Last Updated on 22 agosto, 2017 by Pablo Ariel Di Loreto
En esta entrega vamos a realizar las configuraciones necesarias en Windows Intune para que podamos comenzar a administrar dispositivos multi-marca. Mayoritariamente nos referiremos a configuraciones para Dispositivos Móviles, pero también aplicará para dispositivos Desktop basados en Windows.
Esta publicación forma parte de una serie de publicaciones sobre Windows Intune y su Configuración Inicial en un formato paso a paso. Para consultar sobre el Objetivo, Audiencia, Objetivo Técnico, Tecnologías Alcanzadas, Escenario de Trabajo y Plan de Trabajo propuesto, deberás dirigirte a la primera parte de la serie de publicaciones. El link directo a ella te la encontrarás en las «Publicaciones Relacionadas» al final de esta página.
¡Continuemos, entonces, con este viaje de recorrida sobre Windows Intune!
Tabla de Contenidos
- 1 Introducción
- 2 Objetivo y Alcance
- 3 Desarrollo
- 4 Conclusiones
- 5 Referencias y Links
- 6 Publicaciones Relacionadas
Introducción
Objetivo y Alcance
Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el objetivo técnico, tecnologías alcanzadas, escenario de trabajo y plan de trabajo en alto nivel.
Para consultar sobre el Objetivo, Audiencia, Objetivo Técnico, Tecnologías Alcanzadas, Escenario de Trabajo y Plan de Trabajo propuesto, deberás dirigirte a la primera parte de la serie de publicaciones. El link directo a ella te la encontrarás en las «Publicaciones Relacionadas» al final de esta página.
Desarrollo
Vamos a continuar trabajando en esta aventura que nos permitirá conocer más en detalle Windows Intune, sus funcionalidades y potencialidades.
Para todos los lectores, es muy importante que puedan repasar en detalle el Objetivo de esta publicación y su Alcance Técnico. No tener en claro estos puntos podría causar que las expectativas sean distintas a lo que esta publicación cubre. Los mismos se encuentran en la primera parte de esta serie de publicaciones dedicadas a Windows Intune, y el link directo a ella te la encontrarás en las «Publicaciones Relacionadas» al final de esta página.
Ahora sí, ¡vamos a continuar así conocemos más detalles técnicos de Windows Intune!
Contexto
Vamos a configurar los aspectos necesarios para que podamos realizar la administración de dispositivos de varias marcas. En este sentido, cuando hablamos de dispositivos móviles estamos hablando de aquellos dispositivos Windows Phone, iOS, Android, Windows (si si, ¡Windows!) y equipos que se conecten a través de ActiveSync al correo electrónico corporativo Exchange.
Un aspecto importante a recordar es que existen dos modelos de administración de dispositivos en Windows Intune: directo e indirecto. Este tema fue desarrollado en la introducción a Windows Intune desarrollada capítulos atrás y es importante tenerlo en cuenta para comprender por qué vamos a realizar las siguientes configuraciones:
- Algunas de ellas (como configuración de certificados digitales para algunos dispositivos) se corresponden a la capacidad de poder administrar dispositivos en forma directa (100% MDM).
- La configuración de integración con Exchange (sea Online o Server) se corresponde con la capacidad de poder administrar dispositivos en forma Indirecta (o a través de ActiveSync).
Todas las opciones de Configuración Iniciales de Administración para Dispositivos Móviles están, dentro de la Consola de Administración, en la parte de «Administración» / «Administración de Dispositivos»:
Es aquí donde desarrollaremos los próximos pasos de configuración.
Configuración de la Entidad de Administración
El primer paso que debemos realizar en Windows Intune, en el caso que funcione en una implementación 100% nube (sin System Center Configuration Manager), es configurar la entidad de administración desde el Consola de Administración de Windows Intune.
Para ello, vamos a ir al apartado de «Administración» y luego seleccionaremos «Administración de Dispositivos»:
Allí vamos a verificar en la barra derecha las «Tareas», y elegiremos «Configurar entidad de administración de dispositivos móviles» tal como muestra la siguiente imagen:
En el caso que no lo hayamos configurado antes, aparecerá un cartel donde podremos confirmar la acción:
Con respecto al anuncio anterior, es importante identificar que solamente podremos cambiar 1 vez (según información oficial) de Entidad de Administración a través de un caso de soporte de Windows Intune. ¿En qué caso deberíamos hacer esto? Bueno, por ejemplo en el caso que querramos incorporar una configuración híbrida de System Center Configuration Manager a Windows Intune. En ese caso, debemos volver a cambiar la entidad de administración para que sea SCCM en vez de Intune. Este cambio lo podremos hacer, solamente y por única vez, a través del Soporte de Microsoft.
Volviendo a nuestro tema, una vez seleccionada la Entidad de Administración hacia Windows Intune, nos aparecerán las siguientes opciones disponibles:
No es el caso de esta publicación, pero si utilizamos una implementación híbrida con System Center Configuration Manager, la configuración de la entidad de administración la deberíamos hacer indicando que la misma es SCCM.
Una vez completado este paso, podemos avanzar con la configuración de cada marca. ¡Continuemos!
Configuración de Administración para Windows Phone
¿Qué vamos a hacer?
Vamos a concentrarnos solamente en la configuración de Windows Phone para Windows Intune. Esto nos permitirá poder unir dispositivos de dicha marca a este servicio y, por ende, administrarlos.
Un aspecto no menor a tener en cuenta es que para poder administrar estos dispositivos móviles necesitamos de un certificado digital que valide que nosotros somos quienes decimos ser y, por otro lado, vamos a tener que firmar una aplicación conocida Portal Empresa y, más tarde, el resto de las aplicaciones que queramos publicar para dicho dispositivo.
En una implementación productiva, debemos generar una cuenta de Desarrollador de Windows Phone y luego realizar el requerimiento de un certificado digital de Symantec (hasta el momento no podemos optar por otro proveedor). Como estamos en una cuenta Trial, y el objetivo del tutorial es mostrar cómo podemos administrar dispositivos Windows Phone con Windows Intune, vamos a utilizar el certificado pre-firmado que Microsoft nos pone a disposición para cuentas trial.
Dentro de «Administración de Dispositivos Móviles» vamos a ir al apartado de «Windows Phone». Allí veremos que existen 5 pasos para realizar, los cuales son:
- Configurar la Dirección del Servidor de Inscripciones.
- Obtener un identificador de empresa y un certificado de firma de código.
- Descargar el archivo de aplicación de Portal de Empresa.
- Firmar el código del archivo anterior.
- Cargar e implementar la aplicación de Portal de Empresa.
En una implementación productiva, debemos SI O SI cumplimentar con todos los pasos anteriores. En el caso del alcance de este tutorial, y como vamos a utilizar un certificado digital y aplicaciones pre-firmadas por Microsoft, vamos a realizar los pasos mínimos. Quedará fuera del alcance de este tutorial el recorrido completo por los 5 pasos anteriores.
Descarga de Aplicaciones de Ejemplo
Vamos a ir directamente al paso 2, y puntualmente iremos al link que dice «Descargar las aplicaciones de ejemplo»:
Este link nos llevará a bajar e instalar un programa conocido como «Support Tools para Windows Intune»:
Instalación de Support Tools para Trial de Windows Intune
El programa de instalación es muy simple. En la primer pantalla le damos siguiente:
Aceptamos el contrato de licencia:
Es importante identificar la ruta donde se instalará:
Cuando la instalación finalice, le daremos «close»:
Una vez instaladas las Support Tools de Windows Intune, podemos continuar al siguiente paso.
Publicación del Archivo Firmado (de ejemplo)
Una vez instalado, vamos a ir directamente al Paso 5 del Portal de Windows Intune:
Lo que haremos aquí es cargar una aplicación firmada, la cual es el Portal de Empresa que estará disponible en nuestro dispositivo móvil Windows Phone. Cuando hacemos clic en el botón anterior llamado «Cargar archivo de aplicación firmado» estamos suponiendo que ya hemos firmado con nuestro certificado el archivo del Portal Empresa. Como estamos utilizando las «Support Tools» de Windows Intune en versión trial, los pasos anteriores nos lo hemos salteado.
Cuando hacemos clic en el botón para carga de la aplicación, nos aparecerá un cartel solicitando poder correrlo:
Al ejecutarlo se ejecutará el editor de software de «Windows Intune»:
Nos solicitará autenticarnos en el portal:
Una vez autenticados, vamos a publicar nuestro archivo firmado (que está en las Support Tools instaladas). El proceso es el mismo que se utilizaría para publicar cualquier aplicación en Windows Intune. Comenzamos con la introducción:
Continuamos seleccionando que queremos subir un archivo de aplicación para Windows Phone:
Nótese que la ubicación del archivo firmado está dentro de la ruta donde instalamos las «Support Tools» del trial de Windows Intune. Es importante haber anotado su ruta, si bien por defecto es la que se ve en la imagen anterior. El archivo a subir será el «SSP.xap».
En el siguiente paso podremos subir alguna imagen a la aplicación, ponerle un nombre e ingresar datos adicionales:
Por último confirmamos las opciones ingresadas:
El software se cargará en Windows Intune:
Y por último cerramos el asistente:
Habiendo hecho esto, ya estamos en condiciones de utilizar dispositivos Windows Phone mientras nuestra versión trial de Intune dure. Recordar que si queremos utilizarlo con una suscripción no trial, debemos seguir los 5 pasos del asistente!
Por el momento, vamos a continuar con la configuración de otros dispositivos (otras marcas). ¡Adelante!
Configuración de Administración para Dispositivos Apple
¿Qué vamos a hacer?
Al igual que como lo hicimos para dispositivos Windows Phone, debemos configurar ahora certificados digitales para dispositivos iOS. A diferencia de Windows Phone, estos dispositivos no cuentan con aplicaciones / certificados auto-firmados para períodos Trial. No obstante (y al día de la fecha) el proceso de generación de certificados es simple y vamos a recorrerlo a continuación.
Generación de Request
Ya dentro del vínculo de iOS dentro de Windows Intune (recordemos que estamos dentro de «Administración» / «Administración de Dispositivos Móviles» vamos a encontrar como tarea el «Cargar un certificado de APNs»:
Una vez iniciada esta tarea (es decir habiendo realizado clic) tenemos tres pasos. El primero es descargar la solicitud (request) para poder avanzar al siguiente paso:
El request lo descargaremos como un archivo de tipo CSR y guardaremos en forma local para utilizarlo luego:
Una vez guardado, por ejemplo, en el escritorio vamos a avanzar al segundo paso.
Generación del Certificado Digital en el Portal de Apple
Este segundo paso nos propone ir a una web de Apple para poder generar el certificado en base al request descargado recientemente. Haremos clic en el vínculo propuesto:
Esto nos llevará a la página de login de Apple. Si no tenemos aún cuenta o Apple ID debemos generarlo:
Una vez logueados en el portal de Apple Push Certificates, iremos al botón «Create a Certificate»:
Aceptaremos los términos de contrato (antes leerlo bien!):
Una vez aceptada la pantalla anterior, debemos subir nuestra solicitud (archivo CSR de request):
Una vez subido, le damos al botón «Upload» y tendremos generado el certificado y lo podremos descargar de la siguiente pantalla:
Generarlo fue simple, y descargarlo también. Notar que estos certificados tienen fecha de vencimiento, y debemos renovarlo ANTES de que venza.
Subida del Certificado de Apple a Windows Intune
Una vez descargado el certificado extensión CER a nuestra máquina local seguiremos con los pasos propuestos en el portal de Windows Intune:
El tercer paso nos invita a cargar el certificado generado en el portal de Apple. Para eso utilizaremos el archivo recién descargado e incluiremos la dirección de correo electrónico utilizada como registro del Apple ID:
Una vez cargados estos datos y el certificado, ¡estaremos en condiciones de agregar dispositivos iOS a Windows Intune!
Ahora pasaremos a configurar lo necesario para poder administrar dispositivos Android.
Configuración de Administración para Dispositivos Android
Para poder administrar dispositivos Android no es necesario realizar pasos adicionales de configuración.
Configuración de Administración por ActiveSync
¿Qué vamos a hacer?
Los pasos de configuración anteriores nos han servido para que en Windows Intune podamos administrar en forma directa dispositivos Windows Phone, iOS y Android. Ahora bien, si queremos que cuando en algún dispositivo agreguemos una cuenta de correo electrónico ésta sea reconocida por Windows Intune y baje políticas aplicables, debemos configurar un paso más que es la Administración por ActiveSync (o conocida como «indirecta»).
¿Es necesario este paso? La respuesta es simple: no es necesario pero es muy recomendado. ¿Por qué? Muy simple: supongamos que un usuario cuenta con un dispositivo pero no agrega el mismo a Windows Intune (es decir, no lo administra en forma Directa). Este usuario elije agregar solo la cuenta de correo electrónico Exchange al equipo (teléfono, tableta, etc). Para que Windows Intune pueda, igualmente, reconocer que dicho usuario tiene información empresarial y proteger el dispositivo, debe poder reconocer esta conexión ActiveSync. Para ello, debemos unir la infraestructura de Exchange Server ó Exchange Online a Windows Intune.
En nuestro tutorial, vamos a utilizar una infraestructura pre-existente de Exchange Online. No obstante, podemos hacer lo mismo (con algunas diferencias en los pasos) con una infraestructura de Exchange On-Premise.
Configuración de ActiveSync con Microsoft Exchange
Siempre dentro de «Administración de Dispositivos Móviles», vamos a ir a «Microsoft Exchange»:
Allí elegiremos «Configurar una conexión en entorno Exchange»:
Por último, vamos a seleccionar la opción de «Hosted Exchange», es decir Exchange Online como parte de Office 365:
Como nuestro tenant de Windows Intune es el mismo que Office 365 (esto es recomendable que sea así) el asistente realizará la configuración automáticamente:
Una vez realizada esta configuración, estaremos en condiciones de visualizar algunas opciones adicionales en este apartado de «Microsoft Exchange»:
Es importante recordar que, en el caso de no contar con una infraestructura de Exchange Online y tener Exchange Server 2007 / 2010 / 2013, podemos realizar la configuración a través del mismo asistente pero seleccionando descargar el conector on-premise en los pasos anteriores. Esto llevará un poco más de configuración, pero nos permitirá unir nuestro Exchange On-Premise con Windows Intune.
Ya hemos realizado todos los pasos mínimos de configuración de dispositivos para que funcionen con el servicio de Windows Intune. Ahora vamos a continuar con la implementación, propiamente dicha, de la administración de dispositivos móviles multi-marca.
Conclusiones
En esta entrega, hemos realizado configuraciones iniciales para, por un lado, identificar a Windows Intune como entidad de administración de dispositivos y, por otro lado, configurar aspectos para que podamos incorporar dispositivos móviles a la solución y administrarlos.
Es importante tener en cuenta que en Windows Intune existen modelos diversos de administración que deben ser entendidos para poder avanzar eficientemente en el conocimiento de funcionalidades y entender por qué estamos realizando estas configuraciones. Para mayor información al respecto y los modelos de administración directos e indirectos existentes, podrás consultar las Publicaciones Relacionadas al final de esta página.
Continuemos a la próxima entrega de este tutorial, la cual consta de 7 partes. Recordemos que el resto de las partes la encontrarás en las «Publicaciones Relacionadas» al final de esta página. No olvides que en la última entrega realizaremos una conclusión que incluirá todas las entregas del tutorial. ¡Nos vemos!
Referencias y Links
- Getting started with Windows Intune – walkthrough guide: http://technet.microsoft.com/en-us/library/dn646967.aspx
- Windows Intune Service Description: http://technet.microsoft.com/en-us/library/dn600286.aspx
- Mobile device management capabilities in Windows Intune: http://technet.microsoft.com/en-us/library/dn600287.aspx
- Manage mobile devices with Windows Intune: http://technet.microsoft.com/en-us/library/dn646962.aspx
- What to know before setting up Windows Intune: http://technet.microsoft.com/en-us/library/dn646966.aspx
- What’s new with Windows Intune: http://technet.microsoft.com/en-us/library/dn292747.aspx
Acerca del Autor
- [Evento] Microsoft Azure | Tendencias Digitales 2019 – 26/03/2019 - 30 marzo, 2019
- [Evento] Microsoft Azure | Tendencias Digitales 2019 – 06/02/2019 - 12 febrero, 2019
- [Evento] Microsoft Azure | Modernización de Apps con la Nube de Azure – 20/12/2018 - 22 diciembre, 2018
[…] [Tutorial] Microsoft Intune – Configuración Inicial de Windows Intune: Configuración de la Administración para Dispositivos (Parte 2 de 7): http://www.tectimes.net/tutorial-windows-intune-configuracion-inicial-de-windows-intune-configuracio… […]