Instala actualizaciones de seguridad de Windows durante OOBE con Intune
Uno de los riesgos más frecuentes en un despliegue moderno no es la falta de herramientas, sino el tiempo: el usuario enciende el equipo, inicia sesión y comienza a trabajar… con una versión de Windows que puede no traer los últimos parches de seguridad. Ese “gap” inicial abre exposición, genera retrabajo y complica el cumplimiento. Microsoft incorporó la opción de instalar actualizaciones de seguridad durante la experiencia Out-of-Box (OOBE) y la controla desde la Página de estado de inscripción (ESP) en Microsoft Intune.
Importancia
Este ajuste apunta a un objetivo muy concreto: que el dispositivo quede actualizado y más protegido antes de que el usuario empiece a usarlo. A cambio, hay un impacto operativo que debe contemplarse: el proceso de aprovisionamiento puede extenderse entre 20 y 40 minutos y el equipo puede reiniciarse durante la instalación, obligando al usuario a iniciar sesión nuevamente.
Nota relevante del fabricante: durante la redacción de la guía original se informó que la capacidad fue retrasada; aun así, la configuración sigue visible en Intune y el procedimiento mantiene valor operativo (especialmente para estandarizar cuando el comportamiento se habilite plenamente).
Beneficios
- Reduce la exposición inicial al entregar equipos con parches de seguridad más recientes desde el primer uso.
- Refuerza el gobierno de TI al integrar seguridad en el flujo estándar de Autopilot/ESP, sin tareas manuales post-entrega.
- Respeta configuraciones existentes de anillos de actualización (deferrals/pausas), alineando seguridad con la estrategia de actualización definida por la organización.
Requisitos
- Microsoft Intune (acceso al Centro de administración de Intune).
- Dispositivos con Windows 11 en una versión compatible para este comportamiento.
- Perfil de Página de estado de inscripción (ESP) en uso.
- Consideración operativa: habilitarlo puede sumar 20–40 minutos y reiniciar el dispositivo durante OOBE.
Pasos
- Ir a la Página de estado de inscripción (ESP)
- Centro de administración de Microsoft Intune > Dispositivos > Inscripción > Windows > Página de estado de inscripción.
- Seleccionar el perfil predeterminado
- En la lista de perfiles, selecciona el perfil con prioridad predeterminada (por ejemplo, “Todos los usuarios y dispositivos”).
- Editar la configuración del perfil
- En el perfil seleccionado, ve a Propiedades.
- En la sección Configuración, selecciona Editar.
- Habilitar la instalación de actualizaciones durante OOBE
- En la página de edición del perfil, establece: “Instalar actualizaciones de Windows (puede reiniciar el dispositivo)” en Sí.
- Luego selecciona Revisar y guardar y finalmente Guardar.
- Nota de operación (para gestión del cambio)
- En perfiles existentes, este ajuste suele estar en No por defecto para no impactar despliegues actuales.
- En perfiles nuevos, el valor puede aparecer como Sí por defecto, alineado a un enfoque “security-first”.
Preguntas frecuentes (FAQ)
- ¿Cuánto puede demorar más el aprovisionamiento al activar esta opción?
Entre 20 y 40 minutos, según el escenario y la descarga/instalación de actualizaciones. - ¿El dispositivo puede reiniciarse durante el proceso?
Sí. La instalación puede reiniciar el equipo y el usuario deberá iniciar sesión otra vez durante OOBE. - ¿Dónde se configura exactamente en Intune?
En el perfil de Página de estado de inscripción (ESP), dentro de Configuración, habilitando “Instalar actualizaciones de Windows (puede reiniciar el dispositivo)”.
Conclusión
Instalar actualizaciones de seguridad durante OOBE es una decisión de gobierno: prioriza una postura más segura desde el primer inicio, con un costo operativo controlable (tiempo adicional y posible reinicio). Si gestionas Autopilot y buscas reducir exposición en “día 1”, este ajuste merece estar en tu estándar corporativo y en tu checklist de despliegue.
