Perfiles de Workspace ONE UEM para Windows

Los perfiles de Workspace ONE UEM son los medios principales para administrar y configurar los dispositivos Windows. Puede encontrar información sobre los distintos perfiles que se conectan a los recursos y los protegen, que restringen y controlan los dispositivos y que son específicos para Dell.

¿En qué consisten los perfiles?

Imagine que los perfiles son ajustes y reglas que, combinados con las políticas de conformidad, lo ayudan a aplicar reglas y procedimientos corporativos. Contienen los ajustes, las configuraciones y las restricciones que desea aplicar en los dispositivos.

Un perfil incluye ajustes generales de perfiles y una carga útil específica. Los perfiles funcionan mejor cuando solo contienen una única carga útil. En Workspace ONE UEM Console, puede encontrar los perfiles de usuario y de dispositivo al navegar a: Recursos > Perfiles y líneas base > Perfiles.

Nivel de usuario o de dispositivo

Los perfiles de escritorio de Windows se aplican en un dispositivo al nivel del usuario o al nivel del dispositivo. Al crear perfiles de escritorio de Windows, puede seleccionar el nivel al que desea que se aplique el perfil. Algunos perfiles no están disponibles para ambos niveles y solo puede aplicarlos bien al nivel de usuario o bien al nivel de dispositivo. Workspace ONE UEM Console identifica qué perfiles están disponibles y en qué nivel. Algunas advertencias para el uso correcto de los perfiles de dispositivo y usuario incluyen la siguiente lista.

• Workspace ONE UEM ejecuta comandos que se aplican al contexto del dispositivo, incluso si en este no hay ningún inicio de sesión activo de un usuario inscrito.
• Los perfiles específicos para usuarios requieren un inicio de sesión activo de un usuario inscrito.

Existen algunos perfiles y comandos estándar que puede utilizar para configurar y controlar el dispositivo. La siguiente tabla muestra los comandos para el perfil y Console que ya no requieren que un usuario de Windows activo los ejecute.

Nombre del perfil	Instalaciones sin usuario de Windows activo
Contraseña	Sí
Wi-Fi	Sí
VPN	Sí
Credenciales	Sí
Restricción	Sí
Protección contra vulnerabilidades de seguridad	Sí
Perfil de protección de datos	Sí
Windows Hello	Sí
Firewall	Sí
Cifrados	Sí
Antivirus	Sí
Actualizaciones de Windows	Sí
Proxy	Sí
SCEP	Sí
Control de aplicaciones	Sí
Licencias de Windows	Sí
Perfil personalizado (HUB y OMA-DM)	Sí
Quiosco	Sí
Personalización	Sí
Peer Distribution	Sí
Filtro de escritor unificado	Sí

Acción de Console	Funciona sin usuario de Windows activo
Seguridad del dispositivo	Sí
Información Windows	Sí
Atestación de estado	Sí
Actualizaciones disponibles del SO	Sí
Registro de Hub	Sí
Muestra de lista de certificados	Sí
Información de seguridad	Sí
Información	Sí
Muestra de lista de aplicaciones: HUB	Sí
Muestra de lista de aplicaciones: OMA-DM	Sí
Sensor	Sí
Plan de trabajo	Sí
Ventana de tiempo	Sí
Reiniciar	Sí
Eliminación empresarial	Sí
Borrar todo	Sí
Restablecimiento empresarial	Sí
Solicitar registro de dispositivos	Sí

Nuevas opciones de perfil para configurar perfiles de usuarios y dispositivos de Windows

Actualizamos las opciones de cómo asignar perfiles de usuarios y dispositivos mediante la adición de un segundo generador de plataformas Windows (beta). En Console, al agregar un perfil de usuario o dispositivo, tendrá que seleccionar entre las plataformas Windows o Windows (beta). Navegación: Recursos > Perfiles y líneas base > Perfiles > Agregar > Agregar perfil > Windows -O BIEN- Windows (beta)

Opción de plataforma Windows

Puede seguir agregando y personalizando perfiles de usuarios y dispositivos con ajustes personalizados e integración con Workspace ONE Intelligent Hub mediante esta opción de plataforma. Si configuró ajustes personalizados a través de Intelligent Hub, siga utilizando esta opción en lugar de migrar a las nuevas opciones de plataforma Windows (beta), ya que en este momento la versión beta no admite todos los ajustes personalizados.

Opción de plataforma Windows (beta)

Migre a esta opción de plataforma si no utiliza ajustes personalizados para los perfiles de usuario y dispositivo. Al agregar un perfil, podrá buscar las opciones de proveedores de servicios de configuración (CSP) nativos de Microsoft y, a continuación, aplicarlas a los perfiles según sea necesario. Se realizarán mejoras futuras, como la adición de plantillas de VMware, que actualmente tienen un indicador de función.

Actualmente no se admiten los ajustes personalizados. Puede encontrar una lista completa de los detalles de CSP en el sitio web de Microsoft: Detalles de CSP de directivas.

Plantilla nativa de Microsoft

En la opción de plataforma Windows (beta), la plantilla nativa de Microsoft está disponible sin una marca de función. En la pestaña Nativos de Microsoft, tiene la capacidad de buscar y aplicar otras opciones de CSP nativos de Microsoft, si es necesario. En el menú desplegable Cuentas, una función adicional muestra la información de la versión de Windows compatible (si Microsoft la proporcionó).

Marca de funciones: plantillas de VMware

En la opción de plataforma Windows (beta), como la plantilla nativa de Microsoft, pero detrás de un indicador de función, creamos plantillas de la interfaz de usuario basada en datos (DDUI) de VMware. La pestaña Plantillas de VMware ofrece a los administradores opciones más específicas para establecer un nivel más profundo de personalización para algunos de los CSP nativos de Microsoft con ajustes preconfigurados y la capacidad de personalizar tres de nuestras configuraciones más comunes en: Optimización de entrega, Administración de revisiones y Proxy. Al utilizar los botones de alternancia de esas secciones, puede ajustar los ajustes preconfigurados según sea necesario.

Aviso: Si configura ambas pestañas (Nativos de Microsoft y Plantillas de VMware), asegúrese de que los elementos de Plantillas de VMware NO estén también configurados en Nativos de Microsoft, ya que uno podría anular el otro o crear un problema.

Perfil de antivirus

Cree un perfil de antivirus para configurar el antivirus Windows Defender nativo en los dispositivos de escritorio de Windows. Si Windows Defender está configurado para todos los dispositivos, tiene la garantía de que los usuarios finales están protegidos al utilizar el dispositivo.

Importante: Este perfil solo configura el antivirus Windows Defender nativo y no configurará ningún otro dispositivo antivirus de terceros.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
   

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de antivirus.

6. Configure los ajustes de Antivirus:

   Ajustes	Descripción
   Supervisión en tiempo real	Habilite esta opción para configurar el antivirus Windows Defender de forma que supervise el dispositivo en tiempo real.
   Dirección del escaneo en tiempo real	Habilite esta opción para configurar el antivirus Windows Defender de forma que supervise los archivos de entrada, los archivos salientes o todos los archivos. Utilice esta opción para ayudar al rendimiento de red de los servidores o las funciones de servidor que haya definido para las instalaciones de Windows Server que controlen el tráfico en una dirección.
   Nivel de protección en la nube	Habilite esta opción para configurar el nivel de firmeza que empleará el antivirus Windows Defender a la hora de bloquear y analizar archivos sospechosos. Considere el rendimiento de la red al configurar este elemento de menú.
   Tiempo de espera de bloqueo en la nube	Seleccione un tiempo, en segundos, para que un archivo se mantenga bloqueado mientras el antivirus Windows Defender analiza su potencial de la amenaza. El tiempo de bloqueo predeterminado es de 10 segundos. El sistema agrega los segundos establecidos en este elemento de menú al tiempo predeterminado.
   Actualizaciones de firma	Intervalo de actualización de firmas en horas Orígenes de recursos compartidos de archivos de actualización de firma Comprobar la firma antes de ejecutar el escaneo Orden de reserva de actualización de firma
   Intervalo de análisis	Escaneo completo: habilite esta opción para programar la ejecución de un escaneo completo del sistema. Seleccione el intervalo de tiempo (en horas) entre los escaneos. Escaneo rápido: habilite esta opción para programar la ejecución de un escaneo rápido del sistema. Seleccione el intervalo de tiempo (en horas) entre los escaneos.
   Exclusiones	Seleccione las rutas de archivo o procesos que desea excluir de los escaneos del antivirus Windows Defender. Seleccione Agregar nuevo para agregar una excepción.
   Acción predeterminada de amenaza (Baja, Moderada, Alta, Severa)	Establezca la acción predeterminada para los distintos niveles de amenaza encontrados durante los escaneos. Limpiar – Seleccione esta opción para limpiar los problemas que provoque la amenaza. Cuarentena – Seleccione esta opción para enviar la amenaza a una carpeta de cuarentena. Eliminar – Seleccione esta opción para eliminar la amenaza del sistema. Permitir – Seleccione esta opción para no eliminar la amenaza. Definido por el usuario – Seleccione esta opción para permitir que el usuario decida qué hacer con la amenaza. Ninguna acción – Seleccione esta opción si no desea realizar una acción contra la amenaza. Bloquear – Seleccione esta opción para bloquear la amenaza y evitar que acceda al dispositivo.
   Avanzado	Factor de carga de la CPU medio del escaneo: establezca el porcentaje de CPU medio máximo que el antivirus Windows Defender puede utilizar durante el escaneo. Bloqueo de UI - Habilite esta opción para bloquear la interfaz de usuario por completo para que los usuarios finales no puedan cambiar la configuración. Escaneo completo de actualización - Habilite esta opción para permitir ejecutar un escaneo completo que se interrumpió o no se realizó anteriormente. Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneo programado de forma regular. Estos escaneos programados suelen omitirse porque el ordenador estaba apagado a la hora programada. Escaneo rápido de actualización - Habilite esta opción para permitir ejecutar un escaneo rápido que se interrumpió o no se realizó anteriormente. Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneo programado de forma regular. Estos escaneos programados suelen omitirse porque el ordenador estaba apagado a la hora programada. Monitoreo de comportamiento - Habilite esta opción para configurar el análisis de virus de manera que envíe un registro de actividad a Microsoft. Sistema de prevención de intrusión - Habilite esta opción para configurar la protección de la red contra el aprovechamiento de las vulnerabilidades conocidas. Esta opción permite que el antivirus Windows Defender supervise las conexiones de forma continua e identifique patrones de comportamiento potencialmente maliciosos. En este sentido, el software se comporta como un detector de virus clásico, solo que escanea el tráfico de red en lugar de archivos. Protección de PUA: habilite esta opción para que el antivirus Windows Defender supervise las aplicaciones potencialmente no deseadas (PUA) en los clientes finales. Protección IOAV: habilite esta opción para que Windows Defender escanee los archivos descargados. Protección OnAccess: habilite esta opción para que el antivirus Windows Defender proteja los archivos y las carpetas frente a un acceso no autorizado. Protección en la nube: habilite esta opción para que el antivirus Windows Defender detecte e impida que las amenazas utilicen recursos patentados y aprendizaje automático. Consentimiento del usuario: habilite esta opción para que el antivirus Windows Defender solicite al usuario del cliente final el consentimiento antes de actuar ante las amenazas identificadas. Analizar correo electrónico - Habilite esta opción para permitir que Windows Defender escanee los correos electrónicos. Escanear unidades de red asignadas: habilite esta opción para permitir que el antivirus Windows Defender escanee las unidades de red asignadas a los dispositivos. Escanear archivos: habilite esta opción para permitir que el antivirus Windows Defender ejecute un escaneo completo de las carpetas archivadas. Escanear unidades extraíbles: habilite esta opción para permitir que el antivirus Windows Defender escanee las unidades extraíbles conectadas al dispositivo. Eliminar archivos en cuarentena después de - Establezca durante cuánto tiempo se almacenan los archivos en cuarentena antes de eliminarlos.

7. Seleccione Guardar y publicar.

Perfil de control de aplicaciones

Limite las aplicaciones que se pueden instalar en los dispositivos de escritorio de Windows con el perfil de control de aplicaciones. Limitar la instalación de aplicaciones protege sus datos de aplicaciones malintencionadas y evita que los usuarios finales accedan a aplicaciones no deseadas en dispositivos corporativos.

Para permitir o impedir la instalación de aplicaciones en los dispositivos, puede habilitar el control de aplicaciones con el fin de confiar o bloquear aplicaciones específicas. Mientras que el motor de conformidad supervisa los dispositivos para confirmar qué aplicaciones son las de confianza y cuáles están bloqueadas, el control de aplicaciones evita que los usuarios intenten agregar o eliminar aplicaciones. Por ejemplo, puede impedir que se instale en el dispositivo una aplicación de entretenimiento determinada o permitir la instalación en el dispositivo solo de aplicaciones de confianza. Las aplicaciones bloqueadas instaladas en los dispositivos antes de que se envíe a estos la carga útil de control de aplicaciones se inhabilitan después de insertar el perfil.

El perfil de control de aplicaciones ayuda a reducir el coste de administración del dispositivo al impedir que el usuario ejecute aplicaciones prohibidas que pueden causar problemas. Al evitar que las aplicaciones causen problemas, se reduce el número de llamadas que debe atender el equipo de soporte.

Configuración de un perfil de control de aplicaciones

Habilite el control de aplicaciones para confiar y bloquear aplicaciones específicas con el objeto de permitir o impedir la instalación de aplicaciones en los dispositivos. El control de aplicaciones utiliza las configuraciones de Microsoft AppLocker para exigir el control de aplicaciones en dispositivos Windows.

Para configurar un archivo de configuración XML, debe configurar los ajustes de AppLocker en un dispositivo y exportar el archivo para utilizarlo con el perfil.

El perfil de control de aplicaciones requiere el uso de Windows Enterprise o Education.

Importante:

• Cree políticas utilizando primero el modo de Solo auditoría. Tras verificar la versión Solo auditoría en un dispositivo de prueba, cree una versión con el modo Exigir. Si no se prueban las políticas antes de un uso general, los dispositivos pueden quedar inutilizables.
• Cree reglas predeterminadas o cualquier otra regla deseada para su empresa que reduzca la posibilidad de que se bloqueen las configuraciones predeterminadas o se dañen los dispositivos después de reiniciarlos. Para obtener más información sobre cómo crear reglas, consulte el artículo de Microsoft TechNet sobre AppLocker.

Procedimiento

1. En el dispositivo de configuración, abra el editor de Política de seguridad local.
2. Desplácese a Políticas de control de aplicaciones > AppLocker y seleccione Configurar la aplicación de reglas.
3. Habilite la aplicación de Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts seleccionando Aplicar reglas.
4. Cree Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts al seleccionar la carpeta de la derecha, hacer clic con el botón derecho en la carpeta y seleccionar Crear nueva regla. No se olvide de crear reglas predeterminadas para reducir las posibilidades de bloquear la configuración predeterminada o detener el dispositivo.
5. Después de crear todas las reglas que quiera, haga clic con el botón derecho en AppLocker, seleccione Exportar directiva y guarde el archivo de configuración XML.
6. En Workspace ONE UEM Console, desplácese a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
7. Seleccione Windows y luego Escritorio de Windows.
8. Seleccione Perfil del dispositivo.
9. Configure los ajustes de la sección General del perfil.
10. Seleccione la carga útil Control de aplicaciones.
11. Seleccione Importar configuración de muestra de dispositivo y después Cargar para agregar el archivo de configuración de políticas.
12. Seleccione Guardar y publicar.

Perfil de BIOS

Configure los ajustes de BIOS para determinados dispositivos para empresas de Dell con el perfil de BIOS. Este perfil requiere integración con Dell Command | Monitor.

El soporte para los ajustes del perfil del BIOS varía según el dispositivo de Dell. Dell Command | Monitor debe cargarse o asignarse a cada dispositivo.

Requisitos previos

• Si desea utilizar la función de paquete de configuración, debe insertar la aplicación Dell Command | Configure en los dispositivos.
• Este perfil también requiere integración con Dell Command | Monitor. Agregar Dell Command | Products.

Procedimiento

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

Aviso: Ahora hay una opción predeterminada para los perfiles. La opción predeterminada no realizará ningún cambio en la configuración del dispositivo. En los valores predeterminados del nuevo perfil, la configuración de contraseña se establecerá en Administrar y el resto de ajustes se establecerá en Predeterminado.

1. Configure los ajustes de la sección General del perfil.

2. Seleccione la carga útil de BIOS y configure los siguientes ajustes.

   • Ajustes de contraseña de BIOS: seleccione Administrados para que Workspace ONE UEM genere automáticamente una contraseña de BIOS única y segura para los dispositivos. Puede acceder a la contraseña generada desde la página de detalles del dispositivo. Seleccione Manual para introducir su propia contraseña del BIOS.
   • Contraseña de BIOS: introduzca la contraseña empleada para desbloquear el BIOS del dispositivo. Esta opción se muestra cuando el Ajuste de la contraseña del BIOS se establece en Manual.
   • Chip TPM: seleccione Habilitar para habilitar el chip del módulo de plataforma segura del dispositivo. Si deshabilita el chip TPM, también deshabilitará la capacidad de la contraseña única del BIOS. La contraseña del BIOS establecida en el perfil del BIOS administrado no rota después de su uso.
   • Arranque seguro: seleccione Habilitar para usar la configuración de arranque seguro en el dispositivo. No puede inhabilitar el arranque seguro con DCM.
   • Virtualización de CPU: seleccione Habilitar para permitir el soporte de virtualización del hardware.
   • Virtualización de E/S: seleccione Habilitar para permitir la virtualización de entrada/salida.
   • Ejecución de confianza: seleccione Habilitar para permitir que el dispositivo utilice el chip TPM, la virtualización de la CPU y la virtualización IO para decisiones de confianza. La ejecución de confianza necesita que los ajustes del chip de TPM, la virtualización de CPU y la E/S de virtualización estén en modo Habilitado.
   • LAN inalámbrica: seleccione Habilitar para permitir el uso de la funcionalidad LAN inalámbrica del dispositivo.
   • Radiocomunicación celular: seleccione Habilitar para permitir el uso de la funcionalidad de la radio de celular del dispositivo.
   • Bluetooth: seleccione Habilitar para permitir el uso de la funcionalidad Bluetooth del dispositivo.
   • GPS: seleccione Habilitar para permitir el uso de la funcionalidad GPS del dispositivo.
   • Informes de SMART: seleccione Habilitar para usar la supervisión SMART de las soluciones de almacenamiento del dispositivo.
   • Carga de la batería principal: seleccione las reglas de carga del dispositivo. Estas reglas controlan cuándo comienza y finaliza la carga de la batería. Si selecciona la Carga personalizada, puede ajustar manualmente el porcentaje de carga para comenzar y finalizar la carga de la batería.
     • Carga estándar: considere la posibilidad de utilizar esta opción para los usuarios que cambian entre la energía de la batería y una fuente de alimentación externa. Esta opción carga por completo la batería a una velocidad estándar. El tiempo de carga varía según el modelo de dispositivo.
     • Carga exprés: considere la posibilidad de utilizar esta opción para los usuarios que necesiten la batería cargada en un breve período de tiempo. La tecnología de carga rápida de Dell permite que una batería completamente descargada se cargue por lo general al 80 % en aproximadamente 1 hora cuando el equipo se apaga, y al 100 % en aproximadamente 2 horas. Es posible que el tiempo de carga sea mayor si el equipo está encendido.
     • Carga del AC: considere la posibilidad de utilizar esta opción para los usuarios que trabajen principalmente con el sistema mientras está conectado a una fuente de alimentación externa. Esta opción puede alargar la duración de la batería mediante la reducción del umbral de carga.
     • Carga automática: considere la posibilidad de utilizar esta opción para los usuarios que deseen establecer la opción y no cambiarla. Esta opción permite al sistema optimizar los ajustes de la batería en función del patrón de uso de la batería habitual.
     • Carga personalizada: considere la posibilidad de utilizar esta opción para usuarios avanzados que deseen tener un mayor control sobre cuándo se inicia y se detiene la carga de la batería.
   • Límite de finalización de carga personalizada de la batería principal: ajuste el porcentaje de carga de batería que debe alcanzarse para que el dispositivo empiece a cargar su batería.
   • Límite de finalización de carga personalizada de la batería principal: ajuste el porcentaje de carga de batería que debe alcanzarse para que el dispositivo empiece a cargar su batería.
   • Peak Shift: seleccione Habilitar para usar el cambio de pico a fin de controlar cuando un dispositivo se cargue con la batería o con CA. Peak Shift le permite utilizar la electricidad de la batería en lugar de la CA en momentos específicos. Para ajustar el horario de la función Peak Shift, seleccione el icono del calendario.
   • Programación de la función Peak Shift: los tres parámetros para la programación de Peak Shift controlan cuándo utiliza el dispositivo la batería o la corriente alterna y cuándo se carga la batería.
     • Inicio de Peak Shift: ajuste la hora de comienzo de la función Peak Shift, en la que los dispositivos pasan a utilizar la alimentación de la batería.
     • Finalización de Peak Shift: ajuste la hora de finalización de la función Peak Shift, en la que los dispositivos pasan a utilizar la alimentación de la CA.
     • Inicio de carga de Peak Shift: ajuste la hora de comienzo de la carga para Peak Shift, en la que los dispositivos cargan las baterías utilizando la CA.
   • Umbral de batería de Peak Shift: ajuste el porcentaje de carga de la batería que debe alcanzarse para que los dispositivos dejen de utilizar la alimentación de la batería y vuelvan a la CA. El ajuste de Inicio de carga de Peak Shift controla la hora a la que los dispositivos cargan las baterías tras pasar a utilizar la CA.
   • Propiedades del sistema: seleccione Agregar propiedades del sistema para agregar una propiedad del sistema personalizada. Seleccione el botón de nuevo para agregar más propiedades. Estas propiedades son opciones avanzadas. Considere la posibilidad de revisar la documentación de Dell antes de usar estos ajustes. Las propiedades del sistema anulan la configuración predefinida configurada en el perfil.
   • Clase: introduzca una clase y selecciónela en el menú desplegable. Se muestra después de seleccionar Agregar propiedades del sistema.
   • Propiedad del sistema: introduzca una propiedad del sistema y selecciónela en el menú desplegable. Se muestra después de seleccionar Agregar propiedades del sistema.
   • Atributos del BIOS: seleccione Agregar atributo del BIOS para agregar un atributo del BIOS personalizado. Seleccione el botón de nuevo para agregar más atributos. Estos atributos son opciones avanzadas. Considere la posibilidad de revisar la documentación de Dell antes de usar estos ajustes. Los atributos del BIOS anulan la configuración predefinida configurada en el perfil.
   • Atributo de BIOS: introduzca un atributo del BIOS y selecciónelo en el menú desplegable. Se muestra después de seleccionar Agregar atributo del BIOS.
   • Valor: seleccione un valor para el atributo del BIOS. Si no se indica un valor, el atributo del BIOS es de solo lectura. Se muestra después de seleccionar Agregar atributo del BIOS.
   • Paquete de configuración: seleccione Cargar para agregar un paquete de configuración de Dell Command | Configure. Cargar un paquete le permite configurar varios dispositivos de Dell con una sola configuración. Los paquetes de configuración anulan cualquier propiedad o atributo del sistema personalizado. Si incluye las extensiones de archivo permitidas en una lista de permitidos, debe agregar la extensión de archivo CCTK a esa lista de permitidos. Navegue a Grupos y ajustes > Todos los ajustes > Contenido > Avanzado > Extensiones de archivo para agregar la extensión de archivo.

3. Seleccione Guardar y publicar.

Perfil de credenciales

Un perfil de credenciales le permite insertar certificados raíz, intermedios y del cliente en sus dispositivos Windows para admitir cualquier caso práctico de autenticación de certificados e infraestructura de clave pública (PKI). El perfil envía credenciales configuradas al almacén de credenciales adecuado en el dispositivo de escritorio de Windows. Aprenda a configurar un perfil de credenciales para habilitar la autenticación en los dispositivos Windows.

Aun con contraseñas y otras restricciones seguras, la infraestructura sigue siendo vulnerable a la fuerza bruta, ataques de diccionario y errores de sus empleados. Para obtener una seguridad más completa, puede implementar certificados digitales con los que proteger sus recursos corporativos. Para utilizar certificados de esta manera, debe configurar primero una carga útil de credenciales con una entidad de certificación (CA), y luego configurar las cargas útiles de Wi-Fi y VPN. Cada una de estas cargas tiene ajustes para asociar la entidad de certificación (CA) definida en la carga útil de credenciales.

El perfil de credenciales también le permite insertar certificados S/MIME en los dispositivos. Estos certificados se cargan en la cuenta de cada usuario y los controla el perfil de credenciales.

Configuración de un perfil de credenciales

Un perfil de credenciales envía certificados a los dispositivos para utilizarlos en la autenticación. Con Workspace ONE UEM, puede configurar las credenciales para los almacenes de certificados de personas de confianza, editor de confianza, raíz de confianza, intermedios y personales. Aprenda a configurar un perfil de credenciales para habilitar la autenticación en los dispositivos Windows.

Aun con contraseñas y otras restricciones seguras, la infraestructura sigue siendo vulnerable a la fuerza bruta, ataques de diccionario y errores de sus empleados. Para obtener una seguridad más completa, puede implementar certificados digitales con los que proteger sus recursos corporativos. Para utilizar certificados de esta manera, debe configurar primero una carga útil de credenciales con una entidad de certificación (CA), y luego configurar las cargas útiles de Wi-Fi y VPN Cada una de estas cargas tiene ajustes para asociar la entidad de certificación (CA) definida en la carga útil de credenciales.

El perfil de credenciales también le permite insertar certificados S/MIME en los dispositivos. Estos certificados se cargan en la cuenta de cada usuario y los controla el perfil de credenciales.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del usuario o Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione la carga útil de credenciales y configure los siguientes ajustes:

   Ajustes	Descripción
   Fuente de credenciales	Seleccione el origen de las credenciales bien como una Cargar, una Entidad de certificación definida o un Certificado de usuario. Las opciones de carga útil restantes dependen de la fuente. Si selecciona Cargar, debe cargar un certificado nuevo. Si selecciona Entidad de certificación definida, debe escoger una entidad de certificación y una plantilla predefinidas. Si selecciona Certificado de usuario, debe seleccionar cómo se utiliza el certificado de S/MIME.
   Cargar	Seleccione esta opción para navegar hasta el archivo de certificado de credenciales deseado y cargarlo en Workspace ONE UEM Console. Este ajuste se muestra cuando se selecciona Cargar como Fuente de credenciales.
   Entidad de certificación	Utilice el menú desplegable para seleccionar una entidad de certificación predefinida. Este ajuste se muestra cuando se selecciona Entidad definida de certificación como Fuente de credenciales.
   Plantilla de certificado	Utilice el menú desplegable para seleccionar una plantilla de certificado predefinida específica de la entidad de certificación seleccionada. Este ajuste se muestra cuando se selecciona Entidad definida de certificación como Fuente de credenciales.
   Ubicación de la clave	Seleccione la ubicación de la clave privada del certificado: TPM, si está: seleccione esta opción para almacenar la clave privada en un módulo de plataforma segura si está presente en el dispositivo; de lo contrario, debe almacenarla en el sistema operativo. TPM requerido: seleccione esta opción para almacenar la clave privada en un modo de plataforma segura. Si no hay un módulo de plataforma segura presente, el certificado no se instala y se muestra un error en el dispositivo. Software: seleccione esta opción para almacenar la clave privada en el sistema operativo del dispositivo. Passport: seleccione esta opción para guardar la clave privada en Microsoft Passport. Esta opción requiere la integración con Azure AD.
   Almacén de certificados	Seleccione el almacén de certificados adecuado para que la credencial resida en el dispositivo: Personal: seleccione esta opción para almacenar los certificados personales. Los certificados personales requieren Workspace ONE Intelligent Hub en el dispositivo o el uso de la carga útil de SCEP. Intermedio: seleccione esta opción para almacenar los certificados de entidades de certificación intermedias. Raíz de confianza: seleccione esta opción para almacenar los certificados de entidades de certificación de confianza y los certificados raíz de su organización y de Microsoft. Publicador de confianza: seleccione esta opción para almacenar los certificados de entidades de certificación de confianza en los que se confía según las políticas de restricción de software. Personas de confianza: seleccione esta opción para almacenar los certificados de personas de confianza o de entidades finales en las que se confía explícitamente. A menudo estos certificados son certificados autofirmados o certificados en los que se confía explícitamente en una aplicación, como Microsoft Outlook.
   Guardar la ubicación	Seleccione Usuario o Máquina para definir dónde está ubicado el certificado.
   S/MIME	Seleccione si el certificado S/MIME es para cifrado o firma. Esta opción solo se muestra si Origen de credenciales se ha establecido en Certificado de usuario.

6. Seleccione Guardar y publicar para insertar el perfil en los dispositivos.

Perfil de ajustes personalizados

La carga útil de ajustes personalizados es una forma de utilizar la funcionalidad del escritorio de Windows con la que Workspace ONE UEM no es compatible mediante sus cargas útiles nativas. Si desea utilizar las nuevas funciones, puede utilizar la carga útil Ajustes personalizados y el código XML para habilitar o deshabilitar manualmente ciertos ajustes.

Requisitos previos

Debe escribir su propio código SyncML para los perfiles de escritorio de Windows. Microsoft publica un sitio de referencia del proveedor de servicios de configuración que está disponible en su sitio web. Para crear SyncML personalizado, pruebe el fling de Policy Builder disponible a través del programa VMware Flings.

Código de ejemplo

  <Replace>
    <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
        </Meta>
        <Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_htcwkw4rx2gx4!App"}</Data>
      </Item>
  </Replace>

Procedimiento

1. Desplácese al programa VMware Flings.

2. Seleccione la directiva de proveedores de servicios de configuración que desea utilizar para crear su perfil personalizado.

3. Seleccione Configurar.

4. En la página Configurar, configure los ajustes de la directiva para que cumpla con las necesidades de su empresa.

5. Seleccione el verbo de comando que se utilizará con la política: Agregar, Suprimir, Eliminar, o Reemplazar.

6. Seleccione el botón Copiar.

7. En Workspace ONE UEM Console, desplácese a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

8. Seleccione Windows y luego Escritorio de Windows.

9. Seleccione Perfil del usuario o Perfil del dispositivo.

10. Configure los ajustes de la sección General del perfil.

11. Seleccione la carga útil Ajustes personalizados y después Configurar.

12. Seleccione un Destino para el perfil personalizado.

    En la mayoría de los casos de uso se utiliza OMA-DM como Destino. Utilice Workspace ONE Intelligent Hub cuando esté personalizando un perfil de BitLocker o si desea impedir que los usuarios deshabiliten el servicio de AirWatch.

13. Seleccione Hacer que los comandos sean atómicos siempre que su SyncML use los comandos Add, Delete o Replace. Si su código utiliza Exec, no seleccione Hacer que los comandos sean atómicos.

14. Pegue el XML que ha copiado en el cuadro de texto Ajustes de instalación. El código XML que pegue debe contener el bloque completo de código, de <Add> a </Add>, o cualquier comando que el código de SyncML utilice. No incluya nada antes o después de estas etiquetas.

15. Agregue el código de eliminación al cuadro de texto Suprimir ajustes. El código de eliminación debe contener <replace> </replace> o <delete> </delete>.
    
    Este código habilita la funcionalidad de Workspace ONE UEM como, por ejemplo, Eliminar perfil y Desactivar perfil. Sin el código de eliminación no puede eliminar el perfil de los dispositivos además de enviar un segundo perfil de ajustes personalizados. Para obtener más información, consulte https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference.

16. Seleccione Guardar y publicar.

Cómo evitar que los usuarios deshabiliten el servicio de Workspace ONE UEM

Utilice un perfil de ajustes personalizados para impedir que los usuarios finales inhabiliten el servicio de Workspace ONE UEM (AirWatch) en sus dispositivos Windows. Si se impide que los usuarios finales deshabiliten el servicio de Workspace ONE UEM, deberá asegurarse de que Workspace ONE Intelligent Hub ejecute comprobaciones regulares con Workspace ONE UEM Console y de que reciba las actualizaciones de políticas más recientes.

1. Cree un perfil de ajustes personalizados.

2. Establezca Destino en Protection Agent.

3. Copie el siguiente código y péguelo en el cuadro de texto Ajustes personalizados.

   
             <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">
               <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
                 <parm name="LockDownAwService" value="True"/> 
               </characteristic>
             </wap-provisioningdoc>
   
   

4. Seleccione Guardar y publicar. Si desea eliminar la restricción de los dispositivos de los usuarios finales, deberá insertar un perfil independiente con el siguiente código.

   
             <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile"> 
               <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
                 <parm name="LockDownAwService" value="False"/> 
               </characteristic> 
             </wap-provisioningdoc>
   
   

Perfil Dynamic Environment Manager (DEM)

VMware Dynamic Environment Manager (DEM) proporciona una experiencia de usuario consistente en todas las sesiones de usuario en dispositivos Windows. Entre las capacidades se incluyen personalizar los ajustes de Windows y de las aplicaciones y realizar acciones de usuario y equipo en determinados activadores o al iniciar la aplicación. Puede integrar Dynamic Environment Manager y Workspace ONE UEM para utilizar estas capacidades con el perfil de DEM.

El perfil de DEM en Workspace ONE UEM implementa un perfil de configuración de DEM creado en la consola de administración de VMware Dynamic Environment Manager (consola de administración de DEM). El perfil de configuración de DEM funciona en dispositivos Windows administrados con Workspace ONE UEM, ya sean dispositivos virtuales, físicos o basados en la nube. En el dispositivo, Workspace ONE Intelligent Hub para Windows y DEM FlexEngine extraen y aplican los perfiles.

Documentación de DEM

Consulte el sitio VMware Docs para obtener más información sobre VMware Dynamic Environment Manager.

CDN obligatoria

La CDN es obligatoria para esta función.

• Si tiene un entorno de SaaS y ha deshabilitado la CDN, debe habilitarla o de lo contrario la integración de DEM no estará disponible.
• Si tiene un entorno local y no utiliza o no ha configurado la CDN, la integración de DEM no estará disponible.

Consideraciones

• En DEM, utilice el modo UEM integrado para crear el perfil de configuración de DEM. Si no utiliza este modo, no puede crear perfiles de configuración de DEM. Workspace ONE UEM no admite la configuración de SMB en DEM en este momento.
• Compruebe que las configuraciones de Dynamic Environment Manager y Workspace ONE UEM no entren en conflicto. Por ejemplo, no restrinja determinadas configuraciones en una consola y permita que se realicen en otra.
• En Workspace ONE UEM, no asigne varios perfiles de DEM a un solo dispositivo. La asignación de varios perfiles de DEM a un solo dispositivo podría implementar configuraciones incorrectas.
• Extraiga e instale la consola de administración de DEM y DEM FlexEngine mediante el proceso de instalación personalizado y no mediante el proceso de instalación predeterminado. El proceso de instalación predeterminado instala solo la consola de administración de DEM.
• Use DEM v2106 o una versión posterior, ya que esta integración no es compatible con versiones anteriores.

Realice estas tareas antes de llevar a cabo la integración

Antes de poder integrar VMware Dynamic Environment Manager (DEM) y Workspace ONE UEM, debe instalar la consola de administración de DEM y debe implementar DEM FlexEngine en los dispositivos administrados.

• Descargue y extraiga la consola de administración de DEM y DEM FlexEngine.
  • Acceda al sitio de VMware Customer Connect para obtener VMware Dynamic Environment Manager.
  • Descargue las versiones correspondientes de la consola y del motor.
• Instale la consola de administración de DEM en un dispositivo en el que desee crear perfiles de configuración.
  • Cambie la consola de administración de DEM al modo UEM integrado seleccionando Configure | Integration | Workspace ONE UEM Integration.
• Al crear el perfil de configuración de DEM, complete las siguientes tareas tal como se describe en Instalar FlexEngine en modo NoAD.
  • Incluya un archivo NoAD.xml como parte de la configuración.
  • Para incluir un archivo de licencia, importe uno desde el icono de menú principal de la consola de administración de DEM.
  • Guarde el perfil de configuración de DEM para poder cargarlo en Workspace ONE UEM utilizando el perfil de DEM.
• Implemente DEM FlexEngine como una aplicación (MSI) en dispositivos Windows administrados con Workspace ONE UEM. Los dispositivos administrados necesitan DEM FlexEngine y Workspace ONE Intelligent Hub para que Windows aplique los perfiles de configuración de DEM en el dispositivo.
  1. En Workspace ONE UEM console, seleccione el grupo organizativo correspondiente.
  2. Desplácese a Recursos > Aplicaciones > Nativas > Internas.
  3. Cargue el archivo MSI de DEM FlexEngine.
  4. En la pestaña Opciones de implementación, habilite el modo UEM integrado en la línea de comandos durante la instalación.
     1. Acceda a la sección Cómo realizar la instalación.
     2. Introduzca el comando en el cuadro de texto Instalar comando.
        Ejemplo: msiexec.exe /i "VMware Dynamic Environment Manager Enterprise 2106 10.3 x64.msi" /qn INTEGRATION_ENABLED=1
  5. Guarde y asigne la aplicación para implementarla en los grupos inteligentes correspondientes que incluyan sus dispositivos Windows administrados.

Configuración de un perfil de DEM

Utilice perfiles de dispositivos de Workspace ONE UEM para implementar las configuraciones de Dynamic Environment Manager (DEM) en los dispositivos Windows administrados.

1. En Workspace ONE UEM, desplácese a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
2. Seleccione Windows y luego la plataforma de Escritorio de Windows.
3. Seleccione Perfil del dispositivo.
4. Configure los ajustes de la sección General del perfil. La carga útil General incluye la asignación de grupos inteligentes, así pues, asigne los grupos inteligentes que incluyan los dispositivos Windows administrados para recibir el perfil de configuración de DEM.
5. Seleccione la carga útil Dynamic Environment Manager (DEM).
6. Utilice la página de DEM para cargar el archivo de configuración de DEM y seleccione Guardar y publicar para completar las configuraciones.

Workspace ONE UEM implementa el perfil de configuración de DEM en los dispositivos administrados en los grupos inteligentes asignados. DEM FlexEngine y Workspace ONE Intelligent Hub para Windows en el dispositivo aplican los perfiles de configuración de DEM. Los cambios en el perfil solo están visibles después de cerrar sesión y de iniciar sesión en el dispositivo una vez que el sistema proporcione el perfil.

Aplicación de cambios en el perfil de configuración de DEM

El usuario del dispositivo debe cerrar sesión y volver a continuación a iniciarla en el dispositivo Windows administrado para poder ver los cambios en el perfil implementados por los perfiles de configuración de DEM.

Perfil de protección de datos

El perfil de protección de datos configura reglas para controlar cómo las aplicaciones empresariales acceden a datos de procedencia diversa desde su organización. Conozca cómo el uso del perfil de protección de datos garantiza que solo se pueda acceder a su información mediante aplicaciones seguras y aprobadas.

Al tener datos corporativos y personales en el mismo dispositivo, es posible que se revele información de forma accidental a través de servicios que se encuentran fuera del control de su organización. Con la carga útil de protección de datos, Workspace ONE UEM controla la forma en la que los datos empresariales se transfieren entre las aplicaciones para limitar su exposición y causar una mínima repercusión en los usuarios finales. Workspace ONE UEM utiliza la función Microsoft Windows Information Protection (WIP) para proteger sus dispositivos Windows.

El perfil de protección de datos funciona al otorgar confianza a las aplicaciones empresariales con el fin de concederles permiso de acceso a los datos empresariales desde las redes protegidas. Si los usuarios transfieren datos a aplicaciones que no son de la empresa, podrá tomar medidas basadas en las políticas de cumplimiento seleccionadas.

WIP divide los datos en dos categorías: datos personales no cifrados y datos corporativos que hay que proteger y cifrar. Las aplicaciones de confianza para la protección de datos se dividen en cuatro tipos diferentes. que determinan el modo en que la aplicación interactúa con los datos protegidos.

• Aplicaciones habilitadas: estas aplicaciones son totalmente compatibles con la funcionalidad WIP. Las aplicaciones habilitadas pueden acceder sin problemas a datos tanto personales como corporativos. Si los datos se crean con una aplicación habilitada, puede guardarlos como datos personales no cifrados o datos corporativos cifrados. Puede impedir que los usuarios guarden datos personales con aplicaciones habilitadas mediante el perfil de protección de datos.
• Permitidas: estas aplicaciones son compatibles con los datos cifrados con WIP. Las aplicaciones permitidas pueden acceder a datos tanto corporativos como personales, pero guardan como datos corporativos cifrados cualquier información a la que se acceda. Las aplicaciones permitidas guardan los datos personales como datos corporativos cifrados, a los que no se puede acceder desde aplicaciones no aprobadas por WIP. Se recomienda confiar progresivamente en las aplicaciones de una forma concienzuda e individualizada para evitar problemas con el acceso a los datos. Póngase en contacto con los proveedores de software para obtener información sobre la aprobación de WIP.
• Exentas: puede determinar qué aplicaciones están exentas de aplicar la política WIP al crear el perfil de protección de datos. Categorice como exenta cualquier aplicación que no admita datos con cifrado de WIP. Si una aplicación no admite el cifrado de WIP, se detiene al intentar acceder a datos corporativos cifrados. Las políticas WIP no se aplican a las aplicaciones exentas. Las aplicaciones exentas pueden acceder a datos personales no cifrados y a datos corporativos cifrados. Puesto que las aplicaciones de esta categoría pueden acceder a datos corporativos sin la implementación de políticas WIP, debe tener cuidado al depositar su confianza en estas aplicaciones exentas. Las aplicaciones exentas abren brechas en la protección de datos y filtran datos corporativos.
• No permitidas: estas aplicaciones no gozan de confianza ni están exentas de cumplir las políticas WIP, y no pueden acceder a datos corporativos cifrados. Las aplicaciones no permitidas pueden, aun así, acceder a datos personales en un dispositivo con protección WIP.

Importante: el perfil de protección de datos requiere Windows Information Protection (WIP). Esta función requiere la Actualización de aniversario de Windows. Es aconsejable probar este perfil antes de implementarlo en la producción.

Configuración de un perfil de protección de datos

Cree el perfil de protección de datos (vista previa) y use la característica Microsoft Windows Information Protection para establecer que los usuarios y las aplicaciones puedan acceder a los datos de su organización solamente en redes y aplicaciones aprobadas. Puede establecer controles detallados sobre la protección de datos.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego la plataforma de Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione la carga útil Protección de datos.

6. Configure los ajustes de Protección de datos empresariales:

   Ajustes	Descripción
   Agregar	Seleccione agregar aplicaciones empresariales a la lista permitida de la empresa. Se confía en las aplicaciones que se agregan aquí para utilizar los datos empresariales.
   Tipo de aplicación	Seleccione si la aplicación es una aplicación de escritorio tradicional o una aplicación de Microsoft Store. También puede seleccionar un editor de aplicaciones para aplicaciones de escritorio o de la tienda. Si selecciona un editor, deberá confiar en todas las aplicaciones de dicho editor.
   Nombre	Escriba el nombre de la aplicación. Si se trata de una aplicación de Microsoft Store, seleccione el icono de búsqueda para buscar el nombre de familia de paquete (PFN) de la aplicación.
   Identificador	Introduzca la ruta del archivo para una aplicación de escritorio o el nombre de familia de paquete para una aplicación de la tienda.
   Exenta	Seleccione la casilla de verificación si la aplicación no es compatible con la protección de datos completa pero es necesario que acceda a los datos empresariales. Si habilita esta opción, la aplicación queda exenta de cumplir las restricciones de protección de datos. Suelen ser aplicaciones heredadas que aún no se han actualizado para que admitan protección de datos. La creación de exenciones da lugar a brechas en la protección de datos. Cree exenciones solo si es necesario.
   Dominio primario	Introduzca el dominio primario que utilizan sus datos empresariales. Solo las aplicaciones empresariales pueden acceder a los datos de las redes protegidas. Intentar acceder a una red protegida desde una aplicación que no se encuentra en la lista permitida de la empresa generará una acción de política de conformidad. Use solo minúsculas para introducir los dominios.
   Nombres de dominio protegidos de la empresa	Introduzca una lista de los dominios (exceptuando su dominio principal) que usa la empresa para las identidades de sus usuarios. Separe los dominios con un carácter de barra vertical |. Use solo minúsculas para introducir los dominios.
   Intervalos de direcciones IP empresariales	Introduzca los intervalos de IP empresariales para definir los dispositivos Windows en la red empresarial. Los datos que proceden de dispositivos incluidos en el intervalo se consideran parte de la empresa y están protegidos. Estas ubicaciones se consideran un destino seguro para el uso compartido de datos empresariales.
   Nombres de dominios de la red empresarial	Introduzca una lista de los dominios que marcan los límites de la red empresarial. Los datos procedentes de un dominio de la lista que se envían a un dispositivo se consideran datos empresariales y están protegidos. Estas ubicaciones se consideran un destino seguro para el uso compartido de datos empresariales.
   Servidores proxy empresariales	Introduzca la lista de servidores proxy que puede usar la empresa para recursos corporativos.
   Recursos de Enterprise Cloud	Introduzca una lista de los dominios de recursos empresariales alojados en la nube que necesitan protección mediante el enrutamiento a través de la red empresarial con un servidor proxy (en el puerto 80). En el caso de que Windows no pueda determinar si permite que una aplicación se conecte a un recurso de la red, bloqueará la conexión automáticamente. Si desea que Windows permita las conexiones de forma predeterminada, agregue la cadena /*AppCompat*/ al ajuste. Por ejemplo: www.air-watch.com | /*AppCompat*/ Agregue la cadena /*AppCompat*/ solo una vez para cambiar el ajuste predeterminado.
   Nivel de protección de los datos de la aplicación	Establezca el nivel de protección y las acciones que se realizan para proteger los datos empresariales.
   Mostrar iconos de EDP	Habilite esta opción para mostrar un icono de EDP en el navegador web, explorador de archivos e iconos de la aplicación al acceder a datos protegidos. El icono también se muestra en ventanas de aplicaciones exclusivamente empresariales en el menú Inicio.
   Revocar al anular la inscripción	Habilite esta opción para revocar las claves de protección de datos de un dispositivo cuando se anule su inscripción en Workspace ONE UEM.
   Descifrado del usuario	Habilite esta opción para permitir que los usuarios seleccionen cómo se guardan los datos al usar una aplicación habilitada. Pueden seleccionar Guardar como corporativo o Guardar como personal. Si esta opción no está habilitada, todos los datos guardados al usar una aplicación habilitada se guardarán como datos corporativos y se cifrarán con cifrado corporativo.
   Acceso directo a la memoria	Habilite esta opción para permitir que los usuarios accedan directamente a la memoria del dispositivo.
   Certificado de recuperación de datos	Cargue el certificado del sistema de archivos de cifrado especial para utilizarlo con el fin de recuperar archivos, en caso de pérdida o daño de la clave de cifrado.

7. Seleccione Guardar y publicar para insertar el perfil en los dispositivos.

Creación de un certificado de sistema de cifrado de archivos

El perfil de protección de datos cifra los datos empresariales y permite el acceso solo a los dispositivos aprobados. Cree un certificado EFS para cifrar los datos de su empresa protegidos mediante un perfil de protección de datos.

1. En un ordenador sin certificado EFS, abra una línea de comandos (con derechos de administrador) y navegue hasta el almacén de certificados en el que quiere almacenar el certificado.

2. Ejecute el comando: cipher /r:<EFSRA>

   El valor de es el nombre de los archivos .cer y .pfx que quiere crear.

3. Cuando se le indique, introduzca la contraseña para proteger el nuevo archivo .pfx.

4. Los archivos .cer y .pfx se crean en el almacén de certificados que seleccionó.

5. Cargue el certificado .cer en los dispositivos como parte del perfil de protección de datos.

Perfil de protección contra vulnerabilidades de seguridad

Proteja sus dispositivos Windows frente a vulnerabilidades de seguridad y malware con el perfil de protección contra vulnerabilidades de seguridad de Windows Defender. Workspace ONE UEM usa estos ajustes para proteger los dispositivos contra vulnerabilidades de seguridad, reducir las superficies de ataque, controlar el acceso a carpetas y proteger las conexiones de red.

Protección contra vulnerabilidades de seguridad de Windows Defender

Diversas vulnerabilidades de seguridad y malware utilizan vulnerabilidades en sus dispositivos Windows para obtener acceso a su red y dispositivos. Workspace ONE UEM utiliza el perfil de protección contra vulnerabilidades de seguridad de Windows Defender para proteger los dispositivos de estos actores incorrectos. El perfil utiliza los ajustes de protección contra vulnerabilidades de seguridad de Windows Defender nativos de Windows. El perfil contiene cuatro métodos de protección diferentes. Estos métodos abarcan diferentes vulnerabilidades y vectores de ataque.

Protección contra vulnerabilidades

La protección contra vulnerabilidades aplica automáticamente mitigaciones de vulnerabilidades al sistema operativo y a las aplicaciones. Estas mitigaciones también funcionan con antivirus de terceros y el antivirus de Windows Defender. En el perfil de protección contra vulnerabilidades de seguridad de Windows Defender, configure estos ajustes cargando un archivo XML de configuración. Este archivo debe crearse con la aplicación de seguridad de Windows o PowerShell.

Reducción de la exposición de ataque

Las reglas de reducción de la exposición de ataques ayudan a evitar que las acciones típicas que usa el malware infecten los dispositivos. Estas reglas tienen como objetivo acciones como las siguientes:

• Archivos ejecutables y scripts utilizados en aplicaciones de Office o correo web que intentan descargar o ejecutar archivos
• Scripts confusos o sospechosos de otro tipo
• Acciones que las aplicaciones no suelen usar

Las reglas de reducción de la exposición de ataque requieren que se habilite la Protección en tiempo real de Windows Defender.

Acceso controlado a carpetas

El acceso controlado a carpetas ayuda a proteger datos valiosos frente a aplicaciones malintencionadas y amenazas, incluido el ransomware. Cuando se habilita, el antivirus de Windows Defender revisa todas las aplicaciones (.EXE, .SCR, .DLL, etc.). A continuación, Windows Defender determina si la aplicación es malintencionada o segura. Si la aplicación se marca como malintencionada o sospechosa, Windows evita que la aplicación cambie los archivos en carpetas protegidas.

Entre las carpetas protegidas se incluyen carpetas del sistema comunes. Puede agregar sus propias carpetas al acceso controlado a carpetas. La mayoría de las aplicaciones conocidas y de confianza pueden acceder a las carpetas protegidas. Si desea que una aplicación interna o desconocida acceda a carpetas protegidas, debe agregar la ruta de archivo de la aplicación al crear el perfil.

El acceso controlado a carpetas requiere que se habilite la Protección en tiempo real de Windows Defender.

Protección de red

La protección de red le ayuda a proteger a los usuarios y los datos de fraudes de phishing y sitios web malintencionados. Esta configuración evita que los usuarios utilicen cualquier aplicación para acceder a dominios peligrosos que puedan alojar ataques de phishing, vulnerabilidades de seguridad o malware.

La protección de red requiere que se habilite la Protección en tiempo real de Windows Defender.

Información adicional

Para obtener más información sobre protecciones frente a vulnerabilidades de seguridad específicas y la configuración de ajustes, consulte https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy.

Creación de un perfil de protección contra vulnerabilidades de seguridad

Cree un perfil de protección contra vulnerabilidades de seguridad de Defender a través de Workspace ONE UEM para proteger los dispositivos Windows frente a vulnerabilidades y malware. Conozca cómo usar el perfil para configurar los ajustes de protección contra vulnerabilidades de seguridad de Windows Defender en sus dispositivos Windows.

Al crear reglas y ajustes para Reducción de la exposición de ataque, Acceso controlado a carpetas y Protección de red, debe seleccionar Habilitado, Inhabilitado o Auditoría. Estas opciones cambian el funcionamiento de la regla o el ajuste.

• Habilitado: configura Windows Defender para que bloquee las vulnerabilidades de ese método. Por ejemplo, si habilita el Acceso controlado a carpetas, Windows Defender bloqueará el acceso de las vulnerabilidades a las carpetas protegidas.
• Inhabilitado: no se configura la política para Windows Defender.
• Auditoría: se configura Windows Defender para que bloquee las vulnerabilidades al igual que con la opción Habilitado, pero además, registra el evento en el visor de eventos.

Requisitos previos

Para utilizar los ajustes de protección contra vulnerabilidades en este perfil, debe crear un archivo XML de configuración con la aplicación de seguridad de Windows o PowerShell en un dispositivo individual antes de crear el perfil.

Procedimiento

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
   
2. Seleccione Windows y luego Escritorio de Windows.
3. Seleccione Perfil del dispositivo.
4. Configure los ajustes de la sección General del perfil.
5. Seleccione la carga de Protección contra vulnerabilidades de seguridad.
6. Cargue el archivo XML de configuración de Ajustes de protección contra vulnerabilidades.
   
   Estos ajustes aplican automáticamente las técnicas de mitigación de vulnerabilidad al sistema operativo y a las aplicaciones individuales. Debe crear el archivo XML mediante la aplicación de seguridad de Windows o PowerShell en un dispositivo individual.
7. Configure los ajustes de Reducción de la exposición de ataque. Estas reglas ayudan a evitar las acciones típicas que utiliza el malware para infectar dispositivos con código malintencionado. Seleccione Agregar para agregar reglas adicionales.
   
   La descripción de cada regla describe las aplicaciones o los tipos de archivos a los que se aplican las reglas. Las reglas de reducción de la exposición de ataque requieren que se habilite la Protección en tiempo real de Windows Defender.
8. Configure los ajustes de Acceso controlado a carpetas. Establezca Acceso controlado a carpetas en Habilitado para utilizar estos ajustes. Cuando se habilita, se protegen varias carpetas de forma predeterminada. Para ver la lista, coloque el cursor en el icono ?. Estas opciones protegen automáticamente sus datos contra malware y vulnerabilidades de seguridad. El acceso controlado a carpetas requiere que se habilite la Protección en tiempo real de Windows Defender.
   • Agregue las carpetas adicionales que desea proteger seleccionando Agregar nuevo e introduzca la ruta de archivo de las carpetas.
   • Agregue aplicaciones que puedan acceder a carpetas protegidas seleccionando Agregar nuevo e introduzca la ruta de archivo de las aplicaciones. La mayoría de las aplicaciones conocidas y de confianza pueden acceder a las carpetas de forma predeterminada. Utilice esta opción para agregar aplicaciones internas o desconocidas para acceder a las carpetas protegidas.
9. Configure los ajustes de Protección de red. Establezca Protección de red en Habilitado para utilizar estos ajustes. Estas opciones protegen a los usuarios y los datos de fraudes de phishing y sitios web malintencionados. La protección de red requiere que se habilite la Protección en tiempo real de Windows Defender.
10. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Perfil de cifrado

Proteja los datos de la organización almacenados en los dispositivos del escritorio de Windows mediante el perfil de cifrado. El perfil de cifrado establece la política de cifrado de BitLocker nativo en los dispositivos de escritorio de Windows para garantizar la protección de los datos.

El cifrado de BitLocker solo está disponible en dispositivos con las versiones Windows Enterprise, Education y Pro.

Dado que los portátiles y las tabletas son dispositivos móviles por definición, exponen los datos de la organización a pérdidas o robos. Al exigir una política de cifrado mediante Workspace ONE UEM, puede proteger los datos del disco duro. BitLocker es el cifrado de Windows nativo y Dell Data Protection | Encryption es una solución de cifrado de terceros de Dell. Con el perfil de cifrado habilitado, Workspace ONE Intelligent Hub verifica continuamente el estado de cifrado del dispositivo. Si Workspace ONE Intelligent Hub detecta que el dispositivo no está cifrado, lo cifra automáticamente.

Si decide cifrar con BitLocker, se almacenará una clave de recuperación creada durante el cifrado para cada unidad (si se ha configurado) en Workspace ONE UEM Console. El administrador tiene la opción de hacer que las claves de recuperación sean de un solo uso. Si se selecciona esta opción, después de utilizar la clave de recuperación se generará una nueva. A continuación, el usuario deberá ponerse en contacto con el administrador para obtener la nueva clave de recuperación actualizada. Consulte Claves de recuperación para obtener más información.

El perfil de cifrado requiere que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

Aviso: el perfil de cifrado no configura ni habilita Dell Data Protection | Encryption. El estado del cifrado se transmite a Workspace ONE UEM Console y al portal de autoservicio, aunque el cifrado debe configurarse manualmente en el dispositivo.

Advertencia: Windows no es compatible con dispositivos sin teclado en pantalla previo al arranque. Sin el teclado, no podrá introducir el código PIN de inicio necesario para desbloquear el disco duro e iniciar Windows en el dispositivo. Si se inserta este perfil en los dispositivos sin un teclado en pantalla previo al arranque, se detiene el dispositivo.

Funcionalidad de BitLocker

El perfil de cifrado utiliza la funcionalidad avanzada de BitLocker para controlar la autenticación e implementación del cifrado de BitLocker.

BitLocker utiliza el Módulo de plataforma de confianza (TPM) en los dispositivos para almacenar la clave de cifrado del dispositivo. Si se retira el disco duro de la placa base, la unidad no podrá descifrarse. Para una autenticación mejorada, puede habilitar un PIN de cifrado para arrancar el sistema. Asimismo, puede requerir una contraseña para los dispositivos en los casos en los que el TPM no está disponible.

Comportamiento de implementación

El cifrado de BitLocker nativo de Windows protege los datos almacenados en los dispositivos de escritorio de Windows. La implementación del perfil de cifrado puede requerir acciones adicionales del usuario final, como la creación de un PIN o de una contraseña.

Si el perfil de cifrado se inserta en un dispositivo cifrado y los ajustes actuales de cifrado coinciden con los del perfil, Workspace ONE Intelligent Hub agrega un protector de BitLocker y envía una clave de recuperación a Workspace ONE UEM Console.

Con esta función, si un usuario o un administrador intentan deshabilitar BitLocker en el dispositivo, el perfil de cifrado puede volver a cifrarlo. El cifrado tiene lugar aunque el dispositivo esté sin conexión.

Si el cifrado existente no coincide con la configuración de autenticación del perfil de cifrado, los protectores existentes se eliminan y se aplican nuevos protectores que coincidan con la configuración del perfil de cifrado.

Si el método de cifrado existente no coincide con el perfil de cifrado, Workspace ONE UEM no interviene en él ni lo sustituye. Esta funcionalidad también se aplica si agrega una versión del perfil de cifrado a un dispositivo administrado por un perfil de cifrado existente. El método de cifrado existente no cambia.

Aviso: Los cambios en el perfil de BIOS se aplican según los perfiles de cifrado. Los cambios en el perfil de BIOS, tales como la deshabilitación o el borrado del TPM, pueden provocar un evento de recuperación que requiera que la clave de recuperación reinicie el sistema. Suspenda BitLocker antes de realizar cambios en el BIOS.

Estados de cifrado

Si BitLocker está habilitado y se está utilizando, puede ver información acerca del estado de cifrado en las áreas mencionadas.

• Workspace ONE UEM Detalles del dispositivo
  • Los detalles del dispositivo muestran la información de la clave de recuperación. Use el vínculo Ver clave de recuperación para ver y copiar las claves de recuperación de todas las unidades cifradas.
  • Busque los distintos estados de BitLocker en la pestaña Resumen que incluye las opciones Cifrado, Cifrado en curso, Descifrado en curso, Suspendido y Parcialmente protegido.
    • El estado Suspendido (X reinicios restantes) refleja la suspensión de la protección del disco, aunque el disco aún esté cifrado. Es posible que vea este estado en el caso de que el sistema operativo se esté actualizando o en el caso de estar realizando cambios de nivel de sistema en el sistema. Una vez agotado el número de reinicios, la protección de BitLocker se vuelve a habilitar automáticamente.
    • El estado Parcialmente protegido refleja la situación en la que la unidad del SO está cifrada, pero el resto de unidades no.
  • En la pestaña Seguridad en Detalles del dispositivo, consulte el estado de cifrado y el método de cifrado de las unidades. Puede ver de un solo vistazo si una máquina no está utilizando el nivel de cifrado que estableció en el perfil de cifrado. Workspace ONE UEM solo muestra el método de cifrado. No descifra los discos, incluso si no coinciden con los ajustes del Método de cifrado en el perfil de cifrado.
• Portal de autoservicio de Workspace ONE UEM
  • La página Seguridad del portal de autoservicio muestra la clave de recuperación de BitLocker.
  • La protección de BitLocker se muestra como habilitada.

Claves de recuperación

Workspace ONE UEM realiza la custodia de las claves de recuperación para Unidad de SO y todas las unidades de disco duro fijas si esta opción está habilitada para Volumen cifrado en el perfil Cifrado. En el caso de que sea necesario recuperar una unidad, la clave de recuperación está disponible para cada unidad individual.

El administrador tiene la opción de hacer que las claves de recuperación sean de un solo uso. Para ello, seleccione Habilitar clave de recuperación de un solo uso en los ajustes de Perfil de cifrado. Consulte Configuración de un perfil de cifrado para obtener más información. Si se habilita esta opción, una vez que se utiliza una clave de recuperación para recuperar una unidad, Intelligent Hub genera una nueva clave de recuperación y se custodia de nuevo en UEM Console.

Durante un breve período de tiempo, hasta que la nueva clave de recuperación se reenvía correctamente a UEM Console, tanto la clave de recuperación personal anterior (antigua) como la clave de recuperación personal (nueva) estarán disponibles para su uso. Cuando la nueva clave de recuperación se custodia correctamente, la clave de recuperación anterior se elimina y ya no se podrá utilizar para recuperar la unidad.

Para fines de solución de problemas, puede ver quién recuperó una unidad extraíble con una clave específica, cuándo se produjo la recuperación y qué administrador prestó asistencia durante el proceso. En Workspace ONE UEM Console, vaya a Dispositivos > Vista de detalles > Más: Solución de problemas > Registro de eventos para ver los detalles.

Comportamiento de eliminación

Si el perfil se elimina de Workspace ONE UEM Console, Workspace ONE UEM deja de exigir el cifrado y el dispositivo se descifra automáticamente. La eliminación empresarial o la desinstalación manual del Workspace ONE Intelligent Hub desde el Panel de control deshabilita el cifrado de BitLocker.

Cuando cree el perfil de cifrado, puede elegir habilitar la opción Mantener el sistema cifrado en todo momento. Esta opción garantiza que el dispositivo siga estando cifrado aunque se elimine el perfil, se borre totalmente el dispositivo o se interrumpa la comunicación con Workspace ONE UEM.

Si el usuario final decide anular la inscripción durante el proceso de cifrado de BitLocker, el proceso de cifrado continúa a menos que se desactive manualmente desde el Panel de control.

BitLocker y las políticas de conformidad

Puede configurar las políticas de conformidad para que admitan el estado de cifrado de BitLocker que desea aplicar. En la sección Reglas de una política de conformidad, seleccione Cifrado > Es y realice su selección entre las opciones No se aplica a la unidad de sistema, No se aplica a algunas unidades (parcialmente protegido) o Suspendido.

Compatibilidad con BitLocker To Go

Con el perfil de cifrado, puede requerir el cifrado de unidades extraíbles para sus dispositivos con Windows mediante el uso de BitLocker To Go. Seleccione la casilla de verificación Habilitar compatibilidad con BitLocker To Go para activar esta función. Las unidades extraíbles son de solo lectura hasta que se cifran. Al seleccionar una opción en el menú desplegable Método de cifrado, puede elegir el método que desea utilizar para cifrar el dispositivo.

Workspace ONE Intelligent Hub para Windows solicita a los usuarios que creen una contraseña para acceder a las unidades y utilizarlas. El administrador de la consola puede establecer la longitud mínima de esa contraseña en Ajustes de BitLocker To Go. Cuando los usuarios conecten la unidad cifrada en el dispositivo Windows, utilizarán su contraseña para acceder a la unidad, copiar contenido en la unidad, editar archivos, eliminar contenido o cualquier otra tarea realizada con unidades extraíbles. El administrador también puede seleccionar si desea cifrar solo el espacio utilizado en la unidad o toda la unidad.

¿Dónde encontrar la información de la clave de recuperación?

Si los usuarios pierden sus contraseñas, puede recuperar las unidades de Console en Dispositivos > Periféricos > Vista de lista > Almacenamiento extraíble. Use el vínculo Ver para que la unidad copie la clave de recuperación y envíela por correo electrónico al usuario correspondiente. También puede acceder a esta página desde la cuenta del usuario en Cuentas > Usuarios > Vista de lista, seleccionar el usuario y elegir la pestaña Almacenamiento extraíble.

Para implementaciones con miles de ID de recuperación, puede filtrar el contenido en la página Almacenamiento extraíble. Hay varias maneras de filtrar contenido.

• Pida al usuario el identificador de clave y, a continuación, seleccione el identificador de filtro en la columna ID de recuperación e introduzca el valor. El ID de recuperación con ese ID de clave se muestra en los resultados.
  

• Seleccione el elemento de filtro en la columna Nombre de usuario e introduzca el nombre de usuario correspondiente para buscar la unidad y su clave de recuperación.

Para fines de auditoría, puede ver quién recuperó una unidad extraíble con una clave específica, cuándo se produjo la recuperación y qué administrador ha ayudado en el proceso. En Workspace ONE UEM Console, vaya a Dispositivos > Periféricos > Vista de lista > Eventos para encontrar los detalles.

Puede buscar información de la clave por usuario. En Workspace ONE UEM Console, vaya a Cuentas > Usuarios > Vista de lista y seleccione el usuario. El registro del usuario tiene la pestaña Almacenamiento extraíble si se ha cifrado al menos una unidad.

Ponga en suspensión BitLocker desde Console

Ahora puede suspender y reanudar el cifrado de BitLocker desde Console. Este elemento de menú se agrega como una acción en los registros de dispositivos. Búsquelo en Dispositivos > Vista de lista, seleccione el dispositivo y seleccione el menú Más acciones. Esta opción es útil para los usuarios que no tienen permisos para administrar BitLocker pero que necesitan ayuda con su dispositivo.

Si selecciona la opción Suspender BitLocker para un dispositivo, Console muestra varias opciones y una de ellas es para el Número de reinicios. Por ejemplo, para ayudar a un usuario a actualizar su BIOS, puede que el sistema se reinicie dos veces, por lo que debe seleccionar 3. Este valor proporciona al sistema un reinicio adicional con cifrado suspendido para garantizar que el BIOS se actualice correctamente antes de reanudar BitLocker.

Sin embargo, si no sabe cuántos reinicios requiere una tarea, seleccione un valor mayor. Puede utilizar la opción Más acciones > Reanudar BitLocker una vez que haya completado la tarea.

Configuración de un perfil de cifrado

Cree un perfil de cifrado para proteger los datos almacenados en dispositivos de escritorio Windows mediante el cifrado de BitLocker nativo y BitLocker To Go.

1. Desplácese a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
2. Seleccione Windows y luego Escritorio de Windows.
3. Seleccione Perfil del dispositivo.
4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de cifrado y configure los ajustes.

   Ajustes	Descripción
   Volumen cifrado	Utilice el menú desplegable para seleccionar el tipo de cifrado como se muestra a continuación: Unidad de SO y todas las unidades de disco duro fijas: cifra todos los discos duros del dispositivo, incluida la partición del sistema en la que está instalado el sistema operativo. Unidad de SO: cifra la unidad en la que está instalado Windows y desde la cual arranca.
   Método de cifrado	Seleccione el método de cifrado del dispositivo.
   Método de cifrado predeterminado del sistema	Seleccione esta casilla de verificación si su OEM especifica un método de cifrado predeterminado para un determinado tipo de dispositivo. Este ajuste aplica el algoritmo de cifrado predeterminado.
   Solo cifrar el espacio utilizado durante el cifrado inicial	Habilitar para restringir el cifrado de BitLocker solo al espacio utilizado en el controlador en el momento del cifrado.
   URL personalizada para la clave de recuperación	Introduzca la dirección URL que mostrar en la pantalla bloqueada que redirige a los usuarios para que obtengan la clave de recuperación. Es aconsejable introducir la dirección URL del portal de autoservicio, ya que Workspace ONE UEM aloja la clave de recuperación ahí.
   Forzar cifrado	Habilite esta opción para forzar el cifrado del dispositivo. Esta aplicación hace que el dispositivo se cifre de nuevo inmediatamente en caso de que BitLocker se deshabilite de forma manual. Se recomienda que deshabilite esta opción para evitar errores durante las actualizaciones o las eliminaciones empresariales.
   Mantener el sistema cifrado en todo momento	Habilite esta opción para mantener el dispositivo cifrado en todo momento. Utilice esta opción para asegurarse de que la eliminación total del dispositivo, las eliminaciones de perfiles o la comunicación interrumpida con Workspace ONE UEM no provoca el descifrado del dispositivo. Si habilita este ajuste y elimina totalmente el dispositivo, solo podrá acceder a la recuperación desde Workspace ONE UEM Console durante 30 días. Pasados 30 días, es posible que el sistema no se pueda recuperar.
   Habilitar compatibilidad con BitLocker To Go	Habilite esta opción para requerir que BitLocker cifre unidades extraíbles en dispositivos Windows. Cuando se seleccionan, las unidades extraíbles son de solo lectura hasta que se cifran. El administrador puede configurar el método de cifrado, la longitud mínima de la contraseña y si desea cifrar solo el espacio utilizado o todo durante el cifrado inicial. Los usuarios deben crear una contraseña para acceder a las unidades. Si los usuarios olvidan sus contraseñas, busque los ID y claves de recuperación para estas unidades cifradas en Console, en Dispositivos > Periféricos > Vista de lista > Almacenamiento extraíble.
   Ajustes de autenticación de BitLocker: Modo de autenticación	Seleccione el método para autenticar el acceso a un dispositivo con cifrado de BitLocker. TPM: utiliza el módulo de plataforma de confianza de dispositivos. Requiere un TPM en el dispositivo. Contraseña: utiliza una contraseña para la autenticación.
   Ajustes de autenticación de BitLocker: Requerir PIN al iniciar	Seleccione la casilla de verificación para exigir a los usuarios que introduzcan un PIN para arrancar el dispositivo. Esta opción evita el arranque del SO y la reanudación automática desde los modos de suspensión o hibernación hasta que el usuario introduzca el PIN correcto.
   Ajustes de autenticación de BitLocker: Longitud del PIN	Seleccione este ajuste para configurar una longitud específica para el PIN al iniciar. Este PIN es numérico a menos que se configure de otro modo con Permitir PIN mejorado al iniciar.
   Ajustes de autenticación de BitLocker: Permitir PIN mejorado al iniciar	Seleccione esta casilla de verificación para permitir que los usuarios establezcan los PIN con otros valores que no sean números. Los usuarios pueden configurar letras mayúsculas y minúsculas, utilizar símbolos, números y espacios. Si la máquina no admite PIN mejorados en un entorno de prearranque, este ajuste no funcionará.
   Ajustes de autenticación de BitLocker: Utilizar contraseña si el TPM no está presente	Seleccione esta casilla de verificación para utilizar una contraseña como solución alternativa al cifrado del dispositivo si el TPM no está disponible. Si este ajuste no está habilitado, cualquier dispositivo sin un TPM no puede cifrar.
   Ajustes de autenticación de BitLocker: Suspender BitLocker hasta que se inicialice el TPM	Seleccione esta opción para posponer el cifrado en el dispositivo hasta que se inicialice el TPM en el equipo. Utilice esta opción para las inscripciones que requieren cifrado antes de que el TPM se inicialice, como OOBE.
   Ajustes de autenticación de BitLocker: Longitud mínima de la contraseña	Seleccione el número mínimo de caracteres que debe contener una contraseña. Aparece si la opción Modo de autenticación está establecida como Contraseña o si la opción Utilizar contraseña si TPM no está disponible está habilitada.

| Ajustes de claves de recuperación de BitLocker: Habilitar clave de recuperación de un solo uso | Seleccione esta casilla de verificación para que las claves de recuperación sean de un solo uso. Cuando se use una clave de recuperación, se generará otra nueva. El usuario debe ponerse en contacto con el administrador para obtener la clave de recuperación actualizada.|

| Ajustes de claves de recuperación estáticas de BitLocker: Crear clave de recuperación estática de BitLocker | Seleccione esta casilla de verificación si se habilita una clave de recuperación estática. | | Ajustes de clave de recuperación estática de BitLocker: Contraseña de recuperación de BitLocker | Seleccione el icono Generar para generar una nueva clave de recuperación. | | Ajustes de clave de recuperación estática de BitLocker: Periodo de rotación | Introduzca el número de días hasta que rote la clave de recuperación. | | Ajustes de clave de recuperación estática de BitLocker: Periodo de gracia | Introduzca el número de días tras la rotación que la clave de recuperación anterior seguirá funcionando. | | Suspensión de BitLocker: Habilitar suspensión de BitLocker | Seleccione esta casilla de verificación para habilitar la suspensión de BitLocker. Esta funcionalidad suspende el cifrado de BitLocker durante un período de tiempo específico.

Utilice esta función para suspender BitLocker cuando haya actualizaciones programadas, de modo que los dispositivos puedan reiniciarse sin exigir a los usuarios finales que introduzcan el PIN o la contraseña de cifrado. | | Suspensión de BitLocker: Tipo de suspensión de BitLocker | Seleccione el tipo de suspensión.

Horario: seleccione la introducción del momento específico en el que BitLocker debe suspenderse. A continuación, defina la repetición del horario como diaria o semanal.
Personalizado: seleccione la introducción del día y la hora de inicio y fin de la suspensión de BitLocker. | | Suspensión de BitLocker: Hora de inicio de la suspensión de BitLocker | Introduzca la hora a la que se iniciará la suspensión de BitLocker. | | Suspensión de BitLocker: Hora de finalización de la suspensión de BitLocker | Introduzca la hora a la que finalizará la suspensión de BitLocker. | | Suspensión de BitLocker: Tipo de repetición programada | Establezca si la suspensión programada se repite diaria o semanalmente. Si selecciona “Semanal”, indique los días de la semana en los que debe repetirse la programación. |

1. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Perfil de Exchange ActiveSync

Los perfiles de Exchange ActiveSync le permiten configurar los dispositivos de escritorio de Windows para que accedan a su servidor de Exchange ActiveSync y utilicen el correo electrónico y el calendario.

Utilice certificados firmados por una autoridad de certificado de terceros de confianza (CA). Cualquier error en sus certificados hace que las conexiones seguras se vuelvan vulnerables a posibles ataques de tipo “Man in the middle” (ataques de intermediarios). Ese tipo de ataques afectan negativamente la confidencialidad y la integridad de los datos que se transmiten entre los componentes del producto, y también les dan la oportunidad a los intrusos de interceptar o alterar los datos mientras están en tránsito.

El perfil de Exchange ActiveSync es compatible con el cliente de correo nativo para escritorio de Windows. La configuración varía según el cliente de correo que utilice.

Eliminación de perfiles o eliminación empresarial

Si se elimina el perfil con un comando de eliminación de perfil, una política de conformidad o una eliminación empresarial, se eliminan todos los datos de correo electrónico, tales como:

• La información de la cuenta de usuario/inicio de sesión.
• Datos de los mensajes de correo electrónico
• Información de los contactos y el calendario.
• Adjuntos guardados en el almacenamiento interno de la aplicación.

Nombre de usuario y contraseña

Si tiene nombres de usuarios de correo electrónico que difieren de las direcciones de correo de los usuarios, puede utilizar el cuadro de texto {EmailUserName}, que corresponde a los nombres de usuarios de correo electrónico que se importaron durante el proceso de integración del servicio de directorio. Incluso aunque los nombres de usuario coincidan con las direcciones de correo electrónico, use el cuadro de texto {EmailUserName}, ya que este utiliza las direcciones de correo importadas a través de la integración del servicio de directorio.

Cree un perfil de Exchange ActiveSync para ofrecer a los dispositivos con escritorio de Windows acceso a su servidor de Exchange ActiveSync para usar el correo electrónico y el calendario.

Configuración de perfil de Exchange ActiveSync

Cree un perfil de Exchange ActiveSync para ofrecer a los dispositivos con escritorio de Windows acceso a su servidor de Exchange ActiveSync para usar el correo electrónico y el calendario.

Aviso: Workspace ONE UEM no admite Outlook 2016 en perfiles de Exchange ActiveSync. La configuración del perfil de Servicios Web Exchange (EWS) para la aplicación Outlook en un dispositivo de escritorio de Windows a través de Workspace ONE UEM ya no es compatible con la versión 2016 de Microsoft Exchange.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
   

2. Seleccione Windows y luego la plataforma de Escritorio de Windows.

3. Seleccione Perfil de usuario.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione la carga útil de Exchange ActiveSync.

6. Configure los ajustes de Exchange ActiveSync:

   Ajustes	Descripción
   Cliente de correo	Seleccione el cliente de correo que configura el perfil de EAS. Workspace ONE UEM es compatible con el cliente de correo nativo.
   Nombre de la cuenta	Introduzca el nombre para la cuenta de Exchange ActiveSync.
   Host de Exchange ActiveSync	Introduzca la dirección URL o la dirección IP del servidor que hospeda el servidor EAS.
   Utilizar SSL	Habilite esta opción para enviar todas las comunicaciones a través de la capa de sockets seguros (SSL).
   Dominio	Introduzca el dominio de correo electrónico. El perfil es compatible con los valores de búsqueda para agregar la información de inscripción e inicio de sesión del usuario.
   Nombre de usuario	Introduzca el nombre de usuario del correo electrónico.
   Dirección de correo electrónico	Introduzca la dirección de correo electrónico. Este es un campo requerido.
   Contraseña	Introduzca la contraseña de correo electrónico.
   Certificado de identidad	Seleccione el certificado de la carga útil de EAS.
   El próximo intervalo de sincronización (min)	Seleccione la frecuencia, en minutos, con la que el dispositivo se sincroniza con el servidor de EAS.
   Número de días trascurridos de correo para sincronizar	Seleccione cuántos días de correos electrónicos anteriores se sincronizan con el dispositivo.
   Registro de diagnósticos	Habilite esta opción para registrar la información con fines de solución de problemas.
   Exigir la protección de datos cuando el dispositivo esté bloqueado	Habilite esta opción para exigir que los datos estén protegidos cuando el dispositivo esté bloqueado.
   Permitir la sincronización del correo electrónico	Habilite esta opción para permitir la sincronización de los mensajes de correo electrónico.
   Permitir la sincronización de los contactos	Habilite esta opción para permitir la sincronización de los contactos.
   Permitir la sincronización del calendario	Habilite esta opción para permitir la sincronización de los eventos del calendario.

7. Seleccione Guardar para mantener el perfil en Workspace ONE UEM Console o Guardar y publicar para insertarlo en los dispositivos.

Perfil de servicios web de Exchange

Cree un perfil de Servicios web de Exchange para permitir que el usuario final acceda a las infraestructuras de correo electrónico corporativo y a las cuentas de Microsoft Outlook desde el dispositivo.

Importante: Durante la configuración inicial, el dispositivo debe disponer de acceso a la instancia interna de Exchange Server.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil de usuario.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil Servicios web de Exchange y configure los ajustes:

   Ajustes	Descripción
   Dominio	Introduzca el nombre del dominio al que pertenece el usuario final.
   Servidor de correo electrónico	Introduzca el nombre del servidor de Exchange.
   Dirección de correo electrónico	Introduzca la dirección de la cuenta de correo electrónico.

6. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

   Al eliminar un perfil de Servicios web de Exchange, se eliminarán todas las cuentas de Outlook del dispositivo.

Perfil de firewall

Cree un perfil de firewall para configurar los ajustes de firewall del escritorio de Windows nativos. Este perfil utiliza una funcionalidad más avanzada que el perfil de firewall (heredado).

Workspace ONE UEM confía automáticamente en el agente OMA-DM para garantizar que Workspace ONE UEM Console pueda comunicarse siempre con los dispositivos.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione la carga útil de Firewall.

6. Configure los ajustes en Global.

   Ajustes	Descripción
   FTP con estado	Establezca el modo en el que el firewall controla el tráfico FTP. Si selecciona Habilitar, el firewall realiza el seguimiento de todo el tráfico de FTP. Si selecciona Inhabilitar, el firewall no inspecciona el tráfico FTP.
   Tiempo de inactividad de la asociación de seguridad	Seleccione Configurado y establezca el tiempo máximo (en segundos) que el dispositivo espera antes de eliminar las asociaciones de seguridad inactivas. Las asociaciones de seguridad son un acuerdo entre dos elementos del mismo nivel o endpoints. Estos acuerdos contienen toda la información necesaria para intercambiar datos de forma segura.
   Codificación de clave previamente compartida	Seleccione el tipo de codificación utilizado para la clave previamente compartida.
   Exenciones de IPsec	Seleccione las exenciones de IPSec que se utilizarán.
   Verificación de la lista de revocación de certificados	Seleccione cómo aplicar la verificación de la lista de revocación de certificados.
   Conjunto de autenticación de coincidencia de oportunidades por KM	Seleccione cómo los módulos de claves ignoran los conjuntos de autenticación. Al habilitar esta opción, se obliga a los módulos clave a omitir solo los conjuntos de autenticación que no admiten. Al deshabilitar esta opción, se fuerza a los módulos clave a omitir todo el conjunto de autenticación si no admiten todos los conjuntos de autenticación del conjunto.
   Habilitar cola de paquetes	Seleccione el modo en el que la cola de paquetes funciona en el dispositivo. Este ajuste permite garantizar una escalabilidad adecuada.

7. Configure el comportamiento del firewall cuando esté conectado a redes de dominio, privadas y públicas.

   Ajustes	Descripción
   Firewall	Seleccione Habilitar para aplicar la configuración de las directivas en el tráfico de red. Si este ajuste está deshabilitado, el dispositivo permite todo el tráfico de red, independientemente de otras configuraciones de directivas.
   Acción saliente	Seleccione la acción predeterminada que realiza el firewall en las conexiones salientes. Si establece esta opción en Bloquear, el firewall bloquea todo el tráfico saliente, a menos que se especifique explícitamente de otro modo.
   Acción entrante	Seleccione la acción predeterminada que realiza el firewall en las conexiones entrantes. Si establece esta opción en Bloquear, el firewall bloquea todo el tráfico entrante, a menos que se especifique explícitamente de otro modo.
   Unidifusión de respuestas para multidifusión o difusión de tráfico de red	Establezca el comportamiento de las respuestas al tráfico de red de multidifusión o difusión. Si deshabilita esta opción, el firewall bloquea todas las respuestas al tráfico de red de multidifusión o difusión.
   Notificar al usuario cuando el firewall de Windows bloquee una aplicación nueva	Establezca el comportamiento de notificación del firewall. Si selecciona Habilitar, el firewall puede enviar notificaciones al usuario cuando bloquea una nueva aplicación. Si selecciona Inhabilitar, el firewall no enviará notificaciones.
   Modo invisible	Para ajustar el dispositivo en modo invisible, seleccione Habilitar. El modo invisible ayuda a evitar que malhechores obtengan información sobre los servicios y los dispositivos de red. Cuando se habilita, el modo invisible bloquea los mensajes salientes ICMP de destino inalcanzable y los mensajes de restablecimiento de TCP de los puertos sin que una aplicación escuche activamente en ese puerto.
   Permitir el tráfico de la red IPSec en modo invisible	Establezca el modo en el que el firewall gestiona el tráfico no solicitado protegido por IPSec. Si selecciona Habilitar, el firewall permite el tráfico de red no solicitado protegido por IPSec. Esta opción solo es aplicable si se habilita el modo invisible.
   Reglas de firewall local	Establezca el modo en el que el firewall interactúa con las reglas de firewall locales. Si selecciona Habilitar, el firewall sigue las reglas locales. Si selecciona Deshabilitar, el firewall ignora las reglas locales y no las aplica.
   Reglas de conexión local	Establezca el modo en el que el firewall interactúa con las reglas de seguridad de conexión locales. Si selecciona Habilitar, el firewall sigue las reglas locales. Si selecciona Deshabilitar, el firewall ignora las reglas locales y no las aplica, independientemente de las versiones de esquema y seguridad de conexión.
   Reglas de firewall de puertos globales	Establezca el modo en el que el firewall interactúa con las reglas de firewall de puertos globales. Si selecciona Habilitar, el firewall sigue las reglas de firewall de puertos globales. Si selecciona Inhabilitar, el firewall ignora las reglas y no las aplica.
   Normas de aplicación autorizadas	Establezca el modo en el que el firewall interactúa con las reglas de aplicación autorizadas locales. Si selecciona Habilitar, el firewall sigue las reglas locales. Si selecciona Deshabilitar, el firewall ignora las reglas locales y no las aplica.

8. Para configurar reglas de firewall propias, seleccione Agregar regla de firewall. Después de agregar una regla, configure las opciones según sea necesario. Puede agregar tantas reglas como desee.

9. Al terminar, seleccione Guardar y publicar para insertar el perfil en los dispositivos.

Perfil de firewall (heredado)

El perfil de firewall (heredado) para los dispositivos de escritorio de Windows le permite configurar los ajustes del firewall de Windows para los dispositivos. Considere la posibilidad de usar el nuevo perfil de firewall para escritorio de Windows, ya que el nuevo perfil utiliza nuevas funciones de Windows.

Importante: El perfil de firewall requiere que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione la carga útil de Firewall (heredado).

6. Habilite Utilizar los ajustes recomendados para Windows para usar la configuración recomendada de Windows y deshabilite el resto de opciones disponibles en este perfil. Los ajustes cambiarán automáticamente a los ajustes recomendados, pero no podrá cambiarlos.

7. Configure los ajustes de Red privada:

   Ajustes	Descripción
   Firewall	Habilite esta opción para utilizar el firewall cuando el dispositivo esté conectado a conexiones de red privada.
   Bloquear todas las conexiones entrantes, incluso aquellas en la lista de aplicaciones permitidas	Habilite esta opción para bloquear todas las conexiones entrantes. Esta opción permite conexiones salientes.
   Notificar al usuario cuando el firewall de Windows bloquee una aplicación nueva	Habilite esta opción para permitir que las notificaciones muestren cuándo el firewall de Windows bloquea una aplicación nueva.

8. Configure los ajustes de Red pública:

   Ajustes	Descripción
   Firewall	Habilite esta opción para utilizar el firewall cuando el dispositivo esté conectado a conexiones de red privada.
   Bloquear todas las conexiones entrantes, incluso aquellas en la lista de aplicaciones permitidas	Habilite esta opción para bloquear todas las conexiones entrantes. Esta opción permite conexiones salientes.
   Notificar al usuario cuando el firewall de Windows bloquee una aplicación nueva	Habilite esta opción para permitir que las notificaciones muestren cuándo el firewall de Windows bloquea una aplicación nueva.

9. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Perfil de quiosco

Configure un perfil de quiosco para convertir el dispositivo de escritorio de Windows en uno de quiosco con varias aplicaciones. Este perfil permite configurar las aplicaciones que se muestran en el menú de inicio del dispositivo.

Puede cargar su propio código XML personalizado para configurar el perfil de quiosco o crear su propio quiosco como parte del perfil. Este perfil no es compatible con cuentas de dominio o grupos de dominio. El usuario es una cuenta de usuario integrada creada por Windows.

• Aplicaciones compatibles
  • Aplicaciones .EXE
    • Para los archivos MSI y ZIP necesita agregar la ruta de acceso del archivo.
  • Aplicaciones integradas
    • Las aplicaciones integradas seleccionadas se agregarán automáticamente al diseñador. Entre estas aplicaciones se incluyen:
    • Noticias
    • Microsoft Edge
    • Tiempo
    • Reloj y alarmas
    • Notas rápidas
    • Mapas
    • Calculadora y fotos.

Procedimiento

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil. Debe agregar una asignación antes de configurar el perfil de quiosco.

5. Seleccione el perfil de quiosco.

6. Si ya tiene un código XML personalizado, seleccione Cargar XML de quiosco y complete los ajustes en Configuración de XML con acceso asignado. Seleccione Cargar y agregue la configuración de XML con acceso asignado. También puede pegar el código XML en el cuadro de texto. Para obtener más información, consulte la página https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp.

7. Si no tiene ningún XML personalizado, seleccione Crear su quiosco y configure el diseño de la aplicación.
   
   Este diseño corresponde al menú de inicio del dispositivo en una cuadrícula. Las aplicaciones que se muestran en la parte izquierda son las aplicaciones asignadas al grupo de asignación que seleccionó. Algunas aplicaciones tienen un icono de rueda dentada con un punto rojo en la esquina superior derecha. Este icono muestra las aplicaciones que necesitan una configuración adicional cuando se agregan al diseño del quiosco. Una vez configurados los ajustes, desaparece el punto rojo, pero el icono permanece. Puede seleccionar el icono de la flecha para cambiar el tamaño de las aplicaciones. En cuanto a las aplicaciones de escritorio clásicas, solo puede elegir entre pequeño o mediano.
   
   En el caso de las aplicaciones que requieren aplicaciones de soporte adicionales, el perfil de quiosco admite la incorporación de estas aplicaciones de soporte mediante la opción configuración adicional. Por ejemplo, VMware Horizon Client requiere que se ejecuten hasta cuatro aplicaciones de soporte en modo de quiosco. Agregue estas aplicaciones de soporte adicionales al configurar la aplicación de quiosco principal agregando las Rutas ejecutables de la aplicación.

8. Arrastre todas las aplicaciones que desee agregar al menú de inicio al centro. Puede crear hasta cuatro grupos de aplicaciones. Estos grupos combinan sus aplicaciones en secciones del menú de inicio.

9. Una vez que haya agregado todas las aplicaciones y los grupos que desee, seleccione Guardar.

10. En la pantalla de perfil de quiosco, seleccione Guardar y publicar.

Resultados

El perfil no se instalará en el dispositivo hasta que se instalen todas las aplicaciones que este incluye. Una vez que el dispositivo recibe el perfil, se reiniciará y se ejecutará en el modo de quiosco. Si elimina el perfil del dispositivo, este inhabilitará el modo quiosco, se reiniciará y borrará el usuario de quiosco.

Perfil de actualizaciones de OEM

Configure los ajustes de actualización de OEM para determinados dispositivos para empresas de Dell con el perfil de actualizaciones de OEM. Este perfil requiere integración con Dell Command | Update.

El soporte para los ajustes del perfil de actualizaciones de OEM varía según el dispositivo de Dell. Workspace ONE UEM solo inserta los ajustes que un dispositivo admite. Puede ver todas las actualizaciones de OEM implementadas en los dispositivos de escritorio de Windows en la página Actualizaciones de dispositivos, que se encuentra en la pestaña Recursos > Actualizaciones de dispositivos > Actualizaciones de OEM.

Aviso: El perfil de actualizaciones de OEM es compatible con Dell Command | Actualice a las versiones 3.x en adelante. La versión actual de Dell Command | Update se prueba con cada versión de Console.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione la carga útil de Actualizaciones de OEM y configure los siguientes ajustes.

   • Buscar actualizaciones: seleccione el intervalo utilizado para comprobar si hay actualizaciones.
   • Día de la semana: seleccione el día de la semana para comprobar si hay actualizaciones. Solo se muestra si Buscar actualizaciones está establecido en Semanal.
   • Día del mes: seleccione el día del mes en el que desea buscar actualizaciones. Solo se muestra si Buscar actualizaciones está establecido en Mensual.
   • Hora: seleccione la hora del día para comprobar si hay actualizaciones.
   • Comportamiento de la actualización: seleccione las acciones que se realizarán cuando se busquen actualizaciones.
     • Seleccione Examinar Notificar para buscar actualizaciones y avisar al usuario de que hay actualizaciones disponibles.
     • Seleccione Examinar Descargar Notificar para buscar actualizaciones, descargar las que haya disponibles y avisar al usuario de que hay actualizaciones por instalar.
     • Seleccione Examinar Notificar Aplicar Reiniciar para buscar actualizaciones, descargar las que haya disponibles, instalarlas y reiniciar el dispositivo.
   • Retraso de reinicio: seleccione el tiempo que el dispositivo va a demorar el reinicio después de descargar las actualizaciones.
   • Actualizaciones urgentes: seleccione Habilitar para aplicar las actualizaciones urgentes en el dispositivo.
   • Actualizaciones recomendadas: seleccione Habilitar para aplicar las actualizaciones recomendadas en el dispositivo.
   • Actualizaciones opcionales: seleccione Habilitar para aplicar las actualizaciones opcionales en el dispositivo.
   • Controladores de hardware: seleccione Habilitar para aplicar las actualizaciones de controladores de hardware proporcionadas por el OEM en el dispositivo.
   • Software de la aplicación: seleccione Habilitar para aplicar las actualizaciones de software de la aplicación proporcionadas por el OEM en el dispositivo.
   • Actualizaciones del BIOS: seleccione Habilitar para aplicar las actualizaciones del BIOS proporcionadas por el OEM en el dispositivo. Si el perfil de BIOS administra las contraseñas de BIOS, no tendrá que deshabilitar la contraseña.
   • Actualizaciones del firmware: seleccione Habilitar para aplicar las actualizaciones de firmware proporcionadas por el OEM en el dispositivo.
   • Software de utilidad: seleccione Habilitar para aplicar las actualizaciones de software de utilidad proporcionadas por el OEM en el dispositivo.
   • Otros: seleccione Habilitar para aplicar otras actualizaciones proporcionadas por el OEM en el dispositivo.
   • Audio: seleccione Habilitar para aplicar las actualizaciones de dispositivo de audio proporcionadas por el OEM en el dispositivo.
   • Conjunto de chips: seleccione Habilitar para aplicar las actualizaciones de dispositivo de conjunto de chips proporcionadas por el OEM en el dispositivo.
   • Entrada: seleccione Habilitar para aplicar las actualizaciones de dispositivo de entrada proporcionadas por el OEM en el dispositivo.
   • Redes: seleccione Habilitar para aplicar las actualizaciones de dispositivos de red proporcionadas por el OEM en el dispositivo.
   • Almacenamiento: seleccione Habilitar para aplicar las actualizaciones de dispositivos de almacenamiento proporcionadas por el OEM en el dispositivo.
   • Vídeo: seleccione Habilitar para aplicar las actualizaciones de dispositivo de vídeo proporcionadas por el OEM en el dispositivo.
   • Otros: seleccione Habilitar para aplicar otras actualizaciones de dispositivo proporcionadas por el OEM en el dispositivo.

6. Seleccione Guardar y publicar.

Perfil de contraseña

Utilice un perfil de contraseña para proteger los dispositivos Windows mediante la solicitud de una contraseña cada vez que regresen de un estado inactivo. Conozca cómo un perfil de contraseña con Workspace ONE UEM garantiza que todos los datos corporativos confidenciales de los dispositivos administrados se mantengan protegidos.

Las contraseñas establecidas con este perfil solo surten efecto si la contraseña es más estricta que las contraseñas existentes. Por ejemplo, si la contraseña de la cuenta de Microsoft existente requiere unos ajustes más estrictos que los requeridos por la carga útil de contraseña, el dispositivo sigue utilizando la contraseña de la cuenta de Microsoft.

Importante: La carga útil de contraseña no se aplica a los dispositivos unidos al dominio.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de Contraseña.

6. Configure los ajustes de Contraseña:

   Ajustes	Descripción
   Complejidad de contraseña	Ajuste esta opción en Simple o Complejo para elegir el nivel de dificultad de la contraseña que prefiera.
   Requerir valores alfanuméricos	Habilite esta opción para exigir que la contraseña sea alfanumérica.
   Longitud mínima de la contraseña	Introduzca la cantidad mínima de caracteres que debe contener una contraseña.
   Vigencia máxima de la contraseña (días)	Introduzca la cantidad máxima de días que pueden pasar hasta que el usuario tenga que cambiar la contraseña.
   Vigencia mínima de la contraseña (días)	Introduzca la cantidad mínima de días que pueden pasar hasta que el usuario tenga que cambiar la contraseña.
   Tiempo de espera de bloqueo del dispositivo (minutos)	Introduzca la cantidad de minutos que pasarán hasta que el dispositivo se bloquee automáticamente y requiera reintroducir la contraseña.
   Número máximo de intentos fallidos	Introduzca la cantidad máxima de intentos que el usuario final puede introducir antes de reiniciar el dispositivo.
   Historial de contraseña (repeticiones)	Introduzca la cantidad de veces que se recuerda la contraseña. Si el usuario final reutiliza una contraseña el número de veces registrado, no podrá volver a utilizar dicha contraseña. Por ejemplo, si introduce 12 en este campo, el usuario final no podrá reutilizar las 12 contraseñas anteriores.
   Caducar contraseña	Habilite esta opción para que la contraseña existente en el dispositivo caduque y exigir la creación de una contraseña nueva. Requiere que Workspace ONE Intelligent Hub esté instalado en el dispositivo.
   Caducidad de la contraseña (días)	Configure el número de días que una contraseña es válida antes de que caduque.
   Cifrado reversible para el almacenamiento de contraseña	Habilite esta opción para configurar el sistema operativo de forma que almacene las contraseñas utilizando el cifrado reversible. Almacenar las contraseñas utilizando el cifrado reversible es, básicamente, lo mismo que almacenar versiones de las contraseñas en texto sin formato. Por este motivo, esta política no debe habilitarse nunca a menos que los requisitos de la aplicación sean superiores a la necesidad de proteger la información de la contraseña.
   Utilizar agente de protección para dispositivos Windows	Habilite el uso de Workspace ONE Intelligent Hub para realizar ajustes de perfil de código de acceso en lugar de la funcionalidad de DM nativa. Habilite esta configuración si experimenta problemas utilizando la funcionalidad de DM nativa.

7. Seleccione Guardar y Publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Perfil de distribución punto a punto

La distribución punto a punto con Workspace ONE utiliza la función nativa BranchCache de Windows que está incorporada en el sistema operativo Windows. Esta función proporciona una alternativa de tecnología de punto a punto.

Configure la distribución punto a punto en los dispositivos Windows con el perfil Escritorio de Windows para distribución punto a punto. La distribución punto a punto es compatible con los modos Distribuido, Hospedado y Local de BranchCache, junto con sus opciones de configuración, como el porcentaje de espacio de disco y la vigencia máxima de la memoria caché. También puede ver las estadísticas de BranchCache de una aplicación en el panel de detalles de distribución punto a punto en Aplicaciones y libros > Nativo > Vista de lista > Detalles de las aplicaciones.

La distribución punto a punto con Workspace ONE le permite implementar aplicaciones de Windows en redes empresariales. Este perfil utiliza la funcionalidad nativa BranchCache de Windows que está incorporada en el sistema operativo Windows.

Configuración de un perfil de distribución punto a punto

La distribución punto a punto con Workspace ONE le permite implementar aplicaciones de Windows en redes empresariales. Este perfil utiliza la funcionalidad nativa BranchCache de Windows que está integrada en el sistema operativo Windows.

Antes de poder utilizar el perfil de distribución punto a punto para la distribución punto a punto, debe cumplir con los requisitos de Workspace ONE para la distribución punto a punto.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
   

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil Peer Distribution y seleccione Configurar.

   Debe configurar el almacenamiento de archivos para poder crear un perfil de distribución punto a punto. Para obtener más información, consulte Requisitos de Workspace ONE Peer Distribution.

6. Seleccione el modo Workspace ONE Peer Distribution que desea utilizar.

   Ajustes	Descripción
   Distribuido	Seleccione esta opción para que sus dispositivos descarguen aplicaciones desde elementos del mismo nivel en una subred local.
   Hospedado	Seleccione esta opción para que sus dispositivos descarguen aplicaciones desde un servidor de memoria caché hospedado.
   Local	Seleccione esta opción para que sus dispositivos descarguen aplicaciones únicamente del almacenamiento en caché del dispositivo local.
   Inhabilitado	Seleccione esta opción para deshabilitar la distribución punto a punto.

7. Configure los ajustes de Caché:

   Ajustes	Descripción
   Vigencia máxima de la memoria caché (días)	Introduzca el número máximo de días que los elementos de distribución punto a punto deben permanecer en la memoria caché antes de que el dispositivo purgue los elementos.
   Porcentaje de espacio de disco utilizado para BranchCache	Introduzca la cantidad de espacio de disco local que el dispositivo debe permitir que use la distribución punto a punto.

8. Si establece el modo de distribución como Hospedado, configure los ajustes de Servidores de memoria caché hospedados. Debe agregar al menos un servidor de caché hospedado en el que los dispositivos descarguen y carguen contenido.

9. Seleccione Guardar y publicar.

Perfil de personalización

Configure un perfil de personalización para los dispositivos de escritorio de Windows si desea configurar los ajustes de personalización de Windows. Estas opciones incluyen la configuración del fondo de escritorio y del menú Inicio.

Todas las opciones de este perfil son opcionales. Considere solo la posibilidad de configurar los ajustes que necesite para responder a sus requisitos de personalización.

Con este perfil no se crea un dispositivo de quiosco de varias aplicaciones como el perfil de quiosco.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de Personalización.

6. Configure los ajustes de Imágenes:

   Ajustes	Descripción
   Imagen de escritorio	Seleccione Cargar para agregar una imagen y utilizarla como fondo del escritorio.
   Imagen de la pantalla de bloqueo	Seleccione Cargar para agregar una imagen y utilizarla como fondo de la pantalla de bloqueo.

7. Cargar un XML de diseño de inicio. Este archivo XML anula el diseño de menú de inicio predeterminado y evita que los usuarios lo cambien. Puede configurar el diseño de los mosaicos, el número de grupos y las aplicaciones de cada grupo. Debe crear este XML usted mismo. Para obtener más información sobre cómo crear un XML de diseño inicial, consulte https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout.

8. Configure los ajustes de Políticas del menú Inicio. Esta configuración le permite controlar los accesos directos permitidos en el menú Inicio. También puede seleccionar Ocultar o Mostrar con determinadas opciones como Apagar o Lista de aplicaciones.

9. Seleccione Guardar y publicar.

Perfil de proxy

Cree un perfil de proxy con objeto de configurar un servidor proxy para los dispositivos de escritorio de Windows. Estos ajustes no se aplican a las conexiones VPN.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de proxy y configure los ajustes:

   Ajustes	Descripción
   Detectar ajustes automáticamente	Habilite esta función para que el sistema intente encontrar automáticamente la ruta a un script de configuración automática del proxy (PAC).
   Usar script de configuración	Habilite esta opción para introducir la ruta del archivo al script de PAC.
   Dirección de script	Introduzca la ruta del archivo al script de PAC. Esta opción se muestra cuando se habilita Usar script de configuración.
   Usar servidor proxy	Habilite esta opción para utilizar un servidor proxy estático para las conexiones Ethernet y Wi-Fi. Este servidor proxy se utiliza para todos los protocolos. Estos ajustes no se aplican a las conexiones VPN.
   Dirección del servidor proxy	Introduzca la dirección del servidor proxy. La dirección debe tener el siguiente formato: <server>[“:”<port>].
   Excepciones	Introduzca las direcciones que no deben utilizar el servidor proxy. El sistema no utilizará el servidor proxy para estas direcciones. Separe las entradas con un punto y coma (;).
   Usar proxy para direcciones locales (intranet)	Habilite esta opción para utilizar el servidor proxy para las direcciones locales (intranet).

6. Seleccione Guardar y publicar.

Perfil de restricciones

Utilice el perfil de restricciones para deshabilitar el acceso de usuarios finales a las funciones del dispositivo y garantizar así que los dispositivos Windows no sean manipulados. Conozca cómo controlar los ajustes y las opciones que los usuarios finales pueden utilizar o cambiar con el perfil de restricciones de Workspace ONE UEM.

La versión y la edición de Windows que utilice determinan las restricciones que se aplican al dispositivo.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles y seleccione Agregar.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de Restricciones.

6. Configure los ajustes de Administración:

   Ajustes	Descripción
   Permitir la anulación de inscripción manual de MDM	Permita al usuario final que anule la inscripción de Workspace ONE UEM de forma manual mediante la inscripción de Workplace/Work Access. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   El Hub de configuración instalará los paquetes de aprovisionamiento durante la ejecución	Habilite esta opción para permitir el uso de paquetes de aprovisionamiento para inscribir dispositivos en Workspace ONE UEM (aprovisionamiento en masa). Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Ubicación	Seleccione la forma en qué los servicios de ubicación se ejecutan en el dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Motor en tiempo de ejecución del agente de configuración para eliminar los paquetes de aprovisionamiento	Habilite esta opción para permitir la eliminación de los paquetes de aprovisionamiento. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Enviar datos de telemetría de diagnóstico y de uso	Seleccione el nivel de datos de telemetría que desea enviar a Microsoft. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Exigir una cuenta de Microsoft para MDM	Habilite esta opción para exigir una cuenta de Microsoft para que los dispositivos reciban las políticas o las aplicaciones.
   Requerir una cuenta de Microsoft para aplicaciones modernas	Habilite esta opción para exigir una cuenta de Microsoft para que los dispositivos descarguen e instalen aplicaciones de Windows.
   Los paquetes de aprovisionamiento deben tener un certificado firmado por una entidad de confianza del dispositivo	Habilite esta opción para exigir un certificado de confianza para todos los paquetes de aprovisionamiento (aprovisionamiento en masa). Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Permitir que el usuario cambie los ajustes de la reproducción automática	Permite al usuario cambiar el programa que se va a usar para reproducir automáticamente los tipos de archivos. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Permite que el usuario cambie los ajustes de Data Sense	Permite al usuario cambiar los ajustes de Data Sense para restringir el uso de datos en el dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Fecha / hora	Permite al usuario cambiar los ajustes de Fecha/Hora. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Idioma	Permite al usuario cambiar los ajustes de idioma. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Permitir que el usuario cambie los ajustes de inicio y suspensión	Permite al usuario cambiar los ajustes de inicio y suspensión. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Región	Permite al usuario cambiar la región. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Permitir que el usuario cambie las opciones de inicio de sesión	Permite al usuario cambiar las opciones de inicio de sesión. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   VPN	Permite al usuario cambiar los ajustes de la VPN. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Permite al usuario cambiar los ajustes de Workplace	Permite al usuario cambiar los ajustes de Workplace y el funcionamiento de MDM en el dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Permite al usuario cambiar los ajustes de cuenta	Permite al usuario cambiar los ajustes de idioma. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Bluetooth	Permite utilizar la conexión Bluetooth en el dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Publicidad del Bluetooth del dispositivo	Permite que el dispositivo difunda avisos de Bluetooth. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Dispositivos con capacidad de Bluetooth pueden descubrir el dispositivo	Permite que otros dispositivos con Bluetooth detecten el dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Cámara	Permite el acceso a la función de cámara del dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Cortana	Permite el acceso a la aplicación Cortana. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Experiencia del usuario de la detección del dispositivo en la pantalla de bloqueo	Permite que la experiencia de usuario de detección de dispositivos en la pantalla de bloqueo detecte proyectores y otras pantallas. Si está habilitado, los accesos directos Win+P y Win+K no funcionan. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Registros de IME	Permite al usuario activar y desactivar el registro de conversiones incorrectas y guardar el resultado de ajuste automático en un archivo y la entrada predictiva basada en historial. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Acceso IME a la red	Habilite esta opción para permitir al usuario activar el diccionario extendido abierto para integrar las búsquedas de Internet con el fin de proporcionar sugerencias de entrada que no existen en el diccionario local de los dispositivos. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   SmartScreen	Habilite esta opción para permitir al usuario final utilizar la función Microsoft SmartScreen, que es un método de seguridad que requiere que el usuario final dibuje formas sobre una imagen para desbloquear el dispositivo. Esta opción también permite al usuario final utilizar PIN como contraseña. Aviso: Después de deshabilitar esta función, no podrá volver a habilitarla mediante MDM en Workspace ONE UEM. Para habilitarla de nuevo, deberá realizar un restablecimiento de fábrica del dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Buscar para utilizar la información de ubicación	Permite que la opción de búsqueda utilice la información de la ubicación del dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Tarjeta de almacenamiento	Habilite esta opción para permitir el uso de una tarjeta SD y de los puertos USB del dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Ajustes de sincronización de Windows	Permite al usuario sincronizar los ajustes de Windows entre dispositivos. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Sugerencias de Windows	Permite mostrar sugerencias de Windows en el dispositivo para ayudar al usuario. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Ajustes del control de la cuenta del usuario	Seleccione el nivel de notificación enviado a los usuarios finales cuando un cambio en el sistema operativo requiere permisos de administración de un dispositivo.
   Permitir aplicaciones de confianza que no sean de Microsoft Store	Permite descargar e instalar aplicaciones que no son de confianza para Microsoft Store.
   Actualizaciones automáticas de la tienda de aplicaciones	Habilite esta opción para permitir que las aplicaciones descargadas desde Microsoft Store se actualicen automáticamente cuando existan versiones nuevas. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Permitir desbloqueo de desarrollador	Permite el uso del ajuste de desbloqueo de desarrollador para la carga de prueba de las aplicaciones en los dispositivos. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Permitir DVR y difusión de juegos	Habilite esta opción para permitir la grabación y difusión de juegos en el dispositivo. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Permitir los datos compartidos entre varios usuarios que utilicen la misma aplicación	Permite compartir datos entre múltiples usuarios de una aplicación. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Restringir los datos de la aplicación al volumen del sistema	Restringe los datos de la aplicación al mismo volumen que el sistema operativo, en lugar de volúmenes secundarios o soportes extraíbles. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Restringir la instalación de aplicaciones a la unidad del sistema	Restringe la instalación de las aplicaciones a la unidad del sistema, en lugar de a unidades secundarias o medios extraíbles. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Conexión automática a las zonas Wi-Fi	Habilite esta opción para permitir que el dispositivo se conecte automáticamente a las zonas Wi-Fi utilizando la funcionalidad de detección de Wi-Fi. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Datos celulares en roaming	Permite el uso de datos celulares cuando se está en roaming. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Uso compartido de Internet	Habilite esta opción para permitir el uso compartido de Internet entre dispositivos. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Uso de datos en roaming	Habilite esta opción para permitir a los usuarios finales transmitir y recibir los datos en roaming. Esta restricción se aplica a todos los dispositivos Windows.
   Conexión VPN en la red celular	Permite utilizar VPN en conexiones de datos celulares. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Roaming de la conexión VPN en la red celular	Permite utilizar una VPN durante conexiones de datos celulares en roaming. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Relleno automático	Permite el uso de la opción de relleno automático para completar información sobre el usuario. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Cookies	Permite el uso de cookies Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   No monitorear	Permite el uso de solicitudes de "No monitorear". Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Administrador de contraseñas	Permite el uso de un administrador de contraseñas. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Ventanas emergentes	Permite el uso de ventanas de emergentes del navegador Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Buscar sugerencias en la barra de dirección	Permite que las sugerencias de búsqueda aparezcan en la barra de dirección Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   SmartScreen	Permite el uso del filtro de sitios maliciosos y de contenido SmartScreen. Esta restricción no es compatible con los dispositivos con Windows Home Edition.
   Enviar el tráfico intranet a Internet Explorer	Permite el tráfico de intranet para utilizar Internet Explorer. Esta restricción se aplica a todos los dispositivos Windows.
   Dirección URL de lista del sitio web empresarial	Introduzca la dirección URL para una lista del sitio web empresarial. Esta restricción se aplica a todos los dispositivos Windows.

7. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Perfil de SCEP

Los perfiles de Protocolo de inscripción de certificados simple (SCEP) le permiten instalar certificados de manera silenciosa en los dispositivos sin que el usuario final tenga que intervenir.

Aun con contraseñas y otras restricciones seguras, la infraestructura sigue siendo vulnerable a la fuerza bruta, ataques de diccionario y errores de sus empleados. Para obtener una seguridad más completa, puede implementar certificados digitales con los que proteger sus recursos corporativos. Para usar SCEP con el fin de instalar estos certificados en los dispositivos de manera silenciosa, primero debe definir una entidad de certificación (CA) y luego configurar una carga útil de SCEP, junto con su carga útil de EAS, Wi-Fi o VPN. Cada una de estas cargas útiles tiene ajustes para asociar la CA definida en la carga útil de SCEP.

Para insertar certificados en los dispositivos, configure una carga útil de SCEP como parte de los perfiles que configuró para los ajustes de EAS, Wi-Fi y VPN.

Configuración de un perfil de SCEP

Un perfil de SCEP instala silenciosamente certificados en dispositivos para utilizarlos con la autenticación de los dispositivos.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
   

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del usuario o Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de SCEP.

6. Configure los ajustes de SCEP:

   Ajustes	Descripción
   Fuente de credenciales	Este menú desplegable se configura siempre para definir la autoridad de certificación.
   Entidad de certificación	Seleccione la autoridad de certificación que desea usar.
   Plantilla de certificado	Seleccione la plantilla disponible para el certificado.
   Ubicación de la clave	Seleccione la ubicación de la clave privada del certificado: TPM, si está: seleccione esta opción para almacenar la clave privada en un módulo de plataforma segura si está presente en el dispositivo; de lo contrario, debe almacenarla en el sistema operativo. TPM requerido: seleccione esta opción para almacenar la clave privada en un modo de plataforma segura. Si no hay un módulo de plataforma segura presente, el certificado no se instala y se muestra un error en el dispositivo. Software: seleccione esta opción para almacenar la clave privada en el sistema operativo del dispositivo. Passport: seleccione esta opción para guardar la clave privada en Microsoft Passport. Esta opción requiere la integración con Azure AD.
   Nombre del contenedor	Especifique el nombre de contenedor de Passport for Work (ahora denominado "Windows Hello para empresas"). Esta opción se muestra cuando se establece Ubicación de la clave en Passport.

7. Configure el perfil de Wi-Fi, VPN o EAS.

8. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Perfil de modo de aplicación única

El perfil de modo de aplicación única le permite limitar el acceso al dispositivo a una única aplicación. Con el modo de aplicación única, el dispositivo permanece bloqueado en una sola aplicación hasta que la carga útil se elimina. La política se habilitará después de reiniciar el dispositivo.

El modo de aplicación única tiene restricciones y limitaciones específicas.

• Solo aplicaciones modernas o universales de Windows. El modo de aplicación única no admite aplicaciones .msi o .exe heredadas.
• Los usuarios deben ser solo usuarios estándar locales. No puede ser un usuario de dominio, usuario administrador, cuenta de Microsoft o invitado. El usuario estándar debe ser un usuario local. No se admiten cuentas de dominio.

Procedimiento

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
2. Seleccione Windows y luego Escritorio de Windows.
3. Seleccione Perfil de usuario.
4. Configure los ajustes de la sección General del perfil.
5. Seleccione el perfil de modo de aplicación única.
6. Configure los ajustes del Modo de aplicación única para el Nombre de la aplicación e introduzca el nombre descriptivo de la aplicación. En el caso de las aplicaciones de Windows, el nombre descriptivo es el Nombre del paquete o el ID del paquete. bDebe ejecutar un comando de PowerShell para obtener el nombre descriptivo de la aplicación instalada en el dispositivo. El comando "Get-AppxPackage" devuelve el nombre distintivo de la aplicación como "nombre".
7. Después de configurar un perfil de modo de aplicación única, debe establecer el modo de aplicación única en el dispositivo.
   • Después de recibir el perfil del modo de aplicación única en el dispositivo, reinicie este último para comenzar.
   • Cuando se reinicie, se le pedirá que inicie sesión en el dispositivo con la cuenta del usuario estándar.

Al iniciar sesión, la política empieza a aplicarse y ya puede usarse el modo de aplicación única. Si debe salir del modo de aplicación única, presione la tecla Windows 5 veces rápidamente para abrir la pantalla de inicio y así conectarse a un usuario distinto.

Perfil de VPN

Workspace ONE UEM es compatible con la configuración de los ajustes de VPN del dispositivo para que sus usuarios finales puedan acceder de forma remota y segura a la red interna de la organización. Conozca cómo el perfil VPN proporciona un control detallado sobre los ajustes de la VPN, incluidos los ajustes específicos del proveedor de la VPN y el acceso a la VPN por aplicación.

Importante: Antes de habilitar el Bloqueo de VPN, compruebe que la configuración de la VPN para el perfil de VPN funcione. Si la configuración de la VPN no es correcta, existe la posibilidad de que no pueda eliminar el perfil de VPN del dispositivo, porque no exista conexión a Internet.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del usuario o Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de VPN.

6. Configure los ajustes de Información de la conexión.

   • Nombre de conexión: introduzca el nombre de la conexión VPN.
   • Tipo de conexión: seleccione el tipo de conexión VPN:
   • Servidor: introduzca la dirección IP o el nombre de host del servidor VPN.
   • Puerto: introduzca el puerto que utiliza el servidor VPN.
   • Ajustes de conexión avanzados: habilítelos para configurar las reglas de enrutamiento avanzadas para la conexión a la VPN del dispositivo.
   • Direcciones de enrutamiento: seleccione Agregar para introducir las direcciones IP y el tamaño del prefijo de la subred del servidor VPN. Puede agregar más direcciones de enrutamiento según proceda.
   • Reglas de enrutamiento DNS: seleccione "Agregar" para introducir el Nombre de dominio que gobierna el uso de la VPN. Introduzca los servidores DNS y los servidores de proxy web que desea usar para cada dominio específico.
   • Política de enrutamiento: elija Exigir que todo el tráfico pase por VPN o Permitir el acceso directo a los recursos externos.
     • Exigir que todo el tráfico pase por VPN (forzar túnel): En esta regla de tráfico, todo el tráfico de IP debe pasar exclusivamente a través de la interfaz de VPN.
     • Permitir el acceso directo a los recursos externos (dividir túnel): En esta regla de tráfico, solo el tráfico destinado a la interfaz de VPN (según determine la pila de red) pasa a través de la interfaz. El tráfico de Internet puede seguir pasando a través de otras interfaces.
   • Proxy: seleccione Detección automática para detectar los servidores proxy que utiliza la VPN. Seleccione Manual para configurar el servidor proxy.
   • Servidor: introduzca la dirección IP del servidor proxy. Aparece cuando Proxy se configura como Manual.
   • URL de configuración del servidor proxy: introduzca la dirección URL para los ajustes de configuración del servidor proxy. Aparece cuando Proxy se configura como Manual.
   • Desviar del proxy al local: habilite esta opción para omitir el servidor proxy cuando el dispositivo que lo detecte esté en la red local.
   • Protocolo: seleccione el protocolo de autenticación para la VPN:
     • EAP: permite diversos métodos de autenticación.
     • Certificado de máquina: detecta un certificado de cliente en el almacén de certificados de dispositivos con vistas a su uso para la autenticación.
   • Tipo de EAP|Seleccione el tipo de autenticación de EAP:
     • EAP-TLS – Autenticación mediante tarjeta inteligente o certificado de cliente.
     • EAP-MSCHAPv2 – Nombre de usuario y contraseña
     • EAP-TTLS
     • PEAP
     • Configuración personalizada – Permite todas las configuraciones de EAP. Solo se muestra si el Protocolo está ajustado a EAP.
   • Tipo de credencial: seleccione Utilizar certificado para utilizar un certificado de cliente. Seleccione Utilizar tarjeta inteligente con el fin de utilizar una tarjeta inteligente para autenticarse. Aparece cuando Tipo de EAP se ajusta en EAP-TLS.
   • Selección de certificado simple: habilite esta opción para simplificar la lista de certificados desde la que elige el usuario. Los certificados se muestran según el certificado que se emitió hace menos tiempo para cada entidad. Aparece cuando Tipo de EAP se ajusta en EAP-TLS.
   • Utilizar las credenciales de inicio de sesión de Windows: habilite esta opción para utilizar las mismas credenciales que el dispositivo Windows. Aparece cuando Tipo de EAP está ajustado en EAP-MSCHAPv2.
   • Privacidad de identidad: introduzca el valor que desea enviar a los servidores antes de que el cliente autentique la identidad del servidor. Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.
   • Método de autenticación interna: seleccione el método de autenticación para la autenticación de la identidad interna. Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.
   • Habilitar reconexión rápida: habilite esta opción para reducir el periodo de tiempo entre una solicitud de autenticación emitida por un cliente y la respuesta procedente del servidor. Aparece cuando Tipo de EAP está ajustado en PEAP.
   • Habilitar la privacidad de identidad: habilite esta opción para proteger la identidad del usuario hasta que el cliente se autentique con el servidor.
   • Reglas de VPN por aplicación: seleccione Agregar para agregar reglas de tráfico para aplicaciones heredadas y modernas específicas.
   • ID de aplicación: seleccione primero si la aplicación es una aplicación de la tienda o una aplicación de escritorio. A continuación, introduzca la ruta del archivo de la aplicación para las aplicaciones de escritorio. También puede introducir el nombre de la familia del paquete para que las aplicaciones de la tienda especifiquen la aplicación a la que se aplican las reglas de tráfico.
     • Ejemplo de la ruta del archivo: %ProgramFiles%/ Internet Explorer/iexplore.exe
     • Ejemplo del nombre de familia de paquete: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4 La consulta de nombre de familia de paquete le permite buscar el nombre de familia de paquete al seleccionar el icono Buscar. Aparece una ventana que le permite seleccionar la aplicación que desea gobernar con las reglas de VPN por aplicación. A continuación, el PFN se rellena automáticamente.
   • VPN a pedido: habilite esta opción para que la conexión VPN se conecte automáticamente al abrir la aplicación.
   • Política de enrutamiento: seleccione la política de enrutamiento de la aplicación.
     • Permitir el acceso directo a los recursos externos permite el tráfico VPN y el tráfico a través de la conexión de red local.
     • Exigir que todo el tráfico pase por VPN obliga a que todo el tráfico pase a través de la VPN.
   • Reglas de enrutamiento DNS: habilite esta opción para agregar reglas de enrutamiento de DNS para el tráfico de la aplicación. Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas de enrutamiento. Solo podrá enviarse a través de la VPN el tráfico de la aplicación especificada que coincida con las reglas.
     • Dirección IP: Una lista de valores separados por comas que especifica los intervalos de las direcciones IP que se permiten.
     • Puerto: Una lista de valores separados por comas que especifica los intervalos de los puertos remotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidos cuando el protocolo está establecido como TCP o UDP.
     • Protocolo ICAP: Valor numérico de 0 a 255 que representa el protocolo de IP que se permite. Por ejemplo, TCP = 6 y UDP = 17.
   • Reglas de VPN para todo el dispositivo: seleccione Agregar para agregar reglas de tráfico para todo el dispositivo. Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas de enrutamiento. Solo se podrá enviar a través de la VPN el tráfico que coincida con estas reglas.
     • Dirección IP: Una lista de valores separados por comas que especifica los intervalos de las direcciones IP que se permiten.
     • Puerto: Una lista de valores separados por comas que especifica los intervalos de los puertos remotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidos cuando el protocolo está establecido como TCP o UDP.
     • Protocolo ICAP: Valor numérico de 0 a 255 que representa el protocolo de IP que se permite. Por ejemplo, TCP = 6 y UDP = 17. Para obtener una lista del valor numérico de todos los protocolos, consulte https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.
   • Recordar las credenciales: habilite esta opción para recordar las credenciales de inicio de sesión del usuario final.
   • Siempre activo: habilite esta opción para hacer que la conexión VPN siempre esté activada.
   • Bloqueo de VPN: habilite esta opción para hacer que la VPN esté siempre activada y nunca se desconecte, deshabilitar el acceso a la red si la VPN no está conectada y evitar que otros perfiles de VPN se conecten al dispositivo. Si hay un perfil de VPN con el bloqueo de VPN habilitado, debe eliminarlo antes de insertar un nuevo perfil de VPN en el dispositivo. Esta función solo se muestra si el perfil está establecido en el contexto Dispositivo.
   • Desviar al local: habilite esta opción para omitir la conexión VPN para el tráfico de intranet local.
   • Detección de red de confianza: introduzca las direcciones de red de confianza separadas por comas. La VPN no se conecta cuando se detecta una conexión de red de confianza.
   • Dominio: seleccione Añadir un nuevo dominio para agregar dominios para la resolución mediante el servidor VMware Tunnel. Cualquier dominio agregado se resuelve a través del servidor de VMware Tunnel con independencia de la aplicación que originase el tráfico. Por ejemplo, vmware.com se resolverá mediante el servidor VMware Tunnel si utiliza la aplicación de Chrome de confianza o las aplicaciones Edge que no son de confianza. Esta opción solo se muestra si crea el perfil de VPN como perfil de usuario.

7. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Los perfiles de VPN de Workspace ONE UEM admiten la configuración de la VPN por aplicación para dispositivos Windows. Aprenda a configurar el perfil de VPN para que utilice la lógica y las reglas de tráfico específicas para habilitar el acceso a la VPN por aplicación.

VPN por aplicación para Windows a través del perfil de VPN

Los perfiles de VPN de Workspace ONE UEM admiten la configuración de la VPN por aplicación para dispositivos Windows. Aprenda a configurar el perfil de VPN para que utilice la lógica y las reglas de tráfico específicas para habilitar el acceso a la VPN por aplicación.

La VPN por aplicación le permite configurar reglas de tráfico de VPN basadas en aplicaciones específicas. Si está configurada, la VPN se conecta automáticamente cuando se inicia una aplicación específica; se envía el tráfico de la aplicación a través de la conexión VPN, pero no el de otras aplicaciones. Con esta flexibilidad, puede confiar en que los datos permanecen protegidos, al tiempo que no limita el acceso del dispositivo a Internet.

Cada grupo de reglas de la sección Reglas de VPN por aplicación utiliza el operador lógico OR. De esta forma, si el tráfico coincide con alguna de las políticas establecidas, se permite a través de la VPN.

Las aplicaciones a las que se aplican las reglas de tráfico de VPN por aplicación pueden ser aplicaciones de Windows heredadas, como archivos EXE, o aplicaciones modernas descargadas de Microsoft Store. Al configurar aplicaciones específicas para que se abran y utilicen la conexión VPN, solo el tráfico procedente de estas aplicaciones utiliza la VPN, en lugar de todo el tráfico procedente del dispositivo. Esta lógica permite proteger los datos corporativos al tiempo que reduce el ancho de banda enviado a través de la VPN.

Para ayudar a reducir la restricción del ancho de banda de la VPN, puede configurar reglas de enrutamiento de DNS para la conexión de la VPN por aplicación. Estas reglas de enrutamiento limitan la cantidad de tráfico enviado a través de la VPN a solamente el tráfico que coincide con las reglas. Las reglas lógicas usan el operador AND. Si establece una dirección IP, puerto y protocolo de IP, el tráfico debe coincidir con cada uno de estos filtros para pasar a través de la VPN.

La VPN por aplicación le permite configurar un control detallado a través de sus conexiones VPN en una aplicación en función de cada una de ellas.

Perfil de web clips

Un perfil de web clips le permite insertar direcciones URL a los dispositivos de los usuarios finales para que tengan fácil acceso a sitios web importantes.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil de usuario.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de web clips.

6. Configure los ajustes de Web clips:

   Ajustes	Descripción
   Etiqueta	Introduzca una descripción para el web clip.
   URL	Introduzca la dirección URL de destino para el web clip.
   Mostrar en Catálogo de aplicaciones	Habilite esta opción para mostrar el web clip en el catálogo de aplicaciones.

7. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Perfil de Wi-Fi

Cree un perfil de Wi-Fi a través de Workspace ONE UEM para conectar los dispositivos a las redes corporativas, aun cuando estén ocultas, cifradas o protegidas mediante contraseña. Obtenga más información acerca de por qué los perfiles de Wi-Fi son útiles para los usuarios finales que necesitan acceso a múltiples redes o para configurar que los dispositivos se conecten automáticamente a una red inalámbrica adecuada.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de Wi-Fi y configure los ajustes.

   Ajustes	Descripción
   Identificador de red	Introduzca un identificador para el nombre (SSID) de la red Wi-Fi deseada. El SSID de la red no puede contener espacios.
   Red oculta	Habilite esta opción si la red utiliza un SSID oculto.
   Unirse automáticamente	Habilite esta opción para que el dispositivo se una a la red de forma automática.
   Tipo de seguridad	Utilice el menú desplegable para seleccionar el tipo de seguridad (por ejemplo, WPA2 Personal) para la red Wi-Fi.
   Cifrado	Utilice el menú desplegable para seleccionar el tipo de cifrado utilizado. Aparece según el tipo de seguridad.
   Contraseña	Introduzca la contraseña requerida para unirse a la red Wi-Fi en los casos de redes con contraseñas estáticas. Seleccione la casilla de verificación Mostrar caracteres para deshabilitar la función de ocultar los caracteres en el cuadro de texto. Aparece según el tipo de seguridad.
   Proxy	Habilite esta opción para configurar los ajustes del proxy para la conexión Wi-Fi.
   URL	Introduzca la dirección URL del proxy.
   Puerto	Introduzca el puerto del proxy.
   Protocolos	Seleccione el tipo de protocolos que desea utilizar: Certificado: PEAP-MsChapv2 EAP-TTLS: Personalizado Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise o WPA2 Enterprise.
   Identidad interna	Seleccione el método de autenticación a través de EAP-TTLS: Nombre de usuario/contraseña Certificado Esta sección aparece cuando la opción Protocolos se establece en EAP-TTLS o PEAP-MsChapv2.
   Requerir enlace de cifrado	Habilite esta opción para exigir el enlace criptográfico en ambas autenticaciones. Este elemento de menú limita los ataques de tipo "Man-in-the-Middle".
   Utilizar las credenciales de inicio de sesión de Windows	Habilite esta opción para usar las credenciales de inicio de sesión de Windows como el nombre de usuario o la contraseña para la autenticación. Aparece cuando Nombre de usuario/Contraseña está ajustado como Identidad interna.
   Certificado de identidad	Seleccione un certificado de identidad que puede configurar utilizando la carga útil de credenciales. Aparece cuando Certificado está ajustado como Identidad interna.
   Certificados de confianza	Seleccione Agregar para agregar certificados de confianza al perfil de Wi-Fi. Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise o WPA2 Enterprise.
   Permitir excepciones de confianza	Habilite esta opción para permitir que el usuario tome decisiones de confianza mediante un cuadro de diálogo.

6. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Perfil de Windows Hello

Windows Hello ofrece una alternativa segura al uso de contraseñas como medida de seguridad. El perfil de Windows Hello configura Windows Hello para empresas en dispositivos de escritorio de Windows, lo que permite a los usuarios finales poder acceder a los datos sin enviar una contraseña.

Proteger los dispositivos y las cuentas con nombre de usuario y contraseña crea posibles vulnerabilidades de la seguridad. Los usuarios pueden olvidar una contraseña o compartirla con personas ajenas a la empresa, lo que pone en riesgo los datos corporativos. Con Windows Hello, los dispositivos Windows autentican al usuario de manera segura en las aplicaciones, los sitios web y las redes en nombre del usuario, sin enviar una contraseña. El usuario no tendrá que recordar las contraseñas, y es menos probable que los ataques de tipo “Man in the middle” comprometan la seguridad.

Windows Hello requiere que los usuarios verifiquen que poseen un dispositivo Windows antes de autenticarlo mediante PIN o la verificación biométrica de Windows Hello. Una vez autenticado con Windows Hello, el dispositivo obtiene acceso instantáneo a los sitios web, las aplicaciones y las redes.

Importante: Windows Hello para empresas requiere la integración con Azure AD para funcionar.

Cree un perfil de Windows Hello para configurar Windows Hello para empresas en dispositivos de escritorio de Windows, lo que permitirá a los usuarios finales poder acceder sus aplicaciones, sitios web y redes sin tener que introducir una contraseña.

Creación de un perfil de Windows Hello

Cree un perfil de Windows Hello para configurar Windows Hello para empresas en dispositivos de escritorio de Windows, lo que permitirá a los usuarios finales poder acceder sus aplicaciones, sitios web y redes sin tener que introducir una contraseña.

Importante: Los perfiles de Windows Hello solo son válidos en los dispositivos inscritos mediante la integración de Azure AD.

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil Windows Hello y configure los siguientes ajustes:

   Ajustes	Descripción
   Gesto biométrico	Habilite esta opción para permitir que los usuarios finales utilicen los lectores biométricos del dispositivo.
   TPM (módulo de plataforma segura)	Ajuste esta opción en Requerir para inhabilitar el uso de Passport si no hay un modo de plataforma segura instalado en el dispositivo.
   Longitud mínima del PIN	Introduzca el número mínimo de dígitos que debe contener un PIN.
   Longitud máxima del PIN	Introduzca el número máximo de dígitos que debe contener un PIN.
   Dígitos	Ajuste el nivel de permisos para utilizar dígitos en el PIN.
   Mayúsculas	Ajuste el nivel de permisos para utilizar letras mayúsculas en el PIN.
   Minúsculas	Ajuste el nivel de permisos para utilizar letras minúsculas en el PIN.
   Caracteres especiales	Ajuste el nivel de permisos para utilizar caracteres especiales en el PIN. ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ { | } ~

6. Seleccione Guardar y publicar para insertar el perfil en los dispositivos.

Perfil de licencias de Windows

Configure un perfil de licencias de Windows para ofrecer a sus dispositivos Windows una clave de licencia de Windows Enterprise o Windows Education. Utilice este perfil para actualizar dispositivos que no vienen con Windows Enterprise.

Importante:

Esta actualización no se puede revertir. Si publica este perfil en dispositivos del programa de BYOD, no puede eliminar la licencia a través de MDM. Windows solo se puede actualizar siguiendo una ruta de actualización específica:

• De Windows Enterprise a Windows Education
• De Windows Home a Windows Education
• De Windows Pro a Windows Education
• De Windows Pro a Windows Enterprise

Procedimiento

1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione la pestaña Licencias de Windows y configure los siguientes ajustes:

   Ajustes	Descripción
   Edición de Windows	Seleccione la edición Enterprise o Education.
   Introduzca una clave de licencia válida	Introduzca la clave de licencia para la edición de Windows que está utilizando.

6. Seleccione Guardar y publicar para insertar el perfil en los dispositivos.

Perfil de actualizaciones de Windows

Cree un perfil de actualizaciones de Windows con el fin de administrar los ajustes de actualizaciones de Windows para los dispositivos de escritorio de Windows que utilicen Windows 10, 2004 o una versión superior. Este perfil incluye más mejoras y funciones adicionales que el perfil de actualizaciones de Windows (heredado). El uso de la versión actualizada garantizará que todos los dispositivos estén actualizados y podrán aprovechar las nuevas funciones agregadas a Console, así como mejorar la seguridad de dispositivos y redes.

Para crear o configurar un perfil de actualizaciones de Windows, utilice el Administrador de dispositivos de Windows.

1. Navegue a Dispositivos > Perfiles y recursos > Perfiles > Agregar y seleccione Agregar perfil.
   

2. Seleccione Windows > Escritorio de Windows > Perfil de dispositivo.

3. En Perfil de dispositivo, seleccione Actualizaciones de Windows y, a continuación, haga clic en el botón Configurar para configurarlo.

4. Una vez configurado, puede personalizar los ajustes según sea necesario. Esta tabla proporciona más información sobre cada ajuste.

   Ajustes	Descripción
   Definición
   Origen de actualización de Windows	Seleccione el origen de las Actualizaciones de Windows. Servicio de Microsoft Update: seleccione esta opción para utilizar el servidor de Microsoft Update predeterminado. WSUS corporativo: seleccione esta opción para utilizar un servidor corporativo e introducir la URL del servidor WSUS y el grupo WSUS. Para que este ajuste surta efecto, el dispositivo debe contactar con el WSUS al menos una vez. Elegir WSUS corporativo como origen permite al administrador de TI ver las actualizaciones instaladas y el estado de los dispositivos del grupo WSUS. AVISO: El origen no se puede cambiar después de establecerlo.
   Actualizar rama	Seleccione la rama de actualización que se debe seguir para las actualizaciones. Windows Insider, canal de desarrolladores: las compilaciones de Insider Preview en este canal se publican aproximadamente una vez a la semana y contienen las funciones más recientes. Esto hace que sean idóneas para la exploración de funciones. Windows Insider, canal beta: las compilaciones de Insider Preview en este canal se publican aproximadamente una vez al mes y son más estables que las versiones de Anillo anticipado, lo que las hace más adecuadas para fines de validación. Windows Insider, canal de Versión Preliminar: las compilaciones de Insider Preview en este canal son las versiones de GA casi finalizadas para validar la próxima versión de GA. Canal de disponibilidad general (dirigido): sin Insider Preview y las actualizaciones de funciones se publican anualmente.
   Administrar versiones preliminares	Seleccione el acceso a las versiones preliminares. Si desea ejecutar un dispositivo en Insider Preview, asegúrese de que esta opción esté establecida en "Habilitar versiones preliminares": Deshabilitar versiones preliminares Deshabilitar versiones preliminares cuando la próxima versión sea pública Habilitar versiones preliminares
   Programación de dispositivos
   Habilitar programación de dispositivos	Cuando esta opción está habilitada, puede definir cómo gestionan los dispositivos la programación de la instalación de actualizaciones y el reinicio automático (forzado). Cuando está habilitada, verá más opciones para configurar el comportamiento de actualización automática, establecer las horas activas y configurar el número de días que los usuarios tendrán antes de que las actualizaciones se envíen automáticamente a sus dispositivos.
   Actualizar comportamiento
   Habilitar comportamiento de actualización	Cuando esta opción está habilitada, puede definir los tipos de actualizaciones que se ofrecen y cuándo las recibirán los dispositivos aptos. Cuando está habilitada, verá más opciones para deshabilitar la detección doble, permitir las actualizaciones de aplicaciones de Microsoft, establecer el tiempo durante el que se aplaza una actualización de función y excluir controladores de Windows o deshabilitar Safe Guard.
   Comportamiento del dispositivo
   Habilitar comportamiento del dispositivo	Cuando esta opción está habilitada, puede definir cómo gestiona el dispositivo las configuraciones del comportamiento de actualización. Cuando está habilitada, verá más opciones para permitir la actualización de Windows automática, descargar a través de redes de uso medido, ignorar los límites de descarga de datos móviles para las actualizaciones de AP e ignorar los límites de descarga de datos móviles para las actualizaciones del sistema.
   Optimización de entregas
   Habilitar optimización de entregas	Cuando esta opción está habilitada, puede definir cómo reducir el consumo de ancho de banda. Cuando está habilitada, verá más opciones para seleccionar el modo de descarga, el origen del host de memoria caché, el origen del ID de grupo, el origen de HTTP, el origen del servidor de memoria caché, la red, los requisitos del dispositivo y la limitación de ancho de banda de red.
   Versión de SO
   Versión de SO	Cuando está habilitada, puede especificar qué versión de destino y qué versión de producto de destino deben moverse o indicar hasta el final del servicio.

5. Cuando termine de personalizar el perfil, recuerde seleccionar Guardar y publicar para enviar el perfil a los dispositivos.

Solución de problemas de actualizaciones de funciones y calidad

Debido a que las actualizaciones de Windows pueden causar problemas en combinación con aplicaciones o controladores específicos, se agregaron tres botones para ayudar a solucionar estas situaciones. El botón Pausar le permite pausar las actualizaciones de funciones y calidad antes de que se envíen (pero solo durante 35 días). El botón Revertir le permite devolver temporalmente a la versión anterior aquellas actualizaciones instaladas que provocaron los problemas imprevistos mientras estos se solucionan. El botón Reanudar vuelve a habilitar la búsqueda y la instalación de actualizaciones de Windows.

Perfil de actualizaciones de Windows (heredado)

El perfil de actualizaciones de Windows (heredado) está destinado a los dispositivos de escritorio de Windows que utilizan Windows 10, 1909 o una versión anterior. Considere la posibilidad de migrar o utilizar el nuevo perfil de actualizaciones de Windows para poder aprovechar las nuevas funciones y mejoras realizadas después de 2004. El perfil asegura que todos los dispositivos tengan las actualizaciones más recientes, lo que mejora la seguridad de la red y de los dispositivos.

Importante: Para ver la versión de SO que admite cada rama de actualización, consulte la documentación de Microsoft sobre la información de la versión de Windows: https://technet.microsoft.com/en-us/windows/release-info.aspx.

Para crear o configurar un perfil de actualizaciones de Windows heredado, utilice el Administrador de dispositivos de Windows.

1. Navegue a Dispositivos > Perfiles y recursos > Perfiles > Agregar y seleccione Agregar perfil.

2. Seleccione Windows > Escritorio de Windows > Perfil de dispositivo.

3. Dentro de Perfil del dispositivo, verá un menú de elementos que puede personalizar. Seleccione Actualizaciones de Windows (heredadas) y, a continuación, haga clic en el botón Configurar para establecer los ajustes.

Aviso: Es posible que observe una alerta que informa de la capacidad de migrar perfiles existentes a la nueva versión. Si lo desea, puede utilizar el botón Migrar para migrar los ajustes al nuevo perfil de actualizaciones de Windows. Tenga en cuenta que, si migra los perfiles, algunos de los ajustes se mejoraron y actualizaron, lo que provoca que algunas de las opciones anteriores ya no sean válidas. Estos cambios no se migrarán desde las versiones anteriores.

1. Una vez configurado, puede personalizar los ajustes de un perfil heredado (de nuevo, para Windows 10, 2004 o una versión anterior). Esta tabla proporciona más información sobre cada ajuste.

   Ajustes	Descripción
   Ramificaciones y aplazamientos
   Origen de actualización de Windows	Seleccione el origen de las Actualizaciones de Windows. Servicio de Microsoft Update: seleccione esta opción para utilizar el servidor de Microsoft Update predeterminado. WSUS corporativo: seleccione esta opción para utilizar un servidor corporativo e introducir la URL del servidor WSUS y el grupo WSUS. Para que este ajuste surta efecto, el dispositivo debe contactar con el WSUS al menos una vez. Elegir WSUS corporativo como origen permite al administrador de TI ver las actualizaciones instaladas y el estado de los dispositivos del grupo WSUS.
   Actualizar rama	Seleccione la rama de actualización que se debe seguir para las actualizaciones. Canal semestral Rama de Windows Insider: Rápida (menos estable, compilación de desarrollo) Rama de Windows Insider: Lenta (más estable, compilación de desarrollo) Insider: Versión (más estable, compilación pública)
   Compilaciones de Insider	Permite la descarga de compilaciones de Windows Insider de Windows. NO se permite : se agregó a Windows 10 versión 1709 y especifica si se debe permitir el acceso a las compilaciones de Insider Preview de Windows 10.
   Aplazar el período de actualizaciones de funciones en días	Seleccione el número de días que aplazar las actualizaciones de la función antes de instalar las actualizaciones en el dispositivo. El número máximo de días que puede aplazar una actualización cambió en la versión 1703 de Windows. Los dispositivos que ejecuten una versión anterior a la 1703 solo pueden aplazarla durante 180 días. Los dispositivos que ejecuten una versión posterior a 1703 pueden aplazarla como máximo 365 días. Si aplaza una actualización durante más de 180 días y envía el perfil a un dispositivo que ejecute una versión de Windows anterior a la actualización 1703, el perfil no se instala en el dispositivo.
   Aplazar actualizaciones de funciones	Habilite esta opción para aplazar todas las actualizaciones de funciones durante 60 días o hasta que se inhabilite. Este ajuste anula el de Aplazar el período de actualizaciones de funciones en días. Utilice esta opción para aplazar una actualización que ocasiona problemas y que, normalmente, se instalaría según sus ajustes de aplazamiento.
   Periodo de aplazamiento de actualizaciones de calidad en días	Seleccione el número de días que aplazar las actualizaciones de calidad antes de instalar las actualizaciones en el dispositivo.
   Aplazar actualizaciones de calidad	Habilite esta opción para aplazar todas las actualizaciones de calidad durante 60 días o hasta que se inhabilite. Este ajuste anula el de Período de actualizaciones de calidad del aplazamiento en días. Utilice esta opción para aplazar una actualización que ocasiona problemas y que, normalmente, se instalaría según sus ajustes de aplazamiento.
   Habilitar ajustes para versiones anteriores de Windows	Seleccione habilitar los ajustes de aplazamiento para las versiones anteriores de Windows. Este ajuste habilita las funciones de aplazamiento para versiones anteriores de Windows 10, como 1511 y anteriores. En la actualización de aniversario 1607, se modificaron al ajuste actual.
   Comportamiento durante la instalación de actualizaciones
   Actualizaciones automáticas	Establezca cómo se gestionan las actualizaciones de la opción Actualizar rama seleccionada: Instale las actualizaciones automáticamente (recomendado). Instalar las actualizaciones automáticamente, pero permitir al usuario programar el reinicio del ordenador. Instalar las actualizaciones automáticamente y reiniciar a la hora definida. Instalar las actualizaciones automáticamente e impedir que los usuarios modifiquen los ajustes del panel de control. Buscar actualizaciones, pero permitir que el usuario elija si desea descargarlas e instalarlas. Nunca buscar actualizaciones (No se recomienda).
   Máximo de horas activas (horas)	Introduzca el número máximo de horas activas en las que se evita que el sistema se reinicie por la instalación de actualizaciones.
   Hora de inicio de horas activas	Introduzca la hora de inicio de las horas activas. Defina las horas activas para evitar que el sistema se reinicie durante esas horas.
   Tiempo de finalización de horas activas	Muestra la hora de finalización de las horas activas Esta hora viene determinada por la Hora de inicio de horas activas y el Máximo de horas activas.
   Fechas límite de reinicio automático de las actualizaciones de calidad	Establezca el número máximo de días que pueden transcurrir después de instalar una actualización de Calidad o de Función antes de que sea obligatorio reiniciar el sistema.
   Fechas límite de reinicio automático de las actualizaciones de funciones	Establezca el número máximo de días que pueden transcurrir después de instalar una actualización de función antes de que sea obligatorio reiniciar el sistema.
   Notificación de reinicio automático (minutos)	Seleccione el número de minutos en los que se mostrará una advertencia antes de un reinicio automático.
   Notificación de reinicio automático obligatorio	Establezca cómo se debe descartar una notificación de reinicio automático. Descarte automático: se descarta automáticamente. Descarte por usuario: requiere que el usuario cierre la notificación.
   Fecha límite de reinicio establecido de las actualizaciones de calidad	Los reinicios en curso permiten administrar cuándo se reinicia el dispositivo después de instalar una actualización de calidad o de función durante las horas activas. Utilice esta opción para establecer la cantidad de días durante los cuales un usuario puede mantener el reinicio en curso antes de que se programe automáticamente un reinicio fuera de las horas activas.
   Fecha límite de reinicio establecido de las actualizaciones de funciones	Los reinicios establecidos permiten administrar cuándo se reinicia el dispositivo después de instalar una actualización de función durante las horas activas. Utilice esta opción para establecer la cantidad de días durante los cuales un usuario puede mantener el reinicio en curso antes de que se programe automáticamente un reinicio fuera de las horas activas.
   Programación de aplazamiento de reinicio establecido de las actualizaciones de calidad	Introduzca el número de días durante los cuales un usuario puede posponer un reinicio en curso. Una vez transcurrido el periodo de aplazamiento, se programará una hora de reinicio fuera de las horas activas.
   Programación de aplazamiento de reinicio establecido de las actualizaciones de funciones	Introduzca el número de días durante los cuales un usuario puede posponer un reinicio en curso. Una vez transcurrido el periodo de aplazamiento, se programará una hora de reinicio fuera de las horas activas.
   Advertencia de reinicio automático inminente programado (horas)	Seleccione el número de horas antes de un reinicio automático programado para avisar a los usuarios.
   Advertencia de reinicio automático programado (minutos)	Seleccione el número de minutos antes de un reinicio automático programado para avisar a los usuarios.
   Advertencia de reinicio automático programado inminente (minutos)	Seleccione el número de minutos antes de un reinicio automático programado inminente para avisar a los usuarios.
   Políticas de actualización
   Permitir actualizaciones públicas	Permite las actualizaciones desde el servicio público de actualizaciones de Windows. No permitir este servicio puede provocar problemas con Microsoft Store.
   Permitir actualizaciones de Microsoft	Permitir actualizaciones desde Microsoft Update.
   Frecuencia de análisis de actualizaciones (horas)	Establezca el número de horas entre las búsquedas de actualizaciones.
   Detección doble	Habilite esta opción para utilizar Windows Update como fuente de actualización principal mientras utiliza Windows Server Update Services para proporcionar el resto de contenido.
   Excluir los controladores de actualización de Windows de las actualizaciones de calidad	Habilite esta opción para evitar que las actualizaciones de controladores se instalen automáticamente en los dispositivos durante las actualizaciones de calidad.
   Instalar las actualizaciones firmadas de las entidades de terceros	Permite la instalación de actualizaciones de terceros aprobados.
   Límite de descarga de aplicaciones del operador móvil	Seleccione si desea ignorar los límites de descarga de los operadores móviles para descargar aplicaciones y sus actualizaciones a través de una red de telefonía móvil.
   Límite de descarga de actualización del operador móvil	Seleccione si desea ignorar los límites de descarga de los operadores móviles para descargar actualizaciones de sistema operativo a través de una red de telefonía móvil.
   Actualizaciones aprobadas por el administrador
   Requerir aprobación de actualizaciones	Habilite esta opción para requerir que se aprueben las actualizaciones antes de descargarlas en el dispositivo. Habilite esta opción para requerir que los administradores aprueben explícitamente las actualizaciones antes de descargarlas en el dispositivo. Esta aprobación se realiza mediante grupos de actualizaciones o mediante la aprobación individual de actualizaciones. Esta opción exige aceptar todos los términos de uso requeridos en nombre de los usuarios finales para poder insertar la aplicación en los dispositivos. Si es necesario aceptar términos de uso, se muestra un cuadro de diálogo de términos de uso. Para aprobar actualizaciones, navegue a Ciclo de vida > Actualizaciones de Windows.
   Optimización de entregas
   Actualizaciones de igual a igual	Permite el uso de descargas de igual a igual de las actualizaciones.

2. Cuando termine de personalizar el perfil, recuerde seleccionar Guardar y publicar para enviar el perfil a los dispositivos.

Actualizaciones de dispositivos para escritorio de Windows

Workspace ONE UEM admite la revisión y aprobación de actualizaciones del SO y OEM para dispositivos Windows. La página Actualizaciones de dispositivos muestra todas las actualizaciones disponibles para los dispositivos Windows inscritos en el grupo organizativo seleccionado.

Aplicación administrada en el perfil de escritorio de Windows

Un administrador puede administrar la eliminación de aplicaciones administradas en los dispositivos. En Agregar un nuevo perfil de escritorio Windows > Aplicaciones administradas, el administrador puede habilitar o deshabilitar la capacidad de mantener las aplicaciones administradas en el dispositivo si se anula la inscripción.

Navegación

Busque las Actualizaciones del dispositivo disponibles en Recursos > Actualizaciones de dispositivos. En esta página se enumeran las actualizaciones para Windows y las actualizaciones de OEM.

Pestaña Windows

En la pestaña Windows puede aprobar actualizaciones y asignarlas a grupos inteligentes específicos de modo que se cumplan las necesidades de la empresa. Esta pestaña muestra todas las actualizaciones con los siguientes datos: fecha de publicación, plataforma, clasificación y grupo asignado. Solo se muestran las actualizaciones disponibles para los dispositivos Windows inscritos en el grupo organizativo (GO) seleccionado. Si no tiene ningún dispositivo Windows inscrito en el grupo organizativo, no se mostrará ninguna actualización.

Al seleccionar el nombre de la actualización, se abre una ventana con información detallada, un enlace a la página de la base de conocimientos de Microsoft con la actualización y datos del estado de la instalación de la actualización.

Este proceso requiere que se publique un perfil de actualización de Windows en los dispositivos con Requerir la aprobación de actualización habilitada.

El estado de instalación de la actualización muestra la implementación de la actualización en sus dispositivos. Para ver el estado de la implementación de actualización, seleccione la actualización en la lista o seleccione Ver en la columna Estado instalado.

Estado	Descripción
Asignado	La actualización se ha aprobado y asignado al dispositivo.
Aprobado	La actualización aprobada se ha asignado correctamente al dispositivo.
Disponible	La actualización está disponible en el dispositivo para su instalación.
Instalación pendiente	La instalación se ha aprobado y está disponible, aunque aún no se ha instalado.
Reinicio pendiente	La instalación se ha pausado hasta que el dispositivo se reinicie.
Instalado	La actualización se ha instalado correctamente.
Falló	La instalación de la actualización ha fallado.

Pestaña Actualizaciones de OEM

En esta pestaña, puede ver todas las actualizaciones de OEM implementadas en los dispositivos de escritorio de Windows. Puede ordenar la vista de lista por nombre, nivel, tipo y categoría del dispositivo. También puede filtrar las actualizaciones mostradas mediante filtros como controladores de audio, controladores de conjunto de chips, actualizaciones de BIOS y más.

Consulte el estado de instalación de la implementación de actualizacioónes seleccionando el nombre de la actualización.