Bloquea el acceso a Windows Update con Intune

Introducción

Si administras entornos corporativos con Microsoft Intune y aún permites que los usuarios finales accedan libremente a Windows Update, estás exponiendo tu organización a reinicios inesperados, actualizaciones no autorizadas e interrupciones operativas que cuestan tiempo, dinero y credibilidad al área de TI. Esta guía te muestra cómo aplicar en minutos una política que elimina ese riesgo de raíz.

Importancia

El acceso descontrolado a Windows Update en dispositivos corporativos es uno de los vectores de incidentes más subestimados en entornos empresariales. Los usuarios que modifican o activan actualizaciones manualmente pueden provocar incompatibilidades con aplicaciones críticas, reinicios fuera de ventanas de mantenimiento y brechas en el ciclo de validación de parches. Gobernar este acceso desde Microsoft Intune es una decisión técnica que impacta directamente en la estabilidad, la seguridad y la madurez operativa del entorno.

Beneficios

Al implementar esta política obtendrás control total sobre quién puede interactuar con Windows Update en los endpoints corporativos, eliminación de reinicios no programados iniciados por el usuario, cumplimiento del ciclo de actualizaciones definido por el área de TI, reducción de incidentes de soporte asociados a actualizaciones no controladas y una postura de gobierno de endpoints alineada con las mejores prácticas de Microsoft.

Requisitos

Para aplicar esta configuración necesitas una licencia de Microsoft Intune, disponible en planes como Microsoft 365 Business Premium o Microsoft 365 E3/E5. Los dispositivos deben ejecutar Windows 10 o Windows 11 y estar enrollados en Intune mediante MDM. Necesitas el rol de Administrador de Intune o Administrador global en el tenant. El portal que utilizarás es el Centro de administración de Microsoft Intune en https://intune.microsoft.com.

Pasos

Paso 1. Accede al portal de Microsoft Intune en https://intune.microsoft.com. En el panel lateral izquierdo selecciona Dispositivos y luego haz clic en Configuración. A continuación haz clic en Crear y selecciona Nueva directiva. En el panel que se abre a la derecha selecciona como Plataforma Windows 10 y posteriores y como Tipo de perfil el Catálogo de configuración. Haz clic en Crear para continuar.

Paso 2. En la sección de Opciones de configuración haz clic en Agregar configuración. En el Selector de configuración escribe «windows update» en el campo de búsqueda. En los resultados por categoría selecciona Windows Update para empresas. Dentro del listado localiza la opción Set Disable UXWU Access y márcala. Una vez agregada, activa el toggle de esa configuración a Habilitado.

Paso 3. Avanza hasta la pestaña de Asignaciones. Haz clic en Agregar grupos dentro de la sección Grupos incluidos y selecciona el grupo de dispositivos o usuarios al que deseas aplicar esta política. Una vez seleccionado el grupo haz clic en Siguiente para continuar.

Paso 4. En la pantalla de Revisar y crear revisa el resumen completo de la política. Verifica que el nombre sea correcto, que la configuración Set Disable UXWU Access esté en estado Habilitado y que las asignaciones sean las esperadas. Cuando todo esté correcto haz clic en Crear para publicar la política.

Preguntas frecuentes

1. ¿Esta política impide que Windows aplique actualizaciones automáticamente? No. Únicamente restringe el acceso visual y manual del usuario a la sección de Windows Update. Las actualizaciones programadas desde Intune por el administrador continúan ejecutándose sin ningún cambio.
2. ¿Funciona en dispositivos unidos a Entra ID? Sí. La política aplica sobre cualquier dispositivo Windows 10 o Windows 11 correctamente enrollado en Intune mediante MDM, independientemente de si está unido a Entra ID o en un esquema híbrido.
3. ¿Qué ve el usuario después de aplicar la política? El usuario encuentra la sección de Windows Update bloqueada en su equipo, sin posibilidad de modificar configuraciones ni iniciar actualizaciones de forma manual.

Conclusión

Implementar esta política desde Microsoft Intune es una de las acciones más directas y de mayor impacto que puedes ejecutar para fortalecer el gobierno de endpoints en tu organización. No se trata de restricción por restricción: se trata de madurez operativa, previsibilidad y seguridad real. Si lideras un equipo de TI, aplica esta configuración hoy y comparte este artículo con otros profesionales. La comunidad técnica crece cuando compartimos lo que funciona.

¡Gracias por tu apoyo! 🙌