Bienvenidos una vez más al blog de Encora, soy Raúl Mimó, Head of Microsoft Technologies en Encora.
En la primera parte de este post vimos cómo registrar un equipo en Microsoft Intune (Endpoint Manager), ahora veremos cómo podemos administrar estos equipos.
Puedes consultar en este post también el post sobre cómo instalar aplicaciones con Intune.
Comenzaremos haciendo un breve resumen de las principales acciones que podemos realizar desde Endpoint Manager.
Endpoint Manager
Una vez hemos inscrito a nuestro dispositivo en Intune, ya podemos instalarle aplicaciones, aplicar configuraciones, restricciones y updates entre otras opciones.
Para ello utilizaremos la consola de Endpoint manager, podemos acceder a ella a través de https://endpoint.microsoft.com/
En un principio podemos ver un resumen del estado del servicio y también se nos mostrarán alertas, pero fijémonos en la parte de la izquierda de la imagen.
A parte de poder acceder a los usuarios y grupos de Azure AD (es decir los de Microsoft 365), tenemos los tres apartados principales:
- Dispositivos
- Aplicaciones
- Seguridad de los puntos de conexión
Vamos a repasarlos brevemente… (En próximos post prometemos analizar cada uno de estos apartados mas a fondo).
Desde el apartado de gestión de dispositivos de Endpoint Manager podemos gestionar el estado de nuestros dispositivos ya sean Equipos Windows, MacOS, IOS o Android. En función del tipo de dispositivo podremos publicar Perfiles de Configuración, Scripts, Aplicaciones, etc.
Si por ejemplo nos situamos sobre Dispositivos → Windows podremos ver el equipo que hemos inscrito anteriormente.
Desde aquí podríamos ver también el estado de aplicación, de la instalación de aplicaciones, scripts y perfiles de configuración, pero de momento vamos a ver cómo generarlas y aplicarlas.
Si volvemos al inicio en Dispositivos veremos un apartado llamado “Directiva”, este conjunto de opciones que tenemos aquí se podría definir como las GPO de Intune. Aunque en otros apartados que veremos después tenemos también opciones que junto a estas las configuraríamos en un AD on Premise con GPO (en el caso de dispositivos Windows).
Como mas destacable podríamos ver la aplicación de los Perfiles de configuración, scripts y la configuración de las actualizaciones de Windows.
Perfiles de Configuración
Los aspectos mas destacables de la configuración y personalización de nuestros dispositivos se configurarían desde aquí, podemos crear configuraciones con plantillas administrativas , restricciones del dispositivo, agregar certificados , configuraciones WIFI, VPN y también crear valores de configuración personalizados OMA-URI (identificador uniforme de recursos de Open Mobile Alliance), naturalmente una vez creadas las podemos aplicar a los equipos que creamos oportuno.
El aspecto, por ejemplo, de las plantillas administrativas se asemejaría bastante a lo que son nuestras queridas GPO de AD.
Para este Post he creado algunas configuraciones, en este caso, dos restricciones y una VPN que aplicaremos a nuestro equipo ya registrado en Intune.
Hemos desactivado, por ejemplo, el uso de Cortana:
En otra de las configuraciones que he creado, he desactivado el acceso a la parte de “Sistema” dentro de la configuración de Windows 10.
También he configurado un acceso VPN.
En este laboratorio he asignado estas configuraciones a todos los dispositivos, naturalmente podemos crear grupos de seguridad tanto de usuarios como de equipos para poder asignar estas configuraciones.
Actualización de Windows 10
Otro de los aspectos importantes e interesantes es la posibilidad de controlar la forma en que configuramos las actualizaciones de Windows.
Para ello disponemos de dos opciones, vamos a repasarlas:
- Anillo de actualización de Windows 10: desde aquí podemos configurar las opciones clásicas de configuración de las actualizaciones de Windows, así como la experiencia de usuario (canal de servicio, actualizar o no controladores de Windows o otros productos Microsoft instalados, así como la programación de la instalación de las actualizaciones, entre otros …)
Podéis encontrar todos los parámetros de configuración en: este documento de Microsoft.
- Actualizaciones de características de Windows 10 : esta directiva (que se encuentra en versión preliminar) deja los dispositivos en la versión de Windows que se especifique y bloquea el conjunto de características en dichos dispositivos hasta que se decida actualizarlos a una versión posterior de Windows, es interesante para problemas de compatibilidad.
Seguridad de los Puntos de Conexión
Esta parte es muy importante e interesante ya que desde aquí podemos, por ejemplo, aplicar configuraciones de encriptado de disco con Bitlocker, configurar las opciones de Windows Defender o aplicar reglas y configuraciones en el Firewall.
En nuestro caso, para probarlo, he creado una regla para desactivar el Firewall de Windows.
Aplicaciones
Para finalizar vamos a ver la parte de instalación de aplicaciones, desde aquí podemos instalar o desinstalar aplicaciones en nuestros equipos.
Estas aplicaciones pueden ser diferentes en función del Sistema Operativo, para Windows 10 por ejemplo, pueden ser aplicaciones de la tienda de Microsoft, simples MSI, actualizaciones de Edge, o bien forzar la instalación de las aplicaciones de Escritorio de Office en función de nuestra licencia de Microsoft 365.
Para este laboratorio he configurado un par de aplicaciones MSI descargando previamente los archivos de instalación de la página del fabricante (7Zip y Google Chrome), subimos el MSI y lo publicamos.
También he configurado (hay una política solo para eso) el paquete de la nueva actualización de Microsoft Edge y las aplicaciones de Escritorio de Microsoft 365.
Si os fijáis en la imagen hay algunas aplicaciones cuyo tipo es “Aplicación de la tienda Microsoft para Empresas”, esto lo hemos hecho para desinstalar algunas aplicaciones Preinstaladas de Windows (Juegos, Xbox, etc.). Antes existía una opción en Intune para poder hacerlo, pero actualmente para ello tienes que crear una Bussines Store de Microsoft , que no es mas que una tienda personalizada para tu organización en la que autorizas o desautorizas diferentes aplicaciones. En esta tienda (se crea desde el portal de Azure) se añaden aplicaciones y se puede sincronizar con Intune e incluso podemos forzar a nuestros equipos a que sea su única tienda disponible, bloqueando la de Microsoft (hablaremos mas a fondo de esto en un próximo post).
Verificación de configuración en Intune
Cuando el equipo se sincronice con Intune se deberán aplicar todas las configuraciones que hemos preparado (aplicaciones, seguridad, etc.), los equipos se sincronizan automáticamente cada cierto tiempo.
Tenéis más información en este documento sobre lo que os estoy comentando.
Pero también podemos forzarlo de forma manual.
Si accedemos a la máquina que previamente hemos registrado y configurado desde Intune:
Vemos que además de desactivar el Firewall de Windows, ha instalado 7Zip, Google Chrome, la nueva versión de Edge y Office.
También ha desinstalado las aplicaciones preinstaladas.
Y ha configurado los updates y la VPN que hemos configurado en la consola de Endpoint Manager.
Desde el portal de empresa, vemos por ejemplo la última actualización de las directivas:
O las últimas descargas de aplicaciones realizadas.
Espero que os hayan gustado estos dos posts sobre Intune. Próximamente volveremos a la carga con nuevos posts sobre Endpoint Configuration Manager (el nuevo SCCM) e Intune.
¡Hasta pronto!