Aunque los GPO son la piedra angular de la administración de Windows, se crearon para infraestructuras locales unidas por dominios. Por el contrario, los perfiles de configuración de Intune proporcionan un control más granular y soporte multiplataforma, que son cruciales para la escalabilidad y la gestión eficiente de los endpoints.
Si quieres integrar Intune en tu marco de gestión de TI, esta guía describe el proceso de migración de GPO locales a perfiles de configuración de Intune.
Pasos para la transición de GPO a Intune
Comienza por revisar los siguientes elementos que serán necesarios para completar el proceso de migración.
📌 Requisitos previos:
- Endpoints Windows 10/11 unidos a Azure AD o unidos de forma híbrida
- Licencias de Microsoft Intune asignadas
- Acceso administrativo al Centro de administración de Microsoft Endpoint Manager
- PowerShell 5.1+ o módulo Microsoft Graph (comprueba tu versión de PowerShell)
- Opcional: Habilitar análisis de GPO mediante la herramienta de migración de directivas de grupo
💡 Nota: Algunos pasos pueden variar en función de los valores predeterminados o la configuración del sistema.
Paso 1: Auditar los GPO existentes y priorizar la migración
Para preparar o minimizar las incompatibilidades, compruebea si las políticas activas son compatibles con Intune mediante Análisis de directivas de grupo.
- En el Centro de administración de Microsoft Endpoint Manager, ve a Dispositivos → Análisis de directivas de grupo (Vista previa).
- Importa la copia de seguridad de tu GPO (archivo .xml).
- Revisa el estado de soporte (Soportado, No soportado, Obsoleto).
- Pulsa Win + R, escribe gpmc. msc y pulsa Aceptar para abrir la Consola de administración de directivas de grupo (GPMC) → Copia de seguridad de GPO.
💡 Nota: Identifica los GPO que se aplican a la configuración de seguridad, las políticas de BitLocker, la configuración de Windows Update y el control de aplicaciones y la protección de endpoints. Estos GPO suelen tener homólogos directos en Intune que pueden facilitar la migración.
Paso 2: Crear los perfiles de configuración de Intune equivalentes
A continuación, es el momento de crear el perfil de configuración de Intune correspondiente para las políticas existentes.
- Navega hasta Dispositivos → Perfiles de configuración → Crear perfil.
- Selecciona la plataforma Windows 10 y posteriores. A continuación, selecciona los tipos de perfil:
- Catálogo de ajustes (recomendado)
- Plantillas (para escenarios especializados como BitLocker, Wi-Fi, VPN)
- OMA-URI personalizado (para configuraciones no compatibles)
- Asigna tu configuración GPO heredada a equivalentes de catálogo o entradas OMA-URI cuando sea necesario.
Paso 3: Validar y supervisar la aplicación de las políticas
En esta fase, es importante comprobar el progreso y validar la aplicación de la política de Intune.
1. Comprueba la aplicación de políticas de Intune mediante PowerShell
- Utiliza Buscar 🔎 para abrir el Terminal → PowerShell → Ejecutar como administrador.
- Confirma la configuración de la política activa con el comando Get-MDMPolicyResultantSetOfPolicy | Format-List .
Mientras tanto, también puedes utilizar:
Get-ItemProperty -Path «HKLM:\SOFTWARE
\Microsoft\PolicyManager\current\device\Defender»
Se trata de extraer el valor CSP (Configuration Service Provider) específico.
2. Supervisa la aplicación de políticas de Intune mediante el Visor de eventos
- Pulsa Win + R, escribe eventvwr y pulsa OK para abrir el Visor de eventos.
- Navega hasta Registros de aplicaciones y servicios → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider → Admin.
Dentro de este registro, aplica el filtro correspondiente para identificar rápidamente el estado de aplicación de la política y eventos específicos. También puedes buscar por ID de evento, como 813 u 814, que suelen ser registros asociados a políticas de Intune.
3. Fuerza la aplicación de la política de Intune a través del símbolo del sistema
Para este paso, también puedes utilizar el símbolo del sistema para forzar la sincronización de políticas si es necesario.
- Pulsa Win + R, escribe cmd y pulsa OK para abrir el símbolo del sistema.
- A continuación, ejecuta el siguiente comando:
dsregcmd /status start ms-device-enrollment:?mode=mdm
Forzar la aplicación de políticas suele ser innecesario, ya que los dispositivos Intune se sincronizan automáticamente a intervalos establecidos. Además, normalmente se necesitan privilegios administrativos para ejecutar estos comandos.
Paso 4: Utilizar OMA-URI para ajustes no compatibles o avanzados
Para las configuraciones no incluidas en el catálogo de configuraciones (por ejemplo, políticas heredadas, políticas avanzadas), puedes utilizar perfiles personalizados:
- Crea un perfil personalizado en Intune.
- Utiliza la documentación CSP conocida para aplicar las políticas. Por ejemplo, desactivar el Administrador de tareas:
- OMA-URI: . /Device/Vendor/MSFT/Policy/Config/TaskManager/AllowTaskManager
- Tipo de datos: Entero
- Valor: 0
Esto puede validarse comprobando la ruta de registro correspondiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\TaskManager.
Paso 5: Aplicar líneas de base de seguridad siempre que sea posible
Las líneas de base de seguridad ayudan a reemplazar las configuraciones comunes de GPO, e Intune tiene algunas integradas para Microsoft Defender, Windows 10/11 y Microsoft Edge. Para aplicarlo:
- Ve a Seguridad de endpoints → Líneas base de seguridad.
- Elige una línea de base y asígnala al grupo apropiado.
Estos pasos se recomiendan para complementar los perfiles de configuración y sustituir algunos GPO de uso común.
Paso 6: Gestionar conflictos de políticas y prioridad
En lo que respecta a la prioridad de políticas, las políticas de Intune anulan los GPO en los dispositivos unidos a Azure AD.
- En los dispositivos unidos a Azure AD, las políticas de Intune tienen prioridad.
- En los dispositivos con conexión híbrida , pueden surgir conflictos si tanto GPO como Intune gestionan la misma configuración. En estos casos, prevalece la última escritura.
Para evitar estos problemas, se recomienda abstenerse de duplicar la configuración en GPO e Intune. Puedes utilizar Informes de Intune → Seguridad endpoint → Estado por configuración individual para identificar conflictos de forma proactiva.
Paso 7: Retirar GPO tras una migración correcta
Después de la migración y la validación de políticas, o de asegurarte de que el flujo de trabajo y los activos funcionan según lo previsto en el nuevo entorno, ya puedes empezar a eliminar los GPO.
- Desvincula gradualmente los GPO en GPMC.
- Supervisa los endpoints en busca de desviaciones en la configuración.
- Asegúrate de que todos los ajustes se aplican a través de scripts de Intune o PowerShell
- Mantén los protocolos de copia de seguridad y restauración de GPO .
NinjaOne ayuda a migrar Intune sin problemas
Para los entornos de TI, estos servicios y capacidades de NinjaOne pueden ayudar en la transición:
- Detección de configuraciones no conformes aún aplicadas por GPO heredados.
- Supervisión de las claves de registro y confirmación de la aplicación de las políticas de Intune.
- Despliegue de scripts basados en PowerShell para la aplicación de configuraciones personalizadas.
- Etiquetado de endpoints en función del perfil de políticas (gestionado por GPO vs. gestionado por Intune).
- Proporcionar alertas en tiempo real cuando los ajustes se desvían o no se aplican correctamente.
Para los equipos de TI y los MSP, NinjaOne puede servir como centro de control para validar y reforzar las migraciones de políticas basadas en la nube. Entonces, a escala, NinjaOne puede ser una alternativa directa a Intune al tiempo que proporciona un amplio conjunto de servicios de gestión de endpoints de nivel empresarial en el mismo panel central.
⚠️ Aspectos a tener en cuenta durante la migración a Intune
¿Te falta algo? Ten en cuenta estas situaciones y consejos para gestionar errores, prevenir problemas del sistema y reforzar las políticas.
| Riesgos | Posibles consecuencias | Reversiones |
| El dispositivo no se sincroniza | No se aplica el perfil de Intune | Ejecuta dsregcmd /status y verifica la inscripción en MDM |
| Unión híbrida con GPO en conflicto | GPO aún activo | Utiliza Resultados de políticas de grupo (gpresult) para confirmar el estado de la política |
| Ruta CSP no válida | Fallo OMA-URI | Referencia cruzada con la documentación de Microsoft CSP |
| Retraso del programa de sincronización | Retraso en la aplicación | Iniciar una sincronización manual desde el panel de la cuenta de Acceso al trabajo o a la escuela |
Las herramientas integradas como PowerShell, gpresult, Visor de eventos y registro pueden ayudar a reducir los errores de implementación de políticas de Intune. Solo tienes que asegurarte de que tienes privilegios de acceso y la familiaridad necesaria con las herramientas para diagnosticar y solucionar los problemas de forma eficaz.
Prácticas recomendadas para la migración a Intune
La migración de los GPO a los perfiles de configuración de Intune supone un gran impulso para la gestión de endpoints. Ofrece funciones más sólidas de aplicación de políticas y opciones de personalización, perfectas para organizar los flujos de trabajo modernos.
Teniendo esto en cuenta, es posible que los equipos de TI y los MSP que gestionan entornos de nube e híbridos acaben queriendo más cobertura que la solución propietaria de Microsoft. Si es así, un RMM como NinjaOne puede proporcionar una gestión de endpoints escalable y flexible que puede complementar o incluso sustituir a Intune.
En última instancia, sustituir una herramienta por otra no es la solución definitiva para la gestión de endpoints. En la mayoría de los casos, se trata de construir una pila que soporte eficazmente el entorno actual y siente las bases para el crecimiento y la adaptabilidad.
