guía de vmware airwatch para la plataforma …...ejemplosdeinscripciónsilenciosa...

Guía de VMware AirWatch parala plataforma WindowsCómo implementar y administrar dispositivos de escritorio deWindowsAirWatch v9.2

¿Desea compartir su opinión sobre la documentación? Envíe un vale de soporte de Comentarios sobre ladocumentación mediante el asistente de soporte en support.air-watch.com.Copyright©2017 VMware, Inc. Todos los derechos reservados. Este producto está protegido por las leyes de derechos de autor de los Estados Unidos y otros países, así como por lostratados internacionales. Los productos de VMware están amparados por una o varias patentes que figuran en http://www.vmware.com/go/patents.

VMware es una marca comercial registrada omarca comercial de VMware, Inc. en Estados Unidos y otras jurisdicciones. Todas las demás marcas y nombres mencionados en elpresente documento pueden sermarcas comerciales de sus respectivas empresas.

Guía de VMware AirWatch para la plataformaWindows | v.2017.10 | Octubre 2017

Copyright©2017 VMware, Inc. Todos los derechos reservados.

1

http://support.air-watch.com/

Tabla de revisionesLa tabla siguientemuestra las revisiones que se le hicieron a esta guía desde la versión AirWatch v9.2.

Fecha Razones

Septiembre de 2017 Carga inicial.

2



ContenidoCapítulo 1: Introducción 5

Novedades de escritorio de Windows en AirWatch v9.2. 6Introducción al escritorio de Windows 6Requisitos de inscripción de escritorio de Windows 7Dispositivos de escritorio de Windows compatibles 7

Capítulo 2: Inscripción de dispositivos de escritorio de Windows 12

Resumen de inscripción de escritorio de Windows 13Dispositivos de escritorio de Windows y Windows 7 15Inscripción con AirWatch Agent paraWindows 15Inscripción de MDM nativa para escritorio de Windows 16Inscripción preparada 23Servicio de Aprovisionamiento de Windows 10 de VMware AirWatch 28Inscripciónmediante integración con Azure AD 29Inscripción y aprovisionamiento enmasa 40AirWatch Protection Agent para la inscripción 42

Capítulo 3: Perfiles de dispositivos de escritorio de Windows 44

Resumen de los perfiles de escritorio de Windows 46Configuración de un perfil de código de acceso (escritorio de Windows) 47Configuración de un perfil de Wi-Fi (escritorio de Windows) 49Perfil de VPN (escritorio de Windows) 51Perfil de credenciales (escritorio de Windows) 58Configuración de una carga útil de restricciones (escritorio de Windows) 60Perfil de protección de datos (escritorio de Windows) 67Perfil de Passport forWork (escritorio de Windows) 71Configuración de un perfil de firewall (escritorio de Windows) 72Configuración de un perfil de modo de aplicación única (escritorio de Windows) 73Configuración de un perfil de antivirus (escritorio de Windows) 74Perfil de cifrado (escritorio de Windows) 77Configuración de un perfil de actualizaciones de Windows (escritorio de Windows) 81Configuración de un perfil de web clips (escritorio de Windows) 88

3



Perfil de Exchange ActiveSync (escritorio de Windows) 89Perfil de SCEP (escritorio de Windows) 94Perfil de control de aplicaciones (escritorio de Windows) 96Configuración de un perfil de servicios web de Exchange (escritorio de Windows) 98Creación de un perfil de licencias de Windows (escritorio de Windows) 98Configuración de un perfil de BIOS (escritorio de Windows) 99Uso de ajustes personalizados (escritorio de Windows) 100

Capítulo 4: Políticas de conformidad 102

Resumen de políticas de conformidad 103Detección de dispositivos comprometidos con atestación de estado 103

Capítulo 5: Aplicaciones para dispositivos de escritorio de Windows 107

Resumen de las aplicaciones de escritorio de Windows 108VMware Workspace ONEpara escritorio de Windows 108Configuración de AirWatch Agent para dispositivos de escritorio de Windows 108VMware Content Locker para dispositivos de escritorio de Windows 110VMware Browser para escritorio de Windows 110

Capítulo 6: Integración de Dell Command | Monitor 111

Integración de Dell Command | Monitor 112Adición de Dell Command | Monitor a AirWatch 112

Capítulo 7: Aprovisionamiento de productos para dispositivos de escritorio deWindows 114

Resumen del aprovisionamiento de productos 115

Capítulo 8: Cómo administrar los dispositivos de escritorio de Windows 116

Resumen de la administración de dispositivos de escritorio de Windows 117Tablero de dispositivos 117Vista de lista de dispositivos 117Página de detalles de dispositivos de escritorio de Windows 118Administración remota 119

Cómo acceder a otros documentos 120

4



Capítulo 1:Introducción

Novedades de escritorio de Windows en AirWatch v9.2. 6

Introducción al escritorio de Windows 6

Requisitos de inscripción de escritorio de Windows 7

Dispositivos de escritorio de Windows compatibles 7

5



Novedades de escritorio de Windows en AirWatch v9.2.Con AirWatch v9.2, el escritorio deWindows admite varias funciones nuevas. La lista siguiente presenta una brevedescripción de las funciones y su ubicación:

l Controle cuándo deben instalarse las actualizaciones de función y calidad de actualizaciones deWindows en susdispositivos de escritorio deWindows. AirWatch admite ahora el aplazamiento de las actualizaciones un número dedías antes de que estas se instalen en los dispositivos. También se incluye en esta mejora la capacidad de crear horasactivas para los dispositivos. Durante estas horas activas, los dispositivos no se reiniciarán como parte de lainstalación de actualizaciones. Para obtener más información, consulte Configuración de un perfil de actualizacionesdeWindows (escritorio deWindows) en la página 81.

l Apruebe todas las actualizaciones deWindows antes de enviarlas a los dispositivos en los que deberán instalarse.AirWatch admite ahora la aprobación de todas las actualizaciones deWindows desde una pantalla nueva deactualizaciones deWindows. Navegue a Ciclo de vida > Actualizaciones deWindows para ver una lista de todas lasactualizaciones deWindows disponibles. Para obtener más información, consulte Actualizaciones deWindows en lapágina 87.

l Cree rotaciones automáticas de las contraseñas de BitLocker y suspenda el cifrado de BitLocker durante períodos detiempo específicos gracias a la mejora del perfil de cifrado. AirWatch admite ahora la creación de contraseñas querotan automáticamente tras un período de tiempo establecido. Asimismo, puede configurar un período de graciapara las contraseñas antiguas. Esta mejora incluye la capacidad de suspender el cifrado de BitLocker durante lashoras programadas. Utilice esta opción para suspender el cifrado cuando actualice dispositivos y tenga quereiniciarlos sin que los usuarios finales estén presentes para desbloquearlos. Para obtener más información, consultePerfil de cifrado (escritorio deWindows) en la página 77.

l Proteja sus dispositivos para empresas de Dell con la integración de Dell Command | Monitor. AirWatch admiteahora la adición de Dell Command | Monitor a la consola de AirWatch y el uso de la aplicación para recopilarinformación adicional acerca de los dispositivos para empresas de Dell. Para obtener más información, consulte lasección Integración de Dell Command | Monitor en la página 112.

Introducción al escritorio de WindowsAirWatch le proporciona un conjunto de soluciones robustas de administración demovilidad para la inscripción, laprotección, la configuración y la administración de la implementación de dispositivos Windows 8.1 y Windows 10.

A través de la consola de AirWatch, dispone de varias herramientas y funciones para la administración de todo el ciclo devida de los dispositivos personales y los empresariales. También puede permitir que los usuarios finales realicen tareaspor su cuenta, por ejemplo, a través del portal de autoservicio y la autoinscripción del usuario, lo cual le ahorra tiempo yrecursos fundamentales.

AirWatch le permite inscribir dispositivos personales y empresariales para configurar y proteger los datos y el contenidode su empresa. Con nuestros perfiles de dispositivos, podrá configurar y proteger correctamente sus dispositivosWindows. Detecte los dispositivos comprometidos y retire el acceso a los recursos corporativos utilizando el motor deconformidad.

Al inscribir los dispositivos en AirWatch, puede protegerlos y configurarlos en función de cuáles sean sus necesidades.

Capítulo 1: Introducción

6



Requisitos de inscripción de escritorio de WindowsAntes de inscribir los dispositivos de escritorio deWindows, asegúrese de que cumple los requisitos. Estos requisitosincluyen información importante que ofrecer a los usuarios finales que inscriben sus propios dispositivos.

Requisitos

l Ambiente activo: su ambiente activo de AirWatch y su acceso a la consola de AirWatch.

l Permisos apropiados de administración: este tipo de permiso le permite crear perfiles, determinar políticas yadministrar dispositivos dentro de la consola de AirWatch.

l URL de la inscripción: esta dirección URL es única para su entorno de inscripción y lo lleva directo a la pantalla deinscripción. Por ejemplo,mdm.example.com.

l ID de grupo: este identificador de grupo asocia su dispositivo con su rol corporativo, y está definido en la consola deAirWatch.

Importante: Si su servidor de inscripción está detrás de un proxy, debe configurar el servicio WINHTTP deWindowspara que sea consciente del proxy al configurar sus ajustes de red.

Dispositivos de escritorio de Windows compatiblesLa plataforma de escritorio deWindows incluye versiones del sistema operativo deWindows que van desdeWindows 8.0hasta Windows 10 y las diversas versiones de cada iteración.

Plataformas y dispositivos compatibles

Dispositivos con los siguientes sistemas operativos:

Windows 8.1 RT Windows 10 Home

Windows 8.1 Core Windows 10 Pro

Windows 8.1 Pro Windows 10 Enterprise

Windows 8.1 Enterprise Windows 10 Education

Matriz de funciones de escritorio de Windows

Compare qué características de AirWatch están disponibles para los sistemas operativos Windows 8.0/RT,Windows 8.1/RT y Windows 10. AirWatch es compatible con todas las versiones deWindows 8.0 y versiones posteriores,pero la funcionalidad difiere según el sistema operativo.


7



Matriz de funciones

Función Windows 8.0/RT Windows 8.1/RT Windows 10

Activación e inscripción

Inscripción de cliente nativo ✓ ✓

Inscripción con el agente ✓

Requiere el ID de cuenta deWindows ✓

Exige aceptación de los términos de uso ✓ ✓ ✓

Soporte para solicitudes de opciones durante lainscripción

✓ ✓ ✓

Active Directory/LDAP ✓ ✓ ✓

Inscripción con unión de dominio de nube ✓

Inscripción mediante configuración rápida ✓

Inscripción mediante aprovisionamiento en masa ✓

Inscripción preparada ✓

Arquitectura

SMS ✓ ✓ ✓

Mensajes de correo electrónico ✓ ✓ ✓

Supervisión de políticas de seguridad y conformidad

Política de contraseña ✓1 ✓3 ✓

Eliminación empresarial ✓1 ✓ ✓

Borrado completo ✓

Aprovisionamiento inalámbrico

Correo electrónico y Exchange ActiveSync ✓2 ✓

Wi-Fi ✓ ✓

VPN ✓ ✓

Administración de certificados ✓ ✓

Restricciones y configuraciones del dispositivo ✓ ✓

Passport for Work ✓

Cifrado ✓ ✓

Control de aplicaciones (AppLocker) ✓4

Atestación de estado ✓

Administración de aplicaciones

Administración de aplicaciones ✓ ✓ ✓


8



Función Windows 8.0/RT Windows 8.1/RT Windows 10

Aplicaciones de AirWatch

VMware Browser ✓ ✓

VMware Content Locker ✓ ✓

Seguimiento de recursos

Seguimiento de recursos ✓ ✓ ✓

Estado del dispositivo ✓ ✓ ✓

Dirección IP ✓

Ubicación ✓ ✓ ✓

Red ✓ ✓ ✓

Compatibilidad con administración remota

Envío demensaje de soporte (solo correo electrónicoy SMS)

✓ ✓ ✓

1 – Indica el requisito de la integración con PowerShell.

2 – Indica el requisito de utilización de AirWatch Inbox.

3 – Los dispositivos con Windows 8.1/RT no pueden exigir el uso de un código de acceso si aún no se ha creado ninguno.Solo se puede exigir que el código de acceso permanezca en uso si se creó antes de que el perfil del código de acceso seinsertara en el dispositivo.

4 – Esta función solo está disponible en las versiones Enterprise y Education deWindows 10.

Matriz de versiones de Windows 10

Compare la funcionalidad deMDM disponible en cada versión del sistema operativo Windows 10. AirWatch admite todaslas versiones del sistema operativo Windows 10 y las funciones compatibles.

Las diferentes ediciones deWindows 10 (Inicio, Profesional, Enterprise y Education) tienen una funcionalidad distinta. Laedición Windows 10 Home no ofrece la funcionalidad avanzada disponible en el sistema operativo Windows 10. AirWatchrecomienda utilizar las ediciones Enterprise o Education para disfrutar de la mayor parte de las funcionalidades.

FunciónVersión del sistema operativo Windows 10

Inicio Profesional Enterprise 1 Education

Activación e inscripción

Inscripción de cliente nativo ✓ ✓ ✓ ✓

Inscripción con el agente

Requiere el ID de cuenta deWindows

Exige aceptación de los términos de uso ✓ ✓ ✓ ✓

Soporte para solicitudes de opciones durante lainscripción

✓ ✓ ✓ ✓

Active Directory/LDAP ✓ ✓ ✓ ✓


9





Inscripción con unión de dominio de nube ✓ ✓ ✓

Inscripción mediante configuración rápida ✓ ✓ ✓

Inscripción mediante aprovisionamiento en masa ✓ ✓ ✓

Inscripción preparada ✓ ✓ ✓ ✓

Arquitectura

SMS

Mensajes de correo electrónico ✓ ✓ ✓

Supervisión de políticas de seguridad y conformidad

Política de contraseña ✓ ✓ ✓ ✓

Eliminación empresarial ✓ ✓ ✓ ✓

Eliminación total ✓ ✓ ✓ ✓

Aprovisionamiento inalámbrico

Correo electrónico y Exchange ActiveSync ✓ ✓ ✓ ✓

Wi-Fi ✓ ✓ ✓ ✓

VPN ✓ ✓ ✓ ✓

Administración de certificados ✓ ✓ ✓ ✓

Restricciones y configuraciones del dispositivo ✓ ✓ ✓ ✓

Passport for Work ✓3 ✓ ✓ ✓

Cifrado ✓4 ✓ ✓ ✓

Control de aplicaciones (AppLocker) ✓ ✓

Atestación de estado ✓ ✓ ✓ ✓

Actualizaciones deWindows para empresas ✓ ✓ ✓

Acceso asignado ✓ ✓

Administración de aplicaciones

Administración de aplicaciones ✓ ✓ ✓

Aplicaciones de AirWatch

VMware Browser ✓4 ✓ ✓ ✓

VMware Content Locker ✓4 ✓ ✓ ✓

Seguimiento de recursos

Seguimiento de recursos ✓ ✓ ✓

Estado del dispositivo ✓ ✓ ✓


10





Dirección IP

Ubicación ✓5 ✓5 ✓5 ✓5

Red ✓ ✓ ✓

Compatibilidad con administración remota

Envío demensaje de soporte (solo correo electrónico ySMS)

✓ ✓ ✓

1 – Enterprise también incluye IoT Enterprise y Rama de servicio a largo plazo (LTSB). LTSB es una imagen deWindows 10separada con muchas aplicaciones nativas eliminadas, como Microsoft Edge, Cortana y TiendaWindows. Parte de lafuncionalidad de AirWatch que usa estas funciones no tendrá soporte.

2 –Microsoft Passport requiere protección basada en hardware TPM 1.2 o 2.0 de credenciales o claves; si no hay TPM ono está configurado, la protección mediante credenciales o claves estará basada en el sistema operativo.

3 – El cifrado de dispositivos para la versión Home no incluye el cifrado de BitLocker.

4 – Solo se puede descargar de la TiendaWindows. Windows 10 Home no admite el envío de aplicaciones internas.

5 – Requiere AirWatch Agent descargado de la TiendaWindows.


11



Capítulo 2:Inscripción de dispositivos de escritoriode Windows

Resumen de inscripción de escritorio de Windows 13

Dispositivos de escritorio de Windows y Windows 7 15

Inscripción con AirWatch Agent paraWindows 15

Inscripción de MDM nativa para escritorio de Windows 16

Inscripción preparada 23

Servicio de Aprovisionamiento de Windows 10 de VMwareAirWatch 28

Inscripciónmediante integración con Azure AD 29

Inscripción y aprovisionamiento enmasa 40

AirWatch Protection Agent para la inscripción 42

12



Resumen de inscripción de escritorio de WindowsLa inscripción de dispositivos establece la comunicación inicial con AirWatch para permitir la administración dedispositivos móviles (MDM). Los dispositivos de escritorio deWindows se inscriben utilizando la funcionalidad deMDMintegrada en el sistema operativo Windows.

Puntos básicos de inscripción

Los métodos de inscripción de los dispositivos de escritorio deWindows varían en función de la implementación deAirWatch que tenga, las integraciones empresariales y el sistema operativo del dispositivo. La plataforma de escritorio deWindows admite varias versiones de sistemas operativos y SKU de los dispositivos Windows. Para obtener másinformación, consulte Dispositivos de escritorio deWindows compatibles en la página 7.

Antes de inscribir dispositivos, asegúrese de que dispone de la información necesaria para la inscripción. Para obtenermás información, consulte Requisitos de inscripción de escritorio deWindows en la página 7.

Simplifique la inscripción de usuarios finales mediante la configuración de los servicios de detección automática deWindows (WADS) en su entorno de AirWatch. WADS es compatible con una solución en las instalaciones y WADS basadoen la nube.

Los métodos de inscripción utilizan la funcionalidad MDM nativa del sistema operativo Windows, AirWatch Agent paraWindows o la integración con Azure AD.

Si quiere usar AirWatch para administrar dispositivos Windows administrados mediante SCCM, debe descargarVMware AirWatch SCCM Integration Client. Utilice este cliente para inscribir en AirWatch los dispositivosadministrados por SCCM. Para obtener más información, consulte el artículo de la base de conocimientoVMware AirWatch SCCM Integration Client. https://support.air-watch.com/articles/115001664948

Inscripción con AirWatch Agent para Windows

El flujo de inscripción más sencillo utiliza AirWatch Agent para Windows para inscribir dispositivos. Los usuarios finalessolo tienen que descargar AirWatch Agent en la TiendaWindows y seguir las indicaciones para inscribirse. Para obtenermás información sobre la inscripción con el agente, consulte Inscripción con AirWatch Agent para Windows en la página15.

Inscripción MDM nativa

AirWatch admite la inscripción de dispositivos de escritorio deWindows a través del flujo de inscripción MDM nativa. Elnombre de la solución MDM nativa varía según la versión deWindows. Este flujo de inscripción cambia según la versióndeWindows y de si utiliza WADS.

Para obtener más información, consulte Inscripción deMDM nativa para escritorio deWindows en la página 16.

Inscripción preparada

Si desea configurar la administración de dispositivos en un equipo con Windows 10 antes de enviar un dispositivo alusuario final, plantéese el uso de la inscripción preparada de dispositivos de escritorio deWindows. Este flujo deinscripción le permite inscribir un dispositivo a través de AirWatch Agent, instalar los perfiles en dicho dispositivo y,posteriormente, enviarlo al usuario final. Los dos métodos de inscripción preparada son la instalación manual y lainstalación de línea de comandos. La instalación manual requiere que los dispositivos estén unidos al dominio para una

Capítulo 2: Inscripción de dispositivos de escritorio de Windows

13



https://support.air-watch.com/articles/115001664948

integración con Azure AD. La instalación de línea de comandos funciona en todos los dispositivos con Windows 10.Consulte la sección Inscripción preparada en la página 23 para más información.

Inscripción automática de escritorio de Windows

AirWatch es compatible con la inscripción automática de dispositivos específicos de escritorio deWindows adquiridosmediante Dell. La inscripción automática simplifica el proceso al inscribir demanera automática los dispositivosregistrados con el método de inscripción mediante configuración rápida.

El Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch solo se aplica para seleccionar dispositivos paraempresas de Dell con la imagen correcta deWindows 10. La funcionalidad de inscripción automática debe adquirirsedentro del pedido de Dell.

Para obtener más información, consulte Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch en la página28.

Inscripción mediante integración con Azure AD

Mediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se pueden inscribirautomáticamente en AirWatch con una interacción mínima por parte del usuario final. La inscripción mediante laintegración con Azure AD simplifica este proceso tanto para el usuario como para el administrador. La inscripción con laintegración de Azure AD admite tres flujos distintos de inscripción: Registro en Azure AD, inscripción medianteconfiguración rápida e inscripción de Office 365. Todos los métodos requieren que se configure la integración de Azure ADcon AirWatch.

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurar AirWatch y AzureAD. Para obtener más información, consulte Cómo configurar los servicios de identidad de Azure AD paraimplementaciones de SaaS en la página 30.

Para realizar la inscripción mediante flujos de integración de Azure AD, consulte Inscripción mediante integración conAzure AD en la página 29.

Inscripción y aprovisionamiento en masa

El aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10 y los inscribe enAirWatch. El aprovisionamiento en masa requiere la descarga del kit de evaluación y desarrollo deMicrosoft y lainstalación de la herramienta Diseñador de imágenes y configuraciones. Esta herramienta crea paquetes deaprovisionamiento que se utilizan para crear imágenes de los dispositivos.

Gracias a este flujo de aprovisionamiento en masa, puede incluir ajustes de AirWatch en el paquete deaprovisionamiento para que los dispositivos aprovisionados se inscriban automáticamente durante el proceso deconfiguración rápida inicial. Para más información, consulte Inscripción y aprovisionamiento en masa en la página 40.

AirWatch Protection Agent

AirWatch Protection Agent agrega protección de extremos para garantizar que los dispositivos de escritorio deWindowspermanezcan protegidos. Al habilitar AirWatch Protection Agent, permite que AirWatch configure y utilice las funcionesnativas deWindows en la seguridad del dispositivo. Los perfiles de cifrado, firewall y actualizaciones deWindowsrequieren AirWatch Protection Agent para aprovisionar los dispositivos. Para obtener más información, consulteAirWatch Protection Agent para la inscripción en la página 42.


14



Dispositivos de escritorio de Windows yWindows 7Puede inscribir sus dispositivos Windows en una de las dos plataformas. La plataforma determina la funcionalidad deadministración de dispositivos disponible para sus dispositivos Windows.

La plataforma de escritorio deWindows es compatible con dispositivos Windows 8.1 y Windows 10mediante lainscripción deMDM nativa. La plataforma deWindows 7 es compatible con dispositivos Windows 7, Windows 8 yWindows 10mediante la inscripción con AirWatch Agent para Windows.

La tabla siguientemuestra las diferencias entre los métodos de inscripción. Se aconseja inscribir los dispositivosWindows 8 y Windows 10mediante el método de inscripción MDM nativa porque ofrece una mejor funcionalidad deadministración de los dispositivos.

Funcionalidad Windows 7 Dispositivo de Escritorio

Método de inscripción MDM nativa ✓

Inscripción AirWatch Agent ✓

Soporte de AirWatch Protection Agent ✓ ✓

Soporte completo para funcionalidad deWindows 10 ✓

Soporte para dispositivos administrados con SCCM ✓ ✓

Soporte para dispositivos Windows 7 ✓

Inscripción con AirWatch Agent para WindowsAirWatch Agent, disponible a través de la TiendaWindows, proporciona un recurso único para la inscripción y facilita lacomunicación entre el dispositivo y la consola de AirWatch. Use AirWatch Agent para simplificar la inscripción y habilitar lafuncionalidad deMDM completamente.

Se aconseja utilizar AirWatch Agent para Windows con el fin de inscribir sus dispositivos Windows 10, ya que ofrece elflujo de inscripción más sencillo para los usuarios.

AirWatch Agent ofrece funcionalidad adicional para los dispositivos de escritorio deWindows, incluidos los servicios deubicación.

Puede simplificar la inscripción para sus usuarios finales con la detección automática deWindows. La detecciónautomática deWindows permite a los usuarios finales introducir su dirección de correo electrónico para llenar loscampos automáticamente con sus credenciales de inscripción.

Para obtener más información sobre la detección automática, consulte las guías VMware AirWatch Windows Auto-Discovery Installation Guide y la Guía de AirWatch para la administración de dispositivos móviles, disponibles enAirWatch Resources.

Inscripción con VMware AirWatch Agent

Utilice el AirWatch Agent para iniciar la inscripción de sus dispositivos de escritorio deWindows. AirWatch Agent ofreceun flujo de inscripción simplificada para los usuarios finales, lo cual permite una inscripción rápida y fácil.

Para inscribir dispositivos Windows 10 usando AirWatch Agent:

1. En el dispositivo Windows 10, abra la TiendaWindows y busque AirWatch Agent. Descargue el agente.

2. Instale AirWatch Agent. Cuando la instalación se haya completado, inicie el agente.


15



3. Seleccione Conectar una cuenta profesional o educativa. AirWatch Agent abre la aplicación nativa deWorkplacepara completar la inscripción.

4. Introduzca la dirección de correo electrónico y seleccione Siguiente.

Si no está utilizando el servicio de detección automática deWindows, complete los siguientes ajustes:

l Introduzca la URL del servidor y seleccione Siguiente.

l Introduzca el ID de grupo y seleccione Siguiente.

l Introduzca el nombre de usuario y la contraseña.

5. Acepte los Términos de uso.

6. Seleccione Listo.

7. Abra AirWatch Agent y complete la inscripción.

Inscripción de MDM nativa para escritorio de WindowsTodos los métodos de inscripción de escritorio deWindows utilizan el cliente deMDM nativa deWorkplace o WorkAccess. Use la inscripción deMDM nativa para inscribir dispositivos tanto corporativos como BYOD en el mismo flujo deinscripción.

Los dispositivos Windows 10 usan la inscripción Work Access, mientras que los dispositivos Windows 8.1/RT utilizan lainscripción Workplace.

Work Access procesa primero un plan de trabajo de Azure AD para dominios conectados a Office 365 o Azure AD cuandoselecciona Conectar y no completa automáticamente el plan de trabajo de inscripción. Si usa Office 365 o Azure AD sinlicencia Premium, es recomendable usar AirWatch Agent, en lugar de la inscripción deMDM nativa, para inscribirdispositivos Windows 10. Para completar el plan de trabajo de inscripción mediante inscripción deMDM nativa,seleccione Conectar dos veces. Si tiene una licencia Premium de Azure AD, puede habilitar Requerir administración en suinstancia de Azure para que la inscripción deMDM nativa complete el flujo de inscripción después del plan de trabajo deAzure. Puede usar la inscripción deMDM nativa sin problemas si no usa Office 365 o Azure AD.

Para obtener más información técnica sobre el funcionamiento del flujo de inscripción después de la Actualizaciónde aniversario deWindows 10, consulte el artículo de la base de conocimiento Enrollment changes for Windowsdevices after Windows Anniversary update, disponible aquí:https://support.air-watch.com/articles/115001665408.

Solo aquellos usuarios que tengan permisos de administración local en el dispositivo podrán inscribir un dispositivo enAirWatch y habilitar MDM. Los permisos de administrador de dominio no sirven para inscribir un dispositivo. Parainscribir un dispositivo con un usuario estándar, debe usar la inscripción Inscribir en nombre de otros para dispositivosWindows 8.1 o el aprovisionamiento en masa para dispositivos Windows 10.

Mediante el servicio de detección automática deWindows se simplifica la inscripción para el usuario final, ya que senecesita menos interacción durante la inscripción. Con el servicio de detección automática deWindows, tiene que seguirlos pasos que se describen en VMware AirWatch Windows Auto-Discovery Service Installation Guide.

Los dispositivos que se han unido a un dominio se pueden inscribir mediante la inscripción nativa a través deWorkplace.La dirección de correo electrónico introducida en la configuración se llena automáticamente con el atributo UPN de Active


16




Directory. Si el usuario final quiere utilizar una dirección de correo electrónico diferente, debe descargarse la actualizaciónopcional.

Inscripción mediante Work Access con el servicio de detección automática de Windows

Work Access es el método de inscripción deMDM nativa para los dispositivos Windows 10. La inscripción a través deWork Access y mediante el servicio de detección automática deWindows ofrece un flujo de inscripción rápido y fácil paralos usuarios finales.

Si registra su dominio en AirWatch, ya no hay necesidad de introducir el ID de grupo durante la inscripción.

Para obtener más información, consulte la guía VMware AirWatch Windows Auto-Discovery Guide, disponible enAirWatch Resources.

Nota: se aconseja usar AirWatch Agent para Windows con el fin de inscribir sus dispositivos Windows 10 en lugar dela inscripción MDM nativa. El flujo de inscripción deMDM nativa no inscribe dispositivos en MDM si utiliza Office 365o Azure AD en el mismo dominio.

1. Navegue en el dispositivo a Ajustes > Cuentas > Acceso al trabajo y seleccione Inscribir en la administración deldispositivo.

2. Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuario final, seguido deldominio del entorno con el formato [email protected] (como [email protected]).Seleccione Continuar.


17



3. Introduzca el ID de grupo y seleccione Siguiente.

4. Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de su entorno de AirWatch.

5. Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo con estos.

Este paso es opcional y solo semuestra si se ha habilitado en la consola de AirWatch.

6. (Opcional) Seleccione Sí para guardar la información de inicio de sesión.

El dispositivo intenta conectarse a AirWatch. Si establece conexión correctamente, aparece el icono de un maletín conAirWatch escrito al lado. Este icono muestra que se ha conectado con AirWatch correctamente.

Inscripción mediante Work Access sin el servicio de detección automática de Windows

Work Access es el método de inscripción deMDM nativa para los dispositivos Windows 10. La inscripción a través deWork Access sin WADS requiere que se introduzcan manualmente las credenciales de usuario final.

Nota: se aconseja usar AirWatch Agent para Windows con el fin de inscribir sus dispositivos Windows 10 en lugar dela inscripción MDM nativa. El flujo de inscripción deMDM nativa no inscribe dispositivos en MDM si utiliza Office 365o Azure AD en el mismo dominio.


18



Para inscribirse a través deWork Access sin WADS:

1. Navegue en el dispositivo a Ajustes > Cuentas > Acceso al trabajo y seleccione Inscribir en la administración deldispositivo.

2. Introduzca en el campo Correo electrónico el nombre de usuario que ha proporcionado al usuario final, seguido deldominio del entorno con el formato [email protected] (como [email protected]).

3. Introduzca la dirección del servidor como sigue: <DeviceServicesURL>/DeviceServices/Discovery.aws. No incluya“https://” en la dirección URL. Por ejemplo: ds156.awmdm.com/deviceservices/discovery.aws

4. Seleccione Continuar.


6. Introduzca su nombre de usuario y contraseña y seleccione Siguiente.

Pueden ser las credenciales de los servicios de directorio o credenciales específicas del entorno de AirWatch.

7. (Opcional) Revise los Términos de uso y seleccione Aceptar para aceptarlos.

Este paso es opcional y solo semuestra si ha elegido habilitarlo.

8. (Opcional) Seleccione Sí para guardar la información de inicio de sesión.

El dispositivo intenta conectarse a AirWatch. Si establece conexión correctamente, aparece el icono de un maletín conAirWatch escrito al lado. Este icono muestra que se ha conectado con AirWatch correctamente.


19



Inscripción mediante Workplace con el servicio de detección automática de Windows

Workplace es el método de inscripción deMDM nativa para los dispositivos Windows 8.1. La inscripción a través deWorkplace y mediante el servicio de detección automática deWindows ofrece un flujo de inscripción rápido y fácil paralos usuarios finales.

El servicio de detección automática deWindows (WADS) ofrece un proceso de inscripción rápido y simple para losusuarios finales.


20



Para inscribirse a través deWorkplace con WADS:

1. Navegue en el dispositivo del usuario final a Configuración > Cambiar configuración del PC > Red > Área detrabajo.


El campo de dirección de correo electrónico no semuestra en aquellos dispositivos que se han unido a un dominio.El registro del dominio UPN durante la configuración deWADS elimina la necesidad de introducir la dirección decorreo electrónico para todos los usuarios de Active Directory.

3. En Activar administración de dispositivos, mantenga el control deslizanteDetectar la dirección del servidorautomáticamente en Activado.

4. Deje en blanco el campo Introduzca la dirección del servidor.

5. Seleccione Activar.


Si registra su dominio en AirWatch, ya no hay necesidad de introducir el ID de grupo durante la inscripción.

7. Introduzca su nombre de usuario y contraseña y seleccione Siguiente.Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de su entorno de AirWatch.

8. Seleccione Activar. Si el botón cambia de Activar a Desactivar, ha inscrito correctamente el dispositivo. No seleccioneDesactivar o se cancelará la inscripción del dispositivo en AirWatch.


21



Inscripción mediante Workplace sin el servicio de detección automática de Windows

Workplace es el método de inscripción deMDM nativa para los dispositivos Windows 8.1. La inscripción a través deWorkplace sin WADS requiere que se introduzcan manualmente las credenciales de usuario final.

Importante: estemétodo de inscripción requiere una actualización opcional deMicrosoft. Para obtener másinformación sobre esta actualización, consulte https://support.microsoft.com/es-es/kb/2955164.

Para inscribirse a través deWorkplace sin WADS:

1. Navegue en el dispositivo del usuario final a Configuración > Cambiar configuración del PC > Red > Área detrabajo.


El campo de dirección de correo electrónico no semuestra en aquellos dispositivos que se han unido a un dominio.

3. En Activar administración de dispositivos, establezca el control deslizanteDetectar la dirección del servidorautomáticamente en Desactivado.

4. Introduzca la dirección del servidor como sigue: <DeviceServicesURL>/DeviceServices/Discovery.aws. No incluya“https://” en la dirección URL.

Por ejemplo: ds156.awmdm.com/deviceservices/discovery.aws

5. Seleccione Activar.


7. Introduzca su nombre de usuario y contraseña y seleccione Siguiente.Estas credenciales pueden ser las de los servicios de directorio o credenciales específicas de su entorno de AirWatch.


22



http://support.microsoft.com/kb/2955164

8. Complete los pasos opcionales si permite que los usuarios de los dispositivos realicen estas selecciones.

l Seleccione el tipo de Propiedad del dispositivo, Propiedad del empleado, Corporativo - Dedicado oCorporativo - Compartido.

l Seleccione Siguiente.

l Revise los términos de uso y seleccione Aceptar para indicar que está de acuerdo con estos.

l Seleccione la casilla de verificación Entiendo para permitir la instalación de las aplicaciones y los serviciosimplementados.

9. Seleccione Activar. Si el botón cambia de Activar a Desactivar, ha inscrito correctamente el dispositivo. No seleccioneDesactivar o se cancelará la inscripción del dispositivo en AirWatch.

Inscripción preparadaHabitualmente los administradores prefieren configurar la administración del dispositivo antes de enviarlo al usuariofinal. La inscripción preparada le permite inscribir un dispositivo con AirWatch Windows Agent, instalar perfiles en eldispositivo y enviarlo a un usuario final.

También le permite inscribir su dispositivo Windows 10 en AirWatch. Para realizar esta inscripción, es necesario instalarAirWatch Windows Agent. Cualquier perfil asignado en el dispositivo se descarga en este último tras su inscripción. Unavez que el dispositivo esté completamente inscrito y configurado, puede enviarlo a los usuarios finales. Cuando elusuario final inicia sesión en el dispositivo, AirWatch Windows Agent actualiza el registro del dispositivo en la consola deAirWatch. AirWatch reasigna el dispositivo al usuario final y envía los perfiles de usuario al dispositivo.

Hay dos métodos de preparación:

l Instalación manual: descargue e instale AirWatch Agent e introduzca las credenciales de inscripción. Estemétodorequiere que los dispositivos estén unidos al dominio antes de la inscripción.

l Instalación mediante línea de comandos: descargue AirWatch Agent y después instale e inscriba el dispositivomediante la línea de comandos.

La inscripción se puede completar de dos formas: con la actualización del registro del dispositivo de la consola deAirWatch cuando un usuario se inscribe en un dispositivo unido al dominio, o bien mediante la comparación del nombredel usuario inscrito con una lista de números de serie registrados previamente.

Importación masiva de números de serie de dispositivos

Importe números de serie de dispositivos que puede usar en la inscripción preparada para agregar dispositivosrápidamente a la consola de AirWatch. La importación en masa requiere un archivo CSV con todos los números de serieque quiere importar.

Para registrar varios dispositivos:

1. Acceda a Cuentas > Usuarios > Vista de lista> Estado de inscripción o Dispositivos > Ciclo de vida > Estado deinscripción.

a. Seleccione Agregar y luego Importar por lotes para abrir el formulario Importar por lotes.

2. Complete todos los campos requeridos. Nombre del lote, Descripción del lote y Tipo de lote.


23



3. Seleccione el icono de información ( ) situado junto al campo Archivo por lotes (CSV) para acceder a la página deayuda Importación de usuarios y dispositivos, que incluye plantillas .csv y una descripción de cada una.

4. Seleccione el botón Descargar la plantilla y el ejemplo para este tipo de lote correspondiente y guarde el archivo(CSV) en un lugar accesible.

5. Acceda a la ubicación donde guardó el archivo CSV, ábralo e introduzca toda la información relevante de losdispositivos que desea importar. La plantilla se rellena automáticamente con tres ejemplos para demostrar qué tipode información debe incluirse en cada columna.

Importante: Introduzca todos los datos que contengan valores numéricos en comillas dobles (ejemplo:“123456”) para evitar que se trunquen los valores. Los valores truncados en el archivo CSV pueden provocar quese coloquen dispositivos en la lista negra de VMware AirWatch MDM.

l Para registrar un dispositivo, asegúrese de que la columna X (Solo inscripción de usuarios) esté configuradacomo No.

l Para registrar un dispositivo adicional en la misma cuenta de usuario, asegúrese de que toda la información delas columnas de la A a la W sea igual. Las demás columnas se utilizan para registrar los dispositivos adicionales.

l Para almacenar la información de registro avanzada, asegúrese de que la columna AF (Almacenar informaciónavanzada del dispositivo) esté configurada como Sí.

6. Guarde la plantilla que rellenó como un archivo CSV. En la consola de AirWatch, elija Seleccionar archivo en elformulario Importar por lotes, acceda a la ruta donde guardó el archivo CSV y selecciónelo.

7. SeleccioneGuardar para completar la inscripción de todos los usuarios enumerados y los dispositivoscorrespondientes.

Inscripción mediante preparación con línea de comandos

Simplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivos de escritorio deWindows con la línea de comandos deWindows. Estemétodo de inscripción inscribe el dispositivo y registra los perfilesen este en función de las credenciales de usuario introducidas.

Importante: No cambie el nombre del archivo AirWatchAgent.msi, ya que interrumpiría el comando de preparación.

Para realizar una inscripción mediante preparación con línea de comandos:

1. Descargue VMware AirWatch Windows 10 Agent UWP en AirWatch Resources.

Descargue solo AirWatch Agent. No inicie el ejecutable ni seleccione Ejecutar, ya que iniciaría un proceso depreparación estándar contrario al objetivo de la instalación silenciosa.

Si es necesario, mueva AirWatch Agent de la carpeta de descarga a una carpeta local o de red.

2. Abra una línea de comandos o cree un archivo BAT e introduzca todas las rutas, parámetros y valores necesariossirviéndose de la información que semuestra en la sección Parámetros y valores para la inscripción silenciosa en lapágina 25.

3. Ejecute el comando. Para consultar ejemplos de sintaxis, consulte Ejemplos de inscripción silenciosa en la página 27


24



Después de ejecutar el comando, el dispositivo se inscribe en AirWatch. Si el dispositivo está unido al dominio, AirWatchAgent actualiza el registro del dispositivo de la consola de AirWatch con el usuario correcto. Si usa la importación masivade números de serie, AirWatch Agent actualiza el registro del dispositivo de la consola de AirWatch y conecta lascredenciales de usuario con el número de serie del dispositivo.

Inscripción preparada manual

Simplifique la inscripción a los usuarios finales mediante la inscripción preparada de dispositivos Windows 10 a través deAirWatch Windows Agent. Estemétodo de inscripción inscribe el dispositivo y descarga los perfiles en este para que elusuario final solo tenga que iniciar sesión en el dispositivo y empezar a usarlo.

Estos dispositivos deben estar unidos a un dominio.

Para preparar la inscripción de un dispositivo Windows 10:

1. Descargue VMware AirWatch Windows 10 Agent UWP en AirWatch Resources.

2. Inicie el instalador cuando se haya descargado.

3. Seleccione Ejecutar para iniciar la instalación.

4. Seleccione Correo electrónico si ha habilitado la detección automática de AirWatch; de lo contrario, seleccioneDetalles del servidor.

5. Complete la configuración que sea necesaria en función del tipo de autenticación seleccionado:

l Introduzca la dirección de correo electrónico para rellenar automáticamente la pantalla de detalles. SeleccioneSiguiente para introducir los datos.

l Introduzca el nombre del servidor y el ID de grupo si no usa la detección automática de AirWatch para completarla configuración. Seleccione Siguiente.

6. Introduzca el nombre de usuario y la contraseña provisionales y seleccione Siguiente.

7. Complete cualquier otra pantalla adicional.

8. Seleccione Finalizar para completar la instalación.

Cuando AirWatch Agent detecta un usuario de inscripción preparada, se ejecuta el proceso de escucha del agente, queescucha el siguiente inicio de sesión deWindows. Cuando el usuario final inicia sesión en el dispositivo, el proceso deescucha del agente lee el UPN y la dirección de correo electrónico del usuario en el registro del dispositivo. Estainformación se envía a la consola de AirWatch y se actualiza el registro del dispositivo demodo que se registre eldispositivo para el usuario.

Parámetros y valores para la inscripción silenciosa

La inscripción silenciosa requiere entradas de línea de comandos o un archivo BAT para controlar cómo realiza AirWatchAgent las descargas e instalaciones en el dispositivo.

La siguiente tabla incluye todos los parámetros de inscripción que pueden introducirse en una línea de comandos o enun archivo BAT, así como sus respectivos valores. Los parámetros marcados en azul y verde son los parámetros mínimosque se requieren para la inscripción. El azul significa solo imagen. El azul con el verde designa la inscripción del usuario.


25



Parámetros de inscripción Valores para añadir al parámetro

/ENROLL Seleccione “Y” para realizar la inscripción.

Seleccione “N” para solo imagen.

/IMAGE Seleccione “Y” para imagen.

Seleccione “N” para inscripción.

/SERVER Introduzca la dirección URL de la inscripción.

/LGName Introduzca el nombre del grupo organizativo.

/USERNAME Introduzca el nombre del usuario para el que se realiza lainscripción o el nombre de usuario de inscripciónpreparada si se realiza una inscripción preparada en eldispositivo en nombre de un usuario.

/PASSWORD Introduzca la contraseña del usuario para el que se realizala inscripción o la contraseña del usuario de inscripciónpreparada si se realiza una inscripción preparada en eldispositivo en nombre de un usuario.

/STAGEUSERNAME Introduzca el nombre del usuario que se inscribe.

/SECURITYTYPE Es necesario si la cuenta de usuario se añade a la consolade AirWatch durante el proceso de inscripción:

l Seleccione “D” para Directorio.

l Seleccione “B” para el tipo Usuario básico.

/STAGEEMAILUSRNAME* Introduzca el nombre de usuario del correo electrónicodel usuario que se inscribe.

/STAGEPASSWORD Introduzca la contraseña del usuario que se inscribe.

/STAGEEMAIL* Introduzca la dirección de correo electrónico del usuarioque se inscribe.

/DEVICEOWNERSHIPTYPE* Seleccione “CD” para Corporativo - Dedicado.

Seleccione “CS” para Corporativo - Compartido.

Seleccione “EO” para Propiedad del empleado.

Seleccione “N” para no elegir ninguno.

/INSTALLDIR* Introduzca la ruta del directorio si quiere cambiar la rutade instalación.

Aviso: Si este parámetro no está presente, AirWatchAgent utiliza la ruta por defecto: C:\Archivos deprograma (x86)\AirWatch.

Los elementos marcados con un asterisco (*) son opcionales.


26



Ejemplos de inscripción silenciosa

A continuación semuestran varios casos prácticos en los que se emplean los parámetros de inscripción y los valores quepueden introducirse en una línea de comandos o emplear para crear un archivo BAT. Al realizar cualquiera de estosejemplos, el dispositivo Windows se inscribe de forma silenciosa, sin que el usuario tenga que seleccionar ningún botónde confirmación.

Instalación del agente para solo imagen sin inscripción

A continuación semuestra un ejemplo de instalación del agente para solo imagen sin inscripción, utilizando losparámetros mínimos requeridos para solo imagen.

AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y

Inscripción de usuario básico

A continuación semuestra un ejemplo de cómo utilizar los parámetros mínimos que se requieren para la inscripciónbásica:

AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.com LGName=locationgroupidUSERNAME=TestUsr PASSWORD=test

Instalación de AirWatch Agent en otro sitio

A continuación semuestra un ejemplo de AirwatchAgent.msi en una ubicación distinta:

C:\AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupidUSERNAME=TestUsr PASSWORD=test

Directorio de instalación y AirWatch Agent en la unidad de red

A continuación semuestra un ejemplo del parámetro de directorio para la instalación con AirWatch Agent en una unidadde red:

Importante: Añada comillas extra para el parámetro INSTALLDIR cuando exista un espacio dentro del parámetro.

Q:\AirwatchAgent.msi /quiet INSTALLDIR=\"E:\Install Win32\" ENROLL=Y IMAGE=n SERVER=companyURL.comLGName=locationgroupid USERNAME=TestUsr PASSWORD=test

Todos los parámetros y valores disponibles

A continuación semuestra un ejemplo de la sintaxis al utilizar todos los valores y parámetros que semuestran en la tablaanterior.

<AirwatchAgent.msi> /quiet INSTALLDIR=\"<Ruta del directorio>" ENROLL=<Y/N> IMAGE=<Y/N> SERVER=<URLempresa> LGNAME=<ID grupo de ubicación>USERNAME=<Nombre de usuario> PASSWORD=<Contraseña nombre deusuario> STAGEUSERNAME=<Nombre de usuario de preparación> SECURITYTYPE=<D/B>STAGEEMAILUSRNAME=<Inscripción de usuario> STAGEPASSWORD=<Contraseña para inscripción de usuario>STAGEEMAIL=<Dirección de correo electrónico para inscripción de usuario>DEVICEOWNERSHIPTYPE=<CD/CS/EO/N>


27



Servicio de Aprovisionamiento de Windows 10 de VMware AirWatchAirWatch es compatible con la inscripción automática de dispositivos específicos de escritorio deWindows adquiridosmediante Dell. La inscripción automática simplifica el proceso al inscribir demanera automática los dispositivosregistrados con el método de inscripción mediante configuración rápida.

El Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch solo se aplica para seleccionar dispositivos Dellcon la imagen correcta deWindows 10. La funcionalidad de inscripción automática debe adquirirse dentro del pedido deDell. AirWatch solo es compatible con Windows 10 Pro, Enterprise y SKU de educación para aprovisionamiento en lanube.

El Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch asocia los dispositivos registrados con los usuariose inscribe automáticamente los dispositivos mediante el método de inscripción rápida. Cuando el usuario final se registraen el dispositivo, el agente de aprovisionamiento del dispositivo recibe los perfiles y aplicaciones asignadas al dispositivoy al usuario. Esta función es similar al Programa de Inscripción de Dispositivos Apple.

Cuando compra los dispositivos en Dell, AirWatch recibe los datos de estos dispositivos. Para utilizar la inscripciónautomática, debe registrar los números de serie de todos los dispositivos comprados en Dell. AirWatch empareja elnúmero de serie con el proporcionado por Dell para que pueda emplearse con la detección automática de AirWatch.

Debe registrar los dispositivos con una cuenta de usuario antes de enviar los dispositivos a los usuarios finales.

Importante: Si se cancela la inscripción de los dispositivos inscritos con el Servicio de Aprovisionamiento deWindows10 de VMware AirWatch, esta no puede renovarse hasta que se haya restablecido la configuración de fábrica deldispositivo.

Configuración del aprovisionamiento de Windows 10

Configure el Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch para inscribir dispositivos Dell deescritorio deWindows automáticamente. La inscripción automática compara los números de serie de los dispositivosregistrados con una lista suministrada por Dell para inscribir dispositivos mediante configuración rápida.

Prerrequisitos

Antes de configurar el Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch, deben cumplirse losprerrequisitos:

l Haber adquirido el Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch dentro de un pedidorealizado a Dell.

Procedimiento

Para configurar el Servicio de Aprovisionamiento deWindows 10 de VMware AirWatch:

1. Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows >Inscripción automática.


28



2. Cómo configurar los ajustes de inscripción automática:

Ajuste Descripción

Inscripción automática SeleccioneHabilitar para utilizar el Servicio de Aprovisionamiento deWindows 10 deVMware AirWatch

Intervalo desincronización

Seleccione el tiempo transcurrido entre los intentos de sincronización entre el agente deaprovisionamiento de AirWatch y la consola de AirWatch.

Aplique las políticasantes de iniciar sesión

SeleccioneHabilitar para aplicar las políticas del dispositivo antes de que el usuario iniciesesión en él.

Tiempo máximo antesdel inicio de sesión

Seleccione el número máximo deminutos que pueden transcurrir antes de que unusuario inicie sesión tras concluir la inscripción mediante configuración rápida.

3. SeleccioneGuardar.

4. Registre los números de serie del dispositivo con AirWatch. Existen tres flujos de registro de dispositivos:

a. Navegue a Cuentas > Usuarios > Añadir > Añadir usuario y agregue la cuenta de usuario. Una vez haya añadidoel usuario, seleccioneGuardar y añadir dispositivo. A continuación, complete la configuración de Añadirdispositivo. Debe configurar la plataforma para Escritorio de Windows.

b. Navegue a Cuentas > Usuarios > Añadir > Importar por lotes. Descargue y complete la plantilla CSV parausuario y/o dispositivo. Cargue el CSV y seleccione Importar. Debe introducir Escritorio de Windows comoPlataforma de dispositivo al completar la plantilla. Debe configurar la plataforma para Escritorio de Windows.

c. Navegue a Ciclo de vida > Estado de inscripción > Añadir > Registrar dispositivo. Debe configurar la plataformapara Escritorio de Windows.

Inscripción mediante integración con Azure ADMediante la integración con Microsoft Azure Active Directory, los dispositivos Windows se pueden inscribirautomáticamente en AirWatch con una interacción mínima por parte del usuario final. La inscripción mediante laintegración con Azure AD simplifica este proceso tanto para el usuario como para el administrador.

Antes de que pueda inscribir sus dispositivos utilizando la integración con Azure AD, debe configurar AirWatch y AzureAD. Esta configuración requiere introducir información en las implementaciones de Azure AD y AirWatch para facilitar lacomunicación.

La inscripción con la integración de Azure AD admite tres flujos distintos de inscripción: Registro en Azure AD, inscripciónmediante configuración rápida e inscripción de Office 365. Todos los métodos requieren que se configure la integraciónde Azure AD con AirWatch.

Para obtener más información sobre cómo configurar Active Directory en general, consulte la guía Directory ServicesGuide, disponible en AirWatch Resources.

Importante: La inscripción mediante la integración de Azure AD requiereWindows 10 y una licencia Premium deAzure Active Directory.


29



Cómo configurar los servicios de identidad de Azure AD para implementaciones de SaaS

Antes de poder utilizar Azure AD para inscribir los dispositivos Windows, debe configurar AirWatch para utilizar Azure ADcomo servicio de identidad. Para habilitar Azure AD se deben completar dos pasos durante los que se agregan los detallesde la inscripción deMDM a Azure. Al agregar los detalles, se proporcionan el ID y el nombre de inquilino para queAirWatch y Azure se sincronicen.

Prerrequisitos

Si está realizando la inscripción con una dirección URL de inscripción en la sede o de SaaS dedicada, el dominio se deberegistrar con la aplicación Azure de AirWatch. Esto requerirá la creación de un registro de DNS en su proveedor deservicios de dominio. Para registrar su dominio, póngase en contacto con el equipo de AirWatch Professional Services.

Para integrar Azure AD con AirWatch, debe tener una suscripción Premium de Azure AD. La integración de Azure AD conAirWatch debe configurarse en el inquilino en el que está configurada la instancia de Active Directory (como LDAP).

Importante: Si establece la Configuración actual como Reemplazar en la página de configuración del sistema de“Servicios de directorio”, los ajustes de LDAP se deben configurar y guardar antes de habilitar Azure AD para losservicios de identidad.

Procedimiento

Para configurar Azure AD para los servicios de identidad:

1. Navegue a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > Servicios de directorio.

2. HabiliteUtilizar Azure AD para los servicios de identidad en Opciones avanzadas.

Una vez habilitado, anote las direcciones URL de los términos de uso deMDM y de inscripción deMDM, ya que senecesitan al configurar el directorio de Azure.

3. Inicie sesión en el portal de administración de Azure con una cuenta deMicrosoft o una cuenta de una organización.

4. Seleccione su directorio y navegue hasta la pestaña Aplicaciones.

5. Seleccione Agregar.


30



6. Seleccione Agregar una aplicación desde la galería.

7. Seleccione Administración de dispositivos móviles en la izquierda y busque AirWatch by VMware. Seleccione lamarca de verificación de la parte inferior derecha de la pantalla.


31



8. Configure la aplicación AirWatch by VMware introduciendo las direcciones URL de Inscripción de MDM y Términosde uso de MDM desde la consola de AirWatch. A continuación, configure Administrar dispositivos para laconfiguración de estos usuarios según las reglas de su organización. SeleccioneGuardar para continuar.

9. Vuelva a la pestaña Aplicaciones para localizar el ID de inquilino y el nombre del inquilino desde su directorio deAzure.

El ID de inquilino puede consultarse en la dirección URL de la instancia de directorio de Azure AD.

El nombre del inquilino es el nombre de su directorio de Azure. Puede encontrar el nombre bajo la pestañaDominio.

10. Regrese a la consola de AirWatch y seleccioneUtilizar Azure AD para los servicios de identidad para configurar laintegración de Azure AD.

11. Introduzca el identificador de inquilino y el nombre del inquilino.

12. SeleccioneGuardar para terminar el proceso.

Configuración de los servicios de identidad de Azure AD para implementaciones en las instalaciones

Antes de poder utilizar Azure AD para inscribir los dispositivos Windows, debe configurar AirWatch para utilizar Azure ADcomo servicio de identidad. Para habilitar Azure AD se deben completar dos pasos durante los que se agregan los detallesde la inscripción deMDM a Azure.

Si utiliza una implementación en las instalaciones, debe seguir estos pasos.

Prerrequisitos

Si está realizando la inscripción con una dirección URL de inscripción en la sede o de SaaS dedicada, el dominio se deberegistrar con la aplicación Azure de AirWatch. Esto requerirá la creación de un registro de DNS en su proveedor deservicios de dominio. Para registrar su dominio, póngase en contacto con el equipo de AirWatch Professional Services.

Para integrar Azure AD con AirWatch, debe tener una suscripción Premium de Azure AD. La integración de Azure AD conAirWatch debe configurarse en el inquilino en el que está configurada la instancia de Active Directory (como LDAP).


32



Importante: Si establece la Configuración actual como Reemplazar en la página de configuración del sistema de“Servicios de directorio”, los ajustes de LDAP se deben configurar y guardar antes de habilitar Azure AD para losservicios de identidad.

Procedimiento

Para configurar Azure AD para los servicios de identidad:

1. Navegue a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > Servicios de directorio.

2. HabiliteUtilizar Azure AD para los servicios de identidad en Opciones avanzadas.

Una vez habilitado, anote las direcciones URL de los términos de uso deMDM y de inscripción deMDM, ya que senecesitan al configurar el directorio de Azure.

3. Inicie sesión en el portal de administración de Azure con una cuenta deMicrosoft o una cuenta de una organización.

4. Seleccione su directorio y navegue hasta la pestaña Aplicaciones.


6. Seleccione Agregar una aplicación desde la galería.

7. Seleccione Administración de dispositivos móviles en la izquierda y busque AirWatch by VMware. Seleccione lamarca de verificación de la parte inferior derecha de la pantalla. A continuación, busque y agregue la aplicaciónMDM en la sede.


33



8. Deje la aplicación AirWatch by VMware en los ajustes predeterminados. Cambie Administrar dispositivos para laconfiguración de estos usuarios a Ninguno.

9. Configure la aplicación MDM en la sede introduciendo las direcciones URL de Inscripción de MDM y Términos deuso de MDM desde la consola de AirWatch.

10. Cambie los permisos como se indica a continuación:

l Permisos de aplicación

o Seleccione Leer y escribir datos del directorio.

o Seleccione Leer y escribir dispositivos.

l Permisos delegados

o Seleccione Acceder al directorio como usuario que ha iniciado sesión.

o Seleccione Leer datos del directorio.

o Seleccione Iniciar sesión y leer perfil de usuario.

11. Configure el ajuste Inicio de sesión único e introduzca la dirección URL de servicios de dispositivos en el cuadro detexto URL DE ID DE APLICACIÓN.

Formato de ejemplo: https:// <MDM DS SERVER>

12. Cambie Administrar dispositivos para la configuración de estos usuarios a Todo. SeleccioneGuardar paracontinuar.


34



13. Vuelva a la pestaña Aplicaciones para localizar el ID de inquilino y el nombre del inquilino desde su directorio deAzure.

El ID de inquilino puede consultarse en la dirección URL de la instancia de directorio de Azure AD.

El nombre del inquilino es el nombre de su directorio de Azure. Puede encontrar el nombre bajo la pestañaDominio.

14. Regrese a la consola de AirWatch y seleccioneUtilizar Azure AD para los servicios de identidad para configurar laintegración de Azure AD.

15. Introduzca el identificador de inquilino y el nombre del inquilino.

16. SeleccioneGuardar para terminar el proceso.

Inscripción de un dispositivo con Azure AD

Inscriba dispositivos mediante integración con Azure AD para inscribir automáticamente un dispositivo en el grupoorganizativo correcto de AirWatch. Los dispositivos inscritos mediante Azure AD se unen completamente, lo que significaque todos los usuarios del dispositivo se unen al dominio.

Este flujo de inscripción está pensado para dispositivos que aún no se han unido a Azure AD. Para obtener másinformación sobre la inscripción en un dispositivo administrado de Azure AD, consulte Inscripción en AirWatch de undispositivo administrado con Azure AD en la página 36.

Para inscribir un dispositivo mediante la unión a dominio de nube:

1. Navegue en el dispositivo con Windows 10 a Configuración > Cuentas > Acceso al trabajo > Unirse o salir de AzureAD > Unirse a Azure AD. Seleccione Continuar.

2. Introduzca su dirección de correo electrónico y su contraseña. Seleccione Iniciar sesión.

3. Asegúrese de que semuestre la página de bienvenida de AirWatch. Seleccione Continuar.

4. Seleccione Aceptar si están habilitados los términos de uso.

5. SeleccioneUnirse para confirmar que desea inscribirse en AirWatch.


35



6. Seleccione Finalizar para terminar de unir el dispositivo a AirWatch. El dispositivo descargará las políticas y losperfiles correspondientes.

Inscripción en AirWatch de un dispositivo administrado con Azure AD

Los dispositivos que se unen a Azure AD utilizan un flujo de inscripción diferente a los dispositivos que se inscribenmediante la integración con Azure AD. Utilice este flujo para inscribir un dispositivo ya unido a Azure AD en AirWatch.

Requisitos

l Sistema operativo Windows 10 con número de compilación 14393.82 y superior.

l Actualización KB3176934 instalada

l Ninguna aplicación MDM instalada en el portal de administración de Azure AD

l Cuenta de Azure AD configurada en el dispositivo

Procedimiento

1. En el dispositivo, navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela y seleccione Inscribirse solo enadministración de dispositivos.

Además, puede inscribirse a través de VMware AirWatch Agent para Windows.

2. Finalice el proceso de inscripción. Debe introducir una dirección de correo electrónico con un dominio diferente al desu cuenta de Azure AD.

Si utiliza la detección automática deWindows, consulte Inscripción medianteWork Access con el servicio dedetección automática deWindows en la página 17.

Si no utiliza la detección automática deWindows, consulte Inscripción medianteWork Access con el servicio dedetección automática deWindows en la página 17.


36



3. Navegue a Ajustes > Cuentas > Obtener acceso a trabajo o escuela y asegúrese de que se han agregado una cuentade Azure AD y una cuenta de AirWatch MDM.

Inscripción mediante configuración rápida

La inscripción mediante la configuración rápida (OOBE) inscribe el dispositivo automáticamente en el grupo organizativocorrecto como parte de la configuración e instalación inicial de un dispositivo Windows 10.


37



Para inscribir un dispositivo mediante OOBE:

1. Encienda el dispositivo y siga los pasos de configuración deWindows hasta que llegue a la pantalla Elija la forma deconectarse.

2. SeleccioneUnirse a Azure AD. Seleccione Continuar.

3. Introduzca su dirección de correo electrónico de Azure AD o AirWatch como Cuenta profesional o educativa.

4. Introduzca su contraseña. Seleccione Iniciar sesión.


38



5. Asegúrese de que semuestre la pantalla Bienvenido a AirWatch. Seleccione Continuar.




Inscripción mediante las aplicaciones de Office 365

Si la organización utiliza Office 365 y la integración de Azure AD, los usuarios finales pueden inscribir sus dispositivos laprimera vez que abren una aplicación de Office 365.

Para inscribirsemediante las aplicaciones de Office 365:

1. Seleccione Agregar una cuenta corporativa la primera vez que abra una aplicación de Office 365.

2. Introduzca su dirección de correo electrónico y su contraseña. Seleccione Iniciar sesión.

3. Asegúrese de que semuestre la página de bienvenida de AirWatch. Seleccione Continuar.





39



Inscripción y aprovisionamiento en masaEl aprovisionamiento en masa crea un paquete preconfigurado que prepara los dispositivos Windows 10 y los inscribe enAirWatch. Utilice el aprovisionamiento en masa para inscribir y configurar rápidamentemúltiples dispositivos con unacuenta de usuario estándar.

Este flujo de inscripción es la única manera de inscribir un dispositivo con una cuenta de usuario estándar. No obstante,se requieren permisos de administrador para ejecutar el paquete preconfigurado.

Para utilizar aprovisionamiento en masa, descargue el kit de evaluación y desarrollo deMicrosoft e instale la herramientaDiseñador de imágenes y configuraciones (ICD). El ICD crea paquetes de aprovisionamiento utilizados en los dispositivosde imagen. Como parte de estos paquetes de aprovisionamiento, puede incluir ajustes de configuración de AirWatchpara que los dispositivos aprovisionados se inscriban automáticamente en AirWatch durante el proceso de configuraciónrápida (OOBE) inicial.

Para asignar los dispositivos al usuario final correcto automáticamente, registre los dispositivos por usuario o medianteuna importación en masa antes de crear el paquete de aprovisionamiento. .

Inscripción mediante aprovisionamiento en masa

La herramienta Diseñador de imágenes y configuraciones deMicrosoft le permite crear un paquete de aprovisionamientopara inscribir, rápida y fácilmente, múltiples dispositivos deWindows 10 en AirWatch. Cuando ya se ha instalado elpaquete, el dispositivo se inscribe automáticamente en AirWatch.

Para crear un paquete de aprovisionamiento:

1. Descargue el kit de evaluación e implementación Assessment and Deployment Kit deMicrosoft para Windows 10 einstale la herramienta Diseñador de imágenes y configuraciones (ICD) deWindows.

2. Inicie el ICD deWindows y seleccione Paquete de aprovisionamiento nuevo.

3. Introduzca Nombre del proyecto y seleccione los ajustes que se podrán ver y configurar.

La elección típica es la opción Común para todas las ediciones de escritorio de Windows.

4. (Opcional) Importe un paquete de aprovisionamiento si quiere crear uno nuevo basado en los ajustes de un paqueteanterior.

5. Navegue a Configuración de tiempo de ejecución > Área de trabajo > Inscripciones.

6. En la consola de AirWatch, navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows >Escritorio de Windows > Inscripción preparada y aprovisionamiento.

Cuando navega a esta página de configuración, se crea un usuario de inscripción preparada y semuestran lasdirecciones URL pertenecientes al usuario de inscripción preparada creado. Puede crear su propio usuario deinscripción preparada para utilizarlo con el aprovisionamiento en masa, pero los ajustes mostrados en esta páginade configuración no se aplican a ninguno de los usuarios creados.

7. Copie elUPN y péguelo en el campo UPN de ICD.


40



8. Seleccione la flecha hacia abajo que aparece junto a Inscripciones en la ventana Personalizaciones disponibles.

9. Configure los siguientes ajustes:

l Seleccione AuthPolicy y elija el valor mostrado en la consola de AirWatch.

l SeleccioneDiscoveryServiceFullURL y copie la dirección URL mostrada en la consola de AirWatch.

l Seleccione EnrollmentServiceFullURL y copie la dirección URL mostrada en la consola de AirWatch.

l Seleccione PolicyServiceFullURL y copie la dirección URL mostrada en la consola de AirWatch.

l Seleccione Secret y copie el valor mostrado en la consola de AirWatch.

10. Seleccione Archivo > Guardar para guardar el proyecto.

11. Seleccione Exportar > Paquete de aprovisionamiento para crear un paquete para utilizarlo con el aprovisionamientoen masa. Luego, seleccione Siguiente.

12. Guarde la Contraseña de cifrado para usarla posteriormente si decide cifrar el paquete y después seleccioneSiguiente.

13. Guarde el paquete en una unidad USB para transferirlo a cada dispositivo que desee aprovisionar. También puedeenviar el paquete por correo electrónico al dispositivo.

14. Seleccione Compilar para crear el paquete.

Pasos siguientes

A continuación, debe instalar el paquete de aprovisionamiento en masa. Para obtener más información, consulteInstalación de paquetes de aprovisionamiento en masa en la página 42.


41



Instalación de paquetes de aprovisionamiento en masa

Después de crear los paquetes de aprovisionamiento utilizando Diseñador de imágenes y configuraciones deMicrosoft,debe instalar el paquete de aprovisionamiento en los dispositivos de los usuarios finales.

Para instalar un paquete de aprovisionamiento:

1. En el dispositivo que quiera aprovisionar, navegue a Ajustes > Cuentas > Acceso al trabajo y seleccione Agregar oquitar un paquete para el trabajo o el colegio. Si se envió el paquete por correo electrónico, ábralo desde su clientede correo.

2. Seleccione Agregar un paquete y seleccione la opciónMedio extraíble como método para agregar el paquete.

3. Seleccione el paquete correcto en la lista proporcionada.

Si agregó el dispositivo a la cuenta de usuario en la consola de AirWatch antes de realizar el aprovisionamiento, eldispositivo se asigna al realizar la inscripción.

AirWatch Protection Agent para la inscripciónAirWatch Protection Agent agrega protección de extremos para garantizar que los dispositivos de escritorio deWindowspermanezcan protegidos. Este agente permite a AirWatch usar funciones deWindows nativas con el fin de garantizar laseguridad de los dispositivos.

Con AirWatch Protection Agent puede crear perfiles para los dispositivos y así configurar las funciones nativas BitLocker,Firewall deWindows y Actualizaciones automáticas deWindows según sus ajustes y preferencias específicos.

Importante: AirWatch Protection Agent no admite dispositivos RT, ya que estos tienen procesadores ARM y noadmiten aplicaciones heredadas. Solo los dispositivos Windows 8.1 o Windows 10 pueden usar la funcionalidadrelacionada con AirWatch Protection Agent.

Instalación de AirWatch Protection Agent

Una vez inscrito el dispositivo en AirWatch, AirWatch Protection Agent se instala demanera silenciosa en el dispositivo siestá habilitado. La instalación es automática y no requiere interacción del usuario final.

Los usuarios con un dispositivo Windows 8.1 y Windows 10 Home deben instalar manualmente AirWatch ProtectionAgent después de la instalación. Para iniciar la instalación, el usuario final debe hacer clic en el web clip que aparece en elescritorio del dispositivo. Este web clip solo semuestra si está habilitado AirWatch Protection Agent.

Estado “Agent en espera”

Mientras el dispositivo está en el estado “Agent en espera”, no se envían al dispositivo perfiles, aplicaciones ni contenido.Tampoco se eliminan los perfiles que ya están implementados en el dispositivo. El dispositivo semantiene en un estadosimilar al de la cuarentena. Cuando AirWatch Protection Agent se descarga y el estado cambia a “Inscrito”, los perfiles yotros contenidos vuelven a procesarse.

AirWatch Cloud Messaging

AirWatch Cloud Messaging (AWCM) permite el envío de políticas y comandos en tiempo real aAirWatch Protection Agent. Sin AWCM, AirWatch Protection Agent solo recibe políticas y comandos durante los


42



intervalos de verificaciones de estado regulares establecidos en la consola de AirWatch. AirWatch recomienda utilizarAWCM para el envío de políticas y comandos en tiempo real a dispositivos Windows 8.1 y Windows 10.

Configuración de AirWatch Protection Agent

AirWatch Protection Agent solo ofrece un ajuste configurable. Puede configurar la opción Frecuencia del intervalo demuestra de datos, que controla la frecuencia con la que el agente realiza una verificación de estado y consulta la consolade AirWatch para verificar si se han producido infracciones de las políticas. Navegue a Grupos y ajustes > Todos losajustes > Dispositivos y usuarios > Windows > Escritorio de Windows > Configuración del Agent para cambiar elajuste.

Habilitación de AirWatch Protection Agent

AirWatch Protection Agent ofrece funcionalidad adicional para los dispositivos de escritorio deWindows. HabiliteAirWatch Protection Agent antes de inscribir sus dispositivos de escritorio deWindows para garantizar que AirWatch leofrezca una protección y seguridad completas.

Para habilitar AirWatch Protection Agent:

1. Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows >Aplicación del Agent.

2. Habilite Publicar AirWatch Protection Agent.

Para garantizar que AirWatch Protection Agent permanezca actualizado, habilite Actualizaciones automáticas deProtection Agent. Si se envía una versión nueva de AirWatch Protection Agent a la consola de AirWatch, losdispositivos de los usuarios finales se actualizarán automáticamente a la versión más reciente.

3. Elija las opciones de Tipo de propiedad de dispositivo que requieren AirWatch Protection Agent según su elección.



43



Capítulo 3:Perfiles de dispositivos de escritorio deWindows

Resumen de los perfiles de escritorio de Windows 46

Configuración de un perfil de código de acceso (escritorio deWindows) 47

Configuración de un perfil de Wi-Fi (escritorio de Windows) 49

Perfil de VPN (escritorio de Windows) 51

Perfil de credenciales (escritorio de Windows) 58

Configuración de una carga útil de restricciones (escritorio deWindows) 60

Perfil de protección de datos (escritorio de Windows) 67

Perfil de Passport forWork (escritorio de Windows) 71

Configuración de un perfil de firewall (escritorio de Windows) 72

Configuración de un perfil de modo de aplicación única(escritorio de Windows) 73

Configuración de un perfil de antivirus (escritorio de Windows) 74

Perfil de cifrado (escritorio de Windows) 77

Configuración de un perfil de actualizaciones de Windows(escritorio de Windows) 81

Configuración de un perfil de web clips (escritorio de Windows) 88

Perfil de Exchange ActiveSync (escritorio de Windows) 89

Perfil de SCEP (escritorio de Windows) 94

Perfil de control de aplicaciones (escritorio de Windows) 96

44



Configuración de un perfil de servicios web de Exchange(escritorio de Windows) 98

Creación de un perfil de licencias de Windows (escritorio deWindows) 98

Configuración de un perfil de BIOS (escritorio de Windows) 99

Uso de ajustes personalizados (escritorio de Windows) 100

Capítulo 3: Perfiles de dispositivos de escritorio de Windows

45



Resumen de los perfiles de escritorio de WindowsLos perfiles se utilizan principalmente para administrar dispositivos. Configure los perfiles para que sus dispositivos deescritorio deWindows estén protegidos y tengan acceso a su configuración preferida.

Introducción

Imagine que los perfiles son ajustes y reglas que, combinados con las políticas de conformidad, lo ayudan a aplicar reglasy procedimientos corporativos. Contienen los ajustes, las configuraciones y las restricciones que desea aplicar en losdispositivos.

Un perfil incluye ajustes generales de perfiles y una carga útil específica. Los perfiles funcionan mejor cuando solocontienen una única carga útil.

Los perfiles de escritorio deWindows se aplican en un dispositivo al nivel del usuario o al nivel del dispositivo. Al crearperfiles de escritorio deWindows, puede seleccionar el nivel al que desea que se aplique el perfil. Algunos perfiles solopueden aplicarse al nivel del usuario o al nivel del dispositivo.

Acceso al dispositivo

Algunos perfiles del dispositivo configuran los ajustes para acceder a un dispositivo de escritorio deWindows. Solo losusuarios autorizados pueden utilizar estos perfiles para garantizar el acceso a un dispositivo.

Algunos ejemplos de perfiles de acceso a un dispositivo incluyen:

l Proteja el dispositivo con un perfil de código de acceso. Para obtener más información, consulte Configuración de unperfil de código de acceso (escritorio deWindows) en la página 47.

l Configurar la funcionalidad nativa Pasaporte. Para obtener más información, consulte Perfil de Passport for Work(escritorio deWindows) en la página 71.

l Limitar el dispositivo a una única aplicación con un perfil demodo de aplicación única. Para obtener másinformación, consulte Configuración de un perfil demodo de aplicación única (escritorio deWindows) en la página73.

Seguridad del dispositivo

Asegúrese de que sus dispositivos de escritorio deWindows permanezcan protegidos con perfiles del dispositivo. Estosperfiles configuran las funciones nativas de seguridad deWindows o los ajustes corporativos de seguridad en undispositivo a través de AirWatch.

Algunos ejemplos de perfiles de seguridad del dispositivo incluyen:

l Utilice un perfil deWi-Fi para conectar los dispositivos inscritos a su red Wi-Fi corporativa sin tener que enviar lascredenciales de la red a los usuarios. Para obtener más información, consulte Configuración de un perfil deWi-Fi(escritorio deWindows) en la página 49.

l Mantenga protegidos los datos corporativos con el perfil de protección de datos. Para obtener más información,consulte Perfil de protección de datos (escritorio deWindows) en la página 67.

l Proteja el acceso de sus dispositivos a los recursos internos con el perfil de VPN. Para obtener más información,consulte Perfil de VPN (escritorio deWindows) en la página 51.


46



Configuración del dispositivo

Configure los diversos ajustes de sus dispositivos de escritorio deWindows con los perfiles de configuración. Estosperfiles configuran los ajustes del dispositivo para estar a la altura de sus necesidades empresariales.

Algunos ejemplos de perfiles de configuración del dispositivo incluyen:

l Configurar una cuenta de Exchange en un dispositivo con un perfil de Exchange ActiveSync. Para obtener másinformación, consulte Perfil de Exchange ActiveSync (escritorio deWindows) en la página 89.

l Restringir las aplicaciones que pueden instalarse en un dispositivo con el perfil de control de aplicaciones. Paraobtener más información, consulte Perfil de control de aplicaciones (escritorio deWindows) en la página 96.

l Asegúrese de que los dispositivos semantienen actualizados con el perfil de actualizaciones deWindows. Paraobtener más información, consulte Configuración de un perfil de actualizaciones deWindows (escritorio deWindows) en la página 81.

Configuración de un perfil de código de acceso (escritorio de Windows)Exija un perfil de código de acceso para proteger los dispositivos con códigos de acceso cada vez que regresen de unestado inactivo. Este código de acceso asegura que toda la información confidencial corporativa de los dispositivosadministrados permanezca protegida.

Los códigos de acceso establecidos con esta carga útil solo entrarán en vigor si el código de acceso es más estricto que loscódigos de acceso existentes. Por ejemplo, si el código de acceso de la cuenta deMicrosoft existente requiere unosajustes más estrictos que los requeridos por la carga útil de código de acceso, el dispositivo sigue utilizando el código deacceso de la cuenta deMicrosoft.

Importante: La carga útil del código de acceso no se aplica a los dispositivos unidos al dominio.

Para configurar un perfil de código de acceso:

1. Navegue a Dispositivos > Perfiles > Vista en lista > Agregar y seleccione Agregar perfil.

2. SeleccioneWindows y luego Escritorio de Windows.

3. Seleccione Perfil del dispositivo.

4. Configure los ajustes de la sección General del perfil.

Estos ajustes determinan la forma en la que se implementa el perfil y los usuarios que lo recibirán. Para obtener másinformación sobre los ajustes generales, consulte la Guía de VMware AirWatch para la administración dedispositivos móviles, disponible en AirWatch Resources.

5. Seleccione el perfil de código de acceso.


47



6. Configure los ajustes de Código de acceso:

Ajuste Descripción

Complejidad decontraseña

Ajuste esta opción en Simple o Complejo para elegir el nivel de dificultad de la contraseñaque prefiera.

Requerir valoresalfanuméricos

Habilite esta opción para exigir que el código de acceso sea un código de accesoalfanumérico.

Longitud mínima dela contraseña

Introduzca la cantidad mínima de caracteres que debe contener una contraseña.

Vigencia máxima dela contraseña (días)

Introduzca la cantidad máxima de días que pueden pasar hasta que el usuario tenga quecambiar la contraseña.

Vigencia mínima de lacontraseña (días)

Introduzca la cantidad mínima de días que pueden pasar hasta que el usuario tenga quecambiar la contraseña.

Tiempo de espera debloqueo deldispositivo (minutos)

Introduzca la cantidad deminutos que pasarán hasta que el dispositivo se bloqueeautomáticamente y requiera reintroducir el código de acceso.

Cantidad máxima deintentos fallidos

Introduzca la cantidad máxima de intentos que el usuario final puede introducir antes dereiniciar el dispositivo.

Historial decontraseña(repeticiones)

Introduzca la cantidad de veces que se recuerda la contraseña.

Si el usuario final reutiliza una contraseña el número de veces registrado, no podrá volvera utilizar dicha contraseña.

Por ejemplo, si introduce 12 en este campo, el usuario final no podrá reutilizar las 12contraseñas anteriores.

Cifrado reversiblepara elalmacenamiento decontraseña

Habilite esta opción para configurar el sistema operativo de forma que almacene lascontraseñas utilizando el cifrado reversible.

Almacenar las contraseñas utilizando el cifrado reversible es, básicamente, lo mismo quealmacenar versiones de las contraseñas en texto sin formato.

Por estemotivo, esta política no debe habilitarse nunca a menos que los requisitos de laaplicación sean superiores a la necesidad de proteger la información de la contraseña.

Utilizar agente deprotección paradispositivos Windows10

Habilite el uso de AirWatch Protection Agent para realizar ajustes de perfil de código deacceso en lugar de la funcionalidad de DM nativa. Habilite esta configuración siexperimenta problemas utilizando la funcionalidad de DM nativa.

Política de contraseñade Windows 8.0

Habilite esta opción para utilizar la política de contraseña deWindows 8.0 heredada.

Consulte la Política de contraseña deWindows 8.0 en la página 49.

Caducar contraseña Habilite esta opción para que la contraseña existente en el dispositivo caduque y exigir lacreación de una contraseña nueva.

Requiere que AirWatch Protection Agent esté instalado en el dispositivo.

7. SeleccioneGuardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.


48



Política de contraseña de Windows 8.0

Si habilita la Política de contraseña deWindows 8.0, configure los siguientes ajustes.

Aviso: es aconsejable actualizar los dispositivos de escritorio deWindows aWindows 8.1. Es una actualizacióngratuita que ofrecemás capacidades deMDM.

Ajuste Descripción

Permitir valoressimples

Habilite esta opción para permitir que los usuarios finales utilicen códigos de acceso simples.

Inhabilítela para exigir que los códigos de acceso cumplan ajustes de complejidad.

Requerir valoralfanumérico

Habilite esta opción para exigir que el usuario final cree un código de acceso con una longitudmínima y un número mínimo de caracteres complejos.

Número mínimo decaracteres complejos

Introduzca el número mínimo de caracteres complejos (minúsculas, mayúsculas, símbolos ynúmeros) exigidos para un código de acceso.

Longitud mínima dela contraseña

Introduzca el número mínimo de caracteres que debe contener un código de acceso.

Vigencia máxima delcódigo de acceso(días)

Introduzca el número máximo de días que pueden pasar hasta que el usuario tenga quecambiar el código de acceso.

Cantidad máxima deintentos fallidos

Introduzca la cantidad máxima de intentos que el usuario final puede introducir antes dereiniciar el dispositivo.

Tiempo de espera debloqueo deldispositivo (minutos)

Introduzca la cantidad deminutos que pasarán hasta que el dispositivo se bloqueeautomáticamente y requiera reintroducir el código de acceso.

Historial del códigode acceso

Introduzca la cantidad de veces que se recuerda la contraseña.

Si el usuario final reutiliza una contraseña dentro del número de veces registrado, no podráreutilizar dicha contraseña. Por ejemplo, si introduce 12 en este campo, el usuario final nopodrá reutilizar las 12 contraseñas anteriores.

Configuración de un perfil de Wi-Fi (escritorio de Windows)Cree un perfil deWi-Fi para conectar los dispositivos a las redes corporativas, aun cuando estén ocultas, cifradas oprotegidas mediante contraseña. Los perfiles deWi-Fi son útiles para los usuarios finales que necesitan acceso a múltiplesredes o para configurar que los dispositivos se conecten automáticamente a una red inalámbrica adecuada.

¿Quiere usar la autenticación EAP basada en certificados para perfiles de VPN y Wi-Fi? Consulte el artículo de labase de conocimiento: https://support.air-watch.com/articles/115001664448.


49




Para configurar una carga útil deWi-Fi:






5. Seleccione el perfil deWi-Fi.

6. Configure los ajustes de la sección General.

Ajuste Descripción

Identificador de red Introduzca un identificador asociado con el nombre (SSID) de la red Wi-Fi deseada.

El SSID no puede contener espacios.

Red oculta Habilite esta opción si la red no está abierta para difusión.

Unirse automáticamente Habilite esta opción para que el dispositivo se una a la red de forma automática.

Tipo de seguridad Utilice el menú desplegable para seleccionar el tipo de seguridad (por ejemplo, WPA2Personal) para la red Wi-Fi.

Cifrado Utilice el menú desplegable para seleccionar el tipo de cifrado utilizado.

Aparece según el tipo de seguridad.

Contraseña Introduzca la contraseña requerida para unirse a la red Wi-Fi en los casos de redes concontraseñas estáticas.

Seleccione la casilla de verificaciónMostrar los caracteres para inhabilitar la función deocultar los caracteres en el campo.

Aparece según el tipo de seguridad.

Proxy

Proxy Habilite esta opción para configurar los ajustes del proxy para la conexión Wi-Fi.

URL Introduzca la dirección URL del proxy.

Puerto Introduzca el puerto del proxy.


50



Ajuste Descripción

Protocolos

Protocolos Seleccione el tipo de protocolos que desea utilizar:

l Certificado l PEAP-MsChapv2

l EAP-TTLS l Personalizado

Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise oWPA2 Enterprise.

Autenticación

Identidad interna Seleccione el método de autenticación a través de EAP-TTLS:

l Nombre de usuario/Contraseña

l Certificado

Esta sección aparece cuando la opción Protocolos está ajustada en EAP-TTLS o PEAP-MsChapv2.

Requerir enlace decifrado

Habilite esta opción para exigir el enlace criptográfico en ambas autenticaciones.

Esta opción limita los ataques de tipo “Man in themiddle”.

Utilizar las credencialesde inicio de sesión deWindows

Habilite esta opción para usar las credenciales de inicio de sesión deWindows como elnombre usuario y la contraseña de autenticación.

Aparece cuando Nombre de usuario/Contraseña está ajustado como Identidadinterna.

Certificado de identidad Seleccione un certificado de identidad que puede configurar utilizando la carga útil decredenciales. Consulte Perfil de credenciales (escritorio deWindows) en la página 58para más información.

Aparece cuando Certificado está ajustado como Identidad interna.

Confianza

Certificados deconfianza

Seleccione Agregar para agregar certificados de confianza al perfil deWi-Fi.

Esta sección aparece cuando Tipo de seguridad está ajustado en WPA Enterprise oWPA2 Enterprise.

Permitir excepciones deconfianza

Habilite esta opción para permitir que el usuario tome decisiones de confianzamediante un cuadro de diálogo.


Perfil de VPN (escritorio de Windows)AirWatch es compatible con la configuración de los ajustes de VPN del dispositivo para que los usuarios finales puedanacceder de forma remota y segura a la red interna de la organización. El perfil de VPN ofrece un control detallado sobrelos ajustes de la conexión, como los ajustes del proveedor de la VPN y acceso VPN por aplicación.


51



AirWatch es compatible con tipos específicos de conexiones VPN para diversos proveedores de VPN, entre los cuales seincluyen:

l IKEv2 l Juniper Pulse

l L2TPl SonicWall Mobile

Connect

l PPTP l Automatic

l Check PointMobile

l VMware Tunnel

l F5 Edge Client

VPN por aplicación

La VPN por aplicación le permite configurar reglas de tráfico de VPN basadas en aplicaciones específicas. Si estáconfigurada, la VPN se conecta automáticamente cuando se inicia una aplicación específica; se envía el tráfico de laaplicación a través de la conexión VPN, pero no el de otras aplicaciones. Con esta flexibilidad, puede confiar en que losdatos permanecen protegidos, al tiempo que no limita el acceso del dispositivo a Internet.

Vea un videotutorial en el que se explica cómo configurar el perfil de VPN deWindows para VPN por aplicación:https://support.air-watch.com/articles/115001664668

Cada grupo de reglas de la sección Reglas de VPN por aplicación utiliza el operador lógico OR. De esta forma, si el tráficocoincide con alguna de las políticas establecidas, se permite a través de la VPN.


52




Las aplicaciones a las que se aplican las reglas de tráfico de VPN por aplicación pueden ser aplicaciones deWindowsheredadas, como archivos EXE, o aplicaciones modernas descargadas de la TiendaWindows. Al designar aplicacionesespecíficas para que se abran y utilicen la conexión VPN, solo el tráfico procedente de estas aplicaciones utiliza la VPN sinexigir que todo el tráfico procedente del dispositivo utilice tal conexión VPN. Esta lógica permite proteger los datoscorporativos al tiempo que reduce el ancho de banda enviado a través de la VPN.

Para ayudar a reducir la restricción de VPN, puede configurar reglas de enrutamiento de DNS para la conexión VPN poraplicación. Estas reglas de enrutamiento limitan el tráfico enviado a través de la VPN a solo el tráfico que coincide con lasreglas. Las reglas lógicas usan el operador AND, demodo que si establece una dirección IP, puerto y protocolo de IP, eltráfico debe coincidir con CADA uno de estos filtros para pasar a través de la VPN.

La VPN por aplicación le permite crear un control pormenorizado y detallado de sus conexiones VPN específico de cadaaplicación.

Configuración de un perfil de VPN (escritorio de Windows)

Configure los ajustes de la VPN del dispositivo para tener acceso a la infraestructura corporativa de forma remota ysegura. También se pueden configurar conexiones de VPN por aplicación que limitan el tráfico a través de la VPN aaplicaciones específicas y ajustar la VPN para que se conecte automáticamente cada vez que se inicie la aplicaciónespecificada.


53



¿Quiere usar la autenticación EAP basada en certificados para perfiles de VPN y Wi-Fi? Consulte el artículo de labase de conocimiento: https://support.air-watch.com/articles/115001664448

Para aplicar un perfil de VPN:



3. Seleccione Perfil del usuario o Perfil del dispositivo.



5. Seleccione el perfil de VPN.

6. Configure los ajustes de Información de la conexión:

Ajuste Descripción

Nombre de laconexión

Introduzca el nombre de la conexión de VPN.

Tipo deconexión

Seleccione el tipo de conexión de VPN.

Servidor Introduzca la dirección IP o el nombre de host del servidor VPN.

Puerto Introduzca el puerto que utiliza el servidor VPN.

Ajustes deconexiónavanzados

Habilítelos para configurar las reglas de enrutamiento avanzadas para la conexión a la VPN deldispositivo.

Direccionesdeenrutamiento

Seleccione Agregar para introducir las direcciones IP y el tamaño del prefijo de la subred delservidor VPN.

Puede que necesite direcciones de enrutamiento adicionales.

Reglas deenrutamientoDNS

Seleccione “Agregar” para introducir elNombre de dominio que gobierna el uso de la VPN.Introduzca los servidores DNS y los servidores de proxy web que desea usar para cada dominioespecífico.

Política deenrutamiento

Elija Exigir que todo el tráfico pase por VPN o Permitir el acceso directo a los recursosexternos.

l Exigir que todo el tráfico pase por VPN (forzar túnel): En esta regla de tráfico, todo el tráficode IP debe pasar exclusivamente a través de la interfaz de VPN.

l Permitir el acceso directo a los recursos externos (dividir túnel): En esta regla de tráfico, soloel tráfico destinado a la interfaz de VPN (según determine la pila de red) pasa a través de lainterfaz. El tráfico de Internet puede seguir pasando a través de otras interfaces.


54




Ajuste Descripción

Proxy SeleccioneDetección automática para detectar automáticamente los servidores proxy que utilizala VPN. SeleccioneManual para configurar el servidor proxy.

Servidor Introduzca la dirección IP del servidor proxy.

Aparece cuando Proxy se configura comoManual.

URL deconfiguracióndel servidorproxy

Introduzca la dirección URL para los ajustes de configuración del servidor proxy.

Aparece cuando Proxy se configura comoManual.

Desviar delproxy al local

Habilite esta opción para omitir el servidor proxy cuando el dispositivo que lo detecte esté en lared local.

Autenticación

Protocolo Seleccione el protocolo de autenticación para la VPN:

l EAP – Permite diversos métodos de autenticación.

l Certificado demáquina: detecta un certificado de cliente en el almacén de certificados dedispositivos con vistas a su uso para la autenticación.

Tipo de EAP Seleccione el tipo de autenticación EAP.

l EAP-TLS – Autenticación mediante tarjetainteligente o certificado de cliente.

l PEAP

l EAP-MSCHAPv2 – Nombre de usuario ycontraseña

l Configuración personalizada – Permitetodas las configuraciones EAP.

l EAP-TTLS

Solo semuestra si el Protocolo está ajustado a EAP.

Tipo decredenciales

SeleccioneUtilizar certificado para utilizar un certificado de cliente. SeleccioneUtilizar tarjetainteligente con el fin de utilizar una tarjeta inteligente para autenticarse.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

Selección decertificadosimple

Habilite esta opción para simplificar la lista de certificados desde la que elige el usuario. Loscertificados semuestran según el certificado que se emitió hacemenos tiempo para cada entidad.

Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

Utilizar lascredencialesde inicio desesión deWindows

Habilite esta opción para utilizar las mismas credenciales que el dispositivo Windows.

Aparece cuando Tipo de EAP está ajustado en EAP-MSCHAPv2.


55



Ajuste Descripción

Privacidad dela identidad

Introduzca el valor que desea enviar a los servidores antes de que el cliente autentique laidentidad del servidor.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Método deautenticacióninterna

Seleccione el método de la autenticación para la autenticación de la identidad interna.

Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

Habilitarreconexiónrápida

Habilite esta opción para reducir el periodo de tiempo entre una solicitud de autenticación emitidapor un cliente y la respuesta procedente del servidor.

Aparece cuando Tipo de EAP está ajustado en PEAP.

Habilitar laprivacidad deidentidad

Habilite esta opción para proteger la identidad del usuario hasta que el cliente se autentique con elservidor.

Reglas de tráfico de VPN

Reglas deVPN poraplicación

Seleccione Agregar para agregar reglas de tráfico para aplicaciones heredadas y modernasespecíficas. Para más información sobre la VPN por aplicación, consulte VPN por aplicación en lapágina 52.

ID deaplicación

Seleccione primero si la aplicación es una aplicación de la tienda o una aplicación de escritorio.Luego introduzca la ruta del archivo de la aplicación para las aplicaciones de escritorio o el nombrede familia de paquete para las aplicaciones de la tienda para especificar la aplicación a la que seaplican las reglas de tráfico.

l Ejemplo de la ruta del archivo: %ProgramFiles%/ Internet Explorer/iexplore.exe

l Ejemplo del nombre de familia de paquete: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

La consulta de nombre de familia de paquete le permite buscar el nombre de familia de paquete alseleccionar el icono Buscar. Aparece una ventana que le permite seleccionar la aplicación quedesea gobernar con las reglas de VPN por aplicación. El nombre de familia de paquete se llenaautomáticamente.

VPN a pedido Habilite esta opción para que la conexión VPN se conecte automáticamente al abrir la aplicación.

Política deenrutamiento

Seleccione la política de enrutamiento de la aplicación.

l Permitir el acceso directo a los recursos externos permite el tráfico VPN y el tráfico a travésde la conexión de red local.

l Exigir que todo el tráfico pase por VPN obliga a que todo el tráfico pase a través de la VPN.


56



Ajuste Descripción

Reglas deenrutamientoDNS

Habilite esta opción para agregar reglas de enrutamiento de DNS para el tráfico de la aplicación.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas deenrutamiento. Solo podrá enviarse a través de la VPN el tráfico de la aplicación especificada quecoincida con las reglas.

l Dirección IP: Una lista de valores separados por comas que especifica los intervalos de lasdirecciones IP que se permiten.

l Puerto: Una lista de valores separados por comas que especifica los intervalos de los puertosremotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidoscuando el protocolo está establecido como TCP o UDP.

l Protocolo ICAP: Valor numérico de 0 a 255 que representa el protocolo de IP que se permite.Por ejemplo, TCP = 6 y UDP = 17.

Para más información acerca de cómo funcionan estos filtros y políticas y la lógica utilizada,consulte VPN por aplicación en la página 52.

Reglas deVPN paratodo eldispositivo

Seleccione Agregar para agregar reglas de tráfico para todo el dispositivo.

Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas deenrutamiento. Solo se podrá enviar a través de la VPN el tráfico que coincida con estas reglas.

l Dirección IP: Una lista de valores separados por comas que especifica los intervalos de lasdirecciones IP que se permiten.

l Puerto: Una lista de valores separados por comas que especifica los intervalos de los puertosremotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidoscuando el protocolo está establecido como TCP o UDP.

l Protocolo ICAP: Valor numérico de 0 a 255 que representa el protocolo de IP que se permite.Por ejemplo, TCP = 6 y UDP = 17.

Políticas

Recordar lascredenciales

Habilite esta opción para recordar las credenciales de inicio de sesión del usuario final.

Siempreprendido

Habilite esta opción para hacer que la conexión VPN siempre esté activada.

Bloqueo deVPN

Habilite esta opción para hacer que la VPN esté siempre activada y nunca se desconecte,inhabilitar el acceso a la red si la VPN no está conectada y evitar que otros perfiles de VPN seconecten al dispositivo.

Si hay un perfil de VPN con el bloqueo de VPN habilitado, debe eliminarlo antes de insertar unnuevo perfil de VPN en el dispositivo.

Desviar allocal

Habilite esta opción para omitir la conexión VPN para el tráfico de intranet local.


57



Ajuste Descripción

Detección dered deconfianza

Introduzca las direcciones de red de confianza separadas por comas. La VPN no se conecta cuandose detecte una conexión de red de confianza.

Resolución del nombre de dominio mediante el servidor VMware Tunnel.

Dominio Seleccione Añadir un nuevo dominio para agregar dominios para la resolución mediante elservidor VMware Tunnel.

Cualquier dominio agregado se resuelve a través del servidor de VMware Tunnel conindependencia de la aplicación que originase el tráfico. Por ejemplo, si agrega www.air-watch.com,cualquier tráfico hacia ese dominio se redirige a través del servidor de VMware Tunnel si procedede la aplicación de Chrome configurada y de la aplicación de Edge no configurada.

Esta opción solo semuestra si crea el perfil de VPN como perfil de usuario.


Perfil de credenciales (escritorio de Windows)Un perfil de credenciales le permite insertar certificados raíz, intermedio y del cliente para admitir cualquier caso de usode autenticación de certificado e infraestructura de clave pública (PKI). El perfil envía credenciales configuradas al almacénde credenciales adecuado en el dispositivo de escritorio deWindows.

Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a la fuerza bruta,ataques de diccionario y errores de sus empleados. Para obtener una seguridad más completa, puede implementarcertificados digitales con los que proteger sus recursos corporativos. Para utilizar certificados de esta manera, debeconfigurar primero una carga útil de credenciales con una entidad de certificación (CA), y luego configurar las cargas útilesdeWi-Fi y VPN. Cada una de estas cargas tiene ajustes para asociar la entidad de certificación (CA) definida en la carga útilde credenciales.

El perfil de credenciales también le permite insertar certificados S/MIME en los dispositivos. Estos certificados se carganen la cuenta de cada usuario y los controla el perfil de credenciales.

Para los dispositivos Windows 8.1, los certificados personales requieren la carga útil SCEP y el AirWatch Protection Agenten el dispositivo.

¿Quiere usar la autenticación EAP basada en certificados para perfiles de VPN y Wi-Fi? Consulte el artículo de labase de conocimiento: https://support.air-watch.com/articles/115001664448

Configuración de un perfil de credenciales (escritorio de Windows)

Un perfil de credenciales envía certificados a los dispositivos para utilizarlos en la autenticación. Con AirWatch, puedeconfigurar las credenciales para los almacenes de certificados de personas de confianza, editor de confianza, raíz deconfianza, intermedios y personales.

Para configurar una carga útil de credenciales:




58







5. Seleccione la carga útil de credenciales y configure los siguientes ajustes:

Ajuste Descripción

Fuente decredenciales

Seleccione la fuente de credenciales como una Carga, una Entidad definida de certificación o unCertificado de usuario.

Las opciones de carga útil restantes dependen de la fuente.

l Si selecciona Cargar, debe cargar un certificado nuevo.

l Si selecciona Entidad definida de certificación, debe escoger una entidad de certificación y unaplantilla predefinidas.

l Si selecciona Certificado de usuario, debe seleccionar cómo se utiliza el certificado de S/MIME.

Cargar Seleccione esta opción para navegar hasta el archivo de certificado de credenciales deseado ycargarlo a la consola de AirWatch.

Este ajuste semuestra cuando se selecciona Cargar como Fuente de credenciales.

Entidad decertificación

Utilice el menú desplegable para seleccionar una entidad de certificación predefinida.

Este ajuste semuestra cuando se selecciona Entidad definida de certificación como Fuente decredenciales.

Plantilla decertificado

Utilice el menú desplegable para seleccionar una plantilla de certificado predefinida específica de laentidad de certificación seleccionada.

Este ajuste semuestra cuando se selecciona Entidad definida de certificación como Fuente decredenciales.

Exportar laclaveprivada

Seleccione Permitir para que los usuarios finales puedan exportar certificados con el Administradorde certificados deWindows.

SeleccioneNo permitir para que los usuarios no puedan exportar los certificados.


59



Ajuste Descripción

Ubicaciónde la clave

Seleccione la ubicación de la clave privada del certificado:

l TPM, si está: seleccione esta opción para almacenar la clave privada en un módulo deplataforma segura si está presente en el dispositivo; de lo contrario, debe almacenarla en elsistema operativo.

l TPM requerido: seleccione esta opción para almacenar la clave privada en un modo deplataforma segura. Si no hay un módulo de plataforma segura presente, el certificado no seinstala y semuestra un error en el dispositivo.

l Software: seleccione esta opción para almacenar la clave privada en el sistema operativo deldispositivo.

l Passport: seleccione esta opción para guardar la clave privada en Microsoft Passport. Estaopción requiere la integración con Azure AD.

Almacén decertificados

Seleccione el almacén de certificados adecuado para que la credencial resida en el dispositivo:

l Personal: seleccione esta opción para almacenar los certificados personales. Los certificadospersonales requieren AirWatch Protection Agent en el dispositivo o el uso de la carga útil SCEP.

l Intermedio: seleccione esta opción para almacenar los certificados de entidades de certificaciónintermedias.

l Raíz de confianza: seleccione esta opción para almacenar los certificados de entidades decertificación de confianza y los certificados raíz de su organización y deMicrosoft.

l Publicador de confianza: seleccione esta opción para almacenar los certificados de entidades decertificación de confianza en los que se confía según las políticas de restricción de software.

l Personas de confianza: seleccione esta opción para almacenar los certificados de personas deconfianza o de entidades finales en las que se confía explícitamente. Amenudo estos certificadosson certificados autofirmados o certificados en los que se confía explícitamente en unaaplicación, como Microsoft Outlook.

Guardar laubicación

SeleccioneUsuario oMáquina para definir dónde está ubicado el certificado.

S/MIME Seleccione si el certificado S/MIME es para cifrado o firma.

6. SeleccioneGuardar y publicar para insertar el perfil en los dispositivos.

Configuración de una carga útil de restricciones (escritorio de Windows)Implemente una carga útil de restricciones para proporcionar una mayor protección a los dispositivos de escritorio deWindows. Utilice la carga útil de restricciones para inhabilitar el acceso de usuarios finales a las funciones de losdispositivos y garantizar así que no los manipulen.

La versión y la edición deWindows que utilice determinan las restricciones que se aplican al dispositivo.

Para aplicar un perfil de restricciones:


60



1. Navegue a Dispositivos > Perfiles > Vista en lista y seleccione Agregar.





5. Seleccione el perfil de Restricciones.

6. Configure los ajustes de Administración:

Ajuste Descripción

Permitir la anulación deinscripción manual de MDM

Permítale al usuario final que anule la inscripción de AirWatch en forma manualmediante la inscripción deWorkplace/Work Access.

Esta restricción se aplica a dispositivos Windows 10 únicamente y no escompatible con dispositivos Windows 10 Home.

Seguridad y privacidad

El Agent de configuracióninstalará los paquetes deaprovisionamiento durante laejecución

Habilite esta opción demanera de permitir el uso de los paquetes deaprovisionamiento para inscribir los dispositivos en AirWatch (aprovisionamientoen masa).


Ubicación Seleccione la forma en qué los servicios de ubicación se ejecutan en eldispositivo.


Motor en tiempo de ejecucióndel agente de configuraciónpara eliminar los paquetes deaprovisionamiento

Habilite esta opción para permitir la eliminación de los paquetes deaprovisionamiento.


Permitir que el dispositivoenvíe datos diagnósticos y deuso de telemetría

Habilite esta opción para permitir que el dispositivo envíe datos de diagnósticos yde uso de telemetría a la consola de AirWatch.


Exigir una cuenta de Microsoftpara MDM

Habilite esta opción para exigir una cuenta deMicrosoft para que los dispositivosreciban las políticas o las aplicaciones.

Requerir una cuenta deMicrosoft para aplicacionesmodernas

Habilite esta opción para exigir una cuenta deMicrosoft para que los dispositivosdescarguen e instalen aplicaciones deWindows.


61



Ajuste Descripción

Los paquetes deaprovisionamiento debentener un certificado firmadopor una entidad de confianzadel dispositivo

Habilite esta opción para exigir un certificado de confianza para todos lospaquetes de aprovisionamiento (aprovisionamiento en masa).


Ajuste

Permitir que el usuario cambielos ajustes de la reproducciónautomática

Permite al usuario cambiar el programa que se va a usar para reproducirautomáticamente los tipos de archivos.


Permite que el usuario cambielos ajustes de Data Sense

Permite al usuario cambiar los ajustes de Data Sense para restringir el uso dedatos en el dispositivo.


Fecha / hora Permite al usuario cambiar los ajustes de Fecha/Hora.


Idioma Permite al usuario cambiar los ajustes de idioma.


Permitir que el usuario cambielos ajustes de inicio ysuspensión

Permite al usuario cambiar los ajustes de inicio y suspensión.


Región Permite al usuario cambiar la región.


Permitir que el usuario cambielas opciones de inicio desesión

Permite al usuario cambiar las opciones de inicio de sesión.


VPN Permite al usuario cambiar los ajustes de la VPN.


Permite al usuario cambiar losajustes de Workplace

Permite al usuario cambiar los ajustes deWorkplace y el funcionamiento deMDM en el dispositivo.



62



Ajuste Descripción

Permite al usuario cambiar losajustes de cuenta

Permite al usuario cambiar los ajustes de idioma.


Bluetooth

Bluetooth Permite utilizar la conexión Bluetooth en el dispositivo.


Publicidad del Bluetooth deldispositivo

Permite que el dispositivo difunda avisos de Bluetooth.


Dispositivos con capacidad deBluetooth pueden descubrir eldispositivo

Permite que otros dispositivos con Bluetooth detecten el dispositivo.


Funcionalidad del dispositivo

Cámara Permite el acceso a la función de cámara del dispositivo.


Cortana Permite el acceso a la aplicación Cortana.


Experiencia del usuario de ladetección del dispositivo en lapantalla de bloqueo

Permite que la experiencia de usuario de detección de dispositivos en la pantallade bloqueo detecte proyectores y otras pantallas.

Si está habilitado, los accesos directos Win+P y Win+K no funcionan.


Registros de IME Permite al usuario activar y desactivar el registro de conversiones incorrectas yguardar el resultado de ajuste automático en un archivo y la entrada predictivabasada en historial.


Acceso IME a la red Habilite esta opción para permitir al usuario activar el diccionario extendidoabierto para integrar las búsquedas de Internet con el fin de proporcionarsugerencias de entrada que no existen en el diccionario local de los dispositivos.



63



Ajuste Descripción

SmartScreen Habilite esta opción para permitir al usuario final utilizar la función MicrosoftSmartScreen, que es un método de seguridad que requiere que el usuario finaldibuje formas sobre una imagen para desbloquear el dispositivo. Esta opcióntambién permite al usuario final utilizar PIN como código de acceso.

Aviso: Después de inhabilitar esta función, no podrá volver a habilitarlamedianteMDM AirWatch. Para habilitarla de nuevo, deberá realizar unrestablecimiento de fábrica del dispositivo.

Esta restricción se aplica a dispositivos tanto Windows 8.1 como Windows 10. Larestricción no se aplica a dispositivos Windows 10 Home.

Buscar para utilizar lainformación de ubicación

Permite que la opción de búsqueda utilice la información de la ubicación deldispositivo.


Tarjeta de almacenamiento Habilite esta opción para permitir el uso de una tarjeta SD.


Ajustes de sincronización deWindows

Permite al usuario sincronizar los ajustes deWindows entre dispositivos.


Sugerencias de Windows Permitemostrar sugerencias deWindows en el dispositivo para ayudar alusuario.


Ajustes del control de lacuenta del usuario

Seleccione el nivel de notificación enviado a los usuarios finales cuando uncambio en el sistema operativo requiere permisos de administración de undispositivo.

Públicas

Permitir aplicacionesconfiables que no sean de latienda de Windows

Permite descargar e instalar aplicaciones que no son confiadas por la tiendaWindows.

Esta restricción se aplica a todos los dispositivos Windows 10.

Actualizaciones automáticasde la tienda de aplicaciones

Habilite esta opción para permitir que las aplicaciones descargadas desde latiendaWindows se actualicen automáticamente cuando existan versionesnuevas.



64



Ajuste Descripción

Permitir desbloqueo dedesarrollador

Permite el uso del ajuste de desbloqueo de desarrollador para la carga de pruebade las aplicaciones en los dispositivos.


Permitir DVR y difusión dejuegos

Habilite esta opción para permitir la grabación y difusión de juegos en eldispositivo.


Permitir los datoscompartidos entre variosusuarios que utilicen la mismaaplicación

Permite compartir datos entremúltiples usuarios de una aplicación.


Restringir los datos de laaplicación al volumen delsistema

Restringe los datos de la aplicación al mismo volumen que el sistema operativo,en lugar de volúmenes secundarios o soportes extraíbles.


Restringir la instalación deaplicaciones a la unidad delsistema

Restringe la instalación de las aplicaciones a la unidad del sistema, en lugar de aunidades secundarias o medios extraíbles.


Red

Conexión automática a laszonas Wi-Fi

Habilite esta opción para permitir que el dispositivo se conecte automáticamentea las zonas Wi-Fi utilizando la funcionalidad de detección deWi-Fi.


Datos celulares en roaming Permite el uso de datos celulares cuando se está en roaming.


Uso compartido de Internet Habilite esta opción para permitir el uso compartido de Internet entredispositivos.


Uso de datos en roaming Habilite esta opción para permitir a los usuarios finales transmitir y recibir losdatos en roaming.

Esta restricción se aplica a todos los dispositivos Windows.


65



Ajuste Descripción

Conexión VPN en la redcelular

Permite utilizar VPN en conexiones de datos celulares.


Roaming de la conexión VPNen la red celular

Permite utilizar una VPN durante conexiones de datos celulares en roaming.


Navegador Edge

Relleno automático Permite el uso de la opción de relleno automático para completar informaciónsobre el usuario.


Cookies Permite el uso de cookies


No monitorear Permite el uso de solicitudes de “No monitorear”.


Administrador de contraseñas Permite el uso de un administrador de contraseñas.


Ventanas emergentes Permite el uso de ventanas de emergentes del navegador


Buscar sugerencias en la barrade dirección

Permite que las sugerencias de búsqueda aparezcan en la barra de dirección


SmartScreen Permite el uso del filtro de sitios maliciosos y de contenido SmartScreen.


Enviar el tráfico intranet aInternet Explorer

Permite el tráfico de intranet para utilizar Internet Explorer.


Dirección URL de lista del sitioweb empresarial

Introduzca la dirección URL para una lista del sitio web empresarial.




66



Perfil de protección de datos (escritorio de Windows)El perfil de protección de datos configura reglas para controlar cómo las aplicaciones empresariales acceden a datos deprocedencia diversa desde su organización. El uso de la protección de datos garantiza que solo se pueda acceder a suinformación mediante aplicaciones seguras y aprobadas.

Al tener datos corporativos y personales en el mismo dispositivo, es posible que se revele información de formaaccidental a través de servicios que se encuentran fuera del control de su organización. Con la carga útil de protección dedatos, AirWatch controla la forma en la que los datos empresariales se transfieren entre las aplicaciones para limitar suexposición y causar una mínima repercusión en los usuarios finales. AirWatch utiliza la función Microsoft WindowsInformation Protection (WIP) para proteger sus dispositivos Windows 10.

Con el perfil de protección de datos, las aplicaciones empresariales se agregan a una lista blanca para concederlespermiso de acceso a los datos empresariales desde las redes protegidas. Si los usuarios transfieren datos a aplicacionesque no son de la empresa, podrá tomar medidas basadas en las políticas de cumplimiento seleccionadas.

WIP divide los datos en dos categorías: datos personales no cifrados y datos corporativos que hay que proteger y cifrar.Las aplicaciones incluidas en la lista blanca de protección de datos se dividen en cuatro categorías, que determinan elmodo en que la aplicación interactúa con los datos protegidos.

l Aplicaciones habilitadas: estas aplicaciones son totalmente compatibles con la funcionalidad WIP. Las aplicacioneshabilitadas pueden acceder sin problemas a datos tanto personales como corporativos. Si los datos se crean con unaaplicación habilitada, puede guardarlos como datos personales no cifrados o datos corporativos cifrados. Puedeimpedir que los usuarios guarden datos personales con aplicaciones habilitadas mediante el perfil de protección dedatos.

l Permitidas: estas aplicaciones son compatibles con los datos cifrados con WIP. Las aplicaciones permitidas puedenacceder a datos tanto corporativos como personales, pero guardan como datos corporativos cifrados cualquierinformación a la que se acceda. Las aplicaciones permitidas guardan los datos personales como datos corporativoscifrados, a los que no se puede acceder desde aplicaciones no aprobadas porWIP. Se recomienda agregar lasaplicaciones permitidas a la lista blanca de forma concienzuda e individualizada para evitar problemas con el acceso alos datos. Póngase en contacto con los proveedores de software para obtener información sobre la aprobación deWIP.

l Exentas: puede determinar qué aplicaciones están exentas de aplicar la política WIP al crear el perfil de protección dedatos. Categorice como exenta cualquier aplicación que no admita datos con cifrado deWIP. Si una aplicación noadmite el cifrado deWIP, se detiene al intentar acceder a datos corporativos cifrados. Las políticas WIP no se aplicana las aplicaciones exentas. Las aplicaciones exentas pueden acceder a datos personales no cifrados y a datoscorporativos cifrados. Puesto que las aplicaciones de esta categoría pueden acceder a datos corporativos sin aplicarla política WIP, estas aplicaciones deben incluirse en la lista blanca con cautela. Las aplicaciones exentas abrenbrechas en la protección de datos y filtran datos corporativos.

l No permitidas: estas aplicaciones no se incluyen en la lista blanca ni están exentas de cumplir las políticas WIP, y nopueden acceder a datos corporativos cifrados. Las aplicaciones no permitidas pueden, aun así, acceder a datospersonales en un dispositivo con protección WIP.

Importante: el perfil de protección de datos requiereWindows Information Protection (WIP). Esta función requiere laActualización de aniversario deWindows. Es aconsejable probar este perfil antes de implementarlo en la producción.


67



Configuración de un perfil de protección de datos (escritorio de Windows)

Cree el perfil de protección de datos (vista previa) y use la característica Microsoft Windows Information Protection paraestablecer que los usuarios y las aplicaciones puedan acceder a los datos de su organización solamente en redes yaplicaciones aprobadas. Puede establecer controles detallados sobre la protección de datos.

Para configurar el perfil de protección de datos empresariales:


2. SeleccioneWindows y luego la plataforma de escritorio de Windows.




5. Seleccione la carga útil Protección de datos empresariales.

6. Configure los ajustes de Protección de datos empresariales:

Ajuste Descripción

Agregar Seleccione agregar aplicaciones empresariales a la lista permitida de la empresa.

Se confía en las aplicaciones que se agregan aquí para utilizar los datos empresariales.

Tipo deaplicación

Seleccione si la aplicación es una aplicación de escritorio tradicional o una aplicación de la TiendaWindows.

También puede seleccionar un editor de aplicaciones para aplicaciones de escritorio o de la tienda.Si selecciona un editor, todas sus aplicaciones se incluirán en la lista blanca.

Nombre Escriba el nombre de la aplicación. Si es una aplicación de la TiendaWindows, seleccione el icono debúsqueda ( ) para buscar el nombre de familia de paquete (PFN) de la aplicación.

Identificador Introduzca la ruta del archivo para una aplicación de escritorio o el nombre de familia de paquetepara una aplicación de la tienda.

Exenta Seleccione la casilla de verificación si la aplicación no es compatible con la protección de datoscompleta pero es necesario que acceda a los datos empresariales. Si habilita esta opción, laaplicación queda exenta de cumplir las restricciones de protección de datos. Suelen seraplicaciones heredadas que aún no se han actualizado para que admitan protección de datos.

La creación de exenciones da lugar a brechas en la protección de datos. Cree exenciones solo si esnecesario.


68



Ajuste Descripción

Redes protegidas

Dominioprimario

Introduzca el dominio primario que utilizan sus datos empresariales.

Solo las aplicaciones empresariales pueden acceder a los datos de las redes protegidas. Intentaracceder a una red protegida desde una aplicación que no se encuentra en la lista permitida de laempresa generará una acción de política de conformidad.

Use solo minúsculas para introducir los dominios.

Nombres dedominioprotegidos dela empresa

Introduzca una lista de los dominios (exceptuando su dominio principal) que usa la empresa paralas identidades de sus usuarios. Separe los dominios con un carácter de barra vertical (|).

Use solo minúsculas para introducir los dominios.

Intervalos dedirecciones IPempresariales

Introduzca los intervalos de IP empresariales para definir los dispositivos Windows 10 en la redempresarial.

Los datos que proceden de dispositivos incluidos en el intervalo se consideran parte de la empresay están protegidos. Estas ubicaciones se consideran un destino seguro para el uso compartido dedatos empresariales.

Nombres dedominios dela redempresarial

Introduzca una lista de los dominios quemarcan los límites de la red empresarial.

Los datos procedentes de un dominio de la lista que se envían a un dispositivo se consideran datosempresariales y están protegidos. Estas ubicaciones se consideran un destino seguro para el usocompartido de datos empresariales.

Servidoresproxyempresariales

Introduzca la lista de servidores proxy que puede usar la empresa para recursos corporativos.

Recursos deEnterpriseCloud

Introduzca una lista de los dominios de recursos empresariales alojados en la nube que necesitanprotección mediante el enrutamiento a través de la red empresarial con un servidor proxy (en elpuerto 80).

En el caso de queWindows no pueda determinar si permite que una aplicación se conecte a unrecurso de la red, bloqueará la conexión automáticamente. Si desea queWindows permita lasconexiones de forma predeterminada, agregue la cadena /*AppCompat*/ al ajuste. Porejemplo:

www.air-watch.com | /*AppCompat*/

Agregue la cadena /*AppCompat*/ solo una vez para cambiar el ajuste predeterminado.

Políticas de cumplimiento

Nivel deprotección delos datos dela aplicación

Establezca el nivel de protección y las acciones que se realizan para proteger los datosempresariales.


69



Ajuste Descripción

Mostrariconos deEDP

Habilite esta opción para mostrar un icono de EDP ( ) en el navegador web, explorador dearchivos e iconos de la aplicación al acceder a datos protegidos. El icono también semuestra enventanas de aplicaciones exclusivamente empresariales en el menú Inicio.

Revocar alanular lainscripción

Habilite esta opción para revocar las claves de protección de datos de un dispositivo cuando seanule su inscripción en AirWatch.

Descifradodel usuario

Habilite esta opción para permitir que los usuarios seleccionen cómo se guardan los datos al usaruna aplicación habilitada. Pueden seleccionar Guardar como corporativo o Guardar comopersonal.

Si esta opción no está habilitada, todos los datos guardados al usar una aplicación habilitada seguardarán como datos corporativos y se cifrarán con cifrado corporativo.

Accesodirecto a lamemoria

Habilite esta opción para permitir que los usuarios accedan directamente a la memoria deldispositivo.

Certificadoderecuperaciónde datos

Cargue el certificado del sistema de archivos de cifrado especial para utilizarlo con el fin derecuperar archivos, en caso de pérdida o daño de la clave de cifrado. Para obtener másinformación, consulte Creación de un certificado de sistema de cifrado de archivos (escritorio deWindows) en la página 70.


Creación de un certificado de sistema de cifrado de archivos (escritorio de Windows)

El perfil de protección de datos cifra los datos empresariales y permite el acceso solo a los dispositivos aprobados. Creeun certificado EFS para cifrar los datos de su empresa protegidos mediante un perfil de protección de datos.

Para crear un certificado EFS:

1. En un ordenador sin certificado EFS, abra una línea de comandos (con derechos de administrador) y navegue hasta elalmacén de certificados en el que quiere almacenar el certificado.

2. Ejecute el comando:

cipher /r:<EFSRA>

El valor de <EFSRA> es el nombre de los archivos .cer y .pfx que quiere crear.

3. Cuando se le indique, introduzca la contraseña para proteger el nuevo archivo .pfx.

4. Los archivos .cer y .pfx se crean en el almacén de certificados que seleccionó.

5. Cargue el certificado .cer en los dispositivos como parte del perfil de protección de datos. Para obtener másinformación, consulte Configuración de un perfil de protección de datos (escritorio deWindows) en la página 68.


70



Perfil de Passport for Work (escritorio de Windows)Microsoft Passport ofrece una alternativa segura al uso de contraseñas como medida de seguridad. El perfil de Passportfor Work configura sus dispositivos de escritorio deWindows demanera que los usuarios finales puedan tener acceso alos datos sin tener que introducir una contraseña.

Proteger los dispositivos y las cuentas con nombre de usuario y contraseña crea posibles vulnerabilidades de laseguridad. Los usuarios pueden olvidar una contraseña o compartirla con personas ajenas a la empresa, lo que pone enriesgo los datos corporativos. Con Passport, los dispositivos Windows 10 autentican al usuario demanera segura en lasaplicaciones, los sitios web y las redes en nombre del usuario, sin enviar una contraseña. El usuario no tendrá querecordar las contraseñas, y es menos probable que los ataques de tipo “Man in themiddle” comprometan la seguridad.

Passport requiere que los usuarios verifiquen que poseen un dispositivo Windows 10 antes de autenticarlo mediante PINo la verificación biométrica deWindows Hello. Una vez autenticado con Passport, el dispositivo obtiene accesoinstantáneo a los sitios web, las aplicaciones y las redes.

Importante: Passport for Work requiere la integración de Azure AD para funcionar.

Creación de un perfil de Passport for Work (escritorio de Windows)

Cree un perfil de Passport for Work con el fin de configurarlo para sus dispositivos de escritorio deWindows, demaneraque los usuarios finales puedan tener acceso a las aplicaciones, sitios web y redes sin tener que introducir unacontraseña.

Importante: Los perfiles de Passport for Work solo se aplican a los dispositivos inscritos mediante la integración deAzure AD.

Para configurar un perfil de Passport, siga estos pasos:







71



5. Seleccione el perfil de Passport for Work y configure los ajustes:

Ajuste Descripción

Gesto biométrico Habilite esta opción para permitir que los usuarios finales utilicen los lectoresbiométricos del dispositivo.

Requisitos de PIN

TPM (módulo deplataforma segura)

Ajuste esta opción en Requerir para inhabilitar el uso de Passport si no hay un modo deplataforma segura instalado en el dispositivo.

Longitud mínima delPIN

Introduzca el número mínimo de dígitos que debe contener un PIN.

Longitud máxima delPIN

Introduzca el número máximo de dígitos que debe contener un PIN.

Dígitos Ajuste el nivel de permisos para utilizar dígitos en el PIN.

Mayúsculas Ajuste el nivel de permisos para utilizar letras mayúsculas en el PIN.

Minúsculas Ajuste el nivel de permisos para utilizar letras minúsculas en el PIN.

Caracteres especiales Ajuste el nivel de permisos para utilizar caracteres especiales (! " # $ %& ' ( ) * + , - . / : ; <= > ? @ [ \ ] ^ _ ` { | } ~) en el PIN.


Configuración de un perfil de firewall (escritorio de Windows)El perfil de firewall para los dispositivos de escritorio deWindows le permite configurar los ajustes del firewall deWindowspara los dispositivos. Cuando todos los dispositivos tienen configurado y habilitado el firewall deWindows, la seguridadde la red aumenta considerablemente.

Importante: El perfil de firewall requiere que AirWatch Protection Agent esté instalado en el dispositivo.

Para configurar un perfil de firewall:







72



5. Seleccione el perfil de firewall y configure los ajustes:

Ajuste Descripción

Utilizar los ajustes recomendados para Windows Habilite este ajuste para utilizar los ajustes recomendadospara Windows e inhabilitar el resto de opciones disponiblespara este perfil.

Red privada

Habilitar firewall Habilite esta opción para asegurarse de que el firewall seejecuta en los dispositivos.

Bloquear todas las conexiones entrantes,incluidas aquellas que aparecen en la lista deaplicaciones permitidas

Habilite esta opción para bloquear todas las conexionesentrantes pero permitir las conexiones salientes.

Notificar al usuario cuando el firewall deWindows bloquee una aplicación nueva

Habilite esta opción para permitir que las notificacionesmuestren cuándo el firewall deWindows bloquea unaaplicación nueva.

Red pública

Habilitar firewall Habilite esta opción para asegurarse de que el firewall se estáejecutando en los dispositivos.

Bloquear todas las conexiones entrantes,incluidas aquellas que aparecen en la lista deaplicaciones permitidas

Habilite esta opción para bloquear todas las conexionesentrantes pero permitir las conexiones salientes.

Notificar al usuario cuando el firewall deWindows bloquee una aplicación nueva

Habilite esta opción para permitir que las notificacionesmuestren cuándo el firewall deWindows bloquea unaaplicación nueva.


Configuración de un perfil de modo de aplicación única (escritorio deWindows)El perfil demodo de aplicación única le permite limitar el acceso al dispositivo a una única aplicación. Con el modo deaplicación única, el dispositivo permanece bloqueado en una sola aplicación hasta que la carga útil se elimina. La políticase habilitará después de reiniciar el dispositivo.

Requisitos

El modo de aplicación única tiene restricciones y limitaciones específicas.

l Solo aplicaciones modernas o universales deWindows. El modo de aplicación única no admite aplicaciones .msi o.exe heredadas.

l Los usuarios deben ser solo usuarios estándar locales. No puede ser un usuario de dominio, usuario administrador,cuenta deMicrosoft o invitado. El usuario estándar debe ser un usuario local. No se admiten cuentas de dominio.


73



Procedimiento

Para configurar el perfil demodo de aplicación única:



3. Seleccione Perfil de usuario.



5. Seleccione el perfil demodo de aplicación única.

6. Configure los ajustes delmodo de aplicación única:

Ajuste Descripción

Nombre delaaplicación

Introduzca el nombre común de la aplicación.

En el caso de las aplicaciones deWindows, el nombre descriptivo es el Nombre del paquete o el ID delpaquete.

Debe ejecutar un comando PowerShell para obtener el nombre común de la aplicación instalada en eldispositivo. El comando “Get-AppxPackage” devuelve el nombre común de la aplicación como“nombre”.

7. SeleccioneGuardar y publicar.

Activación del modo de aplicación única

Después de configurar un perfil demodo de aplicación única, debe establecer el modo de aplicación única en eldispositivo.

Para comenzar a utilizar el modo de aplicación única:

1. Después de recibir el perfil del modo de aplicación única en el dispositivo, reinicie este último para comenzar.

2. Cuando se reinicie, se le pedirá que inicie sesión en el dispositivo con la cuenta del usuario estándar.

Al iniciar sesión, la política empieza a aplicarse y ya puede usarse el modo de aplicación única. Si debe salir del modo deaplicación única, presione la tecla Windows 5 veces rápidamente para abrir la pantalla de inicio y así conectarse a unusuario distinto.

Configuración de un perfil de antivirus (escritorio de Windows)Cree un perfil de antivirus para configurar el antivirus Windows Defender nativo en los dispositivos de escritorio deWindows. SiWindows Defender está configurado para todos los dispositivos, tiene la garantía de que los usuarios finalesestán protegidos al utilizar el dispositivo.


74



Importante: El perfil de antivirus requiere que AirWatch Protection Agent esté instalado en el dispositivo. Este perfilsolo configura Windows Defender nativo, no configurará ningún otro antivirus de terceros.

Para configurar el perfil de antivirus:






5. Seleccione el perfil de antivirus.

6. Configure los ajustes de Antivirus:

Ajuste Descripción

Monitoreo en tiemporeal

Habilite esta opción para configurar Windows Defender de forma que supervise eldispositivo en tiempo real.

Configurar intervalopara actualización defirma

Habilite esta opción para configurar el día y la hora que el dispositivo revisa lasactualizaciones para Defender.

Configurar intervalo deanálisis

Habilite esta opción para configurar el intervalo entre los distintos escaneos del sistema.

Puede seleccionar varios tiempos y tipos de análisis. Al habilitar este ajuste, se muestranlos ajustes de Escaneo completo, Escaneo rápido y Escaneo de corrección.

Escaneo completo Habilite esta opción para programar la ejecución de un escaneo completo del sistema.Seleccione la hora y el día específicos.

Escaneo rápido Habilite esta opción para programar la ejecución de un escaneo rápido del sistema.Seleccione la hora y el día específicos.

Escaneo de corrección Habilite esta opción para programar la ejecución de un escaneo de corrección deerrores. Seleccione la hora y el día específicos.

Exclusiones

Exclusiones Seleccione las rutas de archivo o procesos que desea excluir de los escaneos deWindowsDefender.

Seleccione Agregar nuevo para agregar una excepción.


75



Ajuste Descripción

Acción predeterminada de amenaza

Acción predeterminadade amenaza(Desconocida, Baja,Moderada, Alta,Severa)

Establezca la acción predeterminada para los distintos niveles de amenaza encontradosdurante los escaneos.

l Limpiar: Seleccione esta opción para limpiar los problemas que provoque laamenaza.

l Cuarentena: Seleccione esta opción para enviar la amenaza a una carpeta decuarentena.

l Eliminar: Seleccione esta opción para eliminar la amenaza del sistema.

l Permitir: Seleccione esta opción para no eliminar la amenaza.

l Definido por el usuario: Seleccione esta opción para permitir que el usuario decidaqué hacer con la amenaza.

l Ninguna acción: Seleccione esta opción si no desea realizar una acción contra laamenaza.

l Bloquear: Seleccione esta opción para bloquear la amenaza y evitar que acceda aldispositivo.

Avanzado

Factor de carga de laCPU medio del escaneo

Establezca el porcentaje de CPUmedio máximo queWindows Defender puede utilizardurante el escaneo.

Escanear solamente siel modo Inactivo estáhabilitado

Habilite esta opción para restringir Windows Defender para que solo realice el escaneocuando la CPU esté inactiva.

Bloqueo de IU Habilite esta opción para bloquear la interfaz de usuario por completo para que losusuarios finales no puedan cambiar la configuración.

Escaneo completo deactualización

Habilite esta opción para permitir ejecutar un escaneo completo que se interrumpió ono se realizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneoprogramado de forma regular. Estos escaneos programados suelen omitirse porque elordenador estaba apagado a la hora programada.

Escaneo rápido deactualización

Habilite esta opción para permitir ejecutar un escaneo rápido que se interrumpió o no serealizó anteriormente.

Un escaneo de actualización es un escaneo que se inició porque no se realizó un escaneoprogramado de forma regular. Estos escaneos programados suelen omitirse porque elordenador estaba apagado a la hora programada.

Monitoreo decomportamiento

Habilite esta opción para configurar el análisis de virus demanera que envíe un registrode actividad a Microsoft.


76



Ajuste Descripción

Modo de privacidad Habilite esta opción para evitar que los usuarios que no sean administradores muestrenel historial de amenazas.

Sistema de prevenciónde intrusión

Habilite esta opción para configurar la protección de la red contra el aprovechamientode las vulnerabilidades conocidas.

Esta opción le permite a Windows Defender supervisar las conexiones de forma continuae identifica patrones de comportamiento potencialmentemaliciosos. En este sentido, elsoftware se comporta como un detector de virus clásico, solo que escanea el tráfico dered en lugar de archivos.

Analizar correoelectrónico

Habilite esta opción para permitir queWindows Defender escanee los correoselectrónicos.

Analizar unidades dered asignadas

Habilite esta opción para permitir queWindows Defender escanee las unidades de redasignadas a los dispositivos.

Analizar archivos Habilite esta opción para permitir queWindows Defender ejecute un escaneo decarpetas con archivos comprimidos.

Analizar unidadesextraíbles

Habilite esta opción para permitir queWindows Defender escanee las unidadesextraíbles conectadas al dispositivo.

Eliminar archivos encuarentena después de

Establezca durante cuánto tiempo se almacenan los archivos en cuarentena antes deeliminarlos.


Perfil de cifrado (escritorio de Windows)Proteja los datos corporativos almacenados en los dispositivos de escritorio deWindows mediante el perfil de cifrado. Elperfil de cifrado establece la política de cifrado de BitLocker nativo en los dispositivos de escritorio deWindows paragarantizar la protección de los datos.

El cifrado de BitLocker solo está disponible en dispositivos con las versiones Windows 8 Enterprise y Pro, yWindows 10 Enterprise, Education y Pro.

Dado que los portátiles y las tabletas son dispositivos móviles por definición, exponen los datos de su empresa apérdidas o robos. Al exigir una política de cifrado mediante AirWatch, puede proteger los datos del disco duro. BitLockeres el cifrado deWindows nativo y Dell Data Protection | Encryption es una solución de cifrado de terceros de Dell. Con elperfil de cifrado habilitado, AirWatch Protection Agent verifica continuamente el estado de cifrado del dispositivo. Si elagente detecta que el dispositivo no está cifrado, lo cifra automáticamente.

Si decide cifrar con BitLocker, una clave de recuperación creada durante el cifrado se almacena en la consola de AirWatchy en el portal de autoservicio.

El perfil de cifrado requiere que AirWatch Protection Agent esté instalado en el dispositivo.

Aviso: el perfil de cifrado no configura ni habilita Dell Data Protection | Encryption. El estado del cifrado se transmite ala consola de AirWatch y al portal de autoservicio, aunque el cifrado debe configurarsemanualmente en eldispositivo.


77



Advertencia:Windows 10 no es compatible con dispositivos sin teclado en pantalla previo al arranque. Sin el teclado,no puede introducir el código PIN de inicio necesario para desbloquear el disco duro e iniciar Windows en eldispositivo. Si se inserta este perfil en los dispositivos sin un teclado en pantalla previo al arranque, se detiene eldispositivo.

Funcionalidad de BitLocker

El perfil de cifrado utiliza la funcionalidad avanzada de BitLocker para controlar la autenticación e implementación delcifrado de BitLocker.

BitLocker utiliza el módulo de plataforma segura (TPM) en los dispositivos para guardar la contraseña de recuperación deestos con el fin de descifrar los discos duros conectados a la placa base. Si se retira el disco duro de la placa base, este nopuede descifrarse. Para una autenticación mejorada, puede habilitar un PIN de cifrado que confirme la autenticación delusuario. Asimismo, como alternativa, puede requerir una contraseña para los dispositivos en los casos en los que el TPMno está disponible.

Comportamiento de implementación

El cifrado de BitLocker nativo deWindows protege los datos almacenados en los dispositivos de escritorio deWindows.Implementar el perfil de cifrado requiere acciones adicionales por parte del usuario final.

Aviso: Para que tenga lugar el cifrado de BitLocker en un dispositivo deWindows 8.1, este debe tener habilitado yactivado el TPM. El proceso exacto para habilitar y activar el TPM puede variar de un sistema a otro, peronormalmente se realiza reiniciando el dispositivo y accediendo a los ajustes de seguridad del BIOS.

Dispositivos ya cifrados

Si el perfil de cifrado se inserta en un dispositivo cifrado y la configuración actual de cifrado coincide con la del perfil, elAirWatch Protection Agent añade una clave de recuperación y la envía a la consola de Airwatch. Esta nueva clave derecuperación también se almacena en una base de datos cifrada del dispositivo. Con esta función, si un usuario o unadministrador intenta descifrar el dispositivo, el perfil de cifrado vuelve a cifrarlo con la nueva clave de recuperación. Elcifrado tiene lugar aunque el dispositivo esté sin conexión.

Si el cifrado existente no coincide con la configuración de autenticación del perfil de cifrado, los protectores existentes seeliminan y se aplican nuevos protectores que coincidan con la configuración del perfil de cifrado.

Si el método de cifrado existente no coincide con el perfil de cifrado, AirWatch no interviene en él ni lo sustituye. Estafunción también se aplica si añade una nueva versión del perfil de cifrado a un dispositivo administrado por un perfil decifrado existente. El método de cifrado existente no cambia.

Estado de inscripción

Si BitLocker está habilitado y se está utilizando, puede ver informes de estado sobre el estado de cifrado en las áreassiguientes:

l Tablero de AirWatch

o Los detalles del dispositivo muestran la información de la clave de recuperación.

o La protección de BitLocker semuestra como habilitada.


78



l El Portal de autoservicio de AirWatch

o El portal de autoservicio muestra que la clave de recuperación es almacenada, pero no muestra sus detalles.

o La protección de BitLocker semuestra como habilitada.

Comportamiento de eliminación

Si el perfil se elimina de la consola de AirWatch, AirWatch deja de exigir el cifrado y el dispositivo se descifraautomáticamente. La eliminación empresarial o la desinstalación manual del AirWatch Protection Agent desde el Panel decontrol inhabilita el cifrado de BitLocker.

Si el usuario final decide anular la inscripción durante el proceso de cifrado de BitLocker, el proceso de cifrado continúa amenos que se desactivemanualmente desde el Panel de control.

Configuración de un perfil de cifrado (escritorio de Windows)

Cree un perfil de cifrado para proteger sus datos almacenados en los dispositivos de escritorio deWindows mediante elcifrado de BitLocker nativo.

Para crear un perfil de cifrado:






5. Seleccione el perfil de Cifrado y configure los ajustes:

Ajuste Descripción

Volumencifrado

Utilice el menú desplegable para seleccionar el tipo de cifrado como semuestra a continuación:

l Disco duro completo: cifra todo el disco duro del dispositivo, incluida la partición del sistemaen la que está instalado el sistema operativo.

l Partición del sistema: cifra una partición o unidad en la misma ubicación en queWindows estáinstalado y desde la cual se inicia.

Cifrar solo elespacioutilizadodurante elcifradoinicial

Habilitar para restringir el cifrado de BitLocker solo al espacio utilizado en el controlador en elmomento del cifrado.


79



Ajuste Descripción

DirecciónURL de clavederecuperación

Introduzca la dirección URL quemostrar en la pantalla bloqueada que redirige a los usuarios paraque obtengan la clave de recuperación.

Es aconsejable introducir la dirección URL del portal de autoservicio, ya que AirWatch aloja la clavede recuperación ahí.

Ajustes de autenticación de BitLocker

Modo deautenticación

Seleccione el método para autenticar el acceso a un dispositivo con cifrado de BitLocker.

l TPM: utiliza el módulo de plataforma segura de dispositivos. Requiere un TPM en eldispositivo.

l Contraseña: utiliza una contraseña para la autenticación.

Exigir PIN decifrado aliniciar sesión

Seleccione la casilla de verificación para exigir a los usuarios que introduzcan un PIN paradesbloquear el dispositivo. Esta opción bloquea el arranque del SO y la reanudación automáticadesde los modos de suspensión o hibernación hasta que el usuario introduzca el PIN correcto.

Utilizarcontraseña siel TPM noestádisponible

Seleccione esta casilla de verificación para utilizar una contraseña como solución alternativa aldescifrado del dispositivo si el TPM no está disponible.

Si este ajuste no está habilitado, cualquier dispositivo sin un TPM no puede cifrar.

Longitudmínima de lacontraseña

Seleccione el número mínimo de caracteres que debe contener una contraseña.

Aparece si la opciónModo de autenticación está establecida como Contraseña o si la opciónUtilizar contraseña si TPM no está disponible está habilitada.

Ajustes de claves de recuperación estática de BitLocker

Crearcontraseñaestática deBitLocker

Seleccione la casilla de verificación si hay habilitada una clave de recuperación estática.

Contraseñaderecuperaciónde BitLocker

Seleccione el icono Generar ( ) para generar una nueva clave de recuperación.

Período derotación

Introduzca el número de días hasta que rote la clave de recuperación.

Periodo degracia

Introduzca el número de días tras la rotación que seguirá funcionando la clave de recuperaciónanterior.


80



Ajuste Descripción

Suspensión de BitLocker

Habilitarsuspensiónde BitLocker

Seleccione la casilla de verificación para habilitar la suspensión de BitLocker. Esta funcionalidadsuspende el cifrado de BitLocker durante un período de tiempo específico. Utilice esta función parasuspender BitLocker cuando haya actualizaciones programadas, demodo que los dispositivospuedan reiniciarse sin exigir a los usuarios finales que introduzcan el PIN o la contraseña de cifrado.

Tipo desuspensiónde BitLocker

Seleccione el tipo de suspensión.

l Horario: seleccione la introducción del momento específico en el que BitLocker debesuspenderse. A continuación, defina la repetición del horario como diaria o semanal.

l Personalizado: seleccione la introducción del día y la hora de inicio y fin de la suspensión deBitLocker.

Hora deinicio de lasuspensiónde BitLocker

Introduzca la hora a la que debe iniciarse la suspensión de BitLocker.

Hora definalizaciónde lasuspensiónde BitLocker

Introduzca la hora a la que debe finalizar la suspensión de BitLocker.

Tipo derepeticiónprogramada

Defina si las repeticiones de la suspensión programada deben ser diarias o semanales. Si selecciona“Semanal”, indique los días de la semana en los que debe repetirse la programación.


Configuración de un perfil de actualizaciones de Windows (escritorio deWindows)Cree un perfil de actualizaciones deWindows con el fin de administrar los ajustes de actualizaciones deWindows para losdispositivos de escritorio deWindows. El perfil asegura que todos los dispositivos tengan las actualizaciones másrecientes, lo quemejora la seguridad de la red y de los dispositivos.

Importante: Para utilizar los ajustes avanzados, el perfil de Actualizaciones deWindows requiere queAirWatch Protection Agent esté instalado en el dispositivo.

Para aplicar un perfil de actualizaciones deWindows:





81





5. Seleccione el perfil de actualizaciones de Windows.

6. Configure los ajustes de actualizaciones deWindows. El perfil admite dispositivos con Windows 8.1 y Windows 10.Los ajustes difieren en función del sistema operativo. Para dispositivos con Windows 10, configure los ajustessiguientes:

Ajuste Descripción

Bifurcación y aplazamiento

Origen de actualización deWindows

Seleccione el origen de las Actualizaciones deWindows:

l Servicio deMicrosoft Update: seleccione esta opción para utilizar elservidor de actualizaciones predeterminado deMicrosoft.

l WSUS corporativo: seleccione esta opción para utilizar un servidorcorporativo e introducir la dirección URL del servidor WSUS y el grupoWSUS.

Para que este ajuste surta efecto, el dispositivo debe contactar con elWSUS al menos una vez.

Elegir WSUS corporativo como origen permite al administrador de TI ver lasactualizaciones instaladas y el estado de los dispositivos del grupo WSUS.

Actualizar rama Seleccione la rama de actualización que se debe seguir para lasactualizaciones.

l La opción Rama actual realiza la suscripción a las actualizaciones actualesdeMicrosoft.

l La opción Rama actual de negocios permite a las organizaciones retrasarlas nuevas funciones y actualizaciones de seguridad.

Aplazar el período deactualizaciones de funciones endías

Seleccione el número de días que aplazar las actualizaciones de la funciónantes de instalar las actualizaciones en el dispositivo.

Aplazar actualizaciones defunciones

Habilite esta opción para aplazar todas las actualizaciones de funcionesdurante 60 días o hasta que se inhabilite. Este ajuste anula el de Aplazar elperíodo de actualizaciones de funciones en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas yque, normalmente, se instalaría según sus ajustes de aplazamiento.

Período de actualizaciones decalidad del aplazamiento en días

Seleccione el número de días que aplazar las actualizaciones de calidad antesde instalar las actualizaciones en el dispositivo.


82



Ajuste Descripción

Aplazar actualizaciones decalidad

Habilite esta opción para aplazar todas las actualizaciones de calidad durante60 días o hasta que se inhabilite. Este ajuste anula el de Período deactualizaciones de calidad del aplazamiento en días.

Utilice esta opción para aplazar una actualización que ocasiona problemas yque, normalmente, se instalaría según sus ajustes de aplazamiento.

Habilitar ajustes para versionesanteriores de Windows

Seleccione habilitar los ajustes de aplazamiento para las versiones anterioresdeWindows. Algunos de los ajustes son:

l Posponer las nuevas funciones (meses)

l Posponer las nuevas actualizaciones (semanas)

l Posponer aplazamientos

Comportamiento durante la instalación de actualizaciones

Actualizaciones automáticas Establezca cómo se gestionan las actualizaciones de la opción Actualizar ramaseleccionada:

l Instalar actualizaciones automáticamente.

l Instalar las actualizaciones, pero permitir al usuario programar elordenador.

l Instalar las actualizaciones automáticamente y reiniciar a la hora definida.

l Instalar las actualizaciones automáticamente e impedir que los usuariosmodifiquen los ajustes del panel de control.

l Buscar actualizaciones, pero permitir que el usuario elija si deseadescargarlas e instalarlas.

l Nunca buscar actualizaciones (No se recomienda).

Hora de inicio de horas activas Introduzca la hora de inicio de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esashoras.

Tiempo de finalización de horasactivas

Introduzca el tiempo de finalización de las horas activas.

Defina las horas activas para evitar que el sistema se reinicie durante esashoras.

Políticas de actualización

Permitir servicio de actualización Permite las actualizaciones desde el servicio público de actualizaciones deWindows.

No permitir este servicio puede provocar problemas con la TiendaWindows.

Permitir actualizaciones de MU Permite las actualizaciones desdeMicrosoft Update.


83



Ajuste Descripción

Actualizar otros productos deMicrosoft cuando Windows seesté actualizando

Permite que otros productos deMicrosoft se actualicen al actualizarWindows.

Instalar las actualizacionesfirmadas de las entidades deterceros

Permite la instalación de actualizaciones de terceros aprobados.

Compilaciones de Insider Permite la descarga de compilaciones de Insider deWindows 10.

Actualizaciones aprobadas por el administrador

Requerir aprobación deactualizaciones

Habilite esta opción para requerir que se aprueben las actualizaciones antesde descargarlas en el dispositivo.

Habilite esta opción para requerir que el administrador apruebeexplícitamente las actualizaciones antes de descargarlas en el dispositivo. Estaaprobación se realiza mediante grupos de actualizaciones o mediante laaprobación individual de actualizaciones.

Esta opción exige aceptar todos los términos de uso requeridos en nombre delos usuarios finales para poder insertar la aplicación en los dispositivos. Si esnecesario aceptar términos de uso, semuestra un cuadro de diálogo detérminos de uso.

Para aprobar actualizaciones, navegue a Ciclo de vida > Actualizaciones deWindows. Para obtener más información, consulte Aprobación deactualizaciones deWindows en la página 88.

Actualizaciones autoaprobadas Habilite esta opción para establecer grupos de actualizaciones cuya descargaen los dispositivos del usuario final se aprueba automáticamente.

Esta opción exige aceptar todos los términos de uso requeridos en nombre delos usuarios finales para poder insertar la aplicación en los dispositivos. Si esnecesario aceptar términos de uso, semuestra un cuadro de diálogo detérminos de uso.

Aplicación Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de aplicaciones en los dispositivosasignados.

Semuestra si la opción Actualizaciones autoaprobadas está habilitada.

Conectores Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de conectores de Office 365 en losdispositivos asignados.


Críticas Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones críticas en los dispositivos asignados.



84



Ajuste Descripción

Definición Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de definiciones deWindows Defender enlos dispositivos asignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de quesus dispositivos mantengan la protección deWindows Defender. Esta opciónestá habilitada de forma predeterminada.


Kit de desarrollador Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones del kit de desarrollador en losdispositivos asignados.


Feature Pack Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de paquetes de características en losdispositivos asignados.


Instrucciones Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de instrucciones en los dispositivosasignados.

Seguridad Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de seguridad en los dispositivosasignados.

Es aconsejable establecer esta opción en Permitidas para asegurarse de quesus dispositivos semantengan protegidos. Esta opción está habilitada deforma predeterminada.

Service Pack Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de service packs en los dispositivosasignados.


Actualizaciones de herramientas Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones de herramientas en los dispositivosasignados.


Paquetes acumulativos deactualizaciones

Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todos los paquetes acumulativos de actualizaciones en losdispositivos asignados.



85



Ajuste Descripción

General Establezca esta opción en Permitidas para aprobar automáticamente que sedescarguen todas las actualizaciones generales en los dispositivos asignados.


Optimización de entregas

Actualizaciones de igual a igual Permite el uso de descargas de igual a igual de las actualizaciones.

Permitir que se utilice el métodode igual a igual

Seleccione el método de conexión de igual a igual que desea permitir.

Restringir el uso de igual a iguala los miembros que tengan elmismo ID de grupo

Restringe la descarga de igual a igual a los dispositivos que se encuentran en elmismo grupo organizativo.

Intervalo máximo que semantiene cada archivo en lacaché de optimización deentregas (segundos)

Permite definir el número de segundos que un archivo permanece en la cachéde optimización de entregas antes de insertarse en los dispositivos.

La caché de optimización mantiene las actualizaciones disponibles en otrospuntos a los que el dispositivo puede llegar para acelerar la descarga de lasactualizaciones.

Tamaño máximo de la caché quepuede utilizar la optimización deentrega (%)

Introduzca el porcentaje de la caché que puede utilizar la optimización deentregas.

Ancho de banda máximo para lascargas que un dispositivoutilizará entre todas las cargassimultáneas (kB/seg)

Introduzca el ancho de banda de carga máximo, en kB/segundo, que undispositivo utilizará al enviar las actualizaciones a los dispositivos del mismonivel.

Para dispositivos con Windows 8.1, configure los ajustes siguientes:

Ajuste Descripción

Windows 8.1

Actualizaciones administradas por Establezca esta opción en Administrador para configurar la forma en laqueWindows se actualiza. Si se ajusta en Usuario, no se sustituyen losajustes del dispositivo.

Instalar actualizaciones importantesautomáticamente

Exige que todas las actualizaciones automáticas importantes seinstalen automáticamente.

Instalar actualizaciones recomendadasautomáticamente

Exige que todas las actualizaciones automáticas recomendadas seinstalen automáticamente.

Configuración avanzada de ProtectionAgent

Configura los ajustes avanzados del perfil de actualizacionesautomáticas deWindows.


86



Ajuste Descripción

Origen de actualización de Windows Seleccione el origen de las Actualizaciones deWindows:

l Opción predeterminada deMicrosoft: seleccione esta opción parautilizar el servidor de actualizaciones predeterminado deMicrosoft.

l WSUS corporativo: seleccione esta opción para utilizar un servidorcorporativo e introducir la dirección URL del servidor WSUS y elgrupo WSUS.

Para que este ajuste surta efecto, el dispositivo debe contactarcon elWSUS al menos una vez.

Elegir WSUS corporativo como origen permite al administrador de TIver las actualizaciones instaladas y el estado de los dispositivos delgrupo WSUS.

Actualizaciones importantes Seleccione las reglas que desea utilizar para las actualizacionesimportantes.

Instalar las actualizacionesrecomendadas de la misma forma quelas actualizaciones importantes

Habilite esta opción para instalar las actualizaciones recomendadascon las mismas reglas que utilizan las actualizaciones importantes.

Actualizar otros productos de Microsoftcuando Windows se esté actualizando

Habilite esta opción para permitir que otros productos deMicrosoftse actualicen al actualizar Windows.


Actualizaciones de Windows

AirWatch admite la revisión y aprobación de actualizaciones en dispositivos con Windows 10. La página de la consola deactualizaciones deWindows enumera todas las actualizaciones disponibles para los dispositivos con Windows 10.

En esta pantalla, puede aprobar actualizaciones y asignarlas a grupos inteligentes específicos demodo que se cumplanlas necesidades de la empresa. La página de la consola muestra todas las actualizaciones con los siguientes datos: fechade publicación, plataforma, clasificación y grupo asignado. Al seleccionar el nombre de la actualización, se abre unaventana con información detallada, un enlace a la página de la base de conocimientos deMicrosoft con la actualización ydatos del estado de la instalación de la actualización.

Vista del estado de actualización

El estado de instalación de la actualización muestra la implementación de la actualización en sus dispositivos.

Para consultar el estado de la implementación de la actualización, seleccione la opción Vista.

Público de pago Descripción

Asignado La actualización se ha aprobado y asignado al dispositivo.

Aprobado La actualización aprobada se ha asignado correctamente al dispositivo.

Disponible La actualización está disponible en el dispositivo para su instalación.


87



Público de pago Descripción

Instalación pendiente La instalación se ha aprobado y está disponible, aunque aún no se ha instalado.

Reinicio pendiente La instalación se ha pausado hasta que el dispositivo se reinicie.

Instalada La actualización se ha instalado correctamente.

Falló La instalación de la actualización ha fallado.

Aprobación de actualizaciones de Windows

Revise y apruebe actualizaciones deWindows para instalarlas en sus dispositivos con Windows 10. Esta función lepermite asegurarse de que sus dispositivos permanezcan actualizados al tiempo que controla la distribución deactualizaciones según las necesidades de la empresa.

Prerrequisitos

Debe publicar un perfil de actualizaciones deWindows con la opción Requerir aprobación de actualizaciones habilitada.

Procedimiento

Para aprobar y asignar una actualización:

1. Navegue a Ciclo de vida > Actualizaciones de Windows.

2. Seleccione la casilla de verificación a la izquierda de la actualización. Seleccione el botón Asignar.

3. Introduzca los grupos inteligentes a los que se les aplicará la actualización.


Para obtener más información sobre la página de la consola de actualizaciones deWindows, consulte Actualizaciones deWindows en la página 87.

Configuración de un perfil de web clips (escritorio de Windows)Un perfil de web clips le permite insertar direcciones URL a los dispositivos de los usuarios finales para que tengan fácilacceso a sitios web importantes.






5. Seleccione el perfil deWeb clips.


88



6. Configure los ajustes deWeb clips:

Ajuste Descripción

Etiqueta Introduzca una descripción para el web clip.

URL Introduzca la dirección URL de destino para el web clip.

Mostrar en Catálogo de aplicaciones Habilite esta opción para mostrar el web clip en el catálogo de aplicaciones.


Perfil de Exchange ActiveSync (escritorio de Windows)Los perfiles de Exchange ActiveSync le permiten configurar los dispositivos de escritorio deWindows para que accedan asu servidor de Exchange ActiveSync y utilicen el correo electrónico y el calendario.

Es muy aconsejable que utilice solo certificados firmados por una entidad de certificación (CA) de terceros que sea deconfianza. Cualquier error en sus certificados hace que las conexiones seguras se vuelvan vulnerables a posibles ataquesde tipo “Man in themiddle” (ataques de intermediarios). Ese tipo de ataques afectan negativamente la confidencialidad yla integridad de los datos que se transmiten entre los componentes del producto, y también les dan la oportunidad a losintrusos de interceptar o alterar los datos mientras están en tránsito. Consulte Configuración de un perfil de credenciales(escritorio deWindows) en la página 58 para más información.

El perfil de Exchange ActiveSync es compatible con el cliente de correo nativo y AirWatch Inbox para escritorio deWindows. La configuración varía según el cliente de correo que utilice.

Importante: La compatibilidad con el cliente de correo nativo solo está disponible para dispositivos Windows 10.

Eliminación de un perfil o eliminación empresarial

Si se elimina el perfil con un comando de eliminación de perfil, una política de conformidad o una eliminaciónempresarial, se eliminan todos los datos de correo electrónico, tales como:

l La información de la cuenta de usuario/inicio de sesión.

l Datos de los mensajes de correo electrónico.

l Información de los contactos y el calendario.

l Adjuntos guardados en el almacenamiento interno de la aplicación.

Nombre de usuario y contraseña

Puede definir el nombre de usuario que los usuarios utilizarán para iniciar sesión en AirWatch Inbox. Puede utilizar ladirección de correo electrónico de ellos o un nombre de usuario de correo electrónico que sea diferente de su propiadirección de correo. Cuando configure la carga útil de Exchange ActiveSync (EAS) en los ajustes del perfil de AirWatchInbox, hay un cuadro de texto deUsuario en la sección de Información de inicio de sesión que puede definir con unvalor de búsqueda predefinido.

Si tiene nombres de usuarios de correo electrónico que difieren de las direcciones de correo de los usuarios, puedeutilizar el cuadro de texto {EmailUserName}, que corresponde a los nombres de usuarios de correo electrónico que seimportaron durante el proceso de integración del servicio de directorio. Incluso aunque los nombres de usuario


89



coincidan con las direcciones de correo electrónico, use el cuadro de texto {EmailUserName}, ya que este utiliza ladirección de correo importada a través de la integración del servicio de directorio.

Configuración de un perfil de Exchange ActiveSync (escritorio de Windows)

Cree un perfil de Exchange ActiveSync para otorgar acceso al servidor de Exchange ActiveSync a los dispositivos WindowsPhone para que utilicen el correo electrónico y el calendario.

Utilice los pasos siguientes con el fin de crear un perfil de configuración para el cliente de correo nativo:


2. SeleccioneWindows y luego la plataforma de Escritorio de Windows.




5. Seleccione la carga útil de Exchange ActiveSync.

6. Configure los ajustes de Exchange ActiveSync:

Ajuste Descripción

Cliente decorreo

Seleccione el cliente de correo que configura el perfil de EAS.

AirWatch es compatible con el cliente de correo nativo y con AirWatch Inbox.

Nombre de lacuenta

Introduzca el nombre para la cuenta de Exchange ActiveSync.

Host deExchangeActiveSync

Introduzca la dirección URL o la dirección IP del servidor que hospeda el EAS.

Utilizar SSL Habilite esta opción para enviar todas las comunicaciones a través de la capade sockets seguros (SSL).

Información de inicio de sesión

Dominio Introduzca el dominio de correo electrónico.

El perfil es compatible con los valores de búsqueda para agregar lainformación de inscripción e inicio de sesión del usuario. Para másinformación, consulte Perfil de Exchange ActiveSync (escritorio deWindows)en la página 89.

Nombre deusuario (ID)

Introduzca el nombre de usuario del correo electrónico.

Dirección decorreoelectrónico

Introduzca la dirección de correo electrónico. Este es un campo requerido.


90



Ajuste Descripción

Contraseña Introduzca la contraseña de correo electrónico.

Certificado deidentidad

Seleccione el certificado de la carga útil de EAS. Consulte la secciónConfiguración de un perfil de credenciales (escritorio deWindows) en lapágina 58 para más información.

Ajuste

El próximointervalo desincronización(min)

Seleccione la frecuencia, en minutos, con la que el dispositivo se sincronizacon el servidor de EAS.

Número dedíastrascurridosde correoparasincronizar

Seleccione cuántos días de correos electrónicos anteriores se sincronizan conel dispositivo.

Registro dediagnósticos

Habilite esta opción para registrar la información con fines de solución deproblemas.

Tipo de contenido

Exigir laprotección dedatos cuandoel dispositivoestébloqueado

Habilite esta opción para exigir que los datos estén protegidos cuando eldispositivo esté bloqueado.

Permitir lasincronizacióndel correoelectrónico

Habilite esta opción para permitir la sincronización de los mensajes de correoelectrónico.

Permitir lasincronizaciónde loscontactos

Habilite esta opción para permitir la sincronización de los contactos.

Permitir lasincronizacióndel calendario

Habilite esta opción para permitir la sincronización de los eventos delcalendario.

7. SeleccioneGuardar para mantener el perfil en la consola de AirWatch o Guardar y publicar para insertarlo en losdispositivos.


91



Cómo configurar un perfil de Exchange ActiveSync (escritorio de Windows)

Cree un perfil de Exchange ActiveSync para otorgar acceso al servidor de Exchange ActiveSync a los dispositivos WindowsPhone para que utilicen el correo electrónico y el calendario. Los ajustes cambian cuando utiliza AirWatch Inbox como elcliente de correo para Windows Phone.

Siga estos pasos para crear un perfil de configuración para AirWatch Inbox:


2. SeleccioneWindows y luego la plataforma de Escritorio de Windows.




5. Seleccione la carga útil de Exchange ActiveSync. La selección predeterminada en el menú desplegable de Cliente decorreo es AirWatch Inbox.

6. Introduzca el host de Exchange ActiveSync. Esa es la información del servidor EAS. Por ejemplo:webmail.airwatchmdm.com.

Ajuste Descripción

Utilizar SSL Habilite esta opción para enviar todas las comunicaciones a través de la capa desockets seguros (SSL).

Utilizar S/MIME Habilite esta opción para almacenar los certificados S/MIME de los usuariosfinales. Esta opción es necesaria para los perfiles habilitados con certificadosS/MIME.

Información de inicio de sesión

Dominio Introduzca el dominio de correo electrónico.

Contenido Introduzca el nombre de usuario del correo electrónico.

Dirección de correo electrónico Introduzca la dirección de correo electrónico. Este es un campo requerido.

Contraseña Introduzca la contraseña de correo electrónico.

Certificado de carga útil Seleccione el certificado de la carga útil de EAS. Consulte la sección Configuraciónde un perfil de credenciales (escritorio deWindows) en la página 58 para másinformación.

Ajuste

Requerir código de acceso Habilite esta opción para exigir un código de acceso cuando abra la aplicación deAirWatch Inbox.


92



Ajuste Descripción

Aplicación Seleccione el tipo de credenciales de inicio de sesión que se requerirán:

l Contraseña

l Nombre de usuario y contraseña

Complejidad Seleccione el nivel de complejidad del código de acceso:

l usuario

l Alfanumérico

Longitud mínima Seleccione el número mínimo de caracteres que debe tener el código de acceso.

Permitir valores simples Habilite esta opción para permitir los códigos de acceso que no cumplan con losrequisitos de complejidad.

Número mínimo de caracterescomplejos

Seleccione el número mínimo permitido de caracteres que no seanalfanuméricos.

Aparece cuando configura Complejidad como Alfanumérico.

Antigüedad máxima Seleccione el número máximo de días que se puede utilizar el código de acceso.

Revisiones Seleccione el número de códigos de acceso antiguos que se guardarán. Si elusuario cambia el código de acceso y coincide con uno de los que estánguardados, el sistema no lo acepta.

Bloquear automáticamentecuando la pantalla deldispositivo se bloquee

Habilite esta opción para bloquear AirWatch Inbox automáticamente cuando eldispositivo se bloquee.

Periodo de gracia Seleccione el número deminutos que la aplicación permanece abierta ydesbloqueada antes de bloquearse automáticamente.

Cantidad máxima de intentosfallidos

Seleccione cuántas veces se puede introducir un código de acceso antes de quese borren los datos de AirWatch Inbox.

Contraseña

Requerir código de acceso Habilite esta opción para exigir un código de acceso cuando abra la aplicación deAirWatch Inbox.

Aplicación Seleccione el tipo de credenciales de inicio de sesión que se requerirán:

l Contraseña

l Nombre de usuario y contraseña

Complejidad Seleccione el nivel de complejidad del código de acceso:

l usuario

l Alfanumérico

Longitud mínima Seleccione el número mínimo de caracteres que debe tener el código de acceso.


93



Ajuste Descripción

Permitir valores simples Habilite esta opción para permitir los códigos de acceso que no cumplan con losrequisitos de complejidad.

Número mínimo de caracterescomplejos

Seleccione el número mínimo permitido de caracteres que no seanalfanuméricos.

Aparece cuando configura Complejidad como Alfanumérico.

Antigüedad máxima Seleccione el número máximo de días que se puede utilizar el código de acceso.

Revisiones Seleccione el número de códigos de acceso antiguos que se guardarán.

Si el usuario final reutiliza una contraseña el número de veces registrado, nopodrá volver a utilizar dicha contraseña.

Bloquear automáticamentecuando la pantalla deldispositivo se bloquee

Habilite esta opción para que AirWatch Inbox se bloquee cuando el dispositivose bloquea.

Periodo de gracia Seleccione la cantidad deminutos que la aplicación permanecerá abierta y sinbloquear antes de bloquearse automáticamente.

Cantidad máxima de intentosfallidos

Seleccione cuántas veces se puede introducir un código de acceso antes de quese borren los datos de AirWatch Inbox.

Restricciones

Inhabilitar copiar y pegar Habilite esta opción para restringir las funciones de copiar/pegar en AirWatchInbox:

l Inhabilita la capacidad de realizar una pulsación prolongada en el texto deun correo y pegarlo en el portapapeles.

l Inhabilita la capacidad de copiar texto fuera del cliente de correo y depegarlo en un mensaje de correo electrónico.

Inhabilitar archivos adjuntos Habilite esta opción para impedir que los usuarios finales puedan abrir archivosadjuntos en la aplicación de AirWatch Inbox.

Tamaño máximo de archivosadjuntos (MB)

Introduzca el tamaño máximo (en MB) que puede tener un archivo adjunto parapoder recibirlo.

Dominios restringidos Habilite esta opción para restringir el flujo de correos a ciertos dominiosespecíficos.

Tipo de restricción Seleccione el tipo de restricción de los dominios de correo electrónico.

Nombre de dominio Seleccione Agregar para agregar un dominio a la lista blanca o a la lista negra.

7. SeleccioneGuardar para mantener el perfil en la consola o Guardar y publicar para insertarlo en los dispositivos.

Perfil de SCEP (escritorio de Windows)Los perfiles de Protocolo de inscripción de certificados simple (SCEP) le permiten instalar certificados demanera silenciosaen los dispositivos sin que el usuario final tenga que intervenir.


94



Aun con códigos de acceso y otras restricciones seguras, la infraestructura sigue siendo vulnerable a la fuerza bruta,ataques de diccionario y errores de sus empleados. Para obtener una seguridad más completa, puede implementarcertificados digitales con los que proteger sus recursos corporativos. Para usar SCEP con el fin de instalar estoscertificados en los dispositivos demanera silenciosa, primero debe definir una entidad de certificación (CA) y luegoconfigurar una carga útil de SCEP, junto con su carga útil de EAS,Wi-Fi o VPN. Cada una de estas cargas útiles tieneajustes para asociar la CA definida en la carga útil de SCEP.

Para insertar certificados en los dispositivos, configure una carga útil de SCEP como parte de los perfiles que configurópara los ajustes de EAS, Wi-Fi y VPN.

Configuración de un perfil de SCEP (escritorio de Windows)

Un perfil de SCEP instala silenciosamente certificados en dispositivos para utilizarlos con la autenticación de losdispositivos.

Para configurar un perfil de SCEP:






5. Seleccione el perfil de SCEP.

6. Configure los ajustes de SCEP:

Ajuste Descripción

Fuente decredenciales

Estemenú desplegable se configura siempre para definir la autoridad de certificación.

Entidad decertificación

Seleccione la autoridad de certificación que desea usar.

Plantilla decertificado

Seleccione la plantilla disponible para el certificado.

Emisor Introduzca el emisor del certificado. El emisor se puede ver en la línea de asunto delcertificado.

Guardar la ubicación Seleccione en qué ubicación de la máquina se almacena el SCEP:

l Usuario de contexto: Guarda el SCEP con el usuario específico.

l Máquina de contexto: Guarda el SCEP para todos los usuarios de la máquina.

7. Configure el perfil deWi-Fi, VPN o EAS.



95



Perfil de control de aplicaciones (escritorio de Windows)Limite las aplicaciones que se pueden instalar en los dispositivos de escritorio deWindows con el perfil de control deaplicaciones. Limitar la instalación de aplicaciones protege sus datos de aplicaciones malintencionadas y evita que losusuarios finales accedan a aplicaciones no deseadas en dispositivos corporativos.

Para permitir o impedir la instalación de aplicaciones en los dispositivos, puede habilitar el control de aplicaciones con elfin de colocar ciertas aplicaciones en listas blancas o en listas negras. Mientras que el motor de conformidad supervisa losdispositivos para confirmar qué aplicaciones se encuentran en la lista blanca y cuáles en la lista negra, el control deaplicaciones evita que los usuarios intenten agregar o eliminar aplicaciones. Por ejemplo, puede impedir que se instale enel dispositivo una aplicación de entretenimiento determinada o permitir la instalación en el dispositivo solo deaplicaciones que se encuentren en la lista blanca. Las aplicaciones incluidas en listas negras e instaladas en losdispositivos antes de que se envíe a estos la carga útil de control de aplicaciones se inhabilitan después de insertar elperfil.

El perfil de control de aplicaciones ayuda a reducir el coste de administración del dispositivo al impedir que el usuarioejecute aplicaciones prohibidas que pueden causar problemas. Al evitar que las aplicaciones causen problemas, sereduce el número de llamadas que debe atender el equipo de soporte.

Configuración de un perfil de control de aplicaciones (escritorio de Windows)

Habilite el control de aplicaciones para colocar ciertas aplicaciones en listas blancas o en listas negras para permitir oimpedir la instalación de aplicaciones en los dispositivos. El control de aplicaciones utiliza las configuraciones deMicrosoft AppLocker para exigir el control de aplicaciones en dispositivos Windows 10.

Prerrequisitos

Para configurar un archivo de configuración XML, debe configurar los ajustes de AppLocker en un dispositivo y exportarel archivo para utilizarlo con el perfil.

El perfil de control de aplicaciones requiere el uso deWindows 10 Enterprise o Education.

Recomendaciones importantes

l Cree políticas utilizando primero el modo de Solo auditoría. Tras verificar la versión Solo auditoría en un dispositivode prueba, cree una versión con el modo Exigir. Si no se prueban las políticas antes de un uso general, losdispositivos pueden quedar inutilizables.

l Cree reglas predeterminadas o cualquier otra regla deseada para su empresa que reduzca la posibilidad de que sebloqueen las configuraciones predeterminadas o se dañen los dispositivos después de reiniciarlos. Para obtener másinformación sobre cómo crear reglas, consulte el artículo deMicrosoft TechNet sobre AppLocker.

Para configurar un perfil de control de aplicaciones:

1. En el dispositivo de configuración, abra el editor de Política de seguridad local.

2. Navegue a Políticas de control de aplicaciones > AppLocker y seleccione Configurar la aplicación de reglas.


96



3. Habilite la aplicación de Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts seleccionando Aplicarreglas.

4. Cree Reglas ejecutables, Reglas de Windows Installer y Reglas de scripts al seleccionar la carpeta de la derecha,hacer clic con el botón derecho en la carpeta y seleccionar Crear nueva regla.

No se olvide de crear reglas predeterminadas para reducir las posibilidades de bloquear la configuraciónpredeterminada o detener el dispositivo.

5. Después de crear todas las reglas que quiera, haga clic con el botón derecho en AppLocker, seleccione Exportardirectiva y guarde el archivo de configuración XML.

6. En la consola de AirWatch, navegue a Dispositivos > Perfiles > Vista en lista > Agregar y seleccione Agregar perfil.





10. Seleccione la carga útil Control de aplicaciones.

11. Seleccione Importar configuración de muestra de dispositivo y después Cargar para agregar el archivo deconfiguración de políticas.


97




Configuración de un perfil de servicios web de Exchange (escritorio deWindows)Cree un perfil de Servicios web de Exchange para permitir que el usuario final acceda a las infraestructuras de correoelectrónico corporativo y a las cuentas deMicrosoft Outlook desde el dispositivo.

Importante: Durante la configuración inicial, el dispositivo debe disponer de acceso a la instancia interna de ExchangeServer.

Para crear un perfil de Servicios web de Exchange:






5. Seleccione el perfil Servicios web de Exchange y configure los ajustes:

Ajuste Descripción

Dominio Introduzca el nombre del dominio al que pertenece el usuario final.

Servidor de correo electrónico Introduzca el nombre del servidor de Exchange.

Dirección de correo electrónico Introduzca la dirección de la cuenta de correo electrónico.


Al eliminar un perfil de Servicios web de Exchange, se eliminarán todas las cuentas de Outlook del dispositivo.

Creación de un perfil de licencias de Windows (escritorio de Windows)Configure un perfil de licencias deWindows para ofrecer a sus dispositivos Windows 10 una clave de licencia deWindows 10 Enterprise o Windows 10 Education. Utilice este perfil para actualizar los dispositivos que no vienen conWindows 10 Enterprise.

Esta actualización no se puede revertir. Si publica este perfil en dispositivos del programa de BYOD, no puede eliminar lalicencia a través deMDM. Windows 10 solo se puede actualizar siguiendo una ruta de actualización específica:

l DeWindows 10 Enterprise a Windows 10 Education

l DeWindows 10 Home aWindows 10 Education


98



l DeWindows 10 Pro aWindows 10 Education

l DeWindows 10 Pro aWindows 10 Enterprise

Para crear un perfil de licencias deWindows:






5. Seleccione la pestaña Licencias de Windows y configure los siguientes ajustes:

Ajuste Descripción

Edición de Windows Seleccione la edición Enterprise o Education.

Introduzca una clave de licenciaválida

Introduzca la clave de licencia para la edición deWindows que estáutilizando.


Configuración de un perfil de BIOS (escritorio de Windows)Configure los ajustes de BIOS para determinados dispositivos para empresas de Dell con el perfil de BIOS. Este perfilrequiere integración con Dell Command | Monitor.

Para obtener más información sobre la configuración de la integración de Dell Command | Monitor, consulte Integraciónde Dell Command | Monitor en la página 112.

Prerrequisitos

Solo se admiten dispositivos para empresas de Dell específicos. Para obtener más información, consulte la secciónIntegración de Dell Command | Monitor en la página 112.

Procedimiento

Para configurar un perfil de BIOS:






99




5. Seleccione la carga útil de BIOS y configure los siguientes ajustes:

Ajuste Descripción

Contraseña de BIOS Introduzca una contraseña para desbloquear el BIOS del dispositivo.

Este campo es obligatorio.

Chip de TPM SeleccioneHabilitar para habilitar el chip del módulo de plataforma segura del dispositivo.

Virtualización de CPU SeleccioneHabilitar para permitir la virtualización del hardware.

Virtualización de E/S SeleccioneHabilitar para permitir la virtualización de entrada/salida.


Uso de ajustes personalizados (escritorio de Windows)La carga útil de ajustes personalizados es una forma de utilizar la funcionalidad del escritorio deWindows con la queAirWatch no es compatible mediante sus cargas útiles nativas. Si no desea utilizar las nuevas funciones, puede utilizar lacarga útilAjustes personalizados y el código XML para habilitar o inhabilitar manualmente ciertos ajustes.

Requisitos

Debe escribir su propio código SyncML para los perfiles de escritorio deWindows. Microsoft publica un sitio de referenciadel proveedor de servicios de configuración que está disponible en su sitio web.

Los perfiles de ajustes personalizados adjuntan el código apropiado al principio y al final del código. Para ello, debeescribir el código entre cualquiera de estas etiquetas: <Add>, <Replace>, <Delete> o <Get>. Antes de agregar el código alperfil, elimine todos los espacios en blanco del código XML.

Código de ejemplo:

<Replace><CmdID>2</CmdID><Item><Target><LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</Lo

cURI></Target><Meta><Format xmlns="syncml:metinf">chr</Format></Meta><Data>

{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_

htcwkw4rx2gx4!App"}</Data></Item></Replace>

Procedimiento

Para configurar una carga útil personalizada:






100




5. Configure la carga útil apropiada (por ejemplo, Restricciones o Código de acceso).

Puede trabajar con una copia del perfil, guardada en un grupo organizativo de “prueba”, para evitar que hayausuarios afectados antes de que esté listo para Guardar y publicar.

6. Seleccione la carga útilAjustes personalizados y después Configurar. Pegue en el cuadro de texto el XML que hacopiado. El código XML que pegue debe contener todo el bloque de código, desde <[característica]> hasta</[característica]>.

7. Elimine la carga útil configurada originalmente seleccionando la sección de cargas útiles básicas y el botón menos [-].Ahora puedemejorar el perfil agregando el código XML personalizado para la nueva funcionalidad.

Importante: Cualquier dispositivo que no haya sido actualizado a la versión más reciente ignorará cualquiermejora que usted haya creado. Como el código ahora está personalizado, pruebe los perfiles de dispositivos conversiones anteriores para verificar el comportamiento esperado.



101



Capítulo 4:Políticas de conformidad

Resumen de políticas de conformidad 103

Detección de dispositivos comprometidos con atestación deestado 103

102



Resumen de políticas de conformidadEl motor de conformidad es una herramienta automática de AirWatch que garantiza que todos los dispositivos cumplanlas políticas implantadas. Estas pueden incluir ajustes básicos de seguridad, como contraseñas o un periodo mínimo debloqueo de dispositivo. En determinadas plataformas, también puede decidir establecer y exigir determinadas medidas.Tales medidas incluyen configurar la seguridad de la contraseña, incluir determinadas aplicaciones en una lista negra yexigir intervalos de verificación del dispositivo para garantizar que los dispositivos están protegidos y en contacto conAirWatch.

Una vez que se hayan detectado los dispositivos que no cumplen con las políticas de conformidad, el motor deconformidad comenzará a advertir a los usuarios de que necesitan corregir los errores para prevenir accionesdisciplinarias en el dispositivo. Por ejemplo, el motor de conformidad puede enviar un mensaje para notificar al usuarioque su dispositivo no cumple con las políticas de conformidad.

Además, los dispositivos que no cumplen con las políticas de conformidad no pueden tener perfiles de dispositivosasignados ni aplicaciones instaladas. Si no se realizan correcciones en el tiempo especificado, el dispositivo perderáacceso al contenido y funciones que usted defina. Las políticas de conformidad y acciones disponibles varían según laplataforma.

Para obtener más información sobre las políticas de conformidad, como las políticas y acciones que son compatibles conuna plataforma específica, consulte la Guía de VMware AirWatch para la administración de dispositivos móviles,disponible en AirWatch Resources.

Detección de dispositivos comprometidos con atestación de estadoLa atestación de estado escanea los dispositivos durante el inicio para verificar si existen errores en su integridad. Utilicela atestación de estado para detectar dispositivos de escritorio deWindows comprometidos.

En las implementaciones de dispositivos tanto de propiedad corporativa como BYOD, es importante saber que estos nose encuentran comprometidos cuando acceden a los recursos corporativos. El servicio de atestación de estado deWindows accede a la información de arranque de los dispositivos desde la nube a través de comunicaciones seguras. Estainformación semide y revisa en comparación con puntos de datos relacionados para garantizar que el dispositivo seinició como se esperaba y no es víctima de amenazas o ataques contra su seguridad. Estas medidas incluyen arranqueseguro, integridad de código, BitLocker y administrador de arranque.

AirWatch le permite configurar el servicio de atestación de estado deWindows para garantizar la conformidad de losdispositivos. Si alguna de las comprobaciones habilitadas es errónea, el motor de políticas de conformidad de AirWatchtomará las medidas de seguridad según la política de conformidad configurada. Esta funcionalidad le permitemantenerlos datos empresariales protegidos frente a dispositivos comprometidos. Como AirWatch recupera la informaciónnecesaria del hardware del dispositivo y no del sistema operativo, los dispositivos comprometidos se detectan inclusocuando el kernel del sistema operativo está comprometido.

Capítulo 4: Políticas de conformidad

103



Configuración de la atestación de estado para las políticas de conformidad del escritorio de Windows

Mantenga sus dispositivos protegidos utilizando el servicio de atestación de estado deWindows para la detección dedispositivos comprometidos. Este servicio permite que AirWatch revise la integridad de los dispositivos durante su inicioy realice acciones rectificadoras.

Para obtener más información, consulte el artículo deMicrosoft TechNet sobre atestación de estado.

Para utilizar la detección de dispositivos comprometidos:

1. Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows >Atestación de estado de Windows.

2. (Opcional) SeleccioneUsar servidor personalizado si utiliza un servidor local personalizado con Atestación deestado. Introduzca la URL del servidor.

3. Configure los ajustes de Atestación de estado:

Ajuste Descripción

Definición del estado comprometido

Usar el servidorpersonalizado

Seleccione esta opción con el fin de configurar un servidor personalizado para la atestación deestado.

Esta opción requiere un servidor con Windows Server 2016 o posterior.

Si se habilita esta opción, semuestra el campo URL del servidor.

URL del servidor Introduzca la URL de su servidor de atestación de estado personalizado.

Arranque seguroinhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el arranqueseguro esté inhabilitado en el dispositivo.

El arranque seguro obliga al sistema a arrancar en un estado de fábrica confiable. Si elarranque seguro está habilitado, los componentes principales usados para arrancar lamáquina deben tener las firmas criptográficas correctas en las que confía el OEM. El firmwareUEFI comprueba la confianza antes de permitir que se inicie la máquina. El arranque seguroimpide el inicio si detecta cualquier archivo manipulado.

La clave deidentidad AIK noestá presente

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la clave deidentidad AIK no esté presente en el dispositivo.

Si la clave de identidad de la atestación (AIK) está presente en un dispositivo, indica que estetiene un certificado de clave de aprobación (EK). Es más confiable que un dispositivo sincertificado de EK.

Política deprevención deejecución dedatos (DEP)inhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando la prevenciónde ejecución de datos esté inhabilitada en el dispositivo.

La política de prevención de ejecución de datos (DEP) es una función de protección dememoria integrada en el SO del sistema. La política impide la ejecución de código de páginasde datos como montones predeterminados, pilas y bloques dememoria. DEP es obligatoriotanto el hardware como en el software.

BitLockerinhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el cifrado deBitLocker esté inhabilitado en el dispositivo.


104



Ajuste Descripción

Comprobación deintegridad decódigoinhabilitada

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de integridad de código esté inhabilitada en el dispositivo.

La integridad de código es una función que valida la integridad de un controlador o archivo delsistema cada vez que se carga en la memoria. Comprueba los controladores o archivos delsistema no firmados antes de cargarlos en el kernel. Esta comprobación también analiza si hayusuarios con privilegios que ejecuten archivos de sistema modificados mediante softwaremalintencionado.

Antimalware deinicio tempranoinhabilitado

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de antimalware de inicio temprano esté inhabilitada en el dispositivo.

Todas las comprobaciones de antimalware de inicio temprano (ELAM) proporcionanprotección a los ordenadores de la red cuando se inician y al inicializar controladores deterceros.

Verificación de laversión de laintegridad decódigo

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de la versión de la integridad de código falle.

Verificar versiónde laadministración dearranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando lacomprobación de la versión de la administración de arranque falle.

Número deversión deseguridad de laaplicación dearranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número deversión de seguridad de la aplicación de arranque no corresponda al número introducido.

Comprobacióndel número deversión deseguridad deladministrador dearranque

Habilite esta opción para marcar el estado de dispositivo comprometido cuando el número deversión de seguridad del administrador de arranque no corresponda al número introducido.

Configuraciónavanzada

Habilite esta opción para configurar los ajustes avanzados, incluidos los identificadores de laversión de software.

Identificadores de versión del software

Verificación delHash de lapolítica deintegridad decódigo

Habilite esta opción para definir una lista blanca de valores de hash válidos conocidos para elsoftware de integridad de código. Si el hash no es un valor que está en la lista blanca, laconformidad de la atestación de estado falla.


105



Ajuste Descripción

Comprobación dehash de lapolítica deconfiguración delarranque seguro

Habilite esta opción para definir una lista blanca de valores de hash válidos conocidos para elsoftware de configuración de arranque seguro. Si el hash no es un valor que está en la listablanca, la conformidad de la atestación de estado falla.

Comprobación dePCR0

Habilite esta opción para definir una lista blanca demediciones válidas conocidas para elsoftware de comprobación de PCR0. Esta medición comprueba el código de confianza delBIOS para asegurar que no se ha puesto en peligro. Si la medición no es un valor que está en lalista blanca, la conformidad de la atestación de estado falla.



106



Capítulo 5:Aplicaciones para dispositivos deescritorio de Windows

Resumen de las aplicaciones de escritorio de Windows 108

VMware Workspace ONEpara escritorio de Windows 108

Configuración de AirWatch Agent para dispositivos de escritoriode Windows 108

VMware Content Locker para dispositivos de escritorio deWindows 110

VMware Browser para escritorio de Windows 110

107



Resumen de las aplicaciones de escritorio de WindowsPuede utilizar las aplicaciones de AirWatch y las características deMDM de AirWatch para proteger aún más losdispositivos y configurarlos con una mayor funcionalidad.

Utilice VMware Content Locker para proteger el contenido corporativo en los dispositivos móviles e implementeVMware Browser para ofrecer navegación segura en la web a los usuarios finales. Descargue el AirWatch Agent paraWindows con el fin de supervisar los dispositivos a un nivel más detallado.

Para obtener más información sobre la implementación de aplicaciones públicas, internas y compradas, incluido uncatálogo de aplicaciones, consulte la completa Guía de AirWatch para la administración de aplicaciones móviles.

Importante: Todas las aplicaciones públicas implementadas en dispositivos de Escritorio deWindows sonaplicaciones sin administrar. Las aplicaciones sin administrar no pueden insertarse en los dispositivos (los usuariosfinales deben descargar la aplicación por su cuenta), ni tampoco pueden quitarse de los dispositivos medianteeliminación empresarial.

VMware Workspace ONE para escritorio de WindowsCuando la aplicación Workspace ONE está instalada en los dispositivos, los usuarios pueden iniciar sesión enWorkspace ONE para acceder de forma segura al catálogo de aplicaciones que la organización haya habilitado para ellos.Cuando se configura la aplicación con el inicio de sesión único, los usuarios no tienen que volver a introducir suscredenciales de inicio de sesión al lanzar la aplicación.

La interfaz de usuario deWorkspace ONE funciona del mismo modo en teléfonos, tabletas y equipos de escritorio.Workspace ONE se abre en una página de inicio quemuestra los recursos que se han publicado en Workspace ONE. Losusuarios pueden tocar o hacer clic para buscar, agregar y actualizar aplicaciones. Para eliminar una aplicación de lapágina, basta con hacer clic con el botón derecho en ella. Para agregar recursos autorizados, solo tiene que acceder a lapágina del catálogo.

Si una aplicación requiere la inscripción de un dispositivo, Workspace ONE utiliza la administración adaptable para iniciarel proceso para el usuario final. Para obtener más información sobreWorkspace ONE, consulte el artículo “Setting up theVMwareWorkspace ONE Application on Devices” disponible en VMware Identity Manager Documentation Center(https://www.vmware.com/support/pubs/identitymanager-pubs.html).

Configuración de AirWatch Agent para dispositivos de escritorio de WindowsAirWatch Agent para dispositivos de escritorio deWindows viene preconfigurado con AirWatch. Cambie estos ajustescuando necesite que AirWatch Agent se adapte a necesidades determinadas de la empresa.

Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Windows > Escritorio de Windows >Ajustes del Agent para editar los ajustes de AirWatch Agent:

l Configure los ajustes de Agente moderno para que AirWatch Agent transmita los datos deseados a la consola deAirWatch:

Capítulo 5: Aplicaciones para dispositivos de escritorio de Windows

108



https://www.vmware.com/support/pubs/identitymanager-pubs.html

Ajuste Descripción

Intervalo de heartbeat(min)

Define el intervalo con el que AirWatch Agent y la consola de AirWatch confirman que laconexión está disponible y se sincronizan.

Intervalo de muestra dedatos (min)

Define el intervalo con el que AirWatch Agent tomamuestras de datos.

Código de accesoadministrativo

Establece el código de acceso para acceder a los ajustes administrativos del dispositivo.

l Configure los ajustes de AirWatch Protection Agent para garantizar una comunicación rápida entre el dispositivo y laconsola de AirWatch.

Ajuste Descripción

Intervalo demuestra de datos(min)

Define el intervalo con el que AirWatch Protection Agent tomamuestras dedatos.

l Configure los ajustes de Administración remota para permitir la comunicación entre AirWatch Agent y el servidor deadministración remota.

Para obtener más información, consulte la guía VMware AirWatch Remote Management Guide, disponible enAirWatch Resources.

Ajuste Descripción

Pedir permiso Habilite la opción Pedir permiso si quiere pedir al usuario final que acepte o rechace lasolicitud de administración remota del administrador.

o Introduzca unmensaje de petición de permiso que el usuario final verá cuando seenvíe una solicitud remota.

o Introduzca el mensaje de la leyenda de Sí del botón de aceptación que el usuario finalverá en la solicitud de petición de permiso.

o Introduzca el mensaje de la leyenda deNo del botón de rechazo que el usuario finalverá en la solicitud de petición de permiso.

Avanzado Abra estemenú para elegir opciones de configuración adicionales.

Puerto deadministraciónremota

Introduzca el puerto utilizado para la comunicación entre el agente de administraciónremota y el agente de túnel en el dispositivo del usuario final.

Este puerto es el responsable de almacenar en caché las diferentes tramas del dispositivopara utilizarlas con la función de compartir la pantalla. El puerto predeterminado es 7775.Es aconsejable no cambiarlo a menos que su organización use el puerto 7775 para otrosfines.

Nivel del registro dedispositivos

Ajuste el nivel del registro de dispositivos para controlar el nivel de detalle de la aplicaciónde administración remota en el dispositivo.

Ruta de la carpeta deregistro

Defina la ruta de la carpeta de registro en la que la aplicación guarda el archivo de registrode administración remota en el dispositivo.


109



Ajuste Descripción

Mostrar icono debandeja

HabiliteMostrar icono de bandeja para mostrar el applet de administración remota en eldispositivo.

Cantidad máxima desesiones

Introduzca el número máximo de sesiones simultáneas permitidas en un dispositivo.

Cantidad dereintentos

Introduzca el número de reintentos permitidos antes de que los intentos de comunicaciónse detengan.

Frecuencia dereintentos (ensegundos)

Intervalo de tiempo entre intentos de comunicación.

Intervalo deheartbeat (ensegundos)

Introduzca el tiempo (en segundos) que pasa entre las actualizaciones de estado que seenvían desde el dispositivo.

Frecuencia deintentos cuando sepierde la conexión(en segundos)

Introduzca la cantidad de tiempo (en segundos) que pasa entre los intentos pararestablecer la conexión.

VMware Content Locker para dispositivos de escritorio de WindowsVMware Content Locker es una aplicación que permite que los usuarios finales accedan a contenido importante de losdispositivos, al tiempo que garantizan la seguridad de los archivos para la organización.

Desde VMware Content Locker, los usuarios finales tienen acceso al contenido que carga en la consola administrativa, elcontenido procedente de repositorios corporativos sincronizados o su propio contenido personal.

Utilice la consola de AirWatch para agregar contenido, sincronizar repositorios y configurar las acciones que los usuariosfinales pueden realizar en contenido abierto en la aplicación. Estas configuraciones impiden que el contenido se copie,comparta o guarde sin aprobación. Para obtener más información sobre la configuración e implementación deVMware Content Locker, consulte la guía de administración de contenido móvil (MCM), disponible en ResourcesPortal.

VMware Browser para escritorio de WindowsVMware Browser es una aplicación que ofrece una alternativa administrable y segura a los navegadores de web nativos.Puede asegurar la experiencia de navegación en el nivel de aplicación, túnel y sitio web.

Puede configurar VMware Browser para que cumpla necesidades empresariales exclusivas restringiendo el acceso web alos sitios web y proporcionando un portal de Internet seguro para dispositivos de puntos de venta móviles. Proporcionea los usuarios una experiencia unificada de navegación, incluido el soporte para navegación con múltiples pestañas ycuadros de diálogo de JavaScript.

Para obtener más información sobre cómo preparar y configurar VMware Browser para su implementación, consulte laguía VMware AirWatch Browser Guide, disponible en Resources Portal.


110



Capítulo 6:Integración de Dell Command | Monitor

Integración de Dell Command | Monitor 112

Adición de Dell Command | Monitor a AirWatch 112

111



Integración de Dell Command | MonitorIntegre AirWatch con Dell Command | Monitor para mejorar la información que AirWatch recoge de los dispositivos paraempresas de Dell inscritos. Esta integración también le permite seleccionar la configuración del BIOS del dispositivo.

Puntos básicos

La integración con Dell Command | Monitor permitemejorar la administración de los dispositivos para empresas de Dell.Gracias a esta integración, AirWatch proporciona información acerca del estado demantenimiento de la batería deldispositivo y de algunos ajustes del BIOS.

Vea un vídeo introductorio que explica la integración de Dell Command | Monitor y quemuestra el proceso deconfiguración: https://support.air-watch.com/articles/115006430568

Dispositivos compatibles

l Sobremesas Dell OptiPlex™

l Sobremesas y portátiles Dell Precision Workstation™

l Portátiles Dell Latitude™

Adición de Dell Command | Monitor a AirWatch

Para integrar Dell Command | Monitor con AirWatch, agregue el programa como una aplicación Win32 interna en laconsola de AirWatch. Para obtener más información, consulte Adición de Dell Command | Monitor a AirWatch en lapágina 112.

Perfil del BIOS

Configure algunos ajustes del BIOS de los dispositivos para empresas de Dell con un perfil de BIOS. La configuración lepermite controlar la virtualización de hardware y la seguridad del BIOS. Para obtener más información, consulteConfiguración de un perfil de BIOS (escritorio deWindows) en la página 99.

Estado de mantenimiento de la batería

El estado demantenimiento general de una batería afecta a la vida útil de un dispositivo. Gracias aDell Command | Monitor, puede supervisar el estado demantenimiento de las baterías de los dispositivos paraempresas de Dell. Este estado demantenimiento no muestra la carga actual de la batería, pero informa acerca de lacapacidad para mantener la carga, del tiempo necesario para completar una carga y de otros factores expresados comoporcentaje. Según Dell, cualquier batería con un estado demantenimiento por debajo del 75 % debería sustituirse.

Adición de Dell Command | Monitor a AirWatchAgregue Dell Command | Monitor a la consola de AirWatch para mejorar la administración de los dispositivos paraempresas de Dell. El perfil de BIOS requiere esta aplicación antes del envío a los dispositivos.

Capítulo 6: Integración de Dell Command | Monitor

112




Prerrequisitos

Debe permitir que la distribución del software envíe Dell Command | Monitor a los dispositivos.

Procedimientos

Para agregar Dell Command | Monitor:

1. Navegue a la página http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor y descargue la última versión de Dell Command | Monitor.

2. Abra el archivo EXE y seleccione Extraer. Guarde los archivos extraídos en una carpeta.

3. Navegue a la carpeta y busque el archivo MSI.

4. En la consola de AirWatch, agregue el archivo MSI extraído como una aplicación interna. Asegúrese de que define laarquitectura de procesador compatible en 32 o 64 bits según cuál sea el sistema operativo del dispositivo.

En la pestaña Opciones de implementación, defina el campo Privilegios de administrador en Sí.

5. Agregue una asignación de la aplicación a los dispositivos para empresas de Dell.

La aplicación se descargará e instalará en los dispositivos asignados. Además, podrá enviar perfiles de BIOS.

Capítulo 6: Integración de Dell Command | Monitor

113



http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor

http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor

Capítulo 7:Aprovisionamiento de productos paradispositivos de escritorio de Windows

Resumen del aprovisionamiento de productos 115

114



Resumen del aprovisionamiento de productosEl aprovisionamiento de productos le permite crear a través de AirWatch productos que contienen perfiles, aplicaciones yarchivos o acciones (según la plataforma que utilice). Estos productos siguen una serie de reglas, horarios y dependenciascomo directrices para garantizar que los dispositivos permanezcan actualizados con el contenido que necesitan.

El aprovisionamiento de productos también engloba el uso de servidores de retransmisión. Se trata de servidores FTPdiseñados para funcionar como enlace entre los dispositivos y la consola de AirWatch. Cree estos servidores para cadatienda o almacén para guardar el contenido del producto que se distribuya a los dispositivos.

Para obtener más información sobre cómo utilizar el aprovisionamiento de productos con los dispositivos de escritoriodeWindows, consulte la guía Product Provisioning for Windows Desktop Guide, disponible en AirWatch Resources.

Capítulo 7: Aprovisionamiento de productos para dispositivos de escritorio de Windows

115



Capítulo 8:Cómo administrar los dispositivos deescritorio de Windows

Resumen de la administración de dispositivos de escritorio deWindows 117

Tablero de dispositivos 117

Vista de lista de dispositivos 117

Página de detalles de dispositivos de escritorio de Windows 118

Administración remota 119

116



Resumen de la administración de dispositivos de escritorio de WindowsUna vez que los dispositivos se inscriban y configuren, adminístrelos con la consola de AirWatch. Sus herramientas yfunciones de administración le permiten supervisar los dispositivos y realizar funciones administrativas de forma remota.

Puede administrar todos los dispositivos en el tablero de VMware AirWatch. El tablero permite realizar búsquedas yvistas personalizadas que puede utilizar para filtrar y encontrar dispositivos específicos. Esta función simplifica laejecución de funciones administrativas en un conjunto determinado de dispositivos. La Vista en lista de dispositivosmuestra todos los dispositivos que se encuentran actualmente inscritos en su entorno de AirWatch, así como su estado.La página Detalles del dispositivo proporciona información específica de los dispositivos, como los perfiles, lasaplicaciones, la versión de AirWatch Agent y qué versión de servicio OEM está instalada en el dispositivo. También puederealizar acciones remotas en el dispositivo desde la página Detalles del dispositivo que sea específica para tal dispositivo.

Tablero de dispositivosAmedida que se inscriban los dispositivos, podrá verlos y administrarlos desde el Tablero de dispositivos de AirWatch.El Tablero de dispositivos proporciona una vista de alto nivel de toda la flota y permite realizar acciones en cadadispositivo rápidamente.

Puede ver las representaciones gráficas de la información importante de los dispositivos de la flota, tal como el tipo depropiedad de los dispositivos, las estadísticas de conformidad y el análisis de plataformas y sistemas operativos. Puedeacceder a cada conjunto de dispositivos en las categorías presentes seleccione cualquiera de las vistas de datosdisponibles en el Tablero de dispositivos.

En la Vista de lista, puede realizar acciones administrativas: envío demensajes, bloqueo de dispositivos, eliminación dedispositivos y cambio de grupos asociados con el dispositivo.

Vista de lista de dispositivosSeleccioneDispositivos > Vista de lista para ver una lista completa de todos los dispositivos.

La columna Última detecciónmuestra un indicador del número deminutos transcurridos desde el último registro deldispositivo.

Puede seleccionar un dispositivo en la columna Información general en cualquier momento para abrir la página dedetalles del dispositivo.

Además, puede ordenar las columnas y configurar los filtros de información para revisar la actividad del dispositivo segúnla información específica. Por ejemplo, ordene la columna por Estado de conformidad para ver solamente losdispositivos que no están en estado de conformidad y para aplicar medidas solo en ellos. Busque un nombre común onombre de usuario en todos los dispositivos para aislar un dispositivo o usuario específico.

Cómo personalizar el diseño de la Vista de lista de dispositivos

Para ver la lista completa de columnas visibles en la vista Lista de dispositivos, seleccione el botón Diseño y elija laopción Personalizado. Esta vista le permitemostrar u ocultar las columnas de la Lista de dispositivo según suspreferencias.

También hay una opción para aplicar su vista de columnas personalizada a todos los administradores. Por ejemplo,puede ocultar “Numero de activo” de la Lista de dispositivos.

Capítulo 8: Cómo administrar los dispositivos de escritorio de Windows

117



Una vez que haya completado todas las personalizaciones, seleccione el botón Aceptar para guardar sus preferencias yaplicar esta nueva vista de columnas. Puede regresar a la configuración del botón Diseño en cualquier momento pararetocar las preferencias de visualización de las columnas.

Cómo buscar en la Vista de lista de dispositivos

Puede buscar un solo dispositivo para acceder a su información demanera rápida y así tomar medidas o acciones adistancia sobre el dispositivo.

Para realizar una búsqueda, navegue a Dispositivos > Vista de lista, seleccione la barra Buscar en lista e introduzca unnombre de usuario, un nombre común del dispositivo o cualquier otro elemento para identificarlo. Con esta acción seiniciará una búsqueda en todos los dispositivos empleando sus parámetros de búsqueda.

Página de detalles de dispositivos de escritorio de WindowsUtilice la página de detalles del dispositivo para controlar la información detallada del dispositivo y tener acceso rápido alas acciones de administración del usuario y el dispositivo.

Para tener acceso a la página Detalles del dispositivo, puede seleccionar el nombre común del dispositivo en la vista enlista de dispositivos, o bien usar uno de los tableros o cualquiera de las herramientas de búsqueda.

Desde la página de detalles del dispositivo, puede acceder a información específica del dispositivo, la cual aparecedetallada en diferentes pestañas del menú. Cada pestaña del menú contiene información relacionada con el dispositivosegún la implementación de AirWatch.

Acciones remotas

El desplegable deMás acciones de la página Detalles del dispositivo le permite realizar acciones remotas de formainalámbrica en el dispositivo seleccionado.

Las acciones mencionadas varían según ciertos factores como la plataforma del dispositivo, los ajustes de la consola deAirWatch y el estado de inscripción:

l Agregar etiqueta: permite asignar una etiqueta personalizable al dispositivo para identificar algún dispositivoespecial de la flota.

l Aplicaciones (consultas): permite enviar un comando de consulta al dispositivo para obtener una lista de lasaplicaciones instaladas.

l Certificados (consultas): permite enviar un comando de consulta al dispositivo para obtener una lista de lascertificados instalados.

l Cambiar grupo organizativo: permite cambiar el grupo organizativo principal del dispositivo a otro que ya exista.Incluye una opción para seleccionar un grupo organizativo estático o dinámico.

l Eliminar dispositivo: permite eliminar y anular la inscripción de un dispositivo de la consola administrativa. Estaacción no elimina ningún dato del dispositivo, solo su representación en la consola.

l Información del dispositivo (consultas): permite enviar un comando de consulta al dispositivo para obtenerinformación básica tal como el nombre común, la plataforma, el modelo, el grupo organizativo, la versión del sistemaoperativo y el estado de propiedad.


118



l Eliminación total: permite realizar un borrado completo de los datos del dispositivo, que incluyen el correoelectrónico, los perfiles o capacidades deMDM. El dispositivo regresará al estado predeterminado de fábrica. Estoincluye toda la información personal del usuario, si corresponde. Esta acción no se puede deshacer.

l Editar dispositivo: permite editar la información del dispositivo, como Nombre común, Número de activo,Propiedad del dispositivo, Grupo de dispositivos y Categoría del dispositivo.

l Eliminación empresarial: la eliminación empresarial de un dispositivo anula la inscripción y elimina todos losrecursos empresariales, incluidas las aplicaciones y perfiles. Esta acción no se puede anular, y tendrá que inscribirsede nuevo en VMware AirWatch para volver a administrar el dispositivo. Incluye opciones para evitar inscripcionesfuturas, así como un campo Descripción para que pueda agregar detalles importantes sobre la acción.

o La eliminación empresarial no es compatible con los dispositivos unidos a un dominio en la nube.

l Bloquear dispositivo: permite bloquear la pantalla del dispositivo seleccionado para que no se pueda utilizar hastaque lo desbloquee. Incluye los campos opcionalesMensaje, Número de teléfono y Descripción personalizados.

Importante: Al bloquear un dispositivo, el usuario inscrito debe haber iniciado sesión en el dispositivo para que elcomando se procese. El comando de bloqueo bloquea el dispositivo y se debe autenticar nuevamente a todos losusuarios que hayan iniciado sesión en Windows. Si un usuario inscrito ha iniciado sesión en el dispositivo, elcomando de bloqueo de dispositivo bloquea el dispositivo. Si ningún usuario inscrito ha iniciado sesión, el comandode bloqueo de dispositivo no se procesa.

l Consultar todo: permite enviar un comando de consulta al dispositivo para obtener una lista de aplicacionesinstaladas (como VMware AirWatch Agent, si procede), libros, certificados, información del dispositivo, perfiles ymedidas de seguridad.

l Administración remota: permite tomar el control de un dispositivo compatible de forma remota con esta acción. Seiniciará una aplicación en la consola que le permitirá solucionar problemas y proporcionar soporte al dispositivo.

l Seguridad (consultas): permite enviar un comando de consulta al dispositivo para obtener la lista demedidas deseguridad activas (administrador del dispositivo, cifrado, código de acceso, certificados, etc.).

l Enviar mensaje: permite enviar un mensaje al usuario del dispositivo seleccionado. Elija entre Correo electrónico,Notificación push y SMS.

Administración remotaEl servicio de administración remota le permite conectarse de forma remota a los dispositivos de los usuarios finales paraayudar en la solución de problemas y el mantenimiento. El servicio de administración remota requiere que el ordenadory el dispositivo del usuario final se conecten al servidor de administración remota para facilitar la comunicación entre laconsola de AirWatch y el dispositivo del usuario final.

Para obtener más información sobre cómo instalar, configurar y utilizar el servicio de administración remota, consulte laguía VMware AirWatch Remote Management Guide, disponible en el portal de AirWatch Resources.


119



Cómo acceder a otros documentosEs posible que en este documento consulte temas que hacen referencia a otros recursos que no se incluyen aquí.

La forma más rápida y sencilla de buscar un documento concreto es navegar a https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm y buscar el documento que necesite. El documentoespecífico de cada versión tiene un enlace a una copia en PDF en AirWatch Resources.

También puede navegar a AirWatch Resources en myAirWatch (resources.air-watch.com) y realizar la búsqueda. A la horade buscar documentación en Resources, recuerde seleccionar su versión de AirWatch. Puede utilizar los filtros paraclasificar por tipo de archivo PDF y AirWatch v9.2.

Cómo acceder a otros documentos

120



https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

guía de vmware airwatch para la plataforma …...ejemplosdeinscripciónsilenciosa...

Documents