escritorio de windows de workspace one uem - vmware … · 2019-02-05 · contenido 1 introducción...

Escritorio de Windows deWorkspace ONE UEMVMware Workspace ONE UEM 1811

Escritorio de Windows de Workspace ONE UEM

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

El sitio web de VMware también ofrece las actualizaciones de producto más recientes.

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

Copyright © 2019 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y marca comercial.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

1 Introducción al escritorio de Windows 6

Requisitos de inscripción de escritorio de Windows 6

Dispositivos de escritorio de Windows compatibles 7

Matriz de escritorio de Windows 7

Matriz de versiones de Windows 10 9

2 Resumen de inscripción de escritorio de Windows 11

Dispositivos de escritorio de Windows y Windows 7 13

Workspace ONE Intelligent Hub para la inscripción de Windows 14

Inscripción con el Workspace ONE Intelligent Hub de VMware 15

Inscripción de MDM nativa para escritorio de Windows 15

Inscripción mediante Work Access con el servicio de detección automática de Windows 16

Inscripción mediante Work Access sin el servicio de detección automática de Windows 18

Inscripción mediante Workplace con el servicio de detección automática de Windows 20

Inscripción mediante Workplace sin el servicio de detección automática de Windows 22

Inscripción preparada 23

Importación masiva de números de serie de dispositivos 24

Inscripción mediante preparación con línea de comandos 24

Inscripción mediante inscripción preparada manual 25

Parámetros y valores para la inscripción silenciosa 26

Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch 28

Configuración del aprovisionamiento de Windows 10 29

Inscripción mediante integración con Azure AD 30

Configuración de la integración de los servicios de identidad de Azure AD 31

Inscripción de un dispositivo con Azure AD 35

Inscripción en Workspace ONE UEM de un dispositivo administrado con Azure AD 35

Inscripción mediante configuración rápida 36

Inscripción mediante las aplicaciones de Office 365 38

Inscripción y aprovisionamiento en masa 39

Inscripción mediante aprovisionamiento en masa 39

Instalación de paquetes de aprovisionamiento en masa 41

3 Resumen de los perfiles de escritorio de Windows 42

Configuración de un perfil de código de acceso (escritorio de Windows) 44

Configuración de un perfil de Wi-Fi (escritorio de Windows) 46

Perfil de VPN (escritorio de Windows) 48

Configuración de un perfil de VPN (escritorio de Windows) 50

VMware, Inc. 3

Perfil de credenciales (escritorio de Windows) 53

Configuración de un perfil de credenciales (escritorio de Windows) 54

Configuración de una carga útil de restricciones (escritorio de Windows) 55

Perfil de protección de datos (escritorio de Windows) 61

Configuración de un perfil de protección de datos (escritorio de Windows) 63

Creación de un certificado de sistema de cifrado de archivos (escritorio de Windows) 65

Perfil de Windows Hello (escritorio de Windows) 65

Creación de un perfil de Windows Hello (escritorio de Windows) 66

Configuración de un perfil de firewall (escritorio de Windows) 66

Configuración de un perfil de modo de aplicación única (escritorio de Windows) 67

Configuración de un perfil de antivirus (escritorio de Windows) 69

Perfil de cifrado (escritorio de Windows) 71

Configuración de un perfil de cifrado (escritorio de Windows) 73

Configuración de un perfil de actualizaciones de Windows (escritorio de Windows) 75

Ver lista de actualizaciones en el ciclo de vida 80

Aprobación de actualizaciones de Windows 81

Cómo crear un perfil de proxy (escritorio de Windows) 81

Configuración de un perfil de web clips (escritorio de Windows) 82

Perfiles de Exchange ActiveSync (escritorio de Windows) 83

Configuración de un perfil de Exchange ActiveSync (escritorio de Windows) 84

Configuración de un perfil de EAS para AirWatch Inbox (escritorio de Windows) 85

Perfil de SCEP (escritorio de Windows) 87

Configuración de un perfil de SCEP (escritorio de Windows) 88

Perfil de control de aplicaciones (escritorio de Windows) 89

Configuración de un perfil de control de aplicaciones (escritorio de Windows) 89

Configuración de un perfil de servicios web de Exchange (escritorio de Windows) 91

Creación de un perfil de licencias de Windows (escritorio de Windows) 91

Configuración de un perfil de BIOS (escritorio de Windows) 92

Configuración de un perfil de actualizaciones de OEM (escritorio de Windows) 95

Configuración de un perfil de quiosco (escritorio de Windows) 97

Uso de ajustes personalizados (escritorio de Windows) 99

Impedir que los usuarios inhabiliten el servicio de AirWatch 101

4 Uso de Valores de referencia 103

Cómo crear una línea de base 104

5 Políticas de conformidad 105

Detección de dispositivos comprometidos con atestación de estado 105

Configure la atestación de estado para las políticas de conformidad del escritorio de Windows 106

Atributos de conformidad 108

Creación de un atributo de conformidad 108


VMware, Inc. 4

6 Resumen de las aplicaciones de escritorio de Windows 110VMware Workspace ONE para escritorio de Windows 110

Configurar Workspace ONE Intelligent Hub para dispositivos Windows 111

VMware Content Locker para dispositivos de escritorio de Windows 112

7 Integración de Dell Command | Monitor 114

Adición de Dell Command | Monitor a Workspace ONE UEM 115

8 Descripción general de Dell Command | Update 116

Adición de Dell Command | Update a Workspace ONE UEM 117

9 Administración de dispositivos de escritorio de Windows 118

Tablero de dispositivos 118

Vista de lista de dispositivos 119

Página de detalles de dispositivos de escritorio de Windows 120

Administración remota avanzada 123

Resumen del aprovisionamiento de productos 124


VMware, Inc. 5

Introducción al escritorio deWindows 1Workspace ONE UEM le proporciona un conjunto de soluciones robustas de administración de movilidadpara la inscripción, la protección, la configuración y la administración de la implementación dedispositivos Windows 8.1 y Windows 10.

A través de Workspace ONE UEM Console, dispone de varias herramientas y funciones para laadministración de todo el ciclo de vida de los dispositivos personales y los empresariales. También puedepermitir que los usuarios finales realicen tareas por su cuenta, por ejemplo, a través del portal deautoservicio y la autoinscripción del usuario, lo cual le ahorra tiempo y recursos fundamentales.

Workspace ONE UEM le permite inscribir dispositivos personales y empresariales para configurar yproteger los datos y el contenido de su empresa. Con nuestros perfiles de dispositivos, podrá configurary proteger correctamente sus dispositivos Windows. Detecte los dispositivos comprometidos y retire elacceso a los recursos corporativos utilizando el motor de conformidad.

Al inscribir los dispositivos en Workspace ONE UEM, puede protegerlos y configurarlos en función decuáles sean sus necesidades.

Este capítulo incluye los siguientes temas:

n Requisitos de inscripción de escritorio de Windows

n Dispositivos de escritorio de Windows compatibles

Requisitos de inscripción de escritorio de WindowsAntes de inscribir los dispositivos de escritorio de Windows, asegúrese de que cumple los requisitos.Estos requisitos incluyen información importante que ofrecer a los usuarios finales que inscriben suspropios dispositivos.

Requisitosn Entorno activo: el entorno activo de Workspace ONE UEM y el acceso a

Workspace ONE UEM Console.

n Permisos apropiados de administración: este tipo de permiso le permite crear perfiles, determinarpolíticas y administrar dispositivos dentro de la consola de UEM.

n URL de la inscripción: esta dirección URL es única para su entorno de inscripción y lo lleva directoa la pantalla de inscripción. Por ejemplo, mdm.example.com.

VMware, Inc. 6

n ID de grupo: este identificador de grupo asocia su dispositivo con su rol corporativo, y está definidoen la consola de UEM.

Importante Si su servidor de inscripción está detrás de un proxy, debe configurar el servicio WINHTTPde Windows para que sea consciente del proxy al configurar sus ajustes de red.

Dispositivos de escritorio de Windows compatiblesLa plataforma de escritorio de Windows incluye versiones del sistema operativo de Windows que vandesde Windows 8.0 hasta Windows 10 y las diversas versiones de cada iteración.

Plataformas y dispositivos compatiblesDispositivos con los siguientes sistemas operativos:

Windows 8.1 RT Windows 10 Home

Windows 8.1 Core Windows 10 Pro

Windows 8.1 Pro Windows 10 Enterprise

Windows 8.1 Enterprise Windows 10 Education

Windows 10 S

Importante: para ver la versión de SO que cada rama de actualización admite, consulte ladocumentación de Microsoft sobre la información de versión de Windows 10: https://technet.microsoft.com/es-es/windows/release-info.aspx.

Matriz de escritorio de WindowsCompare qué funciones de Workspace ONE UEM están disponibles para los sistemas operativosWindows 8.0/RT, Windows 8.1/RT y Windows 10. Workspace ONE UEM es compatible con todas lasversiones de Windows 8.0 y versiones posteriores, pero la funcionalidad difiere según el sistemaoperativo.

Función Windows 8.0/RT Windows 8.1/RT Windows 10

Activación e inscripción

Inscripción de cliente nativo ✓ ✓

Inscripción con el agente ✓ ✓ ✓

Requiere el ID de cuenta de Windows ✓

Exige aceptación de los términos de uso ✓ ✓ ✓

Soporte para solicitudes de opciones durante la inscripción ✓ ✓ ✓

Active Directory/LDAP ✓ ✓ ✓

Inscripción con unión de dominio de nube ✓

Inscripción mediante configuración rápida ✓


VMware, Inc. 7

https://technet.microsoft.com/en-us/windows/release-info.aspx

Función Windows 8.0/RT Windows 8.1/RT Windows 10

Inscripción mediante aprovisionamiento en masa ✓

Inscripción preparada ✓

Arquitectura

SMS ✓ ✓ ✓

Mensajes de correo electrónico ✓ ✓ ✓

Supervisión de políticas de seguridad y conformidad

Política de contraseña ✓ ✓ ✓

Eliminación empresarial ✓ ✓ ✓

Borrado completo ✓

Aprovisionamiento inalámbrico

Correo electrónico y Exchange ActiveSync ✓ ✓

Wi-Fi ✓ ✓

VPN ✓ ✓

Administración de certificados ✓ ✓

Restricciones y configuraciones del dispositivo ✓ ✓

Windows Hello ✓

Cifrado ✓ ✓

Control de aplicaciones (AppLocker) ✓

Atestación de estado ✓

Administración de aplicaciones

Administración de aplicaciones ✓ ✓ ✓

Aplicaciones de Workspace ONE UEM

VMware Content Locker ✓ ✓

Seguimiento de recursos

Seguimiento de recursos ✓ ✓ ✓

Estado del dispositivo ✓ ✓ ✓

Dirección IP ✓

Ubicación ✓ ✓ ✓

Red ✓ ✓ ✓

Compatibilidad con administración remota

Envío de mensaje de soporte (solo correo electrónico y SMS) ✓ ✓ ✓

1 – Indica el requisito de la integración con PowerShell.

2 – Indica el requisito de utilización de AirWatch Inbox.


VMware, Inc. 8

3 – Los dispositivos con Windows 8.1/RT no pueden exigir el uso de un código de acceso si aún no se hacreado ninguno. Solo se puede exigir que el código de acceso permanezca en uso si se creó antes deque el perfil del código de acceso se insertara en el dispositivo.

4 – Esta función solo está disponible en las versiones Enterprise y Education de Windows 10.

Matriz de versiones de Windows 10Compare la funcionalidad de MDM disponible en cada versión del sistema operativo Windows 10.Workspace ONE UEM admite todas las versiones del sistema operativo Windows 10 y las funcionescompatibles.

Las diferentes ediciones de Windows 10 (Home, Professional, Enterprise y Education) tienen unafuncionalidad distinta. La edición Windows 10 Home no ofrece la funcionalidad avanzada disponible en elsistema operativo Windows 10. Sopese la posibilidad de utilizar las ediciones Enterprise o Educationpara disfrutar de la mayor parte de las funcionalidades.

Función Versión del sistema operativo Windows 10

Inicio Profesional para empresas Educación

Activación e inscripción

Inscripción de cliente nativo ✓ ✓ ✓ ✓

Inscripción con el agente ✓ ✓ ✓ ✓

Requiere el ID de cuenta de Windows

Exige aceptación de los términos de uso ✓ ✓ ✓ ✓

Soporte para solicitudes de opciones durante la inscripción ✓ ✓ ✓ ✓

Active Directory/LDAP ✓ ✓ ✓ ✓

Inscripción con unión de dominio de nube ✓ ✓ ✓

Inscripción mediante configuración rápida ✓ ✓ ✓

Inscripción mediante aprovisionamiento en masa ✓ ✓ ✓

Inscripción preparada ✓ ✓ ✓ ✓

Arquitectura

SMS

Mensajes de correo electrónico ✓ ✓ ✓

Supervisión de políticas de seguridad y conformidad

Política de contraseña ✓ ✓ ✓ ✓

Eliminación empresarial ✓ ✓ ✓ ✓

Eliminación total ✓ ✓ ✓ ✓

Aprovisionamiento inalámbrico

Correo electrónico y Exchange ActiveSync ✓ ✓ ✓ ✓

Wi-Fi ✓ ✓ ✓ ✓

VPN ✓ ✓ ✓ ✓


VMware, Inc. 9

Función Versión del sistema operativo Windows 10

Inicio Profesional para empresas Educación

Administración de certificados ✓ ✓ ✓ ✓

Restricciones y configuraciones del dispositivo ✓ ✓ ✓ ✓

Windows Hello ✓3 ✓ ✓ ✓

Cifrado ✓ ✓ ✓ ✓

Control de aplicaciones (AppLocker) ✓ ✓

Atestación de estado ✓ ✓ ✓ ✓

Actualizaciones de Windows para empresas ✓ ✓ ✓

Acceso asignado ✓ ✓

Administración de aplicaciones

Administración de aplicaciones ✓ ✓ ✓

Aplicaciones de Workspace ONE UEM

VMware Browser ✓ ✓ ✓ ✓

VMware Content Locker ✓ ✓ ✓ ✓

Seguimiento de recursos

Seguimiento de recursos ✓ ✓ ✓

Estado del dispositivo ✓ ✓ ✓

Dirección IP

Ubicación ✓ ✓ ✓ ✓

Red ✓ ✓ ✓

Compatibilidad con administración remota

Envío de mensaje de soporte (solo correo electrónico y SMS) ✓ ✓ ✓

1 – Enterprise también incluye IoT Enterprise y Rama de servicio a largo plazo (LTSB). LTSB es unaimagen de Windows 10 separada con muchas aplicaciones nativas eliminadas, como Microsoft Edge,Cortana y Microsoft Store. Parte de la funcionalidad de Workspace ONE UEM que usa estas funcionesno tendrá soporte.

2 – Microsoft Passport requiere protección basada en hardware TPM 1.2 o 2.0 de credenciales o claves;si no hay TPM o no está configurado, la protección mediante credenciales o claves estará basada en elsistema operativo.

3 – El cifrado de dispositivos para la versión Home no incluye el cifrado de BitLocker.

4 – Solo se puede descargar de Microsoft Store. Windows 10 Home no admite el envío de aplicacionesinternas.

5 – Requiere Workspace ONE Intelligent Hub descargado de Microsoft Store.


VMware, Inc. 10

Resumen de inscripción deescritorio de Windows 2Puntos básicos de inscripciónLos métodos de inscripción de los dispositivos de escritorio de Windows varían en función de laimplementación de Workspace ONE UEM que tenga, las integraciones empresariales y el sistemaoperativo del dispositivo. La plataforma de escritorio de Windows admite varias versiones de sistemasoperativos y SKU de los dispositivos Windows. Para obtener más información, consulte Dispositivos deescritorio de Windows compatibles.

Antes de inscribir dispositivos, asegúrese de que dispone de la información necesaria para la inscripción.Para obtener más información, consulte Requisitos de inscripción de escritorio de Windows.

Simplifique la inscripción de usuarios finales mediante la configuración de los servicios de detecciónautomática de Windows (WADS) en su entorno de Workspace ONE UEM. WADS es compatible con unasolución en las instalaciones y WADS basado en la nube.

Los métodos de inscripción utilizan la funcionalidad MDM nativa del sistema operativo Windows,Workspace ONE Intelligent Hub para Windows o la integración con Azure AD.

Si quiere usar Workspace ONE UEM para administrar dispositivos Windows administrados medianteSCCM, debe descargar VMware AirWatch SCCM Integration Client. Utilice este cliente para inscribirdispositivos administrados con SCCM en Workspace ONE UEM. Para obtener más información, consulteel artículo de la base de conocimiento VMware AirWatch SCCM Integration Client: https://support.air-watch.com/articles/115001664948.

Workspace ONE Intelligent Hub para la inscripción deWindowsEl flujo de inscripción más sencillo utiliza Workspace ONE Intelligent Hub para Windows para inscribirdispositivos. Los usuarios finales solo tienen que descargar Workspace ONE Intelligent Hub enawagent.com y seguir las indicaciones para inscribirse. Para obtener más información sobre lainscripción con el agente, consulte Inscripción con Workspace ONE Intelligent Hub para la inscripción deWindows.

Considere la posibilidad de usar Workspace ONE Intelligent Hub para el flujo de trabajo de inscripción deWindows. Workspace ONE UEM admite otros flujos de inscripción que cumplan con escenarios de usoespecíficos.

VMware, Inc. 11

https://support.air-watch.com/articles/115001664948


Inscripción mediante integración con Azure ADMediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se inscribenautomáticamente en Workspace ONE UEM con una interacción mínima por parte del usuario final. Lainscripción mediante la integración con Azure AD simplifica este proceso tanto para el usuario como parael administrador. La integración con Azure AD admite tres flujos de inscripción: unirse a Azure AD,inscripción de configuración rápida e inscripción con Office 365. Todos los métodos requieren que seconfigure la integración de Azure AD con Workspace ONE UEM.

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurarWorkspace ONE UEM y Azure AD. Para obtener más información, consulte Configuración de laintegración de los servicios de identidad de Azure AD.

Para realizar la inscripción mediante flujos de integración de Azure AD, consulte Inscripción medianteintegración con Azure AD.

Inscripción MDM nativaWorkspace ONE UEM admite la inscripción de dispositivos de escritorio de Windows a través del flujo deinscripción MDM nativa. El nombre de la solución MDM nativa varía según la versión de Windows. Esteflujo de inscripción cambia según la versión de Windows y de si utiliza WADS.

Para obtener más información, consulte Inscripción de MDM nativa para escritorio de Windows

Inscripción preparadaSi desea configurar la administración de dispositivos en un equipo con Windows 10 antes de enviar undispositivo al usuario final, plantéese el uso de la inscripción preparada de dispositivos de escritorio deWindows. Este flujo de inscripción le permite inscribir un dispositivo a través deWorkspace ONE Intelligent Hub, instalar los perfiles en dicho dispositivo y, posteriormente, enviarlo alusuario final. Los dos métodos de inscripción preparada son la instalación manual y la instalación delínea de comandos. La instalación manual requiere que los dispositivos estén unidos al dominio para unaintegración con Azure AD. La instalación de línea de comandos funciona en todos los dispositivos conWindows 10. Consulte la sección Inscripción preparada para más información.

Inscripción automática de escritorio de WindowsWorkspace ONE UEM es compatible con la inscripción automática de dispositivos específicos deescritorio de Windows adquiridos mediante Dell. La inscripción automática simplifica el proceso alinscribir de manera automática los dispositivos registrados con el método de inscripción medianteconfiguración rápida.


VMware, Inc. 12

El Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch solo se aplica para seleccionardispositivos para empresas de Dell con la imagen correcta de Windows 10. La funcionalidad deinscripción automática debe adquirirse dentro del pedido de Dell.

Para obtener más información, consulte Servicio de Aprovisionamiento de Windows 10 de VMwareAirWatch.

Inscripción y aprovisionamiento en masaEl aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10y los inscribe en Workspace ONE UEM. El aprovisionamiento en masa requiere la descarga del kit deevaluación y desarrollo de Microsoft y la instalación de la herramienta Diseñador de imágenes yconfiguraciones. Esta herramienta crea paquetes de aprovisionamiento que se utilizan para crearimágenes de los dispositivos.

Gracias a este flujo de aprovisionamiento en masa, puede incluir ajustes de Workspace ONE UEM en elpaquete de aprovisionamiento para que los dispositivos aprovisionados se inscriban automáticamentedurante el proceso de configuración rápida inicial. Para más información, consulte Inscripción yaprovisionamiento en masa.


n Dispositivos de escritorio de Windows y Windows 7

n Workspace ONE Intelligent Hub para la inscripción de Windows

n Inscripción de MDM nativa para escritorio de Windows

n Inscripción preparada

n Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch

n Inscripción mediante integración con Azure AD

n Inscripción y aprovisionamiento en masa

Dispositivos de escritorio de Windows y Windows 7Puede inscribir sus dispositivos Windows en una de las dos plataformas. La plataforma determina lafuncionalidad de administración de dispositivos disponible para sus dispositivos Windows.

La plataforma de escritorio de Windows es compatible con dispositivos Windows 8.1 y Windows 10mediante la inscripción de MDM nativa. La plataforma de Windows 7 es compatible con dispositivosWindows 7, Windows 8 y Windows 10 mediante la inscripción con Workspace ONE Intelligent Hub paraWindows.

La tabla siguiente muestra las diferencias entre los métodos de inscripción. Considere la posibilidad deinscribir los dispositivos Windows 8 y Windows 10 como dispositivos de escritorio de Windows, dada sumayor funcionalidad de administración de dispositivos.


VMware, Inc. 13

Funcionalidad Windows 7 Escritorio de Windows

Método de inscripción MDM nativa ✓

Workspace ONE IntelligentHubInscripción

✓ ✓

Soporte de AirWatch Protection Agent ✓ ✓

Soporte completo para funcionalidad deWindows 10

✓

Soporte para dispositivos administradoscon SCCM

✓ ✓

Soporte para dispositivos Windows 7 ✓

Workspace ONE Intelligent Hub para la inscripción deWindowsWorkspace ONE Intelligent Hub proporciona un recurso único de inscripción y facilita la comunicaciónentre el dispositivo y Workspace ONE UEM Console. Use Workspace ONE Intelligent Hub parasimplificar la inscripción y habilitar la funcionalidad de MDM completamente.

Se aconseja utilizar Workspace ONE Intelligent Hub para Windows con el fin de inscribir sus dispositivosde escritorio de Windows, ya que Workspace ONE Intelligent Hub ofrece el flujo de inscripción mássencillo para los usuarios. Si tiene configurado Workspace ONE, al descargarWorkspace ONE Intelligent Hub desde awagent.com también se descargará la aplicaciónWorkspace ONE. Cuando termine la inscripción con Workspace ONE Intelligent Hub, la aplicaciónWorkspace ONE se iniciará automáticamente y se configurará en función de su implementación deWorkspace ONE UEM.

Workspace ONE Intelligent Hub Ofrece una funcionalidad adicional para los dispositivos de escritorio deWindows, incluidos los servicios de ubicación.

Puede simplificar la inscripción para sus usuarios finales con la detección automática de Windows. Ladetección automática de Windows permite a los usuarios finales introducir su dirección de correoelectrónico para llenar los campos automáticamente con sus credenciales de inscripción.

AirWatch Cloud MessagingAirWatch Cloud Messaging (AWCM) permite el envío de políticas y comandos en tiempo real aWorkspace ONE Intelligent Hub. Sin AWCM, Workspace ONE Intelligent Hub solo recibe políticas ycomandos durante los intervalos de verificaciones de estado regulares establecidos en la consola deAirWatch. Considere la posibilidad de utilizar AWCM para enviar comandos y políticas en tiempo real adispositivos de escritorio de Windows.


VMware, Inc. 14

http://awagent.com/

Inscripción con el Workspace ONE Intelligent Hub de VMwareUtilice el Workspace ONE Intelligent Hub para iniciar la inscripción de sus dispositivos de escritorio deWindows. Workspace ONE Intelligent Hub ofrece un flujo de inscripción simplificada para los usuariosfinales, lo cual permite una inscripción rápida y fácil.

Para inscribir los dispositivos de escritorio de Windows mediante el Workspace ONE Intelligent Hub:

1 En el dispositivo escritorio de Windows, navegue a awagent.com.

2 Instale el Workspace ONE Intelligent Hub. Cuando la instalación se haya completado, inicieWorkspace ONE Intelligent Hub.

3 Seleccione Conectar una cuenta profesional o educativa. Workspace ONE Intelligent Hub abre laaplicación nativa de Workplace para completar la inscripción.

4 Introduzca la dirección de correo electrónico y seleccione Siguiente.

Si no está utilizando el servicio de detección automática de Windows, complete los siguientesajustes:

n Introduzca la URL del servidor y seleccione Siguiente.

n Introduzca el ID de grupo y seleccione Siguiente.

n Introduzca el nombre de usuario y la contraseña.

5 Acepte los Términos de uso.

6 Seleccione Listo.

7 Abra Workspace ONE Intelligent Hub y complete la inscripción.

Inscripción de MDM nativa para escritorio de WindowsTodos los métodos de inscripción de escritorio de Windows utilizan el cliente de MDM nativa deWorkplace o Work Access. Use la inscripción de MDM nativa para inscribir dispositivos tanto corporativoscomo BYOD en el mismo flujo de inscripción.

Los dispositivos Windows 10 usan la inscripción Work Access, mientras que los dispositivosWindows 8.1/RT utilizan la inscripción Workplace.

Work Access procesa primero un plan de trabajo de Azure AD para dominios conectados a Office 365 oAzure AD cuando selecciona Conectar y no completa automáticamente el plan de trabajo de inscripción.Si usa Office 365 o Azure AD sin licencia Premium, es recomendable usarWorkspace ONE Intelligent Hub, en lugar de la inscripción de MDM nativa, para inscribir dispositivosWindows 10. Para completar el plan de trabajo de inscripción mediante inscripción de MDM nativa,seleccione Conectar dos veces. Si tiene una licencia Premium de Azure AD, puede habilitar Requeriradministración en su instancia de Azure para que la inscripción de MDM nativa complete el flujo deinscripción después del plan de trabajo de Azure. Puede usar la inscripción de MDM nativa sinproblemas si no usa Office 365 o Azure AD.


VMware, Inc. 15

Para obtener más información técnica sobre el funcionamiento del flujo de inscripción después de laActualización de aniversario de Windows 10, consulte el artículo de la base de conocimiento Enrollmentchanges for Windows devices after Windows Anniversary update, disponible aquí: https://support.air-watch.com/articles/115001665408.

Solo aquellos usuarios que tengan permisos de administración local en el dispositivo podrán inscribir undispositivo en Workspace ONE UEM y habilitar MDM. Los permisos de administrador de dominio nosirven para inscribir un dispositivo. Para inscribir un dispositivo con un usuario estándar, debe usar lainscripción Inscribir en nombre de otros para dispositivos Windows 8.1 o el aprovisionamiento en masapara dispositivos Windows 10.

Mediante el servicio de detección automática de Windows se simplifica la inscripción para el usuario final,ya que se necesita menos interacción durante la inscripción. Con el servicio de detección automática deWindows, tiene que seguir los pasos que se describen en VMware AirWatch Windows Auto-DiscoveryService Installation Guide.

Los dispositivos que se han unido a un dominio se pueden inscribir mediante la inscripción nativa através de Workplace. La dirección de correo electrónico introducida en la configuración se llenaautomáticamente con el atributo UPN de Active Directory. Si el usuario final quiere utilizar una direcciónde correo electrónico diferente, debe descargarse la actualización opcional.

Inscripción mediante Work Access con el servicio de detecciónautomática de WindowsWork Access es el método de inscripción de MDM nativa para los dispositivos Windows 10. Lainscripción a través de Work Access y mediante el servicio de detección automática de Windows ofreceun flujo de inscripción rápido y fácil para los usuarios finales.


VMware, Inc. 16


Si registra su dominio en Workspace ONE UEM, ya no hay necesidad de introducir el ID de grupodurante la inscripción.

Nota Se aconseja usar Workspace ONE Intelligent Hub para Windows con el fin de inscribir susdispositivos Windows 10 en lugar de la inscripción MDM nativa. El flujo de inscripción de MDM nativa noinscribe dispositivos en MDM si utiliza Office 365 o Azure AD en el mismo dominio.

1 Navegue en el dispositivo a Ajustes > Cuentas > Work Access y seleccione Inscribir en laadministración del dispositivo.

2 Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuariofinal, seguido del dominio del entorno con el formato [email protected] ([email protected]). Seleccione Continuar.

3 Introduzca el ID de grupo y seleccione Siguiente.

4 Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de suentorno de Workspace ONE UEM.

5 Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo con estos.

Este paso es opcional y solo se muestra si se ha habilitado en Workspace ONE UEM Console.

6 (Opcional) Seleccione Sí para guardar la información de inicio de sesión.


VMware, Inc. 17

Tras esto, el dispositivo intenta conectarse a Workspace ONE UEM. Si establece conexióncorrectamente, aparece el icono de un maletín con Workspace ONE UEM escrito al lado. Este iconorefleja la correcta conexión a Workspace ONE UEM.

Inscripción mediante Work Access sin el servicio de detecciónautomática de WindowsWork Access es el método de inscripción de MDM nativa para los dispositivos Windows 10. Lainscripción a través de Work Access sin WADS requiere que se introduzcan manualmente lascredenciales de usuario final.

Nota Se aconseja usar Workspace ONE Intelligent Hub para Windows con el fin de inscribir susdispositivos Windows 10 en lugar de la inscripción MDM nativa. El flujo de inscripción de MDM nativa noinscribe dispositivos en MDM si utiliza Office 365 o Azure AD en el mismo dominio.


VMware, Inc. 18

Para inscribirse a través de Work Access sin WADS:

1 Navegue en el dispositivo a Ajustes > Cuentas > Work Access y seleccione Inscribir en laadministración del dispositivo.

2 Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuariofinal, seguido del dominio del entorno con el formato [email protected] ([email protected]).

3 Introduzca la dirección del servidor como sigue:<DeviceServicesURL>/DeviceServices/Discovery.aws. No incluya “https://” en la dirección URL. Porejemplo: ds156.awmdm.com/deviceservices/discovery.aws

4 Seleccione Continuar.


6 Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de suentorno de Workspace ONE UEM.

7 (Opcional) Revise los Términos de uso y seleccione Aceptar para aceptarlos.

Este paso es opcional y solo se muestra si ha elegido habilitarlo.

8 (Opcional) Seleccione Sí para guardar la información de inicio de sesión.


VMware, Inc. 19

Tras esto, el dispositivo intenta conectarse a Workspace ONE UEM. Si establece conexióncorrectamente, aparece el icono de un maletín con Workspace ONE UEM escrito al lado. Este iconorefleja la correcta conexión a Workspace ONE UEM.

Inscripción mediante Workplace con el servicio de detecciónautomática de WindowsWorkplace es el método de inscripción de MDM nativa para los dispositivos Windows 8.1. La inscripcióna través de Workplace y mediante el servicio de detección automática de Windows ofrece un flujo deinscripción rápido y fácil para los usuarios finales.

El servicio de detección automática de Windows (WADS) ofrece un proceso de inscripción rápido ysimple para los usuarios finales.


VMware, Inc. 20

Para inscribirse a través de Workplace con WADS:

1 Navegue en el dispositivo del usuario final a Configuración > Cambiar configuración del PC >Red > Área de trabajo.


El campo de dirección de correo electrónico no se muestra en aquellos dispositivos que se han unidoa un dominio. El registro del dominio UPN durante la configuración de WADS elimina la necesidad deintroducir la dirección de correo electrónico para todos los usuarios de Active Directory.

3 En Activar administración de dispositivos, mantenga el control deslizante Detectar la direccióndel servidor automáticamente en Activado.

4 Deje en blanco el campo Introduzca la dirección del servidor.

5 Seleccione Activar.


Si registra su dominio en Workspace ONE UEM, ya no hay necesidad de introducir el ID de grupodurante la inscripción.

7 Introduzca su nombre de usuario y contraseña y seleccione Siguiente. Pueden ser lascredenciales de los servicios de directorio o credenciales específicas de su entorno de WorkspaceONE UEM.


VMware, Inc. 21

8 Seleccione Activar. Si el botón cambia de Activar a Desactivar, ha inscrito correctamente eldispositivo. No seleccione Desactivar o se cancelará la inscripción del dispositivo enWorkspace ONE UEM.

Inscripción mediante Workplace sin el servicio de detecciónautomática de WindowsWorkplace es el método de inscripción de MDM nativa para los dispositivos Windows 8.1. La inscripcióna través de Workplace sin WADS requiere que se introduzcan manualmente las credenciales de usuariofinal.

Importante Este método de inscripción requiere una actualización opcional de Microsoft. Para obtenermás información sobre esta actualización, consulte https://support.microsoft.com/es-es/kb/2955164.

Para inscribirse a través de Workplace sin WADS:

1 Navegue en el dispositivo del usuario final a Configuración > Cambiar configuración del PC >Red > Área de trabajo.


El campo de dirección de correo electrónico no se muestra en aquellos dispositivos que se han unidoa un dominio.

3 En Activar administración de dispositivos, establezca el control deslizante Detectar la direccióndel servidor automáticamente en Desactivado.


VMware, Inc. 22

http://support.microsoft.com/kb/2955164

4 Introduzca la dirección del servidor como sigue:<DeviceServicesURL>/DeviceServices/Discovery.aws. No incluya “https://” en la dirección URL.

Por ejemplo: ds156.awmdm.com/deviceservices/discovery.aws

5 Seleccione Activar.


7 Introduzca su nombre de usuario y contraseña y seleccione Siguiente. Pueden ser lascredenciales de los servicios de directorio o credenciales específicas de su entorno de WorkspaceONE UEM.

8 Complete los pasos opcionales si permite que los usuarios de los dispositivos realicen estasselecciones.

n Seleccione el tipo de Propiedad del dispositivo, Propiedad del empleado, Corporativo -Dedicado o Corporativo - Compartido.

n Seleccione Siguiente.

n Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo con estos.

n Seleccione la casilla de verificación Entiendo para permitir la instalación de las aplicaciones ylos servicios implementados.

9 Seleccione Activar. Si el botón cambia de Activar a Desactivar, ha inscrito correctamente eldispositivo. No seleccione Desactivar o se cancelará la inscripción del dispositivo enWorkspace ONE UEM.

Inscripción preparadaHabitualmente los administradores prefieren configurar la administración del dispositivo antes de enviarloal usuario final. La inscripción preparada le permite inscribir un dispositivo con AirWatch Windows Agent,instalar perfiles en el dispositivo y enviarlo a un usuario final.

También le permite inscribir su dispositivo Windows 10 en Workspace ONE UEM. Para realizar estainscripción, es necesario instalar AirWatch Windows Agent. Cualquier perfil asignado en el dispositivo sedescarga en este último tras su inscripción. Una vez que el dispositivo esté completamente inscrito yconfigurado, puede enviarlo a los usuarios finales. Cuando el usuario final inicia sesión en el dispositivo,AirWatch Windows Agent actualiza el registro del dispositivo en Workspace ONE UEM Console.Workspace ONE UEM reasigna el dispositivo al usuario final y envía los perfiles de usuario al dispositivo.

Hay dos métodos de preparación:

n Instalación manual: descargue e instale Workspace ONE Intelligent Hub e introduzca lascredenciales de inscripción. Este método requiere que los dispositivos estén unidos al dominio antesde la inscripción.

n Instalación mediante línea de comandos: descargue Workspace ONE Intelligent Hub y despuésinstale e inscriba el dispositivo mediante la línea de comandos.


VMware, Inc. 23

La inscripción se puede completar de dos formas: con la actualización del registro del dispositivo de laconsola de UEM cuando un usuario se inscribe en un dispositivo unido al dominio, o bien mediante lacomparación del nombre del usuario inscrito con una lista de números de serie registrados previamente.

Importación masiva de números de serie de dispositivosImporte números de serie de dispositivos que puede usar en la inscripción preparada para agregardispositivos rápidamente a Workspace ONE UEM Console. La importación en masa requiere un archivoCSV con todos los números de serie que quiere importar.

Para registrar varios dispositivos:

1 Acceda a Cuentas > Usuarios > Vista de lista o Dispositivos > Ciclo de vida > Estado deinscripción.

a Seleccione Agregar y luego Importar por lotes para ver la pantalla Importar por lotes.

2 Complete todas las opciones requeridas. Nombre del lote, Descripción del lote y Tipo de lote.

3 En la opción Archivo por lotes (.csv) hay una lista de plantillas basadas en tareas que puedeutilizar para cargar los usuarios y sus dispositivos en masa.

4 Seleccione la plantilla de descarga adecuada y guarde el archivo de valores separados por comas(CSV) en un lugar accesible.

5 Busque el archivo CSV guardado, ábralo con Excel e introduzca toda la información relevante de losdispositivos que desea importar.

Cada plantilla se rellena automáticamente con ejemplos para demostrar qué tipo de información (y suformato) debe incluirse en cada columna.

Los campos del archivo CSV con un asterisco (*) son obligatorios.

6 Guarde la plantilla que rellenó como un archivo CSV. En la consola de UEM, seleccione el botónSeleccionar archivo en la pantalla Importar por lotes, acceda a la ruta donde guardó el archivoCSV y selecciónelo.

7 Seleccione Guardar para completar la inscripción de todos los usuarios enumerados y losdispositivos correspondientes.

Inscripción mediante preparación con línea de comandosSimplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivos deescritorio de Windows con la línea de comandos de Windows. Este método de inscripción inscribe eldispositivo y registra los perfiles en este en función de las credenciales de usuario introducidas.

Importante No cambie el nombre del archivo AirWatchAgent.msi, ya que interrumpiría el comando depreparación.


VMware, Inc. 24

Para realizar una inscripción mediante preparación con línea de comandos:

1 Navegue a www.awagent.com para descargar Workspace ONE Intelligent Hub.

Descargue solo el Workspace ONE Intelligent Hub . No inicie el ejecutable ni seleccione Ejecutar, yaque iniciaría un proceso de preparación estándar contrario al objetivo de la instalación silenciosa.

Si es necesario, mueva Workspace ONE Intelligent Hub de la carpeta de descarga a una carpetalocal o de red.

2 Abra una línea de comandos o cree un archivo BAT e introduzca todas las rutas, parámetros yvalores necesarios sirviéndose de la información que se muestra en la sección Parámetros y valorespara la inscripción silenciosa.

3 Ejecute el comando. Para ver ejemplos de sintaxis, consulte Parámetros y valores para la inscripciónsilenciosa.

Después de que el comando se ejecute, el dispositivo se inscribe en Workspace ONE UEM. Si eldispositivo está unido al dominio, Workspace ONE Intelligent Hub actualiza el registro del dispositivo deWorkspace ONE UEM Console con el usuario correcto. Si usa la importación masiva de números deserie, Workspace ONE Intelligent Hub actualiza el registro del dispositivo de la consola de UEM yconecta las credenciales de usuario con el número de serie del dispositivo.

Inscripción mediante inscripción preparada manualSimplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivosWindows 10 a través de Workspace ONE Intelligent Hub. Este método de inscripción inscribe eldispositivo y descarga los perfiles en este para que el usuario final solo tenga que iniciar sesión en eldispositivo y empezar a usarlo.

Estos dispositivos deben estar unidos a un dominio.

Para preparar la inscripción de un dispositivo Windows 10:

1 Navegue a www.awagent.com para descargar el instalador de Workspace ONE Intelligent Hub.

2 Inicie el instalador cuando se haya descargado.

3 Seleccione Ejecutar para iniciar la instalación.

4 Seleccione Correo electrónico si ha habilitado la detección automática de AirWatch; de lo contrario,seleccione Detalles del servidor.

5 Complete la configuración que sea necesaria en función del tipo de autenticación seleccionado:

n Introduzca la dirección de correo electrónico para rellenar automáticamente la pantalla dedetalles. Seleccione Siguiente para introducir los datos.

n Introduzca el nombre del servidor y el ID de grupo si no usa la detección automática de AirWatchpara completar la configuración. Seleccione Siguiente.

6 Introduzca el nombre de usuario y la contraseña provisionales y seleccione Siguiente.

7 Complete cualquier otra pantalla adicional.


VMware, Inc. 25

8 Seleccione Finalizar para completar la instalación

Cuando Workspace ONE Intelligent Hub detecta un usuario de inscripción preparada, se ejecuta elproceso de escucha de Workspace ONE Intelligent Hub, que escucha el siguiente inicio de sesión deWindows. Cuando el usuario final inicia sesión en el dispositivo, el proceso de escucha deWorkspace ONE Intelligent Hub lee el UPN y la dirección de correo electrónico del usuario en el registrodel dispositivo. Esta información se envía a Workspace ONE UEM Console y se actualiza el registro deldispositivo de modo que se registre el dispositivo para el usuario.

Parámetros y valores para la inscripción silenciosaLa inscripción silenciosa requiere entradas de línea de comandos o un archivo BAT para controlar cómorealiza Workspace ONE Intelligent Hub las descargas e instalaciones en el dispositivo.

La siguiente tabla incluye todos los parámetros de inscripción que pueden introducirse en una línea decomandos o en un archivo BAT, así como sus respectivos valores. Los parámetros marcados en azul yverde son los parámetros mínimos que se requieren para la inscripción. El azul significa solo imagen. Elazul con el verde designa la inscripción del usuario.

Parámetros de inscripción Valores para añadir al parámetro

ENROLL Seleccione "Y" para realizar la inscripción.

Seleccione "N" para solo imagen.

IMAGEN Seleccione "Y" para imagen.

Seleccione "N" para inscripción.

SERVER Introduzca la dirección URL de la inscripción.

LGName Introduzca el nombre del grupo organizativo.

USERNAME Introduzca el nombre del usuario para el que se realiza la inscripción o el nombre de usuario deinscripción preparada si se realiza una inscripción preparada en el dispositivo en nombre de unusuario.

PASSWORD Introduzca la contraseña del usuario para el que se realiza la inscripción o la contraseña delusuario de inscripción preparada si se realiza una inscripción preparada en el dispositivo ennombre de un usuario.

ASSIGNTOLOGGEDINUSER Seleccione "Y" para asignar el dispositivo al usuario de dominio que ha iniciado sesión.

STAGEUSERNAME Introduzca el nombre del usuario que se inscribe.

SECURITYTYPE Es necesario si la cuenta de usuario se añade a Workspace ONE UEM Console durante elproceso de inscripción:n Seleccione "D" para Directorio.n Seleccione "B" para el tipo Usuario básico.

STAGEEMAILUSRNAME* Introduzca el nombre de usuario del correo electrónico del usuario que se inscribe.

STAGEPASSWORD Introduzca la contraseña del usuario que se inscribe.

STAGEEMAIL* Introduzca la dirección de correo electrónico del usuario que se inscribe.


VMware, Inc. 26

Parámetros de inscripción Valores para añadir al parámetro

DEVICEOWNERSHIPTYPE* Seleccione "CD" para Corporativo - Dedicado.

Seleccione "CS" para Corporativo - Compartido.

Seleccione "EO" para Propiedad del empleado.

Seleccione "N" para no elegir ninguno.

INSTALLDIR* Introduzca la ruta del directorio si quiere cambiar la ruta de instalación.

Nota Nota: Si este parámetro no está presente, Workspace ONE Intelligent Hub utiliza la rutapredeterminada: C:\Program Files (x86)\AirWatch.

DOWNLOADWSBUNDLE Seleccione "Y" para descargar el catálogo de VMware Workspace ONE, junto conWorkspace ONE Intelligent Hub para Windows.

Los elementos marcados con un asterisco (*) son opcionales.

Ejemplos de inscripción silenciosaA continuación se muestran varios casos prácticos en los que se emplean los parámetros de inscripcióny los valores que pueden introducirse en una línea de comandos o emplear para crear un archivo BAT. Alrealizar cualquiera de estos ejemplos, el dispositivo Windows se inscribe de forma silenciosa, sin que elusuario tenga que seleccionar ningún botón de confirmación.

Instalación del agente para solo imagen sin inscripciónA continuación se muestra un ejemplo de instalación de Workspace ONE Intelligent Hub para soloimagen sin inscripción, utilizando los parámetros mínimos requeridos para solo imagen.

AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y

Inscripción de usuario básicoA continuación se muestra un ejemplo de cómo utilizar los parámetros mínimos que se requieren para lainscripción básica:

AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.com LGName=locationgroupidUSERNAME=TestUsr PASSWORD=test

Workspace ONE Intelligent Hub Instalado en otro lugarA continuación se muestra un ejemplo de AirwatchAgent.msi en una ubicación distinta:

C:\AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.comLGName=locationgroupid USERNAME=TestUsr PASSWORD=test


VMware, Inc. 27

Directorio de instalación y Workspace ONE Intelligent Hub en la unidad deredA continuación se muestra un ejemplo del parámetro de directorio para la instalación conWorkspace ONE Intelligent Hub en una unidad de red:

Importante Añada comillas extra para el parámetro INSTALLDIR cuando exista un espacio dentro delparámetro.

Q:\AirwatchAgent.msi /quiet INSTALLDIR=\"E:\Install Win32\" ENROLL=Y IMAGE=nSERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

Todos los parámetros y valores disponiblesA continuación se muestra un ejemplo de la sintaxis al utilizar todos los valores y parámetros que semuestran en la tabla anterior.

<AirwatchAgent.msi> /quiet INSTALLDIR=\"<Ruta del directorio>" ENROLL=<Y/N> IMAGE=<Y/N>SERVER=<URL empresa> LGNAME=<ID grupo de ubicación> USERNAME=<Nombre de usuario>PASSWORD=<Contraseña nombre de usuario> STAGEUSERNAME=<Nombre de usuario depreparación> SECURITYTYPE=<D/B> STAGEEMAILUSRNAME=<Inscripción de usuario>STAGEPASSWORD=<Contraseña para inscripción de usuario> STAGEEMAIL=<Dirección de correoelectrónico para inscripción de usuario>DEVICEOWNERSHIPTYPE=<CD/CS/EO/N>ASSIGNTOLOGGEDINUSER=<Y/N>

Servicio de Aprovisionamiento de Windows 10 deVMware AirWatchWorkspace ONE UEM es compatible con la inscripción automática de dispositivos específicos deescritorio de Windows adquiridos mediante Dell. La inscripción automática simplifica el proceso alinscribir de manera automática los dispositivos registrados con el método de inscripción medianteconfiguración rápida.

El Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch solo se aplica para seleccionardispositivos Dell con la imagen correcta de Windows 10. La funcionalidad de inscripción automática debeadquirirse dentro del pedido de Dell. Workspace ONE UEM solo es compatible con Windows 10 Pro,Enterprise y SKU de educación para aprovisionamiento en la nube.

El Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch asocia los dispositivos registradoscon los usuarios e inscribe automáticamente los dispositivos mediante el método de inscripción rápida.Cuando el usuario final se registra en el dispositivo, el agente de aprovisionamiento del dispositivo recibelos perfiles y aplicaciones asignadas al dispositivo y al usuario. Esta función es similar al Programa deInscripción de Dispositivos Apple.


VMware, Inc. 28

Cuando compra los dispositivos en Dell, Workspace ONE UEM recibe los datos de estos dispositivos.Para utilizar la inscripción automática, debe registrar los números de serie de todos los dispositivoscomprados en Dell. Workspace ONE UEM empareja el número de serie con el proporcionado por Dellpara que pueda emplearse con la detección automática de AirWatch.

Debe registrar los dispositivos con una cuenta de usuario antes de enviar los dispositivos a los usuariosfinales.

Para lograr una experiencia de inscripción sin fisuras, considere la posibilidad de configurar el método deautenticación de token de acceso externo de VMware Identity Manager. La autenticación de token deacceso externo permite que Workspace ONE se abra y envíe aplicaciones al dispositivoautomáticamente. Cuando esta función está habilitada, Workspace ONE autentica y provee al usuarioautomáticamente de una experiencia de primer inicio en la que se muestra el progreso de la instalaciónde aplicaciones y políticas.

Importante Los dispositivos inscritos mediante el Servicio de Aprovisionamiento de Windows 10 deVMware AirWatch no se volverán a inscribir automáticamente durante el restablecimiento de fábrica. ElServicio de Aprovisionamiento de Windows 10 solo funciona para la primera inscripción.

Configuración del aprovisionamiento de Windows 10Configure el Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch para inscribirdispositivos Dell de escritorio de Windows automáticamente. La inscripción automática compara losnúmeros de serie de los dispositivos registrados con una lista suministrada por Dell para inscribirdispositivos mediante configuración rápida.

Requisitos previosAntes de configurar el Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch, debencumplirse los prerrequisitos:

n Haber adquirido el Servicio de aAprovisionamiento de Windows 10 de VMware AirWatch dentro deun pedido realizado a Dell

ProcedimientoPara configurar el Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch:

1 Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows >Escritorio de Windows > Inscripción automática.

2 Cómo configurar los ajustes de inscripción automática:

Ajustes Descripción

Inscripción automática Seleccione Habilitar para utilizar el Servicio de Aprovisionamiento de Windows 10 deVMware AirWatch.

Intervalo de sincronización Seleccione la cantidad de tiempo entre los intentos de sincronización entreWorkspace ONE Intelligent Hub y la consola de Workspace ONE UEM.


VMware, Inc. 29


Aplique las políticas antes deiniciar sesión

Seleccione Habilitar para aplicar las políticas del dispositivo antes de que el usuarioinicie sesión en él.

Tiempo máximo antes del iniciode sesión

Seleccione el número máximo de minutos que pueden transcurrir antes de que unusuario inicie sesión tras concluir la inscripción mediante configuración rápida.

3 Seleccione Guardar.

4 Registre los números de serie de dispositivo con Workspace ONE UEM. Este paso se ha completadopara los clientes de SaaS, aunque solo es necesario para clientes locales. Valide que existen losregistros del registro de dispositivos. Si no, complete los pasos siguientes. Existen tres flujos deregistro de dispositivos:

a Navegue a Cuentas > Usuarios > Agregar > Agregar usuarioy agregue la cuenta de usuario.Una vez que haya añadido el usuario, seleccione Guardar y añadir dispositivo. A continuación,complete la configuración de Agregar dispositivo. Debe configurar la plataforma para Escritoriode Windows.

b Navegue a Cuentas > Usuarios > Agregar > Importar por lotes. Descargue y complete laplantilla CSV para usuario o dispositivo. Cargue el CSV y seleccione Importar. Debe introducirEscritorio de Windows como Plataforma de dispositivo al completar la plantilla. Debeconfigurar la plataforma para Escritorio de Windows.

c Navegue a Ciclo de vida > Estado de inscripción > Agregar > Registrar dispositivo. Debeconfigurar la plataforma para Escritorio de Windows.

Inscripción mediante integración con Azure ADMediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se puedeninscribir automáticamente en Workspace ONE UEM con una interacción mínima por parte del usuariofinal. La inscripción mediante la integración con Azure AD simplifica este proceso tanto para el usuariocomo para el administrador.

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurarWorkspace ONE UEM y Azure AD. Esta configuración requiere introducir información en lasimplementaciones de Azure AD y Workspace ONE UEM para facilitar la comunicación.

La integración con Azure AD admite tres flujos de inscripción: unirse a Azure AD, inscripción deconfiguración rápida e inscripción con Office 365. Todos los métodos requieren que se configure laintegración de Azure AD con Workspace ONE UEM.

Importante La inscripción mediante la integración de Azure AD requiere Windows 10 y una licenciaPremium de Azure Active Directory.


VMware, Inc. 30

Configuración de la integración de los servicios de identidad deAzure ADPara poder utilizar Azure AD para inscribir los dispositivos Windows, debe configurarWorkspace ONE UEM de forma que use Azure AD como servicio de identidad. Para habilitar Azure ADse deben completar dos pasos durante los que se agregan los detalles de la inscripción de MDM aAzure.

PrerrequisitosPara integrar Azure AD con Workspace ONE UEM, debe tener una suscripción Azure AD Premium P1 oP2. La integración de Azure AD con Workspace ONE UEM debe configurarse en el inquilino en el queestá configurada la instancia de Active Directory (como LDAP).

Importante Si establece la Configuración actual como Reemplazar en la página de configuración delsistema de "Servicios de directorio", los ajustes de LDAP se deben configurar y guardar antes de habilitarAzure AD para los servicios de identidad.

ProcedimientoPara configurar Azure AD para los servicios de identidad:

1 Navegue a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial >Servicios de directorio.

2 Habilite Utilizar Azure AD para los servicios de identidad en Opciones avanzadas.

Una vez habilitado, anote las direcciones URL de los términos de uso de MDM y de inscripción deMDM, ya que se necesitan al configurar el directorio de Azure.

3 Inicie sesión en el portal de administración de Azure con una cuenta de Microsoft o una cuenta deuna organización.

4 Seleccione el directorio y desplácese a la pestaña Movilidad (MDM y MAM). Esta pestaña era lapestaña Aplicaciones antes.

5 Seleccione Agregar aplicación y la aplicación AirWatch by VMware.


VMware, Inc. 31

Si el ámbito de usuario está establecido en "Ninguno", puede utilizar las direcciones URLpredeterminadas. Si procede, también puede utilizar direcciones URL de marcador de posición.


VMware, Inc. 32

6 Deje la aplicación AirWatch by VMware en los ajustes predeterminados. Cambie Ámbito de usuariode MDM a Ninguno.

7 Vuelva a seleccionar Agregar aplicación y seleccione Configuración de la aplicación MDM local.Puede cambiar el nombre de la aplicación cuando la agregue.

8 Configure la aplicación MDM local; para ello, introduzca las direcciones URL URL de inscripción deMDM y Términos de uso de MDM desde Workspace ONE UEM Console.

9 Seleccione Configuración de la aplicación MDM local y, luego, seleccione Permisos necesarios> Active Directory de Microsoft Azure.

10 Cambie los permisos como se indica a continuación:

n Permisos de aplicación

n Seleccione Leer y escribir datos del directorio.

n Seleccione Leer y escribir dispositivos.

n Permisos delegados

n Seleccione Acceder al directorio como usuario que ha iniciado sesión.

n Seleccione Leer datos del directorio.

n Seleccione Iniciar sesión y leer perfil de usuario.

11 Seleccione la opción Propiedades e introduzca el host de servicios de dispositivo en el cuadro detexto URI de id. de aplicación.


VMware, Inc. 33

Utilice el mismo host que usó en los cuadros de texto URL de inscripción de MDM y Términos deuso de MDM.

Formato de ejemplo: https:// <MDM DS SERVER>

12 Establezca Ámbito de usuario de MDM en Todos para aplicar esta configuración a todos losusuarios.

También puede limitar la inscripción OOBE a determinados grupos de Azure AD si seleccionaAlgunos y agrega los grupos de su preferencia.

13 Seleccione Guardar para continuar.

14 Vaya a la pestaña Propiedades y busque el identificador de Azure Directory. Esta opción sedenominaba Identificador de inquilino antes.

15 Seleccione Detalles de cuenta de usuario en la esquina superior derecha. El nombre del inquilinoes el nombre de su directorio de Azure. Puede encontrar el nombre bajo la pestaña Dominio.

16 Regrese a la consola de UEM y seleccione Utilizar Azure AD para los servicios de identidad paraconfigurar la integración de Azure AD.

17 Introduzca el Id. de Azure Directory como Identificador de inquilino. Introduzca el dominiopredeterminado como Nombre de inquilino de Azure Directory.

18 Seleccione Guardar para finalizar el proceso.


VMware, Inc. 34

Inscripción de un dispositivo con Azure ADInscriba dispositivos mediante integración con Azure AD para inscribir automáticamente un dispositivo enel grupo organizativo correcto de Workspace ONE UEM. Los dispositivos inscritos mediante Azure AD seunen completamente, lo que significa que todos los usuarios del dispositivo se unen al dominio.

Este flujo de inscripción está pensado para dispositivos que aún no se han unido a Azure AD. Paraobtener más información sobre la inscripción en un dispositivo administrado de Azure AD, consulte Inscripción en Workspace ONE UEM de un dispositivo administrado con Azure AD

Para inscribir un dispositivo mediante la unión a dominio de nube:

1 En el dispositivo Windows 10, vaya a Configuración > Cuentas > Obtener acceso a trabajo oescuela. Seleccione Continuar.

2 Introduzca su Dirección de correo electrónico. Seleccione Siguiente.

3 Confirme que aparece la página de bienvenida de Workspace ONE UEM. Seleccione Continuar.

4 Seleccione Aceptar si están habilitados los términos de uso.

5 Seleccione Unirse para confirmar que desea inscribirse en Workspace ONE UEM.

6 Seleccione Finalizar para terminar de unir el dispositivo a Workspace ONE UEM. El dispositivodescargará las políticas y los perfiles correspondientes.

Inscripción en Workspace ONE UEM de un dispositivoadministrado con Azure ADLos dispositivos que se unen a Azure AD utilizan un flujo de inscripción diferente a los dispositivos quese inscriben mediante la integración con Azure AD. Utilice este flujo para inscribir enWorkspace ONE UEM un dispositivo que ya está unido a Azure AD.

Requisitosn Sistema operativo Windows 10 con número de compilación 14393.82 y superior.

n Actualización KB3176934 instalada

n Ninguna aplicación MDM instalada en el portal de administración de Azure AD

n Cuenta de Azure AD configurada en el dispositivo

Procedimiento1 En el dispositivo, navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela y

seleccione Inscribirse solo en administración de dispositivos.

También se puede inscribir a través de VMware Workspace ONE UEM Unified Agent para Windows.

2 Finalice el proceso de inscripción. Debe introducir una dirección de correo electrónico con un dominiodiferente al de su cuenta de Azure AD.


VMware, Inc. 35

Si utiliza la detección automática de Windows, consulte Inscripción mediante Work Access con elservicio de detección automática de Windows.

Si no utiliza la detección automática de Windows, consulte Inscripción mediante Work Access con elservicio de detección automática de Windows.

3 Navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela y asegúrese de que se hanagregado una cuenta de Azure AD y una cuenta de Workspace ONE UEM MDM.

Inscripción mediante configuración rápidaLa inscripción mediante la configuración rápida (OOBE) inscribe el dispositivo automáticamente en elgrupo organizativo correcto como parte de la configuración e instalación inicial de un dispositivoWindows 10.

Precaución El flujo de inscripción de OOBE no admite la eliminación empresarial. Si realiza unaeliminación empresarial, los usuarios no podrán iniciar sesión en el dispositivo ya que se habrá perdido laconexión con Azure AD. Debe crear una cuenta de administrador local antes de enviar una eliminaciónempresarial o se quedará bloqueado fuera del se le bloqueará el acceso al dispositivo y se verá obligadoa restablecer el dispositivo.


VMware, Inc. 36

Para inscribir un dispositivo mediante OOBE:

1 Encienda el dispositivo y siga los pasos de configuración de Windows hasta que llegue a la pantallaElija la forma de conectarse.

2 Seleccione Unirse a Azure AD. Seleccione Continuar.

3 Introduzca su dirección de correo electrónico de Azure AD o Workspace ONE UEM como Cuentaprofesional o educativa.


VMware, Inc. 37

4 Introduzca su contraseña. Seleccione Iniciar sesión.

5 Asegúrese de que se muestre la pantalla Bienvenido a AirWatch. Seleccione Continuar.




Inscripción mediante las aplicaciones de Office 365Si la organización utiliza Office 365 y la integración de Azure AD, los usuarios finales pueden inscribir susdispositivos la primera vez que abren una aplicación de Office 365.

Para inscribirse mediante las aplicaciones de Office 365:

1 Seleccione Agregar una cuenta corporativa la primera vez que abra una aplicación de Office 365.

2 Introduzca su dirección de correo electrónico y su contraseña. Seleccione Iniciar sesión.

3 Confirme que aparece la página de bienvenida de Workspace ONE UEM. Seleccione Continuar.





VMware, Inc. 38

Inscripción y aprovisionamiento en masaEl aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10y los inscribe en Workspace ONE UEM. Utilice el aprovisionamiento en masa para inscribir y configurarrápidamente múltiples dispositivos con una cuenta de usuario estándar.

Este flujo de inscripción es la única manera de inscribir un dispositivo con una cuenta de usuarioestándar. No obstante, se requieren permisos de administrador para ejecutar el paquete preconfigurado.El aprovisionamiento en masa admite únicamente la inscripción preparada estándar de un solo usuario.

Para utilizar aprovisionamiento en masa, descargue el kit de evaluación y desarrollo de Microsoft einstale la herramienta Diseñador de imágenes y configuraciones (ICD). El ICD crea paquetes deaprovisionamiento utilizados en los dispositivos de imagen. Como parte de estos paquetes deaprovisionamiento, puede incluir ajustes de configuración de Workspace ONE UEM para que losdispositivos aprovisionados se inscriban automáticamente en Workspace ONE UEM durante el procesode configuración rápida (OOBE) inicial.

Para asignar los dispositivos al usuario final correcto automáticamente, registre los dispositivos porusuario o mediante una importación en masa antes de crear el paquete de aprovisionamiento.

Inscripción mediante aprovisionamiento en masaLa herramienta Diseñador de imágenes y configuraciones de Microsoft le permite crear un paquete deaprovisionamiento para inscribir, rápida y fácilmente, múltiples dispositivos de Windows 10 enWorkspace ONE UEM. Cuando ya se ha instalado el paquete, el dispositivo se inscribe automáticamenteen Workspace ONE UEM.

Para crear un paquete de aprovisionamiento:

1 Descargue el kit de evaluación e implementación Assessment and Deployment Kit de Microsoft paraWindows 10 e instale la herramienta Diseñador de imágenes y configuraciones (ICD) de Windows.

2 Inicie el ICD de Windows y seleccione Paquete de aprovisionamiento nuevo.

3 Introduzca Nombre del proyecto y seleccione los ajustes que se podrán ver y configurar.

La elección típica es la opción Común para todas las ediciones de escritorio de Windows.

4 (Opcional) Importe un paquete de aprovisionamiento si quiere crear uno nuevo basado en los ajustesde un paquete anterior.

5 Navegue a Configuración de tiempo de ejecución > Área de trabajo > Inscripciones.

6 En Workspace ONE UEM Console, navegue a Grupos y ajustes > Todos los ajustes >Dispositivos y usuarios > Windows > Escritorio de Windows > Inscripción preparada yaprovisionamiento.


VMware, Inc. 39

Cuando navega a esta página de configuración, se crea un usuario de inscripción preparada y semuestran las direcciones URL pertenecientes al usuario de inscripción preparada creado. Puedecrear su propio usuario de inscripción preparada para utilizarlo con el aprovisionamiento en masa,pero los ajustes mostrados en esta página de configuración no se aplican a ninguno de los usuarioscreados.

7 Copie el UPN y péguelo en el campo UPN de ICD.

8 Seleccione la flecha hacia abajo que aparece junto a Inscripciones en la ventanaPersonalizaciones disponibles.

9 Configure los siguientes ajustes:

n Seleccione AuthPolicy y elija el valor mostrado en la consola de UEM.

n Seleccione DiscoveryServiceFullURL y copie la dirección URL mostrada en la consola de UEM.

n Seleccione EnrollmentServiceFullURL y copie la dirección URL mostrada en la consola deUEM.

n Seleccione PolicyServiceFullURL y copie la dirección URL mostrada en la consola de UEM.

n Seleccione Secret y copie el valor mostrado en la consola de UEM.

10 Seleccione Archivo > Guardar para guardar el proyecto.

11 Seleccione Exportar > Paquete de aprovisionamiento para crear un paquete para utilizarlo con elaprovisionamiento en masa. Luego, seleccione Siguiente.


VMware, Inc. 40

12 Guarde la Contraseña de cifrado para usarla posteriormente si decide cifrar el paquete y despuésseleccione Siguiente.

13 Guarde el paquete en una unidad USB para transferirlo a cada dispositivo que desee aprovisionar.También puede enviar el paquete por correo electrónico al dispositivo.

14 Seleccione Compilar para crear el paquete.

Pasos siguientesA continuación, debe instalar el paquete de aprovisionamiento en masa. Para obtener más información,consulte Instalación de paquetes de aprovisionamiento en masa

Instalación de paquetes de aprovisionamiento en masaDespués de crear los paquetes de aprovisionamiento utilizando Diseñador de imágenes yconfiguraciones de Microsoft, debe instalar el paquete de aprovisionamiento en los dispositivos de losusuarios finales.

Para instalar un paquete de aprovisionamiento:

1 En el dispositivo que quiera aprovisionar, navegue a Ajustes > Cuentas > Acceso profesional yseleccione Agregar o quitar un paquete para el trabajo o el colegio. Si se envió el paquete porcorreo electrónico, ábralo desde su cliente de correo.

2 Seleccione Agregar un paquete y seleccione la opción Medio extraíble como método para agregarel paquete.

3 Seleccione el paquete correcto en la lista proporcionada.

Si agregó el dispositivo a la cuenta de usuario en Workspace ONE UEM Console antes de realizar elaprovisionamiento, el dispositivo se asigna al realizar la inscripción.


VMware, Inc. 41

Resumen de los perfiles deescritorio de Windows 3Los perfiles se utilizan principalmente para administrar dispositivos. Configure los perfiles para que susdispositivos de escritorio de Windows estén protegidos y tengan acceso a su configuración preferida.

IntroducciónImagine que los perfiles son ajustes y reglas que, combinados con las políticas de conformidad, loayudan a aplicar reglas y procedimientos corporativos. Contienen los ajustes, las configuraciones y lasrestricciones que desea aplicar en los dispositivos.

Un perfil incluye ajustes generales de perfiles y una carga útil específica. Los perfiles funcionan mejorcuando solo contienen una única carga útil.

Los perfiles de escritorio de Windows se aplican en un dispositivo al nivel del usuario o al nivel deldispositivo. Al crear perfiles de escritorio de Windows, puede seleccionar el nivel al que desea que seaplique el perfil. Algunos perfiles solo pueden aplicarse al nivel del usuario o al nivel del dispositivo.Workspace ONE UEM ejecuta comandos que se aplican al contexto del dispositivo, incluso si en este nohay ningún inicio de sesión activo de un usuario inscrito. Los perfiles específicos para usuarios requierenun inicio de sesión activo de un usuario inscrito.

Valores de referenciaEl mantenimiento de las mejores configuraciones para proteger los dispositivos puede ser un desafío.Workspace ONE UEM guarda las prácticas recomendadas como Valores de referencia. Esta función lepermite simplificar el proceso mediante la aplicación de los ajustes y las configuraciones recomendadospor el sector. Con las Valores de referencia, solo tiene que seleccionar un grupo inteligente y una líneade base, y los dispositivos permanecerán actualizados con los ajustes recomendados por el sector, comolas líneas de base de Microsoft o los bancos de pruebas de CIS. Para obtener más información sobreValores de referencia, consulte Capítulo 4Uso de Valores de referencia.

Acceso al dispositivoAlgunos perfiles del dispositivo configuran los ajustes para acceder a un dispositivo de escritorio deWindows. Solo los usuarios autorizados pueden utilizar estos perfiles para garantizar el acceso a undispositivo.

VMware, Inc. 42

Algunos ejemplos de perfiles de acceso a un dispositivo incluyen:

n Proteja el dispositivo con un perfil de código de acceso. Para obtener más información, consulte Configuración de un perfil de código de acceso (escritorio de Windows).

n Configurar la funcionalidad nativa Pasaporte. Para obtener más información, consulte Perfil deWindows Hello (escritorio de Windows)

Seguridad del dispositivoAsegúrese de que sus dispositivos de escritorio de Windows permanezcan protegidos con perfiles deldispositivo. Estos perfiles configuran las funciones nativas de seguridad de Windows o los ajustescorporativos de seguridad en un dispositivo a través de AirWatch.

Algunos ejemplos de perfiles de seguridad del dispositivo incluyen:

n Utilice un perfil de Wi-Fi para conectar los dispositivos inscritos a su red Wi-Fi corporativa sin tenerque enviar las credenciales de la red a los usuarios. Para obtener más información, consulte Configuración de un perfil de Wi-Fi (escritorio de Windows)

n Mantenga protegidos los datos corporativos con el perfil de protección de datos. Para obtener másinformación, consulte Perfil de protección de datos (escritorio de Windows)

n Proteja el acceso de sus dispositivos a los recursos internos con el perfil de VPN. Para obtener másinformación, consulte Perfil de VPN (escritorio de Windows)

Configuración del dispositivoConfigure los diversos ajustes de sus dispositivos de escritorio de Windows con los perfiles deconfiguración. Estos perfiles configuran los ajustes del dispositivo para estar a la altura de susnecesidades empresariales.

Algunos ejemplos de perfiles de configuración del dispositivo incluyen:

n Configurar una cuenta de Exchange en un dispositivo con un perfil de Exchange ActiveSync. Paraobtener más información, consulte Perfiles de Exchange ActiveSync (escritorio de Windows)

n Restringir las aplicaciones que pueden instalarse en un dispositivo con el perfil de control deaplicaciones. Para obtener más información, consulte Perfil de control de aplicaciones (escritorio deWindows)

n Asegúrese de que los dispositivos se mantienen actualizados con el perfil de actualizaciones deWindows. Para obtener más información, consulte Configuración de un perfil de actualizaciones deWindows (escritorio de Windows)


n Configuración de un perfil de código de acceso (escritorio de Windows)

n Configuración de un perfil de Wi-Fi (escritorio de Windows)

n Perfil de VPN (escritorio de Windows)


VMware, Inc. 43

n Perfil de credenciales (escritorio de Windows)

n Configuración de una carga útil de restricciones (escritorio de Windows)

n Perfil de protección de datos (escritorio de Windows)

n Perfil de Windows Hello (escritorio de Windows)

n Configuración de un perfil de firewall (escritorio de Windows)

n Configuración de un perfil de modo de aplicación única (escritorio de Windows)

n Configuración de un perfil de antivirus (escritorio de Windows)

n Perfil de cifrado (escritorio de Windows)

n Configuración de un perfil de actualizaciones de Windows (escritorio de Windows)

n Cómo crear un perfil de proxy (escritorio de Windows)

n Configuración de un perfil de web clips (escritorio de Windows)

n Perfiles de Exchange ActiveSync (escritorio de Windows)

n Perfil de SCEP (escritorio de Windows)

n Perfil de control de aplicaciones (escritorio de Windows)

n Configuración de un perfil de servicios web de Exchange (escritorio de Windows)

n Creación de un perfil de licencias de Windows (escritorio de Windows)

n Configuración de un perfil de BIOS (escritorio de Windows)

n Configuración de un perfil de actualizaciones de OEM (escritorio de Windows)

n Configuración de un perfil de quiosco (escritorio de Windows)

n Uso de ajustes personalizados (escritorio de Windows)

Configuración de un perfil de código de acceso(escritorio de Windows)Exija un perfil de código de acceso para proteger los dispositivos con códigos de acceso cada vez queregresen de un estado inactivo. Este código de acceso asegura que toda la información confidencialcorporativa de los dispositivos administrados permanezca protegida.

Los códigos de acceso establecidos con esta carga útil solo entrarán en vigor si el código de acceso esmás estricto que los códigos de acceso existentes. Por ejemplo, si el código de acceso de la cuenta deMicrosoft existente requiere unos ajustes más estrictos que los requeridos por la carga útil de código deacceso, el dispositivo sigue utilizando el código de acceso de la cuenta de Microsoft.

Importante La carga útil del código de acceso no se aplica a los dispositivos unidos al dominio.

Para configurar un perfil de código de acceso:

1 Navegue a Dispositivos > Perfiles > Vista en lista > Agregar y seleccione Agregar perfil.


VMware, Inc. 44

2 Seleccione Windows y luego Escritorio de Windows.

3 Seleccione Perfil del dispositivo.

4 Configure los ajustes de la sección General del perfil.

5 Seleccione el perfil de código de acceso.

6 Configure los ajustes de Código de acceso:


Complejidad de contraseña Ajuste esta opción en Simple o Complejo para elegir el nivel de dificultad de lacontraseña que prefiera.

Requerir valoresalfanuméricos

Habilite esta opción para exigir que el código de acceso sea un código de accesoalfanumérico.

Longitud mínima de lacontraseña

Introduzca la cantidad mínima de caracteres que debe contener una contraseña.

Vigencia máxima de lacontraseña (días)

Introduzca la cantidad máxima de días que pueden pasar hasta que el usuario tengaque cambiar la contraseña.

Vigencia mínima de lacontraseña (días)

Introduzca la cantidad mínima de días que pueden pasar hasta que el usuario tengaque cambiar la contraseña.

Tiempo de espera de bloqueodel dispositivo (minutos)

Introduzca la cantidad de minutos que pasarán hasta que el dispositivo se bloqueeautomáticamente y requiera reintroducir el código de acceso.

Número máximo de intentossin éxito

Introduzca la cantidad máxima de intentos que el usuario final puede introducir antes dereiniciar el dispositivo.

Historial de contraseña(repeticiones)

Introduzca la cantidad de veces que se recuerda la contraseña.

Si el usuario final reutiliza una contraseña el número de veces registrado, no podrávolver a utilizar dicha contraseña.

Por ejemplo, si introduce 12 en este campo, el usuario final no podrá reutilizar las 12contraseñas anteriores.

Cifrado reversible para elalmacenamiento decontraseña

Habilite esta opción para configurar el sistema operativo de forma que almacene lascontraseñas utilizando el cifrado reversible.

Almacenar las contraseñas utilizando el cifrado reversible es, básicamente, lo mismoque almacenar versiones de las contraseñas en texto sin formato.

Por este motivo, esta política no debe habilitarse nunca a menos que los requisitos dela aplicación sean superiores a la necesidad de proteger la información de lacontraseña.

Utilizar agente de protecciónpara dispositivos Windows 10

Habilite el uso de Workspace ONE Intelligent Hub para realizar ajustes de perfil decódigo de acceso en lugar de la funcionalidad de DM nativa. Habilite esta configuraciónsi experimenta problemas utilizando la funcionalidad de DM nativa.

Política de contraseña deWindows 8.0

Habilite esta opción para utilizar la política de contraseña de Windows 8.0 heredada.

Caducar contraseña Habilite esta opción para que la contraseña existente en el dispositivo caduque y exigirla creación de una contraseña nueva.

Es necesario que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

7 Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.


VMware, Inc. 45

Política de contraseña de Windows 8.0Si habilita la Política de contraseña de Windows 8.0, configure los siguientes ajustes.

Nota Se recomienda actualizar los dispositivos de escritorio de Windows a la versión Windows 8.1, yaque es gratuita y ofrece más capacidades de MDM.


Permitir valores simples Habilite esta opción para permitir que los usuarios finales utilicen códigos de acceso simples.

Inhabilítela para exigir que los códigos de acceso cumplan ajustes de complejidad.

Requerir valor alfanumérico Habilite esta opción para exigir que el usuario final cree un código de acceso con unalongitud mínima y un número mínimo de caracteres complejos.

Número mínimo de caracterescomplejos

Introduzca el número mínimo de caracteres complejos (minúsculas, mayúsculas, símbolos ynúmeros) exigidos para un código de acceso.


Introduzca el número mínimo de caracteres que debe contener un código de acceso.

Vigencia máxima del códigode acceso (días)

Introduzca el número máximo de días que pueden pasar hasta que el usuario tenga quecambiar el código de acceso.


Introduzca la cantidad máxima de intentos que el usuario final puede introducir antes dereiniciar el dispositivo.

Tiempo de espera de bloqueodel dispositivo (minutos)

Introduzca la cantidad de minutos que pasarán hasta que el dispositivo se bloqueeautomáticamente y requiera reintroducir el código de acceso.

Historial del código de acceso Introduzca la cantidad de veces que se recuerda la contraseña.

Si el usuario final reutiliza una contraseña dentro del número de veces registrado, no podráreutilizar dicha contraseña. Por ejemplo, si introduce 12 en este campo, el usuario final nopodrá reutilizar las 12 contraseñas anteriores.

Configuración de un perfil de Wi-Fi (escritorio deWindows)Cree un perfil de Wi-Fi para conectar los dispositivos a las redes corporativas, aun cuando estén ocultas,cifradas o protegidas mediante contraseña. Los perfiles de Wi-Fi son útiles para los usuarios finales quenecesitan acceso a múltiples redes o para configurar que los dispositivos se conecten automáticamentea una red inalámbrica adecuada.

¿Quiere usar la autenticación EAP basada en certificados para perfiles de VPN y Wi-Fi? Consulte elsiguiente artículo de la base de conocimientos: https://support.air-watch.com/articles/115001664448.

Para configurar una carga útil de Wi-Fi:





VMware, Inc. 46



5 Seleccione el perfil de Wi-Fi.

6 Configure los ajustes de la sección General.


Identificador de red Introduzca un identificador asociado con el nombre (SSID) de la red Wi-Fi deseada.

El SSID no puede contener espacios.

Red oculta Habilite esta opción si la red no está abierta para difusión.

Unirse automáticamente Habilite esta opción para que el dispositivo se una a la red de forma automática.

Tipo de seguridad Utilice el menú desplegable para seleccionar el tipo de seguridad (por ejemplo, WPA2Personal) para la red Wi-Fi.

Cifrado Utilice el menú desplegable para seleccionar el tipo de cifrado utilizado.

Aparece según el tipo de seguridad.

Contraseña Introduzca la contraseña requerida para unirse a la red Wi-Fi en los casos de redes concontraseñas estáticas.

Seleccione la casilla de verificación Mostrar los caracteres para inhabilitar la función deocultar los caracteres en el campo.

Aparece según el tipo de seguridad.

Proxy

Proxy Habilite esta opción para configurar los ajustes del proxy para la conexión Wi-Fi.

Dirección URL Introduzca la dirección URL del proxy.

Puerto Introduzca el puerto del proxy.

Protocolos

Protocolos Seleccione el tipo de protocolos que desea utilizar:

Certificado: PEAP-MsChapv2

EAP-TTLS: personalizado

Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise o WPA2Enterprise.

Autenticación

Identidad interna Seleccione el método de autenticación a través de EAP-TTLS:n Nombre de usuario/contraseñan CertificadoEsta sección aparece cuando la opción Protocolos está ajustada en EAP-TTLS o PEAP-MsChapv2.

Requerir enlace de cifrado Habilite esta opción para exigir el enlace criptográfico en ambas autenticaciones.

Esta opción limita los ataques de tipo “Man in the middle”.

Utilizar las credenciales deinicio de sesión deWindows

Habilite esta opción para usar las credenciales de inicio de sesión de Windows como elnombre usuario y la contraseña de autenticación.

Aparece cuando Nombre de usuario/Contraseña está ajustado como Identidad interna.


VMware, Inc. 47


Certificado de identidad Seleccione un certificado de identidad que pueda configurar utilizando la carga útil decredenciales. Consulte Perfil de credenciales (escritorio de Windows) para másinformación.

Aparece cuando Certificado está ajustado como Identidad interna.

Confianza

Certificados de confianza Seleccione Agregar para agregar certificados de confianza al perfil de Wi-Fi.

Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise o WPA2Enterprise.

Permitir excepciones deconfianza

Habilite esta opción para permitir que el usuario tome decisiones de confianza mediante uncuadro de diálogo.


Perfil de VPN (escritorio de Windows)Workspace ONE UEM es compatible con la configuración de los ajustes de VPN del dispositivo para quelos usuarios finales puedan acceder de forma remota y segura a la red interna de la organización. Elperfil de VPN ofrece un control detallado sobre los ajustes de la conexión, como los ajustes delproveedor de la VPN y acceso VPN por aplicación.

Workspace ONE UEM es compatible con tipos específicos de conexiones VPN para diversosproveedores de VPN, entre los cuales se incluyen:

VPN por aplicaciónLa VPN por aplicación le permite configurar reglas de tráfico de VPN basadas en aplicacionesespecíficas. Si está configurada, la VPN se conecta automáticamente cuando se inicia una aplicaciónespecífica; se envía el tráfico de la aplicación a través de la conexión VPN, pero no el de otrasaplicaciones. Con esta flexibilidad, puede confiar en que los datos permanecen protegidos, al tiempo queno limita el acceso del dispositivo a Internet.

Vea un videotutorial en el que se explica cómo configurar el perfil de VPN de Windows para VPN poraplicación: https://support.air-watch.com/articles/115001664668.

Cada grupo de reglas de la sección Reglas de VPN por aplicación utiliza el operador lógico OR. De estaforma, si el tráfico coincide con alguna de las políticas establecidas, se permite a través de la VPN.


VMware, Inc. 48


Las aplicaciones a las que se aplican las reglas de tráfico de VPN por aplicación pueden ser aplicacionesde Windows heredadas, como archivos EXE, o aplicaciones modernas descargadas de Microsoft Store.Al designar aplicaciones específicas para que se abran y utilicen la conexión VPN, solo el tráficoprocedente de estas aplicaciones utiliza la VPN sin exigir que todo el tráfico procedente del dispositivoutilice tal conexión VPN. Esta lógica permite proteger los datos corporativos al tiempo que reduce elancho de banda enviado a través de la VPN.

Para ayudar a reducir la restricción de VPN, puede configurar reglas de enrutamiento de DNS para laconexión VPN por aplicación. Estas reglas de enrutamiento limitan el tráfico enviado a través de la VPNa solo el tráfico que coincide con las reglas. Las reglas lógicas usan el operador AND, de modo que siestablece una dirección IP, puerto y protocolo de IP, el tráfico debe coincidir con CADA uno de estosfiltros para pasar a través de la VPN.

La VPN por aplicación le permite crear un control pormenorizado y detallado de sus conexiones VPNespecífico de cada aplicación.


VMware, Inc. 49

Configuración de un perfil de VPN (escritorio de Windows)Configure los ajustes de la VPN del dispositivo para tener acceso a la infraestructura corporativa deforma remota y segura. También se pueden configurar conexiones de VPN por aplicación que limitan eltráfico a través de la VPN a aplicaciones específicas y ajustar la VPN para que se conecteautomáticamente cada vez que se inicie la aplicación especificada.


Para aplicar un perfil de VPN:



3 Seleccione Perfil del usuario o Perfil del dispositivo.


5 Seleccione el perfil de VPN.

6 Configure los ajustes de Información de la conexión:


Nombre de laconexión

Introduzca el nombre de la conexión de VPN.

Tipo de conexión Seleccione el tipo de conexión de VPN.

Servidor Introduzca la dirección IP o el nombre de host del servidor VPN.

Puerto Introduzca el puerto que utiliza el servidor VPN.

Ajustes deconexiónavanzados

Habilítelos para configurar las reglas de enrutamiento avanzadas para la conexión a la VPN deldispositivo.

Direcciones deenrutamiento

Seleccione Agregar para introducir las direcciones IP y el tamaño del prefijo de la subred delservidor VPN.

Puede que necesite direcciones de enrutamiento adicionales.

Reglas deenrutamiento DNS

Seleccione "Agregar" para introducir el Nombre de dominio que gobierna el uso de la VPN.Introduzca los servidores DNS y los servidores de proxy web que desea usar para cada dominioespecífico.

Política deenrutamiento

Elija Exigir que todo el tráfico pase por VPN o Permitir el acceso directo a los recursosexternos.n Exigir que todo el tráfico pase por VPN (túnel forzado): en esta regla de tráfico, todo el tráfico

de IP debe pasar exclusivamente a través de la interfaz de VPN.n Permitir el acceso directo a los recursos externos (túnel dividido): en esta regla de tráfico,

solo el tráfico destinado a la interfaz de VPN (según determine la pila de red) pasa a través de lainterfaz. El tráfico de Internet puede seguir pasando a través de otras interfaces.

Proxy Seleccione Detección automática para detectar automáticamente los servidores proxy que utiliza laVPN. Seleccione Manual para configurar el servidor proxy.


VMware, Inc. 50



Servidor Introduzca la dirección IP del servidor proxy.

Aparece cuando Proxy se configura como Manual.

URL deconfiguración delservidor proxy

Introduzca la dirección URL para los ajustes de configuración del servidor proxy.

Aparece cuando Proxy se configura como Manual.

Desviar del proxyal local

Habilite esta opción para omitir el servidor proxy cuando el dispositivo que lo detecte esté en la redlocal.

Autenticación

Protocolo Seleccione el protocolo de autenticación para la VPN:n EAP – Permite diversos métodos de autenticación.n Certificado de máquina: detecta un certificado de cliente en el almacén de certificados de

dispositivos con vistas a su uso para la autenticación.

Tipo de EAP Seleccione el tipo de autenticación EAP.n EAP-TLS – Autenticación mediante tarjeta inteligente o certificado de cliente.n EAP-MSCHAPv2 – Nombre de usuario y contraseñan EAP-TTLSn PEAPn Configuración personalizada – Permite todas las configuraciones EAP.

Solo se muestra si el Protocolo está ajustado a EAP.

Tipo decredenciales

Seleccione Utilizar certificado para utilizar un certificado de cliente. Seleccione Utilizar tarjetainteligente con el fin de utilizar una tarjeta inteligente para autenticarse.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

Selección decertificado simple

Habilite esta opción para simplificar la lista de certificados desde la que elige el usuario. Loscertificados se muestran según el certificado que se emitió hace menos tiempo para cada entidad.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

Utilizar lascredenciales deinicio de sesión deWindows

Habilite esta opción para utilizar las mismas credenciales que el dispositivo Windows.

Aparece cuando Tipo de EAP está ajustado en EAP-MSCHAPv2.

Privacidad de laidentidad

Introduzca el valor que desea enviar a los servidores antes de que el cliente autentique la identidaddel servidor.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Método deautenticacióninterna

Seleccione el método de la autenticación para la autenticación de la identidad interna.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Habilitarreconexión rápida

Habilite esta opción para reducir el periodo de tiempo entre una solicitud de autenticación emitidapor un cliente y la respuesta procedente del servidor.

Aparece cuando Tipo de EAP está ajustado en PEAP.

Habilitar laprivacidad deidentidad

Habilite esta opción para proteger la identidad del usuario hasta que el cliente se autentique con elservidor.

Reglas de tráfico de VPN


VMware, Inc. 51


Reglas de VPN poraplicación

Seleccione Agregar para agregar reglas de tráfico para aplicaciones heredadas y modernasespecíficas. Para obtener más información acerca de VPN por aplicación, consulte Perfil de VPN(escritorio de Windows).

ID de aplicación Seleccione primero si la aplicación es una aplicación de la tienda o una aplicación de escritorio.Luego introduzca la ruta del archivo de la aplicación para las aplicaciones de escritorio o el nombrede familia de paquete para las aplicaciones de la tienda para especificar la aplicación a la que seaplican las reglas de tráfico.n Ejemplo de la ruta del archivo: %ProgramFiles%/Internet Explorer/iexplore.exen Ejemplo del nombre de familia de paquete: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

La consulta de nombre de familia de paquete le permite buscar el nombre de familia de paquete alseleccionar el icono Buscar. Aparece una ventana que le permite seleccionar la aplicación quedesea gobernar con las reglas de VPN por aplicación. El nombre de familia de paquete se llenaautomáticamente.

VPN a pedido Habilite esta opción para que la conexión VPN se conecte automáticamente al abrir la aplicación.

Política deenrutamiento

Seleccione la política de enrutamiento de la aplicación.n Permitir el acceso directo a los recursos externos permite el tráfico VPN y el tráfico a través

de la conexión de red local.n Exigir que todo el tráfico pase por VPN obliga a que todo el tráfico pase a través de la VPN.

Reglas deenrutamiento DNS

Habilite esta opción para agregar reglas de enrutamiento de DNS para el tráfico de la aplicación.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas deenrutamiento. Solo podrá enviarse a través de la VPN el tráfico de la aplicación especificada quecoincida con las reglas.n Dirección IP: una lista de valores separados por comas que especifica los intervalos de las

direcciones IP que se permiten.n Puertos: una lista de valores separados por comas que especifica los intervalos de los puertos

remotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidoscuando el protocolo está establecido como TCP o UDP.

n Protocolo de IP: valor numérico de 0 a 255 que representa el protocolo de IP que se permite.Por ejemplo, TCP = 6 y UDP = 17.

Para más información acerca de cómo funcionan estos filtros y políticas y la lógica utilizada, consulte Perfil de VPN (escritorio de Windows).

Reglas de VPNpara todo eldispositivo

Seleccione Agregar para agregar reglas de tráfico para todo el dispositivo.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas deenrutamiento. Solo se podrá enviar a través de la VPN el tráfico que coincida con estas reglas.n Dirección IP: una lista de valores separados por comas que especifica los intervalos de las

direcciones IP que se permiten.n Puertos: una lista de valores separados por comas que especifica los intervalos de los puertos

remotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidoscuando el protocolo está establecido como TCP o UDP.

n Protocolo de IP: valor numérico de 0 a 255 que representa el protocolo de IP que se permite.Por ejemplo, TCP = 6 y UDP = 17. Para obtener una lista del valor numérico de todos losprotocolos, consulte https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.

Políticas

Recordar lascredenciales

Habilite esta opción para recordar las credenciales de inicio de sesión del usuario final.


VMware, Inc. 52

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml


Siempreencendido

Habilite esta opción para hacer que la conexión VPN siempre esté activada.

Bloqueo de VPN Habilite esta opción para hacer que la VPN esté siempre activada y nunca se desconecte, inhabilitarel acceso a la red si la VPN no está conectada y evitar que otros perfiles de VPN se conecten aldispositivo.

Si hay un perfil de VPN con el bloqueo de VPN habilitado, debe eliminarlo antes de insertar unnuevo perfil de VPN en el dispositivo.

Desviar al local Habilite esta opción para omitir la conexión VPN para el tráfico de intranet local.

Detección de redde confianza

Introduzca las direcciones de red de confianza separadas por comas. La VPN no se conecta cuandose detecte una conexión de red de confianza.

Resolución del nombre de dominio mediante el servidor VMware Tunnel.

Dominio Seleccione Añadir un nuevo dominio para agregar dominios para la resolución mediante elservidor VMware Tunnel.

Cualquier dominio agregado se resuelve a través del servidor de VMware Tunnel con independenciade la aplicación que originase el tráfico. Por ejemplo, si agrega www.air-watch.com, cualquier tráficohacia ese dominio se redirige a través del servidor de VMware Tunnel si procede de la aplicación deChrome configurada y de la aplicación de Edge no configurada.

Esta opción solo se muestra si crea el perfil de VPN como perfil de usuario.


Perfil de credenciales (escritorio de Windows)Un perfil de credenciales le permite insertar certificados raíz, intermedio y del cliente para admitircualquier caso de uso de autenticación de certificado e infraestructura de clave pública (PKI). El perfilenvía credenciales configuradas al almacén de credenciales adecuado en el dispositivo de escritorio deWindows.

Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a lafuerza bruta, ataques de diccionario y errores de sus empleados. Para obtener una seguridad máscompleta, puede implementar certificados digitales con los que proteger sus recursos corporativos. Parautilizar certificados de esta manera, debe configurar primero una carga útil de credenciales con unaentidad de certificación (CA), y luego configurar las cargas útiles de Wi-Fi y VPN. Cada una de estascargas tiene ajustes para asociar la entidad de certificación (CA) definida en la carga útil de credenciales.

El perfil de credenciales también le permite insertar certificados S/MIME en los dispositivos. Estoscertificados se cargan en la cuenta de cada usuario y los controla el perfil de credenciales.

Para los dispositivos Windows 8.1, los certificados personales requieren la carga útil SCEP y elWorkspace ONE Intelligent Hub para Windows en el dispositivo.



VMware, Inc. 53


Configuración de un perfil de credenciales (escritorio deWindows)Un perfil de credenciales envía certificados a los dispositivos para utilizarlos en la autenticación. ConWorkspace ONE UEM, puede configurar las credenciales para los almacenes de certificados depersonas de confianza, editor de confianza, raíz de confianza, intermedios y personales.

Para configurar una carga útil de credenciales:





5 Seleccione la carga útil de credenciales y configure los siguientes ajustes:


Fuente decredenciales:

Seleccione la fuente de credenciales como una Carga, una Entidad definida de certificación o unCertificado de usuarioLas opciones de carga útil restantes dependen de la fuente.n Si selecciona Cargar, debe cargar un certificado nuevo.n Si selecciona Entidad definida de certificación, debe escoger una entidad de certificación y una

plantilla predefinidas.n Si selecciona Certificado de usuario, debe seleccionar cómo se utiliza el certificado de S/MIME.

Cargar Seleccione esta opción para navegar hasta el archivo de certificado de credenciales deseado ycargarlo en Workspace ONE UEM Console.

Este ajuste se muestra cuando se selecciona Cargar como Fuente de credenciales.

Autoridad decertificación

Utilice el menú desplegable para seleccionar una entidad de certificación predefinida.

Este ajuste se muestra cuando se selecciona Entidad definida de certificación como Fuente decredenciales.

Plantilla decertificado

Utilice el menú desplegable para seleccionar una plantilla de certificado predefinida específica de laentidad de certificación seleccionada.

Este ajuste se muestra cuando se selecciona Entidad definida de certificación como Fuente decredenciales.

Exportar la claveprivada

Seleccione Permitir para que los usuarios finales puedan exportar certificados con el Administradorde certificados de Windows.

Seleccione No permitir para que los usuarios no puedan exportar los certificados.


VMware, Inc. 54


Ubicación de laclave

Seleccione la ubicación de la clave privada del certificado:n TPM, si está: seleccione esta opción para almacenar la clave privada en un módulo de

plataforma segura si está presente en el dispositivo; de lo contrario, debe almacenarla en elsistema operativo.

n TPM requerido: seleccione esta opción para almacenar la clave privada en un módulo deplataforma segura. Si no hay un módulo de plataforma segura presente, el certificado no seinstala y se muestra un error en el dispositivo.

n Software: seleccione esta opción para almacenar la clave privada en el sistema operativo deldispositivo.

n Passport: seleccione esta opción para guardar la clave privada en Microsoft Passport. Estaopción requiere la integración con Azure AD.

Almacén decertificados

Seleccione el almacén de certificados adecuado para que la credencial resida en el dispositivo:n Personal: seleccione esta opción para almacenar los certificados personales. Los certificados

personales requieren Workspace ONE Intelligent Hub en el dispositivo o el uso de la carga útilSCEP.

n Intermedio: seleccione esta opción para almacenar los certificados de entidades de certificaciónintermedias.

n Raíz de confianza: seleccione esta opción para almacenar los certificados de entidades decertificación de confianza y los certificados raíz de su organización y de Microsoft.

n Publicador de confianza: seleccione esta opción para almacenar los certificados de entidadesde certificación de confianza en los que se confía según las políticas de restricción de software.

n Personas de confianza: seleccione esta opción para almacenar los certificados de personas deconfianza o de entidades finales en las que se confía explícitamente. A menudo estos certificadosson certificados autofirmados o certificados en los que se confía explícitamente en unaaplicación, como Microsoft Outlook.

Guardar laubicación

Seleccione Usuario o Máquina para definir dónde está ubicado el certificado.

S/MIME Seleccione si el certificado S/MIME es para cifrado o firma.

6 Seleccione Guardar y publicar para insertar el perfil en los dispositivos.

Configuración de una carga útil de restricciones(escritorio de Windows)Implemente una carga útil de restricciones para proporcionar una mayor protección a los dispositivos deescritorio de Windows. Utilice la carga útil de restricciones para inhabilitar el acceso de usuarios finales alas funciones de los dispositivos y garantizar así que no los manipulen.

La versión y la edición de Windows que utilice determinan las restricciones que se aplican al dispositivo.

Para aplicar un perfil de restricciones:

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista en lista y seleccione Agregar.




VMware, Inc. 55


5 Seleccione el perfil de Restricciones.

6 Configure los ajustes de Administración:


Permitir la anulación de inscripción manual de MDM Permita al usuario final que anule la inscripción deWorkspace ONE UEM de forma manual mediante lainscripción de Workplace/Work Access.

Esta restricción se aplica a dispositivos Windows 10únicamente y no es compatible con dispositivos Windows 10Home.

El Hub de configuración instalará los paquetes deaprovisionamiento durante la ejecución

Habilite esta opción para permitir el uso de paquetes deaprovisionamiento para inscribir dispositivos enWorkspace ONE UEM (aprovisionamiento en masa).


Ubicación Seleccione la forma en qué los servicios de ubicación seejecutan en el dispositivo.


Motor en tiempo de ejecución del agente de configuraciónpara eliminar los paquetes de aprovisionamiento

Habilite esta opción para permitir la eliminación de lospaquetes de aprovisionamiento.


Enviar datos de telemetría de diagnóstico y de uso Seleccione el nivel de los datos de telemetría que deseaenviar a Microsoft.


Exigir una cuenta de Microsoft para MDM Habilite esta opción para exigir una cuenta de Microsoftpara que los dispositivos reciban las políticas o lasaplicaciones.

Requerir una cuenta de Microsoft para aplicacionesmodernas

Habilite esta opción para exigir una cuenta de Microsoftpara que los dispositivos descarguen e instalen aplicacionesde Windows.

Los paquetes de aprovisionamiento deben tener uncertificado firmado por una entidad de confianza deldispositivo

Habilite esta opción para exigir un certificado de confianzapara todos los paquetes de aprovisionamiento(aprovisionamiento en masa).


Permitir que el usuario cambie los ajustes de lareproducción automática

Permite al usuario cambiar el programa que se va a usarpara reproducir automáticamente los tipos de archivos.



VMware, Inc. 56


Permite que el usuario cambie los ajustes de Data Sense Permite al usuario cambiar los ajustes de Data Sense pararestringir el uso de datos en el dispositivo.


Fecha / hora Permite al usuario cambiar los ajustes de Fecha/Hora.


Idioma Permite al usuario cambiar los ajustes de idioma.


Permitir que el usuario cambie los ajustes de inicio ysuspensión

Permite al usuario cambiar los ajustes de inicio ysuspensión.


Región Permite al usuario cambiar la región.


Permitir que el usuario cambie las opciones de inicio desesión

Permite al usuario cambiar las opciones de inicio de sesión.


VPN Permite al usuario cambiar los ajustes de la VPN.


Permite al usuario cambiar los ajustes de Workplace Permite al usuario cambiar los ajustes de Workplace y elfuncionamiento de MDM en el dispositivo.


Permite al usuario cambiar los ajustes de cuenta Permite al usuario cambiar los ajustes de idioma.


Bluetooth Permite utilizar la conexión Bluetooth en el dispositivo.


Publicidad del Bluetooth del dispositivo Permite que el dispositivo difunda avisos de Bluetooth.



VMware, Inc. 57


Dispositivos con capacidad de Bluetooth puedendescubrir el dispositivo

Permite que otros dispositivos con Bluetooth detecten eldispositivo.


Cámara Permite el acceso a la función de cámara del dispositivo.


Cortana Permite el acceso a la aplicación Cortana.


Experiencia del usuario de la detección del dispositivo enla pantalla de bloqueo

Permite que la experiencia de usuario de detección dedispositivos en la pantalla de bloqueo detecte proyectores yotras pantallas.

Si está habilitado, los accesos directos Win+P y Win+K nofuncionan.


Registros de IME Permite al usuario activar y desactivar el registro deconversiones incorrectas y guardar el resultado de ajusteautomático en un archivo y la entrada predictiva basada enhistorial.


Acceso IME a la red Habilite esta opción para permitir al usuario activar eldiccionario extendido abierto para integrar las búsquedas deInternet con el fin de proporcionar sugerencias de entradaque no existen en el diccionario local de los dispositivos.


SmartScreen Habilite esta opción para permitir al usuario final utilizar lafunción Microsoft SmartScreen, que es un método deseguridad que requiere que el usuario final dibuje formassobre una imagen para desbloquear el dispositivo. Estaopción también permite al usuario final utilizar PIN comocódigo de acceso.

Nota Después de inhabilitar esta función, no podrá volvera habilitarla mediante MDM de Workspace ONE UEM. Parahabilitarla de nuevo, deberá realizar un restablecimiento defábrica del dispositivo.

Esta restricción se aplica a dispositivos tanto Windows 8.1como Windows 10. La restricción no se aplica a dispositivosWindows 10 Home.


VMware, Inc. 58


Buscar para utilizar la información de ubicación Permite que la opción de búsqueda utilice la información dela ubicación del dispositivo.


Tarjeta de almacenamiento Habilite esta opción para permitir el uso de una tarjeta SD yde los puertos USB del dispositivo.


Ajustes de sincronización de Windows Permite al usuario sincronizar los ajustes de Windows entredispositivos.


Sugerencias de Windows Permite mostrar sugerencias de Windows en el dispositivopara ayudar al usuario.


Ajustes del control de la cuenta del usuario Seleccione el nivel de notificación enviado a los usuariosfinales cuando un cambio en el sistema operativo requierepermisos de administración de un dispositivo.

Permitir aplicaciones de confianza que no sean deMicrosoft Store

Permite descargar e instalar aplicaciones que no son deconfianza para Microsoft Store.

Esta restricción se aplica a todos los dispositivos Windows10.

Actualizaciones automáticas de la tienda de aplicaciones Habilite esta opción para permitir que las aplicacionesdescargadas desde Microsoft Store se actualicenautomáticamente cuando existan versiones nuevas.


Permitir desbloqueo de desarrollador Permite el uso del ajuste de desbloqueo de desarrolladorpara la carga de prueba de las aplicaciones en losdispositivos.


Permitir DVR y difusión de juegos Habilite esta opción para permitir la grabación y difusión dejuegos en el dispositivo.


Permitir los datos compartidos entre varios usuarios queutilicen la misma aplicación

Permite compartir datos entre múltiples usuarios de unaaplicación.



VMware, Inc. 59


Restringir los datos de la aplicación al volumen delsistema

Restringe los datos de la aplicación al mismo volumen queel sistema operativo, en lugar de volúmenes secundarios osoportes extraíbles.


Restringir la instalación de aplicaciones a la unidad delsistema

Restringe la instalación de las aplicaciones a la unidad delsistema, en lugar de a unidades secundarias o mediosextraíbles.


Conexión automática a las zonas Wi-Fi Habilite esta opción para permitir que el dispositivo seconecte automáticamente a las zonas Wi-Fi utilizando lafuncionalidad de detección de Wi-Fi.


Datos celulares en roaming Permite el uso de datos celulares cuando se está enroaming.


Uso compartido de Internet Habilite esta opción para permitir el uso compartido deInternet entre dispositivos.


Uso de datos en roaming Habilite esta opción para permitir a los usuarios finalestransmitir y recibir los datos en roaming.

Esta restricción se aplica a todos los dispositivos Windows.

Conexión VPN en la red celular Permite utilizar VPN en conexiones de datos celulares.


Roaming de la conexión VPN en la red celular Permite utilizar una VPN durante conexiones de datoscelulares en roaming.


Relleno automático Permite el uso de la opción de relleno automático paracompletar información sobre el usuario.



VMware, Inc. 60


Cookies Permite el uso de cookies


No monitorear Permite el uso de solicitudes de "No monitorear".


Administrador de contraseñas Permite el uso de un administrador de contraseñas.


Ventanas emergentes Permite el uso de ventanas de emergentes del navegador


Buscar sugerencias en la barra de dirección Permite que las sugerencias de búsqueda aparezcan en labarra de dirección


SmartScreen Permite el uso del filtro de sitios maliciosos y de contenidoSmartScreen.


Enviar el tráfico intranet a Internet Explorer Permite el tráfico de intranet para utilizar Internet Explorer.


Dirección URL de lista del sitio web empresarial Introduzca la dirección URL para una lista del sitio webempresarial.



Perfil de protección de datos (escritorio de Windows)El perfil de protección de datos configura reglas para controlar cómo las aplicaciones empresarialesacceden a datos de procedencia diversa desde su organización. El uso de la protección de datosgarantiza que solo se pueda acceder a su información mediante aplicaciones seguras y aprobadas.


VMware, Inc. 61

Al tener datos corporativos y personales en el mismo dispositivo, es posible que se revele información deforma accidental a través de servicios que se encuentran fuera del control de su organización. Con lacarga útil de protección de datos, Workspace ONE UEM controla la forma en la que los datosempresariales se transfieren entre las aplicaciones para limitar su exposición y causar una mínimarepercusión en los usuarios finales. Workspace ONE UEM utiliza la función Microsoft WindowsInformation Protection (WIP) para proteger sus dispositivos Windows 10.

Con el perfil de protección de datos, las aplicaciones empresariales se agregan a una lista blanca paraconcederles permiso de acceso a los datos empresariales desde las redes protegidas. Si los usuariostransfieren datos a aplicaciones que no son de la empresa, podrá tomar medidas basadas en laspolíticas de cumplimiento seleccionadas.

WIP divide los datos en dos categorías: datos personales no cifrados y datos corporativos que hay queproteger y cifrar. Las aplicaciones incluidas en la lista blanca de protección de datos se dividen en cuatrocategorías, que determinan el modo en que la aplicación interactúa con los datos protegidos.

n Aplicaciones habilitadas: estas aplicaciones son totalmente compatibles con la funcionalidad WIP.Las aplicaciones habilitadas pueden acceder sin problemas a datos tanto personales comocorporativos. Si los datos se crean con una aplicación habilitada, puede guardarlos como datospersonales no cifrados o datos corporativos cifrados. Puede impedir que los usuarios guarden datospersonales con aplicaciones habilitadas mediante el perfil de protección de datos.

n Permitidas: estas aplicaciones son compatibles con los datos cifrados con WIP. Las aplicacionespermitidas pueden acceder a datos tanto corporativos como personales, pero guardan como datoscorporativos cifrados cualquier información a la que se acceda. Las aplicaciones permitidas guardanlos datos personales como datos corporativos cifrados, a los que no se puede acceder desdeaplicaciones no aprobadas por WIP. Se recomienda agregar las aplicaciones permitidas a la listablanca de forma concienzuda e individualizada para evitar problemas con el acceso a los datos.Póngase en contacto con los proveedores de software para obtener información sobre la aprobaciónde WIP.

n Exentas: puede determinar qué aplicaciones están exentas de aplicar la política WIP al crear el perfilde protección de datos. Categorice como exenta cualquier aplicación que no admita datos concifrado de WIP. Si una aplicación no admite el cifrado de WIP, se detiene al intentar acceder a datoscorporativos cifrados. Las políticas WIP no se aplican a las aplicaciones exentas. Las aplicacionesexentas pueden acceder a datos personales no cifrados y a datos corporativos cifrados. Puesto quelas aplicaciones de esta categoría pueden acceder a datos corporativos sin aplicar la política WIP,estas aplicaciones deben incluirse en la lista blanca con cautela. Las aplicaciones exentas abrenbrechas en la protección de datos y filtran datos corporativos.

n No permitidas: estas aplicaciones no se incluyen en la lista blanca ni están exentas de cumplir laspolíticas WIP, y no pueden acceder a datos corporativos cifrados. Las aplicaciones no permitidaspueden, aun así, acceder a datos personales en un dispositivo con protección WIP.

Importante El perfil de protección de datos requiere Windows Information Protection (WIP). Estafunción requiere la Actualización de aniversario de Windows. Es aconsejable probar este perfil antes deimplementarlo en la producción.


VMware, Inc. 62

Configuración de un perfil de protección de datos (escritorio deWindows)Cree el perfil de protección de datos (vista previa) y use la característica Microsoft Windows InformationProtection para establecer que los usuarios y las aplicaciones puedan acceder a los datos de suorganización solamente en redes y aplicaciones aprobadas. Puede establecer controles detallados sobrela protección de datos.

Para configurar el perfil de protección de datos empresariales:


2 Seleccione Windows y luego la plataforma de escritorio de Windows.



5 Seleccione la carga útil Protección de datos empresariales.

6 Configure los ajustes de Protección de datos empresariales:


Agregar Seleccione agregar aplicaciones empresariales a la lista permitida de la empresa.

Se confía en las aplicaciones que se agregan aquí para utilizar los datos empresariales.

Tipo de aplicación Seleccione si la aplicación es una aplicación de escritorio tradicional o una aplicación deMicrosoft Store.

También puede seleccionar un editor de aplicaciones para aplicaciones de escritorio o de latienda. Si selecciona un editor, todas sus aplicaciones se incluirán en la lista blanca.

Nombre Escriba el nombre de la aplicación. Si es una aplicación de Microsoft Store, seleccione el icono de

búsqueda ( ) para buscar el nombre de familia de paquete (PFN) de la aplicación.

Identificador Introduzca la ruta del archivo para una aplicación de escritorio o el nombre de familia de paquetepara una aplicación de la tienda.

Exenta Seleccione la casilla de verificación si la aplicación no es compatible con la protección de datoscompleta pero es necesario que acceda a los datos empresariales. Si habilita esta opción, laaplicación queda exenta de cumplir las restricciones de protección de datos. Suelen seraplicaciones heredadas que aún no se han actualizado para que admitan protección de datos.

La creación de exenciones da lugar a brechas en la protección de datos. Cree exenciones solo sies necesario.

Redes protegidas

Dominio primario Introduzca el dominio primario que utilizan sus datos empresariales.

Solo las aplicaciones empresariales pueden acceder a los datos de las redes protegidas. Intentaracceder a una red protegida desde una aplicación que no se encuentra en la lista permitida de laempresa generará una acción de política de conformidad.

Use solo minúsculas para introducir los dominios.

Nombres de dominioprotegidos de laempresa

Introduzca una lista de los dominios (exceptuando su dominio principal) que usa la empresa paralas identidades de sus usuarios. Separe los dominios con un carácter de barra vertical (|).

Use solo minúsculas para introducir los dominios.


VMware, Inc. 63


Intervalos dedirecciones IPempresariales

Introduzca los intervalos de IP empresariales para definir los dispositivos Windows 10 en la redempresarial.

Los datos que proceden de dispositivos incluidos en el intervalo se consideran parte de laempresa y están protegidos. Estas ubicaciones se consideran un destino seguro para el usocompartido de datos empresariales.

Nombres de dominiosde la red empresarial

Introduzca una lista de los dominios que marcan los límites de la red empresarial.

Los datos procedentes de un dominio de la lista que se envían a un dispositivo se considerandatos empresariales y están protegidos. Estas ubicaciones se consideran un destino seguro parael uso compartido de datos empresariales.

Servidores proxyempresariales

Introduzca la lista de servidores proxy que puede usar la empresa para recursos corporativos.

Recursos deEnterprise Cloud

Introduzca una lista de los dominios de recursos empresariales alojados en la nube que necesitanprotección mediante el enrutamiento a través de la red empresarial con un servidor proxy (en elpuerto 80).

En el caso de que Windows no pueda determinar si permite que una aplicación se conecte a unrecurso de la red, bloqueará la conexión automáticamente. Si desea que Windows permita lasconexiones de forma predeterminada, agregue la cadena /*AppCompat*/ al ajuste. Por ejemplo:

www.air-watch.com | /*AppCompat*/

Agregue solo la cadena /*AppCompat*/ una vez para cambiar el ajuste predeterminado.

Políticas de cumplimiento

Nivel de protección delos datos de laaplicación

Establezca el nivel de protección y las acciones que se realizan para proteger los datosempresariales.

Mostrar iconos deEDP Habilite esta opción para mostrar un icono de EDP ( ) en el navegador web, explorador de

archivos e iconos de la aplicación al acceder a datos protegidos. El icono también se muestra enventanas de aplicaciones exclusivamente empresariales en el menú Inicio.

Revocar al anular lainscripción

Habilite esta opción para revocar las claves de protección de datos de un dispositivo cuando seanule su inscripción en Workspace ONE UEM.

Descifrado del usuario Habilite esta opción para permitir que los usuarios seleccionen cómo se guardan los datos al usaruna aplicación habilitada. Pueden seleccionar Guardar como corporativo o Guardar comopersonal.Si esta opción no está habilitada, todos los datos guardados al usar una aplicación habilitada seguardarán como datos corporativos y se cifrarán con cifrado corporativo.

Acceso directo a lamemoria

Habilite esta opción para permitir que los usuarios accedan directamente a la memoria deldispositivo.

Certificado derecuperación de datos

Cargue el certificado del sistema de archivos de cifrado especial para utilizarlo con el fin derecuperar archivos, en caso de pérdida o daño de la clave de cifrado. Para obtener másinformación, consulte Creación de un certificado de sistema de cifrado de archivos (escritorio deWindows).



VMware, Inc. 64

Creación de un certificado de sistema de cifrado de archivos(escritorio de Windows)El perfil de protección de datos cifra los datos empresariales y permite el acceso solo a los dispositivosaprobados. Cree un certificado EFS para cifrar los datos de su empresa protegidos mediante un perfil deprotección de datos.

Para crear un certificado EFS:

1 En un ordenador sin certificado EFS, abra una línea de comandos (con derechos de administrador) ynavegue hasta el almacén de certificados en el que quiere almacenar el certificado.

2 Ejecute el comando:

cipher /r:<EFSRA>

El valor de <EFSRA> es el nombre de los archivos .cer y .pfx que quiere crear.

3 Cuando se le indique, introduzca la contraseña para proteger el nuevo archivo .pfx.

4 Los archivos .cer y .pfx se crean en el almacén de certificados que seleccionó.

5 Cargue el certificado .cer en los dispositivos como parte del perfil de protección de datos. Paraobtener más información, consulte Configuración de un perfil de protección de datos (escritorio deWindows).

Perfil de Windows Hello (escritorio de Windows)Windows Hello ofrece una alternativa segura al uso de contraseñas como medida de seguridad. El perfilde Windows Hello configura Windows Hello para empresas en dispositivos de escritorio de Windows, loque permite a los usuarios finales poder acceder a los datos sin enviar una contraseña.

Proteger los dispositivos y las cuentas con nombre de usuario y contraseña crea posiblesvulnerabilidades de la seguridad. Los usuarios pueden olvidar una contraseña o compartirla conpersonas ajenas a la empresa, lo que pone en riesgo los datos corporativos. Con Windows Hello, losdispositivos Windows 10 autentican al usuario de manera segura en las aplicaciones, los sitios web y lasredes en nombre del usuario, sin enviar una contraseña. El usuario no tendrá que recordar lascontraseñas, y es menos probable que los ataques de tipo “Man in the middle” comprometan laseguridad.

Windows Hello requiere que los usuarios verifiquen que poseen un dispositivo Windows 10 antes deautenticarlo mediante PIN o la verificación biométrica de Windows Hello. Una vez autenticado conWindows Hello, el dispositivo obtiene acceso instantáneo a los sitios web, las aplicaciones y las redes.

Importante Windows Hello para empresas requiere la integración con Azure AD para funcionar.


VMware, Inc. 65

Creación de un perfil de Windows Hello (escritorio de Windows)Cree un perfil de Windows Hello para configurar Windows Hello para empresas en dispositivos deescritorio de Windows, lo que permitirá a los usuarios finales poder acceder sus aplicaciones, sitios weby redes sin tener que introducir una contraseña.

Importante Los perfiles de Windows Hello solo son válidos en los dispositivos inscritos mediante laintegración de Azure AD.

Para configurar un perfil de Windows Hello, siga estos pasos:





5 Seleccione el perfil Windows Hello y configure los siguientes ajustes:


Gesto biométrico Habilite esta opción para permitir que los usuarios finales utilicen los lectores biométricosdel dispositivo.

Requisitos de PIN

TPM (módulo deplataforma segura)

Ajuste esta opción en Requerir para inhabilitar el uso de Passport si no hay un modo deplataforma segura instalado en el dispositivo.

Longitud mínima del PIN Introduzca el número mínimo de dígitos que debe contener un PIN.

Longitud máxima del PIN Introduzca el número máximo de dígitos que debe contener un PIN.

Dígitos Ajuste el nivel de permisos para utilizar dígitos en el PIN.

Mayúsculas Ajuste el nivel de permisos para utilizar letras mayúsculas en el PIN.

Minúsculas Ajuste el nivel de permisos para utilizar letras minúsculas en el PIN.

Caracteres especiales Ajuste el nivel de permisos para utilizar caracteres especiales (! " # $ % & ' ( ) * + , - . / : ; <= > ? @ [ \ ] ^ _ ` { | } ~) en el PIN.


Configuración de un perfil de firewall (escritorio deWindows)El perfil de firewall para los dispositivos de escritorio de Windows le permite configurar los ajustes delfirewall de Windows para los dispositivos. Cuando todos los dispositivos tienen configurado y habilitadoel firewall de Windows, la seguridad de la red aumenta considerablemente.

Importante El perfil de firewall requiere que Workspace ONE Intelligent Hub esté instalado en eldispositivo.


VMware, Inc. 66

Para configurar un perfil de firewall:





5 Seleccione el perfil de firewall y configure los ajustes:


Utilizar los ajustes recomendados para Windows Habilite este ajuste para utilizar los ajustes recomendados paraWindows e inhabilitar el resto de opciones disponibles para este perfil.

Red privada

Habilitar firewall Habilite esta opción para asegurarse de que el firewall se ejecuta en losdispositivos.

Bloquear todas las conexiones entrantes,incluidas aquellas que aparecen en la lista deaplicaciones permitidas

Habilite esta opción para bloquear todas las conexiones entrantes peropermitir las conexiones salientes.

Notificar al usuario cuando el firewall deWindows bloquee una aplicación nueva

Habilite esta opción para permitir que las notificaciones muestrencuándo el firewall de Windows bloquea una aplicación nueva.

Red pública

Habilitar firewall Habilite esta opción para asegurarse de que el firewall se estáejecutando en los dispositivos.

Bloquear todas las conexiones entrantes,incluidas aquellas que aparecen en la lista deaplicaciones permitidas

Habilite esta opción para bloquear todas las conexiones entrantes peropermitir las conexiones salientes.

Notificar al usuario cuando el firewall deWindows bloquee una aplicación nueva

Habilite esta opción para permitir que las notificaciones muestrencuándo el firewall de Windows bloquea una aplicación nueva.


Configuración de un perfil de modo de aplicación única(escritorio de Windows)El perfil de modo de aplicación única le permite limitar el acceso al dispositivo a una única aplicación.Con el modo de aplicación única, el dispositivo permanece bloqueado en una sola aplicación hasta quela carga útil se elimina. La política se habilitará después de reiniciar el dispositivo.

RequisitosEl modo de aplicación única tiene restricciones y limitaciones específicas.

n Solo aplicaciones modernas o universales de Windows. El modo de aplicación única no admiteaplicaciones .msi o .exe heredadas.


VMware, Inc. 67

n Los usuarios deben ser solo usuarios estándar locales. No puede ser un usuario de dominio, usuarioadministrador, cuenta de Microsoft o invitado. El usuario estándar debe ser un usuario local. No seadmiten cuentas de dominio.

ProcedimientoPara configurar el perfil de modo de aplicación única:



3 Seleccione Perfil de usuario.


5 Seleccione el perfil de modo de aplicación única.

6 Configure los ajustes del modo de aplicación única:


Nombre de laaplicación

Introduzca el nombre común de la aplicación.

En el caso de las aplicaciones de Windows, el nombre descriptivo es el Nombre del paquete o el IDdel paquete.

Debe ejecutar un comando PowerShell para obtener el nombre común de la aplicación instalada en eldispositivo. El comando “Get-AppxPackage” devuelve el nombre común de la aplicación como“nombre”.

7 Seleccione Guardar y publicar.

Activación del modo de aplicación únicaDespués de configurar un perfil de modo de aplicación única, debe establecer el modo de aplicaciónúnica en el dispositivo.

Para comenzar a utilizar el modo de aplicación única:

1 Después de recibir el perfil del modo de aplicación única en el dispositivo, reinicie este último paracomenzar.

2 Cuando se reinicie, se le pedirá que inicie sesión en el dispositivo con la cuenta del usuario estándar.

Al iniciar sesión, la política empieza a aplicarse y ya puede usarse el modo de aplicación única. Si debesalir del modo de aplicación única, presione la tecla Windows 5 veces rápidamente para abrir la pantallade inicio y así conectarse a un usuario distinto.


VMware, Inc. 68

Configuración de un perfil de antivirus (escritorio deWindows)Cree un perfil de antivirus para configurar el antivirus Windows Defender nativo en los dispositivos deescritorio de Windows. Si Windows Defender está configurado para todos los dispositivos, tiene lagarantía de que los usuarios finales están protegidos al utilizar el dispositivo.

Importante El perfil de antivirus requiere que Workspace ONE Intelligent Hub esté instalado en eldispositivo. Este perfil solo configura Windows Defender nativo, no configurará ningún otro antivirus deterceros.

Para configurar el perfil de antivirus:





5 Seleccione el perfil de antivirus.

6 Configure los ajustes de Antivirus:


Supervisión en tiempo real Habilite esta opción para configurar Windows Defender de forma que supervise eldispositivo en tiempo real.

Configurar intervalo paraactualización de firma

Habilite esta opción para configurar el día y la hora que el dispositivo revisa lasactualizaciones para Defender.

Configurar intervalo deanálisis

Habilite esta opción para configurar el intervalo entre los distintos escaneos del sistema.

Puede seleccionar varios tiempos y tipos de análisis. Al habilitar este ajuste, se muestranlos ajustes de Escaneo completo, Escaneo rápido y Escaneo de corrección.

Escaneo completo Habilite esta opción para programar la ejecución de un escaneo completo del sistema.Seleccione la hora y el día específicos.

Escaneo rápido Habilite esta opción para programar la ejecución de un escaneo rápido del sistema.Seleccione la hora y el día específicos.

Escaneo de corrección Habilite esta opción para programar la ejecución de un escaneo de corrección de errores.Seleccione la hora y el día específicos.

Exclusiones

Exclusiones Seleccione las rutas de archivo o procesos que desea excluir de los escaneos deWindows Defender.

Seleccione Agregar nuevo para agregar una excepción.

Acción predeterminada de amenaza


VMware, Inc. 69


Acción predeterminada deamenaza (desconocida,baja, moderada, alta,severa)

Establezca la acción predeterminada para los distintos niveles de amenaza encontradosdurante los escaneos.n Limpiar – Seleccione esta opción para limpiar los problemas que provoque la

amenaza.n Cuarentena – Seleccione esta opción para enviar la amenaza a una carpeta de

cuarentena.n Eliminar – Seleccione esta opción para eliminar la amenaza del sistema.n Permitir – Seleccione esta opción para no eliminar la amenaza.n Definido por el usuario – Seleccione esta opción para permitir que el usuario decida

qué hacer con la amenaza.n Ninguna acción – Seleccione esta opción si no desea realizar una acción contra la

amenaza.n Bloquear – Seleccione esta opción para bloquear la amenaza y evitar que acceda al

dispositivo.

Avanzado

Factor de carga de la CPUmedio del escaneo

Establezca el porcentaje de CPU medio máximo que Windows Defender puede utilizardurante el escaneo.

Escanear solamente si elmodo inactivo estáhabilitado

Habilite esta opción para restringir Windows Defender para que solo realice el escaneocuando la CPU esté inactiva.

Bloqueo de IU Habilite esta opción para bloquear la interfaz de usuario por completo para que losusuarios finales no puedan cambiar la configuración.

Escaneo completo deactualización

Habilite esta opción para permitir ejecutar un escaneo completo que se interrumpió o nose realizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneoprogramado de forma regular. Estos escaneos programados suelen omitirse porque elordenador estaba apagado a la hora programada.

Escaneo rápido deactualización

Habilite esta opción para permitir ejecutar un escaneo rápido que se interrumpió o no serealizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneoprogramado de forma regular. Estos escaneos programados suelen omitirse porque elordenador estaba apagado a la hora programada.

Monitoreo decomportamiento

Habilite esta opción para configurar el análisis de virus de manera que envíe un registrode actividad a Microsoft.

Modo de privacidad Habilite esta opción para evitar que los usuarios que no sean administradores muestren elhistorial de amenazas.

Sistema de prevención deintrusión

Habilite esta opción para configurar la protección de la red contra el aprovechamiento delas vulnerabilidades conocidas.

Esta opción le permite a Windows Defender supervisar las conexiones de forma continuae identifica patrones de comportamiento potencialmente maliciosos. En este sentido, elsoftware se comporta como un detector de virus clásico, solo que escanea el tráfico de reden lugar de archivos.

Analizar correo electrónico Habilite esta opción para permitir que Windows Defender escanee los correoselectrónicos.

Analizar unidades de redasignadas

Habilite esta opción para permitir que Windows Defender escanee las unidades de redasignadas a los dispositivos.


VMware, Inc. 70


Analizar archivos Habilite esta opción para permitir que Windows Defender ejecute un escaneo de carpetascon archivos comprimidos.

Analizar unidadesextraíbles

Habilite esta opción para permitir que Windows Defender escanee las unidades extraíblesconectadas al dispositivo.

Eliminar archivos encuarentena después de

Establezca durante cuánto tiempo se almacenan los archivos en cuarentena antes deeliminarlos.


Perfil de cifrado (escritorio de Windows)Proteja los datos corporativos almacenados en los dispositivos de escritorio de Windows mediante elperfil de cifrado. El perfil de cifrado establece la política de cifrado de BitLocker nativo en los dispositivosde escritorio de Windows para garantizar la protección de los datos.

El cifrado de BitLocker solo está disponible en dispositivos con las versiones Windows 8 Enterprise yPro, y Windows 10 Enterprise, Education y Pro.

Dado que los portátiles y las tabletas son dispositivos móviles por definición, exponen los datos de suempresa a pérdidas o robos. Al exigir una política de cifrado mediante Workspace ONE UEM, puedeproteger los datos del disco duro. BitLocker es el cifrado de Windows nativo y Dell Data Protection |Encryption es una solución de cifrado de terceros de Dell. Con el perfil de cifrado habilitado,Workspace ONE Intelligent Hub verifica continuamente el estado de cifrado del dispositivo. SiWorkspace ONE Intelligent Hub detecta que el dispositivo no está cifrado, lo cifra automáticamente.

Si decide cifrar con BitLocker, una clave de recuperación creada durante el cifrado se almacena enWorkspace ONE UEM Console y en el portal de autoservicio.

El perfil de cifrado requiere que Workspace ONE Intelligent Hub esté instalado en el dispositivo.

Nota El perfil de cifrado no configura ni habilita Dell Data Protection | Encryption. El estado del cifradose transmite a Workspace ONE UEM Console y al portal de autoservicio, aunque el cifrado debeconfigurarse manualmente en el dispositivo.

Precaución Windows 10 no es compatible con dispositivos sin teclado en pantalla previo al arranque.Sin el teclado, no puede introducir el código PIN de inicio necesario para desbloquear el disco duro einiciar Windows en el dispositivo. Si se inserta este perfil en los dispositivos sin un teclado en pantallaprevio al arranque, se detiene el dispositivo.

Funcionalidad de BitLockerEl perfil de cifrado utiliza la funcionalidad avanzada de BitLocker para controlar la autenticación eimplementación del cifrado de BitLocker.


VMware, Inc. 71

BitLocker utiliza el módulo de plataforma segura (TPM) en los dispositivos para guardar la contraseña derecuperación de estos con el fin de descifrar los discos duros conectados a la placa base. Si se retira eldisco duro de la placa base, este no puede descifrarse. Para una autenticación mejorada, puede habilitarun PIN de cifrado que confirme la autenticación del usuario. Asimismo, como alternativa, puede requeriruna contraseña para los dispositivos en los casos en los que el TPM no está disponible.

Comportamiento de implementaciónEl cifrado de BitLocker nativo de Windows protege los datos almacenados en los dispositivos deescritorio de Windows. Implementar el perfil de cifrado requiere acciones adicionales por parte delusuario final.

Nota Para que tenga lugar el cifrado de BitLocker en un dispositivo de Windows 8.1, este debe tenerhabilitado y activado el TPM. El proceso exacto para habilitar y activar el TPM puede variar de unsistema a otro, pero normalmente se realiza reiniciando el dispositivo y accediendo a los ajustes deseguridad del BIOS.

Si el perfil de cifrado se inserta en un dispositivo cifrado y la configuración actual de cifrado coincide conla del perfil, el Workspace ONE Intelligent Hub añade una clave de recuperación y la envía aWorkspace ONE UEM Console. Esta nueva clave de recuperación también se almacena en una base dedatos cifrada del dispositivo. Con esta función, si un usuario o un administrador intenta descifrar eldispositivo, el perfil de cifrado vuelve a cifrarlo con la nueva clave de recuperación. El cifrado tiene lugaraunque el dispositivo esté sin conexión.

Si el cifrado existente no coincide con la configuración de autenticación del perfil de cifrado, losprotectores existentes se eliminan y se aplican nuevos protectores que coincidan con la configuración delperfil de cifrado.

Si el método de cifrado existente no coincide con el perfil de cifrado, Workspace ONE UEM no intervieneen él ni lo sustituye. Esta función también se aplica si añade una nueva versión del perfil de cifrado a undispositivo administrado por un perfil de cifrado existente. El método de cifrado existente no cambia.

Si BitLocker está habilitado y se está utilizando, puede ver informes de estado sobre el estado de cifradoen las áreas siguientes:

n Tablero de Workspace ONE UEM

n Los detalles del dispositivo muestran la información de la clave de recuperación.

n La protección de BitLocker se muestra como habilitada.

n Portal de autoservicio de Workspace ONE UEM

n El portal de autoservicio muestra que la clave de recuperación es almacenada, pero no muestrasus detalles.

n La protección de BitLocker se muestra como habilitada.


VMware, Inc. 72

Comportamiento de eliminaciónSi el perfil se elimina de Workspace ONE UEM Console, Workspace ONE UEM deja de exigir el cifrado yel dispositivo se descifra automáticamente. La eliminación empresarial o la desinstalación manual delWorkspace ONE Intelligent Hub desde el Panel de control inhabilita el cifrado de BitLocker.

Si el usuario final decide anular la inscripción durante el proceso de cifrado de BitLocker, el proceso decifrado continúa a menos que se desactive manualmente desde el Panel de control.

Configuración de un perfil de cifrado (escritorio de Windows)Cree un perfil de cifrado para proteger sus datos almacenados en los dispositivos de escritorio deWindows mediante el cifrado de BitLocker nativo.

Para crear un perfil de cifrado:





5 Seleccione el perfil de Cifrado y configure los ajustes:


Volumen cifrado Utilice el menú desplegable para seleccionar el tipo de cifrado como se muestra acontinuación:n Disco duro completo: cifra todo el disco duro del dispositivo, incluida la partición del

sistema en la que está instalado el sistema operativo.n Partición del sistema: cifra una partición o unidad en la misma ubicación en que

Windows está instalado y desde la cual se inicia.

Método de cifrado Seleccione el método de cifrado del dispositivo.

Cifrar solo el espacioutilizado durante el cifradoinicial

Habilitar para restringir el cifrado de BitLocker solo al espacio utilizado en el controlador en elmomento del cifrado.

Dirección URL de clave derecuperación

Introduzca la dirección URL que mostrar en la pantalla bloqueada que redirige a los usuariospara que obtengan la clave de recuperación.

Es aconsejable introducir la dirección URL del portal de autoservicio, ya queWorkspace ONE UEM aloja la clave de recuperación ahí.

Forzar cifrado Habilite esta opción para forzar el cifrado del dispositivo. Esta aplicación hace que eldispositivo se cifre de nuevo inmediatamente en caso de que BitLocker se deshabilite deforma manual.

Se recomienda que deshabilite esta opción para evitar errores durante las actualizaciones olas eliminaciones empresariales.

Ajustes de autenticación de BitLocker


VMware, Inc. 73


Modo de autenticación Seleccione el método para autenticar el acceso a un dispositivo con cifrado de BitLocker.n TPM: utiliza el módulo de plataforma segura de dispositivos. Requiere un TPM en el

dispositivo.n Contraseña: utiliza una contraseña para la autenticación.

Exigir PIN de cifrado aliniciar sesión

Seleccione la casilla de verificación para exigir a los usuarios que introduzcan un PIN paradesbloquear el dispositivo. Esta opción bloquea el arranque del SO y la reanudaciónautomática desde los modos de suspensión o hibernación hasta que el usuario introduzca elPIN correcto.

Utilizar contraseña si elTPM no está disponible

Seleccione esta casilla de verificación para utilizar una contraseña como solución alternativaal descifrado del dispositivo si el TPM no está disponible.

Si este ajuste no está habilitado, cualquier dispositivo sin un TPM no puede cifrar.


Seleccione el número mínimo de caracteres que debe contener una contraseña.

Aparece si la opción Modo de autenticación está establecida como Contraseña o si laopción Utilizar contraseña si TPM no está disponible está habilitada.

Ajustes de claves de recuperación estática de BitLocker

Crear contraseña estáticade BitLocker

Seleccione la casilla de verificación si hay habilitada una clave de recuperación estática.

Contraseña derecuperación de BitLocker

Seleccione el icono Generar ( ) para generar una nueva clave de recuperación.

Período de rotación Introduzca el número de días hasta que rote la clave de recuperación.

Periodo de gracia Introduzca el número de días tras la rotación que seguirá funcionando la clave derecuperación anterior.

Suspensión de BitLocker

Habilitar suspensión deBitLocker

Seleccione la casilla de verificación para habilitar la suspensión de BitLocker. Estafuncionalidad suspende el cifrado de BitLocker durante un período de tiempo específico.Utilice esta función para suspender BitLocker cuando haya actualizaciones programadas, demodo que los dispositivos puedan reiniciarse sin exigir a los usuarios finales que introduzcanel PIN o la contraseña de cifrado.

Tipo de suspensión deBitLocker

Seleccione el tipo de suspensión.n Horario: seleccione la introducción del momento específico en el que BitLocker debe

suspenderse. A continuación, defina la repetición del horario como diaria o semanal.n Personalizado: seleccione la introducción del día y la hora de inicio y fin de la

suspensión de BitLocker.

Hora de inicio de lasuspensión de BitLocker

Introduzca la hora a la que debe iniciarse la suspensión de BitLocker.

Hora de finalización de lasuspensión de BitLocker

Introduzca la hora a la que debe finalizar la suspensión de BitLocker.

Tipo de repeticiónprogramada

Defina si las repeticiones de la suspensión programada deben ser diarias o semanales. Siselecciona “Semanal”, indique los días de la semana en los que debe repetirse laprogramación.



VMware, Inc. 74

Configuración de un perfil de actualizaciones deWindows (escritorio de Windows)Cree un perfil de actualizaciones de Windows con el fin de administrar los ajustes de actualizaciones deWindows para los dispositivos de escritorio de Windows. El perfil asegura que todos los dispositivostengan las actualizaciones más recientes, lo que mejora la seguridad de la red y de los dispositivos.

Para utilizar los ajustes avanzados, el perfil de Actualizaciones de Windows requiere queWorkspace ONE Intelligent Hub esté instalado en el dispositivo.

Importante: para ver la versión de SO que cada rama de actualización admite, consulte ladocumentación de Microsoft sobre la información de versión de Windows 10: https://technet.microsoft.com/es-es/windows/release-info.aspx.

Para aplicar un perfil de actualizaciones de Windows:





5 Seleccione el perfil de actualizaciones de Windows.

6 Configure los ajustes de actualizaciones de Windows. El perfil admite dispositivos con Windows 8.1 yWindows 10. Los ajustes difieren en función del sistema operativo. Para dispositivos conWindows 10, configure los ajustes siguientes:


Bifurcación y aplazamiento

Origen de actualizaciónde Windows

Seleccione el origen de las Actualizaciones de Windows:n Servicio de Microsoft Update: seleccione esta opción para utilizar el servidor de

actualizaciones predeterminado de Microsoft.n WSUS corporativo: seleccione esta opción para utilizar un servidor corporativo e

introducir la dirección URL del servidor WSUS y el grupo WSUS.

Para que este ajuste surta efecto, el dispositivo debe contactar con el WSUS al menosuna vez.

Elegir WSUS corporativo como origen permite al administrador de TI ver las actualizacionesinstaladas y el estado de los dispositivos del grupo WSUS.


VMware, Inc. 75

https://technet.microsoft.com/en-us/windows/release-info.aspx


Actualizar rama Seleccione la rama de actualización que se debe seguir para las actualizaciones.n Rama de Windows Insider: lentan Rama de Windows Insider: rápidan Lanzamiento de la compilación de Windows Insidern Canal semestral (dirigido)

n El dispositivo recibe todas las actualizaciones de funciones aplicablesinmediatamente después del lanzamiento de una nueva versión de Windows.Considere la posibilidad de utilizar este canal para el proceso de pruebas de suorganización.

n Canal semestraln Este canal es la fase posterior a la implementación objetivo. Considere la posibilidad

de utilizar este canal después de que el proceso de comprobación proporcioneresultados correctos.

Aplazar el período deactualizaciones defunciones en días

Seleccione el número de días que aplazar las actualizaciones de la función antes de instalarlas actualizaciones en el dispositivo.

Aplazar actualizaciones defunciones

Habilite esta opción para aplazar todas las actualizaciones de funciones durante 60 días ohasta que se inhabilite. Este ajuste anula el de Aplazar el período de actualizaciones defunciones en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas y que,normalmente, se instalaría según sus ajustes de aplazamiento.

Período de actualizacionesde calidad delaplazamiento en días

Seleccione el número de días que aplazar las actualizaciones de calidad antes de instalar lasactualizaciones en el dispositivo.

Aplazar actualizaciones decalidad

Habilite esta opción para aplazar todas las actualizaciones de calidad durante 60 días ohasta que se inhabilite. Este ajuste anula el de Período de actualizaciones de calidad delaplazamiento en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas y que,normalmente, se instalaría según sus ajustes de aplazamiento.

Habilitar ajustes paraversiones anteriores deWindows

Seleccione habilitar los ajustes de aplazamiento para las versiones anteriores de Windows.Algunos de los ajustes son:n Posponer las nuevas funciones (meses)n Posponer las nuevas actualizaciones (semanas)n Posponer aplazamientos

Comportamiento durante la instalación de actualizaciones

Actualizacionesautomáticas

Establezca cómo se gestionan las actualizaciones de la opción Actualizar ramaseleccionada:n Instalar actualizaciones automáticamente.n Instalar las actualizaciones, pero permitir al usuario programar el ordenador.n Instalar las actualizaciones automáticamente y reiniciar a la hora definida.n Instalar las actualizaciones automáticamente e impedir que los usuarios modifiquen los

ajustes del panel de control.n Buscar actualizaciones, pero permitir que el usuario elija si desea descargarlas e

instalarlas.n Nunca buscar actualizaciones


VMware, Inc. 76


Hora de inicio de horasactivas

Introduzca la hora de inicio de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esas horas.

Tiempo de finalización dehoras activas

Introduzca el tiempo de finalización de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esas horas.

Políticas de actualización

Permitir servicio deactualización

Permite las actualizaciones desde el servicio público de actualizaciones de Windows.

No permitir este servicio puede provocar problemas con Microsoft Store.

Permitir actualizaciones deMU

Permitir actualizaciones desde Microsoft Update.

Actualizar otros productosde Microsoft cuandoWindows se estéactualizando

Permite que otros productos de Microsoft se actualicen al actualizar Windows.

Instalar las actualizacionesfirmadas de las entidadesde terceros

Permite la instalación de actualizaciones de terceros aprobados.

Compilaciones de Insider Permite la descarga de compilaciones de Insider de Windows 10.

Actualizaciones aprobadas por el administrador

Requerir aprobación deactualizaciones

Habilite esta opción para requerir que se aprueben las actualizaciones antes de descargarlasen el dispositivo.

Habilite esta opción para requerir que los administradores aprueben explícitamente lasactualizaciones antes de descargarlas en el dispositivo. Esta aprobación se realiza mediantegrupos de actualizaciones o mediante la aprobación individual de actualizaciones.

Esta opción exige aceptar todos los términos de uso requeridos en nombre de los usuariosfinales para poder insertar la aplicación en los dispositivos. Si es necesario aceptar términosde uso, se muestra un cuadro de diálogo de términos de uso.

Para aprobar actualizaciones, navegue a Ciclo de vida > Actualizaciones de Windows.Para obtener más información, consulte Aprobación de actualizaciones de Windows.

Actualizacionesautoaprobadas

Habilite esta opción para establecer grupos de actualizaciones cuya descarga en losdispositivos del usuario final se aprueba automáticamente.

Esta opción exige aceptar todos los términos de uso requeridos en nombre de los usuariosfinales para poder insertar la aplicación en los dispositivos. Si es necesario aceptar términosde uso, se muestra un cuadro de diálogo de términos de uso.

Actualizaciones defunciones

Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de funciones en los dispositivos asignados.

Se muestra si la opción Actualizaciones autoaprobadas está habilitada.

Aplicación Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de aplicaciones en los dispositivos asignados.


Conectores Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de conectores de Office 365 en los dispositivos asignados.



VMware, Inc. 77


Críticas Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones críticas en los dispositivos asignados.


Definición Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de definiciones de Windows Defender en los dispositivosasignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de que susdispositivos mantengan la protección de Windows Defender. Esta opción está habilitada deforma predeterminada.


Kit de desarrollador Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones del kit de desarrollador en los dispositivos asignados.


Controladores Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de controlador en los dispositivos asignados.


Feature Pack Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de paquetes de características en los dispositivos asignados.


Instrucciones Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de instrucciones en los dispositivos asignados.

Seguridad Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de seguridad en los dispositivos asignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de que susdispositivos se mantengan protegidos. Esta opción está habilitada de forma predeterminada.

Service Pack Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de Service Pack en los dispositivos asignados.


Actualizaciones deherramientas

Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones de herramientas en los dispositivos asignados.


Paquetes acumulativos deactualizaciones

Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodos los paquetes acumulativos de actualizaciones en los dispositivos asignados.


General Establezca esta opción en Permitidas para aprobar automáticamente que se descarguentodas las actualizaciones generales en los dispositivos asignados.


Optimización de entregas

Actualizaciones de igual aigual

Permite el uso de descargas de igual a igual de las actualizaciones.

Permitir que se utilice elmétodo de igual a igual

Seleccione el método de conexión de igual a igual que desea permitir.


VMware, Inc. 78


Restringir el uso de igual aigual a los miembros quetengan el mismo ID degrupo

Restringe la descarga de igual a igual a los dispositivos que se encuentran en el mismogrupo organizativo.

Intervalo máximo que semantiene cada archivo enla caché de optimizaciónde entregas (segundos)

Permite definir el número de segundos que un archivo permanece en la caché deoptimización de entregas antes de insertarse en los dispositivos.

La caché de optimización mantiene las actualizaciones disponibles en otros puntos a los queel dispositivo puede llegar para acelerar la descarga de las actualizaciones.

Tamaño máximo de lacaché que puede utilizar laoptimización de entrega(%)

Introduzca el porcentaje de la caché que puede utilizar la optimización de entregas.

Ancho de banda máximopara las cargas que undispositivo utilizará entretodas las cargassimultáneas (kB/seg)

Introduzca el ancho de banda de carga máximo, en kB/segundo, que un dispositivo utilizaráal enviar las actualizaciones a los dispositivos del mismo nivel.

Para dispositivos con Windows 8.1, configure los ajustes siguientes:


Windows 8.1

Actualizaciones administradas por Establezca esta opción en Administrador para configurar la forma en la que Windowsse actualiza. Si se ajusta en Usuario, no se sustituyen los ajustes del dispositivo.

Instalar actualizacionesimportantes automáticamente

Exige que todas las actualizaciones automáticas importantes se instalenautomáticamente.

Instalar actualizacionesrecomendadas automáticamente

Exige que todas las actualizaciones automáticas recomendadas se instalenautomáticamente.

Configuración avanzada deProtection Agent

Configura los ajustes avanzados del perfil de actualizaciones automáticas deWindows.

Origen de actualización deWindows

Seleccione el origen de las Actualizaciones de Windows:n Opción predeterminada de Microsoft: seleccione esta opción para utilizar el

servidor de actualizaciones predeterminado de Microsoft.n WSUS corporativo: seleccione esta opción para utilizar un servidor corporativo e

introducir la dirección URL del servidor WSUS y el grupo WSUS.

Para que este ajuste surta efecto, el dispositivo debe contactar con el WSUS almenos una vez.

Elegir WSUS corporativo como origen permite al administrador de TI ver lasactualizaciones instaladas y el estado de los dispositivos del grupo WSUS.

Actualizaciones importantes Seleccione las reglas que se van a aplicar a las actualizaciones importantes.


VMware, Inc. 79


Instalar las actualizacionesrecomendadas de la mismaforma que las actualizacionesimportantes

Habilite esta opción para instalar las actualizaciones recomendadas con las mismasreglas que utilizan las actualizaciones importantes.

Actualizar otros productos deMicrosoft cuando Windows seesté actualizando

Habilite esta opción para permitir que otros productos de Microsoft se actualicen alactualizar Windows.


Ver lista de actualizaciones en el ciclo de vidaWorkspace ONE UEM admite la revisión y aprobación de actualizaciones del sistema operativo y deOEM en dispositivos de Windows 10 y de actualizaciones del sistema operativo para las determinadasactualizaciones de Android específicas. La página de la consola de actualizaciones enumera todas lasactualizaciones disponibles para los dispositivos con Windows 10.

Actualizaciones de WindowsEn esta pestaña, puede aprobar actualizaciones y asignarlas a grupos inteligentes específicos de modoque se cumplan las necesidades de la empresa. Esta pestaña muestra todas las actualizaciones con lossiguientes datos: fecha de publicación, plataforma, clasificación y grupo asignado. Al seleccionar elnombre de la actualización, se abre una ventana con información detallada, un enlace a la página de labase de conocimientos de Microsoft con la actualización y datos del estado de la instalación de laactualización.

Para obtener más información sobre la aprobación de actualizaciones, consulte Aprobación deactualizaciones de Windows.

El estado de instalación de la actualización muestra la implementación de la actualización en susdispositivos. Para consultar el estado de la implementación de la actualización, seleccione la opciónVista.

Estado Descripción

Asignado La actualización se ha aprobado y asignado al dispositivo.

Aprobado La actualización aprobada se ha asignado correctamente al dispositivo.

Disponible La actualización está disponible en el dispositivo para su instalación.

Instalación pendiente La instalación se ha aprobado y está disponible, aunque aún no se ha instalado.

Reinicio pendiente La instalación se ha pausado hasta que el dispositivo se reinicie.

Instalada La actualización se ha instalado correctamente.

Falló La instalación de la actualización ha fallado.


VMware, Inc. 80

Actualizaciones de OEMEn esta pestaña, puede ver todas las actualizaciones de OEM implementadas en los dispositivos deescritorio de Windows. Puede ordenar la vista de lista por nombre, nivel, tipo y categoría del dispositivo.También puede filtrar las actualizaciones mostradas mediante filtros como controladores de audio,controladores de conjunto de chips, actualizaciones de BIOS y más.

Consulte el estado de instalación de la implementación de actualizacioónes seleccionando el nombre dela actualización.

Para obtener más información sobre el envío de actualizaciones de OEM a dispositivos, consulte Configuración de un perfil de actualizaciones de OEM (escritorio de Windows)

Aprobación de actualizaciones de WindowsRevise y apruebe actualizaciones de Windows para instalarlas en sus dispositivos con Windows 10. Estafunción le permite asegurarse de que sus dispositivos permanezcan actualizados al tiempo que controlala distribución de actualizaciones según las necesidades de la empresa.

Requisitos previosDebe publicar un perfil de actualizaciones de Windows con la opción Requerir aprobación deactualizaciones habilitada.

ProcedimientoPara aprobar y asignar una actualización:

1 Navegue a Ciclo de vida > Actualizaciones > Windows.

2 Seleccione la casilla de verificación a la izquierda de la actualización. Seleccione el botón Asignar.

3 Introduzca los grupos inteligentes a los que se les aplicará la actualización.

4 Seleccione Agregar.

Para obtener más información sobre la página de la consola de actualizaciones de Windows, consulte Ver lista de actualizaciones en el ciclo de vida

Cómo crear un perfil de proxy (escritorio de Windows)Cree un perfil de proxy con objeto de configurar un servidor proxy para los dispositivos de escritorio deWindows. Estos ajustes no se aplican a las conexiones VPN.

Procedimiento

1 Navegue a Dispositivos > Perfiles > Vista de lista > Agregar y seleccione Agregar perfil.





VMware, Inc. 81

5 Seleccione el perfil de proxy y configure los ajustes:


Detectar ajustes automáticamente Habilite esta función para que el sistema intente encontrarautomáticamente la ruta a un script de configuraciónautomática del proxy (PAC).

Usar script de configuración Habilite esta opción para introducir la ruta del archivo alscript de PAC.

Dirección de script Introduzca la ruta del archivo al script de PAC.

Esta opción se muestra cuando se habilita Usar script deconfiguración.

Usar servidor proxy Habilite esta opción para utilizar un servidor proxy estáticopara las conexiones Ethernet y Wi-Fi. Este servidor proxy seutiliza para todos los protocolos. Estos ajustes no se aplicana las conexiones VPN.

Dirección del servidor proxy Introduzca la dirección del servidor proxy. La dirección debetener el siguiente formato: <server>[“:”<port>].

Excepciones Introduzca las direcciones que no deben utilizar el servidorproxy. El sistema no utilizará el servidor proxy para estasdirecciones. Separe las entradas con un punto y coma (;).

Usar proxy para direcciones locales (intranet) Habilite esta opción para utilizar el servidor proxy para lasdirecciones locales (intranet).


Configuración de un perfil de web clips (escritorio deWindows)Un perfil de web clips le permite insertar direcciones URL a los dispositivos de los usuarios finales paraque tengan fácil acceso a sitios web importantes.





5 Seleccione el perfil de web clips.

6 Configure los ajustes de Web clips:


Etiqueta Introduzca una descripción para el web clip.

Dirección URL Introduzca la dirección URL de destino para el web clip.

Mostrar en App Catalog Habilite esta opción para mostrar el web clip en el catálogo de aplicaciones.



VMware, Inc. 82

Perfiles de Exchange ActiveSync (escritorio de Windows)Los perfiles de Exchange ActiveSync le permiten configurar los dispositivos de escritorio de Windowspara que accedan a su servidor de Exchange ActiveSync y utilicen el correo electrónico y el calendario.

Utilice certificados firmados por una autoridad de certificado de terceros de confianza (CA). Cualquiererror en sus certificados hace que las conexiones seguras se vuelvan vulnerables a posibles ataques detipo “Man in the middle” (ataques de intermediarios). Ese tipo de ataques afectan negativamente laconfidencialidad y la integridad de los datos que se transmiten entre los componentes del producto, ytambién les dan la oportunidad a los intrusos de interceptar o alterar los datos mientras están en tránsito.Consulte la sección Configuración de un perfil de credenciales (escritorio de Windows) para obtener másinformación.

El perfil de Exchange ActiveSync es compatible con el cliente de correo nativo y AirWatch Inbox paraescritorio de Windows. La configuración varía según el cliente de correo que utilice.

Importante La compatibilidad con el cliente de correo nativo solo está disponible para dispositivosWindows 10.

Eliminación de un perfil o eliminación empresarialSi se elimina el perfil con un comando de eliminación de perfil, una política de conformidad o unaeliminación empresarial, se eliminan todos los datos de correo electrónico, tales como:

n La información de la cuenta de usuario/inicio de sesión.

n Datos de los mensajes de correo electrónico

n Información de los contactos y el calendario.

n Adjuntos guardados en el almacenamiento interno de la aplicación.

Nombre de usuario y contraseñaPuede definir el nombre de usuario que los usuarios utilizarán para iniciar sesión en Inbox. Puede utilizarla dirección de correo electrónico de ellos o un nombre de usuario de correo electrónico que seadiferente de su propia dirección de correo. Al configurar la carga útil de Exchange ActiveSync (EAS) enlos ajustes del perfil de Workspace ONE UEM Inbox, encontrará un cuadro de texto de Usuario bajo laInformación de inicio de sesión en el que puede definir un valor de búsqueda predeterminado.

Si tiene nombres de usuarios de correo electrónico que difieren de las direcciones de correo de losusuarios, puede utilizar el cuadro de texto {EmailUserName}, que corresponde a los nombres deusuarios de correo electrónico que se importaron durante el proceso de integración del servicio dedirectorio. Incluso aunque los nombres de usuario coincidan con las direcciones de correo electrónico,use el cuadro de texto {EmailUserName}, ya que este utiliza la dirección de correo importada a travésde la integración del servicio de directorio.


VMware, Inc. 83

Configuración de un perfil de Exchange ActiveSync (escritorio deWindows)Cree un perfil de Exchange ActiveSync para ofrecer a los dispositivos con escritorio de Windows accesoa su servidor de Exchange ActiveSync para usar el correo electrónico y el calendario.

Nota Workspace ONE UEM no es compatible con Outlook 2016 para los perfiles de ExchangeActiveSync.

Utilice los pasos siguientes con el fin de crear un perfil de configuración para el cliente de correo nativo:


2 Seleccione Windows y luego la plataforma de Escritorio de Windows.



5 Seleccione la carga útil de Exchange ActiveSync.

6 Configure los ajustes de Exchange ActiveSync:


Cliente de correo Seleccione el cliente de correo que configura el perfil de EAS.

Workspace ONE UEM es compatible con el cliente de correo nativo yAirWatch Inbox.

Nombre de la cuenta Introduzca el nombre para la cuenta de Exchange ActiveSync.

Host de Exchange ActiveSync Introduzca la dirección URL o la dirección IP del servidor que hospeda el servidorEAS.

Utilizar SSL Habilite esta opción para enviar todas las comunicaciones a través de la capa desockets seguros (SSL).

Información de inicio de sesión

Dominio Introduzca el dominio de correo electrónico.

El perfil es compatible con los valores de búsqueda para agregar la información deinscripción e inicio de sesión del usuario. Para obtener más información, consultela sección Nombre de usuario y contraseña en la parte inferior de la página.

Nombre de usuario Introduzca el nombre de usuario del correo electrónico.

Dirección de correo electrónico Introduzca la dirección de correo electrónico. Este es un campo requerido.

Contraseña Introduzca la contraseña de correo electrónico.

Certificado de identidad Seleccione el certificado de la carga útil de EAS. Consulte la sección Configuraciónde un perfil de credenciales (escritorio de Windows) para obtener más información.

Ajustes

El próximo intervalo desincronización (min)

Seleccione la frecuencia, en minutos, con la que el dispositivo se sincroniza con elservidor de EAS.


VMware, Inc. 84


Número de días trascurridos decorreo para sincronizar

Seleccione cuántos días de correos electrónicos anteriores se sincronizan con eldispositivo.

Registro de diagnósticos Habilite esta opción para registrar la información con fines de solución deproblemas.

Tipo de contenido

Exigir la protección de datoscuando el dispositivo estébloqueado

Habilite esta opción para exigir que los datos estén protegidos cuando eldispositivo esté bloqueado.

Permitir la sincronización delcorreo electrónico

Habilite esta opción para permitir la sincronización de los mensajes de correoelectrónico.

Permitir la sincronización de loscontactos

Habilite esta opción para permitir la sincronización de los contactos.

Permitir la sincronización delcalendario

Habilite esta opción para permitir la sincronización de los eventos del calendario.

7 Seleccione Guardar para mantener el perfil en la consola de Workspace ONE UEM o Guardar ypublicar para enviarlo a los dispositivos.

Configuración de un perfil de EAS para AirWatch Inbox (escritoriode Windows)Cómo crear un perfil de Exchange ActiveSync

Cree un perfil de Exchange ActiveSync para ofrecer a los dispositivos con escritorio de Windows accesoa su servidor de Exchange ActiveSync para usar el correo electrónico y el calendario. Los ajustescambian cuando utiliza AirWatch Inbox como cliente de correo electrónico para el escritorio de Windows.

Siga estos pasos para crear un perfil de configuración para AirWatch Inbox:


2 Seleccione Windows y luego la plataforma de Escritorio de Windows.



5 Seleccione la carga útil de Exchange ActiveSync. La selección predeterminada en el menúdesplegable de Cliente de correo es AirWatch Inbox.

6 Introduzca el Host de Exchange ActiveSync, que es la información del servidor EAS. Por ejemplo:webmail.airwatchmdm.com.


Utilizar SSL Habilite esta opción para enviar todas las comunicaciones a través de la capa desockets seguros (SSL).

Utilizar S/MIME Habilite esta opción para almacenar los certificados S/MIME de los usuarios finales.Esta opción es necesaria para los perfiles habilitados con certificados S/MIME.


VMware, Inc. 85


Información de inicio de sesión

Dominio Introduzca el dominio de correo electrónico.

Usuario Introduzca el nombre de usuario del correo electrónico.

Dirección de correoelectrónico

Introduzca la dirección de correo electrónico. Este es un campo requerido.

Contraseña Introduzca la contraseña de correo electrónico.

Certificado de carga útil Seleccione el certificado de la carga útil de EAS. Consulte la sección Configuración deun perfil de credenciales (escritorio de Windows) para obtener más información.

Ajustes

Requerir contraseña Cuando se habilita, pide un código de acceso cuando se abre la aplicación deAirWatch Inbox.

Tipo Seleccione el tipo de credenciales de inicio de sesión que se requerirán:n Código de acceson Nombre de usuario y contraseña

Complejidad Seleccione el nivel de complejidad del código de acceso:n usuarion Alfanumérico

Longitud mínima Seleccione el número mínimo de caracteres que debe tener el código de acceso.

Permitir valores simples Habilite esta opción para permitir los códigos de acceso que no cumplan con losrequisitos de complejidad.


Seleccione el número mínimo permitido de caracteres que no sean alfanuméricos.

Aparece cuando configura Complejidad como Alfanumérico.

Antigüedad máxima Seleccione el número máximo de días que se puede utilizar el código de acceso.

Historial Seleccione el número de códigos de acceso antiguos que se guardarán. Si el usuariocambia el código de acceso y coincide con uno de los que están guardados, el sistemano lo acepta.

Bloquear automáticamentecuando la pantalla deldispositivo se bloquea

Habilite esta opción para bloquear AirWatch Inbox automáticamente cuando eldispositivo se bloquee.

Periodo de gracia Seleccione el número de minutos que la aplicación permanece abierta y desbloqueadaantes de bloquearse automáticamente.


Seleccione cuántas veces se puede introducir un código de acceso antes de que seborren los datos de AirWatch Inbox.

Contraseña

Requerir contraseña Habilite esta opción para exigir un código de acceso cuando abra la aplicación deAirWatch Inbox.

Tipo Seleccione el tipo de credenciales de inicio de sesión que se requerirán:n Código de acceson Nombre de usuario y contraseña


VMware, Inc. 86


Complejidad Seleccione el nivel de complejidad del código de acceso:n usuarion Alfanumérico

Longitud mínima Seleccione el número mínimo de caracteres que debe tener el código de acceso.

Permitir valores simples Habilite esta opción para permitir los códigos de acceso que no cumplan con losrequisitos de complejidad.


Seleccione el número mínimo permitido de caracteres que no sean alfanuméricos.

Aparece cuando configura Complejidad como Alfanumérico.

Antigüedad máxima Seleccione el número máximo de días que se puede utilizar el código de acceso.

Historial Seleccione el número de códigos de acceso antiguos que se guardarán.

Si el usuario final reutiliza una contraseña el número de veces registrado, no podrávolver a utilizar dicha contraseña.

Bloquear automáticamentecuando la pantalla deldispositivo se bloquea

Habilite esta opción para bloquear AirWatch Inbox cuando el dispositivo se bloquee.

Periodo de gracia Seleccione la cantidad de minutos que la aplicación permanecerá abierta y sin bloquearantes de bloquearse automáticamente.


Seleccione cuántas veces se puede introducir un código de acceso antes de que seborren los datos de AirWatch Inbox.

Restricciones

Inhabilitar copiar y pegar Habilite esta opción para restringir las funciones de copiar/pegar en AirWatch Inbox:n Inhabilita la capacidad de realizar una pulsación prolongada en el texto de un

correo y pegarlo en el portapapeles.n Inhabilita la capacidad de copiar texto fuera del cliente de correo y de pegarlo en un

mensaje de correo electrónico.

Inhabilitar adjuntos Habilite esta opción para impedir que los usuarios finales puedan abrir archivosadjuntos en la aplicación de AirWatch Inbox.

Tamaño máximo del archivoadjunto (MB)

Introduzca el tamaño máximo (en MB) que puede tener un archivo adjunto para poderrecibirlo.

Dominios restringidos Habilite esta opción para restringir el flujo de correos a ciertos dominios específicos.

Tipo de restricción Seleccione el tipo de restricción de los dominios de correo electrónico.

Nombre de dominio Seleccione Agregar para agregar un dominio a la lista blanca o a la lista negra.

7 Seleccione Guardar para mantener el perfil en la consola o Guardar y publicar para insertarlo enlos dispositivos.

Perfil de SCEP (escritorio de Windows)Los perfiles de Protocolo de inscripción de certificados simple (SCEP) le permiten instalar certificados demanera silenciosa en los dispositivos sin que el usuario final tenga que intervenir.


VMware, Inc. 87

Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a lafuerza bruta, ataques de diccionario y errores de sus empleados. Para obtener una seguridad máscompleta, puede implementar certificados digitales con los que proteger sus recursos corporativos. Parausar SCEP con el fin de instalar estos certificados en los dispositivos de manera silenciosa, primero debedefinir una entidad de certificación (CA) y luego configurar una carga útil de SCEP, junto con su carga útilde EAS, Wi-Fi o VPN. Cada una de estas cargas útiles tiene ajustes para asociar la CA definida en lacarga útil de SCEP.

Para insertar certificados en los dispositivos, configure una carga útil de SCEP como parte de los perfilesque configuró para los ajustes de EAS, Wi-Fi y VPN.

Configuración de un perfil de SCEP (escritorio de Windows)Un perfil de SCEP instala silenciosamente certificados en dispositivos para utilizarlos con la autenticaciónde los dispositivos.

Para configurar un perfil de SCEP:





5 Seleccione el perfil de SCEP.

6 Configure los ajustes de SCEP:


Fuente de credenciales: Este menú desplegable se configura siempre para definir la autoridad de certificación.

Autoridad de certificación Seleccione la autoridad de certificación que desea usar.

Plantilla de certificado Seleccione la plantilla disponible para el certificado.

Emisor Introduzca el emisor del certificado. El emisor se puede ver en la línea de asunto delcertificado.

Guardar la ubicación Seleccione en qué ubicación de la máquina se almacena el SCEP:n Usuario de contexto – Guarda el SCEP con el usuario específico.n Máquina de contexto – Guarda el SCEP para todos los usuarios de la máquina.

7 Configure el perfil de Wi-Fi, VPN o EAS.



VMware, Inc. 88

Perfil de control de aplicaciones (escritorio de Windows)Limite las aplicaciones que se pueden instalar en los dispositivos de escritorio de Windows con el perfilde control de aplicaciones. Limitar la instalación de aplicaciones protege sus datos de aplicacionesmalintencionadas y evita que los usuarios finales accedan a aplicaciones no deseadas en dispositivoscorporativos.

Para permitir o impedir la instalación de aplicaciones en los dispositivos, puede habilitar el control deaplicaciones con el fin de colocar ciertas aplicaciones en listas blancas o en listas negras. Mientras queel motor de conformidad supervisa los dispositivos para confirmar qué aplicaciones se encuentran en lalista blanca y cuáles en la lista negra, el control de aplicaciones evita que los usuarios intenten agregar oeliminar aplicaciones. Por ejemplo, puede impedir que se instale en el dispositivo una aplicación deentretenimiento determinada o permitir la instalación en el dispositivo solo de aplicaciones que seencuentren en la lista blanca. Las aplicaciones incluidas en listas negras e instaladas en los dispositivosantes de que se envíe a estos la carga útil de control de aplicaciones se inhabilitan después de insertarel perfil.

El perfil de control de aplicaciones ayuda a reducir el coste de administración del dispositivo al impedirque el usuario ejecute aplicaciones prohibidas que pueden causar problemas. Al evitar que lasaplicaciones causen problemas, se reduce el número de llamadas que debe atender el equipo desoporte.

Configuración de un perfil de control de aplicaciones (escritoriode Windows)Habilite el control de aplicaciones para colocar ciertas aplicaciones en listas blancas o en listas negraspara permitir o impedir la instalación de aplicaciones en los dispositivos. El control de aplicaciones utilizalas configuraciones de Microsoft AppLocker para exigir el control de aplicaciones en dispositivosWindows 10.

Requisitos previosPara configurar un archivo de configuración XML, debe configurar los ajustes de AppLocker en undispositivo y exportar el archivo para utilizarlo con el perfil.

El perfil de control de aplicaciones requiere el uso de Windows 10 Enterprise o Education.

Recomendaciones importantesn Cree políticas utilizando primero el modo Solo auditoría. Tras verificar la versión Solo auditoría en un

dispositivo de prueba, cree una versión con el modo Exigir. Si no se prueban las políticas antes de unuso general, los dispositivos pueden quedar inutilizables.

n Cree reglas predeterminadas o cualquier otra regla deseada para su empresa que reduzca laposibilidad de que se bloqueen las configuraciones predeterminadas o se dañen los dispositivosdespués de reiniciarlos. Para obtener más información sobre cómo crear reglas, consulte el artículode Microsoft TechNet sobre AppLocker.


VMware, Inc. 89

Para configurar un perfil de control de aplicaciones:

1 En el dispositivo de configuración, abra el editor de Política de seguridad local.

2 Navegue a Políticas de control de aplicaciones > AppLockery seleccione Configurar laaplicación de reglas.

3 Habilite la aplicación de Reglas ejecutables, Reglas de Windows Installer y Reglas de scriptsseleccionando Aplicar reglas.

4 Cree Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts al seleccionar lacarpeta de la derecha, hacer clic con el botón derecho en la carpeta y seleccionar Crear nuevaregla.

No se olvide de crear reglas predeterminadas para reducir las posibilidades de bloquear laconfiguración predeterminada o detener el dispositivo.

5 Después de crear todas las reglas que quiera, haga clic con el botón derecho en AppLocker,seleccione Exportar directiva y guarde el archivo de configuración XML.

6 En Workspace ONE UEM Console, navegue a Dispositivos > Perfiles > Vista en lista > Agregar yseleccione Agregar perfil.





VMware, Inc. 90

10 Seleccione la carga útil Control de aplicaciones.

11 Seleccione Importar configuración de muestra de dispositivo y después Cargar para agregar elarchivo de configuración de políticas.


Configuración de un perfil de servicios web de Exchange(escritorio de Windows)Cree un perfil de Servicios web de Exchange para permitir que el usuario final acceda a lasinfraestructuras de correo electrónico corporativo y a las cuentas de Microsoft Outlook desde eldispositivo.

Importante Durante la configuración inicial, el dispositivo debe disponer de acceso a la instanciainterna de Exchange Server.

Para crear un perfil de Servicios web de Exchange:





5 Seleccione el perfil Servicios web de Exchange y configure los ajustes:


Dominio Introduzca el nombre del dominio al que pertenece el usuario final.

Servidor de correo electrónico Introduzca el nombre del servidor de Exchange.

Dirección de correo electrónico Introduzca la dirección de la cuenta de correo electrónico.


Al eliminar un perfil de Servicios web de Exchange, se eliminarán todas las cuentas de Outlook deldispositivo.

Creación de un perfil de licencias de Windows (escritoriode Windows)Configure un perfil de licencias de Windows para ofrecer a sus dispositivos Windows 10 una clave delicencia de Windows 10 Enterprise o Windows 10 Education. Utilice este perfil para actualizar losdispositivos que no vienen con Windows 10 Enterprise.


VMware, Inc. 91

Esta actualización no se puede revertir. Si publica este perfil en dispositivos del programa de BYOD, nopuede eliminar la licencia a través de MDM. Windows 10 solo se puede actualizar siguiendo una ruta deactualización específica:

n De Windows 10 Enterprise a Windows 10 Education

n De Windows 10 Home a Windows 10 Education

n De Windows 10 Pro a Windows 10 Education

n De Windows 10 Pro a Windows 10 Enterprise

Para crear un perfil de licencias de Windows:





5 Seleccione la pestaña Licencias de Windows y configure los siguientes ajustes:


Edición de Windows Seleccione la edición Enterprise o Education.

Introduzca una clave de licencia válida Introduzca la clave de licencia para la edición de Windows que está utilizando.


Configuración de un perfil de BIOS (escritorio deWindows)Configure los ajustes de BIOS para determinados dispositivos para empresas de Dell con el perfil deBIOS. Este perfil requiere integración con Dell Command | Monitor.

El soporte para los ajustes del perfil del BIOS varía según el dispositivo para empresas de Dell.Workspace ONE UEM solo inserta los ajustes que un dispositivo admite.

Para obtener más información sobre la configuración de la integración de Dell Command | Monitor,consulte Capítulo 7Integración de Dell Command | Monitor

Requisitos previosSolo se admiten dispositivos para empresas de Dell específicos. Para obtener más información, consultela sección Capítulo 7Integración de Dell Command | Monitor.

ProcedimientoPara configurar un perfil de BIOS:



VMware, Inc. 92




5 Seleccione la carga útil de BIOS y configure los siguientes ajustes:


Seguridad

Contraseña de BIOS Introduzca la contraseña empleada para desbloquear el BIOS del dispositivo.

Este campo es obligatorio.

Chip de TPM Seleccione Habilitar para habilitar el chip del módulo de plataforma segura del dispositivo.

Arranque

Modo de arranque Seleccione si el dispositivo arranca en modo BIOS o UEFI.

Protección de modo dearranque

Seleccione Habilitar para evitar problemas con el arranque del SO instalado en eldispositivo. Esta protección impide que se produzca una modificación en el modo dearranque en un dispositivo con un SO instalado.

Arranque seguro Seleccione Habilitar para utilizar ajustes de arranque seguro en el dispositivo. No puedeinhabilitar el arranque seguro con DCM. Si su dispositivo ya utiliza el arranque seguro,debe inhabilitar los ajustes manualmente en el dispositivo.

El arranque seguro necesita que el modo de arranque se ajuste a UEFI y que las ROMde opción heredadas se fijen en Inhabilitar.

ROM de opción heredadas Seleccione Habilitar para permitir el uso de ROM de opción heredadas durante el procesode arranque.

Virtualización

Virtualización de CPU Seleccione Habilitar para permitir la virtualización del hardware.

Virtualización de E/S Seleccione Habilitar para permitir la virtualización de entrada/salida.

Ejecución de confianza Seleccione Habilitar para permitir que el dispositivo utilice el chip de TPM, la virtualizaciónde CPU y la virtualización de E/S para decisiones de confianza.

La ejecución de confianza necesita que los ajustes del chip de TPM, la virtualización deCPU y la E/S de virtualización estén en modo Habilitado.

Conexión

LAN inalámbrica Seleccione Habilitar para permitir el uso de la funcionalidad de LAN inalámbrica deldispositivo.

Radiocomunicación celular Seleccione Habilitar para permitir el uso de la funcionalidad de radiocomunicación celulardel dispositivo.

Bluetooth Seleccione Habilitar para permitir el uso de la funcionalidad de Bluetooth del dispositivo.

GPS Seleccione Habilitar para permitir el uso de la funcionalidad de GPS del dispositivo.

Almacenamiento

Informes SMART Seleccione Habilitar para utilizar la supervisión SMART de las soluciones dealmacenamiento del dispositivo.

Administración de alimentación


VMware, Inc. 93


Carga de la batería principal Seleccione las reglas de carga del dispositivo:n Carga estándarn Carga exprésn Carga CAn Carga automátican Carga personalizada

Estas reglas controlan cuándo comienza y finaliza la carga de la batería. Si selecciona laCarga personalizada, puede ajustar manualmente el porcentaje de carga para comenzary finalizar la carga de la batería.

Límite de inicio de cargapersonalizada de la bateríaprincipal

Ajuste el porcentaje de carga de batería que debe alcanzarse para que el dispositivoempiece a cargar su batería.

Límite de finalización decarga personalizada de labatería principal

Ajuste el porcentaje de carga de batería que debe alcanzarse para que el dispositivofinalice la carga de su batería.

Peak Shift (control de bateríaen horas de alto consumo)

Seleccione Habilitar para usar el cambio de pico a fin de controlar cuando un dispositivose cargue con la batería o con CA. Peak Shift le permite utilizar la electricidad de la bateríaen lugar de la CA en momentos específicos.

Para ajustar el horario de la función Peak Shift, seleccione el icono del calendario.

Programación de la funciónPeak Shift

Los tres parámetros para la programación de Peak Shift controlan cuándo utiliza eldispositivo la batería o la corriente alterna y cuándo se carga la batería.n Inicio de Peak Shift: ajuste la hora de comienzo de la función Peak Shift, en la que

los dispositivos pasan a utilizar la alimentación de la batería.n Finalización de Peak Shift: ajuste la hora de finalización de la función Peak Shift, en

la que los dispositivos pasan a utilizar la alimentación de la CA.n Inicio de carga de Peak Shift: ajuste la hora de comienzo de la carga para Peak

Shift, en la que los dispositivos cargan las baterías utilizando la CA.

Umbral de batería de PeakShift

Ajuste el porcentaje de carga de la batería que debe alcanzarse para que los dispositivosdejen de utilizar la alimentación de la batería y vuelvan a la CA.

El ajuste de Inicio de carga de Peak Shift controla la hora a la que los dispositivos carganlas baterías tras pasar a utilizar la CA.

Personalizado

Propiedades del sistema Seleccione Agregar propiedades del sistema para agregar una propiedad del sistemapersonalizada. Seleccione el botón de nuevo para agregar más propiedades.

Estas propiedades son opciones avanzadas. Considere la posibilidad de revisar ladocumentación de Dell antes de usar estos ajustes.

Las propiedades del sistema anulan la configuración predefinida configurada en el perfil.

Clase Introduzca una clase y selecciónela en el menú desplegable.

Se muestra después de seleccionar Agregar propiedades del sistema.

Propiedad del sistema Introduzca una propiedad del sistema y selecciónela en el menú desplegable.

Se muestra después de seleccionar Agregar propiedades del sistema.


VMware, Inc. 94


Atributos del BIOS Seleccione Agregar atributo del BIOS para agregar un atributo del BIOS personalizado.Seleccione el botón de nuevo para agregar más atributos.

Estos atributos son opciones avanzadas. Considere la posibilidad de revisar ladocumentación de Dell antes de usar estos ajustes.

Los atributos del BIOS anulan la configuración predefinida configurada en el perfil.

Atributo del BIOS Introduzca un atributo del BIOS y selecciónelo en el menú desplegable.

Se muestra después de seleccionar Agregar atributo del BIOS.

Valor Seleccione un valor para el atributo del BIOS. Si no se indica un valor, el atributo del BIOSes de solo lectura.

Se muestra después de seleccionar Agregar atributo del BIOS.

Paquete de configuración

Paquete de configuración Seleccione Cargar para agregar un paquete de configuración de Dell Command | Configure. Cargar un paquete le permite configurar varios dispositivos de Dell con unasola configuración.

Los paquetes de configuración anulan cualquier propiedad o atributo del sistemapersonalizado.

Si incluye las extensiones de archivo permitidas en una lista blanca, deberá agregar laextensión de archivo CCTK a esa lista blanca. Vaya a Grupos y ajustes > Todos losajustes > Contenido > Opciones avanzadas > Extensiones de archivopara agregar laextensión de archivo.


Configuración de un perfil de actualizaciones de OEM(escritorio de Windows)Configure los ajustes de actualización de OEM para determinados dispositivos para empresas de Dellcon el perfil de actualizaciones de OEM. Este perfil requiere integración con Dell Command | Update.

El soporte para los ajustes del perfil de actualizaciones de OEM varía según el dispositivo de Dell.Workspace ONE UEM solo inserta los ajustes que un dispositivo admite.

Para obtener más información sobre la configuración de la integración de Dell Command | Update,consulte Capítulo 8Descripción general de Dell Command | Update.

Requisitos previosSolo se admiten dispositivos para empresas de Dell específicos. Para obtener más información, consulte Capítulo 8Descripción general de Dell Command | Update.

Procedimientos1 Navegue a Dispositivos > Perfiles > Vista en lista > Agregar y seleccione Agregar perfil.




VMware, Inc. 95


5 Seleccione la carga útil de Actualizaciones de OEM y configure los siguientes ajustes:


Horario

Buscar actualizaciones Seleccione el intervalo utilizado para comprobar si hay actualizaciones.

Día de la semana Seleccione el día de la semana para comprobar si hay actualizaciones.

Solo se muestra si Buscar actualizaciones está establecido en Semanal.

Día del mes Seleccione el día del mes para comprobar si hay actualizaciones.

Solo se muestra si Buscar actualizaciones está establecido en Mensual.

Tiempo Seleccione la hora del día para comprobar si hay actualizaciones.

Actualizar comportamiento Seleccione las acciones que se realizarán cuando se busquen actualizaciones.n Seleccione Examinar Notificar para buscar actualizaciones y avisar al usuario de que

hay actualizaciones disponibles.n Seleccione Examinar Descargar Notificar para buscar actualizaciones, descargar las

que haya disponibles y avisar al usuario de que hay actualizaciones por instalar.n Seleccione Examinar Notificar Aplicar Reiniciar para buscar actualizaciones,

descargar las que haya disponibles, instalarlas y reiniciar el dispositivo.

Retraso de reinicio Seleccione el tiempo que el dispositivo va a demorar el reinicio después de descargar lasactualizaciones.

Nivel

Actualizaciones urgentes Seleccione Habilitar para aplicar las actualizaciones urgentes en el dispositivo.

Actualizacionesrecomendadas

Seleccione Habilitar para aplicar las actualizaciones recomendadas en el dispositivo.

Actualizaciones opcionales Seleccione Habilitar para aplicar las actualizaciones opcionales en el dispositivo.

Tipo de actualización

Controladores de hardware Seleccione Habilitar para aplicar las actualizaciones de controladores de hardwareproporcionadas por el OEM en el dispositivo.

Software de la aplicación Seleccione Habilitar para aplicar las actualizaciones de software de la aplicaciónproporcionadas por el OEM en el dispositivo.

Actualizaciones del BIOS Seleccione Habilitar para aplicar las actualizaciones del BIOS proporcionadas por el OEMen el dispositivo.

Considere la posibilidad de inhabilitar las contraseñas del BIOS en caso de que quierautilizar el perfil de actualizaciones de OEM para administrar las actualizaciones del BIOS.Algunas actualizaciones del BIOS piden al usuario que introduzca la contraseña del BIOS.

Actualizaciones delfirmware

Seleccione Habilitar para aplicar las actualizaciones de firmware proporcionadas por el OEMen el dispositivo.

Software de utilidad Seleccione Habilitar para aplicar las actualizaciones de software de utilidad proporcionadaspor el OEM en el dispositivo.

Otro Seleccione Habilitar para aplicar otras actualizaciones proporcionadas por el OEM en eldispositivo.

Categorías del dispositivo


VMware, Inc. 96


archivos de Seleccione Habilitar para aplicar las actualizaciones de dispositivo de audio proporcionadaspor el OEM en el dispositivo.

Conjunto de chips Seleccione Habilitar para aplicar las actualizaciones de dispositivo de conjunto de chipsproporcionadas por el OEM en el dispositivo.

Entrada Seleccione Habilitar para aplicar las actualizaciones de dispositivo de entradaproporcionadas por el OEM en el dispositivo.

Red Seleccione Habilitar para aplicar las actualizaciones de dispositivos de red proporcionadaspor el OEM en el dispositivo.

Almacenamiento Seleccione Habilitar para aplicar las actualizaciones de dispositivos de almacenamientoproporcionadas por el OEM en el dispositivo.

Vídeo Seleccione Habilitar para aplicar las actualizaciones de dispositivo de vídeo proporcionadaspor el OEM en el dispositivo.

Otros Seleccione Habilitar para aplicar otras actualizaciones de dispositivo proporcionadas por elOEM en el dispositivo.


Configuración de un perfil de quiosco (escritorio deWindows)Configure un perfil de quiosco para convertir el dispositivo de escritorio de Windows en uno de quioscocon varias aplicaciones. Este perfil permite configurar las aplicaciones que se muestran en el menú deinicio del dispositivo.

Puede cargar su propio código XML personalizado para configurar el perfil de quiosco o crear su propioquiosco como parte del perfil. Este perfil no es compatible con cuentas de dominio o grupos de dominio.El usuario es una cuenta de usuario integrada creada por Windows.

Aplicaciones compatiblesn Aplicaciones .EXE

n Para los archivos MSI y ZIP necesita agregar la ruta de acceso del archivo.

n Aplicaciones integradas

n Las aplicaciones integradas seleccionadas se agregarán automáticamente al diseñador. Entreestas aplicaciones se incluyen:

n Noticias

n Microsoft Edge

n Tiempo

n Reloj y alarmas

n Notas rápidas


VMware, Inc. 97

n Mapas

n Calculadora y fotos.

ProcedimientoPara crear un quiosco:





Debe agregar una asignación antes de configurar el perfil de quiosco.

5 Seleccione el perfil de quiosco.

6 Si ya tiene un código XML personalizado, seleccione Cargar XML de quiosco y complete los ajustes.


Asigne acceso a laconfiguración de XML.

Seleccione Cargar y agregue la configuración de XML con acceso asignado. También puedepegar el código XML en el cuadro de texto.

Para obtener más información, consulte la página https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp.

7 Si no tiene ningún código XML personalizado, seleccione Crear su quiosco y configure el diseño dela aplicación.

Este diseño corresponde al menú de inicio del dispositivo en una cuadrícula. Las aplicaciones que semuestran en la parte izquierda son las aplicaciones asignadas al grupo de asignación queseleccionó. Algunas aplicaciones tienen un icono de rueda dentada con un punto rojo en la esquinasuperior derecha. Este icono muestra las aplicaciones que necesitan una configuración adicionalcuando se agregan al diseño del quiosco. Una vez configurados los ajustes, desaparece el puntorojo, pero el icono permanece.


VMware, Inc. 98

https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp

https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp

Puede seleccionar el icono de la flecha para cambiar el tamaño de las aplicaciones. En cuanto a lasaplicaciones de escritorio clásicas, solo puede elegir entre pequeño o mediano.

8 Arrastre todas las aplicaciones que desee agregar al menú de inicio al centro. Puede crear hastacuatro grupos de aplicaciones. Estos grupos combinan sus aplicaciones en secciones del menú deinicio.

9 Una vez que haya agregado todas las aplicaciones y los grupos que desee, seleccione Guardar.

10 En la pantalla de perfil de quiosco, seleccione Guardar y publicar.

El perfil no se instalará en el dispositivo hasta que se instalen todas las aplicaciones que este incluye.Una vez que el dispositivo recibe el perfil, se reiniciará y se ejecutará en modo quiosco. Si elimina elperfil del dispositivo, este inhabilitará el modo quiosco, se reiniciará y borrará el usuario de quiosco.

Uso de ajustes personalizados (escritorio de Windows)La carga útil de ajustes personalizados es una forma de utilizar la funcionalidad del escritorio deWindows con la que Workspace ONE UEM no es compatible mediante sus cargas útiles nativas. Si nodesea utilizar las nuevas funciones, puede utilizar la carga útil Ajustes personalizados y el código XMLpara habilitar o inhabilitar manualmente ciertos ajustes.


VMware, Inc. 99

Considere la posibilidad de visitar https://vmwarepolicybuilder.com para saber cómo crear su XML deperfil personalizado.

RequisitosDebe escribir su propio código SyncML para los perfiles de escritorio de Windows. Microsoft publica unsitio de referencia del proveedor de servicios de configuración que está disponible en su sitio web.

Código de ejemplo:

<characteristic>

<Replace>

<CmdID>2</CmdID>

<Item>

<Target>

<LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>

</Target>

<Meta>

<Format xmlns="syncml:metinf">chr</Format>

</Meta>

<Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_htcwkw4rx2gx4!App"}</Data>

</Item>

</Replace>

</characteristic>

ProcedimientoPara configurar una carga útil personalizada:





5 Configure la carga útil apropiada (por ejemplo, Restricciones o Código de acceso).

Puede trabajar con una copia del perfil, guardada en un grupo organizativo de “prueba”, para evitarque haya usuarios afectados antes de que esté listo para Guardar y publicar.

6 Utilice Guardar, pero no publique el perfil.

7 Seleccione el botón de radio de Perfiles > Vista en lista para la fila del perfil que desee personalizar.

8 Seleccione el botón XML situado en la parte superior para ver el perfil X.

9 Encuentre la sección de texto que empieza por <característica> ... <característica> que habíaconfigurado previamente, por ejemplo, Restricciones o Código de acceso. La sección contiene untipo de configuración que identifica su propósito, tal como restricciones.

10 Copie esta sección de texto y cierre la vista de XML. Abra su perfil.


VMware, Inc. 100

https://vmwarepolicybuilder.com/

11 Seleccione la carga útil Ajustes personalizados y después Configurar.

a Pegue el XML que ha copiado en el cuadro de texto Ajustes de instalación. El código XML quepegue debe contener todo el bloque de código, desde <[característica]> hasta </[característica]>.

b Agregue el código de eliminación al cuadro de texto Suprimir ajustes. El código de eliminacióndebe contener <replace></replace> o <delete></delete .

Este código habilita la funcionalidad Workspace ONE UEM, como Eliminar perfil y Desactivarperfil. Sin el código de eliminación no puede eliminar el perfil de los dispositivos además deenviar un segundo perfil de ajustes personalizados.

Para obtener más información, consulte https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference.

12 Elimine la carga útil configurada originalmente seleccionando la sección de cargas útiles básicas y elbotón menos [-]. Ahora puede mejorar el perfil agregando el código XML personalizado para la nuevafuncionalidad.

Importante Cualquier dispositivo que no haya sido actualizado a la versión más reciente ignorarácualquier mejora que usted haya creado. Como el código ahora está personalizado, pruebe losperfiles de dispositivos con versiones anteriores para verificar el comportamiento esperado.


Impedir que los usuarios inhabiliten el servicio de AirWatchUtilice un perfil de ajustes personalizados para impedir que los usuarios finales inhabiliten el servicio deAirWatch en sus dispositivos Windows 10. Si se impide que los usuarios finales inhabiliten el servicio deAirWatch, Workspace ONE Intelligent Hub ejecuta comprobaciones periódicamente conWorkspace ONE UEM Console y recibe las actualizaciones de políticas más recientes.

Para impedir que los usuarios inhabiliten el servicio de AirWatch:

1 Cree un perfil de ajustes personalizados. Para obtener más información, consulte Uso de ajustespersonalizados (escritorio de Windows).

2 Establezca Destino en Protection Agent.

3 Copie el siguiente código y péguelo en el cuadro de texto Ajustes personalizados:

<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">

<characteristic type="com.airwatch.winrt.awservicelockdown"

uuid="7957d046-7765-4422-9e39-6fd5eef38174">

<parm name="LockDownAwService" value="True"/>

</characteristic>

</wap-provisioningdoc>



VMware, Inc. 101

https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference

https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference

Si desea eliminar la restricción de los dispositivos de usuarios finales, deberá insertar un perfil aparte conel siguiente código:

<wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">

<characteristic type="com.airwatch.winrt.awservicelockdown"

uuid="7957d046-7765-4422-9e39-6fd5eef38174">

<parm name="LockDownAwService" value="False"/>

</characteristic>

</wap-provisioningdoc>


VMware, Inc. 102

Uso de Valores de referencia 4Proteja los dispositivos de escritorio Windows con Valores de referencia. Workspace ONE UEM guardalos ajustes recomendados por el sector en una configuración para simplificar la protección de losdispositivos.

Nota Workspace ONE UEM ofrece la función de líneas base como una vista previa técnica. Lasfunciones de vista previa técnica no se han probado por completo, y algunas funcionalidades no tienen elcomportamiento esperado. Sin embargo, estas vistas previas ayudan a Workspace ONE UEM a mejorarla funcionalidad actual y a desarrollar mejoras futuras. Para utilizar una función de vista previa técnica,póngase en contacto con su representante de VMware Workspace ONE.

Mantener los dispositivos configurados conforme a las prácticas recomendadas es un proceso laborioso.Con las Valores de referencia, puede proteger todos los dispositivos con los ajustes y las configuracionesrecomendados por el sector. Workspace ONE UEM guarda estas prácticas recomendadas enconfiguraciones denominadas Valores de referencia. Estas configuraciones reducen considerablementeel tiempo necesario para configurar dispositivos Windows.

Para garantizar que las Valores de referencia usen solo los ajustes y las configuraciones másadecuados, VMware está certificado por CIS para proporcionar los ajustes recomendados por el sector,como los bancos de pruebas de CIS para Windows 10, con el fin de proporcionar soluciones sencillas yseguras. Las Valores de referencia se basan en la versión del sistema operativo Windows y puedenactualizarse siempre que lo desee. Durante la configuración, puede elegir la línea de base que utilizará, obien cargar una línea de base personalizada que se ajuste a sus necesidades.

Una vez que un dispositivo está inscrito en Workspace ONE UEM, puede agregar el dispositivo a ungrupo inteligente y asignar una línea de base al grupo. El dispositivo recibirá y aplicará todos los ajustesy configuraciones de la línea de base una vez que se reinicie. El dispositivo comprueba la configuraciónde la línea de base cuando esta se publica y en los intervalos definidos.

Si desea actualizar una línea de base en una fecha posterior, solo tiene que editar la línea de base yseleccionar una nueva en la lista proporcionada. Puede ver qué líneas de base se aplican a undispositivo en la página Detalles del dispositivo.

VMware, Inc. 103

Cómo crear una línea de baseCree una línea de base para configurar el dispositivo según los ajustes y las configuracionesrecomendados por el sector. Workspace ONE UEM guarda las Valores de referencia en función de lasprincipales recomendaciones del sector, incluido el banco de pruebas de CIS.

Requisitos previos

Las Valores de referencia requieren que los dispositivos estén inscritos en Workspace ONE UEM ytengan Workspace ONE Intelligent Hub instalado.

Debe agregar el archivo LGPO.exe a todos los dispositivos a los que desea asignar una línea de base.Debe instalar el archivo EXE en C:\ProgramData\Airwatch\LGPO\ LGPO.exe.

Procedimiento

1 Navegue a Dispositivos > Perfiles y recursos > Baselines (Líneas de base) y seleccione Nueva.

2 Introduzca el nombre de la línea de base y la descripción, y seleccione el grupo inteligente queadministra la línea de base. A continuación, seleccione Siguiente.

3 Seleccione una línea de base:


Línea de base de Windows 10 Seleccione esta opción para usar la línea de base de Windows 10. Esta línea debase aplica las configuraciones de seguridad de Windows 10 más utilizadas parala versión del sistema operativo seleccionada.

Seleccione la versión del sistema operativo del dispositivo para la línea de base.

Banco de pruebas de CIS paraWindows 10

Seleccione esta opción para usar el banco de pruebas de CIS para Windows 10.Esta línea de base aplica los ajustes de configuración recomendados por losbancos de pruebas de CIS.

Seleccione la versión del sistema operativo y el nivel de banco de pruebas quedesea aplicar.

Personalizar línea de base Seleccione esta opción para cargar y utilizar su propia línea de basepersonalizada. Debe crear esta línea de base fuera de Workspace ONE UEM.

4 Seleccione Siguiente.

5 Revise el resumen y seleccione Guardar y asignar.

Workspace ONE UEM asigna la línea de base a todos los dispositivos del grupo inteligente.

Pasos siguientes

Debe reiniciar el dispositivo para que la línea de base surta efecto.


VMware, Inc. 104

Políticas de conformidad 5El motor de conformidad es una herramienta automática de Workspace ONE UEM que garantiza quetodos los dispositivos cumplan las políticas implantadas. Estas políticas pueden incluir ajustes básicos deseguridad, como contraseñas o un periodo mínimo de bloqueo de dispositivo.

En algunas plataformas también puede decidir si quiere configurar o imponer ciertas medidas. Talesmedidas incluyen configurar la seguridad de la contraseña, incluir determinadas aplicaciones en una listanegra y exigir intervalos de verificación del dispositivo para garantizar que los dispositivos estánprotegidos y en contacto con Workspace ONE UEM. Una vez que se hayan detectado los dispositivosque no cumplen con las políticas de conformidad, el motor de conformidad comenzará a advertir a losusuarios de que necesitan corregir los errores para prevenir acciones disciplinarias en el dispositivo. Porejemplo, el motor de conformidad puede enviar un mensaje para notificar al usuario que su dispositivo nocumple con las políticas de conformidad.

Además, los dispositivos que no cumplen con las políticas de conformidad no pueden tener perfiles dedispositivos asignados ni aplicaciones instaladas. Si no se realizan correcciones en el tiempoespecificado, el dispositivo perderá acceso al contenido y funciones que usted defina. Las políticas deconformidad y acciones disponibles varían según la plataforma.

Para obtener más información sobre las políticas de conformidad, como las políticas y acciones que soncompatibles con una plataforma específica, consulte la Guía de VMware AirWatch para laadministración de dispositivos móviles, disponible en docs.vmware.com.


n Detección de dispositivos comprometidos con atestación de estado

n Atributos de conformidad

n Creación de un atributo de conformidad

Detección de dispositivos comprometidos con atestaciónde estadoLa atestación de estado escanea los dispositivos durante el inicio para verificar si existen errores en suintegridad. Utilice la atestación de estado para detectar dispositivos de escritorio de Windowscomprometidos.

VMware, Inc. 105

En las implementaciones de dispositivos tanto de propiedad corporativa como BYOD, es importantesaber que estos no se encuentran comprometidos cuando acceden a los recursos corporativos. Elservicio de atestación de estado de Windows accede a la información de arranque de los dispositivosdesde la nube a través de comunicaciones seguras. Esta información se mide y revisa en comparacióncon puntos de datos relacionados para garantizar que el dispositivo se inició como se esperaba y no esvíctima de amenazas o ataques contra su seguridad. Estas medidas incluyen arranque seguro,integridad de código, BitLocker y administrador de arranque.

Workspace ONE UEM le permite configurar el servicio de atestación de estado de Windows paragarantizar la conformidad de los dispositivos. Si alguna de las comprobaciones habilitadas es errónea, elmotor de políticas de conformidad de Workspace ONE UEM tomará las medidas de seguridad según lapolítica de conformidad configurada. Esta funcionalidad le permite mantener los datos empresarialesprotegidos frente a dispositivos comprometidos. Como Workspace ONE UEM recupera la informaciónnecesaria del hardware del dispositivo y no del sistema operativo, los dispositivos comprometidos sedetectan incluso cuando el kernel del sistema operativo está comprometido.

Configure la atestación de estado para las políticas deconformidad del escritorio de WindowsMantenga sus dispositivos protegidos utilizando el servicio de atestación de estado de Windows para ladetección de dispositivos comprometidos. Este servicio permite que Workspace ONE UEM revise laintegridad de los dispositivos durante su inicio y realice acciones rectificadoras.

Para obtener más información, consulte el artículo de Microsoft TechNet sobre atestación de estado.

Para utilizar la detección de dispositivos comprometidos:

1 Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows >Escritorio de Windows > Atestación de estado.

2 (Opcional) Seleccione Usar servidor personalizado si utiliza un servidor local personalizado conAtestación de estado. Introduzca la URL del servidor.

3 Configure los ajustes de Atestación de estado:


Definición del estado comprometido

Utilizar servidorpersonalizado

Seleccione esta opción con el fin de configurar un servidor personalizado para la atestaciónde estado.

Esta opción requiere un servidor con Windows Server 2016 o posterior.

Si se habilita esta opción, se muestra el campo URL del servidor.

URL del servidor Introduzca la URL de su servidor de atestación de estado personalizado.

Arranque seguroinhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el arranqueseguro esté inhabilitado en el dispositivo.

El arranque seguro obliga al sistema a arrancar en un estado de fábrica confiable. Si elarranque seguro está habilitado, los componentes principales usados para arrancar lamáquina deben tener las firmas criptográficas correctas en las que confía el OEM. Elfirmware UEFI comprueba la confianza antes de permitir que se inicie la máquina. Elarranque seguro impide el inicio si detecta cualquier archivo manipulado.


VMware, Inc. 106


La clave de identidad AIKno está presente

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la clave deidentidad AIK no esté presente en el dispositivo.

Si la clave de identidad de la atestación (AIK) está presente en un dispositivo, indica queeste tiene un certificado de clave de aprobación (EK). Es más confiable que un dispositivosin certificado de EK.

Política de prevención deejecución de datos (DEP)inhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando laprevención de ejecución de datos esté inhabilitada en el dispositivo.

La política de prevención de ejecución de datos (DEP) es una función de protección dememoria integrada en el SO del sistema. La política impide la ejecución de código depáginas de datos como montones predeterminados, pilas y bloques de memoria. DEP esobligatorio tanto el hardware como en el software.

BitLocker inhabilitado Habilite esta opción para marcar el estado de dispositivo comprometido cuando el cifradode BitLocker esté inhabilitado en el dispositivo.

Comprobación deintegridad de códigoinhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de integridad de código esté inhabilitada en el dispositivo.

La integridad de código es una función que valida la integridad de un controlador o archivodel sistema cada vez que se carga en la memoria. Comprueba los controladores o archivosdel sistema no firmados antes de cargarlos en el kernel. Esta comprobación tambiénanaliza si hay usuarios con privilegios que ejecuten archivos de sistema modificadosmediante software malintencionado.

Antimalware de iniciotemprano inhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de antimalware de inicio temprano esté inhabilitada en el dispositivo.

Todas las comprobaciones de antimalware de inicio temprano (ELAM) proporcionanprotección a los ordenadores de la red cuando se inician y al inicializar controladores deterceros.

Verificación de la versiónde la integridad de código

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de la versión de la integridad de código falle.

Verificar versión de laadministración dearranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de la versión de la administración de arranque falle.

Comprobación del númerode la versión de seguridadde la aplicación de arranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el númerode versión de seguridad de la aplicación de arranque no corresponda al númerointroducido.

Comprobación del númerode versión de seguridad deladministrador de arranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el númerode versión de seguridad del administrador de arranque no corresponda al númerointroducido.

Configuración avanzada Habilite esta opción para configurar los ajustes avanzados en la sección Identificadores deversión del software.

Identificadores de versión del software

Verificación del Hash de lapolítica de integridad decódigo

Habilite esta opción para definir una lista blanca de valores de hash válidos conocidos parael software de integridad de código. Si el hash no es un valor que está en la lista blanca,la conformidad de la atestación de estado falla.


VMware, Inc. 107


Comprobación de hash dela política de configuracióndel arranque seguro

Habilite esta opción para definir una lista blanca de valores de hash válidos conocidos parael software de configuración de arranque seguro. Si el hash no es un valor que está enla lista blanca, la conformidad de la atestación de estado falla.

Comprobación de PCR0 Habilite esta opción para definir una lista blanca de mediciones válidas conocidas para elsoftware de comprobación de PCR0. Esta medición comprueba el código de confianza delBIOS para asegurar que no se ha puesto en peligro. Si la medición no es un valor que estáen la lista blanca, la conformidad de la atestación de estado falla.


Atributos de conformidadIntegre el motor de política de conformidad de Workspace ONE UEM con soluciones de seguridad deextremos de terceros para garantizar el cumplimiento y la seguridad de los dispositivos y tome medidasen relación con los dispositivos que incumplan la política.

La pantalla de ajustes de Atributos de conformidad le permite agregar atributos de conformidadpersonalizados al motor de política de conformidad. Usted crea el nombre personalizado, el nombredescriptivo y los valores. Las soluciones de terceros informan de los valores del atributo a WorkspaceONE UEM a través de una API. Puede crear políticas de conformidad para aplicar reglas en losdispositivos basadas en estos atributos.

Las claves de atributo en un atributo de conformidad coinciden con las claves de la solución de terceros.Workspace ONE UEM comprueba los valores recibidos de la solución de terceros para determinar elcumplimiento. Los valores de atributo deben ser valores booleanos.

Para obtener más información sobre cómo crear un atributo de conformidad, consulte Creación de unatributo de conformidad.

Creación de un atributo de conformidadCree un atributo de conformidad personalizado para asegurarse de que los dispositivos sigan siendoseguros y cumplan con las políticas. Estos atributos utilizan soluciones de seguridad de extremos deterceros para proporcionar los valores de los atributos.

Para crear un atributo de conformidad:

1 Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > General > Atributode conformidad.

2 Si esta es la primera vez que crea un atributo de conformidad, seleccione Configurar.

3 Seleccione un Socio del menú desplegable.

4 Seleccione Agregar atributo. Puede crear hasta cinco atributos de conformidad por grupoorganizativo.

5 Introduzca la clave de atributo. Esta clave debe coincidir con la de la solución de terceros.


VMware, Inc. 108

6 Introduzca un Nombre descriptivo del atributo. Este nombre es una sencilla descripción delatributo. Puede ser cualquier nombre.

7 Introduzca los Valores de atributo. Estos valores son los que devuelve la solución de terceros parael atributo. Deben ser valores booleanos.


9 Cuando finalice la adición de atributos, seleccione Guardar.


VMware, Inc. 109

Resumen de las aplicaciones deescritorio de Windows 6Puede utilizar las aplicaciones de Workspace ONE UEM y las características de MDM deWorkspace ONE UEM para proteger aún más los dispositivos y configurarlos con una mayorfuncionalidad.

Utilice VMware Content Locker para proteger el contenido corporativo en los dispositivos móviles eimplemente VMware Browser para ofrecer navegación segura en la web a los usuarios finales.Descargue el Workspace ONE Intelligent Hub para Windows con el fin de supervisar los dispositivos a unnivel más detallado.

Para implementar aplicaciones Win32 en dispositivos de escritorio de Windows, es necesario queWorkspace ONE Intelligent Hub esté presente en dichos dispositivos.

Importante Todas las aplicaciones públicas implementadas en dispositivos de Escritorio de Windowsson aplicaciones sin administrar. Las aplicaciones sin administrar no pueden insertarse en losdispositivos (los usuarios finales deben descargar la aplicación por su cuenta), ni tampoco puedenquitarse de los dispositivos mediante eliminación empresarial.


n VMware Workspace ONE para escritorio de Windows

n Configurar Workspace ONE Intelligent Hub para dispositivos Windows

n VMware Content Locker para dispositivos de escritorio de Windows

VMware Workspace ONE para escritorio de WindowsCuando la aplicación Workspace ONE está instalada en los dispositivos, los usuarios pueden iniciarsesión en Workspace ONE para acceder de forma segura al catálogo de aplicaciones que laorganización haya habilitado para ellos. Cuando se configura la aplicación con el inicio de sesión único,los usuarios no tienen que volver a introducir sus credenciales de inicio de sesión al lanzar la aplicación.

La interfaz de usuario de Workspace ONE funciona del mismo modo en teléfonos, tabletas y equipos deescritorio. Workspace ONE se abre en una página de inicio que muestra los recursos que se hanpublicado en Workspace ONE. Los usuarios pueden tocar o hacer clic para buscar, agregar y actualizaraplicaciones. Para eliminar una aplicación de la página, basta con hacer clic con el botón derecho enella. Para agregar recursos autorizados, solo tiene que acceder a la página del catálogo.

VMware, Inc. 110

Si una aplicación requiere la inscripción de un dispositivo, Workspace ONE utiliza la administraciónadaptable para iniciar el proceso para el usuario final. Para obtener más información sobreWorkspace ONE, consulte el artículo "Setting up the VMware Workspace ONE Application on Devices"disponible en VMware Identity Manager Documentation Center (https://docs.vmware.com).

Configurar Workspace ONE Intelligent Hub paradispositivos WindowsWorkspace ONE Intelligent Hub para dispositivos Windows viene preconfigurado con AirWatch. Cambieestos ajustes cuando necesite que Workspace ONE Intelligent Hub se adapte a necesidadesdeterminadas de la empresa.

Puede impedir que los usuarios finales inhabiliten el servicio de AirWatch en sus dispositivos con un perfilde XML personalizado. Para obtener más información, consulte Impedir que los usuarios inhabiliten elservicio de AirWatch.

Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritoriode Windows > Ajustes de Hub para editar los ajustes de Workspace ONE Intelligent Hub:

n Configure los ajustes de Agente moderno para que Workspace ONE Intelligent Hub transmita losdatos deseados a la consola de AirWatch:


Intervalo de heartbeat(min)

Define el intervalo con el que Workspace ONE Intelligent Hub y la consola deWorkspace ONE UEM confirman que la conexión está disponible y se sincronizan.

Intervalo de muestra dedatos (min)

Define el intervalo al que Workspace ONE Intelligent Hub toma muestras de datos.

Código de accesoadministrativo

Establece el código de acceso para acceder a los ajustes administrativos del dispositivo.

Seguridad del canal deMDM

Define la seguridad de la capa de la aplicación entre Workspace ONE UEM yWorkspace ONE Intelligent Hub. Este canal seguro utiliza el certificado de inscripción parafirmar, cifrar o firmar y cifrar las comunicaciones entre la consola de UEM yWorkspace ONE Intelligent Hub.

n Configure los ajustes de AirWatch Protection Agent para garantizar una comunicación rápida entreel dispositivo y la consola de AirWatch.


Intervalo de muestra de datos (min) Define el intervalo con el que AirWatch Protection Agent toma muestras de datos.


VMware, Inc. 111

https://docs.vmware.com/

n Configure los ajustes de Administración remota para permitir la comunicación entreWorkspace ONE Intelligent Hub y el servidor de administración remota.


Descargar CAB de controlremoto

Seleccione este vínculo para descargar el archivo CAB del instalador deWorkspace ONE UEM Remote Management.

Pedir permiso Habilite la opción Pedir permiso si quiere pedir al usuario final que acepte o rechace lasolicitud de administración remota del administrador.n Introduzca un mensaje de petición de permiso que el usuario final verá cuando se

envíe una solicitud remota.n Introduzca el mensaje de la leyenda de Sí del botón de aceptación que el usuario final

verá en la solicitud de petición de permiso.n Introduzca el mensaje de la leyenda de No del botón de rechazo que el usuario final

verá en la solicitud de petición de permiso.

Avanzado

Puerto de administraciónremota

Introduzca el puerto utilizado para la comunicación entre el Hub de administración remotay el agente de Tunnel en el dispositivo del usuario final.

Este puerto es el responsable de almacenar en caché las diferentes tramas del dispositivopara utilizarlas con la función de compartir la pantalla. El puerto predeterminado es 7775.Es aconsejable no cambiarlo a menos que su organización use el puerto 7775 para otrosfines.

Nivel del registro dedispositivos

Ajuste el nivel del registro de dispositivos para controlar el nivel de detalle de la aplicaciónde administración remota en el dispositivo.

Ruta de la carpeta deregistro

Defina la ruta de la carpeta de registro en la que la aplicación guarda el archivo deregistro de administración remota en el dispositivo.

Mostrar icono de bandeja Habilite Mostrar icono de bandeja para mostrar el applet de administración remota en eldispositivo.

Cantidad máxima desesiones máximas

Introduzca el número máximo de sesiones simultáneas permitidas en un dispositivo.

Cantidad de reintentos Introduzca el número de reintentos permitidos antes de que los intentos de comunicaciónse detengan.

Frecuencia de reintentos (ensegundos)

Intervalo de tiempo entre intentos de comunicación.

Intervalo de Heartbeat(segundos)

Introduzca el tiempo (en segundos) que pasa entre las actualizaciones de estado que seenvían desde el dispositivo.

Frecuencia de intentoscuando se pierde la conexión(en segundos)

Introduzca la cantidad de tiempo (en segundos) que pasa entre los intentos pararestablecer la conexión.

VMware Content Locker para dispositivos de escritorio deWindowsVMware Content Locker es una aplicación que permite a los usuarios finales acceder a contenidoimportante de los dispositivos, al tiempo que garantiza la seguridad de los archivos para la organización.


VMware, Inc. 112

Desde VMware Content Locker, los usuarios finales tienen acceso al contenido que se carga en laconsola de UEM, al contenido procedente de repositorios corporativos sincronizados o a su propiocontenido personal.

Utilice la consola de UEM para agregar contenido, sincronizar repositorios y configurar las acciones quelos usuarios finales pueden realizar en contenido abierto en la aplicación. Estas configuraciones impidenque el contenido se copie, comparta o guarde sin aprobación.


VMware, Inc. 113

Integración de Dell Command | Monitor 7Integre Workspace ONE UEM con Dell Command | Monitor para mejorar la información queWorkspace ONE UEM recopila de los dispositivos para empresas de Dell inscritos. Esta integracióntambién le permite seleccionar la configuración del BIOS del dispositivo.

Puntos básicosLa integración con Dell Command | Monitor permite mejorar la administración de los dispositivos paraempresas de Dell. Gracias a esta integración, Workspace ONE UEM proporciona información acerca delestado de mantenimiento de la batería del dispositivo y de algunos ajustes del BIOS.

Dispositivos compatiblesn Sobremesas Dell OptiPlex™

n Sobremesas y portátiles Dell Precision Workstation™

n Portátiles Dell Latitude™

Adición de Dell Command | Monitor aWorkspace ONE UEMPara integrar Dell Command | Monitor con Workspace ONE UEM, agregue el programa como unaaplicación Win32 interna en Workspace ONE UEM Console. Para obtener más información, consulte Adición de Dell Command | Monitor a Workspace ONE UEM.

Perfil del BIOSConfigure algunos ajustes del BIOS de los dispositivos para empresas de Dell con un perfil de BIOS. Laconfiguración le permite controlar la virtualización de hardware y la seguridad del BIOS. Para obtenermás información, consulte Configuración de un perfil de BIOS (escritorio de Windows)

VMware, Inc. 114

Estado de mantenimiento de la bateríaEl estado de mantenimiento general de una batería afecta a la vida útil de un dispositivo. Gracias aDell Command | Monitor, puede supervisar el estado de mantenimiento de las baterías de los dispositivospara empresas de Dell. Este estado de mantenimiento no muestra la carga actual de la batería, peroinforma acerca de la capacidad para mantener la carga, del tiempo necesario para completar una carga yde otros factores expresados como porcentaje. Según Dell, cualquier batería con un estado demantenimiento por debajo del 25% debería sustituirse.

Adición de Dell Command | Monitor aWorkspace ONE UEMAgregue Dell Command | Monitor a Workspace ONE UEM Console para mejorar la administración de losdispositivos para empresas de Dell. El perfil de BIOS requiere esta aplicación antes del envío a losdispositivos.

Requisitos previosDebe permitir que la distribución del software envíe Dell Command | Monitor a los dispositivos.

ProcedimientosPara agregar Dell Command | Monitor:

1 Navegue a la página http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor ydescargue la última versión de Dell Command | Monitor.

2 Abra el archivo EXE y seleccione Extraer. Guarde los archivos extraídos en una carpeta.

3 Navegue a la carpeta y busque el archivo MSI.

4 En la consola de UEM, agregue el archivo MSI extraído como una aplicación interna. Asegúrese deque define la arquitectura de procesador compatible en 32 o 64 bits según cuál sea el sistemaoperativo del dispositivo.

En la pestaña Opciones de implementación, defina el campo Privilegios de administrador en Sí.

5 Agregue una asignación de la aplicación a los dispositivos para empresas de Dell.

La aplicación se descargará e instalará en los dispositivos asignados. Además, podrá enviar perfiles deBIOS.


VMware, Inc. 115

http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor

Descripción general de DellCommand | Update 8Dell Command | Update es un software de administración del lado del cliente que forma parte de DellClient Command Suite. Este software permite actualizar el firmware, los controladores y las aplicacionesde los dispositivos de Dell compatibles.

Puntos básicosIntegre Workspace ONE UEM con Dell Command | Update para mejorar la administración deactualizaciones de dispositivos para empresas de Dell. Si lo hace, podrá actualizar firmware,controladores y otras aplicaciones de forma remota. Podrá controlar cuándo y qué tipos deactualizaciones se van a implementar en los dispositivos.

Dispositivos compatiblesn Sobremesas Dell OptiPlex™

n Sobremesas y portátiles Dell Precision Workstation™

n Portátiles Dell Latitude™

Adición de Dell Command | Update aWorkspace ONE UEMPara integrar Dell Command | Update con Workspace ONE UEM, agregue la aplicación como unaaplicación Win32 interna a Workspace ONE UEM Console. Para obtener más información, consulte Adición de Dell Command | Update a Workspace ONE UEM.

Configuración del perfil de actualizaciones de OEMConfigure el perfil de actualizaciones de OEM para habilitar Dell Command | Update en los dispositivosde los usuarios finales. Para obtener más información, consulte Configuración de un perfil deactualizaciones de OEM (escritorio de Windows).

VMware, Inc. 116

Adición de Dell Command | Update aWorkspace ONE UEMPara mejorar la administración de los dispositivos para empresas de Dell, agregue Dell Command | Update a Workspace ONE UEM Console. El perfil de actualizaciones de OEM requiere esta aplicaciónantes del envío a los dispositivos.

Requisitos previosDebe permitir que la distribución del software envíe Dell Command | Update a los dispositivos.

ProcedimientosPara agregar Dell Command | Update:

1 Vaya a http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7534.dell-command-update ydescargue la última versión de Dell Command | Update.

2 En la consola de UEM, agregue el archivo EXE como una aplicación interna. Asegúrese de quedefine la arquitectura de procesador compatible en 32 o 64 bits según cuál sea el sistema operativodel dispositivo.

En la pestaña Opciones de implementación, defina el campo Privilegios de administrador en Sí.

3 Agregue una asignación de la aplicación a los dispositivos para empresas de Dell.

La aplicación se descargará e instalará en los dispositivos asignados. Además, podrá enviar perfiles deactualización de OEM.


VMware, Inc. 117

http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor

Administración de dispositivosde escritorio de Windows 9Una vez que los dispositivos se inscriban y configuren, adminístrelos con Workspace ONE ™UEM Console. Sus herramientas y funciones de administración le permiten supervisar los dispositivos yrealizar funciones administrativas de forma remota.

Puede administrar todos los dispositivos desde la consola de UEM. El tablero permite realizar búsquedasy vistas personalizadas que puede utilizar para filtrar y encontrar dispositivos específicos. Esta funciónsimplifica la ejecución de funciones administrativas en un conjunto determinado de dispositivos. La Vistaen lista de dispositivos muestra todos los dispositivos que se encuentran actualmente inscritos en suentorno de Workspace ONE UEM, así como su estado. La página Detalles del dispositivo proporcionainformación específica de los dispositivos, como los perfiles, las aplicaciones, la versión deWorkspace ONE Intelligent Hub y la versión de servicio OEM que está instalada en el dispositivo.También puede realizar acciones remotas en el dispositivo desde la página Detalles del dispositivo quesea específica para tal dispositivo.


n Tablero de dispositivos

n Vista de lista de dispositivos

n Página de detalles de dispositivos de escritorio de Windows

n Administración remota avanzada

n Resumen del aprovisionamiento de productos

Tablero de dispositivosA medida que se inscriban los dispositivos, podrá verlos y administrarlos desde elWorkspace ONE UEMTablero de dispositivos de .

El Tablero de dispositivos proporciona una vista de alto nivel de toda la flota y permite realizar accionesen cada dispositivo rápidamente.

Puede ver las representaciones gráficas de la información importante de los dispositivos de la flota, talcomo el tipo de propiedad de los dispositivos, las estadísticas de conformidad y el análisis deplataformas y sistemas operativos. Puede acceder a cada conjunto de dispositivos en las categoríaspresentes seleccione cualquiera de las vistas de datos disponibles en el Tablero de dispositivos.

VMware, Inc. 118

En la Vista de lista, puede realizar acciones administrativas: envío de mensajes, bloqueo dedispositivos, eliminación de dispositivos y cambio de grupos asociados con el dispositivo.

n Seguridad: permite ver los motivos más comunes de los problemas de seguridad de la flota dedispositivos. Si selecciona cualquiera de las gráficas de anillo, se mostrará una Lista dedispositivos filtrada con los dispositivos afectados por el problema de seguridad seleccionado. Si laplataforma lo permite, puede configurar una política de conformidad para aplicarla a estosdispositivos.

n Comprometido – La cantidad y porcentaje de dispositivos comprometidos (jailbroken o conacceso root) en su departamento.

n Sin código de acceso – La cantidad y porcentaje de dispositivos sin un código de accesoconfigurado para seguridad.

n Sin cifrar: cantidad y porcentaje de dispositivos que no están cifrados con fines de seguridad. Enesta cantidad indicada se excluye el cifrado de tarjetas SD de Android. Sólo aquellos dispositivosAndroid sin cifrado de disco se reportan en el gráfico de rosquilla.

Propiedad: permite ver el número total de dispositivos de cada categoría de propiedad. Alseleccionar cualquiera de los segmentos de gráficos de barras, aparecerá una Lista de dispositivosfiltrada con dispositivos del tipo de propiedad que haya seleccionado.

n Resumen de la última detección y análisis de la última detección: vea la cantidad y el porcentajede dispositivos que se han comunicado recientemente con el servidor de Workspace ONE UEMMDM. Por ejemplo, si no se han visto varios dispositivos en más de 30 días, seleccione el gráfico debarras correspondiente para mostrar únicamente dichos dispositivos. A continuación, podráseleccionar todos estos dispositivos filtrados y enviarles un mensaje solicitándoles que realicen laverificación del estado.

n Plataformas: permite ver el número total de dispositivos de cada categoría de plataforma. Alseleccionar cualquiera de las gráficas, se mostrará una Vista en lista de dispositivos filtrada quetiene los dispositivos de la plataforma que seleccionó.

n Inscripción: permite ver el número total de dispositivos de cada categoría de inscripción. Siselecciona cualquiera de las gráficas, se mostrará una Vista en lista de dispositivos filtrada quetiene los dispositivos del estado de inscripción que seleccionó.

n Desglose del sistema operativo: permite ver los dispositivos de la flota según el sistema operativo.Hay gráficas específicas para Apple iOS, Android, Windows Phone y Windows Rugged. Alseleccionar cualquiera de las gráficas, se mostrará una Vista en lista de dispositivos filtrada quetiene los dispositivos de la versión de SO que seleccionó.

Vista de lista de dispositivosUtilice la vista en lista del dispositivo de la consola de UEM para ver una lista completa de todos losdispositivos en el grupo organizativo que ha seleccionado.


VMware, Inc. 119

La columna Última detección muestra un indicador del número de minutos transcurridos desde el últimoregistro del dispositivo. El indicador es rojo o verde, en función del número de minutos definidos enTiempo de espera de inactividad de dispositivo (min). Este indicador puede establecerse en Gruposy ajustes > Todos los ajustes > Dispositivos y usuarios > General > Avanzado.

Puede seleccionar un dispositivo en la columna Información general en cualquier momento para abrir lapágina de detalles del dispositivo.

Además, puede ordenar las columnas y configurar los filtros de información para revisar la actividad deldispositivo según la información específica. Por ejemplo, ordene la columna por Estado de conformidadpara ver solamente los dispositivos que no están en estado de conformidad y para aplicar medidas soloen ellos. Busque un nombre común o nombre de usuario en todos los dispositivos para aislar undispositivo o usuario específico.

Cómo personalizar el diseño de la Vista de lista de dispositivosVisualice toda la lista de columnas visibles en la vista Lista de dispositivos seleccionando el botónDiseño y la opción Personalizado. Esta vista le permite mostrar u ocultar las columnas de la Lista dedispositivo según sus preferencias.

Asimismo, hay una opción para aplicar la vista de columnas personalizada a todos los administradores.Por ejemplo, puede ocultar "Número de activo" de las vistas Lista de dispositivos del grupoorganizativo actual y de todos los grupos que estén por debajo.

Una vez que haya completado todas las personalizaciones, seleccione el botón Aceptar para guardarsus preferencias y aplicar esta nueva vista de columnas. Puede regresar a la configuración del botónDiseño en cualquier momento para retocar las preferencias de visualización de las columnas.

Cómo buscar en la Vista de lista de dispositivosPuede buscar un solo dispositivo para acceder a su información de manera rápida y así tomar medidas oacciones a distancia sobre el dispositivo.

Para realizar una búsqueda, navegue a Dispositivos > Vista en lista, seleccione la barra Buscar enlista e introduzca un nombre de usuario, un nombre común del dispositivo o cualquier otro elemento paraidentificarlo. Esta acción inicia una búsqueda en todos los dispositivos con ese parámetro de búsqueda,dentro del grupo organizativo actual y todos los grupos secundarios.

Página de detalles de dispositivos de escritorio deWindowsUtilice la página de detalles del dispositivo para controlar la información detallada del dispositivo y teneracceso rápido a las acciones de administración del usuario y el dispositivo.

Para tener acceso a la página Detalles del dispositivo, puede seleccionar el nombre común deldispositivo en la vista en lista de dispositivos, o bien usar uno de los tableros o cualquiera de lasherramientas de búsqueda.


VMware, Inc. 120

Desde la página de detalles del dispositivo, puede acceder a información específica del dispositivo, lacual aparece detallada en diferentes pestañas del menú. Cada pestaña del menú contiene informaciónrelacionada con el dispositivo según la implementación de Workspace ONE UEM.

Acciones remotasEl desplegable de Más acciones de la página Detalles del dispositivo le permite realizar accionesremotas de forma inalámbrica en el dispositivo seleccionado.

Las acciones mencionadas varían según ciertos factores como la plataforma del dispositivo, los ajustesde Workspace ONE UEM Console y el estado de inscripción:

n Agregar etiqueta: permite asignar una etiqueta personalizable a un dispositivo que pueda identificaralgún dispositivo especial de la flota.

n Aplicaciones (consultas): permite enviar un comando de consulta MDM al dispositivo para obteneruna lista de las aplicaciones instaladas.

La acción Aplicaciones (consultas) requiere un inicio de sesión activo de un usuario inscrito.

n Certificados (consultas): ): permite enviar un comando de consulta MDM al dispositivo para obteneruna lista de las certificados instalados.Certificados (consultas)): : permite enviar un comando deconsulta MDM al dispositivo para obtener una lista de los certificados instalados..

Certificados (consultas) requiere un inicio de sesión activo de un usuario inscrito.

n Cambiar grupo organizativo: permite cambiar el grupo organizativo principal del dispositivo a otroque ya exista. Incluye una opción para seleccionar un grupo organizativo estático o dinámico.

n Solicitar registro de dispositivo: permite solicitar el registro de depuración del dispositivoseleccionado para verlo seleccionando la pestaña Más y seleccionandoArchivos adjuntos >Documentos. No puede ver el registro en Workspace ONE UEM Console. El registro se distribuyecomo un archivo ZIP que se puede utilizar para solucionar problemas y proporcionar soporte.


VMware, Inc. 121

Cuando se solicita un registro, se puede optar por recibir los registros del sistema o del hub.Sistema proporciona registros de nivel del sistema. Hub proporciona registros de los diversosagentes que se ejecutan en el dispositivo.

n Eliminar dispositivo: permite eliminar y anular la inscripción de un dispositivo de la consola deUEM. Esta acción realiza una eliminación empresarial y elimina su representación en la consola deUEM.

n Información del dispositivo (consultas): permite enviar un comando de consulta MDM aldispositivo para obtener información básica tal como el nombre común, la plataforma, el modelo, elgrupo organizativo, la versión del sistema operativo y el estado de propiedad.

n Eliminación total de los dispositivos: permite enviar un comando MDM para el borrado completode todos los datos y el sistema operativo del dispositivo. Esta opción pone el dispositivo en un estadoen el cual será necesaria la partición de recuperación para volver a instalar el sistema operativo. Estaacción no se puede deshacer.

n Para los dispositivos de escritorio de Windows, puede elegir el tipo de eliminación dedispositivos.

n Eliminar: esta opción elimina todo el contenido del dispositivo.

n Eliminar los datos protegidos: esta opción es similar a una eliminación de dispositivonormal, pero el usuario no puede eludirla. El comando Eliminar los datos protegidos sigueintentando restablecer el dispositivo hasta que se realice correctamente. En algunasconfiguraciones de dispositivos, puede que este comando no permita que el dispositivoarranque.

n Eliminar y mantener los datos de aprovisionamiento: esta opción elimina el dispositivo,pero especifica que se debe realizar una copia de seguridad de los datos deaprovisionamiento en una ubicación persistente. Una vez que se ejecuta la eliminación, losdatos de aprovisionamiento se restauran y se aplican al dispositivo. Se guarda la carpeta deaprovisionamiento. Para buscar la carpeta, navegue por el dispositivo hasta %ProgramData%\Microsoft\Provisioning.

n Editar dispositivo: permite editar la información del dispositivo, como Nombre común, Número deactivo, Propiedad del dispositivo, Grupo de dispositivos y Categoría del dispositivo.

n Eliminación empresarial: la eliminación empresarial de un dispositivo anula la inscripción y eliminatodos los recursos empresariales, incluidas las aplicaciones y perfiles. Esta acción no se puedeanular y tendrá que inscribirse de nuevo en Workspace ONE UEM para volver a administrar eldispositivo. Incluye opciones para evitar inscripciones futuras, así como un campo Descripción paraque pueda agregar detalles importantes sobre la acción.

n La eliminación empresarial no es compatible con los dispositivos unidos a un dominio en la nube.

n Restablecimiento empresarial: permite restablecer un dispositivo a los ajustes de fábrica, peromanteniendo la inscripción en Workspace ONE UEM.


VMware, Inc. 122

El restablecimiento empresarial restaura un dispositivo al estado Listo para funcionar cuando esteestá dañado o tiene aplicaciones que no funcionan correctamente. Vuelve a instalar el sistemaoperativo Windows y conserva los datos de usuario, las cuentas de usuario y las aplicacionesadministradas. El dispositivo volverá a sincronizar los ajustes, las políticas y las aplicacionesempresariales de implementación automática tras el restablecimiento, mientras Workspace ONE losigue administrando.

n Bloquear dispositivo: permite enviar un comando MDM para bloquear un dispositivo seleccionadoque lo deja inutilizable hasta que lo desbloquee.

Importante Al bloquear un dispositivo, el usuario inscrito debe haber iniciado sesión en el dispositivopara que el comando se procese. El comando de bloqueo bloquea el dispositivo y se debe autenticarnuevamente a todos los usuarios que hayan iniciado sesión en Windows. Si un usuario inscrito hainiciado sesión en el dispositivo, el comando de bloqueo de dispositivo bloquea el dispositivo. Si ningúnusuario inscrito ha iniciado sesión, el comando de bloqueo de dispositivo no se procesa.

n Consultar todo: permite enviar un comando de consulta al dispositivo para obtener una lista deaplicaciones instaladas (como Workspace ONE Intelligent Hub, si procede), libros, certificados,información del dispositivo, perfiles y medidas de seguridad.

n Reiniciar el dispositivo: permite reiniciar el dispositivo de forma remota para reproducir el efecto deapagarlo y encenderlo de nuevo.

n Administración remota: permite tomar el control de un dispositivo compatible de forma remota conesta acción. Se iniciará una aplicación en la consola que le permitirá solucionar problemas yproporcionar soporte al dispositivo. Los dispositivos Android requieren que el servicio de controlremoto esté instalado.

n Seguridad (consultas): permite enviar un comando de consulta MDM al dispositivo para obtener lalista de medidas de seguridad activas (administrador del dispositivo, cifrado, código de acceso,certificados, etc.).

n Enviar mensaje: permite enviar un mensaje al usuario del dispositivo seleccionado. Elija entreCorreo electrónico, Notificación push (a través de AirWatch Cloud Messaging) y SMS.

Administración remota avanzadaLa administración remota avanzada (Advanced Remote Management, ARM) le permite conectarse deforma remota a los dispositivos de los usuarios finales para ayudar en la solución de problemas y elmantenimiento. La ARM requiere que el equipo y el dispositivo del usuario final se conecten al servidorde administración remota avanzada para facilitar la comunicación entre Workspace ONE UEM Console yel dispositivo del usuario final.

Para obtener más información, consulte VMware Workspace ONE Advanced Remote ManagementDocumentation (documentación de la administración remota avanzada de Workspace ONE de VMware)en docs.vmware.com.


VMware, Inc. 123

Resumen del aprovisionamiento de productosEl aprovisionamiento de productos le permite crear, a través de productos de Workspace ONE ™ UEMque contienen perfiles, aplicaciones, archivos o acciones y acciones de evento (según la plataforma queutilice). Estos productos siguen una serie de reglas, horarios y dependencias como directrices paragarantizar que los dispositivos permanezcan actualizados con el contenido que necesitan.

El aprovisionamiento de productos también engloba el uso de servidores de retransmisión. Se trata deservidores FTP diseñados para funcionar como enlace entre los dispositivos y la consola de UEM. Creeestos servidores para cada tienda o almacén para guardar el contenido del producto que se distribuya alos dispositivos.

Para obtener más información sobre cómo utilizar el aprovisionamiento de productos con los dispositivosde escritorio de Windows, consulte la guía Product Provisioning for Windows Desktop.


VMware, Inc. 124

escritorio de windows de workspace one uem - vmware … · 2019-02-05 · contenido 1 introducción...

Documents