Tableta y escritorio Windows

Para administrar escritorios y tabletas Windows 10 en Endpoint Management, debe configurar Citrix AutoDiscovery Service. Consulte Preparar la inscripción de dispositivos y la entrega de recursos.

Endpoint Management inscribe los escritorios y las tabletas Windows 10 en el modo MDM. Endpoint Management admite los siguientes tipos de autenticación para escritorios y tabletas Windows en modo MDM+MAM. Para obtener información, consulte los artículos de la sección Certificados y autenticación.

  • Dominio
  • Dominio y token de seguridad
  • Certificado de cliente
  • Certificado de cliente y dominio
  • Proveedores de identidades:
    • Azure Active Directory
    • Proveedor de identidades Citrix

Un flujo de trabajo general para iniciar la administración de escritorios y tabletas Windows 10 es el siguiente:

  1. Complete el proceso de incorporación. Consulte Incorporarse como usuario y configurar recursos y Preparar la inscripción de dispositivos y la entrega de recursos.

  2. Elija y configure un método de inscripción. Consulte Métodos de inscripción admitidos.

  3. Configurar directivas de dispositivo para escritorios y tabletas Windows.

  4. Inscribir escritorios y tabletas Windows a través de Azure Active Directory.

  5. Configure las acciones de seguridad para los dispositivos y las aplicaciones. Consulte Acciones de seguridad.

Para saber qué sistemas operativos son compatibles, consulte Sistemas operativos compatibles.

Métodos de inscripción admitidos

En la siguiente tabla se indican los métodos de inscripción que Endpoint Management admite para escritorios y tabletas Windows:

Método ¿Se admite?
Inscripción a través de Azure Active Directory
Inscripción en bloque de Windows
Inscripción manual
Invitaciones de inscripción No

Inscripción en Azure

Los dispositivos que ejecutan Windows 10 Enterprise se inscriben en Azure como método federado de autenticación de Active Directory. Esta configuración requiere una suscripción Premium a Azure Active Directory.

Puede unir dispositivos Windows 10 a Microsoft Azure Active Directory de cualquiera de las siguientes maneras:

  • Inscribirse en MDM como parte de Azure AD Join la primera vez que se encienda el dispositivo.
  • Inscribirse en MDM como parte de Azure AD Join desde la página de configuración de Windows una vez que el dispositivo se haya configurado.
  • Inscribirse en MDM como parte de Azure AD Join cuando agregue una cuenta de trabajo en un dispositivo personal.

Para que los usuarios de dispositivos Windows puedan inscribir sus dispositivos mediante Azure, debe configurar los parámetros del servidor Microsoft Azure en Endpoint Management. Para obtener información detallada, consulte Inicio de sesión único con Azure Active Directory.

Para los dispositivos Windows que inscriba en Azure, puede usar Windows AutoPilot para instalar y preconfigurar los dispositivos. Consulte Usar Windows AutoPilot para instalar y configurar dispositivos.

Inscripción en bloque de Windows

Con la inscripción en bloque de Windows, puede configurar varios dispositivos para que un servidor MDM los administre sin necesidad de restablecer la imagen inicial de los dispositivos. Puede usar un paquete de aprovisionamiento para la inscripción en bloque de escritorios y portátiles Windows 10. Para obtener información, consulte Inscribir en bloque dispositivos Windows.

Administración de dispositivos cuando se integra con Workspace Environment Management

No es posible implementar MDM únicamente con Workspace Environment Management. Si utiliza únicamente Endpoint Management, está limitado a administrar dispositivos Windows 10. Al integrar ambos, WEM tiene acceso a las funciones de MDM y puede administrar un espectro más amplio de sistemas operativos Windows a través de Endpoint Management. Esa administración adopta la forma de configurar objetos de directivas de grupo de Windows. Actualmente, los administradores importan un archivo ADMX a Citrix Endpoint Management y lo envían a escritorios y tabletas Windows 10 para configurar aplicaciones específicas. Mediante la directiva de configuración de objetos de directiva de grupo de Windows, puede configurar los objetos de directiva de grupo e insertar cambios en el servicio WEM. A continuación, el agente de WEM aplica los objetos de directiva de grupo (GPO) a los dispositivos y sus aplicaciones.

La administración de MDM no es un requisito para la integración de WEM. Se pueden enviar configuraciones de GPO a cualquier dispositivo compatible con WEM, incluso si Endpoint Management no admite ese dispositivo de forma nativa.

Para obtener una lista de los dispositivos admitidos, consulte Requisitos del sistema operativos.

Los dispositivos que reciben la directiva de configuración de GPO de Windows se ejecutan en un nuevo modo de Endpoint Management denominado WEM. En la lista Administrar > Dispositivos de dispositivos inscritos, la columna Modo para dispositivos administrados por WEM muestra WEM.

Para obtener más información, consulte Directiva de configuración de GPO de Windows.

Configurar directivas de dispositivo para escritorios y tabletas Windows

Use estas directivas para configurar cómo interactúa Endpoint Management con escritorios y tabletas Windows 10. En esta tabla se indican todas las directivas de dispositivo disponibles para escritorios y tabletas Windows.

     
Configuración de aplicaciones Inventario de aplicaciones Bloqueo de aplicaciones
Desinstalación de aplicaciones Protección de aplicaciones BitLocker
Control de actualización del SO Credenciales XML personalizado
Defender Device Guard Device Health Attestation (Atestación del estado de dispositivos)
Exchange Firewall Quiosco
Office Código de acceso Restricciones
Almacén Términos y condiciones VPN
Clip web Wi-Fi Agente Windows
Windows Hello para empresas Configuración del objeto de directiva de grupo Windows Windows Information Protection

Inscribir escritorios y tabletas Windows a través de Azure Active Directory

  1. Inicie sesión en un equipo con Windows Enterprise Edition. Abra Configuración > Cuentas > Obtener acceso a trabajo o escuela y, a continuación, haga clic en Conectar.

  2. En Configurar una cuenta profesional o educativa, en Acciones alternativas, haga clic en Unir este dispositivo a Azure Active Directory.

  3. Indique sus credenciales de Azure Active Directory y, a continuación, haga clic en Iniciar sesión.

  4. Acepte los términos y condiciones establecidos por su organización.

  5. Haga clic en Unirse para continuar con el proceso de inscripción.

  6. Haga clic en Hecho para completar el proceso de inscripción.

Inscribir dispositivos Windows mediante el servicio de detección automática

Nota:

Para que los dispositivos Windows se puedan inscribir, el certificado SSL de escucha debe ser un certificado público. La inscripción falla si se cargan certificados SSL autofirmados.

  1. En el dispositivo, busque e instale todas las actualizaciones disponibles de Windows.

  2. En el menú Accesos, toque en Configuración > Cuentas > Obtener acceso a trabajo o escuela > Conectarse a la red del trabajo o colegio.

  3. Escriba la dirección de correo electrónico de empresa y toque en Continuar.

    Para inscribirse como un usuario local, introduzca una dirección de correo electrónico que no exista y un nombre de dominio correcto (por ejemplo, foo@mydomain.com). Ese paso le permite omitir una limitación conocida de Microsoft donde la administración de dispositivos integrada de Windows realiza la inscripción. En el cuadro de diálogo Conectando con un servicio, escriba el nombre de usuario y la contraseña asociados al usuario local. A continuación, el dispositivo detecta el servidor de Endpoint Management y se inicia el proceso de inscripción.

  4. Introduzca la contraseña. Utilice la contraseña asociada a una cuenta que forme parte de un grupo de usuarios en Endpoint Management.

  5. En el cuadro de diálogo Condiciones de uso, indique que acepta que el dispositivo sea administrado y, a continuación, toque en Aceptar.

Para inscribir dispositivos Windows sin detección automática (solo para entornos de prueba)

Para implementaciones de producción, se recomienda inscribir dispositivos Windows por medio del servicio de detección automática. Citrix recomienda inscribir dispositivos Windows sin la detección automática solo en entornos de prueba y prueba de concepto. La inscripción sin el servicio de detección automática genera una llamada al puerto 80 durante la conexión.

  1. En el dispositivo, busque e instale todas las actualizaciones disponibles de Windows.

  2. En el menú Accesos, toque en Configuración > Cuentas > Obtener acceso a trabajo o escuela > Conectarse a la red del trabajo o colegio.

  3. Introduzca la dirección de correo electrónico de empresa.

  4. En el campo Escribir dirección del servidor, escriba la dirección:

    • Para uso comercial: https://url.cm.cloud.com:8443/zdm/wpe
    • Para uso gubernamental: https://url.cem.cloud.us:8443/zdm/wpe

    Si se utiliza un puerto que no sea 8443 para las conexiones SSL sin autenticar, utilice ese puerto en lugar de 8443 en esta dirección.

  5. Escriba la contraseña.

  6. En el cuadro de diálogo Condiciones de uso, indique que acepta que el dispositivo sea administrado y, a continuación, toque en Aceptar.

Acciones de seguridad

Los escritorios y las tabletas Windows 10 admiten las siguientes acciones de seguridad. Para obtener una descripción de cada acción de seguridad, consulte Acciones de seguridad.

     
Localizar Bloquear Reiniciar
Revocar Borrado selectivo Borrar

Clave de recuperación de BitLocker

Cifrar discos con BitLocker es una función de seguridad muy útil, pero desbloquear un dispositivo puede ser un problema si el usuario pierde su clave de recuperación de BitLocker. Ahora, Endpoint Management puede guardar automáticamente y de forma segura las claves de recuperación de BitLocker de los usuarios. Los usuarios pueden encontrar su clave de recuperación de BitLocker en Self-Help Portal. Para habilitar y buscar la clave de recuperación de BitLocker:

  1. En la consola de Endpoint Management, vaya a Parámetros > Propiedades del servidor.
  2. Busque shp y habilite la función shp.console.enable. Asegúrese de que enable.new.shp permanece inhabilitado. Para obtener más información sobre cómo habilitar Self-Help Portal, consulte Configurar modos de inscripción.
  3. Vaya a Configurar > Directivas de dispositivo. Busque la directiva de BitLocker o cree una y habilite Recuperación de seguridad de BitLocker en Endpoint Management.

Al desbloquear su dispositivo, los usuarios finales pueden ver un mensaje en el que se les pide que introduzcan su clave. El mensaje muestra también el ID de clave de recuperación.

Mensaje de recuperación de BitLocker

Para encontrar su clave de recuperación de BitLocker, los usuarios se dirigen a Self-Help Portal.

  1. En los detalles de General, consulte Datos de recuperación de BitLocker.
    • ID de la clave de recuperación: El identificador de la clave de recuperación de BitLocker utilizada para cifrar el disco. Este ID debe coincidir con el ID de clave indicado en el mensaje anterior.
    • Clave de recuperación: La clave que el usuario debe introducir para desbloquear el disco. Introduzca esta tecla en la solicitud de desbloqueo. Clave de recuperación de BitLocker en Self-Help Portal

Para obtener más información sobre la directiva BitLocker, consulte Directiva de BitLocker.