Guía completa: Cómo configurar Microsoft Intune (2025) — UEM, seguridad y operaciones a escala

Resumen ejecutivo — Intune en 7 ideas

• UEM en la nube para Windows, Android, iOS/iPadOS, macOS y Linux, con cumplimiento y reporting integrados.
• Licenciamiento modular: Plan 1 (núcleo), Plan 2 (capacidades avanzadas) y Intune Suite (Remote Help, EPM, Advanced Analytics, Enterprise App Management, Cloud PKI).
• Inscripción flexible: Autopilot/ESP en Windows; Android Enterprise (Managed Google Play); ADE/ABM en iOS/iPadOS; macOS con perfiles y FileVault.
• Seguridad de endpoint: BitLocker/FileVault, Defender, LAPS, baselines y Settings Catalog con asignaciones granuladas por filtros.
• Apps: Win32 (.intunewin), Microsoft Store (nuevo, con WinGet), y catálogo Enterprise App Management para apps de terceros.
• Actualizaciones: Windows Update for Business + Windows Autopatch para orquestación continua.
• Señales de riesgo de Microsoft Defender for Endpoint para cumplimiento y bloqueo con Acceso Condicional.

Qué es Microsoft Intune y dónde encaja

Microsoft Intune es la plataforma de Unified Endpoint Management (UEM) de Microsoft. Centraliza la gestión de dispositivos y aplicaciones, aplica políticas de configuración y cumplimiento, y alimenta el modelo de Zero Trust con señales y reportes integrados. Se administra desde el Intune admin center y se integra con Microsoft Entra ID (identidad), Microsoft 365 y Microsoft Defender.

Intune convive con herramientas como Configuration Manager (co-gestión) y servicios complementarios (Purview, Defender, Entra). En 2025, el perímetro incluye capacidades avanzadas de la Intune Suite para soporte remoto, privilegios, catálogo de aplicaciones y PKI en la nube.

Quién debe usarlo y roles recomendados

Separar funciones reduce errores y acelera la operación. Usa grupos y scope tags para acotar responsabilidades por región/unidad.

• Intune Administrator / Helpdesk: tareas diarias, soporte remoto, operaciones de apps/políticas.
• Endpoint Security Admin: baselines, Defender, BitLocker/FileVault, LAPS.
• Update Administrator: WUfB, feature updates, calidad y Windows Autopatch.
• App Lifecycle Owner: Win32, MS Store (nuevo), Enterprise App Management.
• RBAC/Plataforma: diseño de roles, scope tags, filtros y policy sets.

Requisitos y licencias (Plan 1/Plan 2/Intune Suite)

Plan 1 cubre la administración base (UEM) y viene incluido en varias suscripciones de Microsoft 365 y EMS. Plan 2 añade funciones avanzadas y está incluido en la Intune Suite, que incorpora Remote Help, Endpoint Privilege Management (EPM), Advanced Analytics, Enterprise App Management y Cloud PKI.

Revisa siempre Planes y precios oficiales y el artículo Novedades de Intune para cambios que afecten compatibilidad o soporte (por ejemplo, versiones mínimas de Company Portal en Android).

Arquitectura: plataformas, gobierno y límites

Intune gestiona Windows 10/11, Android Enterprise, iOS/iPadOS, macOS y Linux (selectivo). Se apoya en Entra ID para grupos/identidades, en Defender para señales de riesgo, y en servicios de actualizaciones (WUfB/Autopatch) para ciclo de vida. Para control de acceso y delegación usa RBAC, scope tags, filtros y conjuntos de políticas.

• Señales de seguridad: integración con Microsoft Defender for Endpoint para riesgo del dispositivo y tareas de seguridad.
• Actualizaciones: Update rings, Feature updates y Windows Autopatch como orquestador gestionado.
• Apps: Win32 (.intunewin), Microsoft Store (nuevo, basado en WinGet), catálogo EAM.
• Certificados: Cloud PKI como PKI administrada (sin servidores on-prem).

Plan de despliegue en 5 fases

1. Fundamentos: licencias, dominios, roles RBAC, scope tags, grupos y nomenclatura.
2. Inscripción: Windows Autopilot/ESP, Android Enterprise (Managed Google Play), ADE/ABM, macOS.
3. Configuración: Settings Catalog y baselines; perfiles de correo, Wi-Fi/VPN, navegadores, restricciones.
4. Seguridad: BitLocker/FileVault, Defender, LAPS, cumplimiento y Acceso Condicional.
5. Operación: apps (Win32/MS Store/EAM), updates (WUfB/Autopatch), reporting/soporte (Remote Help, Advanced Analytics).

Primeros pasos en el portal de Intune

Antes de crear políticas, define quién puede hacer qué y sobre qué objetos. Asegura “mínimo privilegio”, delegación por región/BU y scope tags consistentes.

Checklist inicial

Inscripción de dispositivos — métodos y buenas prácticas

La inscripción establece identidad del dispositivo, canal MDM y base para aplicar apps, configuración y seguridad. Elige ruta por propiedad (corporativo vs. BYOD), plataforma y experiencia de usuario deseada. Estandariza prerequisitos (certificados, tiendas y conectores) y mide resultados con KPIs.

KPIs que importan

• Tiempo a productivo (T2P): desde el primer encendido hasta escritorio utilizable (<45 min deseable en Windows con apps esenciales).
• Tasa de éxito de Autopilot/ADE: >98% por oleada, con reintentos <2%.
• Apps críticas al día 0: VPN/EDR/Office instaladas al finalizar ESP/DPP.

Windows 10/11 — Autopilot + ESP

Para equipos corporativos, Windows Autopilot ofrece cero toque: asigna un perfil (User-Driven/Pre-Provisioning) y usa Enrollment Status Page (ESP) para bloquear el escritorio hasta que se apliquen políticas y apps críticas. La experiencia “Device Preparation” (DPP) reduce fricción en despliegues masivos.

• Prerrequisitos: licencias activas, equipos con UEFI/TPM 2.0, conectividad a servicios de Microsoft y drivers válidos.
• ESP/DPP: marca como blocking solo apps imprescindibles (VPN, EDR, Office); el resto como required en segundo plano.
• Zero touch: pide a fabricantes hash de hardware cargado a tu inquilino para evitar capturas manuales.
• Co-management: si tienes Configuration Manager, activa cogestión o migra por fases con workloads específicos.

Android — Android Enterprise

Vincula Managed Google Play y elige el modo: Work Profile (BYOD), Corporate-Owned Work Profile (COPE), Fully Managed o Dedicated (kiosco). Usa tokens/QR, Zero-Touch (OEM/carrier) o NFC para alta masiva.

• Apps: aprueba desde Google Play administrado y asigna por grupos.
• Restricciones: cámara, portapapeles entre perfiles, USB, orígenes desconocidos.
• BYOD: si no gestionas el dispositivo, usa MAM (App Protection) y, si accede a on-prem, valora Tunnel for MAM.

iOS/iPadOS — ADE y BYOD

Genera el certificado APNs, integra Apple Business Manager y asigna dispositivos a Intune para ADE con supervision. Para BYOD, usa User/Device Enrollment con separación de datos.

• Licencias de apps: integra VPP para compras y asignaciones sin Apple ID personal.
• Wizard: oculta pasos en el Setup Assistant (Apple ID, Siri, etc.) y aplica restricciones iniciales.

macOS

Prioriza ADE + supervisión para habilitar FileVault desde el asistente, configurar System Extensions y PPPC (permisos de privacidad). Prepara Rosetta si tienes apps Intel en Macs Apple Silicon.

Linux (selectivo)

Intune cubre escenarios de escritorio Linux (por ejemplo, Ubuntu LTS/RHEL) con inscripción, requisitos básicos y custom compliance por script. Asegura navegador corporativo y política mínima (cifrado/contraseña).

Antipatrones que rompen despliegues

• Acceso Condicional exigiendo “dispositivo compatible” antes de terminar OOBE → usa Report-only primero y excluye cuentas de emergencia.
• No tener conectores (APNs/VPP/Managed Google Play) listos en piloto.
• ESP con demasiadas apps blocking (más de 5 suele penalizar T2P).

Gestión de aplicaciones — Win32, Microsoft Store (nuevo), EAM y MAM

El objetivo es ofrecer el “catálogo mínimo viable” por rol y mantenerlo actualizado con el menor esfuerzo. Combina tipos de app, dependencias y supersedence, y evita duplicidades (misma app como Store y Win32).

Windows app (Win32) — empaquetado y despliegue

Empaqueta instaladores con el Win32 Content Prep Tool a .intunewin, define install/uninstall commands, reglas de detección (Archivo/Registro), requisitos (SO, arquitectura) y códigos de retorno.

# Empaquetar instalador en .intunewin (ejemplo) # Requiere Microsoft-Win32-Content-Prep-Tool .\IntuneWinAppUtil.exe -c "C:\fuente\MiApp" -s "setup.exe" -o "C:\paquetes"

• Supersedence: marca qué versión sustituye a cuál y si se desinstala la anterior.
• Dependencias: impón orden (por ejemplo, Visual C++ antes de la app).
• Entrega: usa Delivery Optimization y políticas de cache local cuando sea posible.

Microsoft Store (nuevo)

Publica apps de Store con backend WinGet sin la antigua Business Store. Ventajas: instalación/actualización gestionada, menos empaquetado, mejor inventario. Ideal para apps comunes (Edge, 7-Zip, etc.).

Enterprise App Management (EAM)

En la Intune Suite, EAM ofrece catálogo curado de apps de terceros (Win32) con detecciones y despliegues preconfigurados. Reduce el esfuerzo de packaging, acelera ESP/Autopilot y estandariza actualizaciones.

MAM — App Protection Policies

Protege datos a nivel de app (PIN/biometría, impedir copiar/pegar, almacenamiento corporativo, borrado selectivo), con o sin inscripción MDM. Recomendado para BYOD. Complementa con App Configuration (per-app) y condiciones de CA para exigir MAM.

Microsoft Tunnel for MAM

Ofrece VPN por app en dispositivos no inscritos (Android/iOS) para acceder a intranet/API sin MDM. Requiere configurar el servidor Tunnel y asignar la app cliente en móviles.

Política de catálogo por rol (patrón)

• Core (bloqueantes ESP/DPP): EDR, VPN, Office, navegador corporativo.
• Recomendadas (required en background): impresoras, herramientas internas.
• Opcionales (Company Portal): utilidades y apps por demanda.

Configuración y endurecimiento — Settings Catalog, baselines y OMA-URI

La clave es claridad (qué cambia y por qué), idempotencia (repetible) y rollback documentado. Prioriza Settings Catalog y Endpoint security; usa baselines como acelerador y OMA-URI solo para cubrir huecos.

Settings Catalog

• Busca por palabra clave (ASR, BitLocker, Bluetooth, Credential Guard) y agrupa ajustes por área.
• Apunta a grupos + filters (fabricante, modelo, propiedad, build SO) para minimizar conflictos.
• Separa Device targeting y User targeting en perfiles distintos.

Security Baselines

• Usa la baseline de Windows/Edge/Defender como base y documenta tus desviaciones.
• Evita superponer la misma área (ej.: Firewall en baseline y otro perfil a la vez).

OMA-URI (CSP) cuando haga falta

Si un ajuste no está expuesto, aplica OMA-URI. Ejemplo (Windows Hello timeouts, ASR granular, etc.). Mantén un perfil “custom” pequeño por dominio funcional y versiona en Git.

Buenas prácticas operativas

• Nomenclatura consistente: WIN-SEC-BitLocker-Prod, MAC-SEC-FileVault-Prod.
• Un perfil por área (cifrado, firewall, navegador, USB) en lugar de “mega perfiles”.
• Dev → Pilot → Prod con filtros para aislar modelos o builds conflictivos.

Endpoint Security — cifrado, EDR, contraseñas locales

El área de Endpoint security concentra las políticas críticas (cifrado, AV/EDR, ASR, firewall, cuentas locales). Aquí es donde materializas tu postura Zero Trust en el endpoint.

BitLocker (Windows) y FileVault (macOS)

• BitLocker: perfil de Disk encryption, cifrado silencioso con TPM, recuperación en Intune, inicio con PIN si lo exige tu amenaza, y rotación de claves tras recuperación.
• FileVault: habilita durante Setup Assistant (ADE) para evitar brechas; escrow y rotación de claves de recuperación en Intune.

Microsoft Defender for Endpoint (AV/EDR) + ASR + Firewall

• Antivirus/EDR: políticas de Antivirus, tamper protection activada, exclusiones mínimas y revisadas.
• ASR: bloquea macros maliciosas, credential stealing y living-off-the-land (empieza en modo auditar → imponer).
• Firewall: reglas por perfil y bloqueo de entradas no solicitadas; registra tráfico para análisis.

Windows LAPS (Local Administrator Password Solution)

Elimina contraseñas locales fijas: LAPS rota automáticamente y guarda en Entra/AD. Define caducidad, complejidad y quién puede leerla. Aplícalo desde Account protection.

Secuencia sugerida

1. Activa Defender (AV/EDR) y Tamper Protection.
2. Aplica ASR y Firewall en auditoría → bloqueo.
3. Impón cifrado (BitLocker/FileVault).
4. Habilita LAPS y revisa accesos a la contraseña.

Cumplimiento, señales de riesgo y Acceso Condicional

Las políticas de cumplimiento emiten un veredicto (compliant/non-compliant) que Entra ID consume en Acceso Condicional. Con Defender integrado, añade el riesgo del dispositivo como condición automática de bloqueo.

Políticas de cumplimiento — base por plataforma

• Windows: cifrado requerido, Secure Boot, versión mínima, Defender activo y actualizado.
• Android/iOS: sin root/jailbreak, bloqueo con PIN/biometría, versión mínima, app Company Portal reciente.
• macOS: FileVault activo, versión mínima, XProtect habilitado.
• Linux: requisitos de contraseña/cifrado y custom compliance por script si aplica.

Riesgo de dispositivo (MDE) → Cumplimiento → Acceso Condicional

Marca no conformes los dispositivos con riesgo >= Medio/Alto y usa una política de CA “Require device to be marked as compliant” (empieza en Report-only). Excluye cuentas de emergencia, valida con registros de inicio de sesión y activa en producción por oleadas.

Patrones que funcionan

• CA + MAM en BYOD: si no cumple, acceso solo desde apps administradas o navegador corporativo.
• Bloque sin política: evita que dispositivos sin política queden “compliant por defecto” creando una política base para Todos los usuarios.

Actualizaciones — WUfB y Windows Autopatch

Estandariza tu estrategia con Update rings (calidad), Feature updates (versión objetivo) y monitorización. Si quieres delegar orquestación de Windows/M365 Apps/Edge/Teams, añade Windows Autopatch.

Windows Update for Business (WUfB)

• Update rings: diferidos, reinicios y pausas por anillo (Pilot → First → Broad).
• Expedite: acelera instalación de parches críticos fuera de ciclo.
• Feature updates: fija versión (p. ej., Windows 11 24H2) y estabiliza la flota.

Windows Autopatch

• Servicio gestionado: crea anillos, coordina componentes Microsoft y reporta salud.
• Ideal si priorizas menor carga operativa con telemetría consolidada.

Patrón recomendado

1. Define anillos con objetivos de adopción (ej.: Pilot 5%, First 20%, Broad 75%).
2. Bloquea versión de feature deseada y revisa safeguard holds antes de avanzar.
3. Usa expedite para vulnerabilidades críticas y revisa impacto post-parche.

Informes, diagnóstico y resolución de problemas

La operación diaria requiere visibilidad y herramientas de soporte. Intune integra informes de cumplimiento, configuración y actualizaciones, y añade capacidades de diagnóstico remoto y ayuda asistida.

Informes integrados

• Compliance: estado por política, plataforma y grupo; exporta CSV para auditoría.
• Configuration: éxito/fracaso por perfil, conflictos y métricas por dispositivo.
• Windows Update reports: adopción de parches/versión y errores de instalación.
• Endpoint analytics: tiempo de arranque, salud de apps y proactive remediations.

Soporte y diagnóstico

• Device diagnostics: recopila paquetes de logs remotos para análisis.
• Remote Help: sesiones seguras con RBAC y registro, incluso en ciertos no inscritos.
• Acciones remotas: sincronizar, reiniciar, borrado selectivo/completo, reset protegido.

Antipatrones

• No registrar cambios (quién/cuándo/por qué): usa repositorio Git y versionado.
• Analizar solo fallos: vigila tendencias (tiempo de ESP, % reintentos, apps lentas).

Intune Suite — capacidades que marcan la diferencia

Remote Help

Soporte remoto seguro (Windows/Android) con sesiones autenticadas, RBAC, registros y opción en dispositivos no inscritos. Habilita el conector y permisos en Tenant administration.

Endpoint Privilege Management (EPM)

Sustituye “hacer admin” por elevaciones controladas de acciones/apps aprobadas, con auditoría y caducidad.

Advanced Analytics

Visibilidad avanzada, anomalías, device timeline y consultas para diagnóstico proactivo.

Cloud PKI

PKI gestionada por Microsoft para emitir/renovar certificados (Wi-Fi/VPN, SCEP/PKCS) sin servidores on-prem. Modelos root CA cloud o BYOCA.

Enterprise App Management (EAM)

Catálogo de apps de terceros listo para usar, con actualizaciones y compatibilidad con Autopilot/ESP.

Gobernanza en Intune — RBAC, scope tags, filtros y policy sets

Define RBAC (roles integrados o personalizados), aplica scope tags para segregar objetos por región/BU y usa filters para apuntar con precisión (por fabricante, versión, propiedad). Empaqueta entregables con policy sets (apps+políticas) para “landing zones” repetibles.

Automatización — Microsoft Graph y PowerShell

Estándar de oro: repositorio por entorno (dev/pre/prod), pipelines con aprobación y artefactos de estado (JSON/CSV). Usa Microsoft Graph PowerShell para exportar/crear políticas, apps y asignaciones.

Conectar a Graph y listar dispositivos

# Requiere Microsoft.Graph Install-Module Microsoft.Graph -Scope CurrentUser Connect-MgGraph -Scopes "DeviceManagementApps.ReadWrite.All","DeviceManagementConfiguration.ReadWrite.All","DeviceManagementManagedDevices.Read.All"
Dispositivos administrados

Get-MgDeviceManagementManagedDevice -Top 50 | Select-Object deviceName, operatingSystem, complianceState

Empaquetado Win32 en CI/CD (esqueleto)

# .azure-pipelines.yml (extracto) steps: - task: PowerShell@2 displayName: 'Empaquetar Win32' inputs: targetType: 'inline' script: | .\IntuneWinAppUtil.exe -c "$(Build.SourcesDirectory)\MiApp" -s "setup.exe" -o "$(Build.ArtifactStagingDirectory)\out"

Mejores prácticas — 80/20 que funcionan

• Dev → Pilot → Prod: publica primero en grupos piloto con filtros por modelo/versión.
• Menos es más: 1 baseline por SO + 1 perfil de refuerzo. Evita duplicar ajustes.
• ESP bien afinado: apps de bloqueo solo las imprescindibles; el resto como required en background.
• Riesgo MDE en cumplimiento + Acceso Condicional para cortar riesgo real.
• Updates: separa calidad de feature; usa Autopatch si buscas menos operación.
• Cloud PKI para Wi-Fi/VPN sin servidores y con renovación automática.

Errores comunes y cómo evitarlos

• Todo a la vez: desplegar políticas masivas sin piloto genera conflictos. Itera en oleadas.
• ESP sobrecargado: bloquear con 20 apps entorpece el primer arranque; limita a 3–5 críticas.
• Sin Managed Google Play/ADE: sin estas integraciones, Android/iOS no escalan.
• Sin cifrado ni LAPS: deja puertas abiertas. Activa BitLocker/FileVault y LAPS desde el inicio.

Preguntas frecuentes — configuración de Intune

Enlaces oficiales — documentación y portales

• ¿Qué es Microsoft Intune?
• Planes y precios de Intune (oficial)
• Licencias disponibles para Intune
• Apple MDM Push certificate (APNs)
• Android Enterprise y Managed Google Play
• Empaquetar apps Win32 (.intunewin)
• Microsoft Store (nuevo) en Intune
• Gestionar Windows Update en Intune
• Documentación de Windows Autopatch
• Intune + Microsoft Defender for Endpoint
• Windows LAPS en Intune
• Microsoft Cloud PKI (Intune)
• RBAC en Intune
• Filtros de asignación

Conclusión orientada a negocio — Intune como palanca de control y experiencia de usuario

Implantar Microsoft Intune con enfoque por fases y automatización reduce drásticamente el riesgo operativo, acelera el time-to-value de dispositivos y aplicaciones, y mejora la experiencia de usuario (menos fricción, soporte proactivo). Con Intune + Defender + Entra, el endpoint se integra en tu estrategia Zero Trust y en métricas de negocio: menos incidencias, tiempos de provisión medibles y cumplimiento verificable.