Acciones automatizadas

En Endpoint Management, puede crear acciones automatizadas para programar una respuesta ante determinados eventos, ante propiedades de dispositivo o de usuario, o bien ante la existencia de ciertas aplicaciones en los dispositivos de usuario. Cuando crea una acción automatizada, los desencadenantes definidos para la acción determinan qué sucede en el dispositivo del usuario cuando este se conecta a Endpoint Management. Cuando un evento tiene lugar, usted puede enviar una notificación al usuario para que este corrija el problema antes de tomar medidas más terminantes.

Supongamos que quiere detectar una aplicación que ha incluido en la lista negra (por ejemplo, “Words with Friends”). Puede especificar un desencadenante que establezca el dispositivo del usuario como no conforme cuando se detecte “Words with Friends” en el dispositivo. La acción notifica a dicho usuario de que debe quitar la aplicación para que su dispositivo vuelva a la conformidad. También puede establecer un límite de tiempo de espera para que los usuarios realicen las acciones correctivas pertinentes. Después de ese límite de tiempo, se produce la acción definida (como borrar selectivamente el dispositivo).

Si el dispositivo de un usuario se coloca en el estado no conforme y el usuario arregla el problema, configure una directiva para implementar un paquete que restablezca el dispositivo a un estado de conformidad.

Los efectos automáticos que establezca varían entre:

  • Borrar totalmente o de forma selectiva el dispositivo.
  • Establecer el dispositivo como dispositivo que no cumple los requisitos.
  • Revocar el dispositivo.
  • Enviar una notificación al usuario para corregir el problema antes de tomar medidas más terminantes.

Las acciones de bloqueo y borrado de aplicaciones solo se pueden configurar en el modo de solo MAM.

Puede utilizar acciones automatizadas para marcar dispositivos Windows 10 unidos a Azure Active Directory como no conformes en Azure AD.

Nota:

Para poder notificar a los usuarios, primero debe configurar servidores de notificaciones en los parámetros de Endpoint Management para SMTP y SMS, de modo que Endpoint Management pueda enviar los mensajes. Para obtener más información, consulte Notificaciones. Además, deberá configurar las plantillas de notificaciones que vaya a utilizar antes de continuar. Para obtener información detallada, consulte Crear y actualizar plantillas de notificaciones.

Para agregar, modificar y filtrar acciones automatizadas:

  1. En la consola de Endpoint Management, haga clic en Configurar > Acciones. Aparecerá la página Acciones.

  2. En la página Acciones, lleve a cabo alguna de estas acciones:

    • Haga clic en Agregar para agregar una acción.
    • Seleccione una acción existente para modificarla o eliminarla. Haga clic en la opción pertinente.
  3. Aparecerá la página Información de la acción.

  4. En la página Información de la acción, escriba o modifique la información siguiente:

    • Nombre: Escriba un nombre para identificar la acción. Este campo es obligatorio.
    • Descripción: Describa qué debe hacer la acción.
  5. Haga clic en Siguiente. Aparecerá la página Detalles de la acción.

    En el siguiente ejemplo, se muestra cómo configurar un desencadenante de eventos. Si selecciona otro desencadenante, las opciones resultantes difieren de las mostradas aquí.

    Imagen de la pantalla de configuración Acciones

  6. En la página Detalles de la acción, escriba o modifique la información siguiente:

    En la lista Desencadenante, haga clic en el tipo de desencadenante de eventos para esta acción. El significado de cada desencadenante es el siguiente:

    • Evento: Reacciona ante un evento determinado.
    • Propiedad del dispositivo: Consulta un atributo en el dispositivo, recopilado en el modo de administración de dispositivos móviles y reacciona ante él. Para obtener más información, consulte el PDF Valores y nombres de propiedades de dispositivo.
    • Propiedad del usuario: Reacciona ante un atributo de usuario, generalmente de Active Directory.
    • Nombre de la aplicación instalada: Reacciona ante una aplicación instalada. No se aplica al modo solo MAM. Requiere que la directiva “Inventario de aplicaciones” esté habilitada en el dispositivo. De forma predeterminada, la directiva “Inventario de aplicaciones” está habilitada en todas las plataformas. Para obtener información detallada, consulte Directiva de inventario de aplicaciones.
    • Valor devuelto por la directiva: Comprueba si el valor devuelto por los scripts de PowerShell cumple determinados criterios lógicos. La directiva Agente Windows debe estar habilitada y configurada. Para obtener más información acerca de la directiva Agente Windows, consulte Directiva Agente Windows.
  7. En la siguiente lista, haga clic en la respuesta del desencadenante.

  8. En la lista Acción, haga clic en la acción que se debe realizar cuando se cumplan los criterios del desencadenante. A excepción de Enviar notificación, puede elegir un intervalo de tiempo en que los usuarios puedan resolver el problema que haya activado el desencadenante. Si el problema no se resuelve en ese período de tiempo, se llevará a cabo la acción seleccionada. Para ver la definición de las acciones, consulte Acciones de seguridad.

    Si elige Enviar notificación, use los siguientes pasos para enviar una acción de notificación.

  9. En la siguiente lista, seleccione la plantilla a utilizar para la notificación. Aparecerán las plantillas de las notificaciones pertinentes para el evento seleccionado. Si no hay plantilla para el tipo de notificación, se le solicitará que configure una plantilla con el mensaje: “No hay ninguna plantilla para este tipo de evento”. Cree una plantilla en Plantilla de notificación, en Parámetros.

    Para poder notificar a los usuarios, primero debe configurar servidores de notificaciones en “Parámetros” para SMTP y SMS, de modo que Endpoint Management pueda enviar los mensajes; consulte Notificaciones. Además, deberá configurar las plantillas de notificaciones que vaya a utilizar antes de continuar. Para obtener más información acerca de la configuración de las plantillas de notificaciones, consulte Crear y actualizar plantillas de notificaciones.

    Imagen de la pantalla de configuración Acciones

    Después de seleccionar la plantilla, puede obtener una vista previa de la notificación cuando hace clic en Vista previa del mensaje de notificación.

    Imagen de la pantalla de configuración Acciones

  10. En los siguientes campos, configure la demora en días, horas o minutos antes de realizar la acción. Establezca el intervalo durante el que se repite la acción hasta que el usuario solucione el problema que ha provocado la activación del desencadenante.

    Imagen de la pantalla de configuración Acciones

  11. En Resumen, verifique que la acción automatizada que ha creado es la acción esperada.

    Imagen de la pantalla de configuración Acciones

  12. Después de configurar los datos de la acción, puede configurar las reglas de implementación para cada plataforma individualmente. Para ello, siga el paso 13 para cada plataforma seleccionada.

  13. Configure las reglas de implementación. Para obtener más información sobre cómo configurar las reglas de implementación, consulte Implementar recursos.

    Para este ejemplo:

    • La propiedad del dispositivo debe ser BYOD.
    • El cifrado local del dispositivo debe ser Verdadero.
    • El dispositivo debe ser conforme con el código de acceso.
    • El código de país móvil del dispositivo no puede ser solo Andorra.
  14. Tras configurar las reglas de implementación de las plataformas para la acción, haga clic en Siguiente. Aparecerá la página de asignaciones de acciones, en la que puede asignar la acción a un grupo o grupos de entrega. Este paso es opcional.

  15. Junto a Elegir grupos de entrega, escriba el nombre de un grupo de entrega para buscarlo, o bien seleccione grupos de la lista. Los grupos que seleccione aparecerán en la lista Grupos de entrega a recibir asignaciones de aplicaciones.

  16. Expanda Programación de implementación y, a continuación, configure los siguientes parámetros:

    • Junto a Implementar, haga clic en para programar la implementación, o bien haga clic en No para cancelarla. La opción predeterminada es . Si elige No, no habrá ninguna otra opción a configurar.

    • Junto a Programación de implementación, haga clic en Ahora o en Más tarde. La opción predeterminada es Ahora.

    • Si hace clic en Más tarde, haga clic en el icono de calendario y seleccione la fecha y la hora previstas para la implementación.

    • Junto a Condición de implementación, puede hacer clic en En cada conexión o en Solo cuando haya fallado la implementación anterior. La opción predeterminada es En cada conexión.

    • Junto a Implementar para conexiones permanentes, haga clic en o No. La opción predeterminada es No.

      Esta opción se aplica cuando se ha configurado la clave de implementación en segundo plano para la programación. Esta opción se configura en Parámetros > Propiedades de servidor.

      Nota:

      Esta opción se aplica cuando se ha configurado la clave de implementación en segundo plano para la programación. Esta opción se configura en Parámetros > Propiedades de servidor.

      La opción permanente:

      • No está disponible para dispositivos iOS
      • No está disponible para Android, Android Enterprise y Chrome OS cuando se trata de clientes que comenzaron a usar Endpoint Management a partir de la versión 10.18.19 o posterior
      • No se recomienda para Android, Android Enterprise y Chrome OS cuando se trata de clientes que comenzaron a usar Endpoint Management antes de la versión 10.18.19.

      La programación de implementaciones que configure es la misma para todas las plataformas. Todos los cambios que se realicen se aplicarán a todas las plataformas, excepto la opción Implementar para conexiones permanentes.

  17. Haga clic en Siguiente. Aparecerá la página Resumen, donde puede comprobar la configuración de la acción.

  18. Haga clic en Guardar para guardar la acción.

Acciones de bloqueo y borrado de aplicaciones en el modo de solo MAM

Puede bloquear o borrar las aplicaciones de un dispositivo en respuesta a las cuatro categorías de desencadenantes que se enumeran en la consola de Endpoint Management: evento, propiedad de dispositivo, propiedad de usuario y nombre de aplicación instalada.

Para configurar el borrado o bloqueo automático de aplicaciones

  1. En la consola de Endpoint Management, haga clic en Configurar > Acciones.

  2. En la página Acciones, haga clic en Agregar.

  3. En la página Información de la acción, escriba un nombre para la acción y una descripción opcional.

  4. En la página Detalles de la acción, seleccione el desencadenante pertinente.

  5. En Acción, seleccione una acción.

    Para este paso, no olvide las siguientes condiciones:

    Si el tipo de desencadenante es Evento pero el valor no es Usuario de Active Directory inhabilitado, las acciones Borrado de aplicaciones y Bloqueo de aplicaciones no aparecerán.

    Si el tipo de desencadenante es Propiedad del dispositivo y el valor es Modo perdido de MDM habilitado, aparecerán las siguientes acciones:

    • Borrar datos selectivamente del dispositivo
    • Borrar datos completamente del dispositivo
    • Revocar el dispositivo

    Para cada opción, se establece una demora de 1 hora automáticamente, pero se puede seleccionar el período de demora en minutos, horas o días. La intención de la demora es dar tiempo a los usuarios para solucionar el problema antes de que ocurra la acción. Para obtener más información sobre las acciones Borrado de aplicaciones y Bloqueo de aplicaciones, consulte Acciones de seguridad.

    Nota:

    Si establece el desencadenante en Evento, el intervalo de repetición es automáticamente 1 hora como mínimo. Para recibir la notificación en el dispositivo, deben actualizarse las directivas en él, es decir, debe estar sincronizado con el servidor. Por lo general, un dispositivo se sincroniza con el servidor cuando los usuarios inician sesión o actualizan manualmente sus directivas a través de Secure Hub.

    También es posible que exista una demora de aproximadamente una hora antes de que la acción se lleve a cabo, para permitir que la base de datos de Active Directory se sincronice con Endpoint Management.

    Imagen de la pantalla de configuración Acciones

  6. Configure las reglas de implementación y, a continuación, haga clic en Siguiente.

  7. Configure las asignaciones de los grupos de entrega y una programación de la implementación. A continuación, haga clic en Siguiente.

  8. Haga clic en Guardar.

Para comprobar el estado del bloqueo o borrado de las aplicaciones

  1. Vaya a Administrar > Dispositivos, haga clic en un dispositivo y haga clic en Mostrar más.

    Imagen de la pantalla Administrar dispositivos

  2. Vaya a Borrado de aplicaciones de dispositivo y Bloqueo de aplicaciones de dispositivo.

    Imagen de la pantalla Administrar dispositivos

    Después de borrarse un dispositivo, se solicita al usuario que introduzca un código PIN. Si el usuario no consigue recordar el código, usted puede buscarlo en “Detalles del dispositivo”.

    Imagen de la pantalla Administrar dispositivos

Marcar dispositivos Windows 10 como no conformes en Azure AD

Cuando Endpoint Management marca como no conformes dispositivos Windows 10 unidos a Azure AD, estos dispositivos también se pueden marcar como no conformes en Azure AD. Para habilitar esta función, conceda permisos para que la aplicación MDM local acceda a la API de Microsoft Graph en el portal de Azure AD.

  1. Inicie sesión en el portal de Azure AD con sus credenciales de administrador de Azure AD.

  2. En el portal de Azure AD, vaya a Azure Active Directory > Movilidad (MDM y MAM). Elija Configuración de la aplicación MDM local.

  3. Haga clic en Configuración de la aplicación MDM local > Permisos necesarios > Agregar > Seleccionar una API > Microsoft Graph. Haga clic en Seleccionar y guarde la configuración.

  4. En Permisos necesarios, seleccione Microsoft Graph. En Habilitar acceso, seleccione Leer y escribir en datos de directorio.

  5. En Permisos necesarios, seleccione Microsoft Graph. Haga clic en Conceder permisos.

  6. Haga clic en para conceder los permisos.

A partir de entonces, cuando Endpoint Management marque como no conforme un dispositivo Windows 10 inscrito de Azure AD, ese dispositivo también se marcará como no conforme en Azure AD.

Crear una acción automatizada basada en un resultado de la directiva Agente Windows

Utilice la directiva “Agente Windows” para implementar scripts que supervisan los valores de Registro en escritorios y tabletas Windows administrados. Puede definir que una acción automatizada se ejecute o no en función de los valores que devuelva un script.

  1. Configure una directiva Agente Windows y consulte los valores que devuelva el script. Para obtener información acerca de la directiva de dispositivo Agente Windows, consulte Directiva Agente Windows.

    En ese artículo y en esta sección, se incluye un ejemplo basado en un script llamado EntApp_2019_checkFirewall. Como se muestra en la pantalla siguiente, la directiva Agente Windows relacionada define una configuración denominada cName_checkFirewall. Esa configuración ejecuta el script de ejemplo.

    Imagen de la pantalla de la directiva Agente Windows

    Una vez ejecutado el script en un dispositivo, obtendrá la información necesaria para crear una acción, como se describe en Directiva Agente Windows.

  2. En la consola de Endpoint Management, haga clic en Configurar > Acciones.
  3. En la página Acciones, haga clic en Agregar.
  4. En la página Información de la acción, escriba un nombre para la acción y una descripción opcional.
  5. En la página Detalles de la acción, seleccione el desencadenante Valor devuelto por la directiva.

    Imagen de la pantalla Detalles de la acción

  6. En los campos que aparecen, defina el desencadenante y la acción:

    • Parámetros del Agente Windows: Escriba el nombre de la directiva, el nombre de configuración y el nombre de la clave para el Agente Windows que ha creado.
    • Menú desplegable: Seleccione la lógica Es, No es, Contiene o No contiene. Esta lógica se aplica al siguiente campo y hace que la acción se desencadene si se aplica la lógica.
    • Introduzca una cadena: Escriba la cadena resultante de ejecutar el script de PowerShell cargado en la directiva. Para obtener información sobre cómo localizar esa cadena, consulte Directiva Agente Windows.
    • Acción: Seleccione una acción, un valor para la acción y elija una franja de tiempo para llevarla a cabo.

    En nuestro ejemplo, si la clave de nombre firewallEnabled devuelve el valor true, la siguiente acción marca el dispositivo como conforme.

    Imagen de la pantalla Detalles de la acción

    Si la clave de nombre firewallEnabled devuelve el valor false, la siguiente acción marca el dispositivo como no conforme.

    Imagen de la pantalla Detalles de la acción

  7. Si es necesario, establezca una programación de implementación y elija los grupos de entrega.