Microsoft Intune

Versión de la integración: 3.0

Configurar la integración de Microsoft Intune para que funcione con Google Security Operations

Pasos previos

Para usar esta integración, se necesita la aplicación Azure Active Directory (Azure AD).

Configurar Azure Active Directory

  1. Inicia sesión en el portal de clientes de Azure como usuario con permisos de administrador.
  2. Ve a Azure Active Directory > Registros de aplicaciones > Nuevo registro.
  3. En el formulario de registro, elige un nombre para tu aplicación y los tipos de cuenta admitidos en función de tu entorno.
  4. Haz clic en Registrarse.

Especificar permisos para la aplicación de Azure AD

  1. Ve a la pestaña Permisos de API.
  2. Haz clic en Añadir un permiso.
  3. En una ventana nueva, selecciona Microsoft Graph > Permisos de aplicación.
  4. Para facilitar la búsqueda, en un campo de búsqueda de Seleccionar permisos, escribe managed.
  5. En la pestaña DeviceManagementManagedDevices, selecciona los siguientes permisos:
    1. DeviceManagementManagedDevices.PrivilegedOperations.All\
    2. DeviceManagementManagedDevices.ReadWrite.All
  6. Concede el consentimiento de administrador para los nuevos cambios.

Crear un secreto de cliente para la aplicación de Azure AD

  1. Ve a Certificados y secretos.
  2. En la pestaña Secretos de cliente, haz clic en Nuevo secreto de cliente.
  3. Añade las descripciones necesarias del nuevo secreto.
    Una vez que se haya añadido el secreto, verás sus datos.
  4. Para usar el secreto en la integración, anota el valor del secreto de cliente.\

Completar la configuración

  1. En la página de configuración de la aplicación de Azure AD, ve a la pestaña Información básica.
  2. Proporciona el ID de aplicación (cliente) y el ID de directorio (cliente) de los pasos anteriores.

Una vez que se hayan recogido los datos, se completará la configuración de la aplicación Azure AD para la integración de Microsoft Intune.

Configurar la integración de Microsoft Intune en Google SecOps

Parámetros de integración

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Endpoint de Azure AD Cadena https://login.microsoftonline.com Verdadero Punto final de Azure AD al que conectarse.
Puede ser diferente en función del tipo de inquilino.
Endpoint de Microsoft Graph Cadena https://graph.microsoft.com Verdadero Endpoint de Microsoft Graph al que conectarse.
Puede ser diferente en función del tipo de inquilino.
ID de cliente Cadena N/A Verdadero Especifica el ID de cliente (aplicación) de la aplicación de Azure AD
que se va a usar para la integración.
Valor del secreto de cliente Contraseña N/A Verdadero Especifique el valor del secreto de cliente (no el ID del secreto) de la aplicación de Azure AD
que se va a usar en la integración.
ID de Azure Active Directory Cadena N/A Verdadero Especifica el ID de Azure Active Directory (ID de cliente).
Para encontrarlo, ve a la página de Azure AD > Registro de aplicaciones >
Application you configured for your integration >
ID de directorio (inquilino).
Verificar SSL bool Marcada N/A Si está habilitado, compruebe que el certificado SSL para conectarse
al servidor de Microsoft Intune es válido.

Acciones

Ping

Descripción

Prueba la conectividad.

Parámetros

N/A

Fecha de ejecución

La acción no se está ejecutando en las entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Si la acción se ejecuta correctamente, is_success debe definirse como True. De lo contrario, False.

Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de un libro de jugadas:
Si se realiza correctamente:
print "Successfully connected to the Microsoft Intune service with the provided connection parameters!"

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error crítico, como credenciales incorrectas o pérdida de conectividad:
print "Failed to connect to the Microsoft Intune service! Error: {0}".format(exception.stacktrace) 		General

Mostrar dispositivos gestionados

Descripción

Lista los dispositivos gestionados disponibles en la instancia de Microsoft Intune según los criterios proporcionados.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Teclas de filtro DDL Seleccionar uno

Valores posibles de DDL:
  • deviceName
  • userId
  • operatingSystem
  • osVersion
  • userDisplayName
 Falso Especifica la clave que se debe usar para filtrar los dispositivos gestionados.
Lógica de filtro DDL No especificado

Valores posibles de DDL:
  • Sin especificar
  • Igual
  • Contiene
Falso Especifica la lógica de filtro que se debe aplicar.
La lógica de filtrado se basa en el valor proporcionado en el parámetro Filter Key.
Valor de filtro Cadena N/A Falso Especifica el valor que se debe usar en el filtro.
Si se selecciona Equal, la acción intentará encontrar la coincidencia exacta entre los resultados. Si se selecciona Contains, la acción intentará encontrar resultados que contengan esa subcadena.
Si no se proporciona ningún valor en este parámetro, no se aplicará el filtro.
La lógica de filtrado se basa en el valor proporcionado en el parámetro Filter Key.
Número máximo de registros que se devolverán Entero 50 Falso Especifica cuántos registros quieres devolver.
Si no se proporciona nada, la acción devolverá 50 registros de forma predeterminada.
El valor máximo es de 100 registros.

Fecha de ejecución

La acción no se está ejecutando en las entidades.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Si la acción se ejecuta correctamente (se devuelven datos y la respuesta del servidor es 200 OK), is_success debe tener el valor True.

Resultado de JSON
{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#deviceManagement/managedDevices",
  "@odata.count": 8,
  "value": [
      {
          "id": "a80a77c5-c26f-4def-b350-2b80ae9b5e00",
          "userId": "",
          "deviceName": "CROWDSTRIKEV2",
          "managedDeviceOwnerType": "personal",
          "enrolledDateTime": "2022-03-01T20:42:04Z",
          "lastSyncDateTime": "2022-03-04T04:42:03Z",
          "operatingSystem": "Windows",
          "complianceState": "noncompliant",
          "jailBroken": "Unknown",
          "managementAgent": "mdm",
          "osVersion": "10.0.19043.1526",
          "easActivated": false,
          "easDeviceId": "",
          "easActivationDateTime": "0001-01-01T00:00:00Z",
          "azureADRegistered": null,
          "deviceEnrollmentType": "windowsAutoEnrollment",
          "activationLockBypassCode": null,
          "emailAddress": "",
          "azureADDeviceId": "a80a77c5-c26f-4def-b350-2b80ae9b5e00",
          "deviceRegistrationState": "registered",
          "deviceCategoryDisplayName": "Unknown",
          "isSupervised": false,
          "exchangeLastSuccessfulSyncDateTime": "0001-01-01T00:00:00Z",
          "exchangeAccessState": "none",
          "exchangeAccessStateReason": "none",
          "remoteAssistanceSessionUrl": null,
          "remoteAssistanceSessionErrorDetails": null,
          "isEncrypted": false,
          "userPrincipalName": "",
          "model": "VMware7,1",
          "manufacturer": "VMware, Inc.",
          "imei": "",
          "complianceGracePeriodExpirationDateTime": "2022-10-16T16:36:51Z",
          "serialNumber": "VMware-422238ba4acad659-63a1867ec4889b06",
          "phoneNumber": "",
          "androidSecurityPatchLevel": "",
          "userDisplayName": "",
          "configurationManagerClientEnabledFeatures": null,
          "wiFiMacAddress": "",
          "deviceHealthAttestationState": null,
          "subscriberCarrier": "",
          "meid": "",
          "totalStorageSpaceInBytes": 63766003712,
          "freeStorageSpaceInBytes": 38917898240,
          "managedDeviceName": "",
          "partnerReportedThreatState": "unknown",
          "requireUserEnrollmentApproval": null,
          "managementCertificateExpirationDate": "2023-02-27T08:10:12Z",
          "iccid": null,
          "udid": null,
          "notes": null,
          "ethernetMacAddress": null,
          "physicalMemoryInBytes": 0,
          "deviceActionResults": []
      },
      ...
Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de un libro de jugadas:
Si hay datos disponibles(is_success = true):
print "Successfully found managed device(s) for the provided criteria in the Microsoft Intune instance".​

Si no hay datos disponibles (is_success=false):
print "No managed devices were found for the provided criteria in the Microsoft Intune instance".

Si "Valor del filtro" está vacío (is_success=true):
El filtro no se ha aplicado porque el parámetro "Valor del filtro" tiene un valor vacío.

La acción debería fallar y detener la ejecución de una guía:

Si la clave de filtro es "Seleccionar uno" y la lógica de filtro es "Igual" o "Contiene":
Error al ejecutar la acción List Managed Devices (Lista de dispositivos gestionados). Motivo: debes seleccionar un campo del parámetro Filter Key.

Si se proporciona un valor no válido para el número máximo de registros que se van a devolver o si el valor es superior a 100:
Error al ejecutar la acción List Managed Devices (Lista de dispositivos gestionados). Motivo: "Se ha proporcionado un valor no válido para "Número máximo de registros que se devolverán": <valor proporcionado>. Se debe proporcionar un número positivo comprendido entre 1 y 100".

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:
"Error al ejecutar la acción List Managed Devices. Motivo: {0}''.format(error.Stacktrace)		 General
Tabla de panel de casos

 Nombre: Available Managed Devices (Dispositivos gestionados disponibles)
Columnas:
  • ID
  • ID de usuario
  • Nombre del dispositivo
  • Sistema operativo
  • Estado del cumplimiento
  • Fecha y hora de registro
  • Fecha y hora de la última sincronización
 General

Obtener dispositivo gestionado

Descripción

Obtiene información sobre dispositivos gestionados del servicio Microsoft Intune, incluida información sobre acciones específicas, como localizar un dispositivo (sección deviceActionResults del resultado en JSON).
El nombre de host en el que se va a ejecutar la acción se puede proporcionar como una entidad de Google SecOps o como un parámetro de entrada de la acción. Si el nombre de host se transfiere a la acción tanto como entidad como parámetro de entrada, la acción se ejecutará en el parámetro de entrada. El nombre de host no distingue entre mayúsculas y minúsculas. También se puede proporcionar una acción con el ID de host para ejecutarla.
Si se proporcionan tanto el ID de host como el nombre de host, la acción se ejecutará en el ID de host como prioridad.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de host Cadena N/A Falso Especifica el nombre de host en el que se va a ejecutar la acción. El nombre de host no distingue entre mayúsculas y minúsculas. Si la acción no se ejecuta en una entidad Hostname, puede ejecutarse en Hostname o Host ID. Se pueden definir varios valores como una cadena separada por comas.
ID de host Cadena N/A Falso Especifica el ID del host en el que se va a ejecutar la acción. Si la acción no se ejecuta en una entidad Hostname, puede ejecutarse en Hostname o Host ID. Se pueden definir varios valores como una cadena separada por comas.

Fecha de ejecución

Nombre de host, si se ha proporcionado.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Si la acción se ejecuta correctamente (se encuentra el host y la respuesta del servidor es 200 OK), is_success debe tener el valor True.

Resultado de JSON
{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#deviceManagement/managedDevices/$entity",
  "id": "6caa05f6-563d-4a47-bcd8-e91c5dbab10a",
  "userId": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
  "deviceName": "msintune2",
  "managedDeviceOwnerType": "company",
  "enrolledDateTime": "2023-05-11T09:45:08.6273921Z",
  "lastSyncDateTime": "2023-05-17T06:41:23.6481049Z",
  "operatingSystem": "Windows",
  "complianceState": "compliant",
  "jailBroken": "Unknown",
  "managementAgent": "mdm",
  "osVersion": "10.0.19045.2965",
  "easActivated": false,
  "easDeviceId": null,
  "easActivationDateTime": "0001-01-01T00:00:00Z",
  "azureADRegistered": true,
  "deviceEnrollmentType": "windowsAzureADJoin",
  "activationLockBypassCode": null,
  "emailAddress": "example@example.com",
  "azureADDeviceId": "a5fe5437-cc0e-4ecf-9216-5d60032d149d",
  "deviceRegistrationState": "registered",
  "deviceCategoryDisplayName": "",
  "isSupervised": false,
  "exchangeLastSuccessfulSyncDateTime": "0001-01-01T00:00:00Z",
  "exchangeAccessState": "none",
  "exchangeAccessStateReason": "none",
  "remoteAssistanceSessionUrl": "",
  "remoteAssistanceSessionErrorDetails": "",
  "isEncrypted": false,
  "userPrincipalName": "example@example.com",
  "model": "VMware7,1",
  "manufacturer": "VMware, Inc.",
  "imei": null,
  "complianceGracePeriodExpirationDateTime": "9999-12-31T23:59:59.9999999Z",
  "serialNumber": "VMware-42366cbe5a53838a-d95202d5e9a468c5",
  "phoneNumber": null,
  "androidSecurityPatchLevel": null,
  "userDisplayName": "example_user",
  "configurationManagerClientEnabledFeatures": null,
  "wiFiMacAddress": null,
  "deviceHealthAttestationState": null,
  "subscriberCarrier": "",
  "meid": null,
  "totalStorageSpaceInBytes": 52998176768,
  "freeStorageSpaceInBytes": 27044872192,
  "managedDeviceName": "example_Windows_5/11/2023_11:43 AM",
  "partnerReportedThreatState": "unknown",
  "requireUserEnrollmentApproval": null,
  "managementCertificateExpirationDate": "2024-05-10T00:50:50Z",
  "iccid": "",
  "udid": "",
  "notes": null,
  "ethernetMacAddress": "005056B6FD6F",
  "physicalMemoryInBytes": 0,
  "deviceActionResults": [
      {
          "@odata.type": "#microsoft.graph.locateDeviceActionResult",
          "actionName": "locateDevice",
          "actionState": "pending",
          "startDateTime": "2023-05-17T12:36:50.1982608Z",
          "lastUpdatedDateTime": "2023-05-17T12:36:50Z",
          "deviceLocation": null
      }
  ]
}
Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:

Si se encuentra el host(is_success = true):
Nombre de host proporcionado:
print "Successfully fetched managed device information for hostname: <hosntame>"
ID de host proporcionado:
print "Successfully fetched managed device information for host id: <host id>"

Si los datos no están disponibles (is_success=false):
Nombre de host proporcionado:
print "The following hostname was not found in the Microsoft Intune: <hostname>"
ID de host proporcionado:
print "The following host id was not found in the Microsoft Intune: <host id>"

Si se devuelven varios agentes de Intune para el nombre de host:
print "Se han encontrado varios dispositivos gestionados para el nombre de host proporcionado: <hostname>. Se va a usar el dispositivo gestionado con el lastSyncDateTime más reciente"

La acción debe fallar y detener la ejecución de un cuaderno de estrategias:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error:
"Error al ejecutar la acción "Get Managed Device". Motivo: {0}''.format(error.Stacktrace)		 General

Sincronizar un dispositivo gestionado

Descripción

Sincroniza un dispositivo gestionado con el servicio Microsoft Intune. El nombre de host en el que se va a ejecutar la acción se puede proporcionar como una entidad de Google SecOps o como un parámetro de entrada de la acción. Si el nombre de host se transfiere a la acción como entidad y como parámetro de entrada, la acción se ejecutará en el parámetro de entrada. El nombre de host no distingue entre mayúsculas y minúsculas. También se puede proporcionar una acción con el ID de host para ejecutarla.
Si se proporcionan tanto el ID de host como el nombre de host, la acción se ejecutará en el ID de host de forma prioritaria.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de host CSV N/A Falso Especifica una lista de nombres de host separados por comas en los que se ejecutará la acción. El nombre de host no distingue entre mayúsculas y minúsculas. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en el nombre de host o en el ID de host. Nota: Si se proporcionan tanto el nombre de host como el ID de host, el valor del ID de host tiene prioridad. Se pueden definir varios valores como una cadena separada por comas.
ID de host CSV N/A Falso Especifica una lista de IDs de host separada por comas en la que se va a ejecutar la acción. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en Nombre de host o ID de host. Nota: Si se proporcionan tanto el nombre de host como el ID de host, tiene prioridad el valor del ID de host. Se pueden definir varios valores como una cadena separada por comas.

Fecha de ejecución

Nombre de host, si se ha proporcionado.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Si la acción se ejecuta correctamente (se encuentra el host y la respuesta del servidor es 204), is_success debe tener el valor True.

Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de un playbook:

Si se encuentra al menos un host (is_success = true, si se encuentran TODOS los hosts del ámbito de la alerta, en caso contrario, is_success=false):
Nombre de host proporcionado:
print "Successfully started sync for managed devices with hostnames in the Microsoft Intune: CSV of <hosntame>"
ID de host proporcionado:
print "Successfully started sync for managed devices with host ids in the Microsoft Intune: CSV of <host id>"

Si al menos un host no está disponible (is_success=false):
Nombre de host proporcionado:
print "The following hostnames were not found in the Microsoft Intune: CSV of <hostname>"
ID de host proporcionado:
print "The following host ids were not found in the Microsoft Intune: CSV of <host ids>"

Si se devuelven varios agentes de Intune para el nombre de host (is_success = true):
print "Multiple managed devices were found for the provided hostnames in the Microsoft Intune: <hostnames>. Taking the managed device with the most recent lastSyncDateTime"

Si no se encuentra ninguno de los nombres de host o hosts, o si se devuelve el código de estado 400 para todos (is_success=false):
No se han creado tareas en los hosts proporcionados en Microsoft Intune.

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:

si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:
"Error al ejecutar la acción "Sincronizar dispositivo gestionado". Motivo: {0}''.format(error.Stacktrace)

Si no se proporciona ninguna entidad y tampoco se proporciona ninguna entrada (is_success=false):
Error al ejecutar la acción "Sincronizar dispositivo gestionado". Motivo: no se ha podido iniciar la acción porque no se ha proporcionado el nombre de host ni el ID de host como entidad de Google SecOps o como parámetro de entrada de la acción.		 General

Localizar un dispositivo gestionado

Descripción

Localiza el dispositivo gestionado con el servicio Microsoft Intune. La acción inicia la tarea para comprobar el estado actual de la tarea, ejecuta la acción Get Managed Device (Obtener dispositivo gestionado) y consulta la sección deviceActionResults para ver el estado de la tarea.
El nombre de host en el que se va a ejecutar la acción se puede proporcionar como una entidad de Google SecOps o como un parámetro de entrada de la acción.
Si el nombre de host se transfiere a la acción como entidad y como parámetro de entrada, la acción se ejecutará en el parámetro de entrada. El nombre de host no distingue entre mayúsculas y minúsculas. También se puede proporcionar el ID del host para ejecutar la acción.
Si se proporcionan tanto el ID de host como el nombre de host, la acción se ejecutará en el ID de host como prioridad.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de host Cadena N/A Falso Especifica una lista de nombres de host separados por comas en los que se ejecutará la acción. El nombre de host no distingue entre mayúsculas y minúsculas. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en Nombre de host o ID de host. Nota: Si se proporcionan tanto el nombre de host como el ID de host, el valor del ID de host tiene prioridad. Se pueden definir varios valores como una cadena separada por comas.
ID de host Cadena N/A Falso Especifica una lista de IDs de host separada por comas en la que se va a ejecutar la acción. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en Hostname o Host ID. Nota: Si se proporcionan tanto el nombre de host como el ID de host, el valor del ID de host tiene prioridad. Se pueden definir varios valores como una cadena separada por comas.

Fecha de ejecución

Nombre de host, si se ha proporcionado.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Si la acción se ejecuta correctamente (se encuentra el host y la respuesta del servidor es 204), is_success debe tener el valor True.

Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de un playbook:

Si se encuentra al menos un host(is_success = true, si se encuentran TODOS los hosts del ámbito de la alerta, en caso contrario, is_success=false):
Nombre de host proporcionado:
print "Successfully started locate task for managed devices with hostnames in the Microsoft Intune: CSV of <hosntame>"
ID de host proporcionado:
print "Successfully started locate task for managed devices with host ids in the Microsoft Intune: CSV of <host id>"

Si al menos un host no está disponible (is_success=false):
Nombre de host proporcionado:
print "The following hostnames were not found in the Microsoft Intune: CSV of <hostname>"
ID de host proporcionado:
print "The following host ids were not found in the Microsoft Intune: CSV of <host ids>"

Si se devuelven varios agentes de Intune para el nombre de host (is_success = true):
print "Multiple managed devices were found for the provided hostnames in the Microsoft Intune: <hostnames>. Taking the managed device with the most recent lastSyncDateTime"

Si el código de estado es 400:
Action wasn't able to create a task for the following hosts in the Microsoft Intune: {hostname/hostids}

Si no se ha encontrado ninguno de los nombres de host o hosts, o si el código de estado de todos es 400 (is_success=false):
No se han creado tareas en los hosts proporcionados en Microsoft Intune.

La acción debería fallar y detener la ejecución de un libro de jugadas:

si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:
"Error al ejecutar la acción "Localizar dispositivo gestionado". Motivo: {0}''.format(error.Stacktrace)

Si no se proporciona ninguna entidad ni ninguna entrada (is_success=false):
Error al ejecutar la acción "Localizar dispositivo gestionado". Motivo: no se ha podido iniciar la acción porque no se ha proporcionado el nombre de host ni el ID de host como entidad de Google SecOps o como parámetro de entrada de la acción.
 General

Borrar los datos de un dispositivo gestionado

Descripción

Borrar los datos de un dispositivo gestionado con el servicio Microsoft Intune.
El nombre de host en el que se va a ejecutar la acción se puede proporcionar como una entidad de Google SecOps o como un parámetro de entrada de la acción. Si el nombre de host se transfiere a la acción tanto como entidad como parámetro de entrada, la acción se ejecutará en el parámetro de entrada.
El nombre de host no distingue entre mayúsculas y minúsculas. También se puede proporcionar una acción con el ID de host para ejecutarla.
Si se proporcionan tanto el ID de host como el nombre de host, la acción se ejecutará en el ID de host como prioridad.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de host Cadena N/A Falso Especifica una lista de nombres de host separados por comas en los que se ejecutará la acción. El nombre de host no distingue entre mayúsculas y minúsculas. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en Nombre de host o ID de host. Nota: Si se proporcionan tanto el nombre de host como el ID de host, el valor del ID de host tiene prioridad. Se pueden incluir varios valores en una cadena separada por comas.
ID de host Cadena N/A Falso Especifica una lista de nombres de host separados por comas en los que se ejecutará la acción. El nombre de host no distingue entre mayúsculas y minúsculas. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en Nombre de host o ID de host. Nota: Si se proporcionan tanto el nombre de host como el ID de host, el valor del ID de host tiene prioridad. Se pueden incluir varios valores en una cadena separada por comas.
Conservar datos de registro Casilla Casilla desmarcada Falso Si está habilitada, los datos de registro se conservarán en el dispositivo.
Conservar datos de usuario Casilla Casilla desmarcada Falso Si está habilitada, los datos de usuario se conservarán en el dispositivo.
Persist eSIM Data Plan Casilla Casilla desmarcada Falso Si está habilitada, conserva el plan de datos de la eSIM en el dispositivo.
Código de desbloqueo de Mac OS Cadena N/A Falso Especifica el código de desbloqueo de Mac OS, si procede.

Fecha de ejecución

Nombre de host, si se ha proporcionado.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Si la acción se ejecuta correctamente (se encuentra el host y la respuesta del servidor es 204), is_success debe tener el valor True.

Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:

Si se encuentra al menos un host (is_success = true, si se encuentran TODOS los hosts del ámbito de la alerta; en caso contrario, is_success=false):
Nombre de host proporcionado:
print "Successfully started wipe task for managed devices with hostnames in the Microsoft Intune: CSV of <hosntame>"
ID de host proporcionado:
print "Successfully started wipe task for managed devices with host ids in the Microsoft Intune: CSV of <host id>"

Si al menos un host no está disponible (is_success=false):
Nombre de host proporcionado:
print "The following hostnames were not found in the Microsoft Intune: CSV of <hostname>"
ID de host proporcionado:
print "The following host ids were not found in the Microsoft Intune: CSV of <host ids>"

Si se devuelven varios agentes de Intune para el nombre de host (is_success = true):
print "Se han encontrado varios dispositivos gestionados para los nombres de host proporcionados en Microsoft Intune: <hostnames>. Se va a usar el dispositivo gestionado con el lastSyncDateTime más reciente"

Si no se ha encontrado ninguno de los nombres de host o hosts, o si se ha devuelto el código de estado 400 para todos (is_success=false):
No se han creado tareas en los hosts proporcionados en Microsoft Intune.

La acción debería fallar y detener la ejecución de un libro de jugadas:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:
"Error al ejecutar la acción "Borrar dispositivo gestionado". Motivo: {0}''.format(error.Stacktrace)

Si no se proporciona ninguna entidad ni ninguna entrada (is_success=false):
Error al ejecutar la acción "Borrar dispositivo gestionado". Motivo: no se ha podido iniciar la acción porque no se ha proporcionado el nombre de host ni el ID de host como entidad de Google SecOps o como parámetro de entrada de la acción.		 General

Cambiar la contraseña de un dispositivo gestionado

Descripción

Cambiar la contraseña de un dispositivo gestionado. La acción inicia la tarea para comprobar el estado de la tarea actual, ejecuta la acción Get Managed Device (Obtener dispositivo gestionado) y muestra la sección deviceActionResults para ver el estado de la tarea.
El nombre de host en el que se va a ejecutar la acción se puede proporcionar como una entidad de Google SecOps o como un parámetro de entrada de la acción. Si el nombre de host se transfiere a la acción tanto como entidad como parámetro de entrada, la acción se ejecutará en el parámetro de entrada.
El nombre de host no distingue entre mayúsculas y minúsculas. También se puede proporcionar una acción con el ID de host para ejecutarla.
Si se proporcionan tanto el ID de host como el nombre de host, la acción se ejecutará en el ID de host como prioridad.

Parámetros

Nombre del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de host Cadena N/A Falso Especifica una lista de nombres de host separados por comas en los que se ejecutará la acción. El nombre de host no distingue entre mayúsculas y minúsculas. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en Nombre de host o ID de host. Nota: Si se proporcionan tanto el nombre de host como el ID de host, el valor del ID de host tiene prioridad. Se pueden incluir varios valores en una cadena separada por comas.
ID de host Cadena N/A Falso Especifica una lista de nombres de host separados por comas en los que se ejecutará la acción. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en Nombre de host o ID de host. Nota: Si se proporcionan tanto el nombre de host como el ID de host, el valor del ID de host tiene prioridad. Se pueden incluir varios valores en una cadena separada por comas.

Fecha de ejecución

Nombre de host, si se ha proporcionado.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Si la acción se ejecuta correctamente (se encuentra el host y la respuesta del servidor es 204), is_success debe tener el valor True.

Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de un runbook:

Si se encuentra al menos un host(is_success = true, si se encuentran TODOS los hosts del ámbito de la alerta; en caso contrario, is_success=false):
Nombre de host proporcionado:
print "Successfully started reset task for managed devices with hostnames in the Microsoft Intune: CSV of <hosntame>"
ID de host proporcionado:
print "Successfully started reset task for managed devices with host ids in the Microsoft Intune: CSV of <host id>"

Si no se encuentra al menos un host (is_success=false):
Nombre de host proporcionado:
print "The following hostnames were not found in the Microsoft Intune: CSV of <hostname>"
ID de host proporcionado:
print "The following host ids were not found in the Microsoft Intune: CSV of <host ids>"

Si se devuelven varios agentes de Intune para el nombre de host (is_success = true):
print "Multiple managed devices were found for the provided hostnames in the Microsoft Intune: <hostnames>. Taking the managed device with the most recent lastSyncDateTime"


Si no se encuentra ninguno de los nombres de host o hosts, o si se devuelve el código de estado 400 para todos (is_success=false):
No se han creado tareas en los hosts proporcionados en Microsoft Intune.

La acción debe fallar y detener la ejecución de un cuaderno de estrategias:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:
"Error al ejecutar la acción "Restablecer contraseña del dispositivo gestionado". Motivo: {0}''.format(error.Stacktrace)

Error al ejecutar la acción "Restablecer dispositivo gestionado". Motivo: no se ha podido iniciar la acción porque no se ha proporcionado el nombre de host ni el ID de host como entidad de Google SecOps o como parámetro de entrada de la acción.
 General

Bloquear de forma remota un dispositivo gestionado

Descripción

Bloquear de forma remota el dispositivo gestionado.
La acción inicia la tarea para comprobar el estado actual de la tarea, ejecuta la acción "Get Managed Device" y consulta la sección deviceActionResults para ver el estado de la tarea. El nombre de host en el que se va a ejecutar la acción se puede proporcionar como una entidad de Google SecOps o como un parámetro de entrada de la acción. Si el nombre de host se transfiere a la acción tanto como entidad como parámetro de entrada, la acción se ejecutará en el parámetro de entrada.
El nombre de host no distingue entre mayúsculas y minúsculas. También se puede proporcionar una acción con el ID de host para ejecutarla. Si se proporcionan tanto el ID de host como el nombre de host, la acción se ejecutará en el ID de host como prioridad.
La acción se puede ejecutar en la entidad o en el parámetro de entrada de la acción.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de host Cadena N/A Falso Especifica una lista de nombres de host separados por comas en los que se ejecutará la acción. El nombre de host no distingue entre mayúsculas y minúsculas. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en Nombre de host o ID de host. Nota: Si se proporcionan tanto el nombre de host como el ID de host, el valor del ID de host tiene prioridad. Se pueden incluir varios valores en una cadena separada por comas.
ID de host Cadena N/A Falso Especifica una lista de IDs de host separada por comas en la que se va a ejecutar la acción. Si la acción no se ejecuta en una entidad de nombre de host, puede ejecutarse en Nombre de host o ID de host. Nota: Si se proporcionan tanto el nombre de host como el ID de host, el valor del ID de host tiene prioridad. Se pueden incluir varios valores en una cadena separada por comas.

Fecha de ejecución

Nombre de host, si se ha proporcionado.

Resultados de la acción

Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False

Si la acción se ejecuta correctamente (se encuentra el host y la respuesta del servidor es 204), is_success debe tener el valor True.

Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida* La acción no debe fallar ni detener la ejecución de un playbook:
Si se encuentra al menos un host(is_success = true, si se encuentran TODOS los hosts del ámbito de la alerta, en caso contrario is_success=false):
Nombre de host proporcionado:
print "Successfully started remote lock task for managed devices with hostnames in the Microsoft Intune: CSV of <hostname>"
ID de host proporcionado:
print "Successfully started remote lock task for managed devices with host ids in the Microsoft Intune: CSV of <host id>"

Si al menos un host no está disponible (is_success=false):
Nombre de host proporcionado:
print "The following hostnames were not found in the Microsoft Intune: CSV of <hostname>"
ID de host proporcionado:
print "The following host ids were not found in the Microsoft Intune: CSV of <host ids>"​
Si se devuelven varios agentes de Intune para el nombre de host (is_success = true):
print "Se han encontrado varios dispositivos gestionados para los nombres de host proporcionados en Microsoft Intune: <hostnames>. Se va a usar el dispositivo gestionado con el lastSyncDateTime más reciente"

Si no se ha encontrado ninguno de los nombres de host o hosts, o si se ha devuelto el código de estado 400 para todos (is_success=false):
No se han creado tareas en los hosts proporcionados en Microsoft Intune.

La acción debería fallar y detener la ejecución de un libro de jugadas:
Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:
"Error al ejecutar la acción "Restablecer dispositivo gestionado con bloqueo". Motivo: {0}''.format(error.Stacktrace)

​Error al ejecutar la acción "Restablecer dispositivo gestionado con bloqueo". Motivo: no se ha podido iniciar la acción porque no se ha proporcionado el nombre de host ni el ID de host como entidad de Google SecOps o como parámetro de entrada de la acción.		 General

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.