Proteja los dispositivos del escritorio Windows con las líneas base. Workspace ONE UEM guarda los ajustes recomendados por el sector en una configuración para simplificar la protección de los dispositivos.

Mantener los dispositivos configurados conforme a las prácticas recomendadas es un proceso laborioso. Workspace ONE UEM recopila las prácticas recomendadas y los ajustes recomendados por el sector en configuraciones denominadas Líneas base. Estas configuraciones reducen considerablemente el tiempo necesario para configurar dispositivos Windows.

Microservicio basado en la nube

Las líneas base utilizan un microservicio basado en la nube que controla el catálogo de políticas. Si es un cliente local, asegúrese de que su entorno pueda comunicarse con el microservicio.

Las líneas base requieren conectividad constante con los servicios del dispositivo

Todos los dispositivos de escritorio de Windows inscritos que utilizan las líneas base requieren conectividad ininterrumpida con el servidor de servicios de dispositivos (DS) de Workspace ONE UEM. Los dispositivos necesitan esta conectividad constante para que los estados de línea base permanezcan actualizados.

Si utiliza una configuración de proxy o si tiene una determinada configuración de firewall, estas configuraciones pueden interrumpir la conexión entre los dispositivos con Windows 10 y el servidor de DS. Por ejemplo, si los dispositivos utilizan una VPN o una red restringida para acceder a los recursos, esta configuración interrumpe la conexión con el servidor de DS. Las líneas base en estos dispositivos están en riesgo de permanecer sin actualizar.

Tipos de líneas base

  • Personalizado: si tiene un archivo de copia de seguridad de un objeto de política de grupo (GPO) existente, puede crear una línea base personalizada con esas políticas. Agregue políticas adicionales al GPO existente al crear una línea de base personalizada.
  • Bancos de pruebas de CIS para Windows 10: esta línea base aplica las opciones de configuración propuestas por los bancos de pruebas de CIS. Para garantizar que las líneas base usen solo los ajustes y las configuraciones más adecuados, CIS (Center for Internet Security) certifica a VMware para proporcionar los ajustes recomendados por el sector, como los bancos de pruebas de CIS para Windows 10.
  • Línea base de seguridad de Windows 10: esta línea base aplica las opciones de configuración propuestas por Microsoft.

Las líneas base se basan en la versión del sistema operativo Windows de sus dispositivos. Puede cambiar la versión del sistema operativo de la línea base más adelante al editar. Durante la configuración, puede elegir la línea base que desea utilizar y personalizar cualquiera de las directivas de líneas base. También puede agregar cualquier otra directiva que necesite como parte del proceso de configuración. Estas directivas son las directivas de Microsoft ADMX.

¿Qué sucede después de asignar las líneas base?

Tras inscribir un dispositivo en Workspace ONE UEM, puede agregarlo a un grupo inteligente y asignar una línea base al grupo. El dispositivo recibe y aplica todos los ajustes y configuraciones de la línea base una vez que se reinicia. El dispositivo comprueba la configuración de la línea base cuando esta se publica y en los intervalos definidos. Al insertar una línea base en un dispositivo, Workspace ONE UEM almacena una instantánea de los ajustes del dispositivo. Puede limitar la asignación de la línea base mediante la pestaña Exclusiones del cuadro de diálogo Asignación. Puede designar grupos inteligentes para excluirlos de la asignación.

Administración de líneas base

Puede administrar las líneas base desde la vista de lista Líneas base. Desde aquí, puede editar y eliminar las líneas base existentes.

  • Copiar: Puede copiar líneas base y editar algunas políticas en las pestañas Personalizar y Agregar directivas para ajustar la línea base a otro escenario de implementación. Seleccione la línea base deseada para mostrar el elemento de menú Copiar.
    • Workspace ONE UEM guarda la línea base copiada como Copy of <Baseline Name>, pero se puede cambiar el nombre. Después de completar los cambios en la línea base copiada, seleccione Guardar y asignar para asignar la línea base copiada a los grupos correspondientes.
    • No se puede editar la plantilla de líneas base. Si necesita una plantilla diferente, cree una nueva línea base.
    • Puede trasladar la línea base copiada a grupos organizativos secundarios o dejarla en el grupo organizativo original. No puede trasladar la línea base copiada hacia arriba en la jerarquía de grupos organizativos. Este comportamiento refleja el comportamiento de los perfiles.
  • Eliminar: Si elimina una línea base que se insertó en los dispositivos, los ajustes del dispositivo revierten al momento antes de la publicación de la línea base en función de la instantánea que almacena Workspace ONE UEM.

Puede ver qué líneas base se aplican a un dispositivo en la página Detalles del dispositivo.

Estado de conformidad de las líneas base

Asegúrese de que el dispositivo siga las líneas base con el estado de conformidad de la línea base. El estado de conformidad de la línea base, que se puede ver en la página Detalles de línea base, muestra si el estado de los dispositivos es conforme, intermedio, no conforme o no disponible. El estado de conformidad de línea base solo se aplica a las líneas base creadas con la interfaz de usuario.

Aviso: No puede ver el estado de conformidad de las líneas base personalizadas creadas mediante paquetes ZIP.

Los dispositivos con estado intermedio tienen un nivel de conformidad de entre el 85 % y el 99 %. Utilice este valor para ver cuándo los dispositivos han dejado de cumplir con la conformidad. El estado No disponible significa que Workspace ONE UEM Console no tiene una muestra de conformidad para el dispositivo. Para forzar una muestra, abra la línea base y vuelva a publicarla.

Cómo crear una línea de base

Cree una línea de base que configure los dispositivos según los ajustes y las configuraciones recomendados por el sector. Workspace ONE UEM guarda las líneas base en función de las principales recomendaciones del sector, incluido el banco de pruebas de CIS y las líneas base de seguridad de Windows 10 de Microsoft.

Requisitos previos

Las líneas base requieren que los dispositivos se inscriban en Workspace ONE UEM y tengan instalado Workspace ONE Intelligent Hub.

Si va a publicar una línea de base personalizada, debe agregar el archivo LGPO.exe a todos los dispositivos a los que desea asignar una línea de base. Debe instalar el archivo EXE en C:\\ProgramData\\Airwatch\\LGPO\\LGPO.exe. Si utiliza el banco de pruebas de CIS o las líneas de base de seguridad de Windows 10, no es necesario que agregue este archivo.

Procedimiento

  1. Desplácese a Recursos > Perfiles y líneas base > Líneas base y seleccione Nuevo.

  2. Introduzca un Nombre de línea base, la Descripción y seleccione el grupo inteligente que administra la línea base. A continuación, seleccione Siguiente.

  3. Seleccione una línea base.

    Ajustes Descripción
    Banco de pruebas de CIS para Windows 10 Esta línea base aplica los ajustes de configuración propuestos por los bancos de pruebas de CIS. Seleccione la versión del sistema operativo y el nivel de banco de pruebas que desea aplicar.
    Línea de base de seguridad de Windows 10 Esta línea base aplica los ajustes de configuración propuestos por Microsoft. Seleccione la versión del sistema operativo y el nivel de banco de pruebas que desea aplicar.
    Personalizar línea de base Cargue un archivo zip con una copia de seguridad de GPO. Debe crear esta línea base fuera de Workspace ONE UEM. La copia de seguridad debe ser inferior a 5 MB con al menos una carpeta de GPO.
  4. Seleccione Siguiente.

  5. Personalice la línea base según sea necesario. Puede cambiar cualquiera de las directivas de ADMX existentes configuradas en la línea base. Al crear una línea de base personalizada a partir de una línea de base de GPO, no se pueden personalizar las directivas de ADMX existentes.

    Asegúrese de usar los SID al crear directivas ADMX de derechos de usuario. Para obtener más información, consulte Identificadores de seguridad conocidos en los sistemas operativos Windows.

  6. Seleccione Siguiente.

  7. Agregue cualquier directiva adicional a la línea de base. Estas directivas provienen de los archivos de Microsoft ADMX. Busque cualquier política para agregarla y configurarla.

  8. Seleccione Siguiente.

  9. Revise el resumen y seleccione Guardar y asignar. El resumen incluye todas las directivas personalizadas o agregadas.

  10. Durante la asignación, introduzca el grupo inteligente que contiene los dispositivos con Windows 10 a los que desea asignar la línea base. Puede volver a definir qué dispositivos obtienen la línea base mediante la pestaña Exclusiones. Introduzca los grupos inteligentes que desea excluir de la asignación.

    Las exclusiones anulan las asignaciones. Si un dispositivo se encuentra en un grupo inteligente excluido, ese dispositivo no recibirá la línea base. Si ese dispositivo ya tenía la línea base de una asignación anterior, la línea base se elimina del dispositivo.

Resultados

Workspace ONE UEM asigna la línea base a todos los dispositivos del grupo inteligente (además de a aquellos dispositivos de los grupos inteligentes excluidos).

Pasos siguientes

Debe reiniciar el dispositivo para que la línea base surta efecto.

check-circle-line exclamation-circle-line close-line
Scroll to top icon