Administración de dispositivos móviles con Microsoft Intune: una introducción

Cuando la pandemia golpeó el año pasado, los administradores de TI se apresuraron a mantener en funcionamiento sus sistemas y negocios a medida que los empleados pasaban a un modelo de trabajo desde casa. Para algunos administradores, significaba manejar herramientas que tenían disponibles pero que rara vez usaban. Microsoft Intune es una de estas herramientas que ha ganado popularidad a medida que la pandemia continúa en su segundo año. (Debido a la pandemia, Microsoft ha combinado Microsoft Intune y Configuration Manager en una única solución que llama Microsoft Endpoint Manager). Con Microsoft Intune, puede administrar los dispositivos móviles y las aplicaciones de sus empleados, así como su acceso a los datos de su empresa. Incluso puede usar Intune para administrar sus dispositivos de propiedad privada. Este artículo actualizado lo guiará a través de los conceptos básicos del uso de Microsoft Intune.

Para usar este sistema de administración de dispositivos móviles (MDM), los dispositivos primero deben registrarse para el servicio de Intune. Sin embargo, hay varias formas de registrar los dispositivos de sus empleados. Cada método depende del tipo de propiedad del dispositivo (privado o comercial), el tipo de dispositivo (iOS, Windows, Android) y los requisitos de administración (restablecimientos, afinidad, bloqueo). De forma predeterminada, los dispositivos para todas las plataformas se pueden registrar con Intune. Sin embargo, puede restringir los dispositivos por plataforma.

Gestión del ciclo de vida del dispositivo

La gestión de dispositivos móviles, como la mayoría de las actividades de gestión de TI, sigue un ciclo de vida. El ciclo de vida de la gestión de dispositivos móviles consta de cuatro fases:

  • Fase de registro: Los dispositivos se registran con la solución de gestión de dispositivos móviles. Intune le permite registrar tanto dispositivos móviles como teléfonos inteligentes y PC con Windows.
  • Configurar fase: Asegúrese de que los dispositivos registrados sean seguros y cumplan con todas las políticas de configuración y seguridad. También puede automatizar tareas administrativas comunes, como configurar WLAN.
  • Fase de protección: La solución de administración de dispositivos móviles le permite monitorear continuamente la configuración establecida en la fase de Configuración. En esta fase, también utiliza la solución de gestión móvil para mantener los dispositivos en conformidad mediante la supervisión y la implementación de actualizaciones de software.
  • Fase final: Cuando un dispositivo ya no es necesario, se pierde o es robado, debe proteger los datos en el dispositivo. Puede eliminar datos restableciendo el dispositivo y realizando un restablecimiento completo o selectivo que solo elimina los datos empresariales del dispositivo.

Registro automático de gestión de dispositivos móviles

El registro automático permite a los usuarios registrar sus dispositivos Windows 10 con Intune sin soporte de TI. Los administradores pueden usar el portal de Azure Active Directory (AAD) para habilitar el registro automático para todos los usuarios o grupos específicos.

Para registrar sus dispositivos, los usuarios agregan su cuenta comercial a sus dispositivos personales o incorporan su cuenta corporativa en Azure Active Directory. En segundo plano, el dispositivo está registrado e integrado en Azure Active Directory y se puede administrar a través del portal de AAD a través de Intune.

Registro de dispositivos con Windows 10

Gestión de dispositivos móviles

Shutterstock

Hay muchas formas de registrar dispositivos Windows 10 con Microsoft Intune para la administración de dispositivos. Algunos están controlados por el usuario y otros por administradores de TI. Algunos están diseñados para admitir programas BYOD y otros para mejorar los escenarios de implementación modernos y la administración de dispositivos corporativos. Cada método de registro puede tener diferentes requisitos y comportamientos de implementación.

Los métodos que se pueden usar para registrarse en Intune son los siguientes:

Método Descripción
1. Agregar una cuenta comercial o educativa Este método de registro integra el dispositivo en Azure AD. Si tiene licencias de Azure AD Premium y su cliente de Azure AD está configurado para el registro automático con Intune, su dispositivo también se registrará en Intune. Este método es preferible cuando no se utiliza el piloto automático en el entorno.
2. Regístrese solo en MDM (controlado por el usuario) Este método de registro registra el dispositivo solo en Intune y no incluye el dispositivo en Azure AD. Use este tipo de registro solo en entornos sin licencias de Azure AD Premium que son necesarias para habilitar el registro automático de dispositivos en Intune.
3. Integración de Azure AD (OOBE) Este método de registro es esencialmente el mismo que el método 1, con una excepción: el dispositivo se registra durante la experiencia inmediata (OOBE). Si tiene licencias de Azure AD Premium y su cliente de Azure AD está configurado para el registro automático con Intune, su dispositivo también se registrará en Intune.
4. Integración de Azure AD (modo de implementación controlado por el usuario del piloto automático) Este método de registro es esencialmente el mismo que el método 2, con algunas excepciones. El dispositivo se registra durante una experiencia personalizada lista para usar. Muchas de las pantallas de OOBE se pueden omitir para una experiencia de configuración más fluida para el usuario final. Este método es el preferido para registrar dispositivos en Intune, pero requiere licencias de Azure AD Premium y su cliente de Azure AD debe estar configurado para registrarse automáticamente en Intune.
5. Integración con Azure AD (piloto automático en modo de implementación automática) Este método de registro es esencialmente el mismo que el método 4, con una excepción. Permite omitir todas las pantallas OOBE después de encender la unidad por primera vez. La integración de Azure AD y el registro de Intune están completamente automatizados, sin interacción del usuario. Este tipo de registro es principalmente para dispositivos sin usuarios, como quioscos, pero también puede ser utilizado por usuarios normales. Puede preasignar un usuario a un dispositivo para que el usuario solo necesite ingresar una contraseña. Esta es la configuración más eficiente en comparación con los otros métodos.
6. Regístrese solo en el administrador de registro de dispositivos (MDM) Este método de registro es muy similar al método 3, excepto que lo ejecutan los administradores de TI mediante un tipo de cuenta especial, una cuenta de administrador de inscripción de dispositivos (DEM). El DEM registra el dispositivo, inicia sesión en el portal empresarial e instala las aplicaciones que el usuario necesita.
7. Cogestión de System Center Configuration Manager La administración compartida le permite administrar dispositivos con Windows 10 simultáneamente mediante el administrador de configuración y Microsoft Intune. Esta es una solución que lo lleva de la administración tradicional a la moderna y le brinda una manera de realizar la transición con un enfoque por fases. La administración compartida es el método preferido para registrar dispositivos existentes que ya están administrados por System Center Configuration Manager (SCCM). Una vez activado, el dispositivo puede ser administrado por SCCM e Intune para que se puedan utilizar las mejores características de ambos.
8. Integración con Azure AD (registro masivo) El registro masivo es una forma eficaz de configurar una gran cantidad de dispositivos para que sean administrados por Intune sin tener que reconstruir los dispositivos. La inscripción masiva se habilita creando un paquete de implementación con la aplicación del diseñador de configuración de Windows de la tienda de aplicaciones de Microsoft.

Perfiles de dispositivo y usuario

Microsoft Intune incluye configuraciones y características que puede habilitar o deshabilitar en diferentes dispositivos dentro de su organización. Estas configuraciones y funciones se administran mediante perfiles. Ejemplos de perfiles incluyen:

  • Un perfil inalámbrico que proporciona acceso a diferentes dispositivos a su red inalámbrica corporativa.
  • Un perfil de VPN que brinda acceso a múltiples dispositivos al servidor VPN en su red corporativa.

Los siguientes perfiles están disponibles en Intune:

Perfil Descripción
Funciones del dispositivo (iOS y macOS) Funciones de control para dispositivos iOS y macOS, como AirPrint, notificaciones y configuraciones de dispositivos aprobadas.
Restricciones de dispositivos Las restricciones del dispositivo controlan la seguridad, el hardware, el intercambio de datos y otras configuraciones en los dispositivos. Por ejemplo, cree un perfil de restricción de dispositivo que evite que los usuarios de dispositivos iOS utilicen la cámara del dispositivo.
Protección de endpoints Configure la configuración de protección de punto final para Windows 10 BitLocker y la configuración de Windows Defender para dispositivos Windows 10.
Protección de identidad Identity Protection controla la usabilidad de Windows Hello para empresas en dispositivos que ejecutan Windows 10 y Windows 10 Mobile. Configure estos ajustes para que Windows Hello para empresas esté disponible para usuarios y dispositivos, y establezca requisitos para los PIN y los gestos del dispositivo.
Quiosco El perfil de configuración de kiosco configura un dispositivo para que se puedan ejecutar una o más aplicaciones. También puede personalizar otras funciones de su dispositivo de kiosco, incluido el menú de inicio y el navegador web.
Correo electrónico En el perfil de preferencias de correo electrónico, la configuración de correo electrónico para Exchange ActiveSync se crea, asigna y supervisa en los dispositivos. Puede utilizar perfiles de correo electrónico para garantizar la coherencia, reducir las llamadas de asistencia y permitir que los usuarios finales accedan a la cuenta de correo electrónico corporativa en sus dispositivos personales sin tener que configurarlos.
VPN Asigne perfiles de VPN a los usuarios y dispositivos de su organización para que puedan conectarse a la red de forma fácil y segura. Las VPN (redes privadas virtuales) permiten a los usuarios un acceso remoto seguro a su red corporativa. Los dispositivos utilizan un perfil de conexión VPN para conectarse a su servidor VPN.
WLAN La configuración de WLAN asigna configuraciones de red inalámbrica a usuarios y dispositivos. La asignación de un perfil inalámbrico brinda a los usuarios acceso a su red inalámbrica corporativa sin tener que configurarla ellos mismos.
eSIM móvil (estado de vista previa pública actualmente) Los perfiles móviles eSIM brindan la capacidad de configurar conexiones móviles para Internet y acceso a datos en sus dispositivos administrados. Después de recibir los códigos de activación de su operador de telefonía móvil, puede importar estos códigos de activación mediante Intune y luego asignarlos a sus dispositivos habilitados para eSIM.
Educación: Windows 10 Configure las opciones para la aplicación Windows Take a Test. Si configura estas opciones, el dispositivo no podrá ejecutar otras aplicaciones hasta que se complete la prueba.
Educación: iOS iOS usa la aplicación iOS Classroom para guiar el aprendizaje y controlar los dispositivos de los estudiantes en el aula. Puede configurar dispositivos iPad para permitir que varios estudiantes compartan un solo dispositivo.
Actualización de ediciones Las actualizaciones de ediciones para Windows 10 actualizan automáticamente algunas versiones de Windows 10 a una edición más reciente.
Actualizar las pautas Las políticas de actualización de iOS le muestran cómo crear y asignar políticas de iOS para instalar actualizaciones de software en sus dispositivos iOS. También puede comprobar el estado de la instalación.
Certificados Los certificados configuran el protocolo de inscripción de certificado simple (SCE) de confianza y los certificados de estándares de criptografía de clave pública (PKCS) que se pueden asignar a dispositivos y utilizar para autenticar perfiles de WLAN, VPN y correo electrónico.
Perfil de protección de la información de Windows La protección de la información de Windows lo protege de las fugas de datos sin comprometer la experiencia del empleado. También protege las aplicaciones corporativas y los datos en dispositivos corporativos y privados que los empleados usan en el trabajo contra fugas de datos accidentales. No se requieren cambios en su entorno u otras aplicaciones.
Perfil definido por el usuario La configuración personalizada incluye la capacidad de asignar configuraciones de dispositivo que no están integradas con Intune. En dispositivos Android, por ejemplo, puede ingresar valores de Identificador uniforme de recursos de Open Mobile Alliance (OMA-URI). Para dispositivos iOS, puede importar un archivo de configuración que creó en Apple Configurator. Los perfiles personalizados se explican en detalle en el tema siguiente.

Perfiles de usuario

Gestión de dispositivos móviles

El sistema operativo Windows 10 requiere que cada usuario tenga un perfil de usuario. Los perfiles de usuario se crean cuando un usuario inicia sesión por primera vez y se almacenan en la carpeta Usuarios. Los perfiles de usuario se crean en función del contenido del perfil predeterminado en la carpeta Usuarios. Hay tres tipos diferentes de perfiles de usuario:

  • Local: Este tipo solo está disponible en una sola computadora.
  • Itinerancia: Este tipo puede moverse entre equipos que son miembros del dominio.
  • Obligatorio: Este es un tipo especial de perfil de usuario preconfigurado que no almacena los cambios de usuario entre inicios de sesión.
  • Temporal: Se genera un perfil temporal cada vez que una condición de error impide que se cargue el perfil del usuario.

Administración de dispositivos móviles e Intune: solo rasca la superficie

Como podemos ver, Intune es una excelente y poderosa herramienta de Microsoft que se ha vuelto aún más importante a medida que el trabajo desde casa pasa de ser una respuesta de emergencia a una norma cotidiana. Este artículo está destinado a servir como introducción a este mundo. Para los administradores de TI, cuanto más sepa sobre Intune y sus usos, mejor podrá hacer su trabajo.

Imagen destacada: Shutterstock


Vistas de publicaciones:
1,862


Leave a Reply

Your email address will not be published. Required fields are marked *