Last Updated on 22 agosto, 2017 by Pablo Ariel Di Loreto
Ya hemos explicado los conceptos y fundamentos de Windows Intune como servicio en la nube de Microsoft en un artículo esta semana (ver «Artículos relacionados»). Ahora llegó el momento de ver una aplicación práctica a través de este tutorial.
En el mismo vamos a implementar Windows Intune en una red de computadoras donde existen equipos dentro del dominio y equipos fuera del dominio, intentando representar la realidad de muchas pequeñas y medianas empresas que tienen esta gran variedad de entornos de seguridad.
En esta primera parte, vamos a realizar todas las acciones de configuración, preparación y agregado de equipos y usuarios al entorno. Estos equipos serán, algunos, equipos de Active Directory y otros equipos de Workgroup.
Por un lado, entonces, administraremos equipos que forman parte del dominio de Active Directory donde la aplicación de políticas de cumplimiento está muy facilitado. Y por otro lado trabajaremos con equipos (muchas veces de gerentes o directores) que no forman parte del dominio de Active Directory, por lo cual la aplicación de políticas es un tanto complicado.
Tabla de Contenidos
- 1 Introducción
- 2 Alcance
- 3 Desarrollo de la parte 1/2 del Tutorial
- 4 Conclusiones de la parte 1/2 del Tutorial
- 5 Referencias y Links
- 6 Publicaciones Relacionadas
Introducción
Objetivo
Este tutorial en ambas entregas tiene como objetivo mostrar a las organizaciones cómo se pueden ver beneficiadas con la utilización de Windows Intune, aprovechando sus capacidades de protección de equipos de escritorio como así también dispositivos móviles.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en aprender nuevas cosas.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Alcance
Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el escenario de trabajo, tecnologías alcanzadas y plan de trabajo en alto nivel. En ambas entregas, el alcance general será el siguiente:
- Se limita a la versión de Diciembre de 2012 de Windows Intune, con clientes Windows 7 y Windows 8.
- No formará parte del alcance de este tutorial cualquier tipo de sincronización de datos con Active Directory Domain Services. Este aspecto será analizado por separado en futuros tutoriales.
- Por último, y si bien hacemos uso de equipos clientes que forman parte de un Active Directory llamado DILUX.LOCAL, no será éste el centro del artículo ni daremos mayores explicaciones sobre su configuración.
Objetivo Técnico
El objetivo técnico de esta publicación es:
-
Implementar Windows Intune en un ambiente controlado de pruebas, mostrando sus principales características:
- Políticas y cumplimiento.
- Despliegue de actualizaciones.
- Analizar informes estándares brindados por la herramienta.
Tecnologías Alcanzadas
Esta publicación puede aplicarse a:
- Windows Intune.
Escenario de Trabajo
Contamos con el siguiente escenario de trabajo:
- Una cuenta Windows Intune de prueba (o no).
-
3 equipos clientes:
- 1 Windows 7 perteneciente a un dominio de Active Directory.
- 1 Windows 7 en modo Workgroup.
Por supuesto, para la infraestructura de dominio contamos con:
- 1 Dominio de Active Directory llamado DILUX.LOCAL.
- 2 Controdores de dominio.
Con respecto a la navegación, contamos con:
- 1 conexión a internet sin restricciones de navegación.
Plan de Trabajo
Nuestro plan de trabajo se dividirá en cuatro aspectos fundamentales:
-
La configuración del entorno de Windows Intune:
- Agregado de Administradores.
- Configuración de Políticas y Cumplimiento.
- Planeamiento del uso de ancho de banda.
-
El agregado de Usuarios, Dispositivos y Aplicaciones:
- Agregado de usuarios y grupos de seguridad.
- Administración de grupos de usuarios y equipos.
- Agregado de Computadoras.
- Agregado de Aplicaciones.
-
La optimización del entorno de Windows Intune:
- Administración de Actualizaciones y aprobaciones automáticas.
- Configuración de Alertas y Notificaciones.
- Utilización de reportes.
-
Las posibilidades de realización de Monitoreo Proactivo:
- Para Actualizaciones.
- Para Endpoint Protection.
- Para Alertas de los sistemas monitoreados.
- Por agrupación de equipos según configuración.
En esta primera parte trabajaremos sobre los siguientes puntos:
- La configuración del entorno de Windows Intune.
- El agregado de Usuarios, Dispositivos y Aplicaciones.
No dejaremos afuera, y en modo muy sintético, la necesidad de generar una cuenta trial y el acceso al portal de administración y la consola de administración. Esto formará parte de «Pre-requisitos y Preparación del Tutorial».
Desarrollo de la parte 1/2 del Tutorial
Pre-requisitos y Preparación del Tutorial
Registro de cuenta Trial
Si no contamos con una cuenta «Windows Intune», podemos generar un trial de 30 días a partir de la siguiente URL: http://www.microsoft.com/en-us/windows/windowsintune/try-and-buy.aspx
Ingreso al Portal de Administración
El Portal de Administración es a través del cual podemos agregar o quitar usuarios a nuestro servicio. Los datos de ingreso al Portal de Administración son los que generamos luego del trial o los que nuestra organización tiene para administrar licencias, pagos y por supuesto usuarios.
Ingresando a https://account.manage.microsoft.com/ vamos a loguearnos y veremos el siguiente portal:
Nuestro foco será revisar la sección «Users» dentro de «Management». En nuestro caso contamos con tres usuarios:
Si quisiéramos agregar más, deberíamos hacerlo desde aquí.
Ingreso a la Consola de Administración
Una vez que tenemos dados de alta los usuarios correspondientes a nuestro Windows Intune, ingresamos a https://admin.manage.microsoft.com e iniciamos sesión:
Una vez logueados, tendremos acceso al portal de administración:
Recordemos que desde esta consola no vamos a poder agregar o quitar usuarios. A eso lo tenemos que hacer desde el «Portal de Administración».
Para entender más detalles de cómo configurar administradores de Windows Intune para acceso a la Consola de Administración, recomendamos revisar los Artículos Relacionados, específicamente el que lleva el siguiente nombre: «[ARTICULO] Windows Intune – Tipos de Administradores y Configuración de Niveles de Acceso».
Configuración del entorno Windows Intune
Agregando Administradores
No será el foco de este tutorial explicar cómo agregar administradores y qué tipo de administradores existen. Para ello recomendamos revisar el artículo relacionado al final del tutorial con el nombre: «[ARTICULO] Windows Intune – Tipos de Administradores y Configuración de Niveles de Acceso».
Lo que sí es importante en este paso, es identificar que otros administradores que deban ingresar a la Consola de Administración de Windows Intune debemos configurar. En nuestro caso, no configuraremos ninguno extra al que ya existe.
Configuración de Políticas
Con el usuario que es Administrador de Servicio logueado en la Consola de Administración de Windows Intune, vamos a configurar las primeras políticas (o directivas, como querramos llamarlo J).
Las directivas o políticas de Windows Intune ponen foco en las opciones de configuración que ayudan a los administradores a mantener el control de la seguridad en computadoras, dispositivos móviles, etc. Este control de la seguridad afecta:
- Endpoint Protection.
- Windows Firewall.
Las políticas que aquí seteamos, van a aplicarse tanto a computadoras unidas como las no unidas a un dominio de Active Directory. Y ello es justamente lo grandioso. Sin embargo, y para garantizar que no haya conflicto de intereses, si el equipo está dentro de un dominio de Active Directory las políticas que aquí se configuran deben coincidir, como mínimo, con las políticas enviadas a través de GPOs.
Vamos a trabajar sobre las políticas específicas para computadoras, tanto Windows 7 como Windows 8.
En la Consola de Administración de Windows Intune, vamos a ir a «Directiva»:
Luego vamos a ir a «Todas las directivas» y por último seleccionaremos «Agregar»:
Se nos abrirá el asistente de creación de nueva directiva:
Como vemos, existen cuatro directivas que podemos crear:
- Directiva de Configuración de Agente de Windows Intune.
- Directiva de Configuración de Windows Firewall.
- Directiva de Configuración de Windows Intune Center.
- Directiva de seguridad de dispositivos móviles.
Vamos a concentrarnos en las primeras tres, dado que el alcance de este tutorial no afecta a dispositivos móviles.
Directiva «Configuración de Agente de Windows Intune»
Vamos a configurar esta directiva con las opciones recomendadas (tal como se muestra en la imagen):
Una vez que hicimos clic en «Crear directiva» nos aparecerá el cuadro donde debemos seleccionar a que grupos de dispositivos se aplicará. En nuestro caso, y solo para comenzar, lo aplicaremos a «Todos los equipos»:
Una vez creada, nos aparecerá en la lista de directivas:
Vamos a seleccionarla y hacer clic en «Editar» para conocer sus detalles. Una vez hecho esto, podremos visualizar y editar en detalle cada opción de la directiva:
Como podremos observar, la directiva nos permite:
-
Aspectos relacionados con Endpoint Protection:
- Habilitación y deshabilitación.
- Protección en tiempo real.
- Configuración de programación de análisis.
-
Aspectos relacionados con Updates:
- Frecuenta de detección.
- Frecuencia de actualización.
- Otras configuraciones específicas.
- Configuración de vinculaciones entre usuarios y dispositivos.
- Configuración de ancho de banda de red para Windows Intune.
Es muy importante revisar cada una de estas opciones, y adecuarlas a nuestra infraestructura.
Directiva «Configuración de Windows Firewall»
Vamos a configurar esta directiva con las opciones recomendadas:
Al igual que la anterior, vamos a aplicarla a «Todos los equipos». Una vez creada, la editamos para conocer y configurar sus opciones:
Como podemos observar, esta directiva nos permite:
- Configurar la habilitación de Windows Firewall para los perfiles de sistema.
- Configurar excepciones para el sistema predefinidas.
Como en la anterior, es muy importante revisar cada una de estas opciones, y adecuarlas a nuestra infraestructura.
Directiva «Configuracion de Windows Intune Center»
Vamos a crear esta directiva pero, a diferencia de las dos anteriores, debemos crearla en forma personalizada:
Una vez creada, vamos a observar su contenido dado que se crea completamente en blanco:
Como podemos observar, esta directiva nos permite modificar los datos de contacto para soporte técnico que aparecerá en Windows Intune Center:
Una vez creada, el sistema nos preguntará si deseamos implementarla:
Al decirle que sí, nos aparecerá el cuadro de aplicación de grupos. Para nuestro ejemplo, vamos a aplicarla a todos los equipos:
Es importante destacar que en Windows Intune podemos crear grupos de equipos, de modo tal de aplicar políticas según estos grupos. En este ejemplo, aún no lo hemos hecho. Pero imaginémonos lo siguiente: ¿qué pasaría si tuviésemos sucursales en Argentina, Uruguay y Estados Unidos? Los datos deberían ser distintos. Es por ello que podemos aplicar una directiva a un grupo específico de equipos, que más adelante veremos como crear.
Planeamiento de uso de ancho de banda
Un aspecto no menor es la posibilidad de planear el uso de ancho de banda desde la Consola de Administración de Windows Intune. En la política de «Configuración de Agente de Windows Intune» teníamos la posibilidad de configurar el ancho de banda de la red. ¿Cómo es esto?
Muy simple: hasta ahora hemos aplicado políticas a todos los equipos. Bien, supongamos que todos los equipos están en una locación y esta locación tiene 1 MB de conexión a internet (supongamos). Si existen 20 equipos, y todos descargan a la vez actualizaciones, vamos a generar un cuello de botella. Por ello la política nos permite configurar límites de ancho de banda por horarios:
Por supuesto, esto debe ser estudiado y analizado antes de ejecutarse. Pero es importante que entendamos que existe la posibilidad de hacerse. Y más aún, si podemos crear varios grupos de equipos según (por ejemplo) locación física, de modo tal que una locación que tenga más conexión a internet (más ancho de banda) le configuraremos una política más permisiva, mientras que a otro lugar donde se tenga menos ancho de banda contratada le configuraremos una política más restrictiva.
Agregado de Usuarios, Dispositivos y Aplicaciones
Agregando Usuarios y Grupos de Seguridad
Windows Intune usa dos tipos de grupos para administrar políticas, distribución de software y actualizaciones: grupos de usuario y grupos de dispositivos. Con los grupos de usuarios, se puede administrar la disposición de software.
Para poder dar de alta usuarios y verlos en la Consola de Administración de Windows Intune, debemos ingresar al Portal de Administración de Windows Intune y agregarlos allí. Para mayor información, véase el apartado «Portal de Administración y Consola de Administración: conceptos claros» del artículo relacionado al final del tutorial llamado «[ARTICULO] Windows Intune – Tipos de Administradores y Configuración de Niveles de Acceso».
Administración de Grupos de Usuarios y Equipos
Este paso es necesario para organizar los usuarios y dispositivos agregados (o que se agregarán) al servicio. Aquí utilizaremos un ejemplo, que podrá personalizarse según las necesidades de la empresa.
Vamos a ir a la opción «Groups» de la Consola de Administración de Windows Intune:
Allí podremos observar que existen dos grupos primarios:
- Todos los usuarios.
- Todos los dispositivos.
El siguiente ejemplo puede realizarse para cualquiera de ambos grupos, dependiendo si queremos agrupar usuarios o dispositivos. Vamos a hacer un clic en «Todos los dispositivos» y allí haremos botón derecho y elegiremos la opción «Crear grupo»:
Nos aparecerá el asistente para crear grupos. Allí seleccionaremos un nombre y un grupo primario:
Luego configuraremos que tipos de dispositivos queremos dentro de este grupo, y también podremos configurar otros aspectos de inclusión y exlusión (en el caso que tengamos Windows Intune sincronizado con Active Directory):
Luego podremos configurar la pertenencia directa de equipos. Sin embargo, aún no tenemos ninguno:
Por último, verificamos el resumen y le damos «Finalizar»:
El grupo creado se visualizará en la Consola de Administración de Windows Intune. Incluso, como veremos en la próxima imagen, podemos crear subgrupos:
El criterio tomado para crear grupos y subgrupos depende de la organización. Podemos ver diferentes criterios en un artículo de Microsoft:
Una vez definido el criterio, o su «mix», crearemos los grupos. Nosotros por el momento nos manejaremos con los grupos predeterminados, y dejaremos «Argentina» como único gruop personalizado. Los grupos también, recordemos, pueden crearse para los usuarios. Para nuestro ejemplo, crearemos un grupo «Argentina» para los usuarios.
Agregado de Computadoras
Se pueden agregar equipos de tres formas:
- Agregado por Administrador (Administrator Enrollment): El administrador de Windows Intune puede agregar equipos en nombre del usuario de la computadora.
- Agregado por el Usuario (User Enrollment): El usuario puede auto-enrolar dispositivos mediante el portal de Windows Intune.
- Embebido en una distribución por imagen: distribución por imágenes de Windows.
En este tutorial vamos a centrarnos en las dos primeras opciones. Aprovechando que tenemos 3 equipos para hacer deploy, vamos a utilizar para los primeros dos cada uno de estos métodos. El orden será el siguiente:
- El primer equipo será un Windows 7 fuera de dominio.
- El segundo equipo será un Windows 7 dentro de dominio.
- El tercer equipo será un Windows 8 fuera de dominio.
Agregado por Administrador (Administrator Enrollment)
Para administrar equipos, se debe descargar un software de Windows Intune (cliente de Windows Intune). El administrador puede hacerlo en nombre del usuario de la siguiente forma. En la Consola de Administración de Windows Intune, vamos a «Administracion»:
Allí vamos a «Descargar software cliente»:
Tal como indica la imagen anterior, hacemos clic en «Descargar software cliente» y lo guardamos en una ubicación segura. Luego de descargarlo, lo instalamos en el equipo cliente. En nuestro caso será un Windows 7 fuera de dominio de Active Directory:
Hacemos doble clic en «Windows_Intune_Setup» y seguimos el asistente:
El mismo no presenta gran cantidad de opciones, comienza la instalación y sin preguntarnos ningún dato de la organización finaliza. Esto es porque la instalación tiene asociado un certificado digital específico que contiene la cuenta de organización asociada. Por esta razón, debemos cuidar y resguardar este software en un lugar seguro. Una vez finalizado, aceptamos con «Finish»:
Habiendo hecho esto, unos 30 minutos después nos fijamos si el equipo ha sido agregado y es visible desde la consola de administración:
Si nos fijamos antes de tiempo, aún faltará bajar información de la computadora. Por esta razón, debemos esperar un tiempo prudencial para comenzar a analizar sus eventos. Ahora bien, algo interesante para analizar, es que si hacemos botón derecho sobre el equipo y vamos a «Ver propiedades»:
Notaremos que el equipo no está vinculado con ningún usuario:
Esto es, justamente, porque el administrador fue quién instaló el software y no el usuario desde el Portal de Empresa. Para vincular este equipo con un usuario vamos a hacer botón derecho sobre el equipo y luego elegiremos «Vincular usuario»:
En la próxima pantalla, lo vincularemos con el usuario «Homero Simpson»:
Habiendo hecho esto, el equipo ahora sí quedará asociado a su usuario:
Agregado por el Usuario (User Enrollment)
El usuario, también, puede descargar el software necesario para agregar su equipo a Windows Intune sin que el administrador participe. Para esto tiene que utilizar el Windows Intune Portal y debe estar agregado como usuario habilitado para Intune.
Desde un navegador web, ingresamos (siendo el usuario) a la siguiente URL: https://portal.manage.microsoft.com/
Allí el usuario (en este caso «Bart Simpson») ingresará con sus credenciales para Windows Intune. Una vez ingresado, se encontrará con el siguiente portal:
Si el usuario va a «Todos mis dispositivos» podrá ver una lista de sus dispositivos y agregar alguno:
Haciendo clic en «Inscribir su equipo» podremos tener acceso a la descarga de software:
Recordemos que esta opción (la posibilidad de inscribir equipos por usuarios) se administra desde las políticas (directivas) de Windows Intune.
Una vez descargado el software, el usuario lo instala (necesita derechos administrativos). Este software no tiene preguntas, son literalmente «dos clics» de instalación. Una vez realizado, el equipo debería comenzar a aparecer en la consola de administración unos 30 minutos después:
Un aspecto para diferenciar en relación al método anterior para agregar un equipo (por el administrador), es que si vamos a ver las propiedades del equipo:
Notaremos que ya se encuentra asociado al usuario. ¿Por qué? Justamente, porque fue el usuario quién descargó el software desde el portal de empresa autenticándose:
De este modo, ya tenemos dos equipos agregados a nuestro Windows Intune. Solo restará agregar los restantes.
También podremos, como tarea adicional, asociar los equipos a un grupo creado personalizadamente (como en nuestro caso creamos «Argentina»). Ahora bien, en este tutorial, no hacemos uso de grupos para asociarlos a políticas específicas, razón por la cual nos dará lo mismo. Sin embargo en la vida real esto será sumamente importante.
Cambios en los Equipos Agregados a Windows Intune
Como cambios notorios en los equipos (estén o no en dominio) podemos observar los siguientes:
- La configuración de Windows Update nos indica que las opciones están administradas por un administrador:
- Lo mismo ocurre con las opciones de Windows Firewall:
- Por último, lo mismo para el Endpoint Protection:
Conclusiones de la parte 1/2 del Tutorial
Windows Intune está al alcance de todos. Con una simple cuenta trial podemos comenzar a experimentar la herramienta.
En esta primera parte del tutorial hemos realizado una configuración básica del entorno a través del agregado de administradores, configuración de políticas y planeamiento de ancho de banda. Como vimos, el acceso al panel de control es simple y solo basta tener un navegador web para realizarlo. Esto, sin lugar a dudas, nos da muchísima flexibilidad en los recursos y pre-requisitos necesarios para configurar la plataforma.
Como conclusión, entonces, podemos concluir que la puesta en marcha y configuración inicial son muy simples, intuitivas y entendibles para cualquier administrador. Por supuesto, hasta ahora no hemos interactuado con los equipos, y éste será el próximo paso para comenzar a trabajar interactivamente con la herramienta on-line.
Nos vemos en la segunda parte!
Referencias y Links
- Windows Intune Getting Started Guide: http://technet.microsoft.com/library/hh441719.aspx
- Sign up for a Windows Intune Trial: http://technet.microsoft.com/en-us/library/jj733628.aspx
- Configure Your Windows Intune Environment: http://technet.microsoft.com/en-US/hh441722.aspx
- Add Computers, Users, and Mobile Devices: http://technet.microsoft.com/en-US/hh441723.aspx
- Optimizing Your Environment: http://technet.microsoft.com/en-US/hh441724.aspx
- [Evento] Microsoft Azure | Tendencias Digitales 2019 – 26/03/2019 - 30 marzo, 2019
- [Evento] Microsoft Azure | Tendencias Digitales 2019 – 06/02/2019 - 12 febrero, 2019
- [Evento] Microsoft Azure | Modernización de Apps con la Nube de Azure – 20/12/2018 - 22 diciembre, 2018
muy bueno el articulo, deberían actualizarlo al nuevo portal directamente en Azure.