (escritorio de Windows) para obtener más información.


VMware, Inc. 78

El perfil de Exchange ActiveSync es compatible con el cliente de correo nativo para escritorio de Windows. La configuración varía según el cliente de correo que utilice.

Eliminación de un perfil o eliminación empresarialSi se elimina el perfil con un comando de eliminación de perfil, una política de conformidad o una eliminación empresarial, se eliminan todos los datos de correo electrónico, tales como:

n La información de la cuenta de usuario/inicio de sesión.

n Datos de los mensajes de correo electrónico

n Información de los contactos y el calendario.

n Adjuntos guardados en el almacenamiento interno de la aplicación.

Nombre de usuario y contraseñaSi tiene nombres de usuarios de correo electrónico que difieren de las direcciones de correo de los usuarios, puede utilizar el cuadro de texto {EmailUserName}, que corresponde a los nombres de usuarios de correo electrónico que se importaron durante el proceso de integración del servicio de directorio. Incluso aunque los nombres de usuario coincidan con las direcciones de correo electrónico, use el cuadro de texto {EmailUserName}, ya que este utiliza la dirección de correo importada a través de la integración del servicio de directorio.

Configuración de un perfil de Exchange ActiveSync (escritorio de Windows)Cree un perfil de Exchange ActiveSync para ofrecer a los dispositivos con escritorio de Windows acceso a su servidor de Exchange ActiveSync para usar el correo electrónico y el calendario.

Nota Workspace ONE UEM no es compatible con Outlook 2016 para los perfiles de Exchange ActiveSync.

Procedimiento


2 Seleccione Windows y luego la plataforma de Escritorio de Windows.



5 Seleccione la carga útil de Exchange ActiveSync.

6 Configure los ajustes de Exchange ActiveSync:


Cliente de correo Seleccione el cliente de correo que configura el perfil de EAS.

Workspace ONE UEM es compatible con el cliente de correo nativo.

Nombre de la cuenta Introduzca el nombre para la cuenta de Exchange ActiveSync.


VMware, Inc. 79


Host de Exchange ActiveSync Introduzca la dirección URL o la dirección IP del servidor que hospeda el servidor EAS.

Utilizar SSL Habilite esta opción para enviar todas las comunicaciones a través de la capa de sockets seguros (SSL).

Dominio Introduzca el dominio de correo electrónico.

El perfil es compatible con los valores de búsqueda para agregar la información de inscripción e inicio de sesión del usuario. Para obtener más información, consulte la sección Nombre de usuario y contraseña en la parte inferior de la página.

Nombre de usuario (ID) Introduzca el nombre de usuario del correo electrónico.

Dirección de correo electrónico Introduzca la dirección de correo electrónico. Este es un campo requerido.

Contraseña Introduzca la contraseña de correo electrónico.

Certificado de identidad Seleccione el certificado de la carga útil de EAS.Consulte la sección Configuración de un perfil de credenciales (escritorio de Windows) para obtener más información.

El próximo intervalo de sincronización (min)

Seleccione la frecuencia, en minutos, con la que el dispositivo se sincroniza con el servidor de EAS.

Número de días trascurridos de correo para sincronizar

Seleccione cuántos días de correos electrónicos anteriores se sincronizan con el dispositivo.

Registro de diagnósticos Habilite esta opción para registrar la información con fines de solución de problemas.

Exigir la protección de datos cuando el dispositivo esté bloqueado

Habilite esta opción para exigir que los datos estén protegidos cuando el dispositivo esté bloqueado.

Permitir la sincronización del correo electrónico

Habilite esta opción para permitir la sincronización de los mensajes de correo electrónico.

Permitir la sincronización de los contactos

Habilite esta opción para permitir la sincronización de los contactos.

Permitir la sincronización del calendario

Habilite esta opción para permitir la sincronización de los eventos del calendario.

7 Seleccione Guardar para mantener el perfil en la consola de Workspace ONE UEM o Guardar y

publicar para enviarlo a los dispositivos.

Perfil de SCEP (escritorio de Windows)Los perfiles de Protocolo de inscripción de certificados simple (SCEP) le permiten instalar certificados de manera silenciosa en los dispositivos sin que el usuario final tenga que intervenir.

Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a la fuerza bruta, ataques de diccionario y errores de sus empleados. Para obtener una seguridad más completa, puede implementar certificados digitales con los que proteger sus recursos corporativos. Para usar SCEP con el fin de instalar estos certificados en los dispositivos de manera silenciosa, primero debe definir una entidad de certificación (CA) y luego configurar una carga útil de SCEP, junto con su carga útil de EAS, Wi-Fi o VPN. Cada una de estas cargas útiles tiene ajustes para asociar la CA definida en la carga útil de SCEP.


VMware, Inc. 80

Para insertar certificados en los dispositivos, configure una carga útil de SCEP como parte de los perfiles que configuró para los ajustes de EAS, Wi-Fi y VPN.

Configuración de un perfil de SCEP (escritorio de Windows)Un perfil de SCEP instala silenciosamente certificados en dispositivos para utilizarlos con la autenticación de los dispositivos.

Procedimiento





5 Seleccione el perfil de SCEP.

6 Configure los ajustes de SCEP:


Fuente de credenciales Este menú desplegable se configura siempre para definir la autoridad de certificación.

Entidad de certificación Seleccione la autoridad de certificación que desea usar.

Plantilla de certificado Seleccione la plantilla disponible para el certificado.

Emisor Introduzca el emisor del certificado. El emisor se puede ver en la línea de asunto del certificado.

Guardar la ubicación Seleccione en qué ubicación de la máquina se almacena el SCEP:

n Usuario de contexto – Guarda el SCEP con el usuario específico.

n Máquina de contexto – Guarda el SCEP para todos los usuarios de la máquina.

7 Configure el perfil de Wi-Fi, VPN o EAS.


Perfil de control de aplicaciones (escritorio de Windows)Limite las aplicaciones que se pueden instalar en los dispositivos de escritorio de Windows con el perfil de control de aplicaciones. Limitar la instalación de aplicaciones protege sus datos de aplicaciones malintencionadas y evita que los usuarios finales accedan a aplicaciones no deseadas en dispositivos corporativos.

Para permitir o impedir la instalación de aplicaciones en los dispositivos, puede habilitar el control de aplicaciones con el fin de colocar ciertas aplicaciones en listas blancas o en listas negras. Mientras que el motor de conformidad supervisa los dispositivos para confirmar qué aplicaciones se encuentran en la lista blanca y cuáles en la lista negra, el control de aplicaciones evita que los usuarios intenten agregar o eliminar aplicaciones. Por ejemplo, puede impedir que se instale en el dispositivo una aplicación de


VMware, Inc. 81

entretenimiento determinada o permitir la instalación en el dispositivo solo de aplicaciones que se encuentren en la lista blanca. Las aplicaciones incluidas en listas negras e instaladas en los dispositivos antes de que se envíe a estos la carga útil de control de aplicaciones se inhabilitan después de insertar el perfil.

El perfil de control de aplicaciones ayuda a reducir el coste de administración del dispositivo al impedir que el usuario ejecute aplicaciones prohibidas que pueden causar problemas. Al evitar que las aplicaciones causen problemas, se reduce el número de llamadas que debe atender el equipo de soporte.

Configuración de un perfil de control de aplicaciones (escritorio de Windows)Habilite el control de aplicaciones para colocar ciertas aplicaciones en listas blancas o en listas negras para permitir o impedir la instalación de aplicaciones en los dispositivos. El control de aplicaciones utiliza las configuraciones de Microsoft AppLocker para exigir el control de aplicaciones en dispositivos Windows 10.

Importante n Cree políticas utilizando primero el modo de Solo auditoría. Tras verificar la versión Solo auditoría en

un dispositivo de prueba, cree una versión con el modo Exigir. Si no se prueban las políticas antes de un uso general, los dispositivos pueden quedar inutilizables.

n Cree reglas predeterminadas o cualquier otra regla deseada para su empresa que reduzca la posibilidad de que se bloqueen las configuraciones predeterminadas o se dañen los dispositivos después de reiniciarlos. Para obtener más información sobre cómo crear reglas, consulte el artículo de Microsoft TechNet sobre AppLocker.

Requisitos previos

Para configurar un archivo de configuración XML, debe configurar los ajustes de AppLocker en un dispositivo y exportar el archivo para utilizarlo con el perfil.

El perfil de control de aplicaciones requiere el uso de Windows 10 Enterprise o Education.

Procedimiento

1 En el dispositivo de configuración, abra el editor de Política de seguridad local.


VMware, Inc. 82

2 Navegue a Políticas de control de aplicaciones > AppLockery seleccione Configurar la aplicación de reglas.

3 Habilite la aplicación de Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts seleccionando Aplicar reglas.

4 Cree Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts al seleccionar la carpeta de la derecha, hacer clic con el botón derecho en la carpeta y seleccionar Crear nueva regla.

No se olvide de crear reglas predeterminadas para reducir las posibilidades de bloquear la configuración predeterminada o detener el dispositivo.

5 Después de crear todas las reglas que quiera, haga clic con el botón derecho en AppLocker, seleccione Exportar directiva y guarde el archivo de configuración XML.

6 En Workspace ONE UEM Console, navegue a Dispositivos > Perfiles > Vista en lista > Agregar y seleccione Agregar perfil.




10 Seleccione la carga útil Control de aplicaciones.


VMware, Inc. 83

11 Seleccione Importar configuración de muestra de dispositivo y después Cargar para agregar el archivo de configuración de políticas.


Configuración de un perfil de servicios web de Exchange (escritorio de Windows)Cree un perfil de Servicios web de Exchange para permitir que el usuario final acceda a las infraestructuras de correo electrónico corporativo y a las cuentas de Microsoft Outlook desde el dispositivo.

Requisitos previos

Importante Durante la configuración inicial, el dispositivo debe disponer de acceso a la instancia interna de Exchange Server.

Procedimiento





5 Seleccione el perfil Servicios web de Exchange y configure los ajustes:


Dominio Introduzca el nombre del dominio al que pertenece el usuario final.

Servidor de correo electrónico Introduzca el nombre del servidor de Exchange.

Dirección de correo electrónico Introduzca la dirección de la cuenta de correo electrónico.


Al eliminar un perfil de Servicios web de Exchange, se eliminarán todas las cuentas de Outlook del dispositivo.


VMware, Inc. 84

Creación de un perfil de licencias de Windows (escritorio de Windows)Configure un perfil de licencias de Windows para ofrecer a sus dispositivos Windows 10 una clave de licencia de Windows 10 Enterprise o Windows 10 Education. Utilice este perfil para actualizar los dispositivos que no vienen con Windows 10 Enterprise.

Importante Esta actualización no se puede revertir. Si publica este perfil en dispositivos del programa de BYOD, no puede eliminar la licencia a través de MDM. Windows 10 solo se puede actualizar siguiendo una ruta de actualización específica:n De Windows 10 Enterprise a Windows 10 Education

n De Windows 10 Home a Windows 10 Education

n De Windows 10 Pro a Windows 10 Education

n De Windows 10 Pro a Windows 10 Enterprise

Procedimiento





5 Seleccione la pestaña Licencias de Windows y configure los siguientes ajustes:


Edición de Windows Seleccione la edición Enterprise o Education.

Introduzca una clave de licencia válida

Introduzca la clave de licencia para la edición de Windows que está utilizando.


Configuración de un perfil de BIOS (escritorio de Windows)Configure los ajustes de BIOS para determinados dispositivos para empresas de Dell con el perfil de BIOS. Este perfil requiere integración con Dell Command | Monitor.

El soporte para los ajustes del perfil del BIOS varía según el dispositivo de Dell. Workspace ONE UEM solo inserta los ajustes que un dispositivo admite. Si inserta este perfil en los dispositivos, Workspace ONE UEM inserta automáticamente la aplicación Dell Command | Monitor en los dispositivos.

Para obtener más información sobre los dispositivos compatibles, consulte Capítulo 9 Integración de Dell Command | Monitor.


VMware, Inc. 85

Requisitos previos

Si desea utilizar la función de paquete de configuración, debe insertar la aplicación Dell Command | Configure en los dispositivos. Para obtener más información, consulte Capítulo 8 Cómo integrar Dell Command | Configure.

Procedimiento





5 Seleccione la carga útil de BIOS y configure los siguientes ajustes:


Contraseña de BIOS Introduzca la contraseña empleada para desbloquear el BIOS del dispositivo.

Este campo es obligatorio.

Chip de TPM Seleccione Habilitar para habilitar el chip del módulo de plataforma segura del dispositivo.

Modo de arranque Seleccione si el dispositivo arranca en modo BIOS o UEFI.

Protección de modo de arranque Seleccione Habilitar para evitar problemas con el arranque del SO instalado en el dispositivo. Esta protección impide que se produzca una modificación en el modo de arranque en un dispositivo con un SO instalado.

Arranque seguro Seleccione Habilitar para utilizar ajustes de arranque seguro en el dispositivo. No puede inhabilitar el arranque seguro con DCM. Si su dispositivo ya utiliza el arranque seguro, debe inhabilitar los ajustes manualmente en el dispositivo.

El arranque seguro necesita que el modo de arranque se ajuste a UEFI y que las ROM de opción heredadas se fijen en Inhabilitar.

ROM de opción heredadas Seleccione Habilitar para permitir el uso de ROM de opción heredadas durante el proceso de arranque.

Virtualización de CPU Seleccione Habilitar para permitir la virtualización del hardware.

Virtualización de E/S Seleccione Habilitar para permitir la virtualización de entrada/salida.

Ejecución de confianza Seleccione Habilitar para permitir que el dispositivo utilice el chip de TPM, la virtualización de CPU y la virtualización de E/S para decisiones de confianza.

La ejecución de confianza necesita que los ajustes del chip de TPM, la virtualización de CPU y la E/S de virtualización estén en modo Habilitado.

LAN inalámbrica Seleccione Habilitar para permitir el uso de la funcionalidad de LAN inalámbrica del dispositivo.

Radiocomunicación celular Seleccione Habilitar para permitir el uso de la funcionalidad de radiocomunicación celular del dispositivo.

Bluetooth Seleccione Habilitar para permitir el uso de la funcionalidad de Bluetooth del dispositivo.

GPS Seleccione Habilitar para permitir el uso de la funcionalidad de GPS del dispositivo.


VMware, Inc. 86


Informes SMART Seleccione Habilitar para utilizar la supervisión SMART de las soluciones de almacenamiento del dispositivo.

Carga de la batería principal Seleccione las reglas de carga del dispositivo:

n Carga estándar: considere la posibilidad de utilizar esta opción para los usuarios que cambian entre la energía de la batería y una fuente de alimentación externa. Esta opción carga por completo la batería a una velocidad estándar. El tiempo de carga varía según el modelo de dispositivo.

n Carga exprés: considere la posibilidad de utilizar esta opción para los usuarios que necesiten la batería cargada en un breve período de tiempo. La tecnología de carga rápida de Dell permite que una batería completamente descargada se cargue por lo general al 80 % en aproximadamente 1 hora cuando el equipo se apaga, y al 100 % en aproximadamente 2 horas. Es posible que el tiempo de carga sea mayor si el equipo está encendido.

n Carga del AC: considere la posibilidad de utilizar esta opción para los usuarios que trabajen principalmente con el sistema mientras está conectado a una fuente de alimentación externa. Esta opción puede alargar la duración de la batería mediante la reducción del umbral de carga.

n Carga automática: considere la posibilidad de utilizar esta opción para los usuarios que deseen establecer la opción y no cambiarla. Esta opción permite al sistema optimizar de forma adaptativa la configuración de la batería en función del patrón de uso de la batería habitual.

n Carga personalizada: considere la posibilidad de utilizar esta opción para usuarios avanzados que deseen tener un mayor control sobre cuándo se inicia y se detiene la carga de la batería.

Estas reglas controlan cuándo comienza y finaliza la carga de la batería. Si selecciona la Carga personalizada, puede ajustar manualmente el porcentaje de carga para comenzar y finalizar la carga de la batería.

Límite de inicio de carga personalizada de la batería principal

Ajuste el porcentaje de carga de batería que debe alcanzarse para que el dispositivo empiece a cargar su batería.

Límite de finalización de carga personalizada de la batería principal

Ajuste el porcentaje de carga de batería que debe alcanzarse para que el dispositivo finalice la carga de su batería.

Peak Shift (control de batería en horas de alto consumo)

Seleccione Habilitar para utilizar la función de Peak Shift y controlar cuándo utiliza el dispositivo la electricidad de la batería o de la corriente alterna. Peak Shift le permite utilizar la electricidad de la batería en lugar de la CA en momentos específicos.

Para ajustar el horario de la función Peak Shift, seleccione el icono del calendario.

Programación de la función Peak Shift

Los tres parámetros para la programación de Peak Shift controlan cuándo utiliza el dispositivo la batería o la corriente alterna y cuándo se carga la batería.

n Inicio de Peak Shift: ajuste la hora de comienzo de la función Peak Shift, en la que los dispositivos pasan a utilizar la alimentación de la batería.

n Finalización de Peak Shift: ajuste la hora de finalización de la función Peak Shift, en la que los dispositivos pasan a utilizar la alimentación de la CA.

n Inicio de carga de Peak Shift: ajuste la hora de comienzo de la carga para Peak Shift, en la que los dispositivos cargan las baterías utilizando la CA.

Umbral de batería de Peak Shift Ajuste el porcentaje de carga de la batería que debe alcanzarse para que los dispositivos dejen de utilizar la alimentación de la batería y vuelvan a la CA.

El ajuste de Inicio de carga de Peak Shift controla la hora a la que los dispositivos cargan las baterías tras pasar a utilizar la CA.


VMware, Inc. 87


Propiedades del sistema Seleccione Agregar propiedades del sistema para agregar una propiedad del sistema personalizada. Seleccione el botón de nuevo para agregar más propiedades.

Estas propiedades son opciones avanzadas. Considere la posibilidad de revisar la documentación de Dell antes de usar estos ajustes.

Las propiedades del sistema anulan la configuración predefinida configurada en el perfil.

Clase Introduzca una clase y selecciónela en el menú desplegable.

Se muestra después de seleccionar Agregar propiedades del sistema.

Propiedad del sistema Introduzca una propiedad del sistema y selecciónela en el menú desplegable.

Se muestra después de seleccionar Agregar propiedades del sistema.

Atributos del BIOS Seleccione Agregar atributo del BIOS para agregar un atributo del BIOS personalizado. Seleccione el botón de nuevo para agregar más atributos.

Estos atributos son opciones avanzadas. Considere la posibilidad de revisar la documentación de Dell antes de usar estos ajustes.

Los atributos del BIOS anulan la configuración predefinida configurada en el perfil.

Atributo del BIOS Introduzca un atributo del BIOS y selecciónelo en el menú desplegable.

Se muestra después de seleccionar Agregar atributo del BIOS.

Valor Seleccione un valor para el atributo del BIOS. Si no se indica un valor, el atributo del BIOS es de solo lectura.

Se muestra después de seleccionar Agregar atributo del BIOS.

Paquete de configuración Seleccione Cargar para agregar un paquete de configuración de Dell Command | Configure. Cargar un paquete le permite configurar varios dispositivos de Dell con una sola configuración.

Los paquetes de configuración anulan cualquier propiedad o atributo del sistema personalizado.

Si incluye las extensiones de archivo permitidas en una lista blanca, deberá agregar la extensión de archivo CCTK a esa lista blanca. Vaya a Grupos y ajustes > Todos los ajustes > Contenido > Opciones avanzadas > Extensiones de archivopara agregar la extensión de archivo.


Configuración de un perfil de actualizaciones de OEM (escritorio de Windows)Configure los ajustes de actualización de OEM para determinados dispositivos para empresas de Dell con el perfil de actualizaciones de OEM. Este perfil requiere integración con Dell Command | Update.

El soporte para los ajustes del perfil de actualizaciones de OEM varía según el dispositivo de Dell. Workspace ONE UEM solo inserta los ajustes que un dispositivo admite.

Para obtener más información sobre los dispositivos compatibles, consulte Capítulo 10 Descripción general de Dell Command | Update.

Nota El perfil de actualizaciones de OEM solo es compatible con Dell Command | Update v2.4.


VMware, Inc. 88

Procedimiento





5 Seleccione la carga útil de Actualizaciones de OEM y configure los siguientes ajustes:


Buscar actualizaciones Seleccione el intervalo utilizado para comprobar si hay actualizaciones.

Día de la semana Seleccione el día de la semana para comprobar si hay actualizaciones.

Solo se muestra si Buscar actualizaciones está establecido en Semanal.

Día del mes Seleccione el día del mes para comprobar si hay actualizaciones.

Solo se muestra si Buscar actualizaciones está establecido en Mensual.

Tiempo Seleccione la hora del día para comprobar si hay actualizaciones.

Actualizar comportamiento Seleccione las acciones que se realizarán cuando se busquen actualizaciones.

n Seleccione Examinar Notificar para buscar actualizaciones y avisar al usuario de que hay actualizaciones disponibles.

n Seleccione Examinar Descargar Notificar para buscar actualizaciones, descargar las que haya disponibles y avisar al usuario de que hay actualizaciones por instalar.

n Seleccione Examinar Notificar Aplicar Reiniciar para buscar actualizaciones, descargar las que haya disponibles, instalarlas y reiniciar el dispositivo.

Retraso de reinicio Seleccione el tiempo que el dispositivo va a demorar el reinicio después de descargar las actualizaciones.

Actualizaciones urgentes Seleccione Habilitar para aplicar las actualizaciones urgentes en el dispositivo.

Actualizaciones recomendadas Seleccione Habilitar para aplicar las actualizaciones recomendadas en el dispositivo.

Actualizaciones opcionales Seleccione Habilitar para aplicar las actualizaciones opcionales en el dispositivo.

Controladores de hardware Seleccione Habilitar para aplicar las actualizaciones de controladores de hardware proporcionadas por el OEM en el dispositivo.

Software de la aplicación Seleccione Habilitar para aplicar las actualizaciones de software de la aplicación proporcionadas por el OEM en el dispositivo.

Actualizaciones del BIOS Seleccione Habilitar para aplicar las actualizaciones del BIOS proporcionadas por el OEM en el dispositivo.

Considere la posibilidad de inhabilitar las contraseñas del BIOS en caso de que quiera utilizar el perfil de actualizaciones de OEM para administrar las actualizaciones del BIOS. Algunas actualizaciones del BIOS piden al usuario que introduzca la contraseña del BIOS.

Actualizaciones del firmware Seleccione Habilitar para aplicar las actualizaciones de firmware proporcionadas por el OEM en el dispositivo.


VMware, Inc. 89


Software de utilidad Seleccione Habilitar para aplicar las actualizaciones de software de utilidad proporcionadas por el OEM en el dispositivo.

Otro Seleccione Habilitar para aplicar otras actualizaciones proporcionadas por el OEM en el dispositivo.

archivos de Seleccione Habilitar para aplicar las actualizaciones de dispositivo de audio proporcionadas por el OEM en el dispositivo.

Conjunto de chips Seleccione Habilitar para aplicar las actualizaciones de dispositivo de conjunto de chips proporcionadas por el OEM en el dispositivo.

Entrada Seleccione Habilitar para aplicar las actualizaciones de dispositivo de entrada proporcionadas por el OEM en el dispositivo.

Red Seleccione Habilitar para aplicar las actualizaciones de dispositivos de red proporcionadas por el OEM en el dispositivo.

Almacenamiento Seleccione Habilitar para aplicar las actualizaciones de dispositivos de almacenamiento proporcionadas por el OEM en el dispositivo.

Vídeo Seleccione Habilitar para aplicar las actualizaciones de dispositivo de vídeo proporcionadas por el OEM en el dispositivo.

Otros Seleccione Habilitar para aplicar otras actualizaciones de dispositivo proporcionadas por el OEM en el dispositivo.


Configuración de un perfil de quiosco (escritorio de Windows)Configure un perfil de quiosco para convertir el dispositivo de escritorio de Windows en uno de quiosco con varias aplicaciones. Este perfil permite configurar las aplicaciones que se muestran en el menú de inicio del dispositivo.

Puede cargar su propio código XML personalizado para configurar el perfil de quiosco o crear su propio quiosco como parte del perfil. Este perfil no es compatible con cuentas de dominio o grupos de dominio. El usuario es una cuenta de usuario integrada creada por Windows.

n Aplicaciones compatibles

n Aplicaciones .EXE

• Para los archivos MSI y ZIP necesita agregar la ruta de acceso del archivo.

n Aplicaciones integradas

• Las aplicaciones integradas seleccionadas se agregarán automáticamente al diseñador. Entre estas aplicaciones se incluyen:

• Noticias

• Microsoft Edge

• Tiempo


VMware, Inc. 90

• Reloj y alarmas

• Notas rápidas

• Mapas

• Calculadora y fotos.

Procedimiento





Debe agregar una asignación antes de configurar el perfil de quiosco.

5 Seleccione el perfil de quiosco.

6 Si ya tiene un código XML personalizado, seleccione Cargar XML de quiosco y complete los ajustes.


Configuración de XML con acceso asignado

Seleccione Cargar y agregue la configuración de XML con acceso asignado. También puede pegar el código XML en el cuadro de texto.

Para obtener más información, consulte la página https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp.

7 Si no tiene ningún código XML personalizado, seleccione Crear su quiosco y configure el diseño de

la aplicación.

Este diseño corresponde al menú de inicio del dispositivo en una cuadrícula. Las aplicaciones que se muestran en la parte izquierda son las aplicaciones asignadas al grupo de asignación que seleccionó. Algunas aplicaciones tienen un icono de rueda dentada con un punto rojo en la esquina superior derecha. Este icono muestra las aplicaciones que necesitan una configuración adicional cuando se agregan al diseño del quiosco. Una vez configurados los ajustes, desaparece el punto


VMware, Inc. 91

https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp

https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp

rojo, pero el icono permanece. Puede seleccionar el icono de la flecha para cambiar el tamaño de las aplicaciones. En cuanto a las aplicaciones de escritorio clásicas, solo puede elegir entre pequeño o mediano.

8 Arrastre todas las aplicaciones que desee agregar al menú de inicio al centro. Puede crear hasta cuatro grupos de aplicaciones. Estos grupos combinan sus aplicaciones en secciones del menú de inicio.

9 Una vez que haya agregado todas las aplicaciones y los grupos que desee, seleccione Guardar.

10 En la pantalla de perfil de quiosco, seleccione Guardar y publicar.

El perfil no se instalará en el dispositivo hasta que se instalen todas las aplicaciones que este incluye. Una vez que el dispositivo recibe el perfil, se reiniciará y se ejecutará en modo quiosco. Si elimina el perfil del dispositivo, este inhabilitará el modo quiosco, se reiniciará y borrará el usuario de quiosco.

Cómo configurar un perfil de personalización (escritorio de Windows)Configure un perfil de personalización para los dispositivos de escritorio de Windows si desea configurar las opciones de personalización de Windows. Estas opciones incluyen la configuración del fondo de escritorio y del menú Inicio.


VMware, Inc. 92

Todas las opciones de este perfil son opcionales. Considere solo la posibilidad de configurar los ajustes que necesite para responder a sus requisitos de personalización.

Con este perfil no se crea un dispositivo de quiosco de varias aplicaciones como el perfil de quiosco. Si desea crear un dispositivo de quiosco, consulte Configuración de un perfil de quiosco (escritorio de Windows).

Procedimiento

1 Navegue a Dispositivos > Perfiles y recursos y, finalmente, seleccione Agregar.




5 Seleccione el perfil de Personalización.

6 Configure los ajustes de Imágenes:


Imagen de escritorio Seleccione Cargar para agregar una imagen y utilizarla como fondo del escritorio.

Imagen de la pantalla de bloqueo Seleccione Cargar para agregar una imagen y utilizarla como fondo de la pantalla de bloqueo.

7 Cargar un XML de diseño de inicio. Este archivo XML anula el diseño de menú de inicio

predeterminado y evita que los usuarios lo cambien. Puede configurar el diseño de los mosaicos, el número de grupos y las aplicaciones de cada grupo. Debe crear este XML usted mismo. Para obtener más información sobre cómo crear un XML de diseño inicial, consulte https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout.

8 Configure los ajustes de Políticas del menú Inicio. Esta configuración le permite controlar los accesos directos permitidos en el menú Inicio. También puede seleccionar Ocultar o Mostrar con determinadas opciones como Apagar o Lista de aplicaciones.


Pasos siguientes

Distribución punto a punto con Workspace ONEWorkspace ONE Peer Distribution utiliza la función nativa BranchCache de Windows que está incorporada en el sistema operativo Windows. Esta función proporciona una tecnología punto a punto alternativa que los clientes pueden utilizar en lugar de Adaptiva.

Configure la distribución punto a punto en los dispositivos con Windows 10 con el perfil Peer Distribution Windows Desktop. La distribución punto a punto es compatible con los modos Distribuido, Hospedado y Local de BranchCache, junto con sus opciones de configuración, como el porcentaje de espacio de disco y la vigencia máxima de la memoria caché.


VMware, Inc. 93

https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout

https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout

Cómo configurar un perfil de distribución punto a punto (escritorio de Windows)La distribución punto a punto con Workspace ONE le permite implementar aplicaciones de Windows en redes empresariales. Este perfil utiliza la funcionalidad nativa BranchCache de Windows que está incorporada en el sistema operativo Windows.

Requisitos previos

Antes de poder utilizar el perfil de distribución punto a punto para la distribución punto a punto, debe cumplir con los requisitos de Workspace ONE para la distribución punto a punto. Para obtener más información, consulte Requisitos de Workspace ONE Peer Distribution.

Procedimiento

1 Navegue a Dispositivos > Perfiles y recursos y, finalmente, seleccione Agregar.




5 Seleccione el perfil Peer Distribution y seleccione Configurar.

Debe configurar el almacenamiento de archivos para poder crear un perfil de distribución punto a punto. Para obtener más información, consulte Requisitos de Workspace ONE Peer Distribution.

6 Seleccione el modo Workspace ONE Peer Distribution que desea utilizar.


Distribuido Seleccione esta opción para que sus dispositivos descarguen aplicaciones desde elementos del mismo nivel en una subred local.

Hospedado Seleccione esta opción para que sus dispositivos descarguen aplicaciones desde un servidor de memoria caché hospedado.

Local Seleccione esta opción para que sus dispositivos descarguen aplicaciones únicamente del almacenamiento en caché del dispositivo local.

Inhabilitado Seleccione esta opción para deshabilitar la distribución punto a punto.

7 Configure los ajustes de Caché:


Vigencia máxima de la memoria caché (días)

Introduzca el número máximo de días que los elementos de distribución punto a punto deben permanecer en la memoria caché antes de que el dispositivo purgue los elementos.

Porcentaje de espacio de disco utilizado para BranchCache

Introduzca la cantidad de espacio de disco local que el dispositivo debe permitir que use la distribución punto a punto.


VMware, Inc. 94

8 Si establece el modo de distribución como Hospedado, configure los ajustes de Servidores de memoria caché hospedados. Debe agregar al menos un servidor de caché hospedado en el que los dispositivos descarguen y carguen contenido.


Uso de ajustes personalizados (escritorio de Windows)La carga útil de ajustes personalizados es una forma de utilizar la funcionalidad del escritorio de Windows con la que Workspace ONE UEM no es compatible mediante sus cargas útiles nativas. Si no desea utilizar las nuevas funciones, puede utilizar la carga útil Ajustes personalizados y el código XML para habilitar o inhabilitar manualmente ciertos ajustes.

Requisitos previos

Debe escribir su propio código SyncML para los perfiles de escritorio de Windows. Microsoft publica un sitio de referencia del proveedor de servicios de configuración que está disponible en su sitio web.

Código de ejemplo:

<characteristic>

<Replace>

<CmdID>2</CmdID>

<Item>

<Target>

<LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>

</Target>

<Meta>

<Format xmlns="syncml:metinf">chr</Format>

</Meta>

<Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_htcwkw4rx2gx4!

App"}</Data>

</Item>

</Replace>

</characteristic>

Considere la posibilidad de visitar https://vmwarepolicybuilder.com para saber cómo crear su XML de perfil personalizado.

Procedimiento





5 Configure la carga útil apropiada (por ejemplo, Restricciones o Código de acceso).

Puede trabajar con una copia del perfil, guardada en un grupo organizativo de “prueba”, para evitar que haya usuarios afectados antes de que esté listo para Guardar y publicar.


VMware, Inc. 95

https://vmwarepolicybuilder.com/

6 Utilice Guardar, pero no publique el perfil.

7 Seleccione el botón de radio de Perfiles > Vista en lista para la fila del perfil que desee personalizar.

8 Seleccione el botón XML situado en la parte superior para ver el perfil X.

9 Encuentre la sección de texto que empieza por <característica> ... <característica> que había configurado previamente, por ejemplo, Restricciones o Código de acceso. La sección contiene un tipo de configuración que identifica su propósito, tal como restricciones.

10 Copie esta sección de texto y cierre la vista de XML. Abra su perfil.

11 Seleccione la carga útil Ajustes personalizados y después Configurar.

a Pegue el XML que ha copiado en el cuadro de texto Ajustes de instalación. El código XML que pegue debe contener todo el bloque de código, desde <[característica]> hasta </[característica]>.

b Agregue el código de eliminación al cuadro de texto Suprimir ajustes. El código de eliminación debe contener <replace></replace> o <delete></delete .

Este código habilita la funcionalidad Workspace ONE UEM, como Eliminar perfil y Desactivar perfil. Sin el código de eliminación no puede eliminar el perfil de los dispositivos además de enviar un segundo perfil de ajustes personalizados. Para obtener más información, consulte https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference.

12 Elimine la carga útil configurada originalmente seleccionando la sección de cargas útiles básicas y el botón menos [-]. Ahora puede mejorar el perfil agregando el código XML personalizado para la nueva funcionalidad.

Cualquier dispositivo que no haya sido actualizado a la versión más reciente ignorará cualquier mejora que usted haya creado. Como el código ahora está personalizado, pruebe los perfiles de dispositivos con versiones anteriores para verificar el comportamiento esperado.


Impedir que los usuarios inhabiliten el servicio de AirWatchUtilice un perfil de ajustes personalizados para impedir que los usuarios finales inhabiliten el servicio de AirWatch en sus dispositivos Windows 10. Impedir que los usuarios finales deshabiliten el servicio de AirWatch garantiza que Workspace ONE Intelligent Hub ejecute registros regulares con la Consola Workspace ONE UEM y reciba las últimas actualizaciones de directivas.

Procedimiento

1 Cree un perfil de ajustes personalizados. Para obtener más información, consulte Uso de ajustes personalizados (escritorio de Windows).

2 Establezca Destino en Protection Agent.

3 Copie el siguiente código y péguelo en el cuadro de texto Ajustes personalizados:

<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">


VMware, Inc. 96

https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference

https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference

<characteristic type="com.airwatch.winrt.awservicelockdown"

uuid="7957d046-7765-4422-9e39-6fd5eef38174">

<parm name="LockDownAwService" value="True"/>

</characteristic>

</wap-provisioningdoc>


Si desea eliminar la restricción de los dispositivos de usuarios finales, deberá insertar un perfil aparte con el siguiente código:

<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">

<characteristic type="com.airwatch.winrt.awservicelockdown"

uuid="7957d046-7765-4422-9e39-6fd5eef38174">

<parm name="LockDownAwService" value="False"/>

</characteristic>

</wap-provisioningdoc>


VMware, Inc. 97

Uso de Valores de referencia 4Proteja los dispositivos de escritorio Windows con Valores de referencia. Workspace ONE UEM guarda los ajustes recomendados por el sector en una configuración para simplificar la protección de los dispositivos.

Mantener los dispositivos configurados conforme a las prácticas recomendadas es un proceso laborioso. Con las Valores de referencia, puede proteger todos los dispositivos con los ajustes y las configuraciones recomendados por el sector. Workspace ONE UEM guarda estas prácticas recomendadas en configuraciones denominadas Valores de referencia. Estas configuraciones reducen considerablemente el tiempo necesario para configurar dispositivos Windows.

Valores de referencia utiliza un microservicio basado en la nube que controla el catálogo de políticas. Si es un cliente local, asegúrese de que su entorno pueda comunicarse con el microservicio. Para obtener más información, consulte la documentación Arquitectura recomendada de Workspace ONE UEM.

Para garantizar que las Valores de referencia usen solo los ajustes y las configuraciones más adecuados, CIS certifica a VMware para proporcionar los ajustes recomendados por el sector, como los bancos de pruebas de CIS para Windows 10. Las Valores de referencia se basan en la versión del sistema operativo Windows de sus dispositivos. Puede cambiar la versión del sistema operativo de la línea de base más adelante al editar. Durante la configuración, puede elegir la línea base que desea utilizar y personalizar cualquiera de las directivas de líneas base. También puede agregar cualquier otra directiva que necesite como parte del proceso de configuración. Estas directivas son las directivas de Microsoft ADMX.

Si tiene un archivo de copia de seguridad de un objeto de directiva de grupo (GPO) existente, puede crear una línea base personalizada con esas directivas. Agregue políticas adicionales al GPO existente al crear una línea de base personalizada.

Tras inscribir un dispositivo en Workspace ONE UEM, puede agregarlo a un grupo inteligente y asignar una línea base al grupo. El dispositivo recibe y aplica todos los ajustes y configuraciones de la línea base una vez que se reinicia. El dispositivo comprueba la configuración de la línea base cuando esta se publica y en los intervalos definidos. Al insertar una línea de base en un dispositivo, Workspace ONE UEM almacena una instantánea de la configuración del dispositivo.

Puede administrar las líneas base desde la vista de lista de líneas base. Desde aquí, puede editar y eliminar las líneas de base existentes. Si elimina una línea base que se insertó en los dispositivos, los ajustes del dispositivo revierten la configuración antes de que se publique la línea base en función de la instantánea que almacena Workspace ONE UEM.

VMware, Inc. 98

Puede ver qué líneas base se aplican a un dispositivo en la página Detalles del dispositivo.


n Cómo crear una línea de base

Cómo crear una línea de baseCree una línea de base que configure los dispositivos según los ajustes y las configuraciones recomendados por el sector. Workspace ONE UEM guarda las Valores de referencia en función de las principales recomendaciones del sector, incluido el banco de pruebas de CIS y las líneas de base de seguridad de Windows 10 de Microsoft.

Requisitos previos

Las Valores de referencia requieren que los dispositivos estén inscritos en Workspace ONE UEM y tengan Workspace ONE Intelligent Hub instalado.

Si va a publicar una línea de base personalizada, debe agregar el archivo LGPO.exe a todos los dispositivos a los que desea asignar una línea de base. Debe instalar el archivo EXE en C:\ProgramData\Airwatch\LGPO\ LGPO.exe. Si utiliza el banco de pruebas de CIS o las líneas de base de seguridad de Windows 10, no es necesario que agregue este archivo.

Procedimiento

1 Navegue a Dispositivos > Perfiles y recursos > Baselines (Líneas de base) y seleccione Nueva.

2 Introduzca el nombre de la línea de base y la descripción, y seleccione el grupo inteligente que administra la línea de base. A continuación, seleccione Siguiente.

3 Seleccione una línea de base:


Banco de pruebas de CIS para Windows 10

Esta línea de base aplica los ajustes de configuración recomendados por los bancos de pruebas de CIS.

Seleccione la versión del sistema operativo y el nivel de banco de pruebas que desea aplicar.

Línea de base de seguridad de Windows 10

Esta línea de base aplica los ajustes de configuración recomendados por Microsoft.

Seleccione la versión del sistema operativo y el nivel de banco de pruebas que desea aplicar.

Personalizar línea de base Cargue un archivo zip con una copia de seguridad de GPO. Debe crear esta línea de base fuera de Workspace ONE UEM. La copia de seguridad debe ser inferior a 5 MB con al menos una carpeta de GPO.

4 Seleccione Siguiente.


VMware, Inc. 99

5 Personalice la línea base según sea necesario. Puede cambiar cualquiera de las directivas de ADMX existentes configuradas en la línea base.

Al crear una línea de base personalizada a partir de una línea de base de GPO, no se pueden personalizar las directivas de ADMX existentes.


7 Agregue cualquier directiva adicional a la línea de base. Estas directivas provienen de los archivos de Microsoft ADMX. Busque cualquier política para agregarla y configurarla.


9 Revise el resumen y seleccione Guardar y asignar. El resumen incluye todas las directivas personalizadas o agregadas.

Resultados

Workspace ONE UEM asigna la línea de base a todos los dispositivos del grupo inteligente.

Pasos siguientes

Debe reiniciar el dispositivo para que la línea base surta efecto.


VMware, Inc. 100

Políticas de conformidad 5El motor de conformidad es una herramienta automática de Workspace ONE UEM que garantiza que todos los dispositivos cumplan las políticas implantadas. Estas políticas pueden incluir ajustes básicos de seguridad, como contraseñas o un periodo mínimo de bloqueo de dispositivo.

En algunas plataformas también puede decidir si quiere configurar o imponer ciertas medidas. Tales medidas incluyen configurar la seguridad de la contraseña, incluir determinadas aplicaciones en una lista negra y exigir intervalos de verificación del dispositivo para garantizar que los dispositivos están protegidos y en contacto con Workspace ONE UEM. Una vez que se hayan detectado los dispositivos que no cumplen con las políticas de conformidad, el motor de conformidad comenzará a advertir a los usuarios de que necesitan corregir los errores para prevenir acciones disciplinarias en el dispositivo. Por ejemplo, el motor de conformidad puede enviar un mensaje para notificar al usuario que su dispositivo no cumple con las políticas de conformidad.

Además, los dispositivos que no cumplen con las políticas de conformidad no pueden tener perfiles de dispositivos asignados ni aplicaciones instaladas. Si no se realizan correcciones en el tiempo especificado, el dispositivo perderá acceso al contenido y funciones que usted defina. Las políticas de conformidad y acciones disponibles varían según la plataforma.

Para obtener más información sobre las políticas de conformidad, incluyendo qué políticas y acciones se admiten para una plataforma específica, consulte la documentación Gestionar dispositivos en docs.vmware.com.


n Detección de dispositivos comprometidos con atestación de estado

Detección de dispositivos comprometidos con atestación de estadoLa atestación de estado escanea los dispositivos durante el inicio para verificar si existen errores en su integridad. Utilice la atestación de estado para detectar dispositivos de escritorio de Windows comprometidos.

VMware, Inc. 101

https://docs.vmware.com

En las implementaciones de dispositivos tanto de propiedad corporativa como BYOD, es importante saber que estos no se encuentran comprometidos cuando acceden a los recursos corporativos. El servicio de atestación de estado de Windows accede a la información de arranque de los dispositivos desde la nube a través de comunicaciones seguras. Esta información se mide y revisa en comparación con puntos de datos relacionados para garantizar que el dispositivo se inició como se esperaba y no es víctima de amenazas o ataques contra su seguridad. Estas medidas incluyen arranque seguro, integridad de código, BitLocker y administrador de arranque.

Workspace ONE UEM le permite configurar el servicio de atestación de estado de Windows para garantizar la conformidad de los dispositivos. Si alguna de las comprobaciones habilitadas es errónea, el motor de políticas de conformidad de Workspace ONE UEM tomará las medidas de seguridad según la política de conformidad configurada. Esta funcionalidad le permite mantener los datos empresariales protegidos frente a dispositivos comprometidos. Como Workspace ONE UEM recupera la información necesaria del hardware del dispositivo y no del sistema operativo, los dispositivos comprometidos se detectan incluso cuando el kernel del sistema operativo está comprometido.

Configure la atestación de estado para las políticas de conformidad del escritorio de WindowsMantenga sus dispositivos protegidos utilizando el servicio de atestación de estado de Windows para la detección de dispositivos comprometidos. Este servicio permite que Workspace ONE UEM revise la integridad de los dispositivos durante su inicio y realice acciones rectificadoras.

Procedimiento

1 Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows > Atestación de estado.

2 (opcional) Seleccione Usar servidor personalizado si utiliza un servidor local personalizado con Atestación de estado. Introduzca la URL del servidor.

3 Configure los ajustes de Atestación de estado:

Tabla 5-1. Definición del estado comprometido


Utilizar servidor personalizado

Seleccione esta opción con el fin de configurar un servidor personalizado para la atestación de estado.

Esta opción requiere un servidor con Windows Server 2016 o posterior.

Si se habilita esta opción, se muestra el campo URL del servidor.

URL del servidor Introduzca la URL de su servidor de atestación de estado personalizado.

Arranque seguro inhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el arranque seguro esté inhabilitado en el dispositivo.

El arranque seguro obliga al sistema a arrancar en un estado de fábrica confiable. Si el arranque seguro está habilitado, los componentes principales usados para arrancar la máquina deben tener las firmas criptográficas correctas en las que confía el OEM. El firmware UEFI comprueba la confianza antes de permitir que se inicie la máquina. El arranque seguro impide el inicio si detecta cualquier archivo manipulado.


VMware, Inc. 102

Tabla 5-1. Definición del estado comprometido (continuación)


La clave de identidad AIK no está presente

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la clave de identidad AIK no esté presente en el dispositivo.

Si la clave de identidad de la atestación (AIK) está presente en un dispositivo, indica que este tiene un certificado de clave de aprobación (EK). Es más confiable que un dispositivo sin certificado de EK.

Política de prevención de ejecución de datos (DEP) inhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la prevención de ejecución de datos esté inhabilitada en el dispositivo.

La política de prevención de ejecución de datos (DEP) es una función de protección de memoria integrada en el SO del sistema. La política impide la ejecución de código de páginas de datos como montones predeterminados, pilas y bloques de memoria. DEP es obligatorio tanto el hardware como en el software.

BitLocker inhabilitado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el cifrado de BitLocker esté inhabilitado en el dispositivo.

Comprobación de integridad de código inhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de integridad de código esté inhabilitada en el dispositivo.

La integridad de código es una función que valida la integridad de un controlador o archivo del sistema cada vez que se carga en la memoria. Comprueba los controladores o archivos del sistema no firmados antes de cargarlos en el kernel. Esta comprobación también analiza si hay usuarios con privilegios que ejecuten archivos de sistema modificados mediante software malintencionado.

Antimalware de inicio temprano inhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de antimalware de inicio temprano esté inhabilitada en el dispositivo.

Todas las comprobaciones de antimalware de inicio temprano (ELAM) proporcionan protección a los ordenadores de la red cuando se inician y al inicializar controladores de terceros.

Verificación de la versión de la integridad de código

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la integridad de código falle.

Verificar versión de la administración de arranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobación de la versión de la administración de arranque falle.

Comprobación del número de la versión de seguridad de la aplicación de arranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad de la aplicación de arranque no corresponda al número introducido.

Comprobación del número de versión de seguridad del administrador de arranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número de versión de seguridad del administrador de arranque no corresponda al número introducido.

Configuración avanzada Habilite esta opción para configurar los ajustes avanzados en la sección Identificadores de versión del software.

4 Seleccione Guardar.


VMware, Inc. 103

Resumen de las aplicaciones de escritorio de Windows 6Puede utilizar las aplicaciones de Workspace ONE UEM y las características de MDM de Workspace ONE UEM para proteger aún más los dispositivos y configurarlos con una mayor funcionalidad.

Utilice VMware Content Locker para proteger el contenido corporativo en los dispositivos móviles e implemente VMware Browser para ofrecer navegación segura en la web a los usuarios finales. Descargue el Workspace ONE Intelligent Hub para Windows con el fin de supervisar los dispositivos a un nivel más detallado.

Para implementar aplicaciones Win32 en dispositivos de escritorio de Windows, es necesario que Workspace ONE Intelligent Hub esté presente en dichos dispositivos.

Importante Todas las aplicaciones públicas implementadas en dispositivos de Escritorio de Windows son aplicaciones sin administrar. Las aplicaciones sin administrar no pueden insertarse en los dispositivos (los usuarios finales deben descargar la aplicación por su cuenta), ni tampoco pueden quitarse de los dispositivos mediante eliminación empresarial.


n VMware Workspace ONE para escritorio de Windows

n Configurar Workspace ONE Intelligent Hub para dispositivos Windows

VMware Workspace ONE para escritorio de WindowsCuando la aplicación Workspace ONE está instalada en los dispositivos, los usuarios pueden iniciar sesión en Workspace ONE para acceder de forma segura al catálogo de aplicaciones que la organización haya habilitado para ellos. Cuando se configura la aplicación con el inicio de sesión único, los usuarios no tienen que volver a introducir sus credenciales de inicio de sesión al lanzar la aplicación.

La interfaz de usuario de Workspace ONE funciona del mismo modo en teléfonos, tabletas y equipos de escritorio. Workspace ONE se abre en una página de inicio que muestra los recursos que se han publicado en Workspace ONE. Los usuarios pueden tocar o hacer clic para buscar, agregar y actualizar aplicaciones. Para eliminar una aplicación de la página, basta con hacer clic con el botón derecho en ella. Para agregar recursos autorizados, solo tiene que acceder a la página del catálogo.

VMware, Inc. 104

Si una aplicación requiere la inscripción de un dispositivo, Workspace ONE utiliza la administración adaptable para iniciar el proceso para el usuario final. Para obtener más información sobre Workspace ONE, consulte el artículo "Setting up the VMware Workspace ONE Application on Devices" disponible en VMware Identity Manager Documentation Center (https://docs.vmware.com).

Configurar Workspace ONE Intelligent Hub para dispositivos WindowsWorkspace ONE Intelligent Hub para dispositivos Windows viene preconfigurado con AirWatch. Cambie estos ajustes cuando necesite que Workspace ONE Intelligent Hub se adapte a necesidades determinadas de la empresa.


VMware, Inc. 105

https://docs.vmware.com/

Procedimiento

u Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows > Ajustes de Hub para editar los ajustes de Workspace ONE Intelligent Hub:

a Configure los ajustes de Agente moderno para que Workspace ONE Intelligent Hub transmita los datos deseados a la consola de AirWatch:


Intervalo de heartbeat (min) Define el intervalo con el que Workspace ONE Intelligent Hub y la consola de Workspace ONE UEM confirman que la conexión está disponible y se sincronizan.

Intervalo de muestra de datos (min) Define el intervalo al que Workspace ONE Intelligent Hub toma muestras de datos.

Código de acceso administrativo Establece el código de acceso para acceder a los ajustes administrativos del dispositivo.

Seguridad del canal de MDM Define la seguridad de la capa de la aplicación entre Workspace ONE UEM y Workspace ONE Intelligent Hub. Este canal seguro utiliza el certificado de inscripción para firmar, cifrar o firmar y cifrar las comunicaciones entre la consola de UEM y Workspace ONE Intelligent Hub.

b Configure los ajustes de AirWatch Protection Agent para garantizar una comunicación rápida

entre el dispositivo y la consola de AirWatch.


Intervalo de muestra de datos (min) Define el intervalo con el que AirWatch Protection Agent toma muestras de datos.

c Configure los ajustes de Administración remota para permitir la comunicación entre Workspace

ONE Intelligent Hub y el servidor de administración remota.


Descargar CAB de control remoto

Seleccione este vínculo para descargar el archivo CAB del instalador de Workspace ONE UEM Remote Management.

Pedir permiso Habilite la opción Pedir permiso si quiere pedir al usuario final que acepte o rechace la solicitud de administración remota del administrador.

n Introduzca un mensaje de petición de permiso que el usuario final verá cuando se envíe una solicitud remota.

n Introduzca el mensaje de la leyenda de Sí del botón de aceptación que el usuario final verá en la solicitud de petición de permiso.

n Introduzca el mensaje de la leyenda de No del botón de rechazo que el usuario final verá en la solicitud de petición de permiso.


VMware, Inc. 106

Pasos siguientes

Puede impedir que los usuarios finales inhabiliten el servicio de AirWatch en sus dispositivos con un perfil de XML personalizado. Para obtener más información, consulte Impedir que los usuarios inhabiliten el servicio de AirWatch.


VMware, Inc. 107

Cómo crear Sensores para dispositivos de escritorio de Windows 7Los dispositivos de escritorio de Windows contienen numerosos atributos, como hardware, sistema operativo, certificados, revisiones, aplicaciones y mucho más. Realice un seguimiento de estos atributos en Consola Workspace ONE UEM con la función Sensores.

Los dispositivos tienen una enorme cantidad de atributos asociados. Este número aumenta al iniciar el seguimiento de las diferentes aplicaciones, versiones del sistema operativo, revisiones y otras variables que cambian continuamente. Puede ser difícil realizar un seguimiento de todos estos atributos para garantizar que los dispositivos cumplan sus necesidades.

Workspace ONE UEM realiza un seguimiento de una cantidad limitada de atributos de dispositivo de forma predeterminada. Con la función Sensores, puede realizar un seguimiento de los atributos de dispositivo específicos que desee. Por ejemplo, puede crear un sensor que realice un seguimiento de los detalles del controlador del ratón, la información de garantía del sistema operativo y el valor del registro de las aplicaciones internas. La función Sensores permite realizar un seguimiento de todos estos detalles en los dispositivos. Otro caso práctico de la función Sensores implica la creación de un sensor que informe de una "fecha de retirada", para que pueda realizar un seguimiento de los dispositivos que el servidor ya no administra.

Conforme al siguiente paso lógico de la funcionalidad de seguimiento, Workspace ONE UEM integra la función Sensores con grupos inteligentes para que pueda aprovisionar aplicaciones, perfiles y líneas de base, entre otros, a los dispositivos en función de atributos específicos. Con una política de conformidad, puede aplicar acciones cuando un atributo del dispositivo cambie de valor.

Al configurar la función Sensores, puede controlar el momento en el que el dispositivo devuelve los datos del sensor a Consola Workspace ONE UEM con activadores. Estos activadores pueden ser un horario programado en función del horario del muestreo de Windows o eventos específicos del dispositivo, como el inicio/cierre de sesión, el inicio o el cambio de usuarios.

El valor de cada sensor se determina mediante el script de PowerShell creado. Para obtener ejemplos de los scripts que puede crear, consulte Ejemplos de scripts de PowerShell para Sensores.


n Ejemplos de scripts de PowerShell para Sensores

n Cómo crear un sensor para los dispositivos de escritorio de Windows

VMware, Inc. 108

Ejemplos de scripts de PowerShell para SensoresAl crear un sensor, debe cargar un script de PowerShell o introducir los comandos de PowerShell en el cuadro de texto proporcionado durante la configuración. Estos comandos devuelven los valores de los atributos del sensor.

Ejemplos de scripts de PowerShellLos siguientes ejemplos contienen los ajustes y el código necesarios. También puede visitar https://code.vmware.com/samples?id=4930 para obtener más muestras de Sensores.

Nota Cualquier sensor que devuelva un valor de tipo de datos de fecha y hora utiliza el formato ISO.

n Comprobar batería restante

n Tipo de valor: número entero

n Contexto de ejecución: usuario

$battery_remain=(Get-WmiObject win32_battery).estimatedChargeRemaining |

Measure-Object -Average | Select-Object -ExpandProperty Averageecho $battery_remain

n Obtener número de serie

n Tipo de valor: cadena


$os=Get-WmiObject Win32_bios -ComputerName $env:computername -ea silentlycontinue

echo $os.SerialNumber

n Obtener fecha del sistema

n Tipo de valor: fecha/hora


$date_current = get-Date -format s -DisplayHint Date

echo $date_current

n Comprobar si TPM está habilitado

n Tipo de valor: booleano

n Contexto de ejecución: administrador

$obj = get-tpm

echo $obj.TpmReady

n Comprobar si TPM está bloqueado



VMware, Inc. 109

https://code.vmware.com/samples?id=4930

https://code.vmware.com/samples?id=4930


$obj = get-tpm

echo $obj.LockedOut

n Obtener tiempo de recuperación de TPM bloqueado



$tpm=get-tpm

echo $tpm.LockoutHealTime

n Comprobar si SMBIOS está presente



$os = Get-WmiObject Win32_bios -ComputerName $env:computername -ea silentlycontinue

echo $os.SMBIOSPresent

n Comprobar BIOSVersion de SMBIOS




echo $os.SMBIOSBIOSVersion

n Obtener versión de BIOS




echo $os.Version

n Obtener estado de BIOS




echo $os.Status

n Obtener promedio de uso de CPU (%)



VMware, Inc. 110


cpu_usage= Get-WmiObject win32_processor | Select-Object -ExpandProperty LoadPercentage

echo $cpu_usage

n Obtener promedio de uso de memoria



$os = Get-WmiObject win32_OperatingSystem

$used_memory = $os.totalvisiblememorysize - $os.freephysicalmemory

echo $used_memory

n Obtener promedio de uso de memoria virtual



$os = Get-WmiObject win32_OperatingSystem

$used_memory = $os.totalvirtualmemorysize - $os.freevirtualmemory

echo $used_memory

n Obtener promedio de uso de red



$Total_bytes=Get-WmiObject -class Win32_PerfFormattedData_Tcpip_NetworkInterface

|Measure-Object -property BytesTotalPersec -Average |Select-Object -ExpandProperty Average

echo ([System.Math]::Round($Total_bytes))

n Obtener promedio de uso de memoria de un proceso



$PM = get-process chrome |Measure-object -property PM -Average|Select-Object -ExpandProperty

Average

$NPM = get-process chrome |Measure-object -property NPM -Average|Select-Object -

ExpandProperty Average

echo [System.Math]::Round(($PM+$NPM)/1KB)

n Comprobar si un proceso se está ejecutando



$chrome = Get-Process chrome -ea SilentlyContinue

if($chrome){

echo $true


VMware, Inc. 111

}

else{

echo $false

}

n Comprobar si el arranque seguro está habilitado



try { $bios=Confirm-SecureBootUEFI }

catch { $false }

echo $bios

n Interfaz de red activa



$properties = @(‘Name’,’InterfaceDescription’)

$physical_adapter = get-netadapter -physical | where status -eq "up"

|select-object -Property $properties

echo $physical_adapter

n Comprobar la versión de PowerShell



$x = $PSVersionTable.PSVersion

echo "$($x.Major).$($x.Minor).$($x.Build).$($x.Revision)"

n Comprobar capacidad máxima de batería



$max_capacity = (Get-WmiObject -Class "BatteryFullChargedCapacity" -Namespace "ROOT

\WMI").FullChargedCapacity | Measure-Object -Sum |

Select-Object -ExpandProperty Sum

echo $max_capacity

n Comprobar estado de carga de la batería



$charge_status = (Get-CimInstance win32_battery).batterystatus

$charging = @(2,6,7,8,9)

if($charging -contains $charge_status[0] -or $charging -contains $charge_status[1] )

{


VMware, Inc. 112

echo "Charging"

}else{

echo "Not Charging"

}

n Perfil de administración de energía activo



$plan = Get-WmiObject -Class win32_powerplan -Namespace root\cimv2\power

-Filter "isActive='true'"

echo $plan

n Comprobar si la conexión inalámbrica está presente



$wireless = Get-WmiObject -class Win32_NetworkAdapter -filter "netconnectionid like 'Wi-Fi%'"

if($wireless){echo $true}

else {echo $false}

n Obtener versión de Java



$java_ver = cmd.exe /c "java -version" '2>&1'

echo $java_ver

Cómo crear un sensor para los dispositivos de escritorio de WindowsCree un sensor para realizar un seguimiento de determinados atributos del dispositivo, como la batería restante, la versión del sistema operativo y el promedio de uso de la CPU, entre otros. Puede utilizar estos sensores con grupos inteligentes para aprovisionar perfiles o crear políticas de conformidad.

Los Sensores utilizan scripts de PowerShell para recopilar valores de atributos. Debe crear estos scripts antes de crear un sensor o durante la configuración en la ventana de creación de scripts. Cada script debe contener un solo sensor. Si un script devuelve varios valores, VMware Workspace ONE Intelligence lee solo el primer valor como respuesta del script. Si un script devuelve un valor nulo, VMware Workspace ONE Intelligence no informa del sensor.

Requisitos previos

Debe acceder a VMware Workspace ONE Intelligence antes de utilizar los Sensores.


VMware, Inc. 113

Procedimiento

1 Navegue a Dispositivos > Provisioning (Aprovisionamiento) > Atributos personalizados > Sensores.

2 Seleccione Nuevo > Windows.

3 Configure los ajustes del sensor:


Nombre Introduzca un nombre para el sensor. El nombre debe comenzar con una letra minúscula seguida de caracteres alfanuméricos y guiones bajos. El nombre debe tener entre 2 y 255 caracteres.

Descripción Escriba la descripción del sensor.

Tipo de valor Seleccione el tipo de valor del sensor. Puede elegir entre:

n Cadenan Número enteron Booleanon Fecha y hora

Activadores Seleccione el activador para el sensor que va a informar del valor del atributo de dispositivo.

Si selecciona Horario, el dispositivo informa del valor a Consola Workspace ONE UEM según el horario del muestreo de Windows.

Si selecciona Event (Evento), puede elegir un evento de dispositivo para activar el registro del valor. Los activadores incluyen:

n Iniciar sesiónn Cerrar sesiónn Inicion Conmutador de usuarios


5 Seleccione el contexto de ejecución. Este ajuste controla si el script se ejecuta en un usuario o un contexto del sistema.

6 Cargue un Script/Comando o escriba el suyo propio en el cuadro de texto proporcionado.

Resultados

El sensor se crea y aparece en la vista de lista Sensores.

Pasos siguientes

Una vez creado el sensor, asígnelo a un grupo inteligente. Para ello, seleccione el botón Assign (Asignar) en la vista de lista Sensores.


VMware, Inc. 114

Cómo integrar Dell Command | Configure 8Integre Workspace ONE UEM con Dell Command | Configure para configurar las opciones del BIOS del dispositivo. Esta integración permite la funcionalidad completa del perfil de BIOS para dispositivos de escritorio de Windows.

Puntos básicosLa integración con Dell Command | Configure permite mejorar la administración de los dispositivos para empresas de Dell. Si desea utilizar la función de paquetes de configuración del perfil de BIOS, debe agregar esta integración a su entorno.

Dispositivos compatiblesn Sobremesas Dell OptiPlex™

n Sobremesas y portátiles Dell Precision Workstation™

n Portátiles Dell Latitude™

Cómo agregar Dell Command | Configure a Workspace ONE UEMPara integrar Dell Command | Configure con Workspace ONE UEM, agregue el programa como una aplicación Win32 interna en Workspace ONE UEM. Para obtener más información, consulte Cómo agregar Dell Command | Configure a Workspace ONE UEM.

Perfil del BIOSConfigure algunos ajustes del BIOS de los dispositivos para empresas de Dell con un perfil de BIOS. La configuración le permite controlar la virtualización de hardware y la seguridad del BIOS. Para obtener más información, consulte Configuración de un perfil de BIOS (escritorio de Windows)


n Cómo agregar Dell Command | Configure a Workspace ONE UEM

VMware, Inc. 115

Cómo agregar Dell Command | Configure a Workspace ONE UEMAgregue Dell Command | Configure a Consola Workspace ONE UEM para mejorar la administración de sus dispositivos para empresas de Dell. Si desea utilizar la función de paquetes de configuración del perfil de BIOS, debe agregar esta integración a su entorno.

Requisitos previos

Debe permitir que la distribución de software envíe Dell Command | Configure a los dispositivos.

Procedimiento

1 Vaya a https://www.dell.com/support/article/us/en/04/sln311302/dell-command-configure?lang=en y descargue la versión más reciente de Dell Command | Configure.

2 Abra el archivo EXE y seleccione Extraer. Guarde los archivos extraídos en una carpeta.

3 Navegue a la carpeta y busque el archivo MSI.

4 En UEM console, agregue el archivo MSI extraído como una aplicación interna. Asegúrese de que define la arquitectura de procesador compatible en 32 o 64 bits según cuál sea el sistema operativo del dispositivo.

5 En la pestaña Opciones de implementación, defina el campo Privilegios de administrador en Sí.

6 Agregue una asignación de la aplicación a los dispositivos para empresas de Dell.

Resultados

La aplicación se descargará e instalará en los dispositivos asignados. Además, podrá enviar perfiles de BIOS.


VMware, Inc. 116

https://www.dell.com/support/article/us/en/04/sln311302/dell-command-configure?lang=en

Integración de Dell Command | Monitor 9Integre Workspace ONE UEM con Dell Command | Monitor para mejorar la información que Workspace ONE UEM recopila de los dispositivos para empresas de Dell inscritos. Esta integración también le permite seleccionar la configuración del BIOS del dispositivo.

Puntos básicosLa integración con Dell Command | Monitor permite mejorar la administración de los dispositivos para empresas de Dell. Gracias a esta integración, Workspace ONE UEM proporciona información acerca del estado de mantenimiento de la batería del dispositivo y de algunos ajustes del BIOS.




Perfil del BIOSConfigure algunos ajustes del BIOS de los dispositivos para empresas de Dell con un perfil de BIOS. La configuración le permite controlar la virtualización de hardware y la seguridad del BIOS. Para obtener más información, consulte Configuración de un perfil de BIOS (escritorio de Windows)

Estado de mantenimiento de la bateríaEl estado de mantenimiento general de una batería afecta a la vida útil de un dispositivo. Gracias a Dell Command | Monitor, puede supervisar el estado de mantenimiento de las baterías de los dispositivos para empresas de Dell. Este estado de mantenimiento no muestra la carga actual de la batería, pero informa acerca de la capacidad para mantener la carga, del tiempo necesario para completar una carga y de otros factores expresados como porcentaje. Según Dell, cualquier batería con un estado de mantenimiento por debajo del 25% debería sustituirse.

VMware, Inc. 117

Descripción general de Dell Command | Update 10Dell Command | Update es un software de administración del lado del cliente que forma parte de Dell Client Command Suite. Este software permite actualizar el firmware, los controladores y las aplicaciones de los dispositivos de Dell compatibles.

Puntos básicosIntegre Workspace ONE UEM con Dell Command | Update para mejorar la administración de actualizaciones de dispositivos para empresas de Dell. Si lo hace, podrá actualizar firmware, controladores y otras aplicaciones de forma remota. Podrá controlar cuándo y qué tipos de actualizaciones se van a implementar en los dispositivos.




Adición de Dell Command | Update a Workspace ONE UEMPara integrar Dell Command | Update con Workspace ONE UEM, agregue la aplicación como una aplicación Win32 interna a Workspace ONE UEM Console. Para obtener más información, consulte Adición de Dell Command | Update a Workspace ONE UEM.

Configuración del perfil de actualizaciones de OEMConfigure el perfil de actualizaciones de OEM para habilitar Dell Command | Update en los dispositivos de los usuarios finales. Para obtener más información, consulte Configuración de un perfil de actualizaciones de OEM (escritorio de Windows).


n Adición de Dell Command | Update a Workspace ONE UEM

VMware, Inc. 118

Adición de Dell Command | Update a Workspace ONE UEMPara mejorar la administración de los dispositivos para empresas de Dell, agregue Dell Command | Update a Workspace ONE UEM Console. El perfil de actualizaciones de OEM requiere esta aplicación antes del envío a los dispositivos.

Requisitos previos

Debe permitir que la distribución del software envíe Dell Command | Update a los dispositivos.

Procedimiento

1 Vaya a http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7534.dell-command-update y descargue la última versión de Dell Command | Update.

2 En UEM Console, agregue el archivo EXE como una aplicación interna. Asegúrese de que define la arquitectura de procesador compatible en 32 o 64 bits según cuál sea el sistema operativo del dispositivo.

3 En la pestaña Opciones de implementación, defina el campo Privilegios de administrador en Sí.

4 Agregue una asignación de la aplicación a los dispositivos para empresas de Dell.

Resultados

La aplicación se descargará e instalará en los dispositivos asignados. Además, podrá enviar perfiles de actualización de OEM.


VMware, Inc. 119

http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7534.dell-command-update

Administración de dispositivos de escritorio de Windows 11Una vez que los dispositivos se inscriban y configuren, adminístrelos con Workspace ONE ™ UEM Console. Sus herramientas y funciones de administración le permiten supervisar los dispositivos y realizar funciones administrativas de forma remota.

Puede administrar todos los dispositivos desde la consola de UEM. El tablero permite realizar búsquedas y vistas personalizadas que puede utilizar para filtrar y encontrar dispositivos específicos. Esta función simplifica la ejecución de funciones administrativas en un conjunto determinado de dispositivos. La Vista en lista de dispositivos muestra todos los dispositivos que se encuentran actualmente inscritos en su entorno de Workspace ONE UEM, así como su estado. La página Detalles del dispositivo proporciona información específica de los dispositivos, como los perfiles, las aplicaciones, la versión de Workspace ONE Intelligent Hub y la versión de servicio OEM que está instalada en el dispositivo. También puede realizar acciones remotas en el dispositivo desde la página Detalles del dispositivo que sea específica para tal dispositivo.


n Tablero de dispositivos

n Vista de lista de dispositivos

n Página de detalles de dispositivos de escritorio de Windows

n Administración remota avanzada

n Resumen del aprovisionamiento de productos

Tablero de dispositivosA medida que se inscriban los dispositivos, podrá verlos y administrarlos desde el Workspace ONE UEM powered by AirWatchTablero de dispositivos de .

El Tablero de dispositivos proporciona una vista de alto nivel de toda la flota y permite realizar acciones en cada dispositivo rápidamente.

Puede ver las representaciones gráficas de la información importante de los dispositivos de la flota, tal como el tipo de propiedad de los dispositivos, las estadísticas de conformidad y el análisis de plataformas y sistemas operativos. Puede acceder a cada conjunto de dispositivos en las categorías presentes seleccione cualquiera de las vistas de datos disponibles en el Tablero de dispositivos.

VMware, Inc. 120

En la Vista de lista, puede realizar acciones administrativas: envío de mensajes, bloqueo de dispositivos, eliminación de dispositivos y cambio de grupos asociados con el dispositivo.

n Seguridad: permite ver los motivos más comunes de los problemas de seguridad de la flota de dispositivos. Si selecciona cualquiera de las gráficas de anillo, se mostrará una Lista de dispositivos filtrada con los dispositivos afectados por el problema de seguridad seleccionado. Si la plataforma lo permite, puede configurar una política de conformidad para aplicarla a estos dispositivos.

n Comprometido – La cantidad y porcentaje de dispositivos comprometidos (jailbroken o con acceso root) en su departamento.

n Sin código de acceso – La cantidad y porcentaje de dispositivos sin un código de acceso configurado para seguridad.

n Sin cifrar – La cantidad y porcentaje de dispositivos que no están cifrados para seguridad. En esta cantidad indicada se excluye el cifrado de tarjetas SD de Android. Sólo aquellos dispositivos Android sin cifrado de disco se reportan en el gráfico de rosquilla.

Propiedad: permite ver el número total de dispositivos de cada categoría de propiedad. Al seleccionar cualquiera de los segmentos de gráficos de barras, aparecerá una Lista de dispositivos filtrada con dispositivos del tipo de propiedad que haya seleccionado.

n Resumen de la última detección y análisis de la última detección: vea la cantidad y el porcentaje de dispositivos que se han comunicado recientemente con el servidor de Workspace ONE UEM MDM. Por ejemplo, si no se han visto varios dispositivos en más de 30 días, seleccione el gráfico de barras correspondiente para mostrar únicamente dichos dispositivos. A continuación, podrá seleccionar todos estos dispositivos filtrados y enviarles un mensaje solicitándoles que realicen la verificación del estado.

n Plataformas: permite ver el número total de dispositivos de cada categoría de plataforma. Al seleccionar cualquiera de las gráficas, se mostrará una Vista en lista de dispositivos filtrada que tiene los dispositivos de la plataforma que seleccionó.

n Inscripción: permite ver el número total de dispositivos de cada categoría de inscripción. Si selecciona cualquiera de las gráficas, se mostrará una Vista en lista de dispositivos filtrada que tiene los dispositivos del estado de inscripción que seleccionó.

n Desglose del sistema operativo: permite ver los dispositivos de la flota según el sistema operativo. Hay gráficas específicas para Apple iOS, Android, Windows Phone y Windows Rugged. Al seleccionar cualquiera de las gráficas, se mostrará una Vista en lista de dispositivos filtrada que tiene los dispositivos de la versión de SO que seleccionó.

Vista de lista de dispositivosUtilice la vista de lista de dispositivos para ver una lista completa de todos los dispositivos del grupo organizativo seleccionado.


VMware, Inc. 121

La columna Última detección muestra un indicador del número de minutos transcurridos desde el último registro del dispositivo. El indicador es rojo o verde, en función del número de minutos definidos en Tiempo de espera de inactividad de dispositivo (min). Este indicador puede establecerse en Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > General > Avanzado.

En cualquier momento, puede seleccionar un nombre descriptivo en la columna Información general para abrir la página de detalles del dispositivo. Un Nombre descriptivo es la etiqueta que se le asigna a un dispositivo para diferenciarlo de otros, en particular, de otros dispositivos de la misma marca y modelo.

Además, puede ordenar las columnas y configurar los filtros de información para revisar la actividad del dispositivo según la información específica. Por ejemplo, ordene la columna por Estado de conformidad para ver solamente los dispositivos que no están en estado de conformidad y para aplicar medidas solo en ellos. Busque un nombre común o nombre de usuario en todos los dispositivos para aislar un dispositivo o usuario específico.

Cómo personalizar el diseño de la Vista de lista de dispositivosVisualice toda la lista de columnas visibles en la vista Lista de dispositivos seleccionando el botón Diseño y la opción Personalizado. Esta vista le permite mostrar u ocultar las columnas de la Lista de dispositivo según sus preferencias.

Asimismo, hay una opción para aplicar la vista de columnas personalizada a todos los administradores . Por ejemplo, puede ocultar “Número de activo” de las vistas Lista de dispositivos del GO actual .

Una vez que haya completado todas las personalizaciones, seleccione el botón Aceptar para guardar sus preferencias y aplicar esta nueva vista de columnas. Puede regresar a la configuración del botón Diseño en cualquier momento para retocar las preferencias de visualización de las columnas.

Cómo buscar en la Vista de lista de dispositivosPuede buscar un solo dispositivo para acceder a su información de manera rápida y así tomar medidas o acciones a distancia sobre el dispositivo.

Para realizar una búsqueda, navegue a Dispositivos > Vista en lista, seleccione la barra Buscar en lista e introduzca un nombre de usuario, un nombre común del dispositivo o cualquier otro elemento para identificarlo. Esta acción inicia una búsqueda en todos los dispositivos con ese parámetro de búsqueda, dentro del grupo organizativo actual y todos los grupos secundarios.

Página de detalles de dispositivos de escritorio de WindowsUtilice la página Detalles del dispositivo para controlar la información detallada del dispositivo para dispositivos de escritorio de Windows y tener acceso rápido a las acciones de administración del usuario y el dispositivo.


VMware, Inc. 122

Para tener acceso a la página Detalles del dispositivo, puede seleccionar el nombre común del dispositivo en la vista en lista de dispositivos, o bien usar uno de los tableros o cualquiera de las herramientas de búsqueda.

Desde la página de detalles del dispositivo, puede acceder a información específica del dispositivo, la cual aparece detallada en diferentes pestañas del menú. Cada pestaña del menú contiene información relacionada con el dispositivo según la implementación de Workspace ONE UEM.

Detalles del servicio de notificaciones de WindowsPuede ver el estado de la comunicación del dispositivo con el servicio de notificaciones de Windows (Windows Notification Service, WNS) en la pestaña Red de la página Detalles del dispositivo. WNS admite el envío de notificaciones de dispositivos. Si un dispositivo no está conectado actualmente, el servicio almacena en la memoria caché las notificaciones hasta que el dispositivo vuelva a conectarse.

Los estados de WNS incluyen los siguientes:

n Estado del servidor WNS: muestra el estado del servidor WNS.

n Última solicitud de renovación de WNS: la fecha y hora del último intento que se realizó para renovar la conexión del servicio de notificaciones de Windows (WNS) con el dispositivo. Esta conexión permite que Workspace ONE UEM consulte e inserte políticas en el dispositivo en tiempo real (si lo permiten las condiciones de las redes, la detección de la batería y la detección de datos). Para obtener más información sobre WNS, consulte https://docs.microsoft.com/es-es/windows/client-management/mdm/push-notification-windows-mdm.

n Obtener siguiente solicitud de WNS: la fecha y la hora del siguiente intento programado para renovar la conexión entre WNS y el dispositivo.

n URI del canal de WNS: extremo de comunicación de WNS que utilizan los dispositivos y Workspace ONE UEM. Este extremo utiliza el siguiente formato: https://*.notify.windows.com/?token=_{TOKEN}

Acciones remotasEl desplegable de Más acciones de la página Detalles del dispositivo le permite realizar acciones remotas de forma inalámbrica en el dispositivo seleccionado.

Las acciones mencionadas varían según ciertos factores como la plataforma del dispositivo, los ajustes de Workspace ONE UEM Console y el estado de inscripción:

n Agregar etiqueta: permite asignar una etiqueta personalizable a un dispositivo que pueda identificar algún dispositivo especial de la flota.

n Aplicaciones (consultas): permite enviar un comando de consulta MDM al dispositivo para obtener una lista de las aplicaciones instaladas.

La acción Aplicaciones (consultas) requiere un inicio de sesión activo de un usuario inscrito.

n Certificados (consultas): ): permite enviar un comando de consulta MDM al dispositivo para obtener una lista de las certificados instalados.Certificados (consultas)): : permite enviar un comando de consulta MDM al dispositivo para obtener una lista de los certificados instalados..


VMware, Inc. 123

https://docs.microsoft.com/en-us/windows/client-management/mdm/push-notification-windows-mdm

https://docs.microsoft.com/en-us/windows/client-management/mdm/push-notification-windows-mdm

Certificados (consultas) requiere un inicio de sesión activo de un usuario inscrito.

n Cambiar grupo organizativo: permite cambiar el grupo organizativo principal del dispositivo a otro que ya exista. Incluye una opción para seleccionar un grupo organizativo estático o dinámico.

n Solicitar registro de dispositivo: permite solicitar el registro de depuración del dispositivo seleccionado para verlo seleccionando la pestaña Más y seleccionandoArchivos adjuntos > Documentos. No puede ver el registro en Consola Workspace ONE UEM. El registro se distribuye como un archivo ZIP que se puede utilizar para solucionar problemas y proporcionar soporte.

Cuando se solicita un registro, se puede optar por recibir los registros del sistema o del hub. Sistema proporciona registros de nivel del sistema. Hub proporciona registros de los diversos agentes que se ejecutan en el dispositivo.

Solo para Android: puede recuperar registros detallados desde dispositivos Android corporativos y verlos en UEM Console para resolver rápidamente los problemas de los dispositivos.

n Eliminar dispositivo: permite eliminar y anular la inscripción de un dispositivo de la consola. Envía el comando de eliminación empresarial al dispositivo que se eliminará en el próximo check-in y marca el dispositivo como Eliminación en curso en la consola. Si la protección contra eliminaciones está deshabilitada en el dispositivo, el comando emitido realiza inmediatamente una eliminación empresarial y elimina la representación del dispositivo en la consola.

n Información del dispositivo (consultas): permite enviar un comando de consulta MDM al dispositivo para obtener información básica tal como el nombre común, la plataforma, el modelo, el grupo organizativo, la versión del sistema operativo y el estado de propiedad.

n Eliminación total de los dispositivos: permite enviar un comando MDM para el borrado completo de todos los datos y el sistema operativo del dispositivo. Esta opción pone el dispositivo en un estado en el cual será necesaria la partición de recuperación para volver a instalar el sistema operativo. Esta acción no se puede deshacer.

n Consideraciones sobre la eliminación de dispositivos iOS

• En el caso de los dispositivos con iOS 11 y versiones anteriores, el comando Eliminación total de los dispositivos también borrará los datos de la SIM de Apple asociados con los dispositivos.

• En el caso de los dispositivos con una versión superior a iOS 11, dispone de la opción de conservar el plan de datos de la SIM de Apple (si es que los dispositivos tienen uno). Para ello, seleccione la casilla Conservar el plan de datos en la página Eliminación total de los dispositivos antes de enviar el comando.


VMware, Inc. 124

• En el caso de los dispositivos con una versión superior a iOS 11.3, tiene la opción adicional de habilitar o deshabilitar la omisión de la pantalla Configuración por proximidad mientras envía el comando Eliminación total de los dispositivos. Si habilita esta opción, se omitirá la pantalla Configuración por proximidad en el asistente de configuración, por lo que el usuario del dispositivo no verá la opción Configuración por proximidad.

n Para los dispositivos de escritorio de Windows, puede elegir el tipo de eliminación de dispositivos.

• Eliminar: esta opción elimina todo el contenido del dispositivo.

• Eliminar los datos protegidos: esta opción es similar a una eliminación de dispositivo normal, pero el usuario no puede eludirla. El comando Eliminar los datos protegidos sigue intentando restablecer el dispositivo hasta que se realice correctamente. En algunas configuraciones de dispositivos, puede que este comando no permita que el dispositivo arranque.

• Eliminar y mantener los datos de aprovisionamiento: esta opción elimina el dispositivo, pero especifica que se debe realizar una copia de seguridad de los datos de aprovisionamiento en una ubicación persistente. Una vez que se ejecuta la eliminación, los datos de aprovisionamiento se restauran y se aplican al dispositivo. Se guarda la carpeta de aprovisionamiento. Para buscar la carpeta, navegue por el dispositivo hasta %ProgramData%\Microsoft\Provisioning.

n Editar dispositivo: permite editar la información del dispositivo, como Nombre común, Número de activo, Propiedad del dispositivo, Grupo de dispositivos y Categoría del dispositivo.

n Eliminación empresarial: la eliminación empresarial de un dispositivo anula la inscripción y elimina todos los recursos empresariales, incluidas las aplicaciones y perfiles. Esta acción no se puede anular y tendrá que inscribirse de nuevo en Workspace ONE UEM para volver a administrar el dispositivo. Incluye opciones para evitar inscripciones futuras, así como un campo Descripción para que pueda agregar detalles importantes sobre la acción.

n La eliminación empresarial no es compatible con los dispositivos unidos a un dominio en la nube.

n Restablecimiento empresarial: permite restablecer un dispositivo a los ajustes de fábrica, pero manteniendo la inscripción en Workspace ONE UEM.

n Solo para escritorio Windows: el restablecimiento empresarial restaura un dispositivo al estado Listo para funcionar cuando este está dañado o tiene aplicaciones que no funcionan correctamente.


VMware, Inc. 125

Vuelve a instalar el sistema operativo Windows y conserva los datos de usuario, las cuentas de usuario y las aplicaciones administradas. El dispositivo volverá a sincronizar los ajustes, las políticas y las aplicaciones empresariales de implementación automática tras el restablecimiento, mientras Workspace ONE lo sigue administrando.

n Bloquear dispositivo: permite enviar un comando MDM para bloquear un dispositivo seleccionado que lo deja inutilizable hasta que lo desbloquee.

Importante Al bloquear un dispositivo, el usuario inscrito debe haber iniciado sesión en el dispositivo para que el comando se procese. El comando de bloqueo bloquea el dispositivo y se debe autenticar nuevamente a todos los usuarios que hayan iniciado sesión en Windows. Si un usuario inscrito ha iniciado sesión en el dispositivo, el comando de bloqueo de dispositivo bloquea el dispositivo. Si ningún usuario inscrito ha iniciado sesión, el comando de bloqueo de dispositivo no se procesa.

n Consultar todo: permite enviar un comando de consulta al dispositivo para obtener una lista de aplicaciones instaladas (como Workspace ONE Intelligent Hub, si procede), libros, certificados, información del dispositivo, perfiles y medidas de seguridad.

n Reiniciar el dispositivo: permite reiniciar el dispositivo de forma remota para reproducir el efecto de apagarlo y encenderlo de nuevo.

n Administración remota: permite tomar el control de un dispositivo compatible de forma remota con esta acción. Se iniciará una aplicación en la consola que le permitirá solucionar problemas y proporcionar soporte al dispositivo. Los dispositivos Android requieren que el servicio de control remoto esté instalado.

n Seguridad (consultas): permite enviar un comando de consulta MDM al dispositivo para obtener la lista de medidas de seguridad activas (administrador del dispositivo, cifrado, código de acceso, certificados, etc.).

n Enviar mensaje: permite enviar un mensaje al usuario del dispositivo seleccionado. Elija entre Correo electrónico, Notificación push (a través de AirWatch Cloud Messaging) y SMS.

Administración remota avanzadaLa administración remota avanzada (Advanced Remote Management, ARM) le permite conectarse de forma remota a los dispositivos de los usuarios finales para ayudar en la solución de problemas y el mantenimiento. La ARM requiere que el equipo y el dispositivo del usuario final se conecten al servidor de administración remota avanzada para facilitar la comunicación entre Consola Workspace ONE UEM y el dispositivo del usuario final.

Para obtener más información, consulte VMware Workspace ONE Advanced Remote Management Documentation (documentación de la administración remota avanzada de Workspace ONE de VMware) en docs.vmware.com.


VMware, Inc. 126

Resumen del aprovisionamiento de productosEl aprovisionamiento de productos le permite crear a través de Workspace ONE ™ ™ UEM productos que contienen perfiles, aplicaciones, archivos o acciones y acciones de evento (según la plataforma que utilice). Estos productos siguen una serie de reglas, horarios y dependencias como directrices para garantizar que los dispositivos permanezcan actualizados con el contenido que necesitan.

El aprovisionamiento de productos también engloba el uso de servidores de retransmisión. Se trata de servidores FTP diseñados para funcionar como enlace entre los dispositivos y UEM Console. Cree estos servidores para cada tienda o almacén para guardar el contenido del producto que se distribuya a los dispositivos.

Para obtener más información, consulte la documentación Aprovisionamiento de productos.


VMware, Inc. 127

Administración de dispositivos de escritorio de Windows ... · Contenido 1 Introducción al...

Documents

Transcript of Administración de dispositivos de escritorio de Windows ... · Contenido 1 Introducción al...