Administración de dispositivos de escritorio de Windows ...€¦Matriz de versiones de Windows 10 7...

Administración de dispositivos deescritorio de Windows

VMware Workspace ONE UEM 1903

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2019 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.

Administración de dispositivos de escritorio de Windows

VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

1 Introducción al escritorio de Windows 6Requisitos de inscripción de escritorio de Windows 6

Dispositivos de escritorio de Windows compatibles 7

Matriz de versiones de Windows 10 7

2 Resumen de inscripción de escritorio de Windows 10Dispositivos de escritorio de Windows y Windows 7 12

Workspace ONE Intelligent Hub para la inscripción de Windows 13

Inscripción con el Workspace ONE Intelligent Hub de VMware 13

Inscripción de MDM nativa para escritorio de Windows 14

Inscripción mediante Work Access con el servicio de detección automática de Windows 15

Inscripción mediante Work Access sin el servicio de detección automática de Windows 16

Inscripción preparada 18

Importación masiva de números de serie de dispositivos 19

Inscripción mediante preparación con línea de comandos 20

Inscripción mediante inscripción preparada manual 20

Parámetros y valores para la inscripción silenciosa 21

Servicio de aprovisionamiento de Windows 10 de VMware AirWatch 24

Configuración del aprovisionamiento de Windows 10 24

Inscripción mediante integración con Azure AD 25

Configuración de la integración de los servicios de identidad de Azure AD 26

Inscripción de un dispositivo con Azure AD 29

Inscripción en Workspace ONE UEM de un dispositivo administrado con Azure AD 30

Inscripción mediante configuración rápida 31

Inscripción mediante las aplicaciones de Office 365 33

Inscripción y aprovisionamiento en masa 34

Inscripción mediante aprovisionamiento en masa 34

Instalación de paquetes de aprovisionamiento en masa 36

3 Resumen de los perfiles de escritorio de Windows 37Configuración de un perfil de código de acceso (escritorio de Windows) 38

Configuración de un perfil de Wi-Fi (escritorio de Windows) 40

Perfil de VPN (escritorio de Windows) 41

Configuración de un perfil de VPN (escritorio de Windows) 43

Perfil de credenciales (escritorio de Windows) 46

Configuración de un perfil de credenciales (escritorio de Windows) 47

Configuración de una carga útil de restricciones (escritorio de Windows) 48

Perfil de protección de datos (escritorio de Windows) 53

VMware, Inc. 3

Configuración de un perfil de protección de datos (escritorio de Windows) 54

Creación de un certificado de sistema de cifrado de archivos (escritorio de Windows) 56

Perfil de Windows Hello (escritorio de Windows) 57

Creación de un perfil de Windows Hello (escritorio de Windows) 57

Configuración de un perfil de firewall (escritorio de Windows) 58

Configuración de un perfil de modo de aplicación única (escritorio de Windows) 59

Configuración de un perfil de antivirus (escritorio de Windows) 60

Perfil de cifrado (escritorio de Windows) 62

Configuración de un perfil de cifrado (escritorio de Windows) 64

Configuración de un perfil de actualizaciones de Windows (escritorio de Windows) 66

Ver lista de actualizaciones en el ciclo de vida 70

Aprobación de actualizaciones de Windows 71

Cómo crear un perfil de proxy (escritorio de Windows) 72

Configuración de un perfil de web clips (escritorio de Windows) 73

Perfiles de Exchange ActiveSync (escritorio de Windows) 73

Configuración de un perfil de Exchange ActiveSync (escritorio de Windows) 74

Perfil de SCEP (escritorio de Windows) 75

Configuración de un perfil de SCEP (escritorio de Windows) 75

Perfil de control de aplicaciones (escritorio de Windows) 76

Configuración de un perfil de control de aplicaciones (escritorio de Windows) 77

Configuración de un perfil de servicios web de Exchange (escritorio de Windows) 79

Creación de un perfil de licencias de Windows (escritorio de Windows) 80

Configuración de un perfil de BIOS (escritorio de Windows) 80

Configuración de un perfil de actualizaciones de OEM (escritorio de Windows) 83

Configuración de un perfil de quiosco (escritorio de Windows) 85

Cómo configurar un perfil de personalización (escritorio de Windows) 87

Uso de ajustes personalizados (escritorio de Windows) 88

Impedir que los usuarios inhabiliten el servicio de AirWatch 90

4 Uso de Valores de referencia 92Cómo crear una línea de base 93

5 Políticas de conformidad 94Detección de dispositivos comprometidos con atestación de estado 94

Configure la atestación de estado para las políticas de conformidad del escritorio de Windows 95

Atributos de conformidad 97

Creación de un atributo de conformidad 97

6 Resumen de las aplicaciones de escritorio de Windows 99VMware Workspace ONE para escritorio de Windows 99

Configurar Workspace ONE Intelligent Hub para dispositivos Windows 100


VMware, Inc. 4

VMware Content Locker para dispositivos de escritorio de Windows 102

7 Integración de Dell Command | Monitor 103Adición de Dell Command | Monitor a Workspace ONE UEM 104

8 Descripción general de Dell Command | Update 105Adición de Dell Command | Update a Workspace ONE UEM 106

9 Administración de dispositivos de escritorio de Windows 107Tablero de dispositivos 107

Vista de lista de dispositivos 108

Página de detalles de dispositivos de escritorio de Windows 109

Administración remota avanzada 112

Resumen del aprovisionamiento de productos 113


VMware, Inc. 5

Introducción al escritorio deWindows 1Workspace ONE UEM le proporciona un conjunto de soluciones robustas de administración móvil para lainscripción, la protección, la configuración y la administración de su implementación de dispositivos conWindows 10.

A través de Workspace ONE UEM Console, dispone de varias herramientas y funciones para laadministración de todo el ciclo de vida de los dispositivos personales y los empresariales. También puedepermitir que los usuarios finales realicen tareas por su cuenta, por ejemplo, a través del portal deautoservicio y la autoinscripción del usuario, lo cual le ahorra tiempo y recursos fundamentales.

Workspace ONE UEM le permite inscribir dispositivos personales y empresariales para configurar yproteger los datos y el contenido de su empresa. Con nuestros perfiles de dispositivos, podrá configurary proteger correctamente sus dispositivos Windows. Detecte los dispositivos comprometidos y retire elacceso a los recursos corporativos utilizando el motor de conformidad.

Al inscribir los dispositivos en Workspace ONE UEM, puede protegerlos y configurarlos en función decuáles sean sus necesidades.

Este capítulo incluye los siguientes temas:

n Requisitos de inscripción de escritorio de Windows

n Dispositivos de escritorio de Windows compatibles

Requisitos de inscripción de escritorio de WindowsAntes de inscribir los dispositivos de escritorio de Windows, asegúrese de que cumple los requisitos.Estos requisitos incluyen información importante que ofrecer a los usuarios finales que inscriben suspropios dispositivos.

Requisitosn Entorno activo: el entorno activo de Workspace ONE UEM y el acceso a

Workspace ONE UEM Console.

n Permisos apropiados de administración: este tipo de permiso le permite crear perfiles, determinarpolíticas y administrar dispositivos dentro de la consola de UEM.

n URL de la inscripción: esta dirección URL es única para su entorno de inscripción y lo lleva directoa la pantalla de inscripción. Por ejemplo, mdm.example.com.

VMware, Inc. 6

n ID de grupo: este identificador de grupo asocia su dispositivo con su rol corporativo, y está definidoen la consola de UEM.

Importante Si su servidor de inscripción está detrás de un proxy, debe configurar el servicio WINHTTPde Windows para que sea consciente del proxy al configurar sus ajustes de red.

Dispositivos de escritorio de Windows compatiblesLa plataforma de escritorio de Windows incluye versiones del sistema operativo de Windows que vandesde Windows 8.0 hasta Windows 10 y las diversas versiones de cada iteración.

Plataformas y dispositivos compatiblesDispositivos con los siguientes sistemas operativos:

n Windows 10 Pro

n Windows 10 Enterprise

n Windows 10 Education

n Windows 10 Home

n Windows 10 S

Importante: para ver la versión de SO que cada rama de actualización admite, consulte ladocumentación de Microsoft sobre la información de versión de Windows 10: https://technet.microsoft.com/es-es/windows/release-info.aspx.

Matriz de versiones de Windows 10Compare la funcionalidad de MDM disponible en cada versión del sistema operativo Windows 10.Workspace ONE UEM admite todas las versiones del sistema operativo Windows 10 y las funcionescompatibles.

Las diferentes ediciones de Windows 10 (Home, Professional, Enterprise y Education) tienen unafuncionalidad distinta. La edición Windows 10 Home no ofrece la funcionalidad avanzada disponible en elsistema operativo Windows 10. Sopese la posibilidad de utilizar las ediciones Enterprise o Educationpara disfrutar de la mayor parte de las funcionalidades.

FunciónSistema operativoWindows 10 Home

Sistema operativoWindows 10 Professional

Sistema operativoWindows 10 Enterprise

Sistema operativoWindows 10 Education

Inscripción decliente nativo

✓ ✓ ✓ ✓

Inscripción con elagente

✓ ✓ ✓ ✓

Requiere el ID decuenta de Windows

Exige aceptación delos términos de uso

✓ ✓ ✓ ✓


VMware, Inc. 7

https://technet.microsoft.com/en-us/windows/release-info.aspx






Soporte parasolicitudes deopciones durante lainscripción

✓ ✓ ✓ ✓

Active Directory/LDAP

✓ ✓ ✓ ✓

Inscripción conunión de dominio denube

✓ ✓ ✓

Inscripciónmedianteconfiguración rápida

✓ ✓ ✓

Inscripciónmedianteaprovisionamientoen masa

✓ ✓ ✓

Inscripciónpreparada

✓ ✓ ✓ ✓

SMS

Mensajes de correoelectrónico

✓ ✓ ✓

Política decontraseña

✓ ✓ ✓ ✓

Eliminaciónempresarial

✓ ✓ ✓ ✓

Eliminación total ✓ ✓ ✓ ✓

Correo electrónico yExchangeActiveSync

✓ ✓ ✓ ✓

Wi-Fi ✓ ✓ ✓ ✓

VPN ✓ ✓ ✓ ✓

Administración decertificados

✓ ✓ ✓ ✓

Restricciones yconfiguraciones deldispositivo

✓ ✓ ✓ ✓

Windows Hello ✓3 ✓ ✓ ✓

Cifrado ✓ ✓ ✓ ✓

Control deaplicaciones(AppLocker)

✓ ✓


VMware, Inc. 8





Atestación deestado

✓ ✓ ✓ ✓

Actualizaciones deWindows paraempresas

✓ ✓ ✓

Acceso asignado ✓ ✓

Administración deaplicaciones

✓ ✓ ✓

VMware Browser ✓ ✓ ✓ ✓

VMware ContentLocker

✓ ✓ ✓ ✓

Seguimiento derecursos

✓ ✓ ✓

Estado deldispositivo

✓ ✓ ✓

Dirección IP

Ubicación ✓ ✓ ✓ ✓

Red ✓ ✓ ✓

Envío de mensajede soporte (solocorreo electrónico ySMS)

✓ ✓ ✓

1 – Enterprise también incluye IoT Enterprise y Rama de servicio a largo plazo (LTSB). LTSB es unaimagen de Windows 10 separada con muchas aplicaciones nativas eliminadas, como Microsoft Edge,Cortana y Microsoft Store. Parte de la funcionalidad de Workspace ONE UEM que usa estas funcionesno tendrá soporte.

2 – Microsoft Passport requiere protección basada en hardware TPM 1.2 o 2.0 de credenciales o claves;si no hay TPM o no está configurado, la protección mediante credenciales o claves estará basada en elsistema operativo.

3 – El cifrado de dispositivos para la versión Home no incluye el cifrado de BitLocker.

4 – Solo se puede descargar de Microsoft Store. Windows 10 Home no admite el envío de aplicacionesinternas.

5 – Requiere Workspace ONE Intelligent Hub descargado de Microsoft Store.


VMware, Inc. 9

Resumen de inscripción deescritorio de Windows 2Los métodos de inscripción de los dispositivos de escritorio de Windows varían en función de laimplementación de Workspace ONE UEM que tenga, las integraciones empresariales y el sistemaoperativo del dispositivo. La plataforma de escritorio de Windows admite varias versiones de sistemasoperativos y SKU de los dispositivos Windows.

Puntos básicos de inscripciónAntes de inscribir dispositivos, asegúrese de que dispone de la información necesaria para la inscripción.Para obtener más información, consulte Requisitos de inscripción de escritorio de Windows.

Simplifique la inscripción de usuarios finales mediante la configuración de los servicios de detecciónautomática de Windows (WADS) en su entorno de Workspace ONE UEM. WADS es compatible con unasolución en las instalaciones y WADS basado en la nube.

Los métodos de inscripción utilizan la funcionalidad MDM nativa del sistema operativo Windows,Workspace ONE Intelligent Hub para Windows o la integración con Azure AD.

Si quiere usar Workspace ONE UEM para administrar dispositivos Windows administrados medianteSCCM, debe descargar VMware AirWatch SCCM Integration Client. Utilice este cliente para inscribirdispositivos administrados con SCCM en Workspace ONE UEM. Para obtener más información, consulteel artículo de la base de conocimiento VMware AirWatch SCCM Integration Client: https://support.air-watch.com/articles/115001664948.

Workspace ONE Intelligent Hub para la inscripción deWindowsEl flujo de inscripción más sencillo utiliza Workspace ONE Intelligent Hub para Windows para inscribirdispositivos. Los usuarios finales solo tienen que descargar Workspace ONE Intelligent Hub enawagent.com y seguir las indicaciones para inscribirse. Para obtener más información sobre lainscripción con el agente, consulte Inscripción con Workspace ONE Intelligent Hub para la inscripción deWindows.

Considere la posibilidad de usar Workspace ONE Intelligent Hub para el flujo de trabajo de inscripción deWindows. Workspace ONE UEM admite otros flujos de inscripción que cumplan con escenarios de usoespecíficos.

VMware, Inc. 10

https://support.air-watch.com/articles/115001664948


Inscripción mediante integración con Azure ADMediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se inscribenautomáticamente en Workspace ONE UEM con una interacción mínima por parte del usuario final. Lainscripción mediante la integración con Azure AD simplifica este proceso tanto para el usuario como parael administrador. La integración con Azure AD admite tres flujos de inscripción: unirse a Azure AD,inscripción de configuración rápida e inscripción con Office 365. Todos los métodos requieren que seconfigure la integración de Azure AD con Workspace ONE UEM.

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurarWorkspace ONE UEM y Azure AD. Para obtener más información, consulte Configuración de laintegración de los servicios de identidad de Azure AD.

Para realizar la inscripción mediante flujos de integración de Azure AD, consulte Inscripción medianteintegración con Azure AD.

Inscripción MDM nativaWorkspace ONE UEM admite la inscripción de dispositivos de escritorio de Windows a través del flujo deinscripción MDM nativa. El nombre de la solución MDM nativa varía según la versión de Windows. Esteflujo de inscripción cambia según la versión de Windows y de si utiliza WADS.

Para obtener más información, consulte Inscripción de MDM nativa para escritorio de Windows

Inscripción preparadaSi desea configurar la administración de dispositivos en un equipo con Windows 10 antes de enviar undispositivo al usuario final, plantéese el uso de la inscripción preparada de dispositivos de escritorio deWindows. Este flujo de inscripción le permite inscribir un dispositivo a través de Workspace ONEIntelligent Hub, instalar los perfiles en dicho dispositivo y, posteriormente, enviarlo al usuario final. Losdos métodos de inscripción preparada son la instalación manual y la instalación de línea de comandos.La instalación manual requiere que los dispositivos estén unidos al dominio para una integración conAzure AD. La instalación de línea de comandos funciona en todos los dispositivos con Windows 10.Consulte la sección Inscripción preparada para más información.

Inscripción automática de escritorio de WindowsWorkspace ONE UEM es compatible con la inscripción automática de dispositivos específicos deescritorio de Windows adquiridos mediante Dell. La inscripción automática simplifica el proceso alinscribir de manera automática los dispositivos registrados con el método de inscripción medianteconfiguración rápida.

El Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch solo se aplica para seleccionardispositivos para empresas de Dell con la imagen correcta de Windows 10. La funcionalidad deinscripción automática debe adquirirse dentro del pedido de Dell.


VMware, Inc. 11

Para obtener más información, consulte Servicio de aprovisionamiento de Windows 10 de VMwareAirWatch .

Inscripción y aprovisionamiento en masaEl aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10y los inscribe en Workspace ONE UEM. El aprovisionamiento en masa requiere la descarga del kit deevaluación y desarrollo de Microsoft y la instalación de la herramienta Diseñador de imágenes yconfiguraciones. Esta herramienta crea paquetes de aprovisionamiento que se utilizan para crearimágenes de los dispositivos.

Gracias a este flujo de aprovisionamiento en masa, puede incluir ajustes de Workspace ONE UEM en elpaquete de aprovisionamiento para que los dispositivos aprovisionados se inscriban automáticamentedurante el proceso de configuración rápida inicial. Para más información, consulte Inscripción yaprovisionamiento en masa.


n Dispositivos de escritorio de Windows y Windows 7

n Workspace ONE Intelligent Hub para la inscripción de Windows

n Inscripción de MDM nativa para escritorio de Windows

n Inscripción preparada

n Servicio de aprovisionamiento de Windows 10 de VMware AirWatch

n Inscripción mediante integración con Azure AD

n Inscripción y aprovisionamiento en masa

Dispositivos de escritorio de Windows y Windows 7Puede inscribir sus dispositivos Windows en una de las dos plataformas. La plataforma determina lafuncionalidad de administración de dispositivos disponible para sus dispositivos Windows.

La plataforma de escritorio de Windows es compatible con dispositivos con Windows 10 mediante lainscripción de MDM nativa. La plataforma de Windows 7 es compatible con dispositivos con Windows 7,Windows 8 y Windows 10 mediante la inscripción con Workspace ONE Intelligent Hub para Windows.

La tabla siguiente muestra las diferencias entre los métodos de inscripción. Considere la posibilidad deinscribir los dispositivos con Windows 10 como dispositivos de escritorio de Windows, dada su mayorfuncionalidad de administración de dispositivos.

Funcionalidad Windows 7 Escritorio de Windows

Método de inscripción MDM nativa ✓

Workspace ONE IntelligentHubInscripción

✓ ✓

Soporte de AirWatch Protection Agent ✓ ✓


VMware, Inc. 12

Funcionalidad Windows 7 Escritorio de Windows

Soporte completo para funcionalidad deWindows 10

✓

Soporte para dispositivos administradoscon SCCM

✓ ✓

Soporte para dispositivos Windows 7 ✓

Workspace ONE Intelligent Hub para la inscripción deWindowsWorkspace ONE Intelligent Hub proporciona un recurso único de inscripción y facilita la comunicaciónentre el dispositivo y Workspace ONE UEM Console. Use Workspace ONE Intelligent Hub parasimplificar la inscripción y habilitar la funcionalidad de MDM completamente.

Se aconseja utilizar Workspace ONE Intelligent Hub para Windows con el fin de inscribir sus dispositivosde escritorio de Windows, ya que Workspace ONE Intelligent Hub ofrece el flujo de inscripción mássencillo para los usuarios. Si tiene configurado Workspace ONE, al descargar Workspace ONE IntelligentHub desde awagent.com también se descargará la aplicación Workspace ONE. Cuando termine lainscripción con Workspace ONE Intelligent Hub, la aplicación Workspace ONE se iniciaráautomáticamente y se configurará en función de su implementación de Workspace ONE UEM.

Workspace ONE Intelligent Hub Ofrece una funcionalidad adicional para los dispositivos de escritorio deWindows, incluidos los servicios de ubicación.

Puede simplificar la inscripción para sus usuarios finales con la detección automática de Windows. Ladetección automática de Windows permite a los usuarios finales introducir su dirección de correoelectrónico para llenar los campos automáticamente con sus credenciales de inscripción.

AirWatch Cloud MessagingAirWatch Cloud Messaging (AWCM) permite el envío de políticas y comandos en tiempo real aWorkspace ONE Intelligent Hub. Sin AWCM, Workspace ONE Intelligent Hub solo recibe políticas ycomandos durante los intervalos de verificaciones de estado regulares establecidos en la consola deAirWatch. Considere la posibilidad de utilizar AWCM para enviar comandos y políticas en tiempo real adispositivos de escritorio de Windows.

Inscripción con el Workspace ONE Intelligent Hub de VMwareUtilice el Workspace ONE Intelligent Hub para iniciar la inscripción de sus dispositivos de escritorio deWindows. Workspace ONE Intelligent Hub ofrece un flujo de inscripción simplificada para los usuariosfinales, lo cual permite una inscripción rápida y fácil.

Procedimiento

1 En el dispositivo escritorio de Windows, navegue a https://awagent.com.


VMware, Inc. 13

http://awagent.com/

https://awagent.com

2 Instale el Workspace ONE Intelligent Hub. Cuando la instalación se haya completado, inicieWorkspace ONE Intelligent Hub.

3 Seleccione Conectar una cuenta profesional o educativa. Workspace ONE Intelligent Hub abre laaplicación nativa de Workplace para completar la inscripción.

4 Introduzca la dirección de correo electrónico y seleccione Siguiente.

5 Si no está utilizando el servicio de detección automática de Windows, complete los siguientesajustes:

a Introduzca la URL del servidor y seleccione Siguiente.

b Introduzca el ID de grupo y seleccione Siguiente.

c Introduzca el nombre de usuario y la contraseña.

6 Acepte los Términos de uso.

7 Seleccione Listo.

8 Abra Workspace ONE Intelligent Hub y complete la inscripción.

Inscripción de MDM nativa para escritorio de WindowsTodos los métodos de inscripción de escritorio de Windows utilizan el cliente de MDM nativa de WorkAccess. Use la inscripción de MDM nativa para inscribir dispositivos tanto corporativos como BYOD en elmismo flujo de inscripción.

Work Access procesa primero un plan de trabajo de Azure AD para dominios conectados a Office 365 oAzure AD cuando selecciona Conectar y no completa automáticamente el plan de trabajo de inscripción.Si usa Office 365 o Azure AD sin licencia Premium, es recomendable usar Workspace ONE IntelligentHub, en lugar de la inscripción de MDM nativa, para inscribir dispositivos Windows 10. Para completar elplan de trabajo de inscripción mediante inscripción de MDM nativa, seleccione Conectar dos veces. Sitiene una licencia Premium de Azure AD, puede habilitar Requerir administración en su instancia deAzure para que la inscripción de MDM nativa complete el flujo de inscripción después del plan de trabajode Azure. Puede usar la inscripción de MDM nativa sin problemas si no usa Office 365 o Azure AD.

Solo aquellos usuarios que tengan permisos de administración local en el dispositivo podrán inscribir undispositivo en Workspace ONE UEM y habilitar MDM. Los permisos de administrador de dominio nosirven para inscribir un dispositivo. Para inscribir un dispositivo con un usuario estándar, debe usar elaprovisionamiento en masa para dispositivos con Windows 10.

Mediante el servicio de detección automática de Windows se simplifica la inscripción para el usuario final,ya que se necesita menos interacción durante la inscripción. Con el servicio de detección automática deWindows, tiene que seguir los pasos que se describen en VMware AirWatch Windows Auto-DiscoveryService Installation Guide.

Los dispositivos que se han unido a un dominio se pueden inscribir mediante la inscripción nativa através de Workplace. La dirección de correo electrónico introducida en la configuración se llenaautomáticamente con el atributo UPN de Active Directory. Si el usuario final quiere utilizar una direcciónde correo electrónico diferente, debe descargarse la actualización opcional.


VMware, Inc. 14

Inscripción mediante Work Access con el servicio de detecciónautomática de WindowsWork Access es el método de inscripción de MDM nativa para los dispositivos Windows 10. Lainscripción a través de Work Access y mediante el servicio de detección automática de Windows ofreceun flujo de inscripción rápido y fácil para los usuarios finales.

Requisitos previos

Si registra su dominio en Workspace ONE UEM, ya no hay necesidad de introducir el ID de grupodurante la inscripción.

Nota Se aconseja usar Workspace ONE Intelligent Hub para Windows con el fin de inscribir susdispositivos Windows 10 en lugar de la inscripción MDM nativa. El flujo de inscripción de MDM nativa noinscribe dispositivos en MDM si utiliza Office 365 o Azure AD en el mismo dominio.

Procedimiento

1 Navegue en el dispositivo a Ajustes > Cuentas > Work Access y seleccione Inscribir en laadministración del dispositivo.

2 Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuariofinal, seguido del dominio del entorno con el formato [email protected] ([email protected]). Seleccione Continuar.


VMware, Inc. 15

3 Introduzca el ID de grupo y seleccione Siguiente.

4 Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de suentorno de Workspace ONE UEM.

5 (opcional) Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo conestos.

Este paso es opcional y solo se muestra si se ha habilitado en Workspace ONE UEM Console.

6 (opcional) Seleccione Sí para guardar la información de inicio de sesión.

Tras esto, el dispositivo intenta conectarse a Workspace ONE UEM. Si establece conexióncorrectamente, aparece el icono de un maletín con Workspace ONE UEM escrito al lado. Este iconorefleja la correcta conexión a Workspace ONE UEM.

Inscripción mediante Work Access sin el servicio de detecciónautomática de WindowsWork Access es el método de inscripción de MDM nativa para los dispositivos Windows 10. Lainscripción a través de Work Access sin WADS requiere que se introduzcan manualmente lascredenciales de usuario final.


VMware, Inc. 16

Requisitos previos

Nota Se aconseja usar Workspace ONE Intelligent Hub para Windows con el fin de inscribir susdispositivos Windows 10 en lugar de la inscripción MDM nativa. El flujo de inscripción de MDM nativa noinscribe dispositivos en MDM si utiliza Office 365 o Azure AD en el mismo dominio.

Procedimiento

1 Navegue en el dispositivo a Ajustes > Cuentas > Work Access y seleccione Inscribir en laadministración del dispositivo.

2 Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuariofinal, seguido del dominio del entorno con el formato [email protected] ([email protected]).

3 Introduzca la dirección del servidor como sigue: <URLdeServiciosdelDispositivo>/DeviceServices/Discovery.aws. No incluya “https://” en la dirección URL.

ds156.awmdm.com/deviceservices/discovery.aws.

4 Seleccione Continuar.

5 Introduzca el ID de grupo y seleccione Siguiente.


VMware, Inc. 17

6 Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de suentorno de Workspace ONE UEM.

7 (opcional) Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo conestos.

Este paso es opcional y solo se muestra si ha elegido habilitarlo.

8 (opcional) Seleccione Sí para guardar la información de inicio de sesión.

Tras esto, el dispositivo intenta conectarse a Workspace ONE UEM. Si establece conexióncorrectamente, aparece el icono de un maletín con Workspace ONE UEM escrito al lado. Este iconorefleja la correcta conexión a Workspace ONE UEM.

Inscripción preparadaHabitualmente los administradores prefieren configurar la administración del dispositivo antes de enviarloal usuario final. La inscripción preparada le permite inscribir un dispositivo con Workspace ONEIntelligent Hub, instalar perfiles en el dispositivo y enviarlo a un usuario final.


VMware, Inc. 18

También le permite inscribir su dispositivo con Windows 10 en Workspace ONE UEM. Esta inscripciónrequiere que Workspace ONE Intelligent Hub se inicie. Cualquier perfil asignado en el dispositivo sedescarga en este último tras su inscripción. Una vez que el dispositivo esté completamente inscrito yconfigurado, puede enviarlo a los usuarios finales. Cuando el usuario final inicia sesión en el dispositivo,Workspace ONE Intelligent Hub actualiza el registro del dispositivo en Workspace ONE UEM Console.Workspace ONE UEM reasigna el dispositivo al usuario final y envía los perfiles de usuario al dispositivo.

Hay dos métodos de preparación:

n Instalación manual: descargue e instale Workspace ONE Intelligent Hub e introduzca lascredenciales de inscripción. Este método requiere que los dispositivos estén unidos al dominio antesde la inscripción.

n Instalación mediante línea de comandos: descargue Workspace ONE Intelligent Hub y despuésinstale e inscriba el dispositivo mediante la línea de comandos.

La inscripción se puede completar de dos formas: con la actualización del registro de UEM consolecuando un usuario se inscribe en un dispositivo unido al dominio, o bien mediante la comparación delnombre del usuario inscrito con una lista de números de serie registrados previamente.

Importación masiva de números de serie de dispositivosImporte números de serie de dispositivos que puede usar en la inscripción preparada para agregardispositivos rápidamente a Workspace ONE UEM Console. La importación en masa requiere un archivoCSV con todos los números de serie que quiere importar.

Procedimiento

1 Acceda a Cuentas > Usuarios > Vista de lista o Dispositivos > Ciclo de vida > Estado deinscripción.

a Seleccione Agregar y luego Importar por lotes para ver la pantalla Importar por lotes.

2 Complete todas las opciones requeridas. Nombre del lote, Descripción del lote y Tipo de lote.

3 En la opción Archivo por lotes (.csv) hay una lista de plantillas basadas en tareas que puedeutilizar para cargar los usuarios y sus dispositivos en masa.

4 Seleccione la plantilla de descarga adecuada y guarde el archivo de valores separados por comas(CSV) en un lugar accesible.

5 Busque el archivo CSV guardado, ábralo con Excel e introduzca toda la información relevante de losdispositivos que desea importar. Cada plantilla se rellena automáticamente con ejemplos parademostrar qué tipo de información (y su formato) debe incluirse en cada columna.

Los campos del archivo CSV con un asterisco (*) son obligatorios.

6 Guarde la plantilla que rellenó como un archivo CSV. En la consola de UEM, seleccione el botónSeleccionar archivo en la pantalla Importar por lotes, acceda a la ruta donde guardó el archivoCSV y selecciónelo.

7 Seleccione Guardar para completar la inscripción de todos los usuarios enumerados y losdispositivos correspondientes.


VMware, Inc. 19

Inscripción mediante preparación con línea de comandosSimplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivos deescritorio de Windows con la línea de comandos de Windows. Este método de inscripción inscribe eldispositivo y registra los perfiles en este en función de las credenciales de usuario introducidas.

Importante No cambie el nombre del archivo AirWatchAgent.msi, ya que interrumpiría el comando depreparación. Además, no utilice la importación masiva de números de serie si desea utilizar lapreparación con línea de comandos.

Nota Este producto no debe utilizarse para llevar a cabo la instalación silenciosa de VMwareWorkspace ONE Intelligent Hub para Windows en dispositivos BYOD. Si realiza la instalación silenciosaen dispositivos BYOD, será el único responsable de facilitar los avisos necesarios a los usuarios finalesdel dispositivo con respecto al uso de la instalación silenciosa y los datos recopilados a partir deaplicaciones que se hayan instalado de forma silenciosa, para lo que la ley exige tanto el consentimientode los usuarios finales del dispositivo como la conformidad con la legislación vigente.

Procedimiento

1 Navegue a www.awagent.com para descargar Workspace ONE Intelligent Hub.

Descargue solo el Workspace ONE Intelligent Hub . No inicie el ejecutable ni seleccione Ejecutar, yaque iniciaría un proceso de preparación estándar contrario al objetivo de la instalación silenciosa. Sies necesario, mueva Workspace ONE Intelligent Hub de la carpeta de descarga a una carpeta localo de red.

2 Abra una línea de comandos o cree un archivo BAT e introduzca todas las rutas, parámetros yvalores necesarios sirviéndose de la información que se muestra en la sección Parámetros y valorespara la inscripción silenciosa.

3 Ejecute el comando. Para ver ejemplos de sintaxis, consulte Parámetros y valores para la inscripciónsilenciosa.

Después de que el comando se ejecute, el dispositivo se inscribe en Workspace ONE UEM. Si eldispositivo está unido al dominio, Workspace ONE Intelligent Hub actualiza el registro del dispositivode Workspace ONE UEM Console con el usuario correcto.

Inscripción mediante inscripción preparada manualSimplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivosWindows 10 a través de Workspace ONE Intelligent Hub. Este método de inscripción inscribe eldispositivo y descarga los perfiles en este para que el usuario final solo tenga que iniciar sesión en eldispositivo y empezar a usarlo.

Requisitos previos

Estos dispositivos deben estar unidos a un dominio.


VMware, Inc. 20

Procedimiento

1 Navegue a www.awagent.com para descargar el instalador de Workspace ONE Intelligent Hub.

2 Inicie el instalador cuando se haya descargado.

3 Seleccione Ejecutar para iniciar la instalación.

4 Seleccione Correo electrónico si ha habilitado la detección automática de AirWatch; de lo contrario,seleccione Detalles del servidor.

5 Complete la configuración que sea necesaria en función del tipo de autenticación seleccionado:

a Introduzca la dirección de correo electrónico para rellenar automáticamente la pantalla dedetalles. Seleccione Siguiente para introducir los datos.

b Introduzca el nombre del servidor y el ID de grupo si no usa la detección automática de AirWatchpara completar la configuración. Seleccione Siguiente.

6 Introduzca el nombre de usuario y la contraseña provisionales y seleccione Siguiente.

7 Complete cualquier otra pantalla adicional.

8 Seleccione Finalizar para completar la instalación

Cuando Workspace ONE Intelligent Hub detecta un usuario de inscripción preparada, se ejecuta elproceso de escucha de Workspace ONE Intelligent Hub, que escucha el siguiente inicio de sesión deWindows. Cuando el usuario final inicia sesión en el dispositivo, el proceso de escucha deWorkspace ONE Intelligent Hub lee el UPN y la dirección de correo electrónico del usuario en elregistro del dispositivo. Esta información se envía a Workspace ONE UEM Console y se actualiza elregistro del dispositivo de modo que se registre el dispositivo para el usuario.

Parámetros y valores para la inscripción silenciosaLa inscripción silenciosa requiere entradas de línea de comandos o un archivo BAT para controlar cómorealiza Workspace ONE Intelligent Hub las descargas e instalaciones en el dispositivo.

Nota Este producto no debe utilizarse para llevar a cabo la instalación silenciosa de VMwareWorkspace ONE Intelligent Hub para Windows en dispositivos BYOD. Si realiza la instalación silenciosaen dispositivos BYOD, será el único responsable de facilitar los avisos necesarios a los usuarios finalesdel dispositivo con respecto al uso de la instalación silenciosa y los datos recopilados a partir deaplicaciones que se hayan instalado de forma silenciosa, para lo que la ley exige tanto el consentimientode los usuarios finales del dispositivo como la conformidad con la legislación vigente.

La siguiente tabla incluye todos los parámetros de inscripción que pueden introducirse en una línea decomandos o en un archivo BAT, así como sus respectivos valores. Los parámetros marcados en azul yverde son los parámetros mínimos que se requieren para la inscripción. El azul significa solo imagen. Elazul con el verde designa la inscripción del usuario.


VMware, Inc. 21

Parámetros de inscripción Valores para añadir al parámetro

ENROLL Seleccione "Y" para realizar la inscripción.

Seleccione "N" para solo imagen.

IMAGEN Seleccione "Y" para imagen.

Seleccione "N" para inscripción.

SERVER Introduzca la dirección URL de la inscripción.

LGName Introduzca el nombre del grupo organizativo.

USERNAME Introduzca el nombre del usuario para el que se realiza la inscripción o el nombre de usuario deinscripción preparada si se realiza una inscripción preparada en el dispositivo en nombre de unusuario.

PASSWORD Introduzca la contraseña del usuario para el que se realiza la inscripción o la contraseña delusuario de inscripción preparada si se realiza una inscripción preparada en el dispositivo ennombre de un usuario.

ASSIGNTOLOGGEDINUSER Seleccione "Y" para asignar el dispositivo al usuario de dominio que ha iniciado sesión.

STAGEUSERNAME Introduzca el nombre del usuario que se inscribe.

SECURITYTYPE Es necesario si la cuenta de usuario se añade a Workspace ONE UEM Console durante el procesode inscripción:

n Seleccione "D" para Directorio.

n Seleccione "B" para el tipo Usuario básico.

STAGEEMAILUSRNAME* Introduzca el nombre de usuario del correo electrónico del usuario que se inscribe.

STAGEPASSWORD Introduzca la contraseña del usuario que se inscribe.

STAGEEMAIL* Introduzca la dirección de correo electrónico del usuario que se inscribe.

DEVICEOWNERSHIPTYPE* Seleccione "CD" para Corporativo - Dedicado.

Seleccione "CS" para Corporativo - Compartido.

Seleccione "EO" para Propiedad del empleado.

Seleccione "N" para no elegir ninguno.

INSTALLDIR* Introduzca la ruta del directorio si quiere cambiar la ruta de instalación.

Nota Nota: Si este parámetro no está presente, Workspace ONE Intelligent Hub utiliza la rutapredeterminada: C:\Program Files (x86)\AirWatch.

DOWNLOADWSBUNDLE Seleccione "Y" para descargar el catálogo de VMware Workspace ONE, junto con Workspace ONEIntelligent Hub para Windows.

Los elementos marcados con un asterisco (*) son opcionales.

Ejemplos de inscripción silenciosaA continuación se muestran varios casos prácticos en los que se emplean los parámetros de inscripcióny los valores que pueden introducirse en una línea de comandos o emplear para crear un archivo BAT. Alrealizar cualquiera de estos ejemplos, el dispositivo Windows se inscribe de forma silenciosa, sin que elusuario tenga que seleccionar ningún botón de confirmación.


VMware, Inc. 22

Instalación del agente para solo imagen sin inscripciónA continuación se muestra un ejemplo de instalación de Workspace ONE Intelligent Hub para soloimagen sin inscripción, utilizando los parámetros mínimos requeridos para solo imagen.

AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y

Inscripción de usuario básicoA continuación se muestra un ejemplo de cómo utilizar los parámetros mínimos que se requieren para lainscripción básica:

AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.com LGName=locationgroupidUSERNAME=TestUsr PASSWORD=test

Workspace ONE Intelligent HubInstalado en otro lugarA continuación se muestra un ejemplo de AirwatchAgent.msi en una ubicación distinta:

C:\AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.comLGName=locationgroupid USERNAME=TestUsr PASSWORD=test

Directorio de instalación y Workspace ONE Intelligent Hub en la unidad deredA continuación se muestra un ejemplo del parámetro de directorio para la instalación con WorkspaceONE Intelligent Hub en una unidad de red:

Importante Añada comillas extra para el parámetro INSTALLDIR cuando exista un espacio dentro delparámetro.

Q:\AirwatchAgent.msi /quiet INSTALLDIR=\"E:\Install Win32\" ENROLL=Y IMAGE=nSERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

Todos los parámetros y valores disponiblesA continuación se muestra un ejemplo de la sintaxis al utilizar todos los valores y parámetros que semuestran en la tabla anterior.

<AirwatchAgent.msi> /quiet INSTALLDIR=\"<Ruta del directorio>" ENROLL=<Y/N> IMAGE=<Y/N>SERVER=<URL empresa> LGNAME=<ID grupo de ubicación> USERNAME=<Nombre de usuario>PASSWORD=<Contraseña nombre de usuario> STAGEUSERNAME=<Nombre de usuario depreparación> SECURITYTYPE=<D/B> STAGEEMAILUSRNAME=<Inscripción de usuario>STAGEPASSWORD=<Contraseña para inscripción de usuario> STAGEEMAIL=<Dirección de correoelectrónico para inscripción de usuario> DEVICEOWNERSHIPTYPE=<CD/CS/EO/N>ASSIGNTOLOGGEDINUSER=<Y/N>


VMware, Inc. 23

Servicio de aprovisionamiento de Windows 10 de VMwareAirWatchWorkspace ONE UEM es compatible con la inscripción automática de dispositivos específicos deescritorio de Windows adquiridos mediante Dell. El Servicio de aprovisionamiento de Windows 10 deVMware AirWatch simplifica el proceso al inscribir de manera automática los dispositivos registrados conel método de inscripción mediante configuración rápida.

El Servicio de aprovisionamiento de Windows 10 de VMware AirWatchsolo es posible en dispositivosconcretos de Dell con la imagen correcta de Windows 10. La funcionalidad de inscripción automáticadebe adquirirse dentro del pedido de Dell. Workspace ONE UEM solo es compatible con Windows 10Pro, Enterprise y SKU de educación para aprovisionamiento en la nube.

El Servicio de aprovisionamiento de Windows 10 de VMware AirWatchempareja los dispositivosregistrados con los usuarios y, de forma automática, inscribe el dispositivo siguiendo el método deinscripción mediante configuración rápida. Cuando el usuario final se registra en el dispositivo, el agentede aprovisionamiento del dispositivo recibe los perfiles y aplicaciones asignadas al dispositivo y alusuario. Esta función es similar al Programa de Inscripción de Dispositivos Apple.

Cuando compra los dispositivos en Dell, Workspace ONE UEM recibe los datos de estos dispositivos.Para utilizar la inscripción automática, debe registrar los números de serie de todos los dispositivoscomprados en Dell. Workspace ONE UEM empareja el número de serie con el proporcionado por Dellpara que pueda emplearse con AirWatch Auto Discovery.

Debe registrar los dispositivos con una cuenta de usuario antes de enviar los dispositivos a los usuariosfinales.

Para lograr una experiencia de inscripción sin fisuras, considere la posibilidad de configurar el método deautenticación de token de acceso externo de VMware Identity Manager. La autenticación de token deacceso externo permite que Workspace ONE UEM se abra y envíe aplicaciones al dispositivoautomáticamente. Cuando esta función está habilitada, Workspace ONE UEM autentica y provee alusuario automáticamente de una experiencia de primer inicio en la que se muestra el progreso de lainstalación de aplicaciones y políticas.

Importante "Los dispositivos inscritos a través de Servicio de aprovisionamiento de Windows 10 deVMware AirWatchno se volverán a inscribir automáticamente durante un restablecimiento de fábrica. ElServicio de aprovisionamiento de Windows 10 de VMware AirWatchsolo funciona para la primerainscripción.

Configuración del aprovisionamiento de Windows 10Configure el Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch para inscribirdispositivos Dell de escritorio de Windows automáticamente. La inscripción automática compara losnúmeros de serie de los dispositivos registrados con una lista suministrada por Dell para inscribirdispositivos mediante configuración rápida.


VMware, Inc. 24

Requisitos previos

Haber adquirido el servicio de aprovisionamiento de Windows 10 de VMware AirWatch dentro de unpedido realizado a Dell.

Procedimiento

1 Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows >Escritorio de Windows > Inscripción automática.

2 Cómo configurar los ajustes de inscripción automática:

Ajustes Descripción

Inscripción automática Seleccione Habilitar para utilizar el servicio de aprovisionamiento de Windows 10de VMware AirWatch.

Intervalo de sincronización Seleccione la cantidad de tiempo entre los intentos de sincronización entreWorkspace ONE Intelligent Hub y la consola de Workspace ONE UEM.

Aplique las políticas antes de iniciarsesión

Seleccione Habilitar para aplicar las políticas del dispositivo antes de que elusuario inicie sesión en él.

Tiempo máximo antes del inicio desesión

Seleccione el número máximo de minutos que pueden transcurrir antes de que unusuario inicie sesión tras concluir la inscripción mediante configuración rápida.

3 Seleccione Guardar.

4 Registre los números de serie de dispositivo con Workspace ONE UEM. Este paso se ha completadopara los clientes de SaaS, aunque solo es necesario para clientes locales. Valide que existen losregistros del registro de dispositivos. Si no, complete los pasos siguientes. Existen tres flujos deregistro de dispositivos:

a Navegue a Cuentas > Usuarios > Agregar > Agregar usuarioy agregue la cuenta de usuario.Una vez haya añadido el usuario, seleccione Guardar y añadir dispositivo. A continuación,complete la configuración de Añadir dispositivo. Debe configurar la plataforma para Escritoriode Windows.

b Navegue a Cuentas > Usuarios > Agregar > Importar por lotes. Descargue y complete laplantilla CSV para usuario y/o dispositivo. Cargue el CSV y seleccione Importar. Debe introducirEscritorio de Windows como Plataforma de dispositivo al completar la plantilla. Debeconfigurar la plataforma para Escritorio de Windows.

c Navegue a Ciclo de vida > Estado de inscripción > Añadir > Registrar dispositivo. Debeconfigurar la plataforma para Escritorio de Windows.

Inscripción mediante integración con Azure ADMediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se puedeninscribir automáticamente en Workspace ONE UEM con una interacción mínima por parte del usuariofinal. La inscripción mediante la integración con Azure AD simplifica este proceso tanto para el usuariocomo para el administrador.


VMware, Inc. 25

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurarWorkspace ONE UEM y Azure AD. Esta configuración requiere introducir información en lasimplementaciones de Azure AD y Workspace ONE UEM para facilitar la comunicación.

La integración con Azure AD admite tres flujos de inscripción: unirse a Azure AD, inscripción deconfiguración rápida e inscripción con Office 365. Todos los métodos requieren que se configure laintegración de Azure AD con Workspace ONE UEM.

Importante La inscripción mediante la integración de Azure AD requiere Windows 10 y una licenciaPremium de Azure Active Directory.

Configuración de la integración de los servicios de identidad deAzure ADPara poder utilizar Azure AD para inscribir los dispositivos Windows, debe configurarWorkspace ONE UEM de forma que use Azure AD como servicio de identidad. Para habilitar Azure ADse deben completar dos pasos durante los que se agregan los detalles de la inscripción de MDM aAzure.

Requisitos previos

Para integrar Azure AD con Workspace ONE UEM, debe tener una suscripción Azure AD Premium P1 oP2. La integración de Azure AD con Workspace ONE UEM debe configurarse en el inquilino en el queestá configurada la instancia de Active Directory (como LDAP).

Importante Si establece la Configuración actual como Reemplazar en la página de configuración delsistema de "Servicios de directorio", los ajustes de LDAP se deben configurar y guardar antes de habilitarAzure AD para los servicios de identidad.

Procedimiento

1 Navegue a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial >Servicios de directorio.

2 Habilite Utilizar Azure AD para los servicios de identidad en Opciones avanzadas. Una vezhabilitado, anote las direcciones URL de los términos de uso de MDM y de inscripción de MDM, yaque se necesitan al configurar el directorio de Azure.

3 Inicie sesión en el portal de administración de Azure con una cuenta de Microsoft o una cuenta deuna organización.

4 Seleccione el directorio y desplácese a la pestaña Movilidad (MDM y MAM). Esta pestaña era lapestaña Aplicaciones antes.

5 Seleccione Agregar aplicación y la aplicación AirWatch by VMware.

Si el ámbito de usuario está establecido en "Ninguno", puede utilizar las direcciones URLpredeterminadas. Si procede, también puede utilizar direcciones URL de marcador de posición.


VMware, Inc. 26

6 Deje la aplicación AirWatch by VMware en los ajustes predeterminados. Cambie Ámbito de usuariode MDM a Ninguno.


VMware, Inc. 27

7 Vuelva a seleccionar Agregar aplicación y seleccione Configuración de la aplicación MDM local.Puede cambiar el nombre de la aplicación cuando la agregue.

8 Configure la aplicación MDM local; para ello, introduzca las direcciones URL URL de inscripción deMDM y Términos de uso de MDM desde Workspace ONE UEM Console.

9 Seleccione Configuración de la aplicación MDM local y, luego, seleccione Permisos necesarios> Active Directory de Microsoft Azure.

10 Cambie los permisos de la aplicación como se indica a continuación:

a Seleccione Leer y escribir datos del directorio.

b Seleccione Leer y escribir dispositivos.

11 Cambie los permisos delegados como se indica a continuación:

a Seleccione Acceder al directorio como usuario que ha iniciado sesión.

b Seleccione Leer datos del directorio.

c Seleccione Iniciar sesión y leer perfil de usuario.

12 Seleccione la opción Propiedades e introduzca el host de servicios de dispositivo en el cuadro detexto URI de id. de aplicación.

Utilice el mismo host que usó en los cuadros de texto URL de inscripción de MDM y Términos deuso de MDM.

https://<SERVIDOR DE MDM DS>

13 Establezca Ámbito de usuario de MDM en Todos para aplicar esta configuración a todos losusuarios.

También puede limitar la inscripción OOBE a determinados grupos de Azure AD si seleccionaAlgunos y agrega los grupos de su preferencia.

14 Seleccione Guardar para continuar.


VMware, Inc. 28

15 Vaya a la pestaña Propiedades y busque el identificador de Azure Directory. Esta opción sedenominaba Identificador de inquilino antes.

16 Seleccione Detalles de cuenta de usuario en la esquina superior derecha. El nombre del inquilinoes el nombre de su directorio de Azure. Puede encontrar el nombre bajo la pestaña Dominio.

17 Regrese a la consola de UEM y seleccione Utilizar Azure AD para los servicios de identidad paraconfigurar la integración de Azure AD.

18 Introduzca el Id. de Azure Directory como Identificador de inquilino. Introduzca el dominiopredeterminado como Nombre de inquilino de Azure Directory.

19 Seleccione Guardar para finalizar el proceso.

Inscripción de un dispositivo con Azure ADInscriba dispositivos mediante integración con Azure AD para inscribir automáticamente un dispositivo enel grupo organizativo correcto de Workspace ONE UEM. Los dispositivos inscritos mediante Azure AD seunen completamente, lo que significa que todos los usuarios del dispositivo se unen al dominio.

Este flujo de inscripción está pensado para dispositivos que aún no se han unido a Azure AD. Paraobtener más información sobre la inscripción en un dispositivo administrado de Azure AD, consulteInscripción en Workspace ONE UEM de un dispositivo administrado con Azure AD

Procedimiento

1 En el dispositivo Windows 10, vaya a Configuración > Cuentas > Obtener acceso a trabajo oescuela. Seleccione Continuar.


VMware, Inc. 29

2 Introduzca su Dirección de correo electrónico. Seleccione Siguiente.

3 Confirme que aparece la página de bienvenida de Workspace ONE UEM. Seleccione Continuar.

4 Seleccione Aceptar si están habilitados los términos de uso.

5 Seleccione Unirse para confirmar que desea inscribirse en Workspace ONE UEM.

6 Seleccione Finalizar para terminar de unir el dispositivo a Workspace ONE UEM. El dispositivodescargará las políticas y los perfiles correspondientes.

Inscripción en Workspace ONE UEM de un dispositivoadministrado con Azure ADLos dispositivos que se unen a Azure AD utilizan un flujo de inscripción diferente a los dispositivos quese inscriben mediante la integración con Azure AD. Utilice este flujo para inscribir enWorkspace ONE UEM un dispositivo que ya está unido a Azure AD.

Requisitos previos

n Sistema operativo Windows 10 con número de compilación 14393.82 y superior.

n Actualización KB3176934 instalada.

n Ninguna aplicación MDM instalada en el portal de administración de Azure AD.

n Cuenta de Azure AD configurada en el dispositivo

Procedimiento

1 En el dispositivo, navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela yseleccione Inscribirse solo en administración de dispositivos.

También se puede inscribir a través de VMware Workspace ONE UEM Unified Agent para Windows.

2 Finalice el proceso de inscripción. Debe introducir una dirección de correo electrónico con un dominiodiferente al de su cuenta de Azure AD.

a Si utiliza la detección automática de Windows, consulte Inscripción mediante Work Access con elservicio de detección automática de Windows.

b Si no utiliza la detección automática de Windows, consulte Inscripción mediante Work Accesscon el servicio de detección automática de Windows.


VMware, Inc. 30

3 Navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela y asegúrese de que se hanagregado una cuenta de Azure AD y una cuenta de Workspace ONE UEM MDM.

Inscripción mediante configuración rápidaLa inscripción mediante la configuración rápida (OOBE) inscribe el dispositivo automáticamente en elgrupo organizativo correcto como parte de la configuración e instalación inicial de un dispositivoWindows 10.

Importante El flujo de inscripción de OOBE no admite la eliminación empresarial. Si realiza unaeliminación empresarial, los usuarios no pueden podrán iniciar sesión en el dispositivo ya que se habráperdido la conexión con Azure AD. Debe crear una cuenta de administrador local antes de enviar unaeliminación empresarial o se quedará bloqueado fuera del se le bloqueará el acceso al dispositivo y severá obligado a restablecer el dispositivo.


VMware, Inc. 31

Procedimiento

1 Encienda el dispositivo y siga los pasos de configuración de Windows hasta que llegue a la pantallaElija la forma de conectarse.

2 Seleccione Unirse a Azure AD. Seleccione Continuar.

3 Introduzca su dirección de correo electrónico de Azure AD o Workspace ONE UEM como Cuentaprofesional o educativa.


VMware, Inc. 32

4 Introduzca su contraseña. Seleccione Iniciar sesión.

5 Asegúrese de que se muestre la pantalla Bienvenido a AirWatch. Seleccione Continuar.




Inscripción mediante las aplicaciones de Office 365Si la organización utiliza Office 365 y la integración de Azure AD, los usuarios finales pueden inscribir susdispositivos la primera vez que abren una aplicación de Office 365.

Procedimiento

1 Seleccione Agregar una cuenta corporativa la primera vez que abra una aplicación de Office 365.

2 Introduzca su dirección de correo electrónico y su contraseña. Seleccione Iniciar sesión.

3 Asegúrese de que se muestre la página de bienvenida de Workspace ONE UEM. SeleccioneContinuar.





VMware, Inc. 33

Inscripción y aprovisionamiento en masaEl aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10y los inscribe en Workspace ONE UEM. Utilice el aprovisionamiento en masa para inscribir y configurarrápidamente múltiples dispositivos con una cuenta de usuario estándar.

Este flujo de inscripción es la única manera de inscribir un dispositivo con una cuenta de usuarioestándar. No obstante, se requieren permisos de administrador para ejecutar el paquete preconfigurado.El aprovisionamiento en masa admite únicamente la inscripción preparada estándar de un solo usuario.

Para utilizar aprovisionamiento en masa, descargue el kit de evaluación y desarrollo de Microsoft einstale la herramienta Diseñador de imágenes y configuraciones (ICD). El ICD crea paquetes deaprovisionamiento utilizados en los dispositivos de imagen. Como parte de estos paquetes deaprovisionamiento, puede incluir ajustes de configuración de Workspace ONE UEM para que losdispositivos aprovisionados se inscriban automáticamente en Workspace ONE UEM durante el procesode configuración rápida (OOBE) inicial.

Para asignar los dispositivos al usuario final correcto automáticamente, registre los dispositivos porusuario o mediante una importación en masa antes de crear el paquete de aprovisionamiento.

Inscripción mediante aprovisionamiento en masaLa herramienta Diseñador de imágenes y configuraciones de Microsoft le permite crear un paquete deaprovisionamiento para inscribir, rápida y fácilmente, múltiples dispositivos de Windows 10 en WorkspaceONE UEM. Cuando ya se ha instalado el paquete, el dispositivo se inscribe automáticamente enWorkspace ONE UEM.

Procedimiento

1 Descargue el kit de evaluación e implementación Assessment and Deployment Kit de Microsoft paraWindows 10 e instale la herramienta Diseñador de imágenes y configuraciones (ICD) de Windows.

2 Inicie el ICD de Windows y seleccione Paquete de aprovisionamiento nuevo.

3 Introduzca Nombre del proyecto y seleccione los ajustes que se podrán ver y configurar.

La elección típica es la opción Común para todas las ediciones de escritorio de Windows.

4 (opcional) Importe un paquete de aprovisionamiento si quiere crear uno nuevo basado en los ajustesde un paquete anterior.

5 Navegue a Configuración de tiempo de ejecución > Área de trabajo > Inscripciones.

6 En la Workspace ONE UEM Console, navegue a Grupos y ajustes > Todos los ajustes >Dispositivos y usuarios > Windows > Escritorio de Windows > Inscripción preparada yaprovisionamiento.

Cuando navega a esta página de configuración, se crea un usuario de inscripción preparada y semuestran las direcciones URL pertenecientes al usuario de inscripción preparada creado. Puedecrear su propio usuario de inscripción preparada para utilizarlo con el aprovisionamiento en masa,pero los ajustes mostrados en esta página de configuración no se aplican a ninguno de los usuarioscreados.


VMware, Inc. 34

7 Copie el UPN y péguelo en el campo UPN de ICD.

8 Seleccione la flecha hacia abajo que aparece junto a Inscripciones en la ventanaPersonalizaciones disponibles.

9 Configure los siguientes ajustes:

a Seleccione AuthPolicy y elija el valor mostrado en la UEM console.

b Seleccione DiscoveryServiceFullURL y copie la dirección URL mostrada en la UEM console.

c Seleccione EnrollmentServiceFullURL y copie la dirección URL mostrada en la UEM console.

d Seleccione PolicyServiceFullURL y copie la dirección URL mostrada en la UEM console.

e Seleccione Secret y copie el valor mostrado en la UEM console.

10 Seleccione Archivo > Guardar para guardar el proyecto.

11 Seleccione Exportar > Paquete de aprovisionamiento para crear un paquete para utilizarlo con elaprovisionamiento en masa. Luego, seleccione Siguiente.

12 Guarde la Contraseña de cifrado para usarla posteriormente si decide cifrar el paquete y despuésseleccione Siguiente.

13 Guarde el paquete en una unidad USB para transferirlo a cada dispositivo que desee aprovisionar.También puede enviar el paquete por correo electrónico al dispositivo.

14 Seleccione Compilar para crear el paquete.


VMware, Inc. 35

Pasos siguientes

A continuación, debe instalar el paquete de aprovisionamiento en masa. Para obtener más información,consulte Instalación de paquetes de aprovisionamiento en masa

Instalación de paquetes de aprovisionamiento en masaDespués de crear los paquetes de aprovisionamiento utilizando Diseñador de imágenes yconfiguraciones de Microsoft, debe instalar el paquete de aprovisionamiento en los dispositivos de losusuarios finales.

Procedimiento

1 En el dispositivo que quiera aprovisionar, navegue a Ajustes > Cuentas > Acceso profesional yseleccione Agregar o quitar un paquete para el trabajo o el colegio. Si se envió el paquete porcorreo electrónico, ábralo desde su cliente de correo.

2 Seleccione Agregar un paquete y seleccione la opción Medio extraíble como método para agregarel paquete.

3 Seleccione el paquete correcto en la lista proporcionada.

Si agregó el dispositivo a la cuenta de usuario en Workspace ONE UEM Console antes de realizar elaprovisionamiento, el dispositivo se asigna al realizar la inscripción.


VMware, Inc. 36

Resumen de los perfiles deescritorio de Windows 3Los perfiles se utilizan principalmente para administrar dispositivos. Configure los perfiles para que susdispositivos de escritorio de Windows estén protegidos y tengan acceso a su configuración preferida.

IntroducciónImagine que los perfiles son ajustes y reglas que, combinados con las políticas de conformidad, loayudan a aplicar reglas y procedimientos corporativos. Contienen los ajustes, las configuraciones y lasrestricciones que desea aplicar en los dispositivos.

Un perfil incluye ajustes generales de perfiles y una carga útil específica. Los perfiles funcionan mejorcuando solo contienen una única carga útil.

Los perfiles de escritorio de Windows se aplican en un dispositivo al nivel del usuario o al nivel deldispositivo. Al crear perfiles de escritorio de Windows, puede seleccionar el nivel al que desea que seaplique el perfil. Algunos perfiles solo pueden aplicarse al nivel del usuario o al nivel del dispositivo.Workspace ONE UEM ejecuta comandos que se aplican al contexto del dispositivo, incluso si en este nohay ningún inicio de sesión activo de un usuario inscrito. Los perfiles específicos para usuarios requierenun inicio de sesión activo de un usuario inscrito.

Valores de referenciaEl mantenimiento de las mejores configuraciones para proteger los dispositivos puede ser un desafío.Workspace ONE UEM guarda las prácticas recomendadas como Valores de referencia. Esta función lepermite simplificar el proceso mediante la aplicación de los ajustes y las configuraciones recomendadospor el sector. Con las Valores de referencia, solo tiene que seleccionar un grupo inteligente y una líneade base, y los dispositivos permanecerán actualizados con los ajustes recomendados por el sector, comolas líneas de base de Microsoft o los bancos de pruebas de CIS. Para obtener más información sobreValores de referencia, consulte Capítulo 4 Uso de Valores de referencia.


n Configuración de un perfil de código de acceso (escritorio de Windows)

n Configuración de un perfil de Wi-Fi (escritorio de Windows)

n Perfil de VPN (escritorio de Windows)

n Perfil de credenciales (escritorio de Windows)

n Configuración de una carga útil de restricciones (escritorio de Windows)

VMware, Inc. 37

n Perfil de protección de datos (escritorio de Windows)

n Perfil de Windows Hello (escritorio de Windows)

n Configuración de un perfil de firewall (escritorio de Windows)

n Configuración de un perfil de modo de aplicación única (escritorio de Windows)

n Configuración de un perfil de antivirus (escritorio de Windows)

n Perfil de cifrado (escritorio de Windows)

n Configuración de un perfil de actualizaciones de Windows (escritorio de Windows)

n Cómo crear un perfil de proxy (escritorio de Windows)

n Configuración de un perfil de web clips (escritorio de Windows)

n Perfiles de Exchange ActiveSync (escritorio de Windows)

n Perfil de SCEP (escritorio de Windows)

n Perfil de control de aplicaciones (escritorio de Windows)

n Configuración de un perfil de servicios web de Exchange (escritorio de Windows)

n Creación de un perfil de licencias de Windows (escritorio de Windows)

n Configuración de un perfil de BIOS (escritorio de Windows)

n Configuración de un perfil de actualizaciones de OEM (escritorio de Windows)

n Configuración de un perfil de quiosco (escritorio de Windows)

n Cómo configurar un perfil de personalización (escritorio de Windows)

n Uso de ajustes personalizados (escritorio de Windows)

Configuración de un perfil de código de acceso(escritorio de Windows)Exija un perfil de código de acceso para proteger los dispositivos con códigos de acceso cada vez queregresen de un estado inactivo. Este código de acceso asegura que toda la información confidencialcorporativa de los dispositivos administrados permanezca protegida.

Los códigos de acceso establecidos con esta carga útil solo entrarán en vigor si el código de acceso esmás estricto que los códigos de acceso existentes. Por ejemplo, si el código de acceso de la cuenta deMicrosoft existente requiere unos ajustes más estrictos que los requeridos por la carga útil de código deacceso, el dispositivo sigue utilizando el código de acceso de la cuenta de Microsoft.

Importante La carga útil del código de acceso no se aplica a los dispositivos unidos al dominio.

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista en lista > Agregar y seleccione Agregar perfil.

2 Seleccione Windows y luego Escritorio de Windows.


VMware, Inc. 38

3 Seleccione Perfil del dispositivo.

4 Configure los ajustes de la sección General del perfil.

5 Seleccione el perfil de código de acceso.

6 Configure los ajustes de Código de acceso:


Complejidad de contraseña Ajuste esta opción en Simple o Complejo para elegir el nivel de dificultad de lacontraseña que prefiera.

Requerir valores alfanuméricos Habilite esta opción para exigir que el código de acceso sea un código de accesoalfanumérico.

Longitud mínima de la contraseña Introduzca la cantidad mínima de caracteres que debe contener una contraseña.

Vigencia máxima de la contraseña(días)

Introduzca la cantidad máxima de días que pueden pasar hasta que el usuariotenga que cambiar la contraseña.

Vigencia mínima de la contraseña(días)

Introduzca la cantidad mínima de días que pueden pasar hasta que el usuariotenga que cambiar la contraseña.

Tiempo de espera de bloqueo deldispositivo (minutos)

Introduzca la cantidad de minutos que pasarán hasta que el dispositivo se bloqueeautomáticamente y requiera reintroducir el código de acceso.

Número máximo de intentos fallidos Introduzca la cantidad máxima de intentos que el usuario final puede introducirantes de reiniciar el dispositivo.

Historial de contraseña (repeticiones) Introduzca la cantidad de veces que se recuerda la contraseña.

Si el usuario final reutiliza una contraseña el número de veces registrado, no podrávolver a utilizar dicha contraseña.

Por ejemplo, si introduce 12 en este campo, el usuario final no podrá reutilizar las12 contraseñas anteriores.

Cifrado reversible para elalmacenamiento de contraseña

Habilite esta opción para configurar el sistema operativo de forma que almacenelas contraseñas utilizando el cifrado reversible.

Almacenar las contraseñas utilizando el cifrado reversible es, básicamente, lomismo que almacenar versiones de las contraseñas en texto sin formato.

Por este motivo, esta política no debe habilitarse nunca a menos que los requisitosde la aplicación sean superiores a la necesidad de proteger la información de lacontraseña.

Utilizar agente de protección paradispositivos Windows 10

Habilite el uso de Workspace ONE Intelligent Hub para realizar ajustes de perfil decódigo de acceso en lugar de la funcionalidad de DM nativa. Habilite estaconfiguración si experimenta problemas utilizando la funcionalidad de DM nativa.

Política de contraseña deWindows 8.0

Habilite esta opción para utilizar la política de contraseña de Windows 8.0heredada.

Caducar contraseña Habilite esta opción para que la contraseña existente en el dispositivo caduque yexigir la creación de una contraseña nueva.

Es necesario que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

7 Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.


VMware, Inc. 39

Configuración de un perfil de Wi-Fi (escritorio deWindows)Cree un perfil de Wi-Fi para conectar los dispositivos a las redes corporativas, aun cuando estén ocultas,cifradas o protegidas mediante contraseña. Los perfiles de Wi-Fi son útiles para los usuarios finales quenecesitan acceso a múltiples redes o para configurar que los dispositivos se conecten automáticamentea una red inalámbrica adecuada.

Procedimiento





5 Seleccione el perfil de Wi-Fi.

6 Configure los ajustes de la sección General.


Identificador de red Introduzca un identificador asociado con el nombre (SSID) de la red Wi-Fideseada.

El SSID no puede contener espacios.

Red oculta Habilite esta opción si la red no está abierta para difusión.

Unirse automáticamente Habilite esta opción para que el dispositivo se una a la red de forma automática.

Tipo de seguridad Utilice el menú desplegable para seleccionar el tipo de seguridad (por ejemplo,WPA2 Personal) para la red Wi-Fi.

Cifrado Utilice el menú desplegable para seleccionar el tipo de cifrado utilizado.

Aparece según el tipo de seguridad.

Contraseña Introduzca la contraseña requerida para unirse a la red Wi-Fi en los casos deredes con contraseñas estáticas.

Seleccione la casilla de verificación Mostrar los caracteres para inhabilitar lafunción de ocultar los caracteres en el campo.

Aparece según el tipo de seguridad.

Proxy Habilite esta opción para configurar los ajustes del proxy para la conexión Wi-Fi.

URL Introduzca la dirección URL del proxy.

Puerto Introduzca el puerto del proxy.

Protocolos Seleccione el tipo de protocolos que desea utilizar:

Certificado: PEAP-MsChapv2

EAP-TTLS: personalizado

Esta sección aparece cuando Tipo de seguridad está ajustado en WPAEnterprise o WPA2 Enterprise.


VMware, Inc. 40


Identidad interna Seleccione el método de autenticación a través de EAP-TTLS:

n Nombre de usuario/contraseñan CertificadoEsta sección aparece cuando la opción Protocolos está ajustada en EAP-TTLS oPEAP-MsChapv2.

Requerir enlace de cifrado Habilite esta opción para exigir el enlace criptográfico en ambas autenticaciones.

Esta opción limita los ataques de tipo “Man in the middle”.

Utilizar las credenciales de inicio desesión de Windows

Habilite esta opción para usar las credenciales de inicio de sesión de Windowscomo el nombre usuario y la contraseña de autenticación.

Aparece cuando Nombre de usuario/Contraseña está ajustado como Identidadinterna.

Certificado de identidad Seleccione un certificado de identidad que puede configurar utilizando la carga útilde credenciales. Consulte Perfil de credenciales (escritorio de Windows) para másinformación.

Aparece cuando Certificado está ajustado como Identidad interna.

Certificados de confianza Seleccione Agregar para agregar certificados de confianza al perfil de Wi-Fi.

Esta sección aparece cuando Tipo de seguridad está ajustado en WPAEnterprise o WPA2 Enterprise.

Permitir excepciones de confianza Habilite esta opción para permitir que el usuario tome decisiones de confianzamediante un cuadro de diálogo.


Perfil de VPN (escritorio de Windows)Workspace ONE UEM es compatible con la configuración de los ajustes de VPN del dispositivo para quelos usuarios finales puedan acceder de forma remota y segura a la red interna de la organización. Elperfil de VPN ofrece un control detallado sobre los ajustes de la conexión, como los ajustes delproveedor de la VPN y acceso VPN por aplicación.

Workspace ONE UEM es compatible con tipos específicos de conexiones VPN para diversosproveedores de VPN, entre los cuales se incluyen:

VPN por aplicaciónLa VPN por aplicación le permite configurar reglas de tráfico de VPN basadas en aplicacionesespecíficas. Si está configurada, la VPN se conecta automáticamente cuando se inicia una aplicaciónespecífica; se envía el tráfico de la aplicación a través de la conexión VPN, pero no el de otrasaplicaciones. Con esta flexibilidad, puede confiar en que los datos permanecen protegidos, al tiempo queno limita el acceso del dispositivo a Internet.

Cada grupo de reglas de la sección Reglas de VPN por aplicación utiliza el operador lógico OR. De estaforma, si el tráfico coincide con alguna de las políticas establecidas, se permite a través de la VPN.


VMware, Inc. 41

Las aplicaciones a las que se aplican las reglas de tráfico de VPN por aplicación pueden ser aplicacionesde Windows heredadas, como archivos EXE, o aplicaciones modernas descargadas de Microsoft Store.Al designar aplicaciones específicas para que se abran y utilicen la conexión VPN, solo el tráficoprocedente de estas aplicaciones utiliza la VPN sin exigir que todo el tráfico procedente del dispositivoutilice tal conexión VPN. Esta lógica permite proteger los datos corporativos al tiempo que reduce elancho de banda enviado a través de la VPN.

Para ayudar a reducir la restricción de VPN, puede configurar reglas de enrutamiento de DNS para laconexión VPN por aplicación. Estas reglas de enrutamiento limitan el tráfico enviado a través de la VPNa solo el tráfico que coincide con las reglas. Las reglas lógicas usan el operador AND, de modo que siestablece una dirección IP, puerto y protocolo de IP, el tráfico debe coincidir con CADA uno de estosfiltros para pasar a través de la VPN.

La VPN por aplicación le permite crear un control pormenorizado y detallado de sus conexiones VPNespecífico de cada aplicación.


VMware, Inc. 42

Configuración de un perfil de VPN (escritorio de Windows)Configure los ajustes de la VPN del dispositivo para tener acceso a la infraestructura corporativa deforma remota y segura. También se pueden configurar conexiones de VPN por aplicación que limitan eltráfico a través de la VPN a aplicaciones específicas y ajustar la VPN para que se conecteautomáticamente cada vez que se inicie la aplicación especificada.

Procedimiento



3 Seleccione Perfil del usuario o Perfil del dispositivo.


5 Seleccione el perfil de VPN.

6 Configure los ajustes de Información de la conexión:


Nombre de la conexión Introduzca el nombre de la conexión de VPN.

Tipo de conexión Seleccione el tipo de conexión de VPN.

Servidor Introduzca la dirección IP o el nombre de host del servidor VPN.

Puerto Introduzca el puerto que utiliza el servidor VPN.

Ajustes de conexión avanzados Habilítelos para configurar las reglas de enrutamiento avanzadas para la conexióna la VPN del dispositivo.

Direcciones de enrutamiento Seleccione Agregar para introducir las direcciones IP y el tamaño del prefijo de lasubred del servidor VPN.

Puede que necesite direcciones de enrutamiento adicionales.

Reglas de enrutamiento DNS Seleccione "Agregar" para introducir el Nombre de dominio que gobierna el usode la VPN. Introduzca los servidores DNS y los servidores de proxy web quedesea usar para cada dominio específico.

Política de enrutamiento Elija Exigir que todo el tráfico pase por VPN o Permitir el acceso directo a losrecursos externos.

n Exigir que todo el tráfico pase por VPN (túnel forzado): en esta regla detráfico, todo el tráfico de IP debe pasar exclusivamente a través de la interfazde VPN.

n Permitir el acceso directo a los recursos externos (túnel dividido): en estaregla de tráfico, solo el tráfico destinado a la interfaz de VPN (según determinela pila de red) pasa a través de la interfaz. El tráfico de Internet puede seguirpasando a través de otras interfaces.

Proxy Seleccione Detección automática para detectar automáticamente los servidoresproxy que utiliza la VPN. Seleccione Manual para configurar el servidor proxy.

Servidor Introduzca la dirección IP del servidor proxy.

Aparece cuando Proxy se configura como Manual.


VMware, Inc. 43


URL de configuración del servidorproxy

Introduzca la dirección URL para los ajustes de configuración del servidor proxy.

Aparece cuando Proxy se configura como Manual.

Desviar del proxy al local Habilite esta opción para omitir el servidor proxy cuando el dispositivo que lodetecte esté en la red local.

Protocolo Seleccione el protocolo de autenticación para la VPN:

n EAP – Permite diversos métodos de autenticación.

n Certificado de máquina: detecta un certificado de cliente en el almacén decertificados de dispositivos con vistas a su uso para la autenticación.

Tipo de EAP Seleccione el tipo de autenticación EAP.

n EAP-TLS – Autenticación mediante tarjeta inteligente o certificado de cliente.

n EAP-MSCHAPv2 – Nombre de usuario y contraseña

n EAP-TTLS

n PEAP

n Configuración personalizada – Permite todas las configuraciones EAP.

Solo se muestra si el Protocolo está ajustado a EAP.

Tipo de credenciales Seleccione Utilizar certificado para utilizar un certificado de cliente. SeleccioneUtilizar tarjeta inteligente con el fin de utilizar una tarjeta inteligente paraautenticarse.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

Selección de certificado simple Habilite esta opción para simplificar la lista de certificados desde la que elige elusuario. Los certificados se muestran según el certificado que se emitió hacemenos tiempo para cada entidad.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

Utilizar las credenciales de inicio desesión de Windows

Habilite esta opción para utilizar las mismas credenciales que el dispositivoWindows.

Aparece cuando Tipo de EAP está ajustado en EAP-MSCHAPv2.

Privacidad de la identidad Introduzca el valor que desea enviar a los servidores antes de que el clienteautentique la identidad del servidor.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Método de autenticación interna Seleccione el método de la autenticación para la autenticación de la identidadinterna.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Habilitar reconexión rápida Habilite esta opción para reducir el periodo de tiempo entre una solicitud deautenticación emitida por un cliente y la respuesta procedente del servidor.

Aparece cuando Tipo de EAP está ajustado en PEAP.

Habilitar la privacidad de identidad Habilite esta opción para proteger la identidad del usuario hasta que el cliente seautentique con el servidor.

Reglas de VPN por aplicación Seleccione Agregar para agregar reglas de tráfico para aplicaciones heredadas ymodernas específicas. Para obtener más información acerca de VPN poraplicación, consulte Perfil de VPN (escritorio de Windows).


VMware, Inc. 44


ID de aplicación Seleccione primero si la aplicación es una aplicación de la tienda o una aplicaciónde escritorio. Luego introduzca la ruta del archivo de la aplicación para lasaplicaciones de escritorio o el nombre de familia de paquete para las aplicacionesde la tienda para especificar la aplicación a la que se aplican las reglas de tráfico.

n Ejemplo de la ruta del archivo: %ProgramFiles%/Internet Explorer/iexplore.exe

n Ejemplo del nombre de familia de paquete:AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

La consulta de nombre de familia de paquete le permite buscar el nombre defamilia de paquete al seleccionar el icono Buscar. Aparece una ventana que lepermite seleccionar la aplicación que desea gobernar con las reglas de VPN poraplicación. El nombre de familia de paquete se llena automáticamente.

VPN a pedido Habilite esta opción para que la conexión VPN se conecte automáticamente alabrir la aplicación.

Política de enrutamiento Seleccione la política de enrutamiento de la aplicación.

n Permitir el acceso directo a los recursos externos permite el tráfico VPN yel tráfico a través de la conexión de red local.

n Exigir que todo el tráfico pase por VPN obliga a que todo el tráfico pase através de la VPN.

Reglas de enrutamiento DNS Habilite esta opción para agregar reglas de enrutamiento de DNS para el tráfico dela aplicación.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para lasreglas de enrutamiento. Solo podrá enviarse a través de la VPN el tráfico de laaplicación especificada que coincida con las reglas.

n Dirección IP: una lista de valores separados por comas que especifica losintervalos de las direcciones IP que se permiten.

n Puertos: una lista de valores separados por comas que especifica losintervalos de los puertos remotos que se permiten. Por ejemplo, 100-120, 200,300-320. Los puertos solo son válidos cuando el protocolo está establecidocomo TCP o UDP.

n Protocolo de IP: valor numérico de 0 a 255 que representa el protocolo de IPque se permite. Por ejemplo, TCP = 6 y UDP = 17.

Para más información acerca de cómo funcionan estos filtros y políticas y la lógicautilizada, consulte Perfil de VPN (escritorio de Windows).

Reglas de VPN para todo eldispositivo

Seleccione Agregar para agregar reglas de tráfico para todo el dispositivo.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para lasreglas de enrutamiento. Solo se podrá enviar a través de la VPN el tráfico quecoincida con estas reglas.

n Dirección IP: una lista de valores separados por comas que especifica losintervalos de las direcciones IP que se permiten.

n Puertos: una lista de valores separados por comas que especifica losintervalos de los puertos remotos que se permiten. Por ejemplo, 100-120, 200,300-320. Los puertos solo son válidos cuando el protocolo está establecidocomo TCP o UDP.

n Protocolo de IP: valor numérico de 0 a 255 que representa el protocolo de IPque se permite. Por ejemplo, TCP = 6 y UDP = 17. Para obtener una lista delvalor numérico de todos los protocolos, consulte https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.


VMware, Inc. 45

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml


Recordar las credenciales Habilite esta opción para recordar las credenciales de inicio de sesión del usuariofinal.

Siempre prendido Habilite esta opción para hacer que la conexión VPN siempre esté activada.

Bloqueo de VPN Habilite esta opción para hacer que la VPN esté siempre activada y nunca sedesconecte, inhabilitar el acceso a la red si la VPN no está conectada y evitar queotros perfiles de VPN se conecten al dispositivo.

Si hay un perfil de VPN con el bloqueo de VPN habilitado, debe eliminarlo antes deinsertar un nuevo perfil de VPN en el dispositivo.

Esta función solo se muestra si el perfil está establecido en el contexto Dispositivo.

Desviar al local Habilite esta opción para omitir la conexión VPN para el tráfico de intranet local.

Detección de red de confianza Introduzca las direcciones de red de confianza separadas por comas. La VPN nose conecta cuando se detecta una conexión de red de confianza.

Dominio Seleccione Añadir un nuevo dominio para agregar dominios para la resoluciónmediante el servidor VMware Tunnel.

Cualquier dominio agregado se resuelve a través del servidor de VMware Tunnelcon independencia de la aplicación que originase el tráfico. Por ejemplo,vmware.com se resolverá mediante el servidor VMware Tunnel si utiliza Chrome,que está en la lista blanca, o las aplicaciones Edge, que no están en la listablanca.

Esta opción solo se muestra si crea el perfil de VPN como perfil de usuario.


Perfil de credenciales (escritorio de Windows)Un perfil de credenciales le permite insertar certificados raíz, intermedio y del cliente para admitircualquier caso de uso de autenticación de certificado e infraestructura de clave pública (PKI). El perfilenvía credenciales configuradas al almacén de credenciales adecuado en el dispositivo de escritorio deWindows.

Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a lafuerza bruta, ataques de diccionario y errores de sus empleados. Para obtener una seguridad máscompleta, puede implementar certificados digitales con los que proteger sus recursos corporativos. Parautilizar certificados de esta manera, debe configurar primero una carga útil de credenciales con unaentidad de certificación (CA), y luego configurar las cargas útiles de Wi-Fi y VPN. Cada una de estascargas tiene ajustes para asociar la entidad de certificación (CA) definida en la carga útil de credenciales.

El perfil de credenciales también le permite insertar certificados S/MIME en los dispositivos. Estoscertificados se cargan en la cuenta de cada usuario y los controla el perfil de credenciales.

¿Quiere usar la autenticación EAP basada en certificados para perfiles de VPN y Wi-Fi? Consulte elsiguiente artículo de la base de conocimientos: https://support.air-watch.com/articles/115001664448.


VMware, Inc. 46


Configuración de un perfil de credenciales (escritorio deWindows)Un perfil de credenciales envía certificados a los dispositivos para utilizarlos en la autenticación. ConWorkspace ONE UEM, puede configurar las credenciales para los almacenes de certificados depersonas de confianza, editor de confianza, raíz de confianza, intermedios y personales.

Procedimiento





5 Seleccione la carga útil de credenciales y configure los siguientes ajustes:


Fuente de credenciales Seleccione la fuente de credenciales como una Carga, una Entidad definida decertificación o un Certificado de usuarioLas opciones de carga útil restantes dependen de la fuente.

n Si selecciona Cargar, debe cargar un certificado nuevo.

n Si selecciona Entidad definida de certificación, debe escoger una entidad decertificación y una plantilla predefinidas.

n Si selecciona Certificado de usuario, debe seleccionar cómo se utiliza elcertificado de S/MIME.

Cargar Seleccione esta opción para navegar hasta el archivo de certificado decredenciales deseado y cargarlo en Workspace ONE UEM Console.

Este ajuste se muestra cuando se selecciona Cargar como Fuente decredenciales.

Entidad de certificación Utilice el menú desplegable para seleccionar una entidad de certificaciónpredefinida.

Este ajuste se muestra cuando se selecciona Entidad definida de certificacióncomo Fuente de credenciales.

Plantilla de certificado Utilice el menú desplegable para seleccionar una plantilla de certificadopredefinida específica de la entidad de certificación seleccionada.

Este ajuste se muestra cuando se selecciona Entidad definida de certificacióncomo Fuente de credenciales.

Exportar la clave privada Seleccione Permitir para que los usuarios finales puedan exportar certificados conel Administrador de certificados de Windows.

Seleccione No permitir para que los usuarios no puedan exportar los certificados.


VMware, Inc. 47


Ubicación de la clave Seleccione la ubicación de la clave privada del certificado:

n TPM, si está: seleccione esta opción para almacenar la clave privada en unmódulo de plataforma segura si está presente en el dispositivo; de lo contrario,debe almacenarla en el sistema operativo.

n TPM requerido: seleccione esta opción para almacenar la clave privada en unmodo de plataforma segura. Si no hay un módulo de plataforma segurapresente, el certificado no se instala y se muestra un error en el dispositivo.

n Software: seleccione esta opción para almacenar la clave privada en elsistema operativo del dispositivo.

n Passport: seleccione esta opción para guardar la clave privada en MicrosoftPassport. Esta opción requiere la integración con Azure AD.

Almacén de certificados Seleccione el almacén de certificados adecuado para que la credencial resida enel dispositivo:

n Personal: seleccione esta opción para almacenar los certificados personales.Los certificados personales requieren Workspace ONE Intelligent Hub en eldispositivo o el uso de la carga útil SCEP.

n Intermedio: seleccione esta opción para almacenar los certificados deentidades de certificación intermedias.

n Raíz de confianza: seleccione esta opción para almacenar los certificados deentidades de certificación de confianza y los certificados raíz de suorganización y de Microsoft.

n Publicador de confianza: seleccione esta opción para almacenar loscertificados de entidades de certificación de confianza en los que se confíasegún las políticas de restricción de software.

n Personas de confianza: seleccione esta opción para almacenar loscertificados de personas de confianza o de entidades finales en las que seconfía explícitamente. A menudo estos certificados son certificadosautofirmados o certificados en los que se confía explícitamente en unaaplicación, como Microsoft Outlook.

Guardar la ubicación Seleccione Usuario o Máquina para definir dónde está ubicado el certificado.

S/MIME Seleccione si el certificado S/MIME es para cifrado o firma.

6 Seleccione Guardar y publicar para insertar el perfil en los dispositivos.

Configuración de una carga útil de restricciones(escritorio de Windows)Implemente una carga útil de restricciones para proporcionar una mayor protección a los dispositivos deescritorio de Windows. Utilice la carga útil de restricciones para inhabilitar el acceso de usuarios finales alas funciones de los dispositivos y garantizar así que no los manipulen.

La versión y la edición de Windows que utilice determinan las restricciones que se aplican al dispositivo.

Para aplicar un perfil de restricciones:

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista en lista y seleccione Agregar.


VMware, Inc. 48




5 Seleccione el perfil de Restricciones.

6 Configure los ajustes de Administración:


Permitir la anulación de inscripciónmanual de MDM

Permita al usuario final que anule la inscripción de Workspace ONE UEM de formamanual mediante la inscripción de Workplace/Work Access.

Esta restricción se aplica a dispositivos Windows 10 únicamente y no escompatible con dispositivos Windows 10 Home.

El Hub de configuración instalará lospaquetes de aprovisionamientodurante la ejecución

Habilite esta opción para permitir el uso de paquetes de aprovisionamiento parainscribir dispositivos en Workspace ONE UEM (aprovisionamiento en masa).


Ubicación Seleccione la forma en qué los servicios de ubicación se ejecutan en eldispositivo.


Motor en tiempo de ejecución delagente de configuración paraeliminar los paquetes deaprovisionamiento

Habilite esta opción para permitir la eliminación de los paquetes deaprovisionamiento.


Enviar datos de telemetría dediagnóstico y de uso

Seleccione el nivel de los datos de telemetría que desea enviar a Microsoft.


Exigir una cuenta de Microsoft paraMDM

Habilite esta opción para exigir una cuenta de Microsoft para que los dispositivosreciban las políticas o las aplicaciones.

Requerir una cuenta de Microsoftpara aplicaciones modernas

Habilite esta opción para exigir una cuenta de Microsoft para que los dispositivosdescarguen e instalen aplicaciones de Windows.

Los paquetes de aprovisionamientodeben tener un certificado firmadopor una entidad de confianza deldispositivo

Habilite esta opción para exigir un certificado de confianza para todos lospaquetes de aprovisionamiento (aprovisionamiento en masa).


Permitir que el usuario cambie losajustes de la reproducciónautomática

Permite al usuario cambiar el programa que se va a usar para reproducirautomáticamente los tipos de archivos.


Permite que el usuario cambie losajustes de Data Sense

Permite al usuario cambiar los ajustes de Data Sense para restringir el uso dedatos en el dispositivo.



VMware, Inc. 49


Fecha / hora Permite al usuario cambiar los ajustes de Fecha/Hora.


Idioma Permite al usuario cambiar los ajustes de idioma.


Permitir que el usuario cambie losajustes de inicio y suspensión

Permite al usuario cambiar los ajustes de inicio y suspensión.


Región Permite al usuario cambiar la región.


Permitir que el usuario cambie lasopciones de inicio de sesión

Permite al usuario cambiar las opciones de inicio de sesión.


VPN Permite al usuario cambiar los ajustes de la VPN.


Permite al usuario cambiar losajustes de Workplace

Permite al usuario cambiar los ajustes de Workplace y el funcionamiento de MDMen el dispositivo.


Permite al usuario cambiar losajustes de cuenta

Permite al usuario cambiar los ajustes de idioma.


Bluetooth Permite utilizar la conexión Bluetooth en el dispositivo.


Publicidad del Bluetooth deldispositivo

Permite que el dispositivo difunda avisos de Bluetooth.


Dispositivos con capacidad deBluetooth pueden descubrir eldispositivo

Permite que otros dispositivos con Bluetooth detecten el dispositivo.


Cámara Permite el acceso a la función de cámara del dispositivo.


Cortana Permite el acceso a la aplicación Cortana.



VMware, Inc. 50


Experiencia del usuario de ladetección del dispositivo en lapantalla de bloqueo

Permite que la experiencia de usuario de detección de dispositivos en la pantallade bloqueo detecte proyectores y otras pantallas.

Si está habilitado, los accesos directos Win+P y Win+K no funcionan.


Registros de IME Permite al usuario activar y desactivar el registro de conversiones incorrectas yguardar el resultado de ajuste automático en un archivo y la entrada predictivabasada en historial.


Acceso IME a la red Habilite esta opción para permitir al usuario activar el diccionario extendido abiertopara integrar las búsquedas de Internet con el fin de proporcionar sugerencias deentrada que no existen en el diccionario local de los dispositivos.


SmartScreen Habilite esta opción para permitir al usuario final utilizar la función MicrosoftSmartScreen, que es un método de seguridad que requiere que el usuario finaldibuje formas sobre una imagen para desbloquear el dispositivo. Esta opcióntambién permite al usuario final utilizar PIN como código de acceso.

Nota Después de inhabilitar esta función, no podrá volver a habilitarla medianteMDM de Workspace ONE UEM. Para habilitarla de nuevo, deberá realizar unrestablecimiento de fábrica del dispositivo.

La restricción no se aplica a dispositivos Windows 10 Home.

Buscar para utilizar la información deubicación

Permite que la opción de búsqueda utilice la información de la ubicación deldispositivo.


Tarjeta de almacenamiento Habilite esta opción para permitir el uso de una tarjeta SD y de los puertos USBdel dispositivo.


Ajustes de sincronización deWindows

Permite al usuario sincronizar los ajustes de Windows entre dispositivos.


Sugerencias de Windows Permite mostrar sugerencias de Windows en el dispositivo para ayudar al usuario.


Ajustes del control de la cuenta delusuario

Seleccione el nivel de notificación enviado a los usuarios finales cuando uncambio en el sistema operativo requiere permisos de administración de undispositivo.

Permitir aplicaciones de confianzaque no sean de Microsoft Store

Permite descargar e instalar aplicaciones que no son de confianza paraMicrosoft Store.

Esta restricción se aplica a todos los dispositivos Windows 10.


VMware, Inc. 51


Actualizaciones automáticas de latienda de aplicaciones

Habilite esta opción para permitir que las aplicaciones descargadas desdeMicrosoft Store se actualicen automáticamente cuando existan versiones nuevas.


Permitir desbloqueo de desarrollador Permite el uso del ajuste de desbloqueo de desarrollador para la carga de pruebade las aplicaciones en los dispositivos.


Permitir DVR y difusión de juegos Habilite esta opción para permitir la grabación y difusión de juegos en eldispositivo.


Permitir los datos compartidos entrevarios usuarios que utilicen la mismaaplicación

Permite compartir datos entre múltiples usuarios de una aplicación.


Restringir los datos de la aplicaciónal volumen del sistema

Restringe los datos de la aplicación al mismo volumen que el sistema operativo,en lugar de volúmenes secundarios o soportes extraíbles.


Restringir la instalación deaplicaciones a la unidad del sistema

Restringe la instalación de las aplicaciones a la unidad del sistema, en lugar de aunidades secundarias o medios extraíbles.


Conexión automática a las zonas Wi-Fi

Habilite esta opción para permitir que el dispositivo se conecte automáticamente alas zonas Wi-Fi utilizando la funcionalidad de detección de Wi-Fi.


Datos celulares en roaming Permite el uso de datos celulares cuando se está en roaming.


Uso compartido de Internet Habilite esta opción para permitir el uso compartido de Internet entre dispositivos.


Uso de datos en roaming Habilite esta opción para permitir a los usuarios finales transmitir y recibir los datosen roaming.

Esta restricción se aplica a todos los dispositivos Windows.

Conexión VPN en la red celular Permite utilizar VPN en conexiones de datos celulares.


Roaming de la conexión VPN en lared celular

Permite utilizar una VPN durante conexiones de datos celulares en roaming.



VMware, Inc. 52


Relleno automático Permite el uso de la opción de relleno automático para completar informaciónsobre el usuario.


Cookies Permite el uso de cookies


No monitorear Permite el uso de solicitudes de "No monitorear".


Administrador de contraseñas Permite el uso de un administrador de contraseñas.


Ventanas emergentes Permite el uso de ventanas de emergentes del navegador


Buscar sugerencias en la barra dedirección

Permite que las sugerencias de búsqueda aparezcan en la barra de dirección


SmartScreen Permite el uso del filtro de sitios maliciosos y de contenido SmartScreen.


Enviar el tráfico intranet a InternetExplorer

Permite el tráfico de intranet para utilizar Internet Explorer.


Dirección URL de lista del sitio webempresarial

Introduzca la dirección URL para una lista del sitio web empresarial.



Perfil de protección de datos (escritorio de Windows)El perfil de protección de datos configura reglas para controlar cómo las aplicaciones empresarialesacceden a datos de procedencia diversa desde su organización. El uso de la protección de datosgarantiza que solo se pueda acceder a su información mediante aplicaciones seguras y aprobadas.

Al tener datos corporativos y personales en el mismo dispositivo, es posible que se revele información deforma accidental a través de servicios que se encuentran fuera del control de su organización. Con lacarga útil de protección de datos, Workspace ONE UEM controla la forma en la que los datosempresariales se transfieren entre las aplicaciones para limitar su exposición y causar una mínimarepercusión en los usuarios finales. Workspace ONE UEM utiliza la función Microsoft WindowsInformation Protection (WIP) para proteger sus dispositivos Windows 10.


VMware, Inc. 53

Con el perfil de protección de datos, las aplicaciones empresariales se agregan a una lista blanca paraconcederles permiso de acceso a los datos empresariales desde las redes protegidas. Si los usuariostransfieren datos a aplicaciones que no son de la empresa, podrá tomar medidas basadas en laspolíticas de cumplimiento seleccionadas.

WIP divide los datos en dos categorías: datos personales no cifrados y datos corporativos que hay queproteger y cifrar. Las aplicaciones incluidas en la lista blanca de protección de datos se dividen en cuatrocategorías, que determinan el modo en que la aplicación interactúa con los datos protegidos.

n Aplicaciones habilitadas: estas aplicaciones son totalmente compatibles con la funcionalidad WIP.Las aplicaciones habilitadas pueden acceder sin problemas a datos tanto personales comocorporativos. Si los datos se crean con una aplicación habilitada, puede guardarlos como datospersonales no cifrados o datos corporativos cifrados. Puede impedir que los usuarios guarden datospersonales con aplicaciones habilitadas mediante el perfil de protección de datos.

n Permitidas: estas aplicaciones son compatibles con los datos cifrados con WIP. Las aplicacionespermitidas pueden acceder a datos tanto corporativos como personales, pero guardan como datoscorporativos cifrados cualquier información a la que se acceda. Las aplicaciones permitidas guardanlos datos personales como datos corporativos cifrados, a los que no se puede acceder desdeaplicaciones no aprobadas por WIP. Se recomienda agregar las aplicaciones permitidas a la listablanca de forma concienzuda e individualizada para evitar problemas con el acceso a los datos.Póngase en contacto con los proveedores de software para obtener información sobre la aprobaciónde WIP.

n Exentas: puede determinar qué aplicaciones están exentas de aplicar la política WIP al crear el perfilde protección de datos. Categorice como exenta cualquier aplicación que no admita datos concifrado de WIP. Si una aplicación no admite el cifrado de WIP, se detiene al intentar acceder a datoscorporativos cifrados. Las políticas WIP no se aplican a las aplicaciones exentas. Las aplicacionesexentas pueden acceder a datos personales no cifrados y a datos corporativos cifrados. Puesto quelas aplicaciones de esta categoría pueden acceder a datos corporativos sin aplicar la política WIP,estas aplicaciones deben incluirse en la lista blanca con cautela. Las aplicaciones exentas abrenbrechas en la protección de datos y filtran datos corporativos.

n No permitidas: estas aplicaciones no se incluyen en la lista blanca ni están exentas de cumplir laspolíticas WIP, y no pueden acceder a datos corporativos cifrados. Las aplicaciones no permitidaspueden, aun así, acceder a datos personales en un dispositivo con protección WIP.

Importante el perfil de protección de datos requiere Windows Information Protection (WIP). Estafunción requiere la Actualización de aniversario de Windows. Es aconsejable probar este perfil antes deimplementarlo en la producción.

Configuración de un perfil de protección de datos (escritorio deWindows)Cree el perfil de protección de datos (vista previa) y use la característica Microsoft Windows InformationProtection para establecer que los usuarios y las aplicaciones puedan acceder a los datos de suorganización solamente en redes y aplicaciones aprobadas. Puede establecer controles detallados sobrela protección de datos.


VMware, Inc. 54

Procedimiento


2 Seleccione Windows y luego la plataforma de Escritorio de Windows.



5 Seleccione la carga útil Protección de datos empresariales.

6 Configure los ajustes de Protección de datos empresariales:


Agregar Seleccione agregar aplicaciones empresariales a la lista permitida de la empresa.

Se confía en las aplicaciones que se agregan aquí para utilizar los datosempresariales.

Tipo de aplicación Seleccione si la aplicación es una aplicación de escritorio tradicional o unaaplicación de Microsoft Store.

También puede seleccionar un editor de aplicaciones para aplicaciones deescritorio o de la tienda. Si selecciona un editor, todas sus aplicaciones se incluiránen la lista blanca.

Nombre Escriba el nombre de la aplicación. Si es una aplicación de Microsoft Store,

seleccione el icono de búsqueda ( ) para buscar el nombre de familia de paquete(PFN) de la aplicación.

Identificador Introduzca la ruta del archivo para una aplicación de escritorio o el nombre defamilia de paquete para una aplicación de la tienda.

Exenta Seleccione la casilla de verificación si la aplicación no es compatible con laprotección de datos completa pero es necesario que acceda a los datosempresariales. Si habilita esta opción, la aplicación queda exenta de cumplir lasrestricciones de protección de datos. Suelen ser aplicaciones heredadas que aúnno se han actualizado para que admitan protección de datos.

La creación de exenciones da lugar a brechas en la protección de datos. Creeexenciones solo si es necesario.

Dominio primario Introduzca el dominio primario que utilizan sus datos empresariales.

Solo las aplicaciones empresariales pueden acceder a los datos de las redesprotegidas. Intentar acceder a una red protegida desde una aplicación que no seencuentra en la lista permitida de la empresa generará una acción de política deconformidad.

Use solo minúsculas para introducir los dominios.

Nombres de dominio protegidos de laempresa

Introduzca una lista de los dominios (exceptuando su dominio principal) que usa laempresa para las identidades de sus usuarios. Separe los dominios con uncarácter de barra vertical (|).

Use solo minúsculas para introducir los dominios.

Intervalos de direcciones IPempresariales

Introduzca los intervalos de IP empresariales para definir los dispositivosWindows 10 en la red empresarial.

Los datos que proceden de dispositivos incluidos en el intervalo se consideranparte de la empresa y están protegidos. Estas ubicaciones se consideran undestino seguro para el uso compartido de datos empresariales.


VMware, Inc. 55


Nombres de dominios de la redempresarial

Introduzca una lista de los dominios que marcan los límites de la red empresarial.

Los datos procedentes de un dominio de la lista que se envían a un dispositivo seconsideran datos empresariales y están protegidos. Estas ubicaciones seconsideran un destino seguro para el uso compartido de datos empresariales.

Servidores proxy empresariales Introduzca la lista de servidores proxy que puede usar la empresa para recursoscorporativos.

Recursos de Enterprise Cloud Introduzca una lista de los dominios de recursos empresariales alojados en lanube que necesitan protección mediante el enrutamiento a través de la redempresarial con un servidor proxy (en el puerto 80).

En el caso de que Windows no pueda determinar si permite que una aplicación seconecte a un recurso de la red, bloqueará la conexión automáticamente. Si deseaque Windows permita las conexiones de forma predeterminada, agregue lacadena /*AppCompat*/ al ajuste. Por ejemplo:

www.air-watch.com | /*AppCompat*/

Agregue solo la cadena /*AppCompat*/ una vez para cambiar el ajustepredeterminado.

Nivel de protección de los datos de laaplicación

Establezca el nivel de protección y las acciones que se realizan para proteger losdatos empresariales.

Mostrar iconos de EDP Habilite esta opción para mostrar un icono de EDP ( ) en el navegador web,explorador de archivos e iconos de la aplicación al acceder a datos protegidos. Elicono también se muestra en ventanas de aplicaciones exclusivamenteempresariales en el menú Inicio.

Revocar al anular la inscripción Habilite esta opción para revocar las claves de protección de datos de undispositivo cuando se anule su inscripción en Workspace ONE UEM.

Descifrado del usuario Habilite esta opción para permitir que los usuarios seleccionen cómo se guardanlos datos al usar una aplicación habilitada. Pueden seleccionar Guardar comocorporativo o Guardar como personal.Si esta opción no está habilitada, todos los datos guardados al usar una aplicaciónhabilitada se guardarán como datos corporativos y se cifrarán con cifradocorporativo.

Acceso directo a la memoria Habilite esta opción para permitir que los usuarios accedan directamente a lamemoria del dispositivo.

Certificado de recuperación de datos Cargue el certificado del sistema de archivos de cifrado especial para utilizarlo conel fin de recuperar archivos, en caso de pérdida o daño de la clave de cifrado. Paraobtener más información, consulte Creación de un certificado de sistema decifrado de archivos (escritorio de Windows).


Creación de un certificado de sistema de cifrado de archivos(escritorio de Windows)El perfil de protección de datos cifra los datos empresariales y permite el acceso solo a los dispositivosaprobados. Cree un certificado EFS para cifrar los datos de su empresa protegidos mediante un perfil deprotección de datos.


VMware, Inc. 56

Procedimiento

1 En un ordenador sin certificado EFS, abra una línea de comandos (con derechos de administrador) ynavegue hasta el almacén de certificados en el que quiere almacenar el certificado.

2 Ejecute el comando:cipher /r:<EFSRA>

El valor de <EFSRA> es el nombre de los archivos .cer y .pfx que quiere crear.

3 Cuando se le indique, introduzca la contraseña para proteger el nuevo archivo .pfx.

4 Los archivos .cer y .pfx se crean en el almacén de certificados que seleccionó.

5 Cargue el certificado .cer en los dispositivos como parte del perfil de protección de datos. Paraobtener más información, consulte Configuración de un perfil de protección de datos (escritorio deWindows).

Perfil de Windows Hello (escritorio de Windows)Windows Hello ofrece una alternativa segura al uso de contraseñas como medida de seguridad. El perfilde Windows Hello configura Windows Hello para empresas en dispositivos de escritorio de Windows, loque permite a los usuarios finales poder acceder a los datos sin enviar una contraseña.

Proteger los dispositivos y las cuentas con nombre de usuario y contraseña crea posiblesvulnerabilidades de la seguridad. Los usuarios pueden olvidar una contraseña o compartirla conpersonas ajenas a la empresa, lo que pone en riesgo los datos corporativos. Con Windows Hello, losdispositivos Windows 10 autentican al usuario de manera segura en las aplicaciones, los sitios web y lasredes en nombre del usuario, sin enviar una contraseña. El usuario no tendrá que recordar lascontraseñas, y es menos probable que los ataques de tipo “Man in the middle” comprometan laseguridad.

Windows Hello requiere que los usuarios verifiquen que poseen un dispositivo Windows 10 antes deautenticarlo mediante PIN o la verificación biométrica de Windows Hello. Una vez autenticado conWindows Hello, el dispositivo obtiene acceso instantáneo a los sitios web, las aplicaciones y las redes.

Importante Windows Hello para empresas requiere la integración con Azure AD para funcionar.

Creación de un perfil de Windows Hello (escritorio de Windows)Cree un perfil de Windows Hello para configurar Windows Hello para empresas en dispositivos deescritorio de Windows, lo que permitirá a los usuarios finales poder acceder sus aplicaciones, sitios weby redes sin tener que introducir una contraseña.

Importante Los perfiles de Windows Hello solo son válidos en los dispositivos inscritos mediante laintegración de Azure AD.

Procedimiento




VMware, Inc. 57



5 Seleccione el perfil Windows Hello y configure los siguientes ajustes:


Gesto biométrico Habilite esta opción para permitir que los usuarios finales utilicen los lectoresbiométricos del dispositivo.

TPM (módulo de plataforma segura) Ajuste esta opción en Requerir para inhabilitar el uso de Passport si no hay unmodo de plataforma segura instalado en el dispositivo.

Longitud mínima del PIN Introduzca el número mínimo de dígitos que debe contener un PIN.

Longitud máxima del PIN Introduzca el número máximo de dígitos que debe contener un PIN.

Dígitos Ajuste el nivel de permisos para utilizar dígitos en el PIN.

Mayúsculas Ajuste el nivel de permisos para utilizar letras mayúsculas en el PIN.

Minúsculas Ajuste el nivel de permisos para utilizar letras minúsculas en el PIN.

Caracteres especiales Ajuste el nivel de permisos para utilizar caracteres especiales (! " # $ % & ' ( ) * + ,- . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~) en el PIN.


Configuración de un perfil de firewall (escritorio deWindows)El perfil de firewall para los dispositivos de escritorio de Windows le permite configurar los ajustes delfirewall de Windows para los dispositivos. Cuando todos los dispositivos tienen configurado y habilitadoel firewall de Windows, la seguridad de la red aumenta considerablemente.

Requisitos previos

Importante El perfil de firewall requiere que Workspace ONE Intelligent Hub esté instalado en eldispositivo.

Procedimiento





5 Seleccione la carga útil de Firewall.

6 Habilite Utilizar los ajustes recomendados para Windows para usar la configuraciónrecomendada de Windows y deshabilite el resto de opciones disponibles en este perfil. Los ajustescambiarán automáticamente a los ajustes recomendados, pero no podrá cambiarlos.


VMware, Inc. 58

7 Configure los ajustes de Red privada:


Firewall Habilite esta opción para utilizar el firewall cuando el dispositivo esté conectado aconexiones de red privada.

Bloquear todas las conexionesentrantes, incluso aquellas en la listade aplicaciones permitidas

Habilite esta opción para bloquear todas las conexiones entrantes. Esta opciónpermite conexiones salientes.

Notificar al usuario cuando el firewallde Windows bloquee una aplicaciónnueva

Habilite esta opción para permitir que las notificaciones muestren cuándo elfirewall de Windows bloquea una aplicación nueva.

8 Configure los ajustes de Red pública:


Firewall Habilite esta opción para utilizar el firewall cuando el dispositivo esté conectado aconexiones de red privada.

Bloquear todas las conexionesentrantes, incluso aquellas en la listade aplicaciones permitidas

Habilite esta opción para bloquear todas las conexiones entrantes. Esta opciónpermite conexiones salientes.

Notificar al usuario cuando el firewallde Windows bloquee una aplicaciónnueva

Habilite esta opción para permitir que las notificaciones muestren cuándo elfirewall de Windows bloquea una aplicación nueva.


Configuración de un perfil de modo de aplicación única(escritorio de Windows)El perfil de modo de aplicación única le permite limitar el acceso al dispositivo a una única aplicación.Con el modo de aplicación única, el dispositivo permanece bloqueado en una sola aplicación hasta quela carga útil se elimina. La política se habilitará después de reiniciar el dispositivo.

Requisitos previos

El modo de aplicación única tiene restricciones y limitaciones específicas.

n Solo aplicaciones modernas o universales de Windows. El modo de aplicación única no admiteaplicaciones .msi o .exe heredadas.

n Los usuarios deben ser solo usuarios estándar locales. No puede ser un usuario de dominio, usuarioadministrador, cuenta de Microsoft o invitado. El usuario estándar debe ser un usuario local. No seadmiten cuentas de dominio.

Procedimiento




VMware, Inc. 59

3 Seleccione Perfil de usuario.


5 Seleccione el perfil de modo de aplicación única.

6 Configure los ajustes del modo de aplicación única:


Nombre de la aplicación Introduzca el nombre común de la aplicación.

En el caso de las aplicaciones de Windows, el nombre descriptivo es el Nombredel paquete o el ID del paquete.

Debe ejecutar un comando PowerShell para obtener el nombre común de laaplicación instalada en el dispositivo. El comando “Get-AppxPackage” devuelve elnombre común de la aplicación como “nombre”.

7 Después de configurar un perfil de modo de aplicación única, debe establecer el modo de aplicación

única en el dispositivo.

a Después de recibir el perfil del modo de aplicación única en el dispositivo, reinicie este últimopara comenzar.

b Cuando se reinicie, se le pedirá que inicie sesión en el dispositivo con la cuenta del usuarioestándar.

Al iniciar sesión, la política empieza a aplicarse y ya puede usarse el modo de aplicación única.

Si debe salir del modo de aplicación única, presione la tecla Windows 5 veces rápidamente para abrirla pantalla de inicio y así conectarse a un usuario distinto.

Configuración de un perfil de antivirus (escritorio deWindows)Cree un perfil de antivirus para configurar el antivirus Windows Defender nativo en los dispositivos deescritorio de Windows. Si Windows Defender está configurado para todos los dispositivos, tiene lagarantía de que los usuarios finales están protegidos al utilizar el dispositivo.

Importante El perfil de antivirus requiere que Workspace ONE Intelligent Hub esté instalado en eldispositivo. Este perfil solo configura Windows Defender nativo, no configurará ningún otro antivirus deterceros.

Procedimiento





5 Seleccione el perfil de antivirus.


VMware, Inc. 60

6 Configure los ajustes de Antivirus:


Monitoreo en tiempo real Habilite esta opción para configurar Windows Defender de forma que supervise eldispositivo en tiempo real.

Configurar intervalo paraactualización de firma

Habilite esta opción para configurar el día y la hora que el dispositivo revisa lasactualizaciones para Defender.

Configurar intervalo de análisis Habilite esta opción para configurar el intervalo entre los distintos escaneos delsistema.

Puede seleccionar varios tiempos y tipos de análisis. Al habilitar este ajuste, semuestran los ajustes de Escaneo completo, Escaneo rápido y Escaneo decorrección.

Escaneo completo Habilite esta opción para programar la ejecución de un escaneo completo delsistema. Seleccione la hora y el día específicos.

Escaneo rápido Habilite esta opción para programar la ejecución de un escaneo rápido delsistema. Seleccione la hora y el día específicos.

Escaneo de corrección Habilite esta opción para programar la ejecución de un escaneo de corrección deerrores. Seleccione la hora y el día específicos.

Exclusiones Seleccione las rutas de archivo o procesos que desea excluir de los escaneos deWindows Defender.

Seleccione Agregar nuevo para agregar una excepción.

Acción predeterminada de amenaza(Desconocida, Baja, Moderada, Alta,Severa)

Establezca la acción predeterminada para los distintos niveles de amenazaencontrados durante los escaneos.

n Limpiar – Seleccione esta opción para limpiar los problemas que provoque laamenaza.

n Cuarentena – Seleccione esta opción para enviar la amenaza a una carpetade cuarentena.

n Eliminar – Seleccione esta opción para eliminar la amenaza del sistema.

n Permitir – Seleccione esta opción para no eliminar la amenaza.

n Definido por el usuario – Seleccione esta opción para permitir que el usuariodecida qué hacer con la amenaza.

n Ninguna acción – Seleccione esta opción si no desea realizar una accióncontra la amenaza.

n Bloquear – Seleccione esta opción para bloquear la amenaza y evitar queacceda al dispositivo.

Factor de carga de la CPU medio delescaneo

Establezca el porcentaje de CPU medio máximo que Windows Defender puedeutilizar durante el escaneo.

Escanear solamente si el modoInactivo está habilitado

Habilite esta opción para restringir Windows Defender para que solo realice elescaneo cuando la CPU esté inactiva.

Bloqueo de IU Habilite esta opción para bloquear la interfaz de usuario por completo para que losusuarios finales no puedan cambiar la configuración.

Escaneo completo de actualización Habilite esta opción para permitir ejecutar un escaneo completo que se interrumpióo no se realizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó unescaneo programado de forma regular. Estos escaneos programados suelenomitirse porque el ordenador estaba apagado a la hora programada.


VMware, Inc. 61


Escaneo rápido de actualización Habilite esta opción para permitir ejecutar un escaneo rápido que se interrumpió ono se realizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó unescaneo programado de forma regular. Estos escaneos programados suelenomitirse porque el ordenador estaba apagado a la hora programada.

Monitoreo de comportamiento Habilite esta opción para configurar el análisis de virus de manera que envíe unregistro de actividad a Microsoft.

Modo de privacidad Habilite esta opción para evitar que los usuarios que no sean administradoresmuestren el historial de amenazas.

Sistema de prevención de intrusión Habilite esta opción para configurar la protección de la red contra elaprovechamiento de las vulnerabilidades conocidas.

Esta opción le permite a Windows Defender supervisar las conexiones de formacontinua e identifica patrones de comportamiento potencialmente maliciosos. Eneste sentido, el software se comporta como un detector de virus clásico, solo queescanea el tráfico de red en lugar de archivos.

Analizar correo electrónico Habilite esta opción para permitir que Windows Defender escanee los correoselectrónicos.

Analizar unidades de red asignadas Habilite esta opción para permitir que Windows Defender escanee las unidades dered asignadas a los dispositivos.

Analizar archivos Habilite esta opción para permitir que Windows Defender ejecute un escaneo decarpetas con archivos comprimidos.

Analizar unidades extraíbles Habilite esta opción para permitir que Windows Defender escanee las unidadesextraíbles conectadas al dispositivo.

Eliminar archivos en cuarentenadespués de

Establezca durante cuánto tiempo se almacenan los archivos en cuarentena antesde eliminarlos.

7 Seleccione Guardar y publicar.

Perfil de cifrado (escritorio de Windows)Proteja los datos corporativos almacenados en los dispositivos de escritorio de Windows mediante elperfil de cifrado. El perfil de cifrado establece la política de cifrado de BitLocker nativo en los dispositivosde escritorio de Windows para garantizar la protección de los datos.

El cifrado de BitLocker solo está disponible en dispositivos con las versiones Windows 8 Enterprise yPro, y Windows 10 Enterprise, Education y Pro.

Dado que los portátiles y las tabletas son dispositivos móviles por definición, exponen los datos de suempresa a pérdidas o robos. Al exigir una política de cifrado mediante Workspace ONE UEM, puedeproteger los datos del disco duro. BitLocker es el cifrado de Windows nativo y Dell Data Protection |Encryption es una solución de cifrado de terceros de Dell. Con el perfil de cifrado habilitado, WorkspaceONE Intelligent Hub verifica continuamente el estado de cifrado del dispositivo. Si Workspace ONEIntelligent Hub detecta que el dispositivo no está cifrado, lo cifra automáticamente.

Si decide cifrar con BitLocker, una clave de recuperación creada durante el cifrado se almacena enWorkspace ONE UEM Console y en el portal de autoservicio.


VMware, Inc. 62

El perfil de cifrado requiere que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

Nota el perfil de cifrado no configura ni habilita Dell Data Protection | Encryption. El estado del cifradose transmite a Workspace ONE UEM Console y al portal de autoservicio, aunque el cifrado debeconfigurarse manualmente en el dispositivo.

Precaución Windows 10 no es compatible con dispositivos sin teclado en pantalla previo al arranque.Sin el teclado, no puede introducir el código PIN de inicio necesario para desbloquear el disco duro einiciar Windows en el dispositivo. Si se inserta este perfil en los dispositivos sin un teclado en pantallaprevio al arranque, se detiene el dispositivo.

Funcionalidad de BitLockerEl perfil de cifrado utiliza la funcionalidad avanzada de BitLocker para controlar la autenticación eimplementación del cifrado de BitLocker.

BitLocker utiliza el módulo de plataforma segura (TPM) en los dispositivos para guardar la contraseña derecuperación de estos con el fin de descifrar los discos duros conectados a la placa base. Si se retira eldisco duro de la placa base, este no puede descifrarse. Para una autenticación mejorada, puede habilitarun PIN de cifrado que confirme la autenticación del usuario. Asimismo, como alternativa, puede requeriruna contraseña para los dispositivos en los casos en los que el TPM no está disponible.

Comportamiento de implementaciónEl cifrado de BitLocker nativo de Windows protege los datos almacenados en los dispositivos deescritorio de Windows. Implementar el perfil de cifrado requiere acciones adicionales por parte delusuario final.

Si el perfil de cifrado se inserta en un dispositivo cifrado y la configuración actual de cifrado coincide conla del perfil, el Workspace ONE Intelligent Hub añade una clave de recuperación y la envía aWorkspace ONE UEM Console. Esta nueva clave de recuperación también se almacena en una base dedatos cifrada del dispositivo. Con esta función, si un usuario o un administrador intenta descifrar eldispositivo, el perfil de cifrado vuelve a cifrarlo con la nueva clave de recuperación. El cifrado tiene lugaraunque el dispositivo esté sin conexión.

Si el cifrado existente no coincide con la configuración de autenticación del perfil de cifrado, losprotectores existentes se eliminan y se aplican nuevos protectores que coincidan con la configuración delperfil de cifrado.

Si el método de cifrado existente no coincide con el perfil de cifrado, Workspace ONE UEM no intervieneen él ni lo sustituye. Esta función también se aplica si añade una nueva versión del perfil de cifrado a undispositivo administrado por un perfil de cifrado existente. El método de cifrado existente no cambia.

Si BitLocker está habilitado y se está utilizando, puede ver informes de estado sobre el estado de cifradoen las áreas siguientes:

n Tablero de Workspace ONE UEM

n Los detalles del dispositivo muestran la información de la clave de recuperación.


VMware, Inc. 63

n La protección de BitLocker se muestra como habilitada.

n Portal de autoservicio de Workspace ONE UEM

n El portal de autoservicio muestra que la clave de recuperación es almacenada, pero no muestrasus detalles.

n La protección de BitLocker se muestra como habilitada.

Comportamiento de eliminaciónSi el perfil se elimina de Workspace ONE UEM Console, Workspace ONE UEM deja de exigir el cifrado yel dispositivo se descifra automáticamente. La eliminación empresarial o la desinstalación manual delWorkspace ONE Intelligent Hub desde el Panel de control inhabilita el cifrado de BitLocker.

Si el usuario final decide anular la inscripción durante el proceso de cifrado de BitLocker, el proceso decifrado continúa a menos que se desactive manualmente desde el Panel de control.

Configuración de un perfil de cifrado (escritorio de Windows)Cree un perfil de cifrado para proteger sus datos almacenados en los dispositivos de escritorio deWindows mediante el cifrado de BitLocker nativo.

Procedimiento





5 Seleccione el perfil de Cifrado y configure los ajustes:


Volumen cifrado Utilice el menú desplegable para seleccionar el tipo de cifrado como se muestra acontinuación:

n Disco duro completo: cifra todo el disco duro del dispositivo, incluida lapartición del sistema en la que está instalado el sistema operativo.

n Partición del sistema: cifra una partición o unidad en la misma ubicación enque Windows está instalado y desde la cual se inicia.

Método de cifrado Seleccione el método de cifrado del dispositivo.

Cifrar solo el espacio utilizadodurante el cifrado inicial

Habilitar para restringir el cifrado de BitLocker solo al espacio utilizado en elcontrolador en el momento del cifrado.

Dirección URL de clave derecuperación

Introduzca la dirección URL que mostrar en la pantalla bloqueada que redirige alos usuarios para que obtengan la clave de recuperación.

Es aconsejable introducir la dirección URL del portal de autoservicio, ya queWorkspace ONE UEM aloja la clave de recuperación ahí.


VMware, Inc. 64


Forzar cifrado Habilite esta opción para forzar el cifrado del dispositivo. Esta aplicación hace queel dispositivo se cifre de nuevo inmediatamente en caso de que BitLocker sedeshabilite de forma manual.

Se recomienda que deshabilite esta opción para evitar errores durante lasactualizaciones o las eliminaciones empresariales.

Modo de autenticación Seleccione el método para autenticar el acceso a un dispositivo con cifrado deBitLocker.

n TPM: utiliza el módulo de plataforma segura de dispositivos. Requiere un TPMen el dispositivo.

n Contraseña: utiliza una contraseña para la autenticación.

Exigir PIN de cifrado al iniciar sesión Seleccione la casilla de verificación para exigir a los usuarios que introduzcan unPIN para desbloquear el dispositivo. Esta opción bloquea el arranque del SO y lareanudación automática desde los modos de suspensión o hibernación hasta queel usuario introduzca el PIN correcto.

Utilizar contraseña si el TPM no estádisponible

Seleccione esta casilla de verificación para utilizar una contraseña como soluciónalternativa al descifrado del dispositivo si el TPM no está disponible.

Si este ajuste no está habilitado, cualquier dispositivo sin un TPM no puede cifrar.

Longitud mínima de la contraseña Seleccione el número mínimo de caracteres que debe contener una contraseña.

Aparece si la opción Modo de autenticación está establecida como Contraseñao si la opción Utilizar contraseña si TPM no está disponible está habilitada.

Crear contraseña estática deBitLocker

Seleccione la casilla de verificación si hay habilitada una clave de recuperaciónestática.

Contraseña de recuperación deBitLocker

Seleccione el icono Generar ( ) para generar una nueva clave de recuperación.

Período de rotación Introduzca el número de días hasta que rote la clave de recuperación.

Periodo de gracia Introduzca el número de días tras la rotación que seguirá funcionando la clave derecuperación anterior.

Habilitar suspensión de BitLocker Seleccione la casilla de verificación para habilitar la suspensión de BitLocker. Estafuncionalidad suspende el cifrado de BitLocker durante un período de tiempoespecífico. Utilice esta función para suspender BitLocker cuando hayaactualizaciones programadas, de modo que los dispositivos puedan reiniciarse sinexigir a los usuarios finales que introduzcan el PIN o la contraseña de cifrado.

Tipo de suspensión de BitLocker Seleccione el tipo de suspensión.

n Horario: seleccione la introducción del momento específico en el queBitLocker debe suspenderse. A continuación, defina la repetición del horariocomo diaria o semanal.

n Personalizado: seleccione la introducción del día y la hora de inicio y fin de lasuspensión de BitLocker.

Hora de inicio de la suspensión deBitLocker

Introduzca la hora a la que debe iniciarse la suspensión de BitLocker.


VMware, Inc. 65


Hora de finalización de la suspensiónde BitLocker

Introduzca la hora a la que debe finalizar la suspensión de BitLocker.

Tipo de repetición programada Defina si las repeticiones de la suspensión programada deben ser diarias osemanales. Si selecciona “Semanal”, indique los días de la semana en los quedebe repetirse la programación.


Configuración de un perfil de actualizaciones deWindows (escritorio de Windows)Cree un perfil de actualizaciones de Windows con el fin de administrar los ajustes de actualizaciones deWindows para los dispositivos de escritorio de Windows. El perfil asegura que todos los dispositivostengan las actualizaciones más recientes, lo que mejora la seguridad de la red y de los dispositivos.

Requisitos previos

Para utilizar los ajustes avanzados, el perfil de Actualizaciones de Windows requiere que WorkspaceONE Intelligent Hub esté instalado en el dispositivo.

Importante: para ver la versión de SO que cada rama de actualización admite, consulte ladocumentación de Microsoft sobre la información de versión de Windows 10: https://technet.microsoft.com/es-es/windows/release-info.aspx.

Para aplicar un perfil de actualizaciones de Windows:

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista en lista y seleccione Agregar perfil.




5 Seleccione el perfil de actualizaciones de Windows.


VMware, Inc. 66



6 Configure los ajustes de actualizaciones de Windows:


Origen de actualización de Windows Seleccione el origen de las Actualizaciones de Windows:

n Servicio de Microsoft Update: seleccione esta opción para utilizar el servidorde actualizaciones predeterminado de Microsoft.

n WSUS corporativo: seleccione esta opción para utilizar un servidor corporativoe introducir la dirección URL del servidor WSUS y el grupo WSUS.

Para que este ajuste surta efecto, el dispositivo debe contactar con el WSUSal menos una vez.

Elegir WSUS corporativo como origen permite al administrador de TI ver lasactualizaciones instaladas y el estado de los dispositivos del grupo WSUS.

Actualizar rama Seleccione la rama de actualización que se debe seguir para las actualizaciones.

n Rama de Windows Insider: lenta

n Rama de Windows Insider: rápida

n Lanzamiento de la compilación de Windows Insider

n Canal semestral (dirigido)

n El dispositivo recibe todas las actualizaciones de funciones aplicablesinmediatamente después del lanzamiento de una nueva versión deWindows. Considere la posibilidad de utilizar este canal para el proceso depruebas de su organización.

n Canal semestral

n Este canal es la fase posterior a la implementación objetivo. Considere laposibilidad de utilizar este canal después de que el proceso decomprobación proporcione resultados correctos.

Aplazar el período de actualizacionesde funciones en días

Seleccione el número de días que aplazar las actualizaciones de la función antesde instalar las actualizaciones en el dispositivo.

Aplazar actualizaciones de funciones Habilite esta opción para aplazar todas las actualizaciones de funciones durante60 días o hasta que se inhabilite. Este ajuste anula el de Aplazar el período deactualizaciones de funciones en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas y que,normalmente, se instalaría según sus ajustes de aplazamiento.

Período de actualizaciones de calidaddel aplazamiento en días

Seleccione el número de días que aplazar las actualizaciones de calidad antes deinstalar las actualizaciones en el dispositivo.

Aplazar actualizaciones de calidad Habilite esta opción para aplazar todas las actualizaciones de calidad durante 60días o hasta que se inhabilite. Este ajuste anula el de Período de actualizacionesde calidad del aplazamiento en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas y que,normalmente, se instalaría según sus ajustes de aplazamiento.

Habilitar ajustes para versionesanteriores de Windows

Seleccione habilitar los ajustes de aplazamiento para las versiones anteriores deWindows. Algunos de los ajustes son:

n Posponer las nuevas funciones (meses)n Posponer las nuevas actualizaciones (semanas)n Posponer aplazamientos


VMware, Inc. 67


Actualizaciones automáticas Establezca cómo se gestionan las actualizaciones de la opción Actualizar ramaseleccionada:

n Instalar actualizaciones automáticamente.

n Instalar las actualizaciones, pero permitir al usuario programar el ordenador.

n Instalar las actualizaciones automáticamente y reiniciar a la hora definida.

n Instalar las actualizaciones automáticamente e impedir que los usuariosmodifiquen los ajustes del panel de control.

n Buscar actualizaciones, pero permitir que el usuario elija si desea descargarlase instalarlas.

n Nunca buscar actualizaciones.

Hora de inicio de horas activas Introduzca la hora de inicio de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esas horas.

Tiempo de finalización de horasactivas

Introduzca el tiempo de finalización de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esas horas.

Permitir servicio de actualización Permite las actualizaciones desde el servicio público de actualizaciones deWindows.

No permitir este servicio puede provocar problemas con Microsoft Store.

Permitir actualizaciones de MU Permitir actualizaciones desde Microsoft Update.

Actualizar otros productos deMicrosoft cuando Windows se estéactualizando

Permite que otros productos de Microsoft se actualicen al actualizar Windows.

Instalar las actualizaciones firmadasde las entidades de terceros

Permite la instalación de actualizaciones de terceros aprobados.

Compilaciones de Insider Permite la descarga de compilaciones de Insider de Windows 10.

Requerir aprobación deactualizaciones

Habilite esta opción para requerir que se aprueben las actualizaciones antes dedescargarlas en el dispositivo.

Habilite esta opción para requerir que los administradores aprueben explícitamentelas actualizaciones antes de descargarlas en el dispositivo. Esta aprobación serealiza mediante grupos de actualizaciones o mediante la aprobación individual deactualizaciones.

Esta opción exige aceptar todos los términos de uso requeridos en nombre de losusuarios finales para poder insertar la aplicación en los dispositivos. Si esnecesario aceptar términos de uso, se muestra un cuadro de diálogo de términosde uso.

Para aprobar actualizaciones, navegue a Ciclo de vida > Actualizaciones deWindows. Para obtener más información, consulte Aprobación de actualizacionesde Windows.

Actualizaciones autoaprobadas Habilite esta opción para establecer grupos de actualizaciones cuya descarga enlos dispositivos del usuario final se aprueba automáticamente.

Esta opción exige aceptar todos los términos de uso requeridos en nombre de losusuarios finales para poder insertar la aplicación en los dispositivos. Si esnecesario aceptar términos de uso, se muestra un cuadro de diálogo de términosde uso.


VMware, Inc. 68


Actualizaciones de funciones Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de funciones en los dispositivos asignados.

Se muestra si la opción Actualizaciones autoaprobadas está habilitada.

Aplicación Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de aplicaciones en los dispositivosasignados.


Conectores Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de conectores de Office 365 en losdispositivos asignados.


Críticas Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones críticas en los dispositivos asignados.


Definición Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de definiciones de Windows Defender en losdispositivos asignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de que susdispositivos mantengan la protección de Windows Defender. Esta opción estáhabilitada de forma predeterminada.


Kit de desarrollador Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones del kit de desarrollador en los dispositivosasignados.


Controladores Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de controlador en los dispositivos asignados.


Feature Pack Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de paquetes de características en losdispositivos asignados.


Instrucciones Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de instrucciones en los dispositivosasignados.

Seguridad Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de seguridad en los dispositivos asignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de que susdispositivos se mantengan protegidos. Esta opción está habilitada de formapredeterminada.

Service Pack Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de Service Pack en los dispositivosasignados.



VMware, Inc. 69


Actualizaciones de herramientas Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de herramientas en los dispositivosasignados.


Paquetes acumulativos deactualizaciones

Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todos los paquetes acumulativos de actualizaciones en losdispositivos asignados.


General Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones generales en los dispositivos asignados.


Actualizaciones de igual a igual Permite el uso de descargas de igual a igual de las actualizaciones.

Permitir que se utilice el método deigual a igual

Seleccione el método de conexión de igual a igual que desea permitir.

Restringir el uso de igual a igual a losmiembros que tengan el mismo ID degrupo

Restringe la descarga de igual a igual a los dispositivos que se encuentran en elmismo grupo organizativo.

Intervalo máximo que se mantienecada archivo en la caché deoptimización de entregas (segundos)

Permite definir el número de segundos que un archivo permanece en la caché deoptimización de entregas antes de insertarse en los dispositivos.

La caché de optimización mantiene las actualizaciones disponibles en otros puntosa los que el dispositivo puede llegar para acelerar la descarga de lasactualizaciones.

Tamaño máximo de la caché quepuede utilizar la optimización deentrega (%)

Introduzca el porcentaje de la caché que puede utilizar la optimización deentregas.

Ancho de banda máximo para lascargas que un dispositivo utilizaráentre todas las cargas simultáneas(kB/seg)

Introduzca el ancho de banda de carga máximo, en kB/segundo, que undispositivo utilizará al enviar las actualizaciones a los dispositivos del mismo nivel.


Ver lista de actualizaciones en el ciclo de vidaWorkspace ONE UEM admite la revisión y aprobación de actualizaciones del sistema operativo y deOEM en dispositivos de Windows 10 y de actualizaciones del sistema operativo para las determinadasactualizaciones de Android específicas. La página de la consola de actualizaciones enumera todas lasactualizaciones disponibles para los dispositivos con Windows 10.


VMware, Inc. 70

Actualizaciones de WindowsEn esta pestaña, puede aprobar actualizaciones y asignarlas a grupos inteligentes específicos de modoque se cumplan las necesidades de la empresa. Esta pestaña muestra todas las actualizaciones con lossiguientes datos: fecha de publicación, plataforma, clasificación y grupo asignado. Al seleccionar elnombre de la actualización, se abre una ventana con información detallada, un enlace a la página de labase de conocimientos de Microsoft con la actualización y datos del estado de la instalación de laactualización.

Para obtener más información sobre la aprobación de actualizaciones, consulte Aprobación deactualizaciones de Windows.

El estado de instalación de la actualización muestra la implementación de la actualización en susdispositivos. Para consultar el estado de la implementación de la actualización, seleccione la opciónVista.

Estado Descripción

Asignado La actualización se ha aprobado y asignado al dispositivo.

Aprobado La actualización aprobada se ha asignado correctamente al dispositivo.

Disponible La actualización está disponible en el dispositivo para su instalación.

Instalación pendiente La instalación se ha aprobado y está disponible, aunque aún no se ha instalado.

Reinicio pendiente La instalación se ha pausado hasta que el dispositivo se reinicie.

Instalada La actualización se ha instalado correctamente.

Falló La instalación de la actualización ha fallado.

Actualizaciones de OEMEn esta pestaña, puede ver todas las actualizaciones de OEM implementadas en los dispositivos deescritorio de Windows. Puede ordenar la vista de lista por nombre, nivel, tipo y categoría del dispositivo.También puede filtrar las actualizaciones mostradas mediante filtros como controladores de audio,controladores de conjunto de chips, actualizaciones de BIOS y más.

Consulte el estado de instalación de la implementación de actualizacioónes seleccionando el nombre dela actualización.

Para obtener más información sobre el envío de actualizaciones de OEM a dispositivos, consulteConfiguración de un perfil de actualizaciones de OEM (escritorio de Windows)

Aprobación de actualizaciones de WindowsRevise y apruebe actualizaciones de Windows para instalarlas en sus dispositivos con Windows 10. Estafunción le permite asegurarse de que sus dispositivos permanezcan actualizados al tiempo que controlala distribución de actualizaciones según las necesidades de la empresa.

Requisitos previos

Debe publicar un perfil de actualizaciones de Windows con la opción Requerir aprobación deactualizaciones habilitada.


VMware, Inc. 71

Procedimiento

1 Navegue a Ciclo de vida > Actualizaciones > Windows.

2 Seleccione la casilla de verificación a la izquierda de la actualización. Seleccione el botón Asignar.

3 Introduzca los grupos inteligentes a los que se les aplicará la actualización.

4 Seleccione Agregar.

Pasos siguientes

Para obtener más información sobre la página de la consola de actualizaciones de Windows, consulteVer lista de actualizaciones en el ciclo de vida

Cómo crear un perfil de proxy (escritorio de Windows)Cree un perfil de proxy con objeto de configurar un servidor proxy para los dispositivos de escritorio deWindows. Estos ajustes no se aplican a las conexiones VPN.

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista de lista > Agregar y seleccione Agregar perfil.




5 Seleccione el perfil de proxy y configure los ajustes:


Detectar ajustes automáticamente Habilite esta función para que el sistema intente encontrar automáticamente laruta a un script de configuración automática del proxy (PAC).

Usar script de configuración Habilite esta opción para introducir la ruta del archivo al script de PAC.

Dirección de script Introduzca la ruta del archivo al script de PAC.

Esta opción se muestra cuando se habilita Usar script de configuración.

Usar servidor proxy Habilite esta opción para utilizar un servidor proxy estático para las conexionesEthernet y Wi-Fi. Este servidor proxy se utiliza para todos los protocolos. Estosajustes no se aplican a las conexiones VPN.

Dirección del servidor proxy Introduzca la dirección del servidor proxy. La dirección debe tener el siguienteformato: <server>[“:”<port>].

Excepciones Introduzca las direcciones que no deben utilizar el servidor proxy. El sistema noutilizará el servidor proxy para estas direcciones. Separe las entradas con unpunto y coma (;).

Usar proxy para direcciones locales(intranet)

Habilite esta opción para utilizar el servidor proxy para las direcciones locales(intranet).



VMware, Inc. 72

Configuración de un perfil de web clips (escritorio deWindows)Un perfil de web clips le permite insertar direcciones URL a los dispositivos de los usuarios finales paraque tengan fácil acceso a sitios web importantes.

Procedimiento





5 Seleccione el perfil de web clips.

6 Configure los ajustes de Web clips:


Etiqueta Introduzca una descripción para el web clip.

URL Introduzca la dirección URL de destino para el web clip.

Mostrar en Catálogo de aplicaciones Habilite esta opción para mostrar el web clip en el catálogo de aplicaciones.


Perfiles de Exchange ActiveSync (escritorio de Windows)Los perfiles de Exchange ActiveSync le permiten configurar los dispositivos de escritorio de Windowspara que accedan a su servidor de Exchange ActiveSync y utilicen el correo electrónico y el calendario.

Utilice certificados firmados por una autoridad de certificado de terceros de confianza (CA). Cualquiererror en sus certificados hace que las conexiones seguras se vuelvan vulnerables a posibles ataques detipo “Man in the middle” (ataques de intermediarios). Ese tipo de ataques afectan negativamente laconfidencialidad y la integridad de los datos que se transmiten entre los componentes del producto, ytambién les dan la oportunidad a los intrusos de interceptar o alterar los datos mientras están en tránsito.Consulte la sección Configuración de un perfil de credenciales (escritorio de Windows) para obtener másinformación.

El perfil de Exchange ActiveSync es compatible con el cliente de correo nativo para escritorio deWindows. La configuración varía según el cliente de correo que utilice.

Eliminación de un perfil o eliminación empresarialSi se elimina el perfil con un comando de eliminación de perfil, una política de conformidad o unaeliminación empresarial, se eliminan todos los datos de correo electrónico, tales como:

n La información de la cuenta de usuario/inicio de sesión.


VMware, Inc. 73

n Datos de los mensajes de correo electrónico

n Información de los contactos y el calendario.

n Adjuntos guardados en el almacenamiento interno de la aplicación.

Nombre de usuario y contraseñaSi tiene nombres de usuarios de correo electrónico que difieren de las direcciones de correo de losusuarios, puede utilizar el cuadro de texto {EmailUserName}, que corresponde a los nombres deusuarios de correo electrónico que se importaron durante el proceso de integración del servicio dedirectorio. Incluso aunque los nombres de usuario coincidan con las direcciones de correo electrónico,use el cuadro de texto {EmailUserName}, ya que este utiliza la dirección de correo importada a travésde la integración del servicio de directorio.

Configuración de un perfil de Exchange ActiveSync (escritorio deWindows)Cree un perfil de Exchange ActiveSync para ofrecer a los dispositivos con escritorio de Windows accesoa su servidor de Exchange ActiveSync para usar el correo electrónico y el calendario.

Nota Workspace ONE UEM no es compatible con Outlook 2016 para los perfiles de ExchangeActiveSync.

Procedimiento


2 Seleccione Windows y luego la plataforma de Escritorio de Windows.



5 Seleccione la carga útil de Exchange ActiveSync.

6 Configure los ajustes de Exchange ActiveSync:


Cliente de correo Seleccione el cliente de correo que configura el perfil de EAS.

Workspace ONE UEM es compatible con el cliente de correo nativo.

Nombre de la cuenta Introduzca el nombre para la cuenta de Exchange ActiveSync.

Host de Exchange ActiveSync Introduzca la dirección URL o la dirección IP del servidor que hospeda el servidorEAS.

Utilizar SSL Habilite esta opción para enviar todas las comunicaciones a través de la capa desockets seguros (SSL).

Dominio Introduzca el dominio de correo electrónico.

El perfil es compatible con los valores de búsqueda para agregar la información deinscripción e inicio de sesión del usuario. Para obtener más información, consultela sección Nombre de usuario y contraseña en la parte inferior de la página.


VMware, Inc. 74


Nombre de usuario (ID) Introduzca el nombre de usuario del correo electrónico.

Dirección de correo electrónico Introduzca la dirección de correo electrónico. Este es un campo requerido.

Contraseña Introduzca la contraseña de correo electrónico.

Certificado de identidad Seleccione el certificado de la carga útil de EAS.Consulte la sección Configuraciónde un perfil de credenciales (escritorio de Windows) para obtener más información.

El próximo intervalo desincronización (min)

Seleccione la frecuencia, en minutos, con la que el dispositivo se sincroniza con elservidor de EAS.

Número de días trascurridos decorreo para sincronizar

Seleccione cuántos días de correos electrónicos anteriores se sincronizan con eldispositivo.

Registro de diagnósticos Habilite esta opción para registrar la información con fines de solución deproblemas.

Exigir la protección de datos cuandoel dispositivo esté bloqueado

Habilite esta opción para exigir que los datos estén protegidos cuando eldispositivo esté bloqueado.

Permitir la sincronización del correoelectrónico

Habilite esta opción para permitir la sincronización de los mensajes de correoelectrónico.

Permitir la sincronización de loscontactos

Habilite esta opción para permitir la sincronización de los contactos.

Permitir la sincronización delcalendario

Habilite esta opción para permitir la sincronización de los eventos del calendario.

7 Seleccione Guardar para mantener el perfil en la consola de Workspace ONE UEM o Guardar y

publicar para enviarlo a los dispositivos.

Perfil de SCEP (escritorio de Windows)Los perfiles de Protocolo de inscripción de certificados simple (SCEP) le permiten instalar certificados demanera silenciosa en los dispositivos sin que el usuario final tenga que intervenir.

Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a lafuerza bruta, ataques de diccionario y errores de sus empleados. Para obtener una seguridad máscompleta, puede implementar certificados digitales con los que proteger sus recursos corporativos. Parausar SCEP con el fin de instalar estos certificados en los dispositivos de manera silenciosa, primero debedefinir una entidad de certificación (CA) y luego configurar una carga útil de SCEP, junto con su carga útilde EAS, Wi-Fi o VPN. Cada una de estas cargas útiles tiene ajustes para asociar la CA definida en lacarga útil de SCEP.

Para insertar certificados en los dispositivos, configure una carga útil de SCEP como parte de los perfilesque configuró para los ajustes de EAS, Wi-Fi y VPN.

Configuración de un perfil de SCEP (escritorio de Windows)Un perfil de SCEP instala silenciosamente certificados en dispositivos para utilizarlos con la autenticaciónde los dispositivos.


VMware, Inc. 75

Procedimiento





5 Seleccione el perfil de SCEP.

6 Configure los ajustes de SCEP:


Fuente de credenciales Este menú desplegable se configura siempre para definir la autoridad decertificación.

Entidad de certificación Seleccione la autoridad de certificación que desea usar.

Plantilla de certificado Seleccione la plantilla disponible para el certificado.

Emisor Introduzca el emisor del certificado. El emisor se puede ver en la línea de asuntodel certificado.

Guardar la ubicación Seleccione en qué ubicación de la máquina se almacena el SCEP:

n Usuario de contexto – Guarda el SCEP con el usuario específico.

n Máquina de contexto – Guarda el SCEP para todos los usuarios de lamáquina.

7 Configure el perfil de Wi-Fi, VPN o EAS.


Perfil de control de aplicaciones (escritorio de Windows)Limite las aplicaciones que se pueden instalar en los dispositivos de escritorio de Windows con el perfilde control de aplicaciones. Limitar la instalación de aplicaciones protege sus datos de aplicacionesmalintencionadas y evita que los usuarios finales accedan a aplicaciones no deseadas en dispositivoscorporativos.

Para permitir o impedir la instalación de aplicaciones en los dispositivos, puede habilitar el control deaplicaciones con el fin de colocar ciertas aplicaciones en listas blancas o en listas negras. Mientras queel motor de conformidad supervisa los dispositivos para confirmar qué aplicaciones se encuentran en lalista blanca y cuáles en la lista negra, el control de aplicaciones evita que los usuarios intenten agregar oeliminar aplicaciones. Por ejemplo, puede impedir que se instale en el dispositivo una aplicación deentretenimiento determinada o permitir la instalación en el dispositivo solo de aplicaciones que seencuentren en la lista blanca. Las aplicaciones incluidas en listas negras e instaladas en los dispositivosantes de que se envíe a estos la carga útil de control de aplicaciones se inhabilitan después de insertarel perfil.


VMware, Inc. 76

El perfil de control de aplicaciones ayuda a reducir el coste de administración del dispositivo al impedirque el usuario ejecute aplicaciones prohibidas que pueden causar problemas. Al evitar que lasaplicaciones causen problemas, se reduce el número de llamadas que debe atender el equipo desoporte.

Configuración de un perfil de control de aplicaciones (escritoriode Windows)Habilite el control de aplicaciones para colocar ciertas aplicaciones en listas blancas o en listas negraspara permitir o impedir la instalación de aplicaciones en los dispositivos. El control de aplicaciones utilizalas configuraciones de Microsoft AppLocker para exigir el control de aplicaciones en dispositivosWindows 10.

Importante n Cree políticas utilizando primero el modo de Solo auditoría. Tras verificar la versión Solo auditoría en

un dispositivo de prueba, cree una versión con el modo Exigir. Si no se prueban las políticas antes deun uso general, los dispositivos pueden quedar inutilizables.

n Cree reglas predeterminadas o cualquier otra regla deseada para su empresa que reduzca laposibilidad de que se bloqueen las configuraciones predeterminadas o se dañen los dispositivosdespués de reiniciarlos. Para obtener más información sobre cómo crear reglas, consulte el artículode Microsoft TechNet sobre AppLocker.

Requisitos previos

Para configurar un archivo de configuración XML, debe configurar los ajustes de AppLocker en undispositivo y exportar el archivo para utilizarlo con el perfil.

El perfil de control de aplicaciones requiere el uso de Windows 10 Enterprise o Education.

Procedimiento

1 En el dispositivo de configuración, abra el editor de Política de seguridad local.


VMware, Inc. 77

2 Navegue a Políticas de control de aplicaciones > AppLockery seleccione Configurar laaplicación de reglas.

3 Habilite la aplicación de Reglas ejecutables, Reglas de Windows Installer y Reglas de scriptsseleccionando Aplicar reglas.

4 Cree Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts al seleccionar lacarpeta de la derecha, hacer clic con el botón derecho en la carpeta y seleccionar Crear nuevaregla.

No se olvide de crear reglas predeterminadas para reducir las posibilidades de bloquear laconfiguración predeterminada o detener el dispositivo.

5 Después de crear todas las reglas que quiera, haga clic con el botón derecho en AppLocker,seleccione Exportar directiva y guarde el archivo de configuración XML.

6 En Workspace ONE UEM Console, navegue a Dispositivos > Perfiles > Vista en lista > Agregar yseleccione Agregar perfil.




10 Seleccione la carga útil Control de aplicaciones.


VMware, Inc. 78

11 Seleccione Importar configuración de muestra de dispositivo y después Cargar para agregar elarchivo de configuración de políticas.


Configuración de un perfil de servicios web de Exchange(escritorio de Windows)Cree un perfil de Servicios web de Exchange para permitir que el usuario final acceda a lasinfraestructuras de correo electrónico corporativo y a las cuentas de Microsoft Outlook desde eldispositivo.

Requisitos previos

Importante Durante la configuración inicial, el dispositivo debe disponer de acceso a la instanciainterna de Exchange Server.

Procedimiento





5 Seleccione el perfil Servicios web de Exchange y configure los ajustes:


Dominio Introduzca el nombre del dominio al que pertenece el usuario final.

Servidor de correo electrónico Introduzca el nombre del servidor de Exchange.

Dirección de correo electrónico Introduzca la dirección de la cuenta de correo electrónico.


Al eliminar un perfil de Servicios web de Exchange, se eliminarán todas las cuentas de Outlook deldispositivo.


VMware, Inc. 79

Creación de un perfil de licencias de Windows (escritoriode Windows)Configure un perfil de licencias de Windows para ofrecer a sus dispositivos Windows 10 una clave delicencia de Windows 10 Enterprise o Windows 10 Education. Utilice este perfil para actualizar losdispositivos que no vienen con Windows 10 Enterprise.

Importante Esta actualización no se puede revertir. Si publica este perfil en dispositivos del programade BYOD, no puede eliminar la licencia a través de MDM. Windows 10 solo se puede actualizarsiguiendo una ruta de actualización específica:n De Windows 10 Enterprise a Windows 10 Education

n De Windows 10 Home a Windows 10 Education

n De Windows 10 Pro a Windows 10 Education

n De Windows 10 Pro a Windows 10 Enterprise

Procedimiento





5 Seleccione la pestaña Licencias de Windows y configure los siguientes ajustes:


Edición de Windows Seleccione la edición Enterprise o Education.

Introduzca una clave de licenciaválida

Introduzca la clave de licencia para la edición de Windows que está utilizando.


Configuración de un perfil de BIOS (escritorio deWindows)Configure los ajustes de BIOS para determinados dispositivos para empresas de Dell con el perfil deBIOS. Este perfil requiere integración con Dell Command | Monitor.

El soporte para los ajustes del perfil del BIOS varía según el dispositivo de Dell. Workspace ONE UEMsolo inserta los ajustes que un dispositivo admite.

Para obtener más información sobre los dispositivos compatibles, consulte Capítulo 7 Integración deDell Command | Monitor.


VMware, Inc. 80

Procedimiento





5 Seleccione la carga útil de BIOS y configure los siguientes ajustes:


Contraseña de BIOS Introduzca la contraseña empleada para desbloquear el BIOS del dispositivo.

Este campo es obligatorio.

Chip de TPM Seleccione Habilitar para habilitar el chip del módulo de plataforma segura deldispositivo.

Modo de arranque Seleccione si el dispositivo arranca en modo BIOS o UEFI.

Protección de modo de arranque Seleccione Habilitar para evitar problemas con el arranque del SO instalado en eldispositivo. Esta protección impide que se produzca una modificación en el modode arranque en un dispositivo con un SO instalado.

Arranque seguro Seleccione Habilitar para utilizar ajustes de arranque seguro en el dispositivo. Nopuede inhabilitar el arranque seguro con DCM. Si su dispositivo ya utiliza elarranque seguro, debe inhabilitar los ajustes manualmente en el dispositivo.

El arranque seguro necesita que el modo de arranque se ajuste a UEFI y que lasROM de opción heredadas se fijen en Inhabilitar.

ROM de opción heredadas Seleccione Habilitar para permitir el uso de ROM de opción heredadas durante elproceso de arranque.

Virtualización de CPU Seleccione Habilitar para permitir la virtualización del hardware.

Virtualización de E/S Seleccione Habilitar para permitir la virtualización de entrada/salida.

Ejecución de confianza Seleccione Habilitar para permitir que el dispositivo utilice el chip de TPM, lavirtualización de CPU y la virtualización de E/S para decisiones de confianza.

La ejecución de confianza necesita que los ajustes del chip de TPM, lavirtualización de CPU y la E/S de virtualización estén en modo Habilitado.

LAN inalámbrica Seleccione Habilitar para permitir el uso de la funcionalidad de LAN inalámbricadel dispositivo.

Radiocomunicación celular Seleccione Habilitar para permitir el uso de la funcionalidad de radiocomunicacióncelular del dispositivo.

Bluetooth Seleccione Habilitar para permitir el uso de la funcionalidad de Bluetooth deldispositivo.

GPS Seleccione Habilitar para permitir el uso de la funcionalidad de GPS deldispositivo.

Informes SMART Seleccione Habilitar para utilizar la supervisión SMART de las soluciones dealmacenamiento del dispositivo.


VMware, Inc. 81


Carga de la batería principal Seleccione las reglas de carga del dispositivo:

n Carga estándar: considere la posibilidad de utilizar esta opción para losusuarios que cambian entre la energía de la batería y una fuente dealimentación externa. Esta opción carga por completo la batería a unavelocidad estándar. El tiempo de carga varía según el modelo de dispositivo.

n Carga exprés: considere la posibilidad de utilizar esta opción para los usuariosque necesiten la batería cargada en un breve período de tiempo. La tecnologíade carga rápida de Dell permite que una batería completamente descargadase cargue por lo general al 80 % en aproximadamente 1 hora cuando elequipo se apaga, y al 100 % en aproximadamente 2 horas. Es posible que eltiempo de carga sea mayor si el equipo está encendido.

n Carga del AC: considere la posibilidad de utilizar esta opción para los usuariosque trabajen principalmente con el sistema mientras está conectado a unafuente de alimentación externa. Esta opción puede alargar la duración de labatería mediante la reducción del umbral de carga.

n Carga automática: considere la posibilidad de utilizar esta opción para losusuarios que deseen establecer la opción y no cambiarla. Esta opción permiteal sistema optimizar de forma adaptativa la configuración de la batería enfunción del patrón de uso de la batería habitual.

n Carga personalizada: considere la posibilidad de utilizar esta opción parausuarios avanzados que deseen tener un mayor control sobre cuándo se iniciay se detiene la carga de la batería.

Estas reglas controlan cuándo comienza y finaliza la carga de la batería. Siselecciona la Carga personalizada, puede ajustar manualmente el porcentaje decarga para comenzar y finalizar la carga de la batería.

Límite de inicio de cargapersonalizada de la batería principal

Ajuste el porcentaje de carga de batería que debe alcanzarse para que eldispositivo empiece a cargar su batería.

Límite de finalización de cargapersonalizada de la batería principal

Ajuste el porcentaje de carga de batería que debe alcanzarse para que eldispositivo finalice la carga de su batería.

Peak Shift (control de batería enhoras de alto consumo)

Seleccione Habilitar para utilizar la función de Peak Shift y controlar cuándo utilizael dispositivo la electricidad de la batería o de la corriente alterna. Peak Shift lepermite utilizar la electricidad de la batería en lugar de la CA en momentosespecíficos.

Para ajustar el horario de la función Peak Shift, seleccione el icono del calendario.

Programación de la función PeakShift

Los tres parámetros para la programación de Peak Shift controlan cuándo utiliza eldispositivo la batería o la corriente alterna y cuándo se carga la batería.

n Inicio de Peak Shift: ajuste la hora de comienzo de la función Peak Shift, enla que los dispositivos pasan a utilizar la alimentación de la batería.

n Finalización de Peak Shift: ajuste la hora de finalización de la función PeakShift, en la que los dispositivos pasan a utilizar la alimentación de la CA.

n Inicio de carga de Peak Shift: ajuste la hora de comienzo de la carga paraPeak Shift, en la que los dispositivos cargan las baterías utilizando la CA.

Umbral de batería de Peak Shift Ajuste el porcentaje de carga de la batería que debe alcanzarse para que losdispositivos dejen de utilizar la alimentación de la batería y vuelvan a la CA.

El ajuste de Inicio de carga de Peak Shift controla la hora a la que losdispositivos cargan las baterías tras pasar a utilizar la CA.


VMware, Inc. 82


Propiedades del sistema Seleccione Agregar propiedades del sistema para agregar una propiedad delsistema personalizada. Seleccione el botón de nuevo para agregar máspropiedades.

Estas propiedades son opciones avanzadas. Considere la posibilidad de revisar ladocumentación de Dell antes de usar estos ajustes.

Las propiedades del sistema anulan la configuración predefinida configurada en elperfil.

Clase Introduzca una clase y selecciónela en el menú desplegable.

Se muestra después de seleccionar Agregar propiedades del sistema.

Propiedad del sistema Introduzca una propiedad del sistema y selecciónela en el menú desplegable.

Se muestra después de seleccionar Agregar propiedades del sistema.

Atributos del BIOS Seleccione Agregar atributo del BIOS para agregar un atributo del BIOSpersonalizado. Seleccione el botón de nuevo para agregar más atributos.

Estos atributos son opciones avanzadas. Considere la posibilidad de revisar ladocumentación de Dell antes de usar estos ajustes.

Los atributos del BIOS anulan la configuración predefinida configurada en el perfil.

Atributo del BIOS Introduzca un atributo del BIOS y selecciónelo en el menú desplegable.

Se muestra después de seleccionar Agregar atributo del BIOS.

Valor Seleccione un valor para el atributo del BIOS. Si no se indica un valor, el atributodel BIOS es de solo lectura.

Se muestra después de seleccionar Agregar atributo del BIOS.

Paquete de configuración Seleccione Cargar para agregar un paquete de configuración de Dell Command | Configure. Cargar un paquete le permite configurar varios dispositivos de Dell conuna sola configuración.

Los paquetes de configuración anulan cualquier propiedad o atributo del sistemapersonalizado.

Si incluye las extensiones de archivo permitidas en una lista blanca, deberáagregar la extensión de archivo CCTK a esa lista blanca. Vaya a Grupos yajustes > Todos los ajustes > Contenido > Opciones avanzadas >Extensiones de archivopara agregar la extensión de archivo.


Configuración de un perfil de actualizaciones de OEM(escritorio de Windows)Configure los ajustes de actualización de OEM para determinados dispositivos para empresas de Dellcon el perfil de actualizaciones de OEM. Este perfil requiere integración con Dell Command | Update.

El soporte para los ajustes del perfil de actualizaciones de OEM varía según el dispositivo de Dell.Workspace ONE UEM solo inserta los ajustes que un dispositivo admite.

Para obtener más información sobre los dispositivos compatibles, consulte Capítulo 8 Descripcióngeneral de Dell Command | Update.

Nota El perfil de actualizaciones de OEM solo es compatible con Dell Command | Update v2.4.


VMware, Inc. 83

Procedimiento





5 Seleccione la carga útil de Actualizaciones de OEM y configure los siguientes ajustes:


Buscar actualizaciones Seleccione el intervalo utilizado para comprobar si hay actualizaciones.

Día de la semana Seleccione el día de la semana para comprobar si hay actualizaciones.

Solo se muestra si Buscar actualizaciones está establecido en Semanal.

Día del mes Seleccione el día del mes para comprobar si hay actualizaciones.

Solo se muestra si Buscar actualizaciones está establecido en Mensual.

Tiempo Seleccione la hora del día para comprobar si hay actualizaciones.

Actualizar comportamiento Seleccione las acciones que se realizarán cuando se busquen actualizaciones.

n Seleccione Examinar Notificar para buscar actualizaciones y avisar al usuariode que hay actualizaciones disponibles.

n Seleccione Examinar Descargar Notificar para buscar actualizaciones,descargar las que haya disponibles y avisar al usuario de que hayactualizaciones por instalar.

n Seleccione Examinar Notificar Aplicar Reiniciar para buscaractualizaciones, descargar las que haya disponibles, instalarlas y reiniciar eldispositivo.

Retraso de reinicio Seleccione el tiempo que el dispositivo va a demorar el reinicio después dedescargar las actualizaciones.

Actualizaciones urgentes Seleccione Habilitar para aplicar las actualizaciones urgentes en el dispositivo.

Actualizaciones recomendadas Seleccione Habilitar para aplicar las actualizaciones recomendadas en eldispositivo.

Actualizaciones opcionales Seleccione Habilitar para aplicar las actualizaciones opcionales en el dispositivo.

Controladores de hardware Seleccione Habilitar para aplicar las actualizaciones de controladores dehardware proporcionadas por el OEM en el dispositivo.

Software de la aplicación Seleccione Habilitar para aplicar las actualizaciones de software de la aplicaciónproporcionadas por el OEM en el dispositivo.

Actualizaciones del BIOS Seleccione Habilitar para aplicar las actualizaciones del BIOS proporcionadas porel OEM en el dispositivo.

Considere la posibilidad de inhabilitar las contraseñas del BIOS en caso de quequiera utilizar el perfil de actualizaciones de OEM para administrar lasactualizaciones del BIOS. Algunas actualizaciones del BIOS piden al usuario queintroduzca la contraseña del BIOS.

Actualizaciones del firmware Seleccione Habilitar para aplicar las actualizaciones de firmware proporcionadaspor el OEM en el dispositivo.


VMware, Inc. 84


Software de utilidad Seleccione Habilitar para aplicar las actualizaciones de software de utilidadproporcionadas por el OEM en el dispositivo.

Otro Seleccione Habilitar para aplicar otras actualizaciones proporcionadas por el OEMen el dispositivo.

archivos de Seleccione Habilitar para aplicar las actualizaciones de dispositivo de audioproporcionadas por el OEM en el dispositivo.

Conjunto de chips Seleccione Habilitar para aplicar las actualizaciones de dispositivo de conjunto dechips proporcionadas por el OEM en el dispositivo.

Entrada Seleccione Habilitar para aplicar las actualizaciones de dispositivo de entradaproporcionadas por el OEM en el dispositivo.

Red Seleccione Habilitar para aplicar las actualizaciones de dispositivos de redproporcionadas por el OEM en el dispositivo.

Almacenamiento Seleccione Habilitar para aplicar las actualizaciones de dispositivos dealmacenamiento proporcionadas por el OEM en el dispositivo.

Vídeo Seleccione Habilitar para aplicar las actualizaciones de dispositivo de vídeoproporcionadas por el OEM en el dispositivo.

Otros Seleccione Habilitar para aplicar otras actualizaciones de dispositivoproporcionadas por el OEM en el dispositivo.


Configuración de un perfil de quiosco (escritorio deWindows)Configure un perfil de quiosco para convertir el dispositivo de escritorio de Windows en uno de quioscocon varias aplicaciones. Este perfil permite configurar las aplicaciones que se muestran en el menú deinicio del dispositivo.

Puede cargar su propio código XML personalizado para configurar el perfil de quiosco o crear su propioquiosco como parte del perfil. Este perfil no es compatible con cuentas de dominio o grupos de dominio.El usuario es una cuenta de usuario integrada creada por Windows.

n Aplicaciones compatibles

n Aplicaciones .EXE

• Para los archivos MSI y ZIP necesita agregar la ruta de acceso del archivo.

n Aplicaciones integradas

• Las aplicaciones integradas seleccionadas se agregarán automáticamente al diseñador.Entre estas aplicaciones se incluyen:

• Noticias

• Microsoft Edge

• Tiempo


VMware, Inc. 85

• Reloj y alarmas

• Notas rápidas

• Mapas

• Calculadora y fotos.

Procedimiento





Debe agregar una asignación antes de configurar el perfil de quiosco.

5 Seleccione el perfil de quiosco.

6 Si ya tiene un código XML personalizado, seleccione Cargar XML de quiosco y complete los ajustes.


Configuración de XML con accesoasignado

Seleccione Cargar y agregue la configuración de XML con acceso asignado.También puede pegar el código XML en el cuadro de texto.

Para obtener más información, consulte la página https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp.

7 Si no tiene ningún código XML personalizado, seleccione Crear su quiosco y configure el diseño de

la aplicación.

Este diseño corresponde al menú de inicio del dispositivo en una cuadrícula. Las aplicaciones que semuestran en la parte izquierda son las aplicaciones asignadas al grupo de asignación queseleccionó. Algunas aplicaciones tienen un icono de rueda dentada con un punto rojo en la esquinasuperior derecha. Este icono muestra las aplicaciones que necesitan una configuración adicionalcuando se agregan al diseño del quiosco. Una vez configurados los ajustes, desaparece el punto


VMware, Inc. 86

https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp

https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp

rojo, pero el icono permanece. Puede seleccionar el icono de la flecha para cambiar el tamaño de lasaplicaciones. En cuanto a las aplicaciones de escritorio clásicas, solo puede elegir entre pequeño omediano.

8 Arrastre todas las aplicaciones que desee agregar al menú de inicio al centro. Puede crear hastacuatro grupos de aplicaciones. Estos grupos combinan sus aplicaciones en secciones del menú deinicio.

9 Una vez que haya agregado todas las aplicaciones y los grupos que desee, seleccione Guardar.

10 En la pantalla de perfil de quiosco, seleccione Guardar y publicar.

El perfil no se instalará en el dispositivo hasta que se instalen todas las aplicaciones que esteincluye. Una vez que el dispositivo recibe el perfil, se reiniciará y se ejecutará en modo quiosco. Sielimina el perfil del dispositivo, este inhabilitará el modo quiosco, se reiniciará y borrará el usuario dequiosco.

Cómo configurar un perfil de personalización (escritoriode Windows)Configure un perfil de personalización para los dispositivos de escritorio de Windows si desea configurarlas opciones de personalización de Windows. Estas opciones incluyen la configuración del fondo deescritorio y del menú Inicio.


VMware, Inc. 87

Todas las opciones de este perfil son opcionales. Considere solo la posibilidad de configurar los ajustesque necesite para responder a sus requisitos de personalización.

Con este perfil no se crea un dispositivo de quiosco de varias aplicaciones como el perfil de quiosco. Sidesea crear un dispositivo de quiosco, consulte Configuración de un perfil de quiosco (escritorio deWindows).

Procedimiento

1 Navegue a Dispositivos > Perfiles y recursos y, finalmente, seleccione Agregar.




5 Seleccione el perfil de Personalización.

6 Configure los ajustes de Imágenes:


Imagen de escritorio Seleccione Cargar para agregar una imagen y utilizarla como fondo del escritorio.

Imagen de la pantalla de bloqueo Seleccione Cargar para agregar una imagen y utilizarla como fondo de la pantallade bloqueo.

7 Cargar un XML de diseño de inicio. Este archivo XML anula el diseño de menú de inicio

predeterminado y evita que los usuarios lo cambien. Puede configurar el diseño de los mosaicos, elnúmero de grupos y las aplicaciones de cada grupo. Debe crear este XML usted mismo. Paraobtener más información sobre cómo crear un XML de diseño inicial, consulte https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout.

8 Configure los ajustes de Políticas del menú Inicio. Esta configuración le permite controlar losaccesos directos permitidos en el menú Inicio. También puede seleccionar Ocultar o Mostrar condeterminadas opciones como Apagar o Lista de aplicaciones.


Pasos siguientes

Uso de ajustes personalizados (escritorio de Windows)La carga útil de ajustes personalizados es una forma de utilizar la funcionalidad del escritorio deWindows con la que Workspace ONE UEM no es compatible mediante sus cargas útiles nativas. Si nodesea utilizar las nuevas funciones, puede utilizar la carga útil Ajustes personalizados y el código XMLpara habilitar o inhabilitar manualmente ciertos ajustes.


VMware, Inc. 88

https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout

https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout

Requisitos previos

Debe escribir su propio código SyncML para los perfiles de escritorio de Windows. Microsoft publica unsitio de referencia del proveedor de servicios de configuración que está disponible en su sitio web.

Código de ejemplo:

<characteristic>

<Replace>

<CmdID>2</CmdID>

<Item>

<Target>

<LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>

</Target>

<Meta>

<Format xmlns="syncml:metinf">chr</Format>

</Meta>

<Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_htcwkw4rx2gx4!

App"}</Data>

</Item>

</Replace>

</characteristic>

Considere la posibilidad de visitar https://vmwarepolicybuilder.com para saber cómo crear su XML deperfil personalizado.

Procedimiento





5 Configure la carga útil apropiada (por ejemplo, Restricciones o Código de acceso).

Puede trabajar con una copia del perfil, guardada en un grupo organizativo de “prueba”, para evitarque haya usuarios afectados antes de que esté listo para Guardar y publicar.

6 Utilice Guardar, pero no publique el perfil.

7 Seleccione el botón de radio de Perfiles > Vista en lista para la fila del perfil que desee personalizar.

8 Seleccione el botón XML situado en la parte superior para ver el perfil X.

9 Encuentre la sección de texto que empieza por <característica> ... <característica> que habíaconfigurado previamente, por ejemplo, Restricciones o Código de acceso. La sección contiene untipo de configuración que identifica su propósito, tal como restricciones.

10 Copie esta sección de texto y cierre la vista de XML. Abra su perfil.


VMware, Inc. 89

https://vmwarepolicybuilder.com/

11 Seleccione la carga útil Ajustes personalizados y después Configurar.

a Pegue el XML que ha copiado en el cuadro de texto Ajustes de instalación. El código XML quepegue debe contener todo el bloque de código, desde <[característica]> hasta </[característica]>.

b Agregue el código de eliminación al cuadro de texto Suprimir ajustes. El código de eliminacióndebe contener <replace></replace> o <delete></delete .

Este código habilita la funcionalidad Workspace ONE UEM, como Eliminar perfil y Desactivarperfil. Sin el código de eliminación no puede eliminar el perfil de los dispositivos además deenviar un segundo perfil de ajustes personalizados. Para obtener más información, consultehttps://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference.

12 Elimine la carga útil configurada originalmente seleccionando la sección de cargas útiles básicas y elbotón menos [-]. Ahora puede mejorar el perfil agregando el código XML personalizado para la nuevafuncionalidad.

Cualquier dispositivo que no haya sido actualizado a la versión más reciente ignorará cualquiermejora que usted haya creado. Como el código ahora está personalizado, pruebe los perfiles dedispositivos con versiones anteriores para verificar el comportamiento esperado.


Impedir que los usuarios inhabiliten el servicio de AirWatchUtilice un perfil de ajustes personalizados para impedir que los usuarios finales inhabiliten el servicio deAirWatch en sus dispositivos Windows 10. Impedir que los usuarios finales deshabiliten el servicio deAirWatch garantiza que Workspace ONE Intelligent Hub ejecute registros regulares con la WorkspaceONE UEM Console y reciba las últimas actualizaciones de directivas.

Procedimiento

1 Cree un perfil de ajustes personalizados. Para obtener más información, consulte Uso de ajustespersonalizados (escritorio de Windows).

2 Establezca Destino en Protection Agent.

3 Copie el siguiente código y péguelo en el cuadro de texto Ajustes personalizados:

<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">

<characteristic type="com.airwatch.winrt.awservicelockdown"

uuid="7957d046-7765-4422-9e39-6fd5eef38174">

<parm name="LockDownAwService" value="True"/>

</characteristic>

</wap-provisioningdoc>


VMware, Inc. 90

https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference

https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference


Si desea eliminar la restricción de los dispositivos de usuarios finales, deberá insertar un perfil apartecon el siguiente código:

<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">

<characteristic type="com.airwatch.winrt.awservicelockdown"

uuid="7957d046-7765-4422-9e39-6fd5eef38174">

<parm name="LockDownAwService" value="False"/>

</characteristic>

</wap-provisioningdoc>


VMware, Inc. 91

Uso de Valores de referencia 4Proteja los dispositivos de escritorio Windows con Valores de referencia. Workspace ONE UEM guardalos ajustes recomendados por el sector en una configuración para simplificar la protección de losdispositivos.

Nota Workspace ONE UEM ofrece la función de líneas base como una vista previa técnica. Lasfunciones de vista previa técnica no se han probado por completo, y algunas funcionalidades no tienen elcomportamiento esperado. Sin embargo, estas vistas previas ayudan a Workspace ONE UEM a mejorarla funcionalidad actual y a desarrollar mejoras futuras. Para utilizar una función de vista previa técnica,póngase en contacto con el representante de VMware Workspace ONE y solicite que habilite"BaselineFeatureFlag" y "BaselinePhase2FeatureFlag".

Mantener los dispositivos configurados conforme a las prácticas recomendadas es un proceso laborioso.Con las Valores de referencia, puede proteger todos los dispositivos con los ajustes y las configuracionesrecomendados por el sector. Workspace ONE UEM guarda estas prácticas recomendadas enconfiguraciones denominadas Valores de referencia. Estas configuraciones reducen considerablementeel tiempo necesario para configurar dispositivos Windows.

Para garantizar que las Valores de referencia usen solo los ajustes y las configuraciones másadecuados, VMware está certificado por CIS para proporcionar los ajustes recomendados por el sector,como los bancos de pruebas de CIS para Windows 10, con el fin de proporcionar soluciones sencillas yseguras. Las Valores de referencia se basan en la versión del sistema operativo Windows y puedenactualizarse siempre que lo desee. Durante la configuración, puede elegir la línea de base que utilizará, obien cargar una línea de base personalizada que se ajuste a sus necesidades. También puede agregarcualquier otra directiva que necesite como parte del proceso de configuración. Estas directivas son lasdirectivas de Microsoft ADMX.

Una vez que un dispositivo está inscrito en Workspace ONE UEM, puede agregar el dispositivo a ungrupo inteligente y asignar una línea de base al grupo. El dispositivo recibirá y aplicará todos los ajustesy configuraciones de la línea de base una vez que se reinicie. El dispositivo comprueba lasconfiguraciones de la línea base cuando esta se publica y en los intervalos definidos.

Puede ver qué líneas de base se aplican a un dispositivo en la página Detalles del dispositivo.


n Cómo crear una línea de base

VMware, Inc. 92

Cómo crear una línea de baseCree una línea de base para configurar el dispositivo según los ajustes y las configuracionesrecomendados por el sector. Workspace ONE UEM guarda las Valores de referencia en función de lasprincipales recomendaciones del sector, incluido el banco de pruebas de CIS.

Requisitos previos

Las Valores de referencia requieren que los dispositivos estén inscritos en Workspace ONE UEM ytengan Workspace ONE Intelligent Hub instalado.

Debe agregar el archivo LGPO.exe a todos los dispositivos a los que desea asignar una línea de base.Debe instalar el archivo EXE en C:\ProgramData\Airwatch\LGPO\ LGPO.exe.

Procedimiento

1 Navegue a Dispositivos > Perfiles y recursos > Baselines (Líneas de base) y seleccione Nueva.

2 Introduzca el nombre de la línea de base y la descripción, y seleccione el grupo inteligente queadministra la línea de base. A continuación, seleccione Siguiente.

3 Seleccione una línea de base:


Banco de pruebas de CIS paraWindows 10

Seleccione esta opción para usar el banco de pruebas de CIS para Windows 10.Esta línea de base aplica los ajustes de configuración recomendados por losbancos de pruebas de CIS.

Seleccione la versión del sistema operativo y el nivel de banco de pruebas quedesea aplicar.

Personalizar línea de base Seleccione esta opción para cargar y utilizar su propia línea de basepersonalizada. Debe crear esta línea de base fuera de Workspace ONE UEM.

4 Seleccione Siguiente.

5 Agregue cualquier directiva adicional a la línea de base. Estas directivas provienen de los archivosde Microsoft ADMX. Busque cualquier política para agregarla y configurarla.

6 Seleccione Siguiente.

7 Revise el resumen y seleccione Guardar y asignar.

Workspace ONE UEM asigna la línea de base a todos los dispositivos del grupo inteligente.

Pasos siguientes

Debe reiniciar el dispositivo para que la línea de base surta efecto.


VMware, Inc. 93

Políticas de conformidad 5El motor de conformidad es una herramienta automática de Workspace ONE UEM que garantiza quetodos los dispositivos cumplan las políticas implantadas. Estas políticas pueden incluir ajustes básicos deseguridad, como contraseñas o un periodo mínimo de bloqueo de dispositivo.

En algunas plataformas también puede decidir si quiere configurar o imponer ciertas medidas. Talesmedidas incluyen configurar la seguridad de la contraseña, incluir determinadas aplicaciones en una listanegra y exigir intervalos de verificación del dispositivo para garantizar que los dispositivos estánprotegidos y en contacto con Workspace ONE UEM. Una vez que se hayan detectado los dispositivosque no cumplen con las políticas de conformidad, el motor de conformidad comenzará a advertir a losusuarios de que necesitan corregir los errores para prevenir acciones disciplinarias en el dispositivo. Porejemplo, el motor de conformidad puede enviar un mensaje para notificar al usuario que su dispositivo nocumple con las políticas de conformidad.

Además, los dispositivos que no cumplen con las políticas de conformidad no pueden tener perfiles dedispositivos asignados ni aplicaciones instaladas. Si no se realizan correcciones en el tiempoespecificado, el dispositivo perderá acceso al contenido y funciones que usted defina. Las políticas deconformidad y acciones disponibles varían según la plataforma.

Para obtener más información sobre las políticas de conformidad, incluyendo qué políticas y acciones seadmiten para una plataforma específica, consulte la documentación Gestionar dispositivos endocs.vmware.com.


n Detección de dispositivos comprometidos con atestación de estado

n Atributos de conformidad

n Creación de un atributo de conformidad

Detección de dispositivos comprometidos con atestaciónde estadoLa atestación de estado escanea los dispositivos durante el inicio para verificar si existen errores en suintegridad. Utilice la atestación de estado para detectar dispositivos de escritorio de Windowscomprometidos.

VMware, Inc. 94

https://docs.vmware.com

En las implementaciones de dispositivos tanto de propiedad corporativa como BYOD, es importantesaber que estos no se encuentran comprometidos cuando acceden a los recursos corporativos. Elservicio de atestación de estado de Windows accede a la información de arranque de los dispositivosdesde la nube a través de comunicaciones seguras. Esta información se mide y revisa en comparacióncon puntos de datos relacionados para garantizar que el dispositivo se inició como se esperaba y no esvíctima de amenazas o ataques contra su seguridad. Estas medidas incluyen arranque seguro,integridad de código, BitLocker y administrador de arranque.

Workspace ONE UEM le permite configurar el servicio de atestación de estado de Windows paragarantizar la conformidad de los dispositivos. Si alguna de las comprobaciones habilitadas es errónea, elmotor de políticas de conformidad de Workspace ONE UEM tomará las medidas de seguridad según lapolítica de conformidad configurada. Esta funcionalidad le permite mantener los datos empresarialesprotegidos frente a dispositivos comprometidos. Como Workspace ONE UEM recupera la informaciónnecesaria del hardware del dispositivo y no del sistema operativo, los dispositivos comprometidos sedetectan incluso cuando el kernel del sistema operativo está comprometido.

Configure la atestación de estado para las políticas deconformidad del escritorio de WindowsMantenga sus dispositivos protegidos utilizando el servicio de atestación de estado de Windows para ladetección de dispositivos comprometidos. Este servicio permite que Workspace ONE UEM revise laintegridad de los dispositivos durante su inicio y realice acciones rectificadoras.

Procedimiento

1 Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows >Escritorio de Windows > Atestación de estado.

2 (opcional) Seleccione Usar servidor personalizado si utiliza un servidor local personalizado conAtestación de estado. Introduzca la URL del servidor.

3 Configure los ajustes de Atestación de estado:


Definición del estado comprometido

Utilizar servidorpersonalizado

Seleccione esta opción con el fin de configurar un servidor personalizado para la atestación deestado.

Esta opción requiere un servidor con Windows Server 2016 o posterior.

Si se habilita esta opción, se muestra el campo URL del servidor.

URL del servidor Introduzca la URL de su servidor de atestación de estado personalizado.

Arranque seguroinhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el arranqueseguro esté inhabilitado en el dispositivo.

El arranque seguro obliga al sistema a arrancar en un estado de fábrica confiable. Si el arranqueseguro está habilitado, los componentes principales usados para arrancar la máquina deben tenerlas firmas criptográficas correctas en las que confía el OEM. El firmware UEFI comprueba laconfianza antes de permitir que se inicie la máquina. El arranque seguro impide el inicio si detectacualquier archivo manipulado.


VMware, Inc. 95


La clave de identidad AIKno está presente

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la clave deidentidad AIK no esté presente en el dispositivo.

Si la clave de identidad de la atestación (AIK) está presente en un dispositivo, indica que estetiene un certificado de clave de aprobación (EK). Es más confiable que un dispositivo sincertificado de EK.

Política de prevención deejecución de datos (DEP)inhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la prevención deejecución de datos esté inhabilitada en el dispositivo.

La política de prevención de ejecución de datos (DEP) es una función de protección de memoriaintegrada en el SO del sistema. La política impide la ejecución de código de páginas de datoscomo montones predeterminados, pilas y bloques de memoria. DEP es obligatorio tanto elhardware como en el software.

BitLocker inhabilitado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el cifrado deBitLocker esté inhabilitado en el dispositivo.

Comprobación deintegridad de códigoinhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobaciónde integridad de código esté inhabilitada en el dispositivo.

La integridad de código es una función que valida la integridad de un controlador o archivo delsistema cada vez que se carga en la memoria. Comprueba los controladores o archivos delsistema no firmados antes de cargarlos en el kernel. Esta comprobación también analiza si hayusuarios con privilegios que ejecuten archivos de sistema modificados mediante softwaremalintencionado.

Antimalware de iniciotemprano inhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobaciónde antimalware de inicio temprano esté inhabilitada en el dispositivo.

Todas las comprobaciones de antimalware de inicio temprano (ELAM) proporcionan protección alos ordenadores de la red cuando se inician y al inicializar controladores de terceros.

Verificación de la versión dela integridad de código

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobaciónde la versión de la integridad de código falle.

Verificar versión de laadministración de arranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la comprobaciónde la versión de la administración de arranque falle.

Comprobación del número dela versión de seguridad de laaplicación de arranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número deversión de seguridad de la aplicación de arranque no corresponda al número introducido.

Comprobación del número deversión de seguridad deladministrador de arranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número deversión de seguridad del administrador de arranque no corresponda al número introducido.

Configuración avanzada Habilite esta opción para configurar los ajustes avanzados en la sección Identificadores de versióndel software.

Identificadores de versión del software

Verificación del Hash de lapolítica de integridad decódigo

Habilite esta opción para definir una lista blanca de valores de hash válidos conocidos para elsoftware de integridad de código. Si el hash no es un valor que está en la lista blanca, laconformidad de la atestación de estado falla.


VMware, Inc. 96


Comprobación de hash dela política de configuracióndel arranque seguro

Habilite esta opción para definir una lista blanca de valores de hash válidos conocidos para elsoftware de configuración de arranque seguro. Si el hash no es un valor que está en la listablanca, la conformidad de la atestación de estado falla.

Comprobación de PCR0 Habilite esta opción para definir una lista blanca de mediciones válidas conocidas para el softwarede comprobación de PCR0. Esta medición comprueba el código de confianza del BIOS paraasegurar que no se ha puesto en peligro. Si la medición no es un valor que está en la lista blanca,la conformidad de la atestación de estado falla.


Atributos de conformidadIntegre el motor de política de conformidad de Workspace ONE UEM con soluciones de seguridad deextremos de terceros para garantizar el cumplimiento y la seguridad de los dispositivos y tome medidasen relación con los dispositivos que incumplan la política.

La pantalla de ajustes de Atributos de conformidad le permite agregar atributos de conformidadpersonalizados al motor de política de conformidad. Usted crea el nombre personalizado, el nombredescriptivo y los valores. Las soluciones de terceros informan de los valores del atributo a WorkspaceONE UEM a través de una API. Puede crear políticas de conformidad para aplicar reglas en losdispositivos basadas en estos atributos.

Las claves de atributo en un atributo de conformidad coinciden con las claves de la solución de terceros.Workspace ONE UEM comprueba los valores recibidos de la solución de terceros para determinar elcumplimiento. Los valores de atributo deben ser valores booleanos.

Para obtener más información sobre cómo crear un atributo de conformidad, consulte Creación de unatributo de conformidad.

Creación de un atributo de conformidadCree un atributo de conformidad personalizado para asegurarse de que los dispositivos sigan siendoseguros y cumplan con las políticas. Estos atributos utilizan soluciones de seguridad de extremos deterceros para proporcionar los valores de los atributos.

Procedimiento

1 Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > General > Atributode conformidad.

2 Si esta es la primera vez que crea un atributo de conformidad, seleccione Configurar.

3 Seleccione un Socio del menú desplegable.

4 Seleccione Agregar atributo. Puede crear hasta cinco atributos de conformidad por grupoorganizativo.

5 Introduzca la clave de atributo. Esta clave debe coincidir con la de la solución de terceros.


VMware, Inc. 97

6 Introduzca un Nombre descriptivo del atributo. Este nombre es una sencilla descripción delatributo. Puede ser cualquier nombre.

7 Introduzca los Valores de atributo. Estos valores son los que devuelve la solución de terceros parael atributo. Deben ser valores booleanos.


9 Cuando finalice la adición de atributos, seleccione Guardar.


VMware, Inc. 98

Resumen de las aplicaciones deescritorio de Windows 6Puede utilizar las aplicaciones de Workspace ONE UEM y las características de MDM deWorkspace ONE UEM para proteger aún más los dispositivos y configurarlos con una mayorfuncionalidad.

Utilice VMware Content Locker para proteger el contenido corporativo en los dispositivos móviles eimplemente VMware Browser para ofrecer navegación segura en la web a los usuarios finales.Descargue el Workspace ONE Intelligent Hub para Windows con el fin de supervisar los dispositivos a unnivel más detallado.

Para implementar aplicaciones Win32 en dispositivos de escritorio de Windows, es necesario queWorkspace ONE Intelligent Hub esté presente en dichos dispositivos.

Importante Todas las aplicaciones públicas implementadas en dispositivos de Escritorio de Windowsson aplicaciones sin administrar. Las aplicaciones sin administrar no pueden insertarse en losdispositivos (los usuarios finales deben descargar la aplicación por su cuenta), ni tampoco puedenquitarse de los dispositivos mediante eliminación empresarial.


n VMware Workspace ONE para escritorio de Windows

n Configurar Workspace ONE Intelligent Hub para dispositivos Windows

n VMware Content Locker para dispositivos de escritorio de Windows

VMware Workspace ONE para escritorio de WindowsCuando la aplicación Workspace ONE está instalada en los dispositivos, los usuarios pueden iniciarsesión en Workspace ONE para acceder de forma segura al catálogo de aplicaciones que laorganización haya habilitado para ellos. Cuando se configura la aplicación con el inicio de sesión único,los usuarios no tienen que volver a introducir sus credenciales de inicio de sesión al lanzar la aplicación.

La interfaz de usuario de Workspace ONE funciona del mismo modo en teléfonos, tabletas y equipos deescritorio. Workspace ONE se abre en una página de inicio que muestra los recursos que se hanpublicado en Workspace ONE. Los usuarios pueden tocar o hacer clic para buscar, agregar y actualizaraplicaciones. Para eliminar una aplicación de la página, basta con hacer clic con el botón derecho enella. Para agregar recursos autorizados, solo tiene que acceder a la página del catálogo.

VMware, Inc. 99

Si una aplicación requiere la inscripción de un dispositivo, Workspace ONE utiliza la administraciónadaptable para iniciar el proceso para el usuario final. Para obtener más información sobreWorkspace ONE, consulte el artículo "Setting up the VMware Workspace ONE Application on Devices"disponible en VMware Identity Manager Documentation Center (https://docs.vmware.com).

Configurar Workspace ONE Intelligent Hub paradispositivos WindowsWorkspace ONE Intelligent Hub para dispositivos Windows viene preconfigurado con AirWatch. Cambieestos ajustes cuando necesite que Workspace ONE Intelligent Hub se adapte a necesidadesdeterminadas de la empresa.


VMware, Inc. 100

https://docs.vmware.com/

Procedimiento

u Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows >Escritorio de Windows > Ajustes de Hub para editar los ajustes de Workspace ONE IntelligentHub:

a Configure los ajustes de Agente moderno para que Workspace ONE Intelligent Hub transmitalos datos deseados a la consola de AirWatch:


Intervalo de heartbeat (min) Define el intervalo con el que Workspace ONE Intelligent Hub y la consola deWorkspace ONE UEM confirman que la conexión está disponible y sesincronizan.

Intervalo de muestra de datos (min) Define el intervalo al que Workspace ONE Intelligent Hub toma muestras dedatos.

Código de acceso administrativo Establece el código de acceso para acceder a los ajustes administrativos deldispositivo.

Seguridad del canal de MDM Define la seguridad de la capa de la aplicación entre Workspace ONE UEM yWorkspace ONE Intelligent Hub. Este canal seguro utiliza el certificado deinscripción para firmar, cifrar o firmar y cifrar las comunicaciones entre laconsola de UEM y Workspace ONE Intelligent Hub.

b Configure los ajustes de AirWatch Protection Agent para garantizar una comunicación rápida

entre el dispositivo y la consola de AirWatch.


Intervalo de muestra de datos (min) Define el intervalo con el que AirWatch Protection Agent toma muestras dedatos.

c Configure los ajustes de Administración remota para permitir la comunicación entre Workspace

ONE Intelligent Hub y el servidor de administración remota.


Descargar CAB de controlremoto

Seleccione este vínculo para descargar el archivo CAB del instalador de Workspace ONE UEMRemote Management.

Pedir permiso Habilite la opción Pedir permiso si quiere pedir al usuario final que acepte o rechace la solicitudde administración remota del administrador.

n Introduzca un mensaje de petición de permiso que el usuario final verá cuando se envíeuna solicitud remota.

n Introduzca el mensaje de la leyenda de Sí del botón de aceptación que el usuario final veráen la solicitud de petición de permiso.

n Introduzca el mensaje de la leyenda de No del botón de rechazo que el usuario final verá enla solicitud de petición de permiso.

Avanzado

Puerto de administraciónremota

Introduzca el puerto utilizado para la comunicación entre el Hub de administración remota y elagente de Tunnel en el dispositivo del usuario final.


VMware, Inc. 101


Este puerto es el responsable de almacenar en caché las diferentes tramas del dispositivo parautilizarlas con la función de compartir la pantalla. El puerto predeterminado es 7775. Esaconsejable no cambiarlo a menos que su organización use el puerto 7775 para otros fines.

Nivel del registro dedispositivos

Ajuste el nivel del registro de dispositivos para controlar el nivel de detalle de la aplicación deadministración remota en el dispositivo.

Ruta de la carpeta deregistro

Defina la ruta de la carpeta de registro en la que la aplicación guarda el archivo de registro deadministración remota en el dispositivo.

Mostrar icono de bandeja Habilite Mostrar icono de bandeja para mostrar el applet de administración remota en eldispositivo.

Cantidad máxima desesiones

Introduzca el número máximo de sesiones simultáneas permitidas en un dispositivo.

Cantidad de reintentos Introduzca el número de reintentos permitidos antes de que los intentos de comunicación sedetengan.

Frecuencia de reintentos(segundos)

Intervalo de tiempo entre intentos de comunicación.

Intervalo de Heartbeat(segundos)

Introduzca el tiempo (en segundos) que pasa entre las actualizaciones de estado que se envíandesde el dispositivo.

Frecuencia de intentos cuandose pierde la conexión (ensegundos)

Introduzca la cantidad de tiempo (en segundos) que pasa entre los intentos para restablecer laconexión.

Pasos siguientes

Puede impedir que los usuarios finales inhabiliten el servicio de AirWatch en sus dispositivos con un perfilde XML personalizado. Para obtener más información, consulte Impedir que los usuarios inhabiliten elservicio de AirWatch.

VMware Content Locker para dispositivos de escritorio deWindowsVMware Content Locker es una aplicación que permite a los usuarios finales acceder a contenidoimportante de los dispositivos, al tiempo que garantiza la seguridad de los archivos para la organización.

Desde VMware Content Locker, los usuarios finales tienen acceso al contenido que se carga en laconsola de UEM, al contenido procedente de repositorios corporativos sincronizados o a su propiocontenido personal.

Utilice la consola de UEM para agregar contenido, sincronizar repositorios y configurar las acciones quelos usuarios finales pueden realizar en contenido abierto en la aplicación. Estas configuraciones impidenque el contenido se copie, comparta o guarde sin aprobación.


VMware, Inc. 102

Integración de Dell Command | Monitor 7Integre Workspace ONE UEM con Dell Command | Monitor para mejorar la información queWorkspace ONE UEM recopila de los dispositivos para empresas de Dell inscritos. Esta integracióntambién le permite seleccionar la configuración del BIOS del dispositivo.

Puntos básicosLa integración con Dell Command | Monitor permite mejorar la administración de los dispositivos paraempresas de Dell. Gracias a esta integración, Workspace ONE UEM proporciona información acerca delestado de mantenimiento de la batería del dispositivo y de algunos ajustes del BIOS.

Dispositivos compatiblesn Sobremesas Dell OptiPlex™

n Sobremesas y portátiles Dell Precision Workstation™

n Portátiles Dell Latitude™

Adición de Dell Command | Monitor aWorkspace ONE UEMPara integrar Dell Command | Monitor con Workspace ONE UEM, agregue el programa como unaaplicación Win32 interna en Workspace ONE UEM Console. Para obtener más información, consulteAdición de Dell Command | Monitor a Workspace ONE UEM.

Perfil del BIOSConfigure algunos ajustes del BIOS de los dispositivos para empresas de Dell con un perfil de BIOS. Laconfiguración le permite controlar la virtualización de hardware y la seguridad del BIOS. Para obtenermás información, consulte Configuración de un perfil de BIOS (escritorio de Windows)

VMware, Inc. 103

Estado de mantenimiento de la bateríaEl estado de mantenimiento general de una batería afecta a la vida útil de un dispositivo. Gracias aDell Command | Monitor, puede supervisar el estado de mantenimiento de las baterías de los dispositivospara empresas de Dell. Este estado de mantenimiento no muestra la carga actual de la batería, peroinforma acerca de la capacidad para mantener la carga, del tiempo necesario para completar una carga yde otros factores expresados como porcentaje. Según Dell, cualquier batería con un estado demantenimiento por debajo del 25% debería sustituirse.


n Adición de Dell Command | Monitor a Workspace ONE UEM

Adición de Dell Command | Monitor aWorkspace ONE UEMAgregue Dell Command | Monitor a Workspace ONE UEM Console para mejorar la administración de losdispositivos para empresas de Dell. El perfil de BIOS requiere esta aplicación antes del envío a losdispositivos.

Requisitos previos

Debe permitir que la distribución del software envíe Dell Command | Monitor a los dispositivos.

Procedimiento

1 Navegue a la página http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor y descargue la última versión de Dell Command | Monitor.

2 Abra el archivo EXE y seleccione Extraer. Guarde los archivos extraídos en una carpeta.

3 Navegue a la carpeta y busque el archivo MSI.

4 En la consola de UEM, agregue el archivo MSI extraído como una aplicación interna. Asegúrese deque define la arquitectura de procesador compatible en 32 o 64 bits según cuál sea el sistemaoperativo del dispositivo.

5 En la pestaña Opciones de implementación, defina el campo Privilegios de administrador en Sí.

6 Agregue una asignación de la aplicación a los dispositivos para empresas de Dell.

La aplicación se descargará e instalará en los dispositivos asignados. Además, podrá enviar perfiles deBIOS.


VMware, Inc. 104

http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor

http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor

Descripción general de DellCommand | Update 8Dell Command | Update es un software de administración del lado del cliente que forma parte de DellClient Command Suite. Este software permite actualizar el firmware, los controladores y las aplicacionesde los dispositivos de Dell compatibles.

Puntos básicosIntegre Workspace ONE UEM con Dell Command | Update para mejorar la administración deactualizaciones de dispositivos para empresas de Dell. Si lo hace, podrá actualizar firmware,controladores y otras aplicaciones de forma remota. Podrá controlar cuándo y qué tipos deactualizaciones se van a implementar en los dispositivos.

Dispositivos compatiblesn Sobremesas Dell OptiPlex™

n Sobremesas y portátiles Dell Precision Workstation™

n Portátiles Dell Latitude™

Adición de Dell Command | Update aWorkspace ONE UEMPara integrar Dell Command | Update con Workspace ONE UEM, agregue la aplicación como unaaplicación Win32 interna a Workspace ONE UEM Console. Para obtener más información, consulteAdición de Dell Command | Update a Workspace ONE UEM.

Configuración del perfil de actualizaciones de OEMConfigure el perfil de actualizaciones de OEM para habilitar Dell Command | Update en los dispositivosde los usuarios finales. Para obtener más información, consulte Configuración de un perfil deactualizaciones de OEM (escritorio de Windows).


n Adición de Dell Command | Update a Workspace ONE UEM

VMware, Inc. 105

Adición de Dell Command | Update aWorkspace ONE UEMPara mejorar la administración de los dispositivos para empresas de Dell, agregue Dell Command | Update a Workspace ONE UEM Console. El perfil de actualizaciones de OEM requiere esta aplicaciónantes del envío a los dispositivos.

Requisitos previos

Debe permitir que la distribución del software envíe Dell Command | Update a los dispositivos.

Procedimiento

1 Vaya a http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7534.dell-command-update ydescargue la última versión de Dell Command | Update.

2 En UEM Console, agregue el archivo EXE como una aplicación interna. Asegúrese de que define laarquitectura de procesador compatible en 32 o 64 bits según cuál sea el sistema operativo deldispositivo.

3 En la pestaña Opciones de implementación, defina el campo Privilegios de administrador en Sí.

4 Agregue una asignación de la aplicación a los dispositivos para empresas de Dell.

La aplicación se descargará e instalará en los dispositivos asignados. Además, podrá enviar perfiles deactualización de OEM.


VMware, Inc. 106

http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7534.dell-command-update

Administración de dispositivosde escritorio de Windows 9Una vez que los dispositivos se inscriban y configuren, adminístrelos con Workspace ONE ™UEM Console. Sus herramientas y funciones de administración le permiten supervisar los dispositivos yrealizar funciones administrativas de forma remota.

Puede administrar todos los dispositivos desde la consola de UEM. El tablero permite realizar búsquedasy vistas personalizadas que puede utilizar para filtrar y encontrar dispositivos específicos. Esta funciónsimplifica la ejecución de funciones administrativas en un conjunto determinado de dispositivos. La Vistaen lista de dispositivos muestra todos los dispositivos que se encuentran actualmente inscritos en suentorno de Workspace ONE UEM, así como su estado. La página Detalles del dispositivo proporcionainformación específica de los dispositivos, como los perfiles, las aplicaciones, la versión de WorkspaceONE Intelligent Hub y la versión de servicio OEM que está instalada en el dispositivo. También puederealizar acciones remotas en el dispositivo desde la página Detalles del dispositivo que sea específicapara tal dispositivo.


n Tablero de dispositivos

n Vista de lista de dispositivos

n Página de detalles de dispositivos de escritorio de Windows

n Administración remota avanzada

n Resumen del aprovisionamiento de productos

Tablero de dispositivosA medida que se inscriban los dispositivos, podrá verlos y administrarlos desde el Workspace ONEUEMTablero de dispositivos de .

El Tablero de dispositivos proporciona una vista de alto nivel de toda la flota y permite realizar accionesen cada dispositivo rápidamente.

Puede ver las representaciones gráficas de la información importante de los dispositivos de la flota, talcomo el tipo de propiedad de los dispositivos, las estadísticas de conformidad y el análisis deplataformas y sistemas operativos. Puede acceder a cada conjunto de dispositivos en las categoríaspresentes seleccione cualquiera de las vistas de datos disponibles en el Tablero de dispositivos.

VMware, Inc. 107

En la Vista de lista, puede realizar acciones administrativas: envío de mensajes, bloqueo dedispositivos, eliminación de dispositivos y cambio de grupos asociados con el dispositivo.

n Seguridad: permite ver los motivos más comunes de los problemas de seguridad de la flota dedispositivos. Si selecciona cualquiera de las gráficas de anillo, se mostrará una Lista dedispositivos filtrada con los dispositivos afectados por el problema de seguridad seleccionado. Si laplataforma lo permite, puede configurar una política de conformidad para aplicarla a estosdispositivos.

n Comprometido – La cantidad y porcentaje de dispositivos comprometidos (jailbroken o conacceso root) en su departamento.

n Sin código de acceso – La cantidad y porcentaje de dispositivos sin un código de accesoconfigurado para seguridad.

n Sin cifrar – La cantidad y porcentaje de dispositivos que no están cifrados para seguridad. Enesta cantidad indicada se excluye el cifrado de tarjetas SD de Android. Sólo aquellos dispositivosAndroid sin cifrado de disco se reportan en el gráfico de rosquilla.

Propiedad: permite ver el número total de dispositivos de cada categoría de propiedad. Alseleccionar cualquiera de los segmentos de gráficos de barras, aparecerá una Lista de dispositivosfiltrada con dispositivos del tipo de propiedad que haya seleccionado.

n Resumen de la última detección y análisis de la última detección: vea la cantidad y el porcentajede dispositivos que se han comunicado recientemente con el servidor de Workspace ONE UEMMDM. Por ejemplo, si no se han visto varios dispositivos en más de 30 días, seleccione el gráfico debarras correspondiente para mostrar únicamente dichos dispositivos. A continuación, podráseleccionar todos estos dispositivos filtrados y enviarles un mensaje solicitándoles que realicen laverificación del estado.

n Plataformas: permite ver el número total de dispositivos de cada categoría de plataforma. Alseleccionar cualquiera de las gráficas, se mostrará una Vista en lista de dispositivos filtrada quetiene los dispositivos de la plataforma que seleccionó.

n Inscripción: permite ver el número total de dispositivos de cada categoría de inscripción. Siselecciona cualquiera de las gráficas, se mostrará una Vista en lista de dispositivos filtrada quetiene los dispositivos del estado de inscripción que seleccionó.

n Desglose del sistema operativo: permite ver los dispositivos de la flota según el sistema operativo.Hay gráficas específicas para Apple iOS, Android, Windows Phone y Windows Rugged. Alseleccionar cualquiera de las gráficas, se mostrará una Vista en lista de dispositivos filtrada quetiene los dispositivos de la versión de SO que seleccionó.

Vista de lista de dispositivosUtilice la vista en lista del dispositivo de la consola de UEM para ver una lista completa de todos losdispositivos en el grupo organizativo que ha seleccionado.


VMware, Inc. 108

La columna Última detección muestra un indicador del número de minutos transcurridos desde el últimoregistro del dispositivo. El indicador es rojo o verde, en función del número de minutos definidos enTiempo de espera de inactividad de dispositivo (min). Este indicador puede establecerse en Gruposy ajustes > Todos los ajustes > Dispositivos y usuarios > General > Avanzado.

Puede seleccionar un dispositivo en la columna Información general en cualquier momento para abrir lapágina de detalles del dispositivo.

Además, puede ordenar las columnas y configurar los filtros de información para revisar la actividad deldispositivo según la información específica. Por ejemplo, ordene la columna por Estado de conformidadpara ver solamente los dispositivos que no están en estado de conformidad y para aplicar medidas soloen ellos. Busque un nombre común o nombre de usuario en todos los dispositivos para aislar undispositivo o usuario específico.

Cómo personalizar el diseño de la Vista de lista de dispositivosVisualice toda la lista de columnas visibles en la vista Lista de dispositivos seleccionando el botónDiseño y la opción Personalizado. Esta vista le permite mostrar u ocultar las columnas de la Lista dedispositivo según sus preferencias.

Asimismo, hay una opción para aplicar la vista de columnas personalizada a todos los administradores.Por ejemplo, puede ocultar "Número de activo" de las vistas Lista de dispositivos del grupoorganizativo actual y de todos los grupos que estén por debajo.

Una vez que haya completado todas las personalizaciones, seleccione el botón Aceptar para guardarsus preferencias y aplicar esta nueva vista de columnas. Puede regresar a la configuración del botónDiseño en cualquier momento para retocar las preferencias de visualización de las columnas.

Cómo buscar en la Vista de lista de dispositivosPuede buscar un solo dispositivo para acceder a su información de manera rápida y así tomar medidas oacciones a distancia sobre el dispositivo.

Para realizar una búsqueda, navegue a Dispositivos > Vista en lista, seleccione la barra Buscar enlista e introduzca un nombre de usuario, un nombre común del dispositivo o cualquier otro elemento paraidentificarlo. Esta acción inicia una búsqueda en todos los dispositivos con ese parámetro de búsqueda,dentro del grupo organizativo actual y todos los grupos secundarios.

Página de detalles de dispositivos de escritorio deWindowsUtilice la página de detalles del dispositivo para controlar la información detallada del dispositivo y teneracceso rápido a las acciones de administración del usuario y el dispositivo.

Para tener acceso a la página Detalles del dispositivo, puede seleccionar el nombre común deldispositivo en la vista en lista de dispositivos, o bien usar uno de los tableros o cualquiera de lasherramientas de búsqueda.


VMware, Inc. 109

Desde la página de detalles del dispositivo, puede acceder a información específica del dispositivo, lacual aparece detallada en diferentes pestañas del menú. Cada pestaña del menú contiene informaciónrelacionada con el dispositivo según la implementación de Workspace ONE UEM.

Acciones remotasEl desplegable de Más acciones de la página Detalles del dispositivo le permite realizar accionesremotas de forma inalámbrica en el dispositivo seleccionado.

Las acciones mencionadas varían según ciertos factores como la plataforma del dispositivo, los ajustesde Workspace ONE UEM Console y el estado de inscripción:

n Agregar etiqueta: permite asignar una etiqueta personalizable a un dispositivo que pueda identificaralgún dispositivo especial de la flota.

n Aplicaciones (consultas): permite enviar un comando de consulta MDM al dispositivo para obteneruna lista de las aplicaciones instaladas.

La acción Aplicaciones (consultas) requiere un inicio de sesión activo de un usuario inscrito.

n Certificados (consultas): ): permite enviar un comando de consulta MDM al dispositivo para obteneruna lista de las certificados instalados.Certificados (consultas)): : permite enviar un comando deconsulta MDM al dispositivo para obtener una lista de los certificados instalados..

Certificados (consultas) requiere un inicio de sesión activo de un usuario inscrito.

n Cambiar grupo organizativo: permite cambiar el grupo organizativo principal del dispositivo a otroque ya exista. Incluye una opción para seleccionar un grupo organizativo estático o dinámico.

n Solicitar registro de dispositivo: permite solicitar el registro de depuración del dispositivoseleccionado para verlo seleccionando la pestaña Más y seleccionandoArchivos adjuntos >Documentos. No puede ver el registro en Workspace ONE UEM Console. El registro se distribuyecomo un archivo ZIP que se puede utilizar para solucionar problemas y proporcionar soporte.


VMware, Inc. 110

Cuando se solicita un registro, se puede optar por recibir los registros del sistema o del hub.Sistema proporciona registros de nivel del sistema. Hub proporciona registros de los diversosagentes que se ejecutan en el dispositivo.

n Eliminar dispositivo: permite eliminar y anular la inscripción de un dispositivo de la consola. Envíael comando de eliminación empresarial al dispositivo que se eliminará en el próximo check-in ymarca el dispositivo como Eliminación en curso en la consola. Si la protección contra eliminacionesestá deshabilitada en el dispositivo, el comando emitido realiza inmediatamente una eliminaciónempresarial y elimina la representación del dispositivo en la consola.

n Información del dispositivo (consultas): permite enviar un comando de consulta MDM aldispositivo para obtener información básica tal como el nombre común, la plataforma, el modelo, elgrupo organizativo, la versión del sistema operativo y el estado de propiedad.

n Eliminación total de los dispositivos: permite enviar un comando MDM para el borrado completode todos los datos y el sistema operativo del dispositivo. Esta opción pone el dispositivo en un estadoen el cual será necesaria la partición de recuperación para volver a instalar el sistema operativo. Estaacción no se puede deshacer.

n Para los dispositivos de escritorio de Windows, puede elegir el tipo de eliminación dedispositivos.

• Eliminar: esta opción elimina todo el contenido del dispositivo.

• Eliminar los datos protegidos: esta opción es similar a una eliminación de dispositivonormal, pero el usuario no puede eludirla. El comando Eliminar los datos protegidos sigueintentando restablecer el dispositivo hasta que se realice correctamente. En algunasconfiguraciones de dispositivos, puede que este comando no permita que el dispositivoarranque.

• Eliminar y mantener los datos de aprovisionamiento: esta opción elimina el dispositivo,pero especifica que se debe realizar una copia de seguridad de los datos deaprovisionamiento en una ubicación persistente. Una vez que se ejecuta la eliminación, losdatos de aprovisionamiento se restauran y se aplican al dispositivo. Se guarda la carpeta deaprovisionamiento. Para buscar la carpeta, navegue por el dispositivo hasta %ProgramData%\Microsoft\Provisioning.

n Editar dispositivo: permite editar la información del dispositivo, como Nombre común, Número deactivo, Propiedad del dispositivo, Grupo de dispositivos y Categoría del dispositivo.

n Eliminación empresarial: la eliminación empresarial de un dispositivo anula la inscripción y eliminatodos los recursos empresariales, incluidas las aplicaciones y perfiles. Esta acción no se puedeanular y tendrá que inscribirse de nuevo en Workspace ONE UEM para volver a administrar eldispositivo. Incluye opciones para evitar inscripciones futuras, así como un campo Descripción paraque pueda agregar detalles importantes sobre la acción.

n La eliminación empresarial no es compatible con los dispositivos unidos a un dominio en la nube.

n Restablecimiento empresarial: permite restablecer un dispositivo a los ajustes de fábrica, peromanteniendo la inscripción en Workspace ONE UEM.


VMware, Inc. 111

El restablecimiento empresarial restaura un dispositivo al estado Listo para funcionar cuando esteestá dañado o tiene aplicaciones que no funcionan correctamente. Vuelve a instalar el sistemaoperativo Windows y conserva los datos de usuario, las cuentas de usuario y las aplicacionesadministradas. El dispositivo volverá a sincronizar los ajustes, las políticas y las aplicacionesempresariales de implementación automática tras el restablecimiento, mientras Workspace ONE losigue administrando.

n Bloquear dispositivo: permite enviar un comando MDM para bloquear un dispositivo seleccionadoque lo deja inutilizable hasta que lo desbloquee.

Importante Al bloquear un dispositivo, el usuario inscrito debe haber iniciado sesión en el dispositivopara que el comando se procese. El comando de bloqueo bloquea el dispositivo y se debe autenticarnuevamente a todos los usuarios que hayan iniciado sesión en Windows. Si un usuario inscrito hainiciado sesión en el dispositivo, el comando de bloqueo de dispositivo bloquea el dispositivo. Si ningúnusuario inscrito ha iniciado sesión, el comando de bloqueo de dispositivo no se procesa.

n Consultar todo: permite enviar un comando de consulta al dispositivo para obtener una lista deaplicaciones instaladas (como Workspace ONE Intelligent Hub, si procede), libros, certificados,información del dispositivo, perfiles y medidas de seguridad.

n Reiniciar el dispositivo: permite reiniciar el dispositivo de forma remota para reproducir el efecto deapagarlo y encenderlo de nuevo.

n Administración remota: permite tomar el control de un dispositivo compatible de forma remota conesta acción. Se iniciará una aplicación en la consola que le permitirá solucionar problemas yproporcionar soporte al dispositivo. Los dispositivos Android requieren que el servicio de controlremoto esté instalado.

n Seguridad (consultas): permite enviar un comando de consulta MDM al dispositivo para obtener lalista de medidas de seguridad activas (administrador del dispositivo, cifrado, código de acceso,certificados, etc.).

n Enviar mensaje: permite enviar un mensaje al usuario del dispositivo seleccionado. Elija entreCorreo electrónico, Notificación push (a través de AirWatch Cloud Messaging) y SMS.

Administración remota avanzadaLa administración remota avanzada (Advanced Remote Management, ARM) le permite conectarse deforma remota a los dispositivos de los usuarios finales para ayudar en la solución de problemas y elmantenimiento. La ARM requiere que el equipo y el dispositivo del usuario final se conecten al servidorde administración remota avanzada para facilitar la comunicación entre Workspace ONE UEM Console yel dispositivo del usuario final.

Para obtener más información, consulte VMware Workspace ONE Advanced Remote ManagementDocumentation (documentación de la administración remota avanzada de Workspace ONE de VMware)en docs.vmware.com.


VMware, Inc. 112

Resumen del aprovisionamiento de productosEl aprovisionamiento de productos le permite crear a través de Workspace ONE ™ ™ UEM productosque contienen perfiles, aplicaciones, archivos o acciones y acciones de evento (según la plataforma queutilice). Estos productos siguen una serie de reglas, horarios y dependencias como directrices paragarantizar que los dispositivos permanezcan actualizados con el contenido que necesitan.

El aprovisionamiento de productos también engloba el uso de servidores de retransmisión. Se trata deservidores FTP diseñados para funcionar como enlace entre los dispositivos y UEM Console. Cree estosservidores para cada tienda o almacén para guardar el contenido del producto que se distribuya a losdispositivos.

Para obtener más información sobre cómo utilizar el aprovisionamiento de productos con los dispositivosde escritorio de Windows, consulte la guía Product Provisioning for Windows Desktop.


VMware, Inc. 113

Date post:	20-Oct-2019
Category:	Documents
Upload:	others
View:	21 times
Download:	1 times

Administración de dispositivos de escritorio de Windows ...€¦Matriz de versiones de Windows 10 7...

Documents