Guía de VMware AirWatch para la plataforma de escritorio ... · Inscripcióndeusuariobásico...

Guía de VMware AirWatch para la plataformade escritorio de WindowsCómo implementar y administrar dispositivos de escritorio deWindowsWorkspace ONE UEM v1810

¿Desea compartir su opinión sobre la documentación? Envíe un vale de soporte de Comentarios sobre ladocumentación mediante el asistente de soporte en support.air-watch.com.Copyright©2018 VMware, Inc. Todos los derechos reservados. Este producto está protegido por las leyes de derechos de autor de los Estados Unidos y otros países, así como por lostratados internacionales. Los productos de VMware están amparados por una o varias patentes que figuran en http://www.vmware.com/go/patents.

VMware es una marca comercial registrada omarca comercial de VMware, Inc. en Estados Unidos y otras jurisdicciones. Todas las demás marcas y nombres mencionados en elpresente documento pueden sermarcas comerciales de sus respectivas empresas.

Guía de VMware AirWatch para la plataforma de escritorio deWindows | v.2018.10 | October 2018

Copyright©2018 VMware, Inc. Todos los derechos reservados.

1

http://support.air-watch.com/

ContenidoCapítulo 1: Introducción al escritorio de Windows 5

Requisitos de inscripción de escritorio de Windows 5Dispositivos de escritorio de Windows compatibles 6

Capítulo 2: Resumen de inscripción de escritorio de Windows 10

Puntos básicos de inscripción 10Inscripción con AirWatch Unified Agent paraWindows 11Otros métodos de inscripción 11Dispositivos de escritorio de Windows y Windows 7 12Inscripción con AirWatch Unified Agent paraWindows 12Inscripción de MDM nativa para escritorio de Windows 14Inscripción preparada 21Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch 25Inscripciónmediante integración con Azure AD 27Inscripción y aprovisionamiento enmasa 35

Capítulo 3: Resumen de los perfiles de escritorio de Windows 38

Introducción 38Acceso al dispositivo 38Seguridad del dispositivo 39Configuración del dispositivo 39Configuración de un perfil de código de acceso (escritorio de Windows) 39Configuración de un perfil de Wi-Fi (escritorio de Windows) 42Perfil de VPN (escritorio de Windows) 44Perfil de credenciales (escritorio de Windows) 50Configuración de una carga útil de restricciones (escritorio de Windows) 52Perfil de protección de datos (escritorio de Windows) 59Perfil de Windows Hello (escritorio de Windows) 62Configuración de un perfil de firewall (escritorio de Windows) 64Configuración de un perfil de modo de aplicación única (escritorio de Windows) 65Configuración de un perfil de antivirus (escritorio de Windows) 66Perfil de cifrado (escritorio de Windows) 69

2



Configuración de un perfil de actualizaciones de Windows (escritorio de Windows) 73Configuración de un perfil de web clips (escritorio de Windows) 81Perfil de Exchange ActiveSync (escritorio de Windows) 81Perfil de SCEP (escritorio de Windows) 87Perfil de control de aplicaciones (escritorio de Windows) 88Configuración de un perfil de servicios web de Exchange (escritorio de Windows) 90Creación de un perfil de licencias de Windows (escritorio de Windows) 91Configuración de un perfil de BIOS (escritorio de Windows) 91Configuración de un perfil de actualizaciones de OEM (escritorio de Windows) 95Uso de ajustes personalizados (escritorio de Windows) 97

Capítulo 4: Políticas de conformidad 100

Detección de dispositivos comprometidos con atestación de estado 100

Capítulo 5: Resumen de las aplicaciones de escritorio de Windows 103

VMware Workspace ONEpara escritorio de Windows 103Configuración de AirWatch Unified Agent en dispositivos de Windows 104VMware Content Locker para dispositivos de escritorio de Windows 106VMware Browser para escritorio de Windows 106

Capítulo 6: Integración de Dell Command | Monitor 107

Puntos básicos 107Dispositivos compatibles 107Adición de Dell Command | Monitor aWorkspace ONE UEM 107Perfil del BIOS 107Estado de mantenimiento de la batería 108Adición de Dell Command | Monitor aWorkspace ONE UEM 108

Capítulo 7: Descripción general de Dell Command | Update 109

Puntos básicos 109Dispositivos compatibles 109Adición de Dell Command | Update aWorkspace ONE UEM 109Configuración del perfil de actualizaciones de OEM 109Adición de Dell Command | Update aWorkspace ONE UEM 110

3



Capítulo 8: Administración de dispositivos de escritorio de Windows 111

Tablero de dispositivos 111Vista de lista de dispositivos 111Página de detalles de dispositivos de escritorio de Windows 112Administración remota avanzada 114Resumen del aprovisionamiento de productos 114

4



Capítulo 1:Introducción al escritorio de WindowsWorkspace ONE UEM le proporciona un conjunto de soluciones robustas de administración demovilidad para lainscripción, la protección, la configuración y la administración de la implementación de dispositivos Windows 8.1 yWindows 10.

A través deWorkspace ONE UEM Console, dispone de varias herramientas y funciones para la administración de todo elciclo de vida de los dispositivos personales y los empresariales. También puede permitir que los usuarios finales realicentareas por su cuenta, por ejemplo, a través del portal de autoservicio y la autoinscripción del usuario, lo cual le ahorratiempo y recursos fundamentales.

Workspace ONE UEM le permite inscribir dispositivos personales y empresariales para configurar y proteger los datos y elcontenido de su empresa. Con nuestros perfiles de dispositivos, podrá configurar y proteger correctamente susdispositivos Windows. Detecte los dispositivos comprometidos y retire el acceso a los recursos corporativos utilizando elmotor de conformidad.

Al inscribir los dispositivos en Workspace ONE UEM, puede protegerlos y configurarlos en función de cuáles sean susnecesidades.

Requisitos de inscripción de escritorio de WindowsAntes de inscribir los dispositivos de escritorio deWindows, asegúrese de que cumple los requisitos. Estos requisitosincluyen información importante que ofrecer a los usuarios finales que inscriben sus propios dispositivos.

Requisitos

l Entorno activo: el entorno activo deWorkspace ONE UEM y el acceso aWorkspace ONE UEM Console.

l Permisos apropiados de administración: este tipo de permiso le permite crear perfiles, determinar políticas yadministrar dispositivos dentro de la consola de UEM.

l URL de la inscripción: esta dirección URL es única para su entorno de inscripción y lo lleva directo a la pantalla deinscripción. Por ejemplo,mdm.example.com.

l ID de grupo: este identificador de grupo asocia su dispositivo con su rol corporativo, y está definido en la consola deUEM.

5



Importante: Si su servidor de inscripción está detrás de un proxy, debe configurar el servicio WINHTTP deWindowspara que sea consciente del proxy al configurar sus ajustes de red.

Dispositivos de escritorio de Windows compatiblesLa plataforma de escritorio deWindows incluye versiones del sistema operativo deWindows que van desdeWindows 8.0hasta Windows 10 y las diversas versiones de cada iteración.

Plataformas y dispositivos compatibles

Dispositivos con los siguientes sistemas operativos:no

Windows 8.1 RT Windows 10 Home

Windows 8.1 Core Windows 10 Pro

Windows 8.1 Pro Windows 10 Enterprise

Windows 8.1 Enterprise Windows 10 Education

Importante: Para ver la versión de SO que cada rama de actualización admite, consulte la documentación deMicrosoft sobre la información de versión deWindows 10: https://technet.microsoft.com/es-es/windows/release-info.aspx.

Matriz de funciones de escritorio de Windows

Compare qué funciones deWorkspace ONE UEM están disponibles para los sistemas operativos Windows 8.0/RT,Windows 8.1/RT y Windows 10. Workspace ONE UEM es compatible con todas las versiones deWindows 8.0 y versionesposteriores, pero la funcionalidad difiere según el sistema operativo.

Matriz de funciones

Función Windows 8.0/RT Windows 8.1/RT Windows 10

Activación e inscripción

Inscripción de cliente nativo ✓ ✓

Inscripción con el agente ✓ ✓ ✓

Requiere el ID de cuenta deWindows ✓

Exige aceptación de los términos de uso ✓ ✓ ✓

Soporte para solicitudes de opciones durante lainscripción

✓ ✓ ✓

Active Directory/LDAP ✓ ✓ ✓

Inscripción con unión de dominio de nube ✓

Inscripción mediante configuración rápida ✓

Capítulo 1: Introducción al escritorio de Windows

6



https://technet.microsoft.com/en-us/windows/release-info.aspx


Función Windows 8.0/RT Windows 8.1/RT Windows 10

Inscripción mediante aprovisionamiento en masa ✓

Inscripción preparada ✓

Arquitectura

SMS ✓ ✓ ✓

Mensajes de correo electrónico ✓ ✓ ✓

Supervisión de políticas de seguridad y conformidad

Política de contraseña ✓1 ✓3 ✓

Eliminación empresarial ✓1 ✓ ✓

Borrado completo ✓

Aprovisionamiento inalámbrico

Correo electrónico y Exchange ActiveSync ✓2 ✓

Wi-Fi ✓ ✓

VPN ✓ ✓

Administración de certificados ✓ ✓

Restricciones y configuraciones del dispositivo ✓ ✓

Windows Hello ✓

Cifrado ✓ ✓

Control de aplicaciones (AppLocker) ✓4

Atestación de estado ✓

Administración de aplicaciones

Administración de aplicaciones ✓ ✓ ✓

Aplicaciones de Workspace ONE UEM

VMware Content Locker ✓ ✓

Seguimiento de recursos

Seguimiento de recursos ✓ ✓ ✓

Estado del dispositivo ✓ ✓ ✓

Dirección IP ✓

Ubicación ✓ ✓ ✓

Red ✓ ✓ ✓

Compatibilidad con administración remota

Envío demensaje de soporte (solo correo electrónicoy SMS)

✓ ✓ ✓

1 – Indica el requisito de la integración con PowerShell.


7



2 – Indica el requisito de utilización de AirWatch Inbox.

3 – Los dispositivos con Windows 8.1/RT no pueden exigir el uso de un código de acceso si aún no se ha creado ninguno.Solo se puede exigir que el código de acceso permanezca en uso si se creó antes de que el perfil del código de acceso seinsertara en el dispositivo.

4 – Esta función solo está disponible en las versiones Enterprise y Education deWindows 10.

Matriz de versiones de Windows 10

Compare la funcionalidad deMDM disponible en cada versión del sistema operativo Windows 10. Workspace ONE UEMadmite todas las versiones del sistema operativo Windows 10 y las funciones compatibles.

Las diferentes ediciones deWindows 10 (Home, Professional, Enterprise y Education) tienen una funcionalidad distinta.La edición Windows 10 Home no ofrece la funcionalidad avanzada disponible en el sistema operativo Windows 10.Sopese la posibilidad de utilizar las ediciones Enterprise o Education para disfrutar de la mayor parte de lasfuncionalidades.

Función Versión del sistema operativo Windows 10

Inicio Profesional Enterprise 1 Educación

Activación e inscripción

Inscripción de cliente nativo ✓ ✓ ✓ ✓

Inscripción con el agente ✓ ✓ ✓ ✓

Requiere el ID de cuenta deWindows

Exige aceptación de los términos de uso ✓ ✓ ✓ ✓

Soporte para solicitudes de opciones durante lainscripción

✓ ✓ ✓ ✓

Active Directory/LDAP ✓ ✓ ✓ ✓

Inscripción con unión de dominio de nube ✓ ✓ ✓

Inscripción mediante configuración rápida ✓ ✓ ✓

Inscripción mediante aprovisionamiento en masa ✓ ✓ ✓

Inscripción preparada ✓ ✓ ✓ ✓

Arquitectura

SMS

Mensajes de correo electrónico ✓ ✓ ✓

Supervisión de políticas de seguridad y conformidad

Política de contraseña ✓ ✓ ✓ ✓

Eliminación empresarial ✓ ✓ ✓ ✓

Eliminación total ✓ ✓ ✓ ✓

Aprovisionamiento inalámbrico

Correo electrónico y Exchange ActiveSync ✓ ✓ ✓ ✓


8



Función Versión del sistema operativo Windows 10

Inicio Profesional Enterprise 1 Educación

Wi-Fi ✓ ✓ ✓ ✓

VPN ✓ ✓ ✓ ✓

Administración de certificados ✓ ✓ ✓ ✓

Restricciones y configuraciones del dispositivo ✓ ✓ ✓ ✓

Windows Hello ✓3 ✓ ✓ ✓

Cifrado ✓4 ✓ ✓ ✓

Control de aplicaciones (AppLocker) ✓ ✓

Atestación de estado ✓ ✓ ✓ ✓

Actualizaciones deWindows para empresas ✓ ✓ ✓

Acceso asignado ✓ ✓

Administración de aplicaciones

Administración de aplicaciones ✓ ✓ ✓

Aplicaciones de Workspace ONE UEM

VMware Browser ✓4 ✓ ✓ ✓

VMware Content Locker ✓4 ✓ ✓ ✓

Seguimiento de recursos

Seguimiento de recursos ✓ ✓ ✓

Estado del dispositivo ✓ ✓ ✓

Dirección IP

Ubicación ✓5 ✓5 ✓5 ✓5

Red ✓ ✓ ✓

Compatibilidad con administración remota

Envío demensaje de soporte (solo correo electrónico ySMS)

✓ ✓ ✓

1 – Enterprise también incluye IoT Enterprise y Rama de servicio a largo plazo (LTSB). LTSB es una imagen deWindows 10separada con muchas aplicaciones nativas eliminadas, como Microsoft Edge, Cortana y Microsoft Store. Parte de lafuncionalidad deWorkspace ONE UEM que usa estas funciones no tendrá soporte.

2 –Microsoft Passport requiere protección basada en hardware TPM 1.2 o 2.0 de credenciales o claves; si no hay TPM ono está configurado, la protección mediante credenciales o claves estará basada en el sistema operativo.

3 – El cifrado de dispositivos para la versión Home no incluye el cifrado de BitLocker.

4 – Solo se puede descargar deMicrosoft Store. Windows 10 Home no admite el envío de aplicaciones internas.

5 – Requiere AirWatch Unified Agent descargado deMicrosoft Store.


9



Capítulo 2:Resumen de inscripción de escritorio deWindowsLa inscripción de dispositivos establece la comunicación inicial con Workspace ONE UEM y la administración dedispositivos móviles (MDM). Los dispositivos de escritorio deWindows se inscriben utilizando la funcionalidad deMDMintegrada en el sistema operativo Windows.

Puntos básicos de inscripciónLos métodos de inscripción de los dispositivos de escritorio deWindows varían en función de la implementación deWorkspace ONE UEM que tenga, las integraciones empresariales y el sistema operativo del dispositivo. La plataforma deescritorio deWindows admite varias versiones de sistemas operativos y SKU de los dispositivos Windows. Para obtenermás información, consulte Dispositivos de escritorio deWindows compatibles en la página 6.

Antes de inscribir dispositivos, asegúrese de que dispone de la información necesaria para la inscripción. Para obtenermás información, consulte Requisitos de inscripción de escritorio deWindows en la página 5.

Simplifique la inscripción de usuarios finales mediante la configuración de los servicios de detección automática deWindows (WADS) en su entorno deWorkspace ONE UEM. WADS es compatible con una solución en las instalaciones yWADS basado en la nube.

Los métodos de inscripción utilizan la funcionalidad MDM nativa del sistema operativo Windows, AirWatch Unified Agentpara Windows o la integración con Azure AD.

Si quiere usar Workspace ONE UEM para administrar dispositivos Windows administrados mediante SCCM, debedescargar VMware AirWatch SCCM Integration Client. Utilice este cliente para inscribir dispositivos administradoscon SCCM en Workspace ONE UEM. Para obtener más información, consulte el artículo de la base deconocimiento VMware AirWatch SCCM Integration Client. https://support.air-watch.com/articles/115001664948

10



https://support.air-watch.com/articles/115001664948


Inscripción con AirWatch Unified Agent para WindowsEl flujo de inscripción más sencillo utiliza AirWatch Unified Agent para Windows para inscribir dispositivos. Los usuariosfinales solo tienen que descargar AirWatch Unified Agent en awagent.com y seguir las indicaciones para inscribirse. Paraobtener más información sobre la inscripción con el agente, consulte Inscripción con AirWatch Unified Agent paraWindows en la página 12.

Otros métodos de inscripciónConsidere usar AirWatch Unified Agent para el flujo de trabajo de inscripción deWindows. Workspace ONE UEM admiteotros flujos de inscripción que cumplan con escenarios de uso específicos.

Inscripción mediante integración con Azure AD

Mediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se inscriben automáticamente enWorkspace ONE UEM con una interacción mínima por parte del usuario final. La inscripción mediante la integración conAzure AD simplifica este proceso tanto para el usuario como para el administrador. La inscripción con la integración deAzure AD admite tres flujos distintos de inscripción: Registro en Azure AD, inscripción mediante configuración rápida einscripción de Office 365. Todos los métodos requieren que se configure la integración de Azure AD conWorkspace ONE UEM.

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurarWorkspace ONE UEM y Azure AD. Para obtener más información, consulte Configuración de la integración de los serviciosde identidad de Azure AD en la página 27.

Para realizar la inscripción mediante flujos de integración de Azure AD, consulte Inscripción mediante integración conAzure AD en la página 27.

Inscripción MDM nativa

Workspace ONE UEM admite la inscripción de dispositivos de escritorio deWindows a través del flujo de inscripciónMDM nativa. El nombre de la solución MDM nativa varía según la versión deWindows. Este flujo de inscripción cambiasegún la versión deWindows y de si utiliza WADS.

Para obtener más información, consulte Inscripción deMDM nativa para escritorio deWindows en la página 14

Inscripción preparada

Si desea configurar la administración de dispositivos en un equipo con Windows 10 antes de enviar un dispositivo alusuario final, plantéese el uso de la inscripción preparada de dispositivos de escritorio deWindows. Este flujo deinscripción le permite inscribir un dispositivo a través de AirWatch Unified Agent, instalar los perfiles en dicho dispositivoy, posteriormente, enviarlo al usuario final. Los dos métodos de inscripción preparada son la instalación manual y lainstalación de línea de comandos. La instalación manual requiere que los dispositivos estén unidos al dominio para unaintegración con Azure AD. La instalación de línea de comandos funciona en todos los dispositivos con Windows 10.Consulte la sección Inscripción preparada en la página 21 para más información.

Inscripción automática de escritorio de Windows

Workspace ONE UEM es compatible con la inscripción automática de dispositivos específicos de escritorio deWindowsadquiridos mediante Dell. La inscripción automática simplifica el proceso al inscribir demanera automática los

Capítulo 2: Resumen de inscripción de escritorio de Windows

11



dispositivos registrados con el método de inscripción mediante configuración rápida.

El Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch solo se aplica para seleccionar dispositivos paraempresas de Dell con la imagen correcta deWindows 10. La funcionalidad de inscripción automática debe adquirirsedentro del pedido de Dell.

Para obtener más información, consulte Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch en la página25.

Inscripción y aprovisionamiento en masa

El aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10 y los inscribe enWorkspace ONE UEM. El aprovisionamiento en masa requiere la descarga del kit de evaluación y desarrollo deMicrosofty la instalación de la herramienta Diseñador de imágenes y configuraciones. Esta herramienta crea paquetes deaprovisionamiento que se utilizan para crear imágenes de los dispositivos.

Gracias a este flujo de aprovisionamiento en masa, puede incluir ajustes deWorkspace ONE UEM en el paquete deaprovisionamiento para que los dispositivos aprovisionados se inscriban automáticamente durante el proceso deconfiguración rápida inicial. Para más información, consulte Inscripción y aprovisionamiento en masa en la página 35.

Dispositivos de escritorio de Windows yWindows 7Puede inscribir sus dispositivos Windows en una de las dos plataformas. La plataforma determina la funcionalidad deadministración de dispositivos disponible para sus dispositivos Windows.

La plataforma de escritorio deWindows es compatible con dispositivos Windows 8.1 y Windows 10mediante lainscripción deMDM nativa. La plataforma deWindows 7 es compatible con dispositivos Windows 7, Windows 8 yWindows 10mediante la inscripción con AirWatch Unified Agent para Windows.

La tabla siguientemuestra las diferencias entre los métodos de inscripción. Considere la posibilidad de inscribir losdispositivos Windows 8 y Windows 10 como dispositivos de escritorio deWindows, dada su mayor funcionalidad deadministración de dispositivos.

Funcionalidad Windows 7 Escritorio de Windows

Método de inscripción MDM nativa ✓

Hub deWorkspace ONE IntelligentInscripción ✓ ✓

Soporte de AirWatch Protection Agent ✓ ✓

Soporte completo para funcionalidad deWindows 10 ✓

Soporte para dispositivos administrados con SCCM ✓ ✓

Soporte para dispositivos Windows 7 ✓

Inscripción con AirWatch Unified Agent para WindowsAirWatch Unified Agent proporciona un recurso único de inscripción y facilita la comunicación entre el dispositivo yWorkspace ONE UEM Console. Use AirWatch Unified Agent para simplificar la inscripción y habilitar la funcionalidad deMDM completamente.


12



Se aconseja utilizar AirWatch Unified Agent para Windows con el fin de inscribir sus dispositivos de escritorio deWindows, ya que Hub deWorkspace ONE Intelligent ofrece el flujo de inscripción más sencillo para los usuarios. Si tieneconfigurado Workspace ONE, al descargar Hub deWorkspace ONE Intelligent desde awagent.com también se descargarála aplicación Workspace ONE. Cuando termine la inscripción con AirWatch Unified Agent, la aplicación Workspace ONE seiniciará automáticamente y se configurará en función de su implementación deWorkspace ONE UEM.

AirWatch Unified Agent ofrece funcionalidad adicional para los dispositivos de escritorio deWindows, incluidos losservicios de ubicación.

Puede simplificar la inscripción para sus usuarios finales con la detección automática deWindows. La detecciónautomática deWindows permite a los usuarios finales introducir su dirección de correo electrónico para llenar loscampos automáticamente con sus credenciales de inscripción.

AirWatch Cloud Messaging

AirWatch Cloud Messaging (AWCM) permite el envío de políticas y comandos en tiempo real a AirWatch Unified Agent.Sin AWCM, AirWatch Unified Agent solo recibe políticas y comandos durante los intervalos de verificaciones de estadoregulares establecidos en la consola de AirWatch. Considere la posibilidad de utilizar AWCM para enviar comandos ypolíticas en tiempo real a dispositivos de escritorio deWindows.

Para obtener más información sobre la detección automática, consulte la guía VMware AirWatch Windows Auto-Discovery Installation Guide y la Guía de AirWatch para la administración de dispositivos móviles.

Inscripción con VMware AirWatch Unified Agent

Utilice AirWatch Unified Agent para iniciar la inscripción de sus dispositivos de escritorio deWindows.AirWatch Unified Agent ofrece un flujo de inscripción simplificada para los usuarios finales, lo cual permite una inscripciónrápida y fácil.

Para inscribir dispositivos de escritorio deWindows usando AirWatch Unified Agent:

1. En el dispositivo escritorio deWindows, navegue a awagent.com.

2. Instale AirWatch Unified Agent. Cuando la instalación se haya completado, inicie Hub deWorkspace ONE Intelligent.

3. Seleccione Conectar una cuenta profesional o educativa. AirWatch Unified Agent abre la aplicación nativa deWorkplace para completar la inscripción.

4. Introduzca la dirección de correo electrónico y seleccione Siguiente.

Si no está utilizando el servicio de detección automática deWindows, complete los siguientes ajustes:

l Introduzca la URL del servidor y seleccione Siguiente.

l Introduzca el ID de grupo y seleccione Siguiente.

l Introduzca el nombre de usuario y la contraseña.

5. Acepte los Términos de uso.

6. Seleccione Listo.

7. Abra AirWatch Unified Agent y complete la inscripción.


13



http://awagent.com/

Inscripción de MDM nativa para escritorio de WindowsTodos los métodos de inscripción de escritorio deWindows utilizan el cliente deMDM nativa deWorkplace o WorkAccess. Use la inscripción deMDM nativa para inscribir dispositivos tanto corporativos como BYOD en el mismo flujo deinscripción.

Los dispositivos Windows 10 usan la inscripción Work Access, mientras que los dispositivos Windows 8.1/RT utilizan lainscripción Workplace.

Work Access procesa primero un plan de trabajo de Azure AD para dominios conectados a Office 365 o Azure AD cuandoselecciona Conectar y no completa automáticamente el plan de trabajo de inscripción. Si usa Office 365 o Azure AD sinlicencia Premium, es recomendable usar AirWatch Unified Agent, en lugar de la inscripción deMDM nativa, para inscribirdispositivos Windows 10. Para completar el plan de trabajo de inscripción mediante inscripción deMDM nativa,seleccione Conectar dos veces. Si tiene una licencia Premium de Azure AD, puede habilitar Requerir administración en suinstancia de Azure para que la inscripción deMDM nativa complete el flujo de inscripción después del plan de trabajo deAzure. Puede usar la inscripción deMDM nativa sin problemas si no usa Office 365 o Azure AD.

Para obtener más información técnica sobre el funcionamiento del flujo de inscripción después de la Actualizaciónde aniversario deWindows 10, consulte el artículo de la base de conocimiento Enrollment changes for Windowsdevices after Windows Anniversary update, disponible aquí: https://support.air-watch.com/articles/115001665408.

Solo aquellos usuarios que tengan permisos de administración local en el dispositivo podrán inscribir un dispositivo enWorkspace ONE UEM y habilitar MDM. Los permisos de administrador de dominio no sirven para inscribir un dispositivo.Para inscribir un dispositivo con un usuario estándar, debe usar la inscripción Inscribir en nombre de otros paradispositivos Windows 8.1 o el aprovisionamiento en masa para dispositivos Windows 10.

Mediante el servicio de detección automática deWindows se simplifica la inscripción para el usuario final, ya que senecesita menos interacción durante la inscripción. Con el servicio de detección automática deWindows, tiene que seguirlos pasos que se describen en VMware AirWatch Windows Auto-Discovery Service Installation Guide.

Los dispositivos que se han unido a un dominio se pueden inscribir mediante la inscripción nativa a través deWorkplace.La dirección de correo electrónico introducida en la configuración se llena automáticamente con el atributo UPN de ActiveDirectory. Si el usuario final quiere utilizar una dirección de correo electrónico diferente, debe descargarse la actualizaciónopcional.

Inscripción mediante Work Access con el servicio de detección automática de Windows

Work Access es el método de inscripción deMDM nativa para los dispositivos Windows 10. La inscripción a través deWork Access y mediante el servicio de detección automática deWindows ofrece un flujo de inscripción rápido y fácil paralos usuarios finales.

Si registra su dominio en Workspace ONE UEM, ya no hay necesidad de introducir el ID de grupo durante la inscripción.

Para obtener más información, consulte la guía VMware AirWatch Windows Auto-Discovery.

Nota: se aconseja usar AirWatch Unified Agent para Windows con el fin de inscribir sus dispositivos Windows 10 enlugar de la inscripción MDM nativa. El flujo de inscripción deMDM nativa no inscribe dispositivos en MDM si utilizaOffice 365 o Azure AD en el mismo dominio.


14





1. Navegue en el dispositivo a Ajustes > Cuentas > Acceso al trabajo y seleccione Inscribir en la administración deldispositivo.

2. Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuario final, seguido deldominio del entorno con el formato [email protected] (como [email protected]).Seleccione Continuar.

3. Introduzca el ID de grupo y seleccione Siguiente.

4. Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de su entorno deWorkspace ONE UEM.

5. Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo con estos.

Este paso es opcional y solo semuestra si se ha habilitado en Workspace ONE UEM Console.

6. (Opcional) Seleccione Sí para guardar la información de inicio de sesión.

Tras esto, el dispositivo intenta conectarse a Workspace ONE UEM. Si establece conexión correctamente, aparece elicono de un maletín con Workspace ONE UEM escrito al lado. Este icono refleja la correcta conexión aWorkspace ONE UEM.


15



Inscripción mediante Work Access sin el servicio de detección automática de Windows

Work Access es el método de inscripción deMDM nativa para los dispositivos Windows 10. La inscripción a través deWork Access sin WADS requiere que se introduzcan manualmente las credenciales de usuario final.

Nota: se aconseja usar AirWatch Unified Agent para Windows con el fin de inscribir sus dispositivos Windows 10 enlugar de la inscripción MDM nativa. El flujo de inscripción deMDM nativa no inscribe dispositivos en MDM si utilizaOffice 365 o Azure AD en el mismo dominio.

Para inscribirse a través deWork Access sin WADS:

1. Navegue en el dispositivo a Ajustes > Cuentas > Acceso al trabajo y seleccione Inscribir en la administración deldispositivo.


16



2. Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuario final, seguido deldominio del entorno con el formato [email protected] (como [email protected]).

3. Introduzca la dirección del servidor como sigue: <DeviceServicesURL>/DeviceServices/Discovery.aws. No incluya“https://” en la dirección URL. Por ejemplo: ds156.awmdm.com/deviceservices/discovery.aws

4. Seleccione Continuar.


6. Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de su entorno deWorkspace ONE UEM.

7. (Opcional) Revise los Términos de uso y seleccione Aceptar para aceptarlos.

Este paso es opcional y solo semuestra si ha elegido habilitarlo.

8. (Opcional) Seleccione Sí para guardar la información de inicio de sesión.

Tras esto, el dispositivo intenta conectarse a Workspace ONE UEM. Si establece conexión correctamente, aparece elicono de un maletín con Workspace ONE UEM escrito al lado. Este icono refleja la correcta conexión aWorkspace ONE UEM.


17



Inscripción mediante Workplace con el servicio de detección automática de Windows

Workplace es el método de inscripción deMDM nativa para los dispositivos Windows 8.1. La inscripción a través deWorkplace y mediante el servicio de detección automática deWindows ofrece un flujo de inscripción rápido y fácil paralos usuarios finales.

El servicio de detección automática deWindows (WADS) ofrece un proceso de inscripción rápido y simple para losusuarios finales.

Para inscribirse a través deWorkplace con WADS:

1. Navegue en el dispositivo del usuario final a Configuración > Cambiar configuración del PC > Red > Área detrabajo.


18




El campo de dirección de correo electrónico no semuestra en aquellos dispositivos que se han unido a un dominio.El registro del dominio UPN durante la configuración deWADS elimina la necesidad de introducir la dirección decorreo electrónico para todos los usuarios de Active Directory.

3. En Activar administración de dispositivos, mantenga el control deslizanteDetectar la dirección del servidorautomáticamente en Activado.

4. Deje en blanco el campo Introduzca la dirección del servidor.

5. Seleccione Activar.


Si registra su dominio en Workspace ONE UEM, ya no hay necesidad de introducir el ID de grupo durante lainscripción.

7. Introduzca su nombre de usuario y contraseña y seleccione Siguiente.Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de su entorno deWorkspace ONE UEM.

8. Seleccione Activar. Si el botón cambia de Activar a Desactivar, ha inscrito correctamente el dispositivo. No seleccioneDesactivar o se cancelará la inscripción del dispositivo en Workspace ONE UEM.


19



Inscripción mediante Workplace sin el servicio de detección automática de Windows

Workplace es el método de inscripción deMDM nativa para los dispositivos Windows 8.1. La inscripción a través deWorkplace sin WADS requiere que se introduzcan manualmente las credenciales de usuario final.

Importante: estemétodo de inscripción requiere una actualización opcional deMicrosoft. Para obtener másinformación sobre esta actualización, consulte https://support.microsoft.com/es-es/kb/2955164.

Para inscribirse a través deWorkplace sin WADS:

1. Navegue en el dispositivo del usuario final a Configuración > Cambiar configuración del PC > Red > Área detrabajo.


El campo de dirección de correo electrónico no semuestra en aquellos dispositivos que se han unido a un dominio.

3. En Activar administración de dispositivos, establezca el control deslizanteDetectar la dirección del servidorautomáticamente en Desactivado.

4. Introduzca la dirección del servidor como sigue: <DeviceServicesURL>/DeviceServices/Discovery.aws. No incluya“https://” en la dirección URL.

Por ejemplo: ds156.awmdm.com/deviceservices/discovery.aws

5. Seleccione Activar.


7. Introduzca su nombre de usuario y contraseña y seleccione Siguiente.Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de su entorno deWorkspace ONE UEM.


20



http://support.microsoft.com/kb/2955164

8. Complete los pasos opcionales si permite que los usuarios de los dispositivos realicen estas selecciones.

l Seleccione el tipo de Propiedad del dispositivo, Propiedad del empleado, Corporativo - Dedicado oCorporativo - Compartido.

l Seleccione Siguiente.

l Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo con estos.

l Seleccione la casilla de verificación Entiendo para permitir la instalación de las aplicaciones y los serviciosimplementados.

9. Seleccione Activar. Si el botón cambia de Activar a Desactivar, ha inscrito correctamente el dispositivo. No seleccioneDesactivar o se cancelará la inscripción del dispositivo en Workspace ONE UEM.

Inscripción preparadaHabitualmente los administradores prefieren configurar la administración del dispositivo antes de enviarlo al usuariofinal. La inscripción preparada le permite inscribir un dispositivo con AirWatch Windows Agent, instalar perfiles en eldispositivo y enviarlo a un usuario final.

También le permite inscribir su dispositivo Windows 10 en Workspace ONE UEM. Para realizar esta inscripción, esnecesario instalar AirWatch Windows Agent. Cualquier perfil asignado en el dispositivo se descarga en este último tras suinscripción. Una vez que el dispositivo esté completamente inscrito y configurado, puede enviarlo a los usuarios finales.Cuando el usuario final inicia sesión en el dispositivo, AirWatch Windows Agent actualiza el registro del dispositivo enWorkspace ONE UEM Console. Workspace ONE UEM reasigna el dispositivo al usuario final y envía los perfiles de usuarioal dispositivo.

Hay dos métodos de preparación:

l Instalación manual: descargue e instale AirWatch Unified Agent e introduzca las credenciales de inscripción. Estemétodo requiere que los dispositivos estén unidos al dominio antes de la inscripción.

l Instalación mediante línea de comandos: descargue AirWatch Unified Agent y después instale e inscriba eldispositivo mediante la línea de comandos.

La inscripción se puede completar de dos formas: con la actualización del registro del dispositivo de la consola de UEMcuando un usuario se inscribe en un dispositivo unido al dominio, o bien mediante la comparación del nombre delusuario inscrito con una lista de números de serie registrados previamente.

Importación masiva de números de serie de dispositivos

Importe números de serie de dispositivos que puede usar en la inscripción preparada para agregar dispositivosrápidamente aWorkspace ONE UEM Console. La importación en masa requiere un archivo CSV con todos los númerosde serie que quiere importar.

Para registrar varios dispositivos:

1. Acceda a Cuentas > Usuarios > Vista de lista> Estado de inscripción o Dispositivos > Ciclo de vida > Estado deinscripción.

a. Seleccione Agregar y luego Importar por lotes para ver la pantalla Importar por lotes.

2. Complete todas las opciones requeridas. Nombre del lote, Descripción del lote y Tipo de lote.


21



3. En la opción Archivo por lotes (.csv) hay una lista de plantillas basadas en tareas que puede utilizar para cargar losusuarios y sus dispositivos en masa.

4. Seleccione la plantilla de descarga adecuada y guarde el archivo de valores separados por comas (CSV) en un lugaraccesible.

5. Busque el archivo CSV guardado, ábralo con Excel e introduzca toda la información relevante de los dispositivos quedesea importar.

Cada plantilla se rellena automáticamente con ejemplos para demostrar qué tipo de información (y su formato) debeincluirse en cada columna.

Los campos del archivo CSV con un asterisco (*) son obligatorios.

6. Guarde la plantilla que rellenó como un archivo CSV. En la consola de UEM, seleccione el botón Seleccionar archivoen la pantalla Importar por lotes, acceda a la ruta donde guardó el archivo CSV y selecciónelo.

7. SeleccioneGuardar para completar la inscripción de todos los usuarios enumerados y los dispositivoscorrespondientes.

Inscripción mediante preparación con línea de comandos

Simplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivos de escritorio deWindows con la línea de comandos deWindows. Estemétodo de inscripción inscribe el dispositivo y registra los perfilesen este en función de las credenciales de usuario introducidas.

Importante: no cambie el nombre del archivo AirWatchAgent.msi, ya que interrumpiría el comando de preparación.

Para realizar una inscripción mediante preparación con línea de comandos:

1. Navegue a awagent.com para descargar AirWatch Unified Agent para Windows.

Descargue únicamente AirWatch Unified Agent. No inicie el ejecutable ni seleccione Ejecutar, ya que iniciaría unproceso de preparación estándar contrario al objetivo de la instalación silenciosa.

Si es necesario, mueva AirWatch Unified Agent de la carpeta de descarga a una carpeta local o de red.

2. Abra una línea de comandos o cree un archivo BAT e introduzca todas las rutas, parámetros y valores necesariossirviéndose de la información que semuestra en la sección Parámetros y valores para la inscripción silenciosa en lapágina 23.

3. Ejecute el comando. Para consultar ejemplos de sintaxis, consulte Ejemplos de inscripción silenciosa en la página 24

Después de que el comando se ejecute, el dispositivo se inscribe en Workspace ONE UEM. Si el dispositivo está unido aldominio, AirWatch Unified Agent actualiza el registro del dispositivo deWorkspace ONE UEM Console con el usuariocorrecto. Si usa la importación masiva de números de serie, AirWatch Unified Agent actualiza el registro del dispositivo dela consola de UEM y conecta las credenciales de usuario con el número de serie del dispositivo.

Inscripción preparada manual

Simplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivos Windows 10 a través deAirWatch Unified Agent. Estemétodo de inscripción inscribe el dispositivo y descarga los perfiles en este para que elusuario final solo tenga que iniciar sesión en el dispositivo y empezar a usarlo.

Estos dispositivos deben estar unidos a un dominio.


22



Para preparar la inscripción de un dispositivo Windows 10:

1. Vaya a www.awagent.com para descargar el instalador de AirWatch Unified Agent.

2. Inicie el instalador cuando se haya descargado.

3. Seleccione Ejecutar para iniciar la instalación.

4. Seleccione Correo electrónico si ha habilitado la detección automática de AirWatch; de lo contrario, seleccioneDetalles del servidor.

5. Complete la configuración que sea necesaria en función del tipo de autenticación seleccionado:

l Introduzca la dirección de correo electrónico para rellenar automáticamente la pantalla de detalles. SeleccioneSiguiente para introducir los datos.

l Introduzca el nombre del servidor y el ID de grupo si no usa la detección automática de AirWatch para completarla configuración. Seleccione Siguiente.

6. Introduzca el nombre de usuario y la contraseña provisionales y seleccione Siguiente.

7. Complete cualquier otra pantalla adicional.

8. Seleccione Finalizar para completar la instalación

Cuando AirWatch Unified Agent detecta un usuario de inscripción preparada, se ejecuta el proceso de escucha de Hub deWorkspace ONE Intelligent, que escucha el siguiente inicio de sesión deWindows. Cuando el usuario final inicia sesión enel dispositivo, el proceso de escucha de Hub deWorkspace ONE Intelligent lee el UPN y la dirección de correo electrónicodel usuario en el registro del dispositivo. Esta información se envía a Workspace ONE UEM Console y se actualiza elregistro del dispositivo demodo que se registre el dispositivo para el usuario.

Parámetros y valores para la inscripción silenciosa

La inscripción silenciosa requiere entradas de línea de comandos o un archivo BAT para controlar cómo realizaAirWatch Unified Agent las descargas e instalaciones en el dispositivo.

La siguiente tabla incluye todos los parámetros de inscripción que pueden introducirse en una línea de comandos o enun archivo BAT, así como sus respectivos valores. Los parámetros marcados en azul y verde son los parámetros mínimosque se requieren para la inscripción. El azul significa solo imagen. El azul con el verde designa la inscripción del usuario.

Parámetros de inscripción Valores para añadir al parámetro

ENROLL Seleccione "Y" para realizar la inscripción.

Seleccione "N" para solo imagen.

IMAGEN Seleccione "Y" para imagen.

Seleccione "N" para inscripción.

SERVER Introduzca la dirección URL de la inscripción.

LGName Introduzca el nombre del grupo organizativo.

USERNAME Introduzca el nombre del usuario para el que se realiza la inscripción o el nombre deusuario de inscripción preparada si se realiza una inscripción preparada en el dispositivoen nombre de un usuario.


23



Parámetros de inscripción Valores para añadir al parámetro

PASSWORD Introduzca la contraseña del usuario para el que se realiza la inscripción o la contraseñadel usuario de inscripción preparada si se realiza una inscripción preparada en eldispositivo en nombre de un usuario.

ASSIGNTOLOGGEDINUSER Seleccione "Y" para asignar el dispositivo al usuario de dominio que ha iniciado sesión.

STAGEUSERNAME Introduzca el nombre del usuario que se inscribe.

SECURITYTYPE Es necesario si la cuenta de usuario se añade aWorkspace ONE UEM Console durante elproceso de inscripción:

l Seleccione "D" para Directorio.

l Seleccione "B" para el tipo Usuario básico.

STAGEEMAILUSRNAME* Introduzca el nombre de usuario del correo electrónico del usuario que se inscribe.

STAGEPASSWORD Introduzca la contraseña del usuario que se inscribe.

STAGEEMAIL* Introduzca la dirección de correo electrónico del usuario que se inscribe.

DEVICEOWNERSHIPTYPE* Seleccione "CD" para Corporativo - Dedicado.

Seleccione "CS" para Corporativo - Compartido.

Seleccione "EO" para Propiedad del empleado.

Seleccione "N" para no elegir ninguno.

INSTALLDIR* Introduzca la ruta del directorio si quiere cambiar la ruta de instalación.

Aviso: Si este parámetro no está presente, AirWatch Unified Agent utiliza la ruta pordefecto: C:\Archivos de programa (x86)\AirWatch.

DOWNLOADWSBUNDLE Seleccione 'Y' para descargar el catálogo de VMwareWorkspace ONE, junto con AirWatchUnified Agent para Windows.

Los elementos marcados con un asterisco (*) son opcionales.

Ejemplos de inscripción silenciosa

A continuación semuestran varios casos prácticos en los que se emplean los parámetros de inscripción y los valores quepueden introducirse en una línea de comandos o emplear para crear un archivo BAT. Al realizar cualquiera de estosejemplos, el dispositivo Windows se inscribe de forma silenciosa, sin que el usuario tenga que seleccionar ningún botónde confirmación.

Instalación del agente para solo imagen sin inscripción

A continuación semuestra un ejemplo de instalación de Hub deWorkspace ONE Intelligent para solo imagen sininscripción, utilizando los parámetros mínimos requeridos para solo imagen.

AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y


24



Inscripción de usuario básico

A continuación semuestra un ejemplo de cómo utilizar los parámetros mínimos que se requieren para la inscripciónbásica:

AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsrPASSWORD=test

Instalación de AirWatch Unified Agent en otro sitio

A continuación semuestra un ejemplo de AirwatchAgent.msi en una ubicación distinta:

C:\AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupidUSERNAME=TestUsr PASSWORD=test

Directorio de instalación y AirWatch Unified Agent en la unidad de red

A continuación semuestra un ejemplo del parámetro de directorio para la instalación con AirWatch Unified Agent en unaunidad de red:

Importante: Añada comillas extra para el parámetro INSTALLDIR cuando exista un espacio dentro del parámetro.

Q:\AirwatchAgent.msi /quiet INSTALLDIR=\"E:\Install Win32\" ENROLL=Y IMAGE=n SERVER=companyURL.comLGName=locationgroupid USERNAME=TestUsr PASSWORD=test

Todos los parámetros y valores disponibles

A continuación semuestra un ejemplo de la sintaxis al utilizar todos los valores y parámetros que semuestran en la tablaanterior.

<AirwatchAgent.msi> /quiet INSTALLDIR=\"<Ruta del directorio>" ENROLL=<Y/N> IMAGE=<Y/N> SERVER=<URL empresa>LGNAME=<ID grupo de ubicación>USERNAME=<Nombre de usuario> PASSWORD=<Contraseña nombre de usuario>STAGEUSERNAME=<Nombre de usuario de preparación> SECURITYTYPE=<D/B> STAGEEMAILUSRNAME=<Inscripción deusuario> STAGEPASSWORD=<Contraseña para inscripción de usuario> STAGEEMAIL=<Dirección de correo electrónicopara inscripción de usuario>DEVICEOWNERSHIPTYPE=<CD/CS/EO/N>ASSIGNTOLOGGEDINUSER=<Y/N>DOWNLOADWSBUNDLE=<Y/N>

Servicio de Aprovisionamiento de Windows 10 de VMware AirWatchWorkspace ONE UEM es compatible con la inscripción automática de dispositivos específicos de escritorio deWindowsadquiridos mediante Dell. La inscripción automática simplifica el proceso al inscribir demanera automática losdispositivos registrados con el método de inscripción mediante configuración rápida.

El Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch solo se aplica para seleccionar dispositivos Dellcon la imagen correcta deWindows 10. La funcionalidad de inscripción automática debe adquirirse dentro del pedido deDell. Workspace ONE UEM solo es compatible con Windows 10 Pro, Enterprise y SKU de educación paraaprovisionamiento en la nube.

El Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch asocia los dispositivos registrados con los usuariose inscribe automáticamente los dispositivos mediante el método de inscripción rápida. Cuando el usuario final se registra


25



en el dispositivo, el agente de aprovisionamiento del dispositivo recibe los perfiles y aplicaciones asignadas al dispositivoy al usuario. Esta función es similar al Programa de Inscripción de Dispositivos Apple.

Cuando compra los dispositivos en Dell, Workspace ONE UEM recibe los datos de estos dispositivos. Para utilizar lainscripción automática, debe registrar los números de serie de todos los dispositivos comprados en Dell.Workspace ONE UEM empareja el número de serie con el proporcionado por Dell para que pueda emplearse con ladetección automática de AirWatch.

Debe registrar los dispositivos con una cuenta de usuario antes de enviar los dispositivos a los usuarios finales.

Para lograr una experiencia de inscripción sin fisuras, considere la posibilidad de configurar el método de autenticación detoken de acceso externo de VMware Identity Manager. La autenticación de token de acceso externo permite queWorkspace ONE se abra y envíe aplicaciones al dispositivo automáticamente. Cuando esta función está habilitada,Workspace ONE autentica y provee al usuario automáticamente de una experiencia de primer inicio en la que semuestrael progreso de la instalación de aplicaciones y políticas.

Importante: Los dispositivos inscritos mediante el Servicio de Aprovisionamiento deWindows 10 de VMwareAirWatch no se volverán a inscribir automáticamente durante el restablecimiento de fábrica. El Servicio deAprovisionamiento deWindows 10 solo funciona para la primera inscripción.

Configuración del aprovisionamiento de Windows 10

Configure el Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch para inscribir dispositivos Dell deescritorio deWindows automáticamente. La inscripción automática compara los números de serie de los dispositivosregistrados con una lista suministrada por Dell para inscribir dispositivos mediante configuración rápida.

Requisitos previos

Antes de configurar el Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch, deben cumplirse losprerrequisitos:

l Haber adquirido el Servicio de aAprovisionamiento deWindows 10 de VMware AirWatch dentro de un pedidorealizado a Dell

Procedimiento

Para configurar el Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch:

1. Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows >Inscripción automática.

2. Cómo configurar los ajustes de inscripción automática:

Ajustes Descripción

Inscripción automática SeleccioneHabilitar para utilizar el Servicio de Aprovisionamiento deWindows 10 deVMware AirWatch.

Intervalo desincronización

Seleccione la cantidad de tiempo entre los intentos de sincronización entre Hub deWorkspace ONE Intelligent y la consola deWorkspace ONE UEM.

Aplique las políticasantes de iniciar sesión

SeleccioneHabilitar para aplicar las políticas del dispositivo antes de que el usuario iniciesesión en él.


26




Tiempo máximo antesdel inicio de sesión

Seleccione el número máximo deminutos que pueden transcurrir antes de que unusuario inicie sesión tras concluir la inscripción mediante configuración rápida.

3. SeleccioneGuardar.

4. Registre los números de serie de dispositivo con Workspace ONE UEM. Este paso se ha completado para los clientesde SaaS, aunque solo es necesario para clientes locales. Valide que existen los registros del registro de dispositivos. Sino, complete los pasos siguientes.Existen tres flujos de registro de dispositivos:

a. Navegue a Cuentas > Usuarios > Añadir > Añadir usuario y agregue la cuenta de usuario. Una vez haya añadidoel usuario, seleccioneGuardar y añadir dispositivo. A continuación, complete la configuración de Añadirdispositivo. Debe configurar la plataforma para Escritorio de Windows.

b. Navegue a Cuentas > Usuarios > Añadir > Importar por lotes. Descargue y complete la plantilla CSV parausuario y/o dispositivo. Cargue el CSV y seleccione Importar. Debe introducir Escritorio de Windows comoPlataforma de dispositivo al completar la plantilla. Debe configurar la plataforma para Escritorio de Windows.

c. Navegue a Ciclo de vida > Estado de inscripción > Añadir > Registrar dispositivo. Debe configurar la plataformapara Escritorio de Windows.

Inscripción mediante integración con Azure ADMediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se pueden inscribirautomáticamente en Workspace ONE UEM con una interacción mínima por parte del usuario final. La inscripciónmediante la integración con Azure AD simplifica este proceso tanto para el usuario como para el administrador.

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurarWorkspace ONE UEM y Azure AD. Esta configuración requiere introducir información en las implementaciones deAzure AD y Workspace ONE UEM para facilitar la comunicación.

La inscripción con la integración de Azure AD admite tres flujos distintos de inscripción: Registro en Azure AD, inscripciónmediante configuración rápida e inscripción de Office 365. Todos los métodos requieren que se configure la integraciónde Azure AD con Workspace ONE UEM.

Para obtener más información sobre cómo configurar Active Directory en general, consulte la guía Directory ServicesGuide.

Importante: La inscripción mediante la integración de Azure AD requiereWindows 10 y una licencia Premium deAzure Active Directory.

Configuración de la integración de los servicios de identidad de Azure AD

Para poder utilizar Azure AD para inscribir los dispositivos Windows, debe configurar Workspace ONE UEM de forma queuse Azure AD como servicio de identidad. Para habilitar Azure AD se deben completar dos pasos durante los que seagregan los detalles de la inscripción deMDM a Azure.


27



Prerrequisitos

Para integrar Azure AD con Workspace ONE UEM, debe tener una suscripción Azure AD Premium P1 o P2. La integraciónde Azure AD con Workspace ONE UEM debe configurarse en el inquilino en el que está configurada la instancia deActive Directory (como LDAP).

Importante: Si establece la Configuración actual como Reemplazar en la página de configuración del sistema de"Servicios de directorio", los ajustes de LDAP se deben configurar y guardar antes de habilitar Azure AD para losservicios de identidad.

Procedimiento

Para configurar Azure AD para los servicios de identidad:

1. Navegue a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > Servicios de directorio.

2. HabiliteUtilizar Azure AD para los servicios de identidad en Opciones avanzadas.

Una vez habilitado, anote las direcciones URL de los términos de uso deMDM y de inscripción deMDM, ya que senecesitan al configurar el directorio de Azure.

3. Inicie sesión en el portal de administración de Azure con una cuenta deMicrosoft o una cuenta de una organización.

4. Seleccione el directorio y desplácese a la pestañaMovilidad (MDM y MAM). Esta pestaña era la pestañaAplicaciones antes.

5. Seleccione Agregar aplicación y la aplicación AirWatch by VMware.

Si el ámbito de usuario está establecido en "Ninguno", puede utilizar las direcciones URL predeterminadas. Siprocede, también puede utilizar direcciones URL demarcador de posición.


28



6. Deje la aplicación AirWatch by VMware en los ajustes predeterminados. Cambie Ámbito de usuario de MDM aNinguno.

7. Vuelva a seleccionar Agregar aplicación y seleccione Configuración de la aplicación MDM local. Puede cambiar elnombre de la aplicación cuando la agregue.

8. Configure la aplicación MDM local; para ello, introduzca las direcciones URLURL de inscripción de MDM y Términosde uso de MDM desdeWorkspace ONE UEM Console.

9. Seleccione Configuración de la aplicación MDM local y, luego, seleccione Permisos necesarios > Active Directoryde Microsoft Azure.

10. Cambie los permisos como se indica a continuación:

l Permisos de aplicación

o Seleccione Leer y escribir datos del directorio.

o Seleccione Leer y escribir dispositivos.

l Permisos delegados

o Seleccione Acceder al directorio como usuario que ha iniciado sesión.

o Seleccione Leer datos del directorio.

o Seleccione Iniciar sesión y leer perfil de usuario.

11. Seleccione la opción Propiedades e introduzca el host de servicios de dispositivo en el cuadro de texto URI de id. de


29



aplicación.

Utilice el mismo host que usó en los cuadros de texto URL de inscripción de MDM y Términos de uso de MDM.

Formato de ejemplo: https:// <MDM DS SERVER>

12. Establezca Ámbito de usuario de MDM en Todos para aplicar esta configuración a todos los usuarios.

También puede limitar la inscripción OOBE a determinados grupos de Azure AD si selecciona Algunos y agrega losgrupos de su preferencia.

13. SeleccioneGuardar para continuar.

14. Vaya a la pestaña Propiedades y busque el identificador de Azure Directory. Esta opción se denominabaIdentificador de inquilino antes.


30



15. SeleccioneDetalles de cuenta de usuario en la esquina superior derecha.El nombre del inquilino es el nombre de su directorio de Azure. Puede encontrar el nombre bajo la pestañaDominio.

16. Regrese a la consola de UEM y seleccioneUtilizar Azure AD para los servicios de identidad para configurar laintegración de Azure AD.

17. Introduzca el Id. de Azure Directory como Identificador de inquilino. Introduzca el dominio predeterminado comoNombre de inquilino de Azure Directory.

18. SeleccioneGuardar para finalizar el proceso.

Inscripción de un dispositivo con Azure AD

Inscriba dispositivos mediante integración con Azure AD para inscribir automáticamente un dispositivo en el grupoorganizativo correcto deWorkspace ONE UEM. Los dispositivos inscritos mediante Azure AD se unen completamente, loque significa que todos los usuarios del dispositivo se unen al dominio.

Este flujo de inscripción está pensado para dispositivos que aún no se han unido a Azure AD. Para obtener másinformación sobre la inscripción en un dispositivo administrado de Azure AD, consulte Inscripción enWorkspace ONE UEM de un dispositivo administrado con Azure AD en la página 31

Para inscribir un dispositivo mediante la unión a dominio de nube:

1. En el dispositivo Windows 10, vaya a Configuración > Cuentas > Obtener acceso a trabajo o escuela. SeleccioneContinuar.

2. Introduzca su Dirección de correo electrónico. Seleccione Siguiente.

3. Confirme que aparece la página de bienvenida deWorkspace ONE UEM. Seleccione Continuar.

4. Seleccione Aceptar si están habilitados los términos de uso.

5. SeleccioneUnirse para confirmar que desea inscribirse en Workspace ONE UEM.

6. Seleccione Finalizar para terminar de unir el dispositivo aWorkspace ONE UEM. El dispositivo descargará las políticasy los perfiles correspondientes.

Inscripción en Workspace ONE UEM de un dispositivo administrado con Azure AD

Los dispositivos que se unen a Azure AD utilizan un flujo de inscripción diferente a los dispositivos que se inscribenmediante la integración con Azure AD. Utilice este flujo para inscribir en Workspace ONE UEM un dispositivo que ya estáunido a Azure AD.

Requisitos

l Sistema operativo Windows 10 con número de compilación 14393.82 y superior.

l Actualización KB3176934 instalada

l Ninguna aplicación MDM instalada en el portal de administración de Azure AD

l Cuenta de Azure AD configurada en el dispositivo


31



Procedimiento

1. En el dispositivo, navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela y seleccione Inscribirse solo enadministración de dispositivos.

También se puede inscribir a través de VMwareWorkspace ONE UEM Unified Agent para Windows.

2. Finalice el proceso de inscripción. Debe introducir una dirección de correo electrónico con un dominio diferente al desu cuenta de Azure AD.

Si utiliza la detección automática deWindows, consulte Inscripción medianteWork Access con el servicio dedetección automática deWindows en la página 14

Si no utiliza la detección automática deWindows, consulte Inscripción medianteWork Access con el servicio dedetección automática deWindows en la página 14

3. Navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela y asegúrese de que se han agregado una cuentade Azure AD y una cuenta deWorkspace ONE UEM MDM.

Inscripción mediante configuración rápida

La inscripción mediante la configuración rápida (OOBE) inscribe el dispositivo automáticamente en el grupo organizativocorrecto como parte de la configuración e instalación inicial de un dispositivo Windows 10.

Advertencia: El flujo de inscripción de OOBE no admite la eliminación empresarial. Si realiza una eliminaciónempresarial, los usuarios no pueden podrán iniciar sesión en el dispositivo ya que se habrá perdido la conexión con


32



Azure AD. Debe crear una cuenta de administrador local antes de enviar una eliminación empresarial o se quedarábloqueado fuera del se le bloqueará el acceso al dispositivo y se verá obligado a restablecer el dispositivo.

Para inscribir un dispositivo mediante OOBE:

1. Encienda el dispositivo y siga los pasos de configuración deWindows hasta que llegue a la pantalla Elija la forma deconectarse.

2. SeleccioneUnirse a Azure AD. Seleccione Continuar.

3. Introduzca su dirección de correo electrónico de Azure AD o Workspace ONE UEM como Cuenta profesional oeducativa.


33



4. Introduzca su contraseña. Seleccione Iniciar sesión.

5. Asegúrese de que semuestre la pantalla Bienvenido a AirWatch. Seleccione Continuar.





34



Inscripción mediante las aplicaciones de Office 365

Si la organización utiliza Office 365 y la integración de Azure AD, los usuarios finales pueden inscribir sus dispositivos laprimera vez que abren una aplicación de Office 365.

Para inscribirsemediante las aplicaciones de Office 365:

1. Seleccione Agregar una cuenta corporativa la primera vez que abra una aplicación de Office 365.

2. Introduzca su dirección de correo electrónico y su contraseña. Seleccione Iniciar sesión.

3. Confirme que aparece la página de bienvenida deWorkspace ONE UEM. Seleccione Continuar.




Inscripción y aprovisionamiento en masaEl aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10 y los inscribe enWorkspace ONE UEM. Utilice el aprovisionamiento en masa para inscribir y configurar rápidamentemúltiples dispositivoscon una cuenta de usuario estándar.

Este flujo de inscripción es la única manera de inscribir un dispositivo con una cuenta de usuario estándar. No obstante,se requieren permisos de administrador para ejecutar el paquete preconfigurado. El aprovisionamiento en masa admiteúnicamente la inscripción preparada estándar de un solo usuario.

Para utilizar aprovisionamiento en masa, descargue el kit de evaluación y desarrollo deMicrosoft e instale la herramientaDiseñador de imágenes y configuraciones (ICD). El ICD crea paquetes de aprovisionamiento utilizados en los dispositivosde imagen. Como parte de estos paquetes de aprovisionamiento, puede incluir ajustes de configuración deWorkspace ONE UEM para que los dispositivos aprovisionados se inscriban automáticamente en Workspace ONE UEMdurante el proceso de configuración rápida (OOBE) inicial.

Para asignar los dispositivos al usuario final correcto automáticamente, registre los dispositivos por usuario o medianteuna importación en masa antes de crear el paquete de aprovisionamiento. .

Inscripción mediante aprovisionamiento en masa

La herramienta Diseñador de imágenes y configuraciones deMicrosoft le permite crear un paquete de aprovisionamientopara inscribir, rápida y fácilmente, múltiples dispositivos deWindows 10 en Workspace ONE UEM. Cuando ya se hainstalado el paquete, el dispositivo se inscribe automáticamente en Workspace ONE UEM.

Para crear un paquete de aprovisionamiento:

1. Descargue el kit de evaluación e implementación Assessment and Deployment Kit deMicrosoft para Windows 10 einstale la herramienta Diseñador de imágenes y configuraciones (ICD) deWindows.

2. Inicie el ICD deWindows y seleccione Paquete de aprovisionamiento nuevo.

3. Introduzca Nombre del proyecto y seleccione los ajustes que se podrán ver y configurar.

La elección típica es la opción Común para todas las ediciones de escritorio de Windows.


35



4. (Opcional) Importe un paquete de aprovisionamiento si quiere crear uno nuevo basado en los ajustes de un paqueteanterior.

5. Navegue a Configuración de tiempo de ejecución > Área de trabajo > Inscripciones.

6. En Workspace ONE UEM Console, navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios >Windows > Escritorio de Windows > Inscripción preparada y aprovisionamiento.

Cuando navega a esta página de configuración, se crea un usuario de inscripción preparada y semuestran lasdirecciones URL pertenecientes al usuario de inscripción preparada creado. Puede crear su propio usuario deinscripción preparada para utilizarlo con el aprovisionamiento en masa, pero los ajustes mostrados en esta páginade configuración no se aplican a ninguno de los usuarios creados.

7. Copie elUPN y péguelo en el campo UPN de ICD.

8. Seleccione la flecha hacia abajo que aparece junto a Inscripciones en la ventana Personalizaciones disponibles.

9. Configure los siguientes ajustes:

l Seleccione AuthPolicy y elija el valor mostrado en la consola de UEM.

l SeleccioneDiscoveryServiceFullURL y copie la dirección URL mostrada en la consola de UEM.

l Seleccione EnrollmentServiceFullURL y copie la dirección URL mostrada en la consola de UEM.

l Seleccione PolicyServiceFullURL y copie la dirección URL mostrada en la consola de UEM.

l Seleccione Secret y copie el valor mostrado en la consola de UEM.

10. Seleccione Archivo > Guardar para guardar el proyecto.


36



11. Seleccione Exportar > Paquete de aprovisionamiento para crear un paquete para utilizarlo con el aprovisionamientoen masa. Luego, seleccione Siguiente.

12. Guarde la Contraseña de cifrado para usarla posteriormente si decide cifrar el paquete y después seleccioneSiguiente.

13. Guarde el paquete en una unidad USB para transferirlo a cada dispositivo que desee aprovisionar. También puedeenviar el paquete por correo electrónico al dispositivo.

14. Seleccione Compilar para crear el paquete.

Pasos siguientes

A continuación, debe instalar el paquete de aprovisionamiento en masa. Para obtener más información, consulteInstalación de paquetes de aprovisionamiento en masa en la página 37

Instalación de paquetes de aprovisionamiento en masa

Después de crear los paquetes de aprovisionamiento utilizando Diseñador de imágenes y configuraciones deMicrosoft,debe instalar el paquete de aprovisionamiento en los dispositivos de los usuarios finales.

Para instalar un paquete de aprovisionamiento:

1. En el dispositivo que quiera aprovisionar, navegue a Ajustes > Cuentas > Acceso al trabajo y seleccione Agregar oquitar un paquete para el trabajo o el colegio. Si se envió el paquete por correo electrónico, ábralo desde su clientede correo.

2. Seleccione Agregar un paquete y seleccione la opciónMedio extraíble como método para agregar el paquete.

3. Seleccione el paquete correcto en la lista proporcionada.

Si agregó el dispositivo a la cuenta de usuario en Workspace ONE UEM Console antes de realizar el aprovisionamiento, eldispositivo se asigna al realizar la inscripción.


37



Capítulo 3:Resumen de los perfiles de escritorio deWindowsLos perfiles se utilizan principalmente para administrar dispositivos. Configure los perfiles para que sus dispositivos deescritorio deWindows estén protegidos y tengan acceso a su configuración preferida.

IntroducciónImagine que los perfiles son ajustes y reglas que, combinados con las políticas de conformidad, lo ayudan a aplicar reglasy procedimientos corporativos. Contienen los ajustes, las configuraciones y las restricciones que desea aplicar en losdispositivos.

Un perfil incluye ajustes generales de perfiles y una carga útil específica. Los perfiles funcionan mejor cuando solocontienen una única carga útil.

Los perfiles de escritorio deWindows se aplican en un dispositivo al nivel del usuario o al nivel del dispositivo. Al crearperfiles de escritorio deWindows, puede seleccionar el nivel al que desea que se aplique el perfil. Algunos perfiles solopueden aplicarse al nivel del usuario o al nivel del dispositivo. Workspace ONE UEM ejecuta comandos que se aplican alcontexto del dispositivo, incluso si en este no hay ningún inicio de sesión activo de un usuario inscrito. Los perfilesespecíficos para usuarios requieren un inicio de sesión activo de un usuario inscrito.

Acceso al dispositivoAlgunos perfiles del dispositivo configuran los ajustes para acceder a un dispositivo de escritorio deWindows. Solo losusuarios autorizados pueden utilizar estos perfiles para garantizar el acceso a un dispositivo.

Algunos ejemplos de perfiles de acceso a un dispositivo incluyen:

l Proteja el dispositivo con un perfil de código de acceso. Para obtener más información, consulte Configuración de unperfil de código de acceso (escritorio deWindows) en la página 39.

l Configurar la funcionalidad nativa Pasaporte. Para obtener más información, consulte Perfil deWindows Hello(escritorio deWindows) en la página 62

38



Seguridad del dispositivoAsegúrese de que sus dispositivos de escritorio deWindows permanezcan protegidos con perfiles del dispositivo. Estosperfiles configuran las funciones nativas de seguridad deWindows o los ajustes corporativos de seguridad en undispositivo a través de AirWatch.

Algunos ejemplos de perfiles de seguridad del dispositivo incluyen:

l Utilice un perfil deWi-Fi para conectar los dispositivos inscritos a su red Wi-Fi corporativa sin tener que enviar lascredenciales de la red a los usuarios. Para obtener más información, consulte Configuración de un perfil deWi-Fi(escritorio deWindows) en la página 42

l Mantenga protegidos los datos corporativos con el perfil de protección de datos. Para obtener más información,consulte Perfil de protección de datos (escritorio deWindows) en la página 59

l Proteja el acceso de sus dispositivos a los recursos internos con el perfil de VPN. Para obtener más información,consulte Perfil de VPN (escritorio deWindows) en la página 44

Configuración del dispositivoConfigure los diversos ajustes de sus dispositivos de escritorio deWindows con los perfiles de configuración. Estosperfiles configuran los ajustes del dispositivo para estar a la altura de sus necesidades empresariales.

Algunos ejemplos de perfiles de configuración del dispositivo incluyen:

l Configurar una cuenta de Exchange en un dispositivo con un perfil de Exchange ActiveSync. Para obtener másinformación, consulte Perfil de Exchange ActiveSync (escritorio deWindows) en la página 81

l Restringir las aplicaciones que pueden instalarse en un dispositivo con el perfil de control de aplicaciones. Paraobtener más información, consulte Perfil de control de aplicaciones (escritorio deWindows) en la página 88

l Asegúrese de que los dispositivos semantienen actualizados con el perfil de actualizaciones deWindows. Paraobtener más información, consulte Configuración de un perfil de actualizaciones deWindows (escritorio deWindows) en la página 73

Configuración de un perfil de código de acceso (escritorio de Windows)Exija un perfil de código de acceso para proteger los dispositivos con códigos de acceso cada vez que regresen de unestado inactivo. Este código de acceso asegura que toda la información confidencial corporativa de los dispositivosadministrados permanezca protegida.

Los códigos de acceso establecidos con esta carga útil solo entrarán en vigor si el código de acceso es más estricto que loscódigos de acceso existentes. Por ejemplo, si el código de acceso de la cuenta deMicrosoft existente requiere unosajustes más estrictos que los requeridos por la carga útil de código de acceso, el dispositivo sigue utilizando el código deacceso de la cuenta deMicrosoft.

Importante: La carga útil del código de acceso no se aplica a los dispositivos unidos al dominio.

Para configurar un perfil de código de acceso:

Capítulo 3: Resumen de los perfiles de escritorio de Windows

39



1. Navegue a Dispositivos > Perfiles > Vista en lista > Agregar y seleccione Agregar perfil.

2. SeleccioneWindows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

5. Seleccione el perfil de código de acceso.

6. Configure los ajustes de Código de acceso:


Complejidad decontraseña

Ajuste esta opción en Simple o Complejo para elegir el nivel de dificultad de la contraseñaque prefiera.

Requerir valoresalfanuméricos

Habilite esta opción para exigir que el código de acceso sea un código de accesoalfanumérico.

Longitud mínima de lacontraseña

Introduzca la cantidad mínima de caracteres que debe contener una contraseña.

Vigencia máxima de lacontraseña (días)

Introduzca la cantidad máxima de días que pueden pasar hasta que el usuario tenga quecambiar la contraseña.

Vigencia mínima de lacontraseña (días)

Introduzca la cantidad mínima de días que pueden pasar hasta que el usuario tenga quecambiar la contraseña.

Tiempo de espera debloqueo deldispositivo (minutos)

Introduzca la cantidad deminutos que pasarán hasta que el dispositivo se bloqueeautomáticamente y requiera reintroducir el código de acceso.

Cantidad máxima deintentos fallidos

Introduzca la cantidad máxima de intentos que el usuario final puede introducir antes dereiniciar el dispositivo.

Historial decontraseña(repeticiones)

Introduzca la cantidad de veces que se recuerda la contraseña.

Si el usuario final reutiliza una contraseña el número de veces registrado, no podrá volvera utilizar dicha contraseña.

Por ejemplo, si introduce 12 en este campo, el usuario final no podrá reutilizar las 12contraseñas anteriores.

Cifrado reversible parael almacenamiento decontraseña

Habilite esta opción para configurar el sistema operativo de forma que almacene lascontraseñas utilizando el cifrado reversible.

Almacenar las contraseñas utilizando el cifrado reversible es, básicamente, lo mismo quealmacenar versiones de las contraseñas en texto sin formato.

Por estemotivo, esta política no debe habilitarse nunca a menos que los requisitos de laaplicación sean superiores a la necesidad de proteger la información de la contraseña.


40




Utilizar agente deprotección paradispositivos Windows10

Habilite el uso de AirWatch Unified Agent para realizar ajustes de perfil de código deacceso en lugar de la funcionalidad de DM nativa. Habilite esta configuración siexperimenta problemas utilizando la funcionalidad de DM nativa.

Política de contraseñade Windows 8.0

Habilite esta opción para utilizar la política de contraseña deWindows 8.0 heredada.

Consulte la Política de contraseña deWindows 8.0 en la página 41

Caducar contraseña Habilite esta opción para que la contraseña existente en el dispositivo caduque y exigir lacreación de una contraseña nueva.

Requiere que AirWatch Unified Agent esté instalado en el dispositivo.

7. SeleccioneGuardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.

Política de contraseña de Windows 8.0

Si habilita la Política de contraseña deWindows 8.0, configure los siguientes ajustes.

Aviso: es aconsejable actualizar los dispositivos de escritorio deWindows aWindows 8.1. Es una actualizacióngratuita que ofrecemás capacidades deMDM.


Permitir valoressimples

Habilite esta opción para permitir que los usuarios finales utilicen códigos de acceso simples.

Inhabilítela para exigir que los códigos de acceso cumplan ajustes de complejidad.

Requerir valoralfanumérico

Habilite esta opción para exigir que el usuario final cree un código de acceso con una longitudmínima y un número mínimo de caracteres complejos.

Número mínimo decaracteres complejos

Introduzca el número mínimo de caracteres complejos (minúsculas, mayúsculas, símbolos ynúmeros) exigidos para un código de acceso.

Longitud mínima dela contraseña

Introduzca el número mínimo de caracteres que debe contener un código de acceso.

Vigencia máxima delcódigo de acceso(días)

Introduzca el número máximo de días que pueden pasar hasta que el usuario tenga quecambiar el código de acceso.

Cantidad máxima deintentos fallidos

Introduzca la cantidad máxima de intentos que el usuario final puede introducir antes dereiniciar el dispositivo.

Tiempo de espera debloqueo deldispositivo (minutos)

Introduzca la cantidad deminutos que pasarán hasta que el dispositivo se bloqueeautomáticamente y requiera reintroducir el código de acceso.

Historial del códigode acceso

Introduzca la cantidad de veces que se recuerda la contraseña.

Si el usuario final reutiliza una contraseña dentro del número de veces registrado, no podráreutilizar dicha contraseña. Por ejemplo, si introduce 12 en este campo, el usuario final nopodrá reutilizar las 12 contraseñas anteriores.


41



Configuración de un perfil de Wi-Fi (escritorio de Windows)Cree un perfil deWi-Fi para conectar los dispositivos a las redes corporativas, aun cuando estén ocultas, cifradas oprotegidas mediante contraseña. Los perfiles deWi-Fi son útiles para los usuarios finales que necesitan acceso a múltiplesredes o para configurar que los dispositivos se conecten automáticamente a una red inalámbrica adecuada.

¿Quiere usar la autenticación EAP basada en certificados para perfiles de VPN y Wi-Fi? Consulte el artículo de labase de conocimiento: https://support.air-watch.com/articles/115001664448.

Para configurar una carga útil deWi-Fi:





5. Seleccione el perfil deWi-Fi.


42




6. Configure los ajustes de la sección General.


Identificador de red Introduzca un identificador asociado con el nombre (SSID) de la red Wi-Fi deseada.

El SSID no puede contener espacios.

Red oculta Habilite esta opción si la red no está abierta para difusión.

Unirse automáticamente Habilite esta opción para que el dispositivo se una a la red de forma automática.

Tipo de seguridad Utilice el menú desplegable para seleccionar el tipo de seguridad (por ejemplo, WPA2Personal) para la red Wi-Fi.

Cifrado Utilice el menú desplegable para seleccionar el tipo de cifrado utilizado.

Aparece según el tipo de seguridad.

Contraseña Introduzca la contraseña requerida para unirse a la red Wi-Fi en los casos de redes concontraseñas estáticas.

Seleccione la casilla de verificaciónMostrar los caracteres para inhabilitar la función deocultar los caracteres en el campo.

Aparece según el tipo de seguridad.

Proxy

Proxy Habilite esta opción para configurar los ajustes del proxy para la conexión Wi-Fi.

URL Introduzca la dirección URL del proxy.

Puerto Introduzca el puerto del proxy.

Protocolos

Protocolos Seleccione el tipo de protocolos que desea utilizar:

Certificado: PEAP-MsChapv2

EAP-TTLS: Personalizado

Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise oWPA2 Enterprise.

Autenticación

Identidad interna Seleccione el método de autenticación a través de EAP-TTLS:

l Nombre de usuario/Contraseña

l Certificado

Esta sección aparece cuando la opción Protocolos está ajustada en EAP-TTLS o PEAP-MsChapv2.

Requerir enlace decifrado

Habilite esta opción para exigir el enlace criptográfico en ambas autenticaciones.

Esta opción limita los ataques de tipo “Man in themiddle”.


43




Utilizar las credencialesde inicio de sesión deWindows

Habilite esta opción para usar las credenciales de inicio de sesión deWindows como elnombre usuario y la contraseña de autenticación.

Aparece cuando Nombre de usuario/Contraseña está ajustado como Identidadinterna.

Certificado de identidad Seleccione un certificado de identidad que puede configurar utilizando la carga útil decredenciales. Consulte Perfil de credenciales (escritorio deWindows) en la página 50para más información.

Aparece cuando Certificado está ajustado como Identidad interna.

Confianza

Certificados deconfianza

Seleccione Agregar para agregar certificados de confianza al perfil deWi-Fi.

Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise oWPA2 Enterprise.

Permitir excepciones deconfianza

Habilite esta opción para permitir que el usuario tome decisiones de confianzamediante un cuadro de diálogo.


Perfil de VPN (escritorio de Windows)Workspace ONE UEM es compatible con la configuración de los ajustes de VPN del dispositivo para que los usuariosfinales puedan acceder de forma remota y segura a la red interna de la organización. El perfil de VPN ofrece un controldetallado sobre los ajustes de la conexión, como los ajustes del proveedor de la VPN y acceso VPN por aplicación.

Workspace ONE UEM es compatible con tipos específicos de conexiones VPN para diversos proveedores de VPN, entrelos cuales se incluyen:

l IKEv2 l Juniper Pulse

l L2TPl SonicWall Mobile

Connect

l PPTP l Automatic

l Check PointMobile

l VMware Tunnel

l F5 Edge Client l GlobalProtect

VPN por aplicación

La VPN por aplicación le permite configurar reglas de tráfico de VPN basadas en aplicaciones específicas. Si estáconfigurada, la VPN se conecta automáticamente cuando se inicia una aplicación específica; se envía el tráfico de laaplicación a través de la conexión VPN, pero no el de otras aplicaciones. Con esta flexibilidad, puede confiar en que losdatos permanecen protegidos, al tiempo que no limita el acceso del dispositivo a Internet.


44



Vea un videotutorial en el que se explica cómo configurar el perfil de VPN deWindows para VPN por aplicación:https://support.air-watch.com/articles/115001664668

Cada grupo de reglas de la sección Reglas de VPN por aplicación utiliza el operador lógico OR. De esta forma, si el tráficocoincide con alguna de las políticas establecidas, se permite a través de la VPN.

Las aplicaciones a las que se aplican las reglas de tráfico de VPN por aplicación pueden ser aplicaciones deWindowsheredadas, como archivos EXE, o aplicaciones modernas descargadas deMicrosoft Store. Al designar aplicacionesespecíficas para que se abran y utilicen la conexión VPN, solo el tráfico procedente de estas aplicaciones utiliza la VPN sinexigir que todo el tráfico procedente del dispositivo utilice tal conexión VPN. Esta lógica permite proteger los datoscorporativos al tiempo que reduce el ancho de banda enviado a través de la VPN.

Para ayudar a reducir la restricción de VPN, puede configurar reglas de enrutamiento de DNS para la conexión VPN poraplicación. Estas reglas de enrutamiento limitan el tráfico enviado a través de la VPN a solo el tráfico que coincide con lasreglas. Las reglas lógicas usan el operador AND, demodo que si establece una dirección IP, puerto y protocolo de IP, eltráfico debe coincidir con CADA uno de estos filtros para pasar a través de la VPN.

La VPN por aplicación le permite crear un control pormenorizado y detallado de sus conexiones VPN específico de cadaaplicación.


45




Configuración de un perfil de VPN (escritorio de Windows)

Configure los ajustes de la VPN del dispositivo para tener acceso a la infraestructura corporativa de forma remota ysegura. También se pueden configurar conexiones de VPN por aplicación que limitan el tráfico a través de la VPN aaplicaciones específicas y ajustar la VPN para que se conecte automáticamente cada vez que se inicie la aplicaciónespecificada.

¿Quiere usar la autenticación EAP basada en certificados para perfiles de VPN y Wi-Fi? Consulte el artículo de labase de conocimiento: https://support.air-watch.com/articles/115001664448

Para aplicar un perfil de VPN:



3. Seleccione Perfil del usuario o Perfil del dispositivo.


5. Seleccione el perfil de VPN.

6. Configure los ajustes de Información de la conexión:


Nombre de laconexión

Introduzca el nombre de la conexión de VPN.

Tipo deconexión

Seleccione el tipo de conexión de VPN.

Servidor Introduzca la dirección IP o el nombre de host del servidor VPN.

Puerto Introduzca el puerto que utiliza el servidor VPN.

Ajustes deconexiónavanzados

Habilítelos para configurar las reglas de enrutamiento avanzadas para la conexión a la VPN deldispositivo.

Direccionesdeenrutamiento

Seleccione Agregar para introducir las direcciones IP y el tamaño del prefijo de la subred delservidor VPN.

Puede que necesite direcciones de enrutamiento adicionales.

Reglas deenrutamientoDNS

Seleccione "Agregar" para introducir elNombre de dominio que gobierna el uso de la VPN.Introduzca los servidores DNS y los servidores de proxy web que desea usar para cada dominioespecífico.


46





Política deenrutamiento

Elija Exigir que todo el tráfico pase por VPN o Permitir el acceso directo a los recursosexternos.

l Exigir que todo el tráfico pase por VPN (forzar túnel): En esta regla de tráfico, todo el tráficode IP debe pasar exclusivamente a través de la interfaz de VPN.

l Permitir el acceso directo a los recursos externos (dividir túnel): En esta regla de tráfico, soloel tráfico destinado a la interfaz de VPN (según determine la pila de red) pasa a través de lainterfaz. El tráfico de Internet puede seguir pasando a través de otras interfaces.

Proxy SeleccioneDetección automática para detectar automáticamente los servidores proxy que utilizala VPN. SeleccioneManual para configurar el servidor proxy.

Servidor Introduzca la dirección IP del servidor proxy.

Aparece cuando Proxy se configura comoManual.

URL deconfiguracióndel servidorproxy

Introduzca la dirección URL para los ajustes de configuración del servidor proxy.

Aparece cuando Proxy se configura comoManual.

Desviar delproxy al local

Habilite esta opción para omitir el servidor proxy cuando el dispositivo que lo detecte esté en lared local.

Autenticación

Protocolo Seleccione el protocolo de autenticación para la VPN:

l EAP – Permite diversos métodos de autenticación.

l Certificado demáquina: detecta un certificado de cliente en el almacén de certificados dedispositivos con vistas a su uso para la autenticación.

Tipo de EAP Seleccione el tipo de autenticación EAP.

l EAP-TLS – Autenticación mediante tarjeta inteligente o certificado de cliente.

l EAP-MSCHAPv2 – Nombre de usuario y contraseña

l EAP-TTLS

l PEAP

l Configuración personalizada – Permite todas las configuraciones EAP.

Solo semuestra si el Protocolo está ajustado a EAP.

Tipo decredenciales

SeleccioneUtilizar certificado para utilizar un certificado de cliente. SeleccioneUtilizar tarjetainteligente con el fin de utilizar una tarjeta inteligente para autenticarse.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.


47




Selección decertificadosimple

Habilite esta opción para simplificar la lista de certificados desde la que elige el usuario. Loscertificados semuestran según el certificado que se emitió hacemenos tiempo para cada entidad.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

Utilizar lascredencialesde inicio desesión deWindows

Habilite esta opción para utilizar las mismas credenciales que el dispositivo Windows.

Aparece cuando Tipo de EAP está ajustado en EAP-MSCHAPv2.

Privacidad dela identidad

Introduzca el valor que desea enviar a los servidores antes de que el cliente autentique laidentidad del servidor.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Método deautenticacióninterna

Seleccione el método de la autenticación para la autenticación de la identidad interna.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Habilitarreconexiónrápida

Habilite esta opción para reducir el periodo de tiempo entre una solicitud de autenticación emitidapor un cliente y la respuesta procedente del servidor.

Aparece cuando Tipo de EAP está ajustado en PEAP.

Habilitar laprivacidad deidentidad

Habilite esta opción para proteger la identidad del usuario hasta que el cliente se autentique con elservidor.

Reglas de tráfico de VPN

Reglas deVPN poraplicación

Seleccione Agregar para agregar reglas de tráfico para aplicaciones heredadas y modernasespecíficas. Para más información sobre la VPN por aplicación, consulte VPN por aplicación en lapágina 44

ID deaplicación

Seleccione primero si la aplicación es una aplicación de la tienda o una aplicación de escritorio.Luego introduzca la ruta del archivo de la aplicación para las aplicaciones de escritorio o el nombrede familia de paquete para las aplicaciones de la tienda para especificar la aplicación a la que seaplican las reglas de tráfico.

l Ejemplo de la ruta del archivo: %ProgramFiles%/ Internet Explorer/iexplore.exe

l Ejemplo del nombre de familia de paquete: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

La consulta de nombre de familia de paquete le permite buscar el nombre de familia de paquete alseleccionar el icono Buscar. Aparece una ventana que le permite seleccionar la aplicación quedesea gobernar con las reglas de VPN por aplicación. El nombre de familia de paquete se llenaautomáticamente.

VPN a pedido Habilite esta opción para que la conexión VPN se conecte automáticamente al abrir la aplicación.


48




Política deenrutamiento

Seleccione la política de enrutamiento de la aplicación.

l Permitir el acceso directo a los recursos externos permite el tráfico VPN y el tráfico a travésde la conexión de red local.

l Exigir que todo el tráfico pase por VPN obliga a que todo el tráfico pase a través de la VPN.

Reglas deenrutamientoDNS

Habilite esta opción para agregar reglas de enrutamiento de DNS para el tráfico de la aplicación.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas deenrutamiento. Solo podrá enviarse a través de la VPN el tráfico de la aplicación especificada quecoincida con las reglas.

l Dirección IP: Una lista de valores separados por comas que especifica los intervalos de lasdirecciones IP que se permiten.

l Puerto: Una lista de valores separados por comas que especifica los intervalos de los puertosremotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidoscuando el protocolo está establecido como TCP o UDP.

l Protocolo ICAP: Valor numérico de 0 a 255 que representa el protocolo de IP que se permite.Por ejemplo, TCP = 6 y UDP = 17.

Para más información acerca de cómo funcionan estos filtros y políticas y la lógica utilizada,consulte VPN por aplicación en la página 44.

Reglas deVPN paratodo eldispositivo

Seleccione Agregar para agregar reglas de tráfico para todo el dispositivo.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas deenrutamiento. Solo se podrá enviar a través de la VPN el tráfico que coincida con estas reglas.

l Dirección IP: Una lista de valores separados por comas que especifica los intervalos de lasdirecciones IP que se permiten.

l Puerto: Una lista de valores separados por comas que especifica los intervalos de los puertosremotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidoscuando el protocolo está establecido como TCP o UDP.

l Protocolo ICAP: Valor numérico de 0 a 255 que representa el protocolo de IP que se permite.Por ejemplo, TCP = 6 y UDP = 17.

Políticas

Recordar lascredenciales

Habilite esta opción para recordar las credenciales de inicio de sesión del usuario final.

Siempreprendido

Habilite esta opción para hacer que la conexión VPN siempre esté activada.


49




Bloqueo deVPN

Habilite esta opción para hacer que la VPN esté siempre activada y nunca se desconecte,inhabilitar el acceso a la red si la VPN no está conectada y evitar que otros perfiles de VPN seconecten al dispositivo.

Si hay un perfil de VPN con el bloqueo de VPN habilitado, debe eliminarlo antes de insertar unnuevo perfil de VPN en el dispositivo.

Desviar allocal

Habilite esta opción para omitir la conexión VPN para el tráfico de intranet local.

Detección dered deconfianza

Introduzca las direcciones de red de confianza separadas por comas. La VPN no se conecta cuandose detecte una conexión de red de confianza.

Resolución del nombre de dominio mediante el servidor VMware Tunnel.

Dominio Seleccione Añadir un nuevo dominio para agregar dominios para la resolución mediante elservidor VMware Tunnel.

Cualquier dominio agregado se resuelve a través del servidor de VMware Tunnel conindependencia de la aplicación que originase el tráfico. Por ejemplo, si agrega www.air-watch.com,cualquier tráfico hacia ese dominio se redirige a través del servidor de VMware Tunnel si procedede la aplicación de Chrome configurada y de la aplicación de Edge no configurada.

Esta opción solo semuestra si crea el perfil de VPN como perfil de usuario.


Perfil de credenciales (escritorio de Windows)Un perfil de credenciales le permite insertar certificados raíz, intermedio y del cliente para admitir cualquier caso de usode autenticación de certificado e infraestructura de clave pública (PKI). El perfil envía credenciales configuradas al almacénde credenciales adecuado en el dispositivo de escritorio deWindows.

Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a la fuerza bruta,ataques de diccionario y errores de sus empleados. Para obtener una seguridad más completa, puede implementarcertificados digitales con los que proteger sus recursos corporativos. Para utilizar certificados de esta manera, debeconfigurar primero una carga útil de credenciales con una entidad de certificación (CA), y luego configurar las cargas útilesdeWi-Fi y VPN. Cada una de estas cargas tiene ajustes para asociar la entidad de certificación (CA) definida en la carga útilde credenciales.

El perfil de credenciales también le permite insertar certificados S/MIME en los dispositivos. Estos certificados se carganen la cuenta de cada usuario y los controla el perfil de credenciales.

Para los dispositivos Windows 8.1, los certificados personales requieren la carga útil SCEP y el AirWatch Unified Agentpara Windows en el dispositivo.

¿Quiere usar la autenticación EAP basada en certificados para perfiles de VPN y Wi-Fi? Consulte el artículo de labase de conocimiento: https://support.air-watch.com/articles/115001664448


50




Configuración de un perfil de credenciales (escritorio de Windows)

Un perfil de credenciales envía certificados a los dispositivos para utilizarlos en la autenticación. ConWorkspace ONE UEM, puede configurar las credenciales para los almacenes de certificados de personas de confianza,editor de confianza, raíz de confianza, intermedios y personales.

Para configurar una carga útil de credenciales:





5. Seleccione la carga útil de credenciales y configure los siguientes ajustes:


Fuente decredenciales

Seleccione la fuente de credenciales como una Carga, una Entidad definida de certificación o unCertificado de usuario

Las opciones de carga útil restantes dependen de la fuente.

l Si selecciona Cargar, debe cargar un certificado nuevo.

l Si selecciona Entidad definida de certificación, debe escoger una entidad de certificación y unaplantilla predefinidas.

l Si selecciona Certificado de usuario, debe seleccionar cómo se utiliza el certificado de S/MIME.

Cargar Seleccione esta opción para navegar hasta el archivo de certificado de credenciales deseado ycargarlo en Workspace ONE UEM Console.

Este ajuste semuestra cuando se selecciona Cargar como Fuente de credenciales.

Entidad decertificación

Utilice el menú desplegable para seleccionar una entidad de certificación predefinida.

Este ajuste semuestra cuando se selecciona Entidad definida de certificación como Fuente decredenciales.

Plantilla decertificado

Utilice el menú desplegable para seleccionar una plantilla de certificado predefinida específica de laentidad de certificación seleccionada.

Este ajuste semuestra cuando se selecciona Entidad definida de certificación como Fuente decredenciales.

Exportar laclaveprivada

Seleccione Permitir para que los usuarios finales puedan exportar certificados con el Administradorde certificados deWindows.

SeleccioneNo permitir para que los usuarios no puedan exportar los certificados.


51




Ubicaciónde la clave

Seleccione la ubicación de la clave privada del certificado:

l TPM, si está: seleccione esta opción para almacenar la clave privada en un módulo deplataforma segura si está presente en el dispositivo; de lo contrario, debe almacenarla en elsistema operativo.

l TPM requerido: seleccione esta opción para almacenar la clave privada en un modo deplataforma segura. Si no hay un módulo de plataforma segura presente, el certificado no seinstala y semuestra un error en el dispositivo.

l Software: seleccione esta opción para almacenar la clave privada en el sistema operativo deldispositivo.

l Passport: seleccione esta opción para guardar la clave privada en Microsoft Passport. Estaopción requiere la integración con Azure AD.

Almacén decertificados

Seleccione el almacén de certificados adecuado para que la credencial resida en el dispositivo:

l Personal: seleccione esta opción para almacenar los certificados personales. Los certificadospersonales requieren AirWatch Unified Agent en el dispositivo o el uso de la carga útil SCEP.

l Intermedio: seleccione esta opción para almacenar los certificados de entidades de certificaciónintermedias.

l Raíz de confianza: seleccione esta opción para almacenar los certificados de entidades decertificación de confianza y los certificados raíz de su organización y deMicrosoft.

l Publicador de confianza: seleccione esta opción para almacenar los certificados de entidades decertificación de confianza en los que se confía según las políticas de restricción de software.

l Personas de confianza: seleccione esta opción para almacenar los certificados de personas deconfianza o de entidades finales en las que se confía explícitamente. Amenudo estos certificadosson certificados autofirmados o certificados en los que se confía explícitamente en unaaplicación, como Microsoft Outlook.

Guardar laubicación

SeleccioneUsuario oMáquina para definir dónde está ubicado el certificado.

S/MIME Seleccione si el certificado S/MIME es para cifrado o firma.

6. SeleccioneGuardar y publicar para insertar el perfil en los dispositivos.

Configuración de una carga útil de restricciones (escritorio de Windows)Implemente una carga útil de restricciones para proporcionar una mayor protección a los dispositivos de escritorio deWindows. Utilice la carga útil de restricciones para inhabilitar el acceso de usuarios finales a las funciones de losdispositivos y garantizar así que no los manipulen.

La versión y la edición deWindows que utilice determinan las restricciones que se aplican al dispositivo.

Para aplicar un perfil de restricciones:


52



1. Navegue a Dispositivos > Perfiles > Vista en lista y seleccione Agregar.




5. Seleccione el perfil de Restricciones.

6. Configure los ajustes de Administración:


Permitir la anulación deinscripción manual de MDM

Permita al usuario final que anule la inscripción deWorkspace ONE UEM deforma manual mediante la inscripción deWorkplace/Work Access.

Esta restricción se aplica a dispositivos Windows 10 únicamente y no escompatible con dispositivos Windows 10 Home.

Seguridad y privacidad

El Agent de configuracióninstalará los paquetes deaprovisionamiento durante laejecución

Habilite esta opción para permitir el uso de paquetes de aprovisionamiento parainscribir dispositivos en Workspace ONE UEM (aprovisionamiento en masa).


Ubicación Seleccione la forma en qué los servicios de ubicación se ejecutan en eldispositivo.


Motor en tiempo de ejecucióndel agente de configuraciónpara eliminar los paquetes deaprovisionamiento

Habilite esta opción para permitir la eliminación de los paquetes deaprovisionamiento.


Permitir que el dispositivoenvíe datos diagnósticos y deuso de telemetría

Habilite esta opción para permitir que el dispositivo envíe datos de diagnósticos yde uso de telemetría a Workspace ONE UEM Console.


Exigir una cuenta de Microsoftpara MDM

Habilite esta opción para exigir una cuenta deMicrosoft para que los dispositivosreciban las políticas o las aplicaciones.

Requerir una cuenta deMicrosoft para aplicacionesmodernas

Habilite esta opción para exigir una cuenta deMicrosoft para que los dispositivosdescarguen e instalen aplicaciones deWindows.


53




Los paquetes deaprovisionamiento debentener un certificado firmadopor una entidad de confianzadel dispositivo

Habilite esta opción para exigir un certificado de confianza para todos lospaquetes de aprovisionamiento (aprovisionamiento en masa).


Ajustes

Permitir que el usuario cambielos ajustes de la reproducciónautomática

Permite al usuario cambiar el programa que se va a usar para reproducirautomáticamente los tipos de archivos.


Permite que el usuario cambielos ajustes de Data Sense

Permite al usuario cambiar los ajustes de Data Sense para restringir el uso dedatos en el dispositivo.


Fecha / hora Permite al usuario cambiar los ajustes de Fecha/Hora.


Idioma Permite al usuario cambiar los ajustes de idioma.


Permitir que el usuario cambielos ajustes de inicio ysuspensión

Permite al usuario cambiar los ajustes de inicio y suspensión.


Región Permite al usuario cambiar la región.


Permitir que el usuario cambielas opciones de inicio desesión

Permite al usuario cambiar las opciones de inicio de sesión.


VPN Permite al usuario cambiar los ajustes de la VPN.


Permite al usuario cambiar losajustes de Workplace

Permite al usuario cambiar los ajustes deWorkplace y el funcionamiento deMDM en el dispositivo.



54




Permite al usuario cambiar losajustes de cuenta

Permite al usuario cambiar los ajustes de idioma.


Bluetooth

Bluetooth Permite utilizar la conexión Bluetooth en el dispositivo.


Publicidad del Bluetooth deldispositivo

Permite que el dispositivo difunda avisos de Bluetooth.


Dispositivos con capacidad deBluetooth pueden descubrir eldispositivo

Permite que otros dispositivos con Bluetooth detecten el dispositivo.


Funcionalidad del dispositivo

Cámara Permite el acceso a la función de cámara del dispositivo.


Cortana Permite el acceso a la aplicación Cortana.


Experiencia del usuario de ladetección del dispositivo en lapantalla de bloqueo

Permite que la experiencia de usuario de detección de dispositivos en la pantallade bloqueo detecte proyectores y otras pantallas.

Si está habilitado, los accesos directos Win+P y Win+K no funcionan.


Registros de IME Permite al usuario activar y desactivar el registro de conversiones incorrectas yguardar el resultado de ajuste automático en un archivo y la entrada predictivabasada en historial.


Acceso IME a la red Habilite esta opción para permitir al usuario activar el diccionario extendidoabierto para integrar las búsquedas de Internet con el fin de proporcionarsugerencias de entrada que no existen en el diccionario local de los dispositivos.



55




SmartScreen Habilite esta opción para permitir al usuario final utilizar la función MicrosoftSmartScreen, que es un método de seguridad que requiere que el usuario finaldibuje formas sobre una imagen para desbloquear el dispositivo. Esta opcióntambién permite al usuario final utilizar PIN como código de acceso.

Aviso: Después de inhabilitar esta función, no podrá volver a habilitarlamedianteMDM deWorkspace ONE UEM. Para habilitarla de nuevo, deberárealizar un restablecimiento de fábrica del dispositivo.

Esta restricción se aplica a dispositivos tanto Windows 8.1 como Windows 10. Larestricción no se aplica a dispositivos Windows 10 Home.

Buscar para utilizar lainformación de ubicación

Permite que la opción de búsqueda utilice la información de la ubicación deldispositivo.


Tarjeta de almacenamiento Habilite esta opción para permitir el uso de una tarjeta SD y de los puertos USBdel dispositivo.


Ajustes de sincronización deWindows

Permite al usuario sincronizar los ajustes deWindows entre dispositivos.


Sugerencias de Windows Permitemostrar sugerencias deWindows en el dispositivo para ayudar alusuario.


Ajustes del control de lacuenta del usuario

Seleccione el nivel de notificación enviado a los usuarios finales cuando uncambio en el sistema operativo requiere permisos de administración de undispositivo.

públicas

Permitir aplicaciones deconfianza que no sean deMicrosoft Store

Permite descargar e instalar aplicaciones que no son de confianza paraMicrosoft Store.

Esta restricción se aplica a todos los dispositivos Windows 10.

Actualizaciones automáticasde la tienda de aplicaciones

Habilite esta opción para permitir que las aplicaciones descargadas desdeMicrosoft Store se actualicen automáticamente cuando existan versionesnuevas.



56




Permitir desbloqueo dedesarrollador

Permite el uso del ajuste de desbloqueo de desarrollador para la carga de pruebade las aplicaciones en los dispositivos.


Permitir DVR y difusión dejuegos

Habilite esta opción para permitir la grabación y difusión de juegos en eldispositivo.


Permitir los datoscompartidos entre variosusuarios que utilicen la mismaaplicación

Permite compartir datos entremúltiples usuarios de una aplicación.


Restringir los datos de laaplicación al volumen delsistema

Restringe los datos de la aplicación al mismo volumen que el sistema operativo,en lugar de volúmenes secundarios o soportes extraíbles.


Restringir la instalación deaplicaciones a la unidad delsistema

Restringe la instalación de las aplicaciones a la unidad del sistema, en lugar de aunidades secundarias o medios extraíbles.


Red

Conexión automática a laszonas Wi-Fi

Habilite esta opción para permitir que el dispositivo se conecte automáticamentea las zonas Wi-Fi utilizando la funcionalidad de detección deWi-Fi.


Datos celulares en roaming Permite el uso de datos celulares cuando se está en roaming.


Uso compartido de Internet Habilite esta opción para permitir el uso compartido de Internet entredispositivos.


Uso de datos en roaming Habilite esta opción para permitir a los usuarios finales transmitir y recibir losdatos en roaming.

Esta restricción se aplica a todos los dispositivos Windows.


57




Conexión VPN en la redcelular

Permite utilizar VPN en conexiones de datos celulares.


Roaming de la conexión VPNen la red celular

Permite utilizar una VPN durante conexiones de datos celulares en roaming.


Navegador Edge

Relleno automático Permite el uso de la opción de relleno automático para completar informaciónsobre el usuario.


Cookies Permite el uso de cookies


No monitorear Permite el uso de solicitudes de "No monitorear".


Administrador de contraseñas Permite el uso de un administrador de contraseñas.


Ventanas emergentes Permite el uso de ventanas de emergentes del navegador


Buscar sugerencias en la barrade dirección

Permite que las sugerencias de búsqueda aparezcan en la barra de dirección


SmartScreen Permite el uso del filtro de sitios maliciosos y de contenido SmartScreen.


Enviar el tráfico intranet aInternet Explorer

Permite el tráfico de intranet para utilizar Internet Explorer.


Dirección URL de lista del sitioweb empresarial

Introduzca la dirección URL para una lista del sitio web empresarial.




58



Perfil de protección de datos (escritorio de Windows)El perfil de protección de datos configura reglas para controlar cómo las aplicaciones empresariales acceden a datos deprocedencia diversa desde su organización. El uso de la protección de datos garantiza que solo se pueda acceder a suinformación mediante aplicaciones seguras y aprobadas.

Al tener datos corporativos y personales en el mismo dispositivo, es posible que se revele información de formaaccidental a través de servicios que se encuentran fuera del control de su organización. Con la carga útil de protección dedatos, Workspace ONE UEM controla la forma en la que los datos empresariales se transfieren entre las aplicaciones paralimitar su exposición y causar una mínima repercusión en los usuarios finales. Workspace ONE UEM utiliza la funciónMicrosoft Windows Information Protection (WIP) para proteger sus dispositivos Windows 10.

Con el perfil de protección de datos, las aplicaciones empresariales se agregan a una lista blanca para concederlespermiso de acceso a los datos empresariales desde las redes protegidas. Si los usuarios transfieren datos a aplicacionesque no son de la empresa, podrá tomar medidas basadas en las políticas de cumplimiento seleccionadas.

WIP divide los datos en dos categorías: datos personales no cifrados y datos corporativos que hay que proteger y cifrar.Las aplicaciones incluidas en la lista blanca de protección de datos se dividen en cuatro categorías, que determinan elmodo en que la aplicación interactúa con los datos protegidos.

l Aplicaciones habilitadas: estas aplicaciones son totalmente compatibles con la funcionalidad WIP. Las aplicacioneshabilitadas pueden acceder sin problemas a datos tanto personales como corporativos. Si los datos se crean con unaaplicación habilitada, puede guardarlos como datos personales no cifrados o datos corporativos cifrados. Puedeimpedir que los usuarios guarden datos personales con aplicaciones habilitadas mediante el perfil de protección dedatos.

l Permitidas: estas aplicaciones son compatibles con los datos cifrados con WIP. Las aplicaciones permitidas puedenacceder a datos tanto corporativos como personales, pero guardan como datos corporativos cifrados cualquierinformación a la que se acceda. Las aplicaciones permitidas guardan los datos personales como datos corporativoscifrados, a los que no se puede acceder desde aplicaciones no aprobadas porWIP. Se recomienda agregar lasaplicaciones permitidas a la lista blanca de forma concienzuda e individualizada para evitar problemas con el acceso alos datos. Póngase en contacto con los proveedores de software para obtener información sobre la aprobación deWIP.

l Exentas: puede determinar qué aplicaciones están exentas de aplicar la política WIP al crear el perfil de protección dedatos. Categorice como exenta cualquier aplicación que no admita datos con cifrado deWIP. Si una aplicación noadmite el cifrado deWIP, se detiene al intentar acceder a datos corporativos cifrados. Las políticas WIP no se aplicana las aplicaciones exentas. Las aplicaciones exentas pueden acceder a datos personales no cifrados y a datoscorporativos cifrados. Puesto que las aplicaciones de esta categoría pueden acceder a datos corporativos sin aplicarla política WIP, estas aplicaciones deben incluirse en la lista blanca con cautela. Las aplicaciones exentas abrenbrechas en la protección de datos y filtran datos corporativos.

l No permitidas: estas aplicaciones no se incluyen en la lista blanca ni están exentas de cumplir las políticas WIP, y nopueden acceder a datos corporativos cifrados. Las aplicaciones no permitidas pueden, aun así, acceder a datospersonales en un dispositivo con protección WIP.

Importante: el perfil de protección de datos requiereWindows Information Protection (WIP). Esta función requiere laActualización de aniversario deWindows. Es aconsejable probar este perfil antes de implementarlo en la producción.


59



Configuración de un perfil de protección de datos (escritorio de Windows)

Cree el perfil de protección de datos (vista previa) y use la característica Microsoft Windows Information Protection paraestablecer que los usuarios y las aplicaciones puedan acceder a los datos de su organización solamente en redes yaplicaciones aprobadas. Puede establecer controles detallados sobre la protección de datos.

Para configurar el perfil de protección de datos empresariales:


2. SeleccioneWindows y luego la plataforma de escritorio de Windows.



5. Seleccione la carga útil Protección de datos empresariales.

6. Configure los ajustes de Protección de datos empresariales:


Agregar Seleccione agregar aplicaciones empresariales a la lista permitida de la empresa.

Se confía en las aplicaciones que se agregan aquí para utilizar los datos empresariales.

Tipo deaplicación

Seleccione si la aplicación es una aplicación de escritorio tradicional o una aplicación deMicrosoft Store.

También puede seleccionar un editor de aplicaciones para aplicaciones de escritorio o de la tienda.Si selecciona un editor, todas sus aplicaciones se incluirán en la lista blanca.

Nombre Escriba el nombre de la aplicación. Si es una aplicación deMicrosoft Store, seleccione el icono debúsqueda ( ) para buscar el nombre de familia de paquete (PFN) de la aplicación.

Identificador Introduzca la ruta del archivo para una aplicación de escritorio o el nombre de familia de paquetepara una aplicación de la tienda.

Exenta Seleccione la casilla de verificación si la aplicación no es compatible con la protección de datoscompleta pero es necesario que acceda a los datos empresariales. Si habilita esta opción, laaplicación queda exenta de cumplir las restricciones de protección de datos. Suelen seraplicaciones heredadas que aún no se han actualizado para que admitan protección de datos.

La creación de exenciones da lugar a brechas en la protección de datos. Cree exenciones solo si esnecesario.

Redes protegidas

Dominioprimario

Introduzca el dominio primario que utilizan sus datos empresariales.

Solo las aplicaciones empresariales pueden acceder a los datos de las redes protegidas. Intentaracceder a una red protegida desde una aplicación que no se encuentra en la lista permitida de laempresa generará una acción de política de conformidad.

Use solo minúsculas para introducir los dominios.


60




Nombres dedominioprotegidos dela empresa

Introduzca una lista de los dominios (exceptuando su dominio principal) que usa la empresa paralas identidades de sus usuarios. Separe los dominios con un carácter de barra vertical (|).

Use solo minúsculas para introducir los dominios.

Intervalos dedirecciones IPempresariales

Introduzca los intervalos de IP empresariales para definir los dispositivos Windows 10 en la redempresarial.

Los datos que proceden de dispositivos incluidos en el intervalo se consideran parte de la empresay están protegidos. Estas ubicaciones se consideran un destino seguro para el uso compartido dedatos empresariales.

Nombres dedominios dela redempresarial

Introduzca una lista de los dominios quemarcan los límites de la red empresarial.

Los datos procedentes de un dominio de la lista que se envían a un dispositivo se consideran datosempresariales y están protegidos. Estas ubicaciones se consideran un destino seguro para el usocompartido de datos empresariales.

Servidoresproxyempresariales

Introduzca la lista de servidores proxy que puede usar la empresa para recursos corporativos.

Recursos deEnterpriseCloud

Introduzca una lista de los dominios de recursos empresariales alojados en la nube que necesitanprotección mediante el enrutamiento a través de la red empresarial con un servidor proxy (en elpuerto 80).

En el caso de queWindows no pueda determinar si permite que una aplicación se conecte a unrecurso de la red, bloqueará la conexión automáticamente. Si desea queWindows permita lasconexiones de forma predeterminada, agregue la cadena /*AppCompat*/ al ajuste. Porejemplo:

www.air-watch.com | /*AppCompat*/

Agregue la cadena /*AppCompat*/ solo una vez para cambiar el ajuste predeterminado.

Políticas de cumplimiento

Nivel deprotección delos datos dela aplicación

Establezca el nivel de protección y las acciones que se realizan para proteger los datosempresariales.

Mostrariconos deEDP

Habilite esta opción para mostrar un icono de EDP ( ) en el navegador web, explorador dearchivos e iconos de la aplicación al acceder a datos protegidos. El icono también semuestra enventanas de aplicaciones exclusivamente empresariales en el menú Inicio.

Revocar alanular lainscripción

Habilite esta opción para revocar las claves de protección de datos de un dispositivo cuando seanule su inscripción en Workspace ONE UEM.


61




Descifradodel usuario

Habilite esta opción para permitir que los usuarios seleccionen cómo se guardan los datos al usaruna aplicación habilitada. Pueden seleccionar Guardar como corporativo o Guardar comopersonal.

Si esta opción no está habilitada, todos los datos guardados al usar una aplicación habilitada seguardarán como datos corporativos y se cifrarán con cifrado corporativo.

Accesodirecto a lamemoria

Habilite esta opción para permitir que los usuarios accedan directamente a la memoria deldispositivo.

Certificadoderecuperaciónde datos

Cargue el certificado del sistema de archivos de cifrado especial para utilizarlo con el fin derecuperar archivos, en caso de pérdida o daño de la clave de cifrado. Para obtener másinformación, consulte Creación de un certificado de sistema de cifrado de archivos (escritorio deWindows) en la página 62.


Creación de un certificado de sistema de cifrado de archivos (escritorio de Windows)

El perfil de protección de datos cifra los datos empresariales y permite el acceso solo a los dispositivos aprobados. Creeun certificado EFS para cifrar los datos de su empresa protegidos mediante un perfil de protección de datos.

Para crear un certificado EFS:

1. En un ordenador sin certificado EFS, abra una línea de comandos (con derechos de administrador) y navegue hasta elalmacén de certificados en el que quiere almacenar el certificado.

2. Ejecute el comando:

cipher /r:<EFSRA>

El valor de <EFSRA> es el nombre de los archivos .cer y .pfx que quiere crear.

3. Cuando se le indique, introduzca la contraseña para proteger el nuevo archivo .pfx.

4. Los archivos .cer y .pfx se crean en el almacén de certificados que seleccionó.

5. Cargue el certificado .cer en los dispositivos como parte del perfil de protección de datos. Para obtener másinformación, consulte Configuración de un perfil de protección de datos (escritorio deWindows) en la página 60

Perfil de Windows Hello (escritorio de Windows)Windows Hello ofrece una alternativa segura al uso de contraseñas como medida de seguridad. El perfil deWindows Hello configura Windows Hello para empresas en dispositivos de escritorio deWindows, lo que permite a losusuarios finales poder acceder a los datos sin enviar una contraseña.

Proteger los dispositivos y las cuentas con nombre de usuario y contraseña crea posibles vulnerabilidades de laseguridad. Los usuarios pueden olvidar una contraseña o compartirla con personas ajenas a la empresa, lo que pone enriesgo los datos corporativos. Con Windows Hello, los dispositivos Windows 10 autentican al usuario demanera segura


62



en las aplicaciones, los sitios web y las redes en nombre del usuario, sin enviar una contraseña. El usuario no tendrá querecordar las contraseñas, y es menos probable que los ataques de tipo “Man in themiddle” comprometan la seguridad.

Windows Hello requiere que los usuarios verifiquen que poseen un dispositivo Windows 10 antes de autenticarlomediante PIN o la verificación biométrica deWindows Hello. Una vez autenticado con Windows Hello, el dispositivoobtiene acceso instantáneo a los sitios web, las aplicaciones y las redes.

Importante:Windows Hello para empresas requiere la integración con Azure AD para funcionar.

Creación de un perfil de Windows Hello (escritorio de Windows)

Cree un perfil deWindows Hello para configurar Windows Hello para empresas en dispositivos de escritorio deWindows,lo que permitirá a los usuarios finales poder acceder sus aplicaciones, sitios web y redes sin tener que introducir unacontraseña.

Importante: Los perfiles deWindows Hello solo son válidos en los dispositivos inscritos mediante la integración deAzure AD.

Para configurar un perfil deWindows Hello, siga estos pasos:






63



5. Seleccione el perfilWindows Hello y configure los siguientes ajustes:


Gesto biométrico Habilite esta opción para permitir que los usuarios finales utilicen los lectoresbiométricos del dispositivo.

Requisitos de PIN

TPM (módulo deplataforma segura)

Ajuste esta opción en Requerir para inhabilitar el uso de Passport si no hay un modo deplataforma segura instalado en el dispositivo.

Longitud mínima delPIN

Introduzca el número mínimo de dígitos que debe contener un PIN.

Longitud máxima delPIN

Introduzca el número máximo de dígitos que debe contener un PIN.

Dígitos Ajuste el nivel de permisos para utilizar dígitos en el PIN.

Mayúsculas Ajuste el nivel de permisos para utilizar letras mayúsculas en el PIN.

Minúsculas Ajuste el nivel de permisos para utilizar letras minúsculas en el PIN.

Caracteres especiales Ajuste el nivel de permisos para utilizar caracteres especiales (! " # $ %& ' ( ) * + , - . / : ; <= > ? @ [ \ ] ^ _ ` { | } ~) en el PIN.


Configuración de un perfil de firewall (escritorio de Windows)El perfil de firewall para los dispositivos de escritorio deWindows le permite configurar los ajustes del firewall deWindowspara los dispositivos. Cuando todos los dispositivos tienen configurado y habilitado el firewall deWindows, la seguridadde la red aumenta considerablemente.

Importante: El perfil de firewall requiere que AirWatch Unified Agent esté instalado en el dispositivo.

Para configurar un perfil de firewall:






64



5. Seleccione el perfil de firewall y configure los ajustes:


Utilizar los ajustes recomendados para Windows Habilite este ajuste para utilizar los ajustes recomendadospara Windows e inhabilitar el resto de opciones disponiblespara este perfil.

Red privada

Habilitar firewall Habilite esta opción para asegurarse de que el firewall seejecuta en los dispositivos.

Bloquear todas las conexiones entrantes,incluidas aquellas que aparecen en la lista deaplicaciones permitidas

Habilite esta opción para bloquear todas las conexionesentrantes pero permitir las conexiones salientes.

Notificar al usuario cuando el firewall deWindows bloquee una aplicación nueva

Habilite esta opción para permitir que las notificacionesmuestren cuándo el firewall deWindows bloquea unaaplicación nueva.

Red pública

Habilitar firewall Habilite esta opción para asegurarse de que el firewall se estáejecutando en los dispositivos.

Bloquear todas las conexiones entrantes,incluidas aquellas que aparecen en la lista deaplicaciones permitidas

Habilite esta opción para bloquear todas las conexionesentrantes pero permitir las conexiones salientes.

Notificar al usuario cuando el firewall deWindows bloquee una aplicación nueva

Habilite esta opción para permitir que las notificacionesmuestren cuándo el firewall deWindows bloquea unaaplicación nueva.


Configuración de un perfil de modo de aplicación única (escritorio deWindows)El perfil demodo de aplicación única le permite limitar el acceso al dispositivo a una única aplicación. Con el modo deaplicación única, el dispositivo permanece bloqueado en una sola aplicación hasta que la carga útil se elimina. La políticase habilitará después de reiniciar el dispositivo.

Requisitos

El modo de aplicación única tiene restricciones y limitaciones específicas.

l Solo aplicaciones modernas o universales deWindows. El modo de aplicación única no admite aplicaciones .msi o.exe heredadas.

l Los usuarios deben ser solo usuarios estándar locales. No puede ser un usuario de dominio, usuario administrador,cuenta deMicrosoft o invitado. El usuario estándar debe ser un usuario local. No se admiten cuentas de dominio.


65



Procedimiento

Para configurar el perfil demodo de aplicación única:



3. Seleccione Perfil de usuario.


5. Seleccione el perfil demodo de aplicación única.

6. Configure los ajustes delmodo de aplicación única:


Nombre delaaplicación

Introduzca el nombre común de la aplicación.

En el caso de las aplicaciones deWindows, el nombre descriptivo es el Nombre del paquete o el ID delpaquete.

Debe ejecutar un comando PowerShell para obtener el nombre común de la aplicación instalada en eldispositivo. El comando “Get-AppxPackage” devuelve el nombre común de la aplicación como“nombre”.

7. SeleccioneGuardar y publicar.

Activación del modo de aplicación única

Después de configurar un perfil demodo de aplicación única, debe establecer el modo de aplicación única en eldispositivo.

Para comenzar a utilizar el modo de aplicación única:

1. Después de recibir el perfil del modo de aplicación única en el dispositivo, reinicie este último para comenzar.

2. Cuando se reinicie, se le pedirá que inicie sesión en el dispositivo con la cuenta del usuario estándar.

Al iniciar sesión, la política empieza a aplicarse y ya puede usarse el modo de aplicación única. Si debe salir del modo deaplicación única, presione la tecla Windows 5 veces rápidamente para abrir la pantalla de inicio y así conectarse a unusuario distinto.

Configuración de un perfil de antivirus (escritorio de Windows)Cree un perfil de antivirus para configurar el antivirus Windows Defender nativo en los dispositivos de escritorio deWindows. SiWindows Defender está configurado para todos los dispositivos, tiene la garantía de que los usuarios finalesestán protegidos al utilizar el dispositivo.

Importante: El perfil de antivirus requiere que AirWatch Unified Agent esté instalado en el dispositivo. Este perfil soloconfigura Windows Defender nativo, no configurará ningún otro antivirus de terceros.

Para configurar el perfil de antivirus:


66







5. Seleccione el perfil de antivirus.

6. Configure los ajustes de Antivirus:


Monitoreo en tiemporeal

Habilite esta opción para configurar Windows Defender de forma que supervise eldispositivo en tiempo real.

Configurar intervalopara actualización defirma

Habilite esta opción para configurar el día y la hora que el dispositivo revisa lasactualizaciones para Defender.

Configurar intervalo deanálisis

Habilite esta opción para configurar el intervalo entre los distintos escaneos del sistema.

Puede seleccionar varios tiempos y tipos de análisis. Al habilitar este ajuste, se muestranlos ajustes de Escaneo completo, Escaneo rápido y Escaneo de corrección.

Escaneo completo Habilite esta opción para programar la ejecución de un escaneo completo del sistema.Seleccione la hora y el día específicos.

Escaneo rápido Habilite esta opción para programar la ejecución de un escaneo rápido del sistema.Seleccione la hora y el día específicos.

Escaneo de corrección Habilite esta opción para programar la ejecución de un escaneo de corrección deerrores. Seleccione la hora y el día específicos.

Exclusiones

Exclusiones Seleccione las rutas de archivo o procesos que desea excluir de los escaneos deWindowsDefender.

Seleccione Agregar nuevo para agregar una excepción.


67




Acción predeterminada de amenaza

Acción predeterminadade amenaza(Desconocida, Baja,Moderada, Alta,Severa)

Establezca la acción predeterminada para los distintos niveles de amenaza encontradosdurante los escaneos.

l Limpiar – Seleccione esta opción para limpiar los problemas que provoque laamenaza.

l Cuarentena – Seleccione esta opción para enviar la amenaza a una carpeta decuarentena.

l Eliminar – Seleccione esta opción para eliminar la amenaza del sistema.

l Permitir – Seleccione esta opción para no eliminar la amenaza.

l Definido por el usuario – Seleccione esta opción para permitir que el usuario decidaqué hacer con la amenaza.

l Ninguna acción – Seleccione esta opción si no desea realizar una acción contra laamenaza.

l Bloquear – Seleccione esta opción para bloquear la amenaza y evitar que acceda aldispositivo.

Avanzado

Factor de carga de laCPU medio del escaneo

Establezca el porcentaje de CPUmedio máximo queWindows Defender puede utilizardurante el escaneo.

Escanear solamente siel modo Inactivo estáhabilitado

Habilite esta opción para restringir Windows Defender para que solo realice el escaneocuando la CPU esté inactiva.

Bloqueo de IU Habilite esta opción para bloquear la interfaz de usuario por completo para que losusuarios finales no puedan cambiar la configuración.

Escaneo completo deactualización

Habilite esta opción para permitir ejecutar un escaneo completo que se interrumpió ono se realizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneoprogramado de forma regular. Estos escaneos programados suelen omitirse porque elordenador estaba apagado a la hora programada.

Escaneo rápido deactualización

Habilite esta opción para permitir ejecutar un escaneo rápido que se interrumpió o no serealizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneoprogramado de forma regular. Estos escaneos programados suelen omitirse porque elordenador estaba apagado a la hora programada.

Monitoreo decomportamiento

Habilite esta opción para configurar el análisis de virus demanera que envíe un registrode actividad a Microsoft.


68




Modo de privacidad Habilite esta opción para evitar que los usuarios que no sean administradores muestrenel historial de amenazas.

Sistema de prevenciónde intrusión

Habilite esta opción para configurar la protección de la red contra el aprovechamientode las vulnerabilidades conocidas.

Esta opción le permite a Windows Defender supervisar las conexiones de forma continuae identifica patrones de comportamiento potencialmentemaliciosos. En este sentido, elsoftware se comporta como un detector de virus clásico, solo que escanea el tráfico dered en lugar de archivos.

Analizar correoelectrónico

Habilite esta opción para permitir queWindows Defender escanee los correoselectrónicos.

Analizar unidades dered asignadas

Habilite esta opción para permitir queWindows Defender escanee las unidades de redasignadas a los dispositivos.

Analizar archivos Habilite esta opción para permitir queWindows Defender ejecute un escaneo decarpetas con archivos comprimidos.

Analizar unidadesextraíbles

Habilite esta opción para permitir queWindows Defender escanee las unidadesextraíbles conectadas al dispositivo.

Eliminar archivos encuarentena después de

Establezca durante cuánto tiempo se almacenan los archivos en cuarentena antes deeliminarlos.


Perfil de cifrado (escritorio de Windows)Proteja los datos corporativos almacenados en los dispositivos de escritorio deWindows mediante el perfil de cifrado. Elperfil de cifrado establece la política de cifrado de BitLocker nativo en los dispositivos de escritorio deWindows paragarantizar la protección de los datos.

El cifrado de BitLocker solo está disponible en dispositivos con las versiones Windows 8 Enterprise y Pro, yWindows 10 Enterprise, Education y Pro.

Dado que los portátiles y las tabletas son dispositivos móviles por definición, exponen los datos de su empresa apérdidas o robos. Al exigir una política de cifrado medianteWorkspace ONE UEM, puede proteger los datos del discoduro. BitLocker es el cifrado deWindows nativo y Dell Data Protection | Encryption es una solución de cifrado de tercerosde Dell. Con el perfil de cifrado habilitado, AirWatch Unified Agent verifica continuamente el estado de cifrado deldispositivo. Si Hub deWorkspace ONE Intelligent detecta que el dispositivo no está cifrado, lo cifra automáticamente.

Si decide cifrar con BitLocker, una clave de recuperación creada durante el cifrado se almacena enWorkspace ONE UEM Console y en el portal de autoservicio.

El perfil de cifrado requiere que AirWatch Unified Agent esté instalado en el dispositivo.

Aviso: el perfil de cifrado no configura ni habilita Dell Data Protection | Encryption. El estado del cifrado se transmite aWorkspace ONE UEM Console y al portal de autoservicio, aunque el cifrado debe configurarsemanualmente en eldispositivo.


69



Advertencia:Windows 10 no es compatible con dispositivos sin teclado en pantalla previo al arranque. Sin el teclado,no puede introducir el código PIN de inicio necesario para desbloquear el disco duro e iniciar Windows en eldispositivo. Si se inserta este perfil en los dispositivos sin un teclado en pantalla previo al arranque, se detiene eldispositivo.

Funcionalidad de BitLocker

El perfil de cifrado utiliza la funcionalidad avanzada de BitLocker para controlar la autenticación e implementación delcifrado de BitLocker.

BitLocker utiliza el módulo de plataforma segura (TPM) en los dispositivos para guardar la contraseña de recuperación deestos con el fin de descifrar los discos duros conectados a la placa base. Si se retira el disco duro de la placa base, este nopuede descifrarse. Para una autenticación mejorada, puede habilitar un PIN de cifrado que confirme la autenticación delusuario. Asimismo, como alternativa, puede requerir una contraseña para los dispositivos en los casos en los que el TPMno está disponible.

Comportamiento de implementación

El cifrado de BitLocker nativo deWindows protege los datos almacenados en los dispositivos de escritorio deWindows.Implementar el perfil de cifrado requiere acciones adicionales por parte del usuario final.

Aviso: Para que tenga lugar el cifrado de BitLocker en un dispositivo deWindows 8.1, este debe tener habilitado yactivado el TPM. El proceso exacto para habilitar y activar el TPM puede variar de un sistema a otro, peronormalmente se realiza reiniciando el dispositivo y accediendo a los ajustes de seguridad del BIOS.

Dispositivos ya cifrados

Si el perfil de cifrado se inserta en un dispositivo cifrado y la configuración actual de cifrado coincide con la del perfil, elAirWatch Unified Agent añade una clave de recuperación y la envía a Workspace ONE UEM Console. Esta nueva clave derecuperación también se almacena en una base de datos cifrada del dispositivo. Con esta función, si un usuario o unadministrador intenta descifrar el dispositivo, el perfil de cifrado vuelve a cifrarlo con la nueva clave de recuperación. Elcifrado tiene lugar aunque el dispositivo esté sin conexión.

Si el cifrado existente no coincide con la configuración de autenticación del perfil de cifrado, los protectores existentes seeliminan y se aplican nuevos protectores que coincidan con la configuración del perfil de cifrado.

Si el método de cifrado existente no coincide con el perfil de cifrado, Workspace ONE UEM no interviene en él ni losustituye. Esta función también se aplica si añade una nueva versión del perfil de cifrado a un dispositivo administradopor un perfil de cifrado existente. El método de cifrado existente no cambia.

Estado de inscripción

Si BitLocker está habilitado y se está utilizando, puede ver informes de estado sobre el estado de cifrado en las áreassiguientes:

l Tablero deWorkspace ONE UEM

o Los detalles del dispositivo muestran la información de la clave de recuperación.

o La protección de BitLocker semuestra como habilitada.


70



l Portal de autoservicio deWorkspace ONE UEM

o El portal de autoservicio muestra que la clave de recuperación es almacenada, pero no muestra sus detalles.

o La protección de BitLocker semuestra como habilitada.

Comportamiento de eliminación

Si el perfil se elimina deWorkspace ONE UEM Console, Workspace ONE UEM deja de exigir el cifrado y el dispositivo sedescifra automáticamente. La eliminación empresarial o la desinstalación manual del AirWatch Unified Agent desde elPanel de control inhabilita el cifrado de BitLocker.

Si el usuario final decide anular la inscripción durante el proceso de cifrado de BitLocker, el proceso de cifrado continúa amenos que se desactivemanualmente desde el Panel de control.

Configuración de un perfil de cifrado (escritorio de Windows)

Cree un perfil de cifrado para proteger sus datos almacenados en los dispositivos de escritorio deWindows mediante elcifrado de BitLocker nativo.

Para crear un perfil de cifrado:





5. Seleccione el perfil de Cifrado y configure los ajustes:


Volumencifrado

Utilice el menú desplegable para seleccionar el tipo de cifrado como semuestra a continuación:

l Disco duro completo: cifra todo el disco duro del dispositivo, incluida la partición del sistemaen la que está instalado el sistema operativo.

l Partición del sistema: cifra una partición o unidad en la misma ubicación en queWindows estáinstalado y desde la cual se inicia.

Método decifrado

Seleccione el método de cifrado del dispositivo.

Cifrar solo elespacioutilizadodurante elcifradoinicial

Habilitar para restringir el cifrado de BitLocker solo al espacio utilizado en el controlador en elmomento del cifrado.


71




DirecciónURL de clavederecuperación

Introduzca la dirección URL quemostrar en la pantalla bloqueada que redirige a los usuarios paraque obtengan la clave de recuperación.

Es aconsejable introducir la dirección URL del portal de autoservicio, ya queWorkspace ONE UEMaloja la clave de recuperación ahí.

Forzarcifrado

Habilite esta opción para forzar el cifrado del dispositivo. Esta aplicación hace que el dispositivo secifre de nuevo inmediatamente en caso de que BitLocker se deshabilite de forma manual.

Se recomienda que deshabilite esta opción para evitar errores durante las actualizaciones o laseliminaciones empresariales.

Ajustes de autenticación de BitLocker

Modo deautenticación

Seleccione el método para autenticar el acceso a un dispositivo con cifrado de BitLocker.

l TPM: utiliza el módulo de plataforma segura de dispositivos. Requiere un TPM en eldispositivo.

l Contraseña: utiliza una contraseña para la autenticación.

Exigir PIN decifrado aliniciar sesión

Seleccione la casilla de verificación para exigir a los usuarios que introduzcan un PIN paradesbloquear el dispositivo. Esta opción bloquea el arranque del SO y la reanudación automáticadesde los modos de suspensión o hibernación hasta que el usuario introduzca el PIN correcto.

Utilizarcontraseña siel TPM noestádisponible

Seleccione esta casilla de verificación para utilizar una contraseña como solución alternativa aldescifrado del dispositivo si el TPM no está disponible.

Si este ajuste no está habilitado, cualquier dispositivo sin un TPM no puede cifrar.

Longitudmínima de lacontraseña

Seleccione el número mínimo de caracteres que debe contener una contraseña.

Aparece si la opciónModo de autenticación está establecida como Contraseña o si la opciónUtilizar contraseña si TPM no está disponible está habilitada.

Ajustes de claves de recuperación estática de BitLocker

Crearcontraseñaestática deBitLocker

Seleccione la casilla de verificación si hay habilitada una clave de recuperación estática.

Contraseñaderecuperaciónde BitLocker

Seleccione el icono Generar ( ) para generar una nueva clave de recuperación.

Período derotación

Introduzca el número de días hasta que rote la clave de recuperación.

Periodo degracia

Introduzca el número de días tras la rotación que seguirá funcionando la clave de recuperaciónanterior.


72




Suspensión de BitLocker

Habilitarsuspensiónde BitLocker

Seleccione la casilla de verificación para habilitar la suspensión de BitLocker. Esta funcionalidadsuspende el cifrado de BitLocker durante un período de tiempo específico. Utilice esta función parasuspender BitLocker cuando haya actualizaciones programadas, demodo que los dispositivospuedan reiniciarse sin exigir a los usuarios finales que introduzcan el PIN o la contraseña de cifrado.

Tipo desuspensiónde BitLocker

Seleccione el tipo de suspensión.

l Horario: seleccione la introducción del momento específico en el que BitLocker debesuspenderse. A continuación, defina la repetición del horario como diaria o semanal.

l Personalizado: seleccione la introducción del día y la hora de inicio y fin de la suspensión deBitLocker.

Hora deinicio de lasuspensiónde BitLocker

Introduzca la hora a la que debe iniciarse la suspensión de BitLocker.

Hora definalizaciónde lasuspensiónde BitLocker

Introduzca la hora a la que debe finalizar la suspensión de BitLocker.

Tipo derepeticiónprogramada

Defina si las repeticiones de la suspensión programada deben ser diarias o semanales. Si selecciona“Semanal”, indique los días de la semana en los que debe repetirse la programación.


Configuración de un perfil de actualizaciones de Windows (escritorio deWindows)Cree un perfil de actualizaciones deWindows con el fin de administrar los ajustes de actualizaciones deWindows para losdispositivos de escritorio deWindows. El perfil asegura que todos los dispositivos tengan las actualizaciones másrecientes, lo quemejora la seguridad de la red y de los dispositivos.

Para utilizar los ajustes avanzados, el perfil de Actualizaciones deWindows requiere que AirWatch Unified Agent estéinstalado en el dispositivo.

Importante: Para ver la versión de SO que cada rama de actualización admite, consulte la documentación deMicrosoft sobre la información de versión deWindows 10: https://technet.microsoft.com/es-es/windows/release-info.aspx.

Para aplicar un perfil de actualizaciones deWindows:


73









5. Seleccione el perfil de actualizaciones de Windows.

6. Configure los ajustes de actualizaciones deWindows. El perfil admite dispositivos con Windows 8.1 y Windows 10.Los ajustes difieren en función del sistema operativo. Para dispositivos con Windows 10, configure los ajustessiguientes:


Bifurcación y aplazamiento

Origen de actualización deWindows

Seleccione el origen de las Actualizaciones deWindows:

l Servicio deMicrosoft Update: seleccione esta opción para utilizar elservidor de actualizaciones predeterminado deMicrosoft.

l WSUS corporativo: seleccione esta opción para utilizar un servidorcorporativo e introducir la dirección URL del servidor WSUS y el grupoWSUS.

Para que este ajuste surta efecto, el dispositivo debe contactar con elWSUS al menos una vez.

Elegir WSUS corporativo como origen permite al administrador de TI ver lasactualizaciones instaladas y el estado de los dispositivos del grupo WSUS.

Actualizar rama Seleccione la rama de actualización que se debe seguir para las actualizaciones.

l Rama deWindows Insider: lenta

l Rama deWindows Insider: rápida

l Lanzamiento de la compilación deWindows Insider

l Canal semestral (dirigido)

o El dispositivo recibe todas las actualizaciones de funciones aplicablesinmediatamente después del lanzamiento de una nueva versión deWindows. Considere la posibilidad de utilizar este canal para elproceso de pruebas de su organización.

l Canal semestral

o Este canal es la fase posterior a la implementación objetivo. Considerela posibilidad de utilizar este canal después de que el proceso decomprobación proporcione resultados correctos.


74




Aplazar el período deactualizaciones de funciones endías

Seleccione el número de días que aplazar las actualizaciones de la funciónantes de instalar las actualizaciones en el dispositivo.

Aplazar actualizaciones defunciones

Habilite esta opción para aplazar todas las actualizaciones de funcionesdurante 60 días o hasta que se inhabilite. Este ajuste anula el de Aplazar elperíodo de actualizaciones de funciones en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas yque, normalmente, se instalaría según sus ajustes de aplazamiento.

Período de actualizaciones decalidad del aplazamiento en días

Seleccione el número de días que aplazar las actualizaciones de calidad antesde instalar las actualizaciones en el dispositivo.

Aplazar actualizaciones decalidad

Habilite esta opción para aplazar todas las actualizaciones de calidad durante60 días o hasta que se inhabilite. Este ajuste anula el de Período deactualizaciones de calidad del aplazamiento en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas yque, normalmente, se instalaría según sus ajustes de aplazamiento.

Habilitar ajustes para versionesanteriores de Windows

Seleccione habilitar los ajustes de aplazamiento para las versiones anterioresdeWindows. Algunos de los ajustes son:

l Posponer las nuevas funciones (meses)

l Posponer las nuevas actualizaciones (semanas)

l Posponer aplazamientos

Comportamiento durante la instalación de actualizaciones

Actualizaciones automáticas Establezca cómo se gestionan las actualizaciones de la opción Actualizar ramaseleccionada:

l Instalar actualizaciones automáticamente.

l Instalar las actualizaciones, pero permitir al usuario programar elordenador.

l Instalar las actualizaciones automáticamente y reiniciar a la hora definida.

l Instalar las actualizaciones automáticamente e impedir que los usuariosmodifiquen los ajustes del panel de control.

l Buscar actualizaciones, pero permitir que el usuario elija si deseadescargarlas e instalarlas.

l Nunca buscar actualizaciones

Hora de inicio de horas activas Introduzca la hora de inicio de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esashoras.


75




Tiempo de finalización de horasactivas

Introduzca el tiempo de finalización de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esashoras.

Políticas de actualización

Permitir servicio de actualización Permite las actualizaciones desde el servicio público de actualizaciones deWindows.

No permitir este servicio puede provocar problemas con Microsoft Store.

Permitir actualizaciones de MU Permitir actualizaciones desdeMicrosoft Update.

Actualizar otros productos deMicrosoft cuando Windows seesté actualizando

Permite que otros productos deMicrosoft se actualicen al actualizar Windows.

Instalar las actualizacionesfirmadas de las entidades deterceros

Permite la instalación de actualizaciones de terceros aprobados.

Compilaciones de Insider Permite la descarga de compilaciones de Insider deWindows 10.

Actualizaciones aprobadas por el administrador

Requerir aprobación deactualizaciones

Habilite esta opción para requerir que se aprueben las actualizaciones antes dedescargarlas en el dispositivo.

Habilite esta opción para requerir que los administradores apruebenexplícitamente las actualizaciones antes de descargarlas en el dispositivo. Estaaprobación se realiza mediante grupos de actualizaciones o mediante laaprobación individual de actualizaciones.

Esta opción exige aceptar todos los términos de uso requeridos en nombre delos usuarios finales para poder insertar la aplicación en los dispositivos. Si esnecesario aceptar términos de uso, semuestra un cuadro de diálogo detérminos de uso.

Para aprobar actualizaciones, navegue a Ciclo de vida > Actualizaciones deWindows. Para obtener más información, consulte Aprobación deactualizaciones deWindows en la página 80.

Actualizaciones autoaprobadas Habilite esta opción para establecer grupos de actualizaciones cuya descargaen los dispositivos del usuario final se aprueba automáticamente.

Esta opción exige aceptar todos los términos de uso requeridos en nombre delos usuarios finales para poder insertar la aplicación en los dispositivos. Si esnecesario aceptar términos de uso, semuestra un cuadro de diálogo detérminos de uso.


76




Actualizaciones de funciones Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de funciones en los dispositivosasignados.

Semuestra si la opción Actualizaciones autoaprobadas está habilitada.

Aplicación Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de aplicaciones en los dispositivosasignados.


Conectores Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de conectores de Office 365 en losdispositivos asignados.


Críticas Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones críticas en los dispositivos asignados.


Definición Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de definiciones deWindows Defender enlos dispositivos asignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de quesus dispositivos mantengan la protección deWindows Defender. Esta opciónestá habilitada de forma predeterminada.


Kit de desarrollador Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones del kit de desarrollador en losdispositivos asignados.


Controladores Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de controlador en los dispositivosasignados.


Feature Pack Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de paquetes de características en losdispositivos asignados.


Instrucciones Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de instrucciones en los dispositivosasignados.


77




Seguridad Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de seguridad en los dispositivosasignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de quesus dispositivos semantengan protegidos. Esta opción está habilitada deforma predeterminada.

Service Pack Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de Service Pack en los dispositivosasignados.


Actualizaciones de herramientas Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de herramientas en los dispositivosasignados.


Paquetes acumulativos deactualizaciones

Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todos los paquetes acumulativos de actualizaciones en losdispositivos asignados.


General Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones generales en los dispositivos asignados.


Optimización de entregas

Actualizaciones de igual a igual Permite el uso de descargas de igual a igual de las actualizaciones.

Permitir que se utilice el métodode igual a igual

Seleccione el método de conexión de igual a igual que desea permitir.

Restringir el uso de igual a iguala los miembros que tengan elmismo ID de grupo

Restringe la descarga de igual a igual a los dispositivos que se encuentran en elmismo grupo organizativo.

Intervalo máximo que semantiene cada archivo en lacaché de optimización deentregas (segundos)

Permite definir el número de segundos que un archivo permanece en la cachéde optimización de entregas antes de insertarse en los dispositivos.

La caché de optimización mantiene las actualizaciones disponibles en otrospuntos a los que el dispositivo puede llegar para acelerar la descarga de lasactualizaciones.

Tamaño máximo de la caché quepuede utilizar la optimización deentrega (%)

Introduzca el porcentaje de la caché que puede utilizar la optimización deentregas.


78




Ancho de banda máximo paralas cargas que un dispositivoutilizará entre todas las cargassimultáneas (kB/seg)

Introduzca el ancho de banda de carga máximo, en kB/segundo, que undispositivo utilizará al enviar las actualizaciones a los dispositivos del mismonivel.

Para dispositivos con Windows 8.1, configure los ajustes siguientes:


Windows 8.1

Actualizaciones administradas por Establezca esta opción en Administrador para configurar la forma en laqueWindows se actualiza. Si se ajusta en Usuario, no se sustituyen losajustes del dispositivo.

Instalar actualizaciones importantesautomáticamente

Exige que todas las actualizaciones automáticas importantes seinstalen automáticamente.

Instalar actualizaciones recomendadasautomáticamente

Exige que todas las actualizaciones automáticas recomendadas seinstalen automáticamente.

Configuración avanzada de ProtectionAgent

Configura los ajustes avanzados del perfil de actualizacionesautomáticas deWindows.

Origen de actualización de Windows Seleccione el origen de las Actualizaciones deWindows:

l Opción predeterminada deMicrosoft: seleccione esta opción parautilizar el servidor de actualizaciones predeterminado deMicrosoft.

l WSUS corporativo: seleccione esta opción para utilizar un servidorcorporativo e introducir la dirección URL del servidor WSUS y elgrupo WSUS.

Para que este ajuste surta efecto, el dispositivo debe contactarcon elWSUS al menos una vez.

Elegir WSUS corporativo como origen permite al administrador de TIver las actualizaciones instaladas y el estado de los dispositivos delgrupo WSUS.

Actualizaciones importantes Seleccione las reglas que se van a aplicar a las actualizacionesimportantes.

Instalar las actualizacionesrecomendadas de la misma forma quelas actualizaciones importantes

Habilite esta opción para instalar las actualizaciones recomendadascon las mismas reglas que utilizan las actualizaciones importantes.

Actualizar otros productos de Microsoftcuando Windows se esté actualizando

Habilite esta opción para permitir que otros productos deMicrosoftse actualicen al actualizar Windows.



79



Ver lista de actualizaciones en el ciclo de vida

Workspace ONE UEM admite la revisión y aprobación de actualizaciones del sistema operativo y de OEM en dispositivosdeWindows 10 y de actualizaciones del sistema operativo para las determinadas actualizaciones de Android específicas.La página de la consola de actualizaciones enumera todas las actualizaciones disponibles para los dispositivos conWindows 10.

Actualizaciones de Windows

En esta pestaña, puede aprobar actualizaciones y asignarlas a grupos inteligentes específicos demodo que se cumplanlas necesidades de la empresa. Esta pestaña muestra todas las actualizaciones con los siguientes datos: fecha depublicación, plataforma, clasificación y grupo asignado. Al seleccionar el nombre de la actualización, se abre una ventanacon información detallada, un enlace a la página de la base de conocimientos deMicrosoft con la actualización y datosdel estado de la instalación de la actualización.

Vista del estado de actualización

El estado de instalación de la actualización muestra la implementación de la actualización en sus dispositivos.

Para consultar el estado de la implementación de la actualización, seleccione la opción Vista.

Estado Descripción

Asignado La actualización se ha aprobado y asignado al dispositivo.

Aprobado La actualización aprobada se ha asignado correctamente al dispositivo.

Disponible La actualización está disponible en el dispositivo para su instalación.

Instalación pendiente La instalación se ha aprobado y está disponible, aunque aún no se ha instalado.

Reinicio pendiente La instalación se ha pausado hasta que el dispositivo se reinicie.

Instalada La actualización se ha instalado correctamente.

Falló La instalación de la actualización ha fallado.

Actualizaciones de OEM

En esta pestaña, puede ver todas las actualizaciones de OEM implementadas en los dispositivos de escritorio deWindows. Puede ordenar la vista de lista por nombre, nivel, tipo y categoría del dispositivo. También puede filtrar lasactualizaciones mostradas mediante filtros como controladores de audio, controladores de conjunto de chips,actualizaciones de BIOS y más.

Consulte el estado de instalación de la implementación de actualizacioónes seleccionando el nombre de la actualización.

Aprobación de actualizaciones de Windows

Revise y apruebe actualizaciones deWindows para instalarlas en sus dispositivos con Windows 10. Esta función lepermite asegurarse de que sus dispositivos permanezcan actualizados al tiempo que controla la distribución deactualizaciones según las necesidades de la empresa.

Requisitos previos

Debe publicar un perfil de actualizaciones deWindows con la opción Requerir aprobación de actualizaciones habilitada.

Procedimiento

Para aprobar y asignar una actualización:


80



1. Vaya a Ciclo de vida > Actualizaciones > Windows.

2. Seleccione la casilla de verificación a la izquierda de la actualización. Seleccione el botón Asignar.

3. Introduzca los grupos inteligentes a los que se les aplicará la actualización.

4. Seleccione Agregar.

Para obtener más información sobre la página de la consola de actualizaciones deWindows, consulte Ver lista deactualizaciones en el ciclo de vida en la página 80

Configuración de un perfil de web clips (escritorio de Windows)Un perfil de web clips le permite insertar direcciones URL a los dispositivos de los usuarios finales para que tengan fácilacceso a sitios web importantes.





5. Seleccione el perfil deweb clips.

6. Configure los ajustes deWeb clips:


Etiqueta Introduzca una descripción para el web clip.

URL Introduzca la dirección URL de destino para el web clip.

Mostrar en Catálogo de aplicaciones Habilite esta opción para mostrar el web clip en el catálogo de aplicaciones.


Perfil de Exchange ActiveSync (escritorio de Windows)Los perfiles de Exchange ActiveSync le permiten configurar los dispositivos de escritorio deWindows para que accedan asu servidor de Exchange ActiveSync y utilicen el correo electrónico y el calendario.

Es muy aconsejable que utilice solo certificados firmados por una entidad de certificación (CA) de terceros que sea deconfianza. Cualquier error en sus certificados hace que las conexiones seguras se vuelvan vulnerables a posibles ataquesde tipo “Man in themiddle” (ataques de intermediarios). Ese tipo de ataques afectan negativamente la confidencialidad yla integridad de los datos que se transmiten entre los componentes del producto, y también les dan la oportunidad a losintrusos de interceptar o alterar los datos mientras están en tránsito. Consulte Configuración de un perfil de credenciales(escritorio deWindows) en la página 51 para más información.

El perfil de Exchange ActiveSync es compatible con el cliente de correo nativo y AirWatch Inbox para escritorio deWindows. La configuración varía según el cliente de correo que utilice.


81



Importante: La compatibilidad con el cliente de correo nativo solo está disponible para dispositivos Windows 10.

Eliminación de un perfil o eliminación empresarial

Si se elimina el perfil con un comando de eliminación de perfil, una política de conformidad o una eliminaciónempresarial, se eliminan todos los datos de correo electrónico, tales como:

l La información de la cuenta de usuario/inicio de sesión.

l Datos de los mensajes de correo electrónico

l Información de los contactos y el calendario.

l Adjuntos guardados en el almacenamiento interno de la aplicación.

Nombre de usuario y contraseña

Puede definir el nombre de usuario que los usuarios utilizarán para iniciar sesión en Workspace ONE UEM Inbox. Puedeutilizar la dirección de correo electrónico de ellos o un nombre de usuario de correo electrónico que sea diferente de supropia dirección de correo. Al configurar la carga útil de Exchange ActiveSync (EAS) en los ajustes del perfil de laWorkspace ONE UEM Inbox, encontrará un cuadro de texto deUsuario bajo la Información de inicio de sesión en elque puede definir un valor de búsqueda predeterminado.

Si tiene nombres de usuarios de correo electrónico que difieren de las direcciones de correo de los usuarios, puedeutilizar el cuadro de texto {EmailUserName}, que corresponde a los nombres de usuarios de correo electrónico que seimportaron durante el proceso de integración del servicio de directorio. Incluso aunque los nombres de usuariocoincidan con las direcciones de correo electrónico, use el cuadro de texto {EmailUserName}, ya que este utiliza ladirección de correo importada a través de la integración del servicio de directorio.

Configuración de un perfil de Exchange ActiveSync (escritorio de Windows)

Cree un perfil de Exchange ActiveSync para ofrecer a los dispositivos con escritorio deWindows acceso a su servidor deExchange ActiveSync para usar el correo electrónico y el calendario.

Aviso:Workspace ONE UEM no admite Outlook 2016 en perfiles de Exchange ActiveSync.

Utilice los pasos siguientes con el fin de crear un perfil de configuración para el cliente de correo nativo:


2. SeleccioneWindows y luego la plataforma de Escritorio de Windows.



5. Seleccione la carga útil de Exchange ActiveSync.

6. Configure los ajustes de Exchange ActiveSync:


82




Cliente decorreo

Seleccione el cliente de correo que configura el perfil de EAS.

Workspace ONE UEM admite el cliente de correo nativo y AirWatch Inbox.

Nombre de lacuenta

Introduzca el nombre para la cuenta de Exchange ActiveSync.

Host deExchangeActiveSync

Introduzca la dirección URL o la dirección IP del servidor que hospeda el EAS.

Utilizar SSL Habilite esta opción para enviar todas las comunicaciones a través de la capade sockets seguros (SSL).

Información de inicio de sesión

Dominio Introduzca el dominio de correo electrónico.

El perfil es compatible con los valores de búsqueda para agregar lainformación de inscripción e inicio de sesión del usuario. Para másinformación, consulte Perfil de Exchange ActiveSync (escritorio deWindows)en la página 81.

Nombre deusuario (ID)

Introduzca el nombre de usuario del correo electrónico.

Dirección decorreoelectrónico

Introduzca la dirección de correo electrónico. Este es un campo requerido.

Contraseña Introduzca la contraseña de correo electrónico.

Certificado deidentidad

Seleccione el certificado de la carga útil de EAS. Consulte la secciónConfiguración de un perfil de credenciales (escritorio deWindows) en lapágina 51 para más información.

Ajustes

El próximointervalo desincronización(min)

Seleccione la frecuencia, en minutos, con la que el dispositivo se sincronizacon el servidor de EAS.

Número dedíastrascurridosde correoparasincronizar

Seleccione cuántos días de correos electrónicos anteriores se sincronizan conel dispositivo.

Registro dediagnósticos

Habilite esta opción para registrar la información con fines de solución deproblemas.


83




Tipo de contenido

Exigir laprotección dedatos cuandoel dispositivoestébloqueado

Habilite esta opción para exigir que los datos estén protegidos cuando eldispositivo esté bloqueado.

Permitir lasincronizacióndel correoelectrónico

Habilite esta opción para permitir la sincronización de los mensajes de correoelectrónico.

Permitir lasincronizaciónde loscontactos

Habilite esta opción para permitir la sincronización de los contactos.

Permitir lasincronizacióndel calendario

Habilite esta opción para permitir la sincronización de los eventos delcalendario.

7. SeleccioneGuardar para mantener el perfil en Workspace ONE UEM Console o Guardar y publicar para insertarlo enlos dispositivos.

Cómo configurar un perfil de Exchange ActiveSync (escritorio de Windows)

Cree un perfil de Exchange ActiveSync para ofrecer a los dispositivos con escritorio deWindows acceso a su servidor deExchange ActiveSync para usar el correo electrónico y el calendario. Los ajustes cambian cuando utiliza AirWatch Inboxcomo cliente de correo electrónico para el escritorio deWindows.

Siga estos pasos para crear un perfil de configuración para AirWatch Inbox:


2. SeleccioneWindows y luego la plataforma de Escritorio de Windows.



5. Seleccione la carga útil de Exchange ActiveSync. La selección predeterminada en el menú desplegable de Cliente decorreo es AirWatch Inbox.

6. Introduzca el host de Exchange ActiveSync. Esa es la información del servidor EAS. Por ejemplo:webmail.airwatchmdm.com.


84




Utilizar SSL Habilite esta opción para enviar todas las comunicaciones a través de la capa desockets seguros (SSL).

Utilizar S/MIME Habilite esta opción para almacenar los certificados S/MIME de los usuariosfinales. Esta opción es necesaria para los perfiles habilitados con certificadosS/MIME.

Información de inicio de sesión

Dominio Introduzca el dominio de correo electrónico.

Usuario Introduzca el nombre de usuario del correo electrónico.

Dirección de correo electrónico Introduzca la dirección de correo electrónico. Este es un campo requerido.

Contraseña Introduzca la contraseña de correo electrónico.

Certificado de carga útil Seleccione el certificado de la carga útil de EAS. Consulte la sección Configuraciónde un perfil de credenciales (escritorio deWindows) en la página 51 para másinformación.

Ajustes

Requerir código de acceso Habilite esta opción para exigir un código de acceso cuando abra la aplicación deAirWatch Inbox.

aplicación Seleccione el tipo de credenciales de inicio de sesión que se requerirán:

l Contraseña

l Nombre de usuario y contraseña

Complejidad Seleccione el nivel de complejidad del código de acceso:

l usuario

l Alfanumérico

Longitud mínima Seleccione el número mínimo de caracteres que debe tener el código de acceso.

Permitir valores simples Habilite esta opción para permitir los códigos de acceso que no cumplan con losrequisitos de complejidad.

Número mínimo de caracterescomplejos

Seleccione el número mínimo permitido de caracteres que no seanalfanuméricos.

Aparece cuando configura Complejidad como Alfanumérico.

Antigüedad máxima Seleccione el número máximo de días que se puede utilizar el código de acceso.

revisiones Seleccione el número de códigos de acceso antiguos que se guardarán. Si elusuario cambia el código de acceso y coincide con uno de los que estánguardados, el sistema no lo acepta.


85




Bloquear automáticamentecuando la pantalla deldispositivo se bloquee

Habilite esta opción para bloquear AirWatch Inbox automáticamente cuando eldispositivo se bloquee.

Periodo de gracia Seleccione el número deminutos que la aplicación permanece abierta ydesbloqueada antes de bloquearse automáticamente.

Cantidad máxima de intentosfallidos

Seleccione cuántas veces se puede introducir un código de acceso antes de quese borren los datos de AirWatch Inbox.

Contraseña

Requerir código de acceso Habilite esta opción para exigir un código de acceso cuando abra la aplicación deAirWatch Inbox.

aplicación Seleccione el tipo de credenciales de inicio de sesión que se requerirán:

l Contraseña

l Nombre de usuario y contraseña

Complejidad Seleccione el nivel de complejidad del código de acceso:

l usuario

l Alfanumérico

Longitud mínima Seleccione el número mínimo de caracteres que debe tener el código de acceso.

Permitir valores simples Habilite esta opción para permitir los códigos de acceso que no cumplan con losrequisitos de complejidad.

Número mínimo de caracterescomplejos

Seleccione el número mínimo permitido de caracteres que no seanalfanuméricos.

Aparece cuando configura Complejidad como Alfanumérico.

Antigüedad máxima Seleccione el número máximo de días que se puede utilizar el código de acceso.

revisiones Seleccione el número de códigos de acceso antiguos que se guardarán.

Si el usuario final reutiliza una contraseña el número de veces registrado, nopodrá volver a utilizar dicha contraseña.

Bloquear automáticamentecuando la pantalla deldispositivo se bloquee

Habilite esta opción para que AirWatch Inbox se bloquee cuando el dispositivose bloquea.

Periodo de gracia Seleccione la cantidad deminutos que la aplicación permanecerá abierta y sinbloquear antes de bloquearse automáticamente.

Cantidad máxima de intentosfallidos

Seleccione cuántas veces se puede introducir un código de acceso antes de quese borren los datos de AirWatch Inbox.


86




Restricciones

Inhabilitar copiar y pegar Habilite esta opción para restringir las funciones de copiar/pegar en AirWatchInbox:

l Inhabilita la capacidad de realizar una pulsación prolongada en el texto deun correo y pegarlo en el portapapeles.

l Inhabilita la capacidad de copiar texto fuera del cliente de correo y depegarlo en un mensaje de correo electrónico.

Inhabilitar archivos adjuntos Habilite esta opción para impedir que los usuarios finales puedan abrir archivosadjuntos en la aplicación de AirWatch Inbox.

Tamaño máximo de archivosadjuntos (MB)

Introduzca el tamaño máximo (en MB) que puede tener un archivo adjunto parapoder recibirlo.

Dominios restringidos Habilite esta opción para restringir el flujo de correos a ciertos dominiosespecíficos.

Tipo de restricción Seleccione el tipo de restricción de los dominios de correo electrónico.

Nombre de dominio Seleccione Agregar para agregar un dominio a la lista blanca o a la lista negra.

7. SeleccioneGuardar para mantener el perfil en la consola o Guardar y publicar para insertarlo en los dispositivos.

Perfil de SCEP (escritorio de Windows)Los perfiles de Protocolo de inscripción de certificados simple (SCEP) le permiten instalar certificados demanera silenciosaen los dispositivos sin que el usuario final tenga que intervenir.

Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a la fuerza bruta,ataques de diccionario y errores de sus empleados. Para obtener una seguridad más completa, puede implementarcertificados digitales con los que proteger sus recursos corporativos. Para usar SCEP con el fin de instalar estoscertificados en los dispositivos demanera silenciosa, primero debe definir una entidad de certificación (CA) y luegoconfigurar una carga útil de SCEP, junto con su carga útil de EAS,Wi-Fi o VPN. Cada una de estas cargas útiles tieneajustes para asociar la CA definida en la carga útil de SCEP.

Para insertar certificados en los dispositivos, configure una carga útil de SCEP como parte de los perfiles que configurópara los ajustes de EAS, Wi-Fi y VPN.

Configuración de un perfil de SCEP (escritorio de Windows)

Un perfil de SCEP instala silenciosamente certificados en dispositivos para utilizarlos con la autenticación de losdispositivos.

Para configurar un perfil de SCEP:





87




5. Seleccione el perfil de SCEP.

6. Configure los ajustes de SCEP:


Fuente decredenciales

Estemenú desplegable se configura siempre para definir la autoridad de certificación.

Entidad decertificación

Seleccione la autoridad de certificación que desea usar.

Plantilla decertificado

Seleccione la plantilla disponible para el certificado.

Emisor Introduzca el emisor del certificado. El emisor se puede ver en la línea de asunto delcertificado.

Guardar la ubicación Seleccione en qué ubicación de la máquina se almacena el SCEP:

l Usuario de contexto – Guarda el SCEP con el usuario específico.

l Máquina de contexto – Guarda el SCEP para todos los usuarios de la máquina.

7. Configure el perfil deWi-Fi, VPN o EAS.


Perfil de control de aplicaciones (escritorio de Windows)Limite las aplicaciones que se pueden instalar en los dispositivos de escritorio deWindows con el perfil de control deaplicaciones. Limitar la instalación de aplicaciones protege sus datos de aplicaciones malintencionadas y evita que losusuarios finales accedan a aplicaciones no deseadas en dispositivos corporativos.

Para permitir o impedir la instalación de aplicaciones en los dispositivos, puede habilitar el control de aplicaciones con elfin de colocar ciertas aplicaciones en listas blancas o en listas negras. Mientras que el motor de conformidad supervisa losdispositivos para confirmar qué aplicaciones se encuentran en la lista blanca y cuáles en la lista negra, el control deaplicaciones evita que los usuarios intenten agregar o eliminar aplicaciones. Por ejemplo, puede impedir que se instale enel dispositivo una aplicación de entretenimiento determinada o permitir la instalación en el dispositivo solo deaplicaciones que se encuentren en la lista blanca. Las aplicaciones incluidas en listas negras e instaladas en losdispositivos antes de que se envíe a estos la carga útil de control de aplicaciones se inhabilitan después de insertar elperfil.

El perfil de control de aplicaciones ayuda a reducir el coste de administración del dispositivo al impedir que el usuarioejecute aplicaciones prohibidas que pueden causar problemas. Al evitar que las aplicaciones causen problemas, sereduce el número de llamadas que debe atender el equipo de soporte.

Configuración de un perfil de control de aplicaciones (escritorio de Windows)

Habilite el control de aplicaciones para colocar ciertas aplicaciones en listas blancas o en listas negras para permitir oimpedir la instalación de aplicaciones en los dispositivos. El control de aplicaciones utiliza las configuraciones deMicrosoft AppLocker para exigir el control de aplicaciones en dispositivos Windows 10.


88



Requisitos previos

Para configurar un archivo de configuración XML, debe configurar los ajustes de AppLocker en un dispositivo y exportarel archivo para utilizarlo con el perfil.

El perfil de control de aplicaciones requiere el uso deWindows 10 Enterprise o Education.

Recomendaciones importantes

l Cree políticas utilizando primero el modo de Solo auditoría. Tras verificar la versión Solo auditoría en un dispositivode prueba, cree una versión con el modo Exigir. Si no se prueban las políticas antes de un uso general, losdispositivos pueden quedar inutilizables.

l Cree reglas predeterminadas o cualquier otra regla deseada para su empresa que reduzca la posibilidad de que sebloqueen las configuraciones predeterminadas o se dañen los dispositivos después de reiniciarlos. Para obtener másinformación sobre cómo crear reglas, consulte el artículo deMicrosoft TechNet sobre AppLocker.

Para configurar un perfil de control de aplicaciones:

1. En el dispositivo de configuración, abra el editor de Política de seguridad local.

2. Navegue a Políticas de control de aplicaciones > AppLocker y seleccione Configurar la aplicación de reglas.

3. Habilite la aplicación de Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts seleccionando Aplicarreglas.

4. Cree Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts al seleccionar la carpeta de la derecha,hacer clic con el botón derecho en la carpeta y seleccionar Crear nueva regla.


89



No se olvide de crear reglas predeterminadas para reducir las posibilidades de bloquear la configuraciónpredeterminada o detener el dispositivo.

5. Después de crear todas las reglas que quiera, haga clic con el botón derecho en AppLocker, seleccione Exportardirectiva y guarde el archivo de configuración XML.

6. En Workspace ONE UEM Console, navegue a Dispositivos > Perfiles > Vista en lista > Agregar y seleccione Agregarperfil.




10. Seleccione la carga útil Control de aplicaciones.

11. Seleccione Importar configuración de muestra de dispositivo y después Cargar para agregar el archivo deconfiguración de políticas.


Configuración de un perfil de servicios web de Exchange (escritorio deWindows)Cree un perfil de Servicios web de Exchange para permitir que el usuario final acceda a las infraestructuras de correoelectrónico corporativo y a las cuentas deMicrosoft Outlook desde el dispositivo.

Importante: Durante la configuración inicial, el dispositivo debe disponer de acceso a la instancia interna de ExchangeServer.

Para crear un perfil de Servicios web de Exchange:





5. Seleccione el perfil Servicios web de Exchange y configure los ajustes:


Dominio Introduzca el nombre del dominio al que pertenece el usuario final.

Servidor de correo electrónico Introduzca el nombre del servidor de Exchange.

Dirección de correo electrónico Introduzca la dirección de la cuenta de correo electrónico.


Al eliminar un perfil de Servicios web de Exchange, se eliminarán todas las cuentas de Outlook del dispositivo.


90



Creación de un perfil de licencias de Windows (escritorio de Windows)Configure un perfil de licencias deWindows para ofrecer a sus dispositivos Windows 10 una clave de licencia deWindows 10 Enterprise o Windows 10 Education. Utilice este perfil para actualizar los dispositivos que no vienen conWindows 10 Enterprise.

Esta actualización no se puede revertir. Si publica este perfil en dispositivos del programa de BYOD, no puede eliminar lalicencia a través deMDM. Windows 10 solo se puede actualizar siguiendo una ruta de actualización específica:

l DeWindows 10 Enterprise a Windows 10 Education

l DeWindows 10 Home aWindows 10 Education

l DeWindows 10 Pro aWindows 10 Education

l DeWindows 10 Pro aWindows 10 Enterprise

Para crear un perfil de licencias deWindows:





5. Seleccione la pestaña Licencias de Windows y configure los siguientes ajustes:


Edición de Windows Seleccione la edición Enterprise o Education.

Introduzca una clave de licenciaválida

Introduzca la clave de licencia para la edición deWindows que estáutilizando.


Configuración de un perfil de BIOS (escritorio de Windows)Configure los ajustes de BIOS para determinados dispositivos para empresas de Dell con el perfil de BIOS. Este perfilrequiere integración con Dell Command | Monitor.

El soporte para los ajustes del perfil del BIOS varía según el dispositivo de Dell. Workspace ONE UEM solo inserta losajustes que un dispositivo admite.

Para obtener más información sobre la configuración de la integración de Dell Command | Monitor, consulte Integraciónde Dell Command | Monitor en la página 107

Requisitos previos

Solo se admiten dispositivos para empresas de Dell específicos. Para obtener más información, consulte la secciónIntegración de Dell Command | Monitor en la página 107.


91



Procedimiento

Para configurar un perfil de BIOS:





5. Seleccione la carga útil de BIOS y configure los siguientes ajustes:


Seguridad

Contraseña de BIOS Introduzca la contraseña empleada para desbloquear el BIOS del dispositivo.

Este campo es obligatorio.

Chip de TPM SeleccioneHabilitar para habilitar el chip del módulo de plataforma segura del dispositivo.

Arranque

Modo de arranque Seleccione si el dispositivo arranca en modo BIOS o UEFI.

Protección de modode arranque

SeleccioneHabilitar para evitar problemas con el arranque del SO instalado en eldispositivo. Esta protección impide que se produzca una modificación en el modo dearranque en un dispositivo con un SO instalado.

Arranque seguro SeleccioneHabilitar para utilizar ajustes de arranque seguro en el dispositivo. No puedeinhabilitar el arranque seguro con DCM. Si su dispositivo ya utiliza el arranque seguro,debe inhabilitar los ajustes manualmente en el dispositivo.

El arranque seguro necesita que elmodo de arranque se ajuste a UEFI y que las ROM deopción heredadas se fijen en Inhabilitar.

ROM de opciónheredadas

SeleccioneHabilitar para permitir el uso de ROM de opción heredadas durante el procesode arranque.

Virtualización

Virtualización deCPU

SeleccioneHabilitar para permitir la virtualización del hardware.

Virtualización de E/S SeleccioneHabilitar para permitir la virtualización de entrada/salida.

Ejecución deconfianza

SeleccioneHabilitar para permitir que el dispositivo utilice el chip de TPM, la virtualizaciónde CPU y la virtualización de E/S para decisiones de confianza.

La ejecución de confianza necesita que los ajustes del chip de TPM, la virtualización deCPU y la E/S de virtualización estén en modo Habilitado.

Conexión

LAN inalámbrica SeleccioneHabilitar para permitir el uso de la funcionalidad de LAN inalámbrica deldispositivo.


92




Radiocomunicacióncelular

SeleccioneHabilitar para permitir el uso de la funcionalidad de radiocomunicación celulardel dispositivo.

Bluetooth SeleccioneHabilitar para permitir el uso de la funcionalidad de Bluetooth del dispositivo.

GPS SeleccioneHabilitar para permitir el uso de la funcionalidad de GPS del dispositivo.

Almacenamiento

Informes SMART SeleccioneHabilitar para utilizar la supervisión SMART de las soluciones dealmacenamiento del dispositivo.

Administración de alimentación

Carga de la bateríaprincipal

Seleccione las reglas de carga del dispositivo:

l Carga estándar

l Carga exprés

l Carga CA

l Carga automática

l Carga personalizada

Estas reglas controlan cuándo comienza y finaliza la carga de la batería. Si selecciona laCarga personalizada, puede ajustar manualmente el porcentaje de carga para comenzar yfinalizar la carga de la batería.

Límite de inicio decarga personalizadade la bateríaprincipal

Ajuste el porcentaje de carga de batería que debe alcanzarse para que el dispositivoempiece a cargar su batería.

Límite de finalizaciónde cargapersonalizada de labatería principal

Ajuste el porcentaje de carga de batería que debe alcanzarse para que el dispositivo finalicela carga de su batería.

Peak Shift (controlde batería en horasde alto consumo)

SeleccioneHabilitar para utilizar la función de Peak Shift y controlar cuándo utiliza eldispositivo la electricidad de la batería o de la corriente alterna. Peak Shift le permite utilizarla electricidad de la batería en lugar de la CA en momentos específicos.

Para ajustar el horario de la función Peak Shift, seleccione el icono del calendario.


93




Programación de lafunción Peak Shift

Los tres parámetros para la programación de Peak Shift controlan cuándo utiliza eldispositivo la batería o la corriente alterna y cuándo se carga la batería.

l Inicio de Peak Shift: ajuste la hora de comienzo de la función Peak Shift, en la que losdispositivos pasan a utilizar la alimentación de la batería.

l Finalización de Peak Shift: ajuste la hora de finalización de la función Peak Shift, en laque los dispositivos pasan a utilizar la alimentación de la CA.

l Inicio de carga de Peak Shift: ajuste la hora de comienzo de la carga para Peak Shift,en la que los dispositivos cargan las baterías utilizando la CA.

Umbral de batería dePeak Shift

Ajuste el porcentaje de carga de la batería que debe alcanzarse para que los dispositivosdejen de utilizar la alimentación de la batería y vuelvan a la CA.

El ajuste de Inicio de carga de Peak Shift controla la hora a la que los dispositivos carganlas baterías tras pasar a utilizar la CA.

Personalizado

Propiedades delsistema

Seleccione Agregar propiedades del sistema para agregar una propiedad del sistemapersonalizada. Seleccione el botón de nuevo para agregar más propiedades.

Estas propiedades son opciones avanzadas. Considere la posibilidad de revisar ladocumentación de Dell antes de usar estos ajustes.

Las propiedades del sistema anulan la configuración predefinida configurada en el perfil.

Clase Introduzca una clase y selecciónela en el menú desplegable.

Semuestra después de seleccionar Agregar propiedades del sistema.

Propiedad delsistema

Introduzca una propiedad del sistema y selecciónela en el menú desplegable.

Semuestra después de seleccionar Agregar propiedades del sistema.

Atributos del BIOS Seleccione Agregar atributo del BIOS para agregar un atributo del BIOS personalizado.Seleccione el botón de nuevo para agregar más atributos.

Estos atributos son opciones avanzadas. Considere la posibilidad de revisar ladocumentación de Dell antes de usar estos ajustes.

Los atributos del BIOS anulan la configuración predefinida configurada en el perfil.

Atributo del BIOS Introduzca un atributo del BIOS y selecciónelo en el menú desplegable.

Semuestra después de seleccionar Agregar atributo del BIOS.

Valor Seleccione un valor para el atributo del BIOS. Si no se indica un valor, el atributo del BIOSes de solo lectura.

Semuestra después de seleccionar Agregar atributo del BIOS.


94




Paquete de configuración

Paquete deconfiguración

Seleccione Cargar para agregar un paquete de configuración de Dell Command | Configure.Cargar un paquete le permite configurar varios dispositivos de Dell con una solaconfiguración.

Los paquetes de configuración anulan cualquier propiedad o atributo del sistemapersonalizado.

Si incluye las extensiones de archivo permitidas en una lista blanca, deberá agregar laextensión de archivo CCTK a esa lista blanca. Vaya a Grupos y ajustes > Todos los ajustes> Contenido > Opciones avanzadas > Extensiones de archivo para agregar la extensión dearchivo.


Configuración de un perfil de actualizaciones de OEM (escritorio de Windows)Configure los ajustes de actualización de OEM para determinados dispositivos para empresas de Dell con el perfil deactualizaciones de OEM. Este perfil requiere integración con Dell Command | Update.

El soporte para los ajustes del perfil de actualizaciones de OEM varía según el dispositivo de Dell. Workspace ONE UEMsolo inserta los ajustes que un dispositivo admite.

Para obtener más información sobre la configuración de la integración de Dell Command | Update, consulte Descripcióngeneral de Dell Command | Update en la página 109.

Requisitos previos

Solo se admiten dispositivos para empresas de Dell específicos. Para obtener más información, consulte Descripcióngeneral de Dell Command | Update en la página 109.

Procedimientos





5. Seleccione la carga útil de Actualizaciones de OEM y configure los siguientes ajustes:


Horario

Buscaractualizaciones

Seleccione el intervalo utilizado para comprobar si hay actualizaciones.


95




Día de la semana Seleccione el día de la semana para comprobar si hay actualizaciones.

Solo semuestra si Buscar actualizaciones está establecido en Semanal.

Día del mes Seleccione el día del mes para comprobar si hay actualizaciones.

Solo semuestra si Buscar actualizaciones está establecido enMensual.

Tiempo Seleccione la hora del día para comprobar si hay actualizaciones.

Actualizarcomportamiento

Seleccione las acciones que se realizarán cuando se busquen actualizaciones.

l Seleccione Examinar Notificar para buscar actualizaciones y avisar al usuario de que hayactualizaciones disponibles.

l Seleccione Examinar Descargar Notificar para buscar actualizaciones, descargar las quehaya disponibles y avisar al usuario de que hay actualizaciones por instalar.

l Seleccione Examinar Notificar Aplicar Reiniciar para buscar actualizaciones, descargar lasque haya disponibles, instalarlas y reiniciar el dispositivo.

Retraso dereinicio

Seleccione el tiempo que el dispositivo va a demorar el reinicio después de descargar lasactualizaciones.

Nivel

Actualizacionesurgentes

SeleccioneHabilitar para aplicar las actualizaciones urgentes en el dispositivo.

Actualizacionesrecomendadas

SeleccioneHabilitar para aplicar las actualizaciones recomendadas en el dispositivo.

Actualizacionesopcionales

SeleccioneHabilitar para aplicar las actualizaciones opcionales en el dispositivo.

Tipo de actualización

Controladoresde hardware

SeleccioneHabilitar para aplicar las actualizaciones de controladores de hardwareproporcionadas por el OEM en el dispositivo.

Software de laaplicación

SeleccioneHabilitar para aplicar las actualizaciones de software de la aplicación proporcionadaspor el OEM en el dispositivo.

Actualizacionesdel BIOS

SeleccioneHabilitar para aplicar las actualizaciones del BIOS proporcionadas por el OEM en eldispositivo.

Considere la posibilidad de inhabilitar las contraseñas del BIOS en caso de que quiera utilizar elperfil de actualizaciones de OEM para administrar las actualizaciones del BIOS. Algunasactualizaciones del BIOS piden al usuario que introduzca la contraseña del BIOS.

Actualizacionesdel firmware

SeleccioneHabilitar para aplicar las actualizaciones de firmware proporcionadas por el OEM enel dispositivo.

Software deutilidad

SeleccioneHabilitar para aplicar las actualizaciones de software de utilidad proporcionadas porel OEM en el dispositivo.


96




Otro SeleccioneHabilitar para aplicar otras actualizaciones proporcionadas por el OEM en eldispositivo.

Categorías del dispositivo

archivos de SeleccioneHabilitar para aplicar las actualizaciones de dispositivo de audio proporcionadas porel OEM en el dispositivo.

Conjunto dechips

SeleccioneHabilitar para aplicar las actualizaciones de dispositivo de conjunto de chipsproporcionadas por el OEM en el dispositivo.

Entrada SeleccioneHabilitar para aplicar las actualizaciones de dispositivo de entrada proporcionadaspor el OEM en el dispositivo.

Red SeleccioneHabilitar para aplicar las actualizaciones de dispositivos de red proporcionadas por elOEM en el dispositivo.

Almacenamiento SeleccioneHabilitar para aplicar las actualizaciones de dispositivos de almacenamientoproporcionadas por el OEM en el dispositivo.

Vídeo SeleccioneHabilitar para aplicar las actualizaciones de dispositivo de vídeo proporcionadas porel OEM en el dispositivo.

Otros SeleccioneHabilitar para aplicar otras actualizaciones de dispositivo proporcionadas por el OEMen el dispositivo.


Uso de ajustes personalizados (escritorio de Windows)La carga útil de ajustes personalizados es una forma de utilizar la funcionalidad del escritorio deWindows con la queWorkspace ONE UEM no es compatible mediante sus cargas útiles nativas. Si no desea utilizar las nuevas funciones,puede utilizar la carga útilAjustes personalizados y el código XML para habilitar o inhabilitar manualmente ciertosajustes.

Considere la posibilidad de visitar https://vmwarepolicybuilder.com para saber cómo crear su XML de perfilpersonalizado.

Requisitos

Debe escribir su propio código SyncML para los perfiles de escritorio deWindows. Microsoft publica un sitio de referenciadel proveedor de servicios de configuración que está disponible en su sitio web.

Código de ejemplo:

<characteristic>

<Replace>

<CmdID>2</CmdID>

<Item>


97



https://vmwarepolicybuilder.com/

<Target>

<LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>

</Target>

<Meta>

<Format xmlns="syncml:metinf">chr</Format>

</Meta>

<Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_

htcwkw4rx2gx4!App"}</Data>

</Item>

</Replace>

</characteristic>

Procedimiento

Para configurar una carga útil personalizada:





5. Configure la carga útil apropiada (por ejemplo, Restricciones o Código de acceso).

Puede trabajar con una copia del perfil, guardada en un grupo organizativo de “prueba”, para evitar que hayausuarios afectados antes de que esté listo para Guardar y publicar.

6. UtiliceGuardar, pero no publique el perfil.

7. Seleccione el botón de radio de Perfiles > Vista en lista para la fila del perfil que desee personalizar.

8. Seleccione el botón XML situado en la parte superior para ver el perfil X.

9. Busque la sección de texto que empieza por <característica>... <característica> que ha configurado previamente,como, por ejemplo, Restricciones o Código de acceso. La sección contiene un tipo de configuración que identifica supropósito, tal como restricciones.

10. Copie esta sección de texto y cierre la vista de XML. Abra su perfil.

11. Seleccione la carga útilAjustes personalizados y después Configurar.

a. Pegue el XML que ha copiado en el cuadro de texto Ajustes de instalación. El código XML que pegue debecontener todo el bloque de código, desde <[característica]> hasta </[característica]>.

b. Agregue el código de eliminación al cuadro de texto Suprimir ajustes. El código de eliminación debe contener<replace></replace> o <delete></delete .

Este código habilita la funcionalidad Workspace ONE UEM, como Eliminar perfil y Desactivar perfil. Sin el códigode eliminación no puede eliminar el perfil de los dispositivos además de enviar un segundo perfil de ajustespersonalizados.


98



Para obtener más información, consulte https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference.

12. Elimine la carga útil configurada originalmente seleccionando la sección de cargas útiles básicas y el botón menos [-].Ahora puedemejorar el perfil agregando el código XML personalizado para la nueva funcionalidad.

Importante: Cualquier dispositivo que no haya sido actualizado a la versión más reciente ignorará cualquiermejora que usted haya creado. Como el código ahora está personalizado, pruebe los perfiles de dispositivos conversiones anteriores para verificar el comportamiento esperado.


Impedir que los usuarios inhabiliten el servicio de AirWatch

Utilice un perfil de ajustes personalizados para impedir que los usuarios finales inhabiliten el servicio de AirWatch en susdispositivos Windows 10. Si se impide que los usuarios finales inhabiliten el servicio de AirWatch, AirWatch Unified Agentejecuta comprobaciones periódicamente con Workspace ONE UEM Console y recibe las actualizaciones de políticas másrecientes.

Para impedir que los usuarios inhabiliten el servicio de AirWatch:

1. Cree un perfil de ajustes personalizados. Para obtener más información, consulte Uso de ajustes personalizados(escritorio deWindows) en la página 97.

2. Establezca Destino en Protection Agent.

3. Copie el siguiente código y péguelo en el cuadro de texto Ajustes personalizados:

<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">

<characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-

6fd5eef38174">

<parm name="LockDownAwService" value="True"/>

</characteristic>

</wap-provisioningdoc>


Si desea eliminar la restricción de los dispositivos de usuarios finales, deberá insertar un perfil aparte con el siguientecódigo:

<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">

<characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-

6fd5eef38174">

<parm name="LockDownAwService" value="False"/>

</characteristic>

</wap-provisioningdoc>


99



https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference

https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference

Capítulo 4:Políticas de conformidadEl motor de conformidad es una herramienta automática deWorkspace ONE ™ ™ UEM que garantiza que todos losdispositivos cumplan las políticas implantadas. Estas políticas pueden incluir ajustes básicos de seguridad, comocontraseñas o un periodo mínimo de bloqueo de dispositivo. En algunas plataformas también puede decidir si quiereconfigurar o imponer ciertas medidas. Tales medidas incluyen configurar la seguridad de la contraseña, incluirdeterminadas aplicaciones en una lista negra y exigir intervalos de verificación del dispositivo para garantizar que losdispositivos estén protegidos y en contacto con Workspace ONE UEM.

Una vez que se hayan detectado los dispositivos que no cumplen con las políticas de conformidad, el motor deconformidad comenzará a advertir a los usuarios de que necesitan corregir los errores para prevenir accionesdisciplinarias en el dispositivo. Por ejemplo, el motor de conformidad puede enviar un mensaje para notificar al usuarioque su dispositivo no cumple con las políticas de conformidad.

Además, los dispositivos que no cumplen con las políticas de conformidad no pueden tener perfiles de dispositivosasignados ni aplicaciones instaladas. Si no se realizan correcciones en el tiempo especificado, el dispositivo perderáacceso al contenido y funciones que usted defina. Las políticas de conformidad y acciones disponibles varían según laplataforma.

Para obtener más información sobre las políticas de conformidad, como las políticas y acciones que son compatibles conuna plataforma específica, consulte la Guía de VMware AirWatch para la administración de dispositivos móviles,disponible en docs.vmware.com.

Detección de dispositivos comprometidos con atestación de estadoLa atestación de estado escanea los dispositivos durante el inicio para verificar si existen errores en su integridad. Utilicela atestación de estado para detectar dispositivos de escritorio deWindows comprometidos.

En las implementaciones de dispositivos tanto de propiedad corporativa como BYOD, es importante saber que estos nose encuentran comprometidos cuando acceden a los recursos corporativos. El servicio de atestación de estado deWindows accede a la información de arranque de los dispositivos desde la nube a través de comunicaciones seguras. Estainformación semide y revisa en comparación con puntos de datos relacionados para garantizar que el dispositivo seinició como se esperaba y no es víctima de amenazas o ataques contra su seguridad. Estas medidas incluyen arranqueseguro, integridad de código, BitLocker y administrador de arranque.

Workspace ONE UEM le permite configurar el servicio de atestación de estado deWindows para garantizar laconformidad de los dispositivos. Si alguna de las comprobaciones habilitadas es errónea, el motor de políticas deconformidad deWorkspace ONE UEM tomará las medidas de seguridad según la política de conformidad configurada.Esta funcionalidad le permitemantener los datos empresariales protegidos frente a dispositivos comprometidos. ComoWorkspace ONE UEM recupera la información necesaria del hardware del dispositivo y no del sistema operativo, losdispositivos comprometidos se detectan incluso cuando el kernel del sistema operativo está comprometido.

Configuración de la atestación de estado para las políticas de conformidad del escritorio de Windows

Mantenga sus dispositivos protegidos utilizando el servicio de atestación de estado deWindows para la detección dedispositivos comprometidos. Este servicio permite queWorkspace ONE UEM revise la integridad de los dispositivos

Capítulo 4: Políticas de conformidad

100



durante su inicio y realice acciones rectificadoras.

Para obtener más información, consulte el artículo deMicrosoft TechNet sobre atestación de estado.

Para utilizar la detección de dispositivos comprometidos:

1. Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows >Atestación de estado de Windows.

2. (Opcional) SeleccioneUsar servidor personalizado si utiliza un servidor local personalizado con Atestación deestado. Introduzca la URL del servidor.

3. Configure los ajustes de Atestación de estado:


Definición del estado comprometido

Usar el servidorpersonalizado

Seleccione esta opción con el fin de configurar un servidor personalizado para la atestación deestado.

Esta opción requiere un servidor con Windows Server 2016 o posterior.

Si se habilita esta opción, semuestra el campo URL del servidor.

URL del servidor Introduzca la URL de su servidor de atestación de estado personalizado.

Arranque seguroinhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el arranqueseguro esté inhabilitado en el dispositivo.

El arranque seguro obliga al sistema a arrancar en un estado de fábrica confiable. Si elarranque seguro está habilitado, los componentes principales usados para arrancar lamáquina deben tener las firmas criptográficas correctas en las que confía el OEM. El firmwareUEFI comprueba la confianza antes de permitir que se inicie la máquina. El arranque seguroimpide el inicio si detecta cualquier archivo manipulado.

La clave deidentidad AIK noestá presente

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la clave deidentidad AIK no esté presente en el dispositivo.

Si la clave de identidad de la atestación (AIK) está presente en un dispositivo, indica que estetiene un certificado de clave de aprobación (EK). Es más confiable que un dispositivo sincertificado de EK.

Política deprevención deejecución dedatos (DEP)inhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la prevenciónde ejecución de datos esté inhabilitada en el dispositivo.

La política de prevención de ejecución de datos (DEP) es una función de protección dememoria integrada en el SO del sistema. La política impide la ejecución de código de páginasde datos como montones predeterminados, pilas y bloques dememoria. DEP es obligatoriotanto el hardware como en el software.

BitLockerinhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el cifrado deBitLocker esté inhabilitado en el dispositivo.


101




Comprobación deintegridad decódigoinhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de integridad de código esté inhabilitada en el dispositivo.

La integridad de código es una función que valida la integridad de un controlador o archivo delsistema cada vez que se carga en la memoria. Comprueba los controladores o archivos delsistema no firmados antes de cargarlos en el kernel. Esta comprobación también analiza si hayusuarios con privilegios que ejecuten archivos de sistema modificados mediante softwaremalintencionado.

Antimalware deinicio tempranoinhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de antimalware de inicio temprano esté inhabilitada en el dispositivo.

Todas las comprobaciones de antimalware de inicio temprano (ELAM) proporcionanprotección a los ordenadores de la red cuando se inician y al inicializar controladores deterceros.

Verificación de laversión de laintegridad decódigo

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de la versión de la integridad de código falle.

Verificar versiónde laadministración dearranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de la versión de la administración de arranque falle.

Comprobacióndel número de laversión deseguridad de laaplicación dearranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número deversión de seguridad de la aplicación de arranque no corresponda al número introducido.

Comprobacióndel número deversión deseguridad deladministrador dearranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número deversión de seguridad del administrador de arranque no corresponda al número introducido.

Configuraciónavanzada

Habilite esta opción para configurar los ajustes avanzados en la sección Identificadores deversión del software.

Identificadores de versión del software

Verificación delHash de lapolítica deintegridad decódigo

Habilite esta opción para definir una lista blanca de valores de hash válidos conocidos para elsoftware de integridad de código. Si el hash no es un valor que está en la lista blanca, laconformidad de la atestación de estado falla.


102




Comprobación dehash de lapolítica deconfiguración delarranque seguro

Habilite esta opción para definir una lista blanca de valores de hash válidos conocidos para elsoftware de configuración de arranque seguro. Si el hash no es un valor que está en la listablanca, la conformidad de la atestación de estado falla.

Comprobación dePCR0

Habilite esta opción para definir una lista blanca demediciones válidas conocidas para elsoftware de comprobación de PCR0. Esta medición comprueba el código de confianza delBIOS para asegurar que no se ha puesto en peligro. Si la medición no es un valor que está en lalista blanca, la conformidad de la atestación de estado falla.

4. SeleccioneGuardar.

Capítulo 5:Resumen de las aplicaciones de escritoriode WindowsPuede utilizar las aplicaciones deWorkspace ONE UEM y las características deMDM deWorkspace ONE UEM paraproteger aún más los dispositivos y configurarlos con una mayor funcionalidad.

Utilice VMware Content Locker para proteger el contenido corporativo en los dispositivos móviles e implementeVMware Browser para ofrecer navegación segura en la web a los usuarios finales. Descargue el AirWatch Unified Agentpara Windows con el fin de supervisar los dispositivos a un nivel más detallado.

Para implementar aplicaciones Win32 en dispositivos de escritorio deWindows, es necesario que AirWatch Unified Agentesté presente en dichos dispositivos.

Para obtener más información sobre la implementación de aplicaciones públicas, internas y compradas, incluido uncatálogo de aplicaciones, consulte la completa Guía de VMware AirWatch para la administración de aplicacionesmóviles.

Importante: Todas las aplicaciones públicas implementadas en dispositivos de Escritorio deWindows sonaplicaciones sin administrar. Las aplicaciones sin administrar no pueden insertarse en los dispositivos (los usuariosfinales deben descargar la aplicación por su cuenta), ni tampoco pueden quitarse de los dispositivos medianteeliminación empresarial.

VMware Workspace ONE para escritorio de WindowsCuando la aplicación Workspace ONE está instalada en los dispositivos, los usuarios pueden iniciar sesión enWorkspace ONE para acceder de forma segura al catálogo de aplicaciones que la organización haya habilitado para ellos.Cuando se configura la aplicación con el inicio de sesión único, los usuarios no tienen que volver a introducir suscredenciales de inicio de sesión al lanzar la aplicación.

Capítulo 5: Resumen de las aplicaciones de escritorio de Windows

103



La interfaz de usuario deWorkspace ONE funciona del mismo modo en teléfonos, tabletas y equipos de escritorio.Workspace ONE se abre en una página de inicio quemuestra los recursos que se han publicado en Workspace ONE. Losusuarios pueden tocar o hacer clic para buscar, agregar y actualizar aplicaciones. Para eliminar una aplicación de lapágina, basta con hacer clic con el botón derecho en ella. Para agregar recursos autorizados, solo tiene que acceder a lapágina del catálogo.

Si una aplicación requiere la inscripción de un dispositivo, Workspace ONE utiliza la administración adaptable para iniciarel proceso para el usuario final. Para obtener más información sobreWorkspace ONE, consulte el artículo "Setting up theVMwareWorkspace ONE Application on Devices" disponible en VMware Identity Manager Documentation Center(https://docs.vmware.com).

Configuración de AirWatch Unified Agent en dispositivos de WindowsAirWatch Unified Agent para dispositivos deWindows viene preconfigurado con AirWatch. Cambie estos ajustes cuandonecesite que AirWatch Unified Agent se adapte a necesidades determinadas de la empresa.

Puede impedir que los usuarios finales inhabiliten el servicio de AirWatch en sus dispositivos con un perfil de XMLpersonalizado. Para obtener más información, consulte Impedir que los usuarios inhabiliten el servicio de AirWatch en lapágina 99.

Vaya a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows > Ajustesdel Hub para editar los ajustes de AirWatch Unified Agent:

l Configure los ajustes de Agente moderno para que AirWatch Unified Agent transmita los datos deseados a la consolade AirWatch:


Intervalo deheartbeat(min)

Define el intervalo con el que Hub deWorkspace ONE Intelligent y la consola deWorkspace ONE UEM confirman que la conexión está disponible y se sincronizan.

Intervalo demuestra dedatos (min)

Define el intervalo al que Hub deWorkspace ONE Intelligent tomamuestras de datos.

Código deaccesoadministrativo

Establece el código de acceso para acceder a los ajustes administrativos del dispositivo.

Seguridad delcanal de MDM

Define la seguridad de la capa de aplicaciones entreWorkspace ONE UEM yAirWatch Unified Agent. Este canal seguro utiliza el certificado de inscripción para firmar, cifrar ofirmar y cifrar las comunicaciones entre la consola de UEM y Hub deWorkspace ONE Intelligent.

l Configure los ajustes de AirWatch Protection Agent para garantizar una comunicación rápida entre el dispositivo y laconsola de AirWatch.


Intervalo demuestra de datos(min)

Define el intervalo con el que AirWatch Protection Agent tomamuestras dedatos.

l Configure los ajustes de Administración remota para permitir la comunicación entre AirWatch Unified Agent y el


104



https://docs.vmware.com/

servidor de administración remota.

Para obtener más información, consulte la guía VMware AirWatch Remote Management Guide.


Descargar CAB decontrol remoto

Seleccione este vínculo para descargar el archivo CAB del instalador deWorkspace ONE UEM RemoteManagement.

Pedir permiso Habilite la opción Pedir permiso si quiere pedir al usuario final que acepte o rechace lasolicitud de administración remota del administrador.

o Introduzca unmensaje de petición de permiso que el usuario final verá cuando seenvíe una solicitud remota.

o Introduzca el mensaje de la leyenda de Sí del botón de aceptación que el usuario finalverá en la solicitud de petición de permiso.

o Introduzca el mensaje de la leyenda deNo del botón de rechazo que el usuario finalverá en la solicitud de petición de permiso.

Avanzado

Puerto deadministraciónremota

Introduzca el puerto utilizado para la comunicación entre el Hub de administración remotay el agente de Tunnel en el dispositivo del usuario final.

Este puerto es el responsable de almacenar en caché las diferentes tramas del dispositivopara utilizarlas con la función de compartir la pantalla. El puerto predeterminado es 7775.Es aconsejable no cambiarlo a menos que su organización use el puerto 7775 para otrosfines.

Nivel del registro dedispositivos

Ajuste el nivel del registro de dispositivos para controlar el nivel de detalle de la aplicaciónde administración remota en el dispositivo.

Ruta de la carpeta deregistro

Defina la ruta de la carpeta de registro en la que la aplicación guarda el archivo de registrode administración remota en el dispositivo.

Mostrar icono debandeja

HabiliteMostrar icono de bandeja para mostrar el applet de administración remota en eldispositivo.

Cantidad máxima desesiones

Introduzca el número máximo de sesiones simultáneas permitidas en un dispositivo.

Cantidad dereintentos

Introduzca el número de reintentos permitidos antes de que los intentos de comunicaciónse detengan.

Frecuencia dereintentos (ensegundos)

Intervalo de tiempo entre intentos de comunicación.

Intervalo deHeartbeat (segundos)

Introduzca el tiempo (en segundos) que pasa entre las actualizaciones de estado que seenvían desde el dispositivo.

Frecuencia deintentos cuando sepierde la conexión(en segundos)

Introduzca la cantidad de tiempo (en segundos) que pasa entre los intentos pararestablecer la conexión.


105



VMware Content Locker para dispositivos de escritorio de WindowsVMware Content Locker es una aplicación que permite a los usuarios finales acceder a contenido importante de losdispositivos, al tiempo que garantiza la seguridad de los archivos para la organización.

Desde VMware Content Locker, los usuarios finales tienen acceso al contenido que se carga en la consola de UEM, alcontenido procedente de repositorios corporativos sincronizados o a su propio contenido personal.

Utilice la consola de UEM para agregar contenido, sincronizar repositorios y configurar las acciones que los usuariosfinales pueden realizar en contenido abierto en la aplicación. Estas configuraciones impiden que el contenido se copie,comparta o guarde sin aprobación.

VMware Browser para escritorio de WindowsVMware Browser es una aplicación que ofrece una alternativa administrable y segura a los navegadores de web nativos.Puede asegurar la experiencia de navegación en el nivel de aplicación, túnel y sitio web.

Puede configurar VMware Browser para que cumpla necesidades empresariales exclusivas restringiendo el acceso web alos sitios web y proporcionando un portal de Internet seguro para dispositivos de puntos de venta móviles. Proporcionea los usuarios una experiencia unificada de navegación, incluido el soporte para navegación con múltiples pestañas ycuadros de diálogo de JavaScript.

Para obtener más información sobre cómo preparar y configurar el VMware Browser para su implementación, consulte laGuía de VMware AirWatch Browser.


106



Capítulo 6:Integración de Dell Command | MonitorIntegreWorkspace ONE UEM con Dell Command | Monitor para mejorar la información queWorkspace ONE UEMrecopila de los dispositivos para empresas de Dell inscritos. Esta integración también le permite seleccionar laconfiguración del BIOS del dispositivo.

Puntos básicosLa integración con Dell Command | Monitor permitemejorar la administración de los dispositivos para empresas de Dell.Gracias a esta integración, Workspace ONE UEM proporciona información acerca del estado demantenimiento de labatería del dispositivo y de algunos ajustes del BIOS.

Dispositivos compatiblesl Sobremesas Dell OptiPlex™

l Sobremesas y portátiles Dell Precision Workstation™

l Portátiles Dell Latitude™

Adición de Dell Command | Monitor a Workspace ONE UEMPara integrar Dell Command | Monitor con Workspace ONE UEM, agregue el programa como una aplicación Win32interna en Workspace ONE UEM Console. Para obtener más información, consulte Adición de Dell Command | Monitor aWorkspace ONE UEM en la página 108.

Perfil del BIOSConfigure algunos ajustes del BIOS de los dispositivos para empresas de Dell con un perfil de BIOS. La configuración lepermite controlar la virtualización de hardware y la seguridad del BIOS. Para obtener más información, consulteConfiguración de un perfil de BIOS (escritorio deWindows) en la página 91

107



Estado de mantenimiento de la bateríaEl estado demantenimiento general de una batería afecta a la vida útil de un dispositivo. Gracias aDell Command | Monitor, puede supervisar el estado demantenimiento de las baterías de los dispositivos paraempresas de Dell. Este estado demantenimiento no muestra la carga actual de la batería, pero informa acerca de lacapacidad para mantener la carga, del tiempo necesario para completar una carga y de otros factores expresados comoporcentaje. Según Dell, cualquier batería con un estado demantenimiento por debajo del 25% debería sustituirse.

Adición de Dell Command | Monitor a Workspace ONE UEMAgregue Dell Command | Monitor a Workspace ONE UEM Console para mejorar la administración de los dispositivospara empresas de Dell. El perfil de BIOS requiere esta aplicación antes del envío a los dispositivos.

Requisitos previos

Debe permitir que la distribución del software envíe Dell Command | Monitor a los dispositivos.

Procedimientos

Para agregar Dell Command | Monitor:

1. Navegue a la página http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor y descargue la última versión de Dell Command | Monitor.

2. Abra el archivo EXE y seleccione Extraer. Guarde los archivos extraídos en una carpeta.

3. Navegue a la carpeta y busque el archivo MSI.

4. En la consola de UEM, agregue el archivo MSI extraído como una aplicación interna. Asegúrese de que define laarquitectura de procesador compatible en 32 o 64 bits según cuál sea el sistema operativo del dispositivo.

En la pestaña Opciones de implementación, defina el campo Privilegios de administrador en Sí.

5. Agregue una asignación de la aplicación a los dispositivos para empresas de Dell.

La aplicación se descargará e instalará en los dispositivos asignados. Además, podrá enviar perfiles de BIOS.

Capítulo 6: Integración de Dell Command | Monitor

108



http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor


Capítulo 7:Descripción general de DellCommand | UpdateDell Command | Update es un software de administración del lado del cliente que forma parte de Dell Client CommandSuite. Este software permite actualizar el firmware, los controladores y las aplicaciones de los dispositivos de Dellcompatibles.

Puntos básicosIntegreWorkspace ONE UEM con Dell Command | Update para mejorar la administración de actualizaciones dedispositivos para empresas de Dell. Si lo hace, podrá actualizar firmware, controladores y otras aplicaciones de formaremota. Podrá controlar cuándo y qué tipos de actualizaciones se van a implementar en los dispositivos.

Dispositivos compatiblesl Sobremesas Dell OptiPlex™

l Sobremesas y portátiles Dell Precision Workstation™

l Portátiles Dell Latitude™

Adición de Dell Command | Update a Workspace ONE UEMPara integrar Dell Command | Update con Workspace ONE UEM, agregue la aplicación como una aplicación Win32interna aWorkspace ONE UEM Console. Para obtener más información, consulte Adición de Dell Command | Update aWorkspace ONE UEM en la página 110.

Configuración del perfil de actualizaciones de OEMConfigure el perfil de actualizaciones de OEM para habilitar Dell Command | Update en los dispositivos de los usuariosfinales. Para obtener más información, consulte Configuración de un perfil de actualizaciones de OEM (escritorio de

109



Windows) en la página 95.

Adición de Dell Command | Update a Workspace ONE UEMPara mejorar la administración de los dispositivos para empresas de Dell, agregue Dell Command | Update aWorkspace ONE UEM Console. El perfil de actualizaciones de OEM requiere esta aplicación antes del envío a losdispositivos.

Requisitos previos

Debe permitir que la distribución del software envíe Dell Command | Update a los dispositivos.

Procedimientos

Para agregar Dell Command | Update:

1. Vaya a http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7534.dell-command-update y descarguela última versión de Dell Command | Update.

2. En la consola de UEM, agregue el archivo EXE como una aplicación interna. Asegúrese de que define la arquitecturade procesador compatible en 32 o 64 bits según cuál sea el sistema operativo del dispositivo.

En la pestaña Opciones de implementación, defina el campo Privilegios de administrador en Sí.

3. Agregue una asignación de la aplicación a los dispositivos para empresas de Dell.

La aplicación se descargará e instalará en los dispositivos asignados. Además, podrá enviar perfiles de actualización deOEM.

Capítulo 7: Descripción general de Dell Command | Update

110




Capítulo 8:Administración de dispositivos deescritorio de WindowsUna vez que los dispositivos se inscriban y configuren, adminístrelos con Workspace ONE ™™UEM cConsole. Susherramientas y funciones de administración le permiten supervisar los dispositivos y realizar funciones administrativasde forma remota.

Puede administrar todos los dispositivos desde la consola de UEM. El tablero permite realizar búsquedas y vistaspersonalizadas que puede utilizar para filtrar y encontrar dispositivos específicos. Esta función simplifica la ejecución defunciones administrativas en un conjunto determinado de dispositivos. La Vista en lista de dispositivos muestra todoslos dispositivos que se encuentran actualmente inscritos en su entorno deWorkspace ONE UEM, así como su estado. Lapágina Detalles del dispositivo proporciona información específica de los dispositivos, como los perfiles, las aplicaciones,la versión de Hub deWorkspace ONE Intelligent y la versión de servicio OEM que está instalada en el dispositivo.También puede realizar acciones remotas en el dispositivo desde la página Detalles del dispositivo que sea específica paratal dispositivo.

Tablero de dispositivosAmedida que se inscriban los dispositivos, podrá verlos y administrarlos desde el Tablero de dispositivos deWorkspace ONE ™ UEM. El Tablero de dispositivos proporciona una vista de alto nivel de toda la flota y permite realizaracciones en cada dispositivo rápidamente.

Puede ver las representaciones gráficas de la información importante de los dispositivos de la flota, tal como el tipo depropiedad de los dispositivos, las estadísticas de conformidad y el análisis de plataformas y sistemas operativos. Puedeacceder a cada conjunto de dispositivos en las categorías presentes seleccione cualquiera de las vistas de datosdisponibles en el Tablero de dispositivos.

En la Vista de lista, puede realizar acciones administrativas: envío demensajes, bloqueo de dispositivos, eliminación dedispositivos y cambio de grupos asociados con el dispositivo.

Vista de lista de dispositivosSeleccioneDispositivos > Vista de lista para ver una lista completa de todos los dispositivos.

111



La columna Última detecciónmuestra un indicador del número deminutos transcurridos desde el último registro deldispositivo.

Puede seleccionar un dispositivo en la columna Información general en cualquier momento para abrir la página dedetalles del dispositivo.

Además, puede ordenar las columnas y configurar los filtros de información para revisar la actividad del dispositivo segúnla información específica. Por ejemplo, ordene la columna por Estado de conformidad para ver solamente losdispositivos que no están en estado de conformidad y para aplicar medidas solo en ellos. Busque un nombre común onombre de usuario en todos los dispositivos para aislar un dispositivo o usuario específico.

Cómo personalizar el diseño de la Vista de lista de dispositivos

Visualice toda la lista de columnas visibles en la vista Lista de dispositivos seleccionando el botón Diseño y la opciónPersonalizado. Esta vista le permitemostrar u ocultar las columnas de la Lista de dispositivo según sus preferencias.

También hay una opción para aplicar su vista de columnas personalizada a todos los administradores. Por ejemplo,puede ocultar "Numero de activo" de la Lista de dispositivos.

Una vez que haya completado todas las personalizaciones, seleccione el botón Aceptar para guardar sus preferencias yaplicar esta nueva vista de columnas. Puede regresar a la configuración del botón Diseño en cualquier momento pararetocar las preferencias de visualización de las columnas.

Cómo buscar en la Vista de lista de dispositivos

Puede buscar un solo dispositivo para acceder a su información demanera rápida y así tomar medidas o acciones adistancia sobre el dispositivo.

Para realizar una búsqueda, navegue a Dispositivos > Vista de lista, seleccione la barra Buscar en lista e introduzca unnombre de usuario, un nombre común del dispositivo o cualquier otro elemento para identificarlo. Con esta acción seiniciará una búsqueda en todos los dispositivos empleando sus parámetros de búsqueda.

Página de detalles de dispositivos de escritorio de WindowsUtilice la página de detalles del dispositivo para controlar la información detallada del dispositivo y tener acceso rápido alas acciones de administración del usuario y el dispositivo.

Para tener acceso a la página Detalles del dispositivo, puede seleccionar el nombre común del dispositivo en la vista enlista de dispositivos, o bien usar uno de los tableros o cualquiera de las herramientas de búsqueda.

Desde la página de detalles del dispositivo, puede acceder a información específica del dispositivo, la cual aparecedetallada en diferentes pestañas del menú. Cada pestaña del menú contiene información relacionada con el dispositivosegún la implementación deWorkspace ONE UEM.

Acciones remotas

El desplegable deMás acciones de la página Detalles del dispositivo le permite realizar acciones remotas de formainalámbrica en el dispositivo seleccionado.

Las acciones mencionadas varían según ciertos factores como la plataforma del dispositivo, los ajustes deWorkspace ONE UEM Console y el estado de inscripción:

l Agregar etiqueta: permite asignar una etiqueta personalizable a un dispositivo que pueda identificar algúndispositivo especial de la flota.

Capítulo 8: Administración de dispositivos de escritorio de Windows

112



l Aplicaciones (consultas): permite enviar un comando de consulta MDM al dispositivo para obtener una lista de lasaplicaciones instaladas.

La acción Aplicaciones (consultas) requiere un inicio de sesión activo de un usuario inscrito.

l Certificados (consultas): ): permite enviar un comando de consulta MDM al dispositivo para obtener una lista de lascertificados instalados.Certificados (consultas)): : permite enviar un comando de consulta MDM al dispositivo paraobtener una lista de los certificados instalados..

Certificados (consultas) requiere un inicio de sesión activo de un usuario inscrito.

l Cambiar grupo organizativo: permite cambiar el grupo organizativo principal del dispositivo a otro que ya exista.Incluye una opción para seleccionar un grupo organizativo estático o dinámico.

l Eliminar dispositivo: permite eliminar y anular la inscripción de un dispositivo de la consola de UEM. Esta acciónrealiza una eliminación empresarial y elimina su representación en la consola de UEM.

l Información del dispositivo (consultas): permite enviar un comando de consulta MDM al dispositivo para obtenerinformación básica tal como el nombre común, la plataforma, el modelo, el grupo organizativo, la versión del sistemaoperativo y el estado de propiedad.

l Eliminación total de los dispositivos: permite enviar un comando MDM para el borrado completo de todos losdatos y el sistema operativo del dispositivo. Esta opción pone el dispositivo en un estado en el cual será necesaria lapartición de recuperación para volver a instalar el sistema operativo. Esta acción no se puede deshacer.

o En el caso de los dispositivos con iOS 11 y versiones anteriores, el comando Eliminación total de los dispositivostambién borrará los datos de la SIM de Apple asociados con los dispositivos.

o En dispositivos iOS 11 y superiores, tiene la opción de conservar el plan de datos SIM de Apple (si existe en losdispositivos). Para ello, seleccione la casilla Conservar el plan de datos en la página de eliminación total de losdispositivos antes de enviar el comando de eliminación total.

o En dispositivos iOS 11.3 y superiores, tiene una opción adicional para habilitar o deshabilitar la omisión de lapantalla de Configuración de proximidadmientras se envía el comando de eliminación total. Cuando la opciónestá habilitada, la pantalla de Configuración de proximidad se omitirá en el Asistente de configuración, lo queimpide que el usuario del dispositivo vea la opción Configuración de proximidad.

l Editar dispositivo: permite editar la información del dispositivo, como Nombre común, Número de activo,Propiedad del dispositivo, Grupo de dispositivos y Categoría del dispositivo.

l Eliminación empresarial: la eliminación empresarial de un dispositivo anula la inscripción y elimina todos losrecursos empresariales, incluidas las aplicaciones y perfiles. Esta acción no se puede anular, y tendrá que inscribirsede nuevo en Workspace ONE UEM para volver a administrar el dispositivo. Incluye opciones para evitar inscripcionesfuturas, así como un campo Descripción para que pueda agregar detalles importantes sobre la acción.

o La eliminación empresarial no es compatible con los dispositivos unidos a un dominio en la nube.

l Bloquear dispositivo: permite enviar un comando MDM para bloquear un dispositivo seleccionado que lo dejainutilizable hasta que lo desbloquee.

Importante: Al bloquear un dispositivo, el usuario inscrito debe haber iniciado sesión en el dispositivo para que elcomando se procese. El comando de bloqueo bloquea el dispositivo y se debe autenticar nuevamente a todos los


113



usuarios que hayan iniciado sesión en Windows. Si un usuario inscrito ha iniciado sesión en el dispositivo, elcomando de bloqueo de dispositivo bloquea el dispositivo. Si ningún usuario inscrito ha iniciado sesión, el comandode bloqueo de dispositivo no se procesa.

l Consultar todo: permite enviar un comando de consulta al dispositivo para obtener una lista de aplicacionesinstaladas (como Hub deWorkspace ONE Intelligent, si procede), libros, certificados, información del dispositivo,perfiles y medidas de seguridad.

l Reiniciar el dispositivo: permite reiniciar el dispositivo de forma remota para reproducir el efecto de apagarlo yencenderlo de nuevo.

l Administración remota: permite tomar el control de un dispositivo compatible de forma remota con esta acción. Seiniciará una aplicación en la consola que le permitirá solucionar problemas y proporcionar soporte al dispositivo.

l Seguridad (consultas): permite enviar un comando de consulta MDM al dispositivo para obtener la lista demedidasde seguridad activas (administrador del dispositivo, cifrado, código de acceso, certificados, etc.).

l Enviar mensaje: permite enviar un mensaje al usuario del dispositivo seleccionado. Elija entre Correo electrónico,Notificación push (a través de AirWatch Cloud Messaging) y SMS.

Administración remota avanzadaAdvanced RemoteManagement (ARM) le permite conectarse de forma remota a los dispositivos de los usuarios finalespara ayudar en la solución de problemas y el mantenimiento. ARM requiere que lel ordendor a computadora y eldispositivo del usuario final se conecten al servidor de administración remota para facilitar la comunicación entreWorkspace ONE UEM Console y el dispositivo del usuario final.

Para obtener más información sobre la instalación, la configuración y el uso de Advanced RemoteManagement, consultela Guía de VMware Workspace ONE UEM Advanced Remote Management, disponible en docs.vmware.com.

Resumen del aprovisionamiento de productosEl aprovisionamiento de productos le permite crear a través deWorkspace ONE ™™UEM productos que contienenperfiles, aplicaciones, archivos o acciones y acciones de evento (según la plataforma que utilice). Estos productos siguenuna serie de reglas, horarios y dependencias como directrices para garantizar que los dispositivos permanezcanactualizados con el contenido que necesitan.

El aprovisionamiento de productos también engloba el uso de servidores de retransmisión. Se trata de servidores FTPdiseñados para funcionar como enlace entre los dispositivos y UEM Console. Cree estos servidores para cada tienda oalmacén para guardar el contenido del producto que se distribuya a los dispositivos.

Para obtener más información sobre cómo utilizar el aprovisionamiento de productos con los dispositivos de escritoriodeWindows, consulte la guía Product Provisioning for Windows Desktop.


114



Guía de VMware AirWatch para la plataforma de escritorio ... · Inscripcióndeusuariobásico...

Documents

Transcript of Guía de VMware AirWatch para la plataforma de escritorio ... · Inscripcióndeusuariobásico...