Querid@s amig@s del blog de Encora, en este Encora webinar, realizado en julio de 2021, nuestro CTO, Nacho Bellido, nos explica cómo Microsoft Intune nos ayuda a proteger los dispositivos y los datos de nuestra compañía apoyándose en funciones de seguridad avanzada.
También repasaremos las principales funcionalidades y los casos de uso de algunas de sus principales soluciones.
Por último, veremos cómo sacar un mayor provecho a los modos de licenciamiento E3, E5 y Business Premium (incluido en las licencias Intune).
TIPOS DE LICENCIAMIENTO
En Microsoft, el abanico que existe de licenciamientos es gigantesco. Hay tantas que algunas veces se nos puede hacer demasiado complicado de comprender.
Desde Encora os podemos facilitar la tarea de escoger el licenciamiento óptimo en función de las necesidades. Nosotros estamos muy habituados al día a día de qué licencia incluye qué, e incluso sabemos exactamente dónde hay que mirarlo.
Cabe destacar que los tipos de licenciamiento están en constante cambio y se van incorporando nuevas funcionalidades, servicios, aplicaciones nuevas…
¿QUÉ INCLUYE INTUNE?
En la siguiente diapositiva encontraréis un montón de packs de licencias Microsoft 365:

La característica principal es que son hasta 300 licencias cada una de ellas.
¿Cuáles son las licencias Intune? Empresa Premium.
El resto de ellas no nos sirven para esto, sirven para otras cosas. Por eso os decía que en función de lo que vayamos a necesitar tenemos que elegir el tipo de licencia porque muchas veces, vais a ver que tenéis un licenciamiento y sale más rentable hacer un upgrade de esa licencia que coger el paquete que vayáis a buscar.
Paquetes de seguridad tenemos los EMS, los EMS3 y EMS5 y luego tenemos paquetes independientes.
Intune se vende como un paquete independiente. De hecho, se venden dos versiones dentro de ese paquete independiente. Lo podemos tener tanto por dispositivo como por usuario.
Existe otro que lo abrieron hace poco que es para dispositivos que no son gestionados por nadie, es decir, los tótems que vemos en cualquier sitio, por ejemplo, en la entrada de comercios grandes que nos dan información de dónde está cada cosa, si corren con un sistema operativo Windows por debajo, nos permite instalar Intune, pero tiene una licencia específica porque no son gestionados por usuarios.

Hay que mirar cuál es la funcionalidad que necesitamos y en función de ello hay que buscarlo.
Hay algunas que son matices en cuanto a los máximos. Si buscamos los máximos pues tenemos que ir a una parte de licenciamiento y si lo que buscamos es qué tipo de aplicaciones me soportan lo que yo quiero hacer, tenemos que ir un poco más al detalle porque dentro del abanico de soluciones que hay en el centro de Microsoft es bastante complejo.
LICENCIAS INTUNE
¿Cuáles son las licencias Intune?

Además de las licencias Intune que aparecen en la diapositiva, existen otras dos licencias Intune más que he quitado que son las de administración más las otras tres que hemos comentado anteriormente (Intune sólo por usuario, por dispositivo o para estos dispositivos que no cuentan con un usuario manejándolo).
¿Porqué existen tantas licencias Intune? Porque Microsoft lo que ha intentado es tener tantas como tipos de empresas pueden existir.
Cada empresa es completamente distinta a sus necesidades. Por eso, tenemos este abanico tan gigantesco de tipos de licenciamiento. Unas licencias incluyen unos paquetes y otras incluyen otros.
CARACTERÍSTICAS DE LOS PLANES DE LICENCIAS INTUNE
No es necesario que miréis al detalle que incluye cada una, sino que de una forma sencilla tengáis estos mapas que son muy cómodos a la hora de buscar qué es lo que necesito.

En esta diapositiva, con solo un vistazo, ya veis que es lo que incluye el 365 E3, el 365 E5 y el Microsoft 365 Business Premium (licencias Intune).
En horizontal a estas Office 365 E3 y E5 tenemos Microsoft 365 E3 y Microsoft 365 E5. De esta manera, podemos ver como hay algunas funcionalidades que se van cruzando. En función de lo que necesites, solamente con ese upgrade ya está hecho y es mucho más barato, en muchas ocasiones, que coger la licencia como un formato independiente.
Si necesitáis encarar un proyecto, desde Encora, con las licencias Intune, hemos hecho unos cuántos proyectos entonces, ¿cómo se plantean?
Tenéis que plantear qué necesidad tenéis y en función de esa necesidad, nosotros os lo vamos a traducir a la forma más segura, más económica o que mejor se adapta a vuestro tipo de empresa.
Business Premium (incluido en las licencias Intune) es, prácticamente, la que más está encajando en la mayoría de los clientes.
Ya sabéis que podéis mezclar las licencias, es decir, podéis tener todas las licencias que queráis (incluyendo las licencias Intune) con la única condición de que debéis tener en cuenta es que en las Business solamente podéis tener 300 por cada línea, es decir, 300 Estándar y 300 Premium (las licencias Intune incluyen este plan).
SUPERVISIÓN DE AMENAZAS
¿Por qué ahora se habla tanto de Microsoft Intune y de las licencias Intune?

Des del año pasado empezamos con este tema de la COVID19 y toda la gente empezó a trabajar en remoto (trabajadores desde casa, empresas que compraron portátiles, otras que se adaptaron como pudieron, etc.).
Microsoft ha sacado unas medidas dentro de todos los productos y licencias (incluidas las licencias Intune) que ya tenían como es el sistema de teletrabajo. centrándose en cómo lo han aplicado ellos en su día a día, en sus oficinas, es decir, cómo han adaptado las aplicaciones que tienen ellos para el teletrabajo.
Las principales medidas que Microsoft recomienda que tomemos son:
- Activar el MFA. En todas las versiones de office 365 tenemos MFA.
- Activar la protección contra amenazas. Existen unas protecciones básicas y unas protecciones avanzadas.
- Activar la optimización de la red para la conectividad en la nube.
- Entrenar a los usuarios.
- Introducción a Microsoft Cloud App Security. Microsoft ha subido un montón de documentación durante este año (en el que se incluye información actualizada de las licencias Intune) y la ha dejado liberada completamente. Antes era de pago, pero la ha dejado libre para que todos podamos acceder a ella.
- Supervisar amenazas y tomar medidas.
Otra de las medidas que se añaden dentro de plane es Intune.
¿QUÉ ES INTUNE?

Intune al final viene a ser como una extensión del SCCM.
¿Qué podemos hacer Intune? Gestionar dispositivos.
De hecho, Microsoft te dice que podemos gestionar «dispositivos móviles».
Aunque debemos saber que lo que ellos llaman «dispositivos móviles» pueden ser móviles, tabletas, Surface (para ellos es como un portátil), portátiles, distintos sistemas operativos, puedes tener Windows, Linux, iOS, Android, etc. el abanico de sistemas operativos y opciones que nos ofrece es gigantesco.
En esta situación que estamos viviendo debido a la Covid19, en la que muchas empresas se están planteando el volver solamente al 50% a la oficina, Intune nos ayuda en infinidad de cosas.
Podemos gestionar nuestro parque de dispositivos (parque de portátiles) igual que si lo tuviéramos dentro de nuestra red, sin estar conectado a esta.
Es decir, podemos aplicar políticas, podemos cambiar el fondo de pantalla, podemos quitar opciones, podemos instalar un software, aplicar restricciones, darle privilegios para que realice una instalación de un certificado en su navegador y una vez finalizado se retiran los privilegios, etc. sin estar ni si quiera cerca.
PRINCIPALES FUNCIONALIDADES DE MICROSOFT INTUNE
Si tenemos Office 365, Office 365 Azure o tenemos algo más avanzado pues lógicamente todo se integra en este ecosistema de Microsoft.
Todo está completamente integrado:
- Intune está dentro de Azure.
- Office 365 está dentro de Azure.
Al final, están usando todos los mismos datos.
Si tenemos Office 365 ya sabemos que tenemos Azure Active Directory, aunque sea en la versión gratuita e Intune usa esos mismos datos.

Una de las principales funcionalidades que hemos comentado anteriormente es el teletrabajo.
En administración, una única plataforma se gestiona desde un único punto. No os voy a decir que sea sencillo, cualquiera que haya administrado Azure sabréis que es un entorno que ofrece muchísimas opciones y por lo tanto es algo complejo de administrar. Una vez que está desplegado, no es algo que tengas que estar todos los días modificando.
A nivel de seguridad, nos aporta:
- Directivas de cumplimientos. Es como una política muy avanzada en la que se puede hacer prácticamente de todo.
- Encriptación del disco. Es un básico que todos deberíamos tener. Todos nuestros dispositivos y todos los discos deberían están encriptados porque si los perdemos ya sabemos que, aunque tengamos una contraseña súper compleja, si ese disco lo quitan y lo ponen en otro equipo ya pueden acceder a los datos. Si están encriptados, se acabó, ya no van a poder entrar.
- Accesos condicionales. Cuando tenemos a trabajadores desde fuera es una maravilla.
- Windows defender no es un antivirus. Es una herramienta que nos aporta mucha información en cuanto a logs porque cuando activamos Windows Defender lo que viene a hacer es analizar nuestro sistema y reportar la información de posibles vulnerabilidades.
Si esto lo hacemos, por ejemplo, contra un entorno que tengamos desplegado en Azure, contra un SQL, una aplicación, app services o cualquier servicio así, si lo desplegamos sobre él, lo que nos analiza es el uso que le estamos dando a esa herramienta y en función de ese uso, nos reporta posibles vulnerabilidades que podemos tener en nuestra propia base de datos. - Advanced threat protection. Existen herramientas que están homologadas dentro de Microsoft como partners y que se pueden habilitar para hacer toda esta detección de amenazas.
Se pueden activar a través de Intune. Hay más o menos 15 fabricantes que tienen homologada su aplicación para funcionar con Intune. Podemos implementarlas y funcionan realmente bien porque están integradas al 100% con el resto de la plataforma de Microsoft y están validadas por ellos.
CARACTERÍSTICAS

- Auto Enrollment. ¿Cómo funciona?
Por ejemplo, yo tengo un usuario que me ha dicho que tiene un equipo y que no sabe qué hacer con él. La solución es mandarle tu URL a su correo electrónico. Él lo único necesita en ese dispositivo es tener conexión a internet. El usuario pone esa URL en un navegador y en cuanto lo aplique, acepta los certificados y desde ese momento ya queda enrolado en la empresa y ya podemos aplicar configuraciones.
Podemos enviarles software, crear la tienda de la propia compañía en la que tenemos aplicaciones homologadas en función del uso de cada uno, perfilar qué aplicaciones le asignamos a cada usuario, etc. - AutoPilot. Está orientado a la distribución del sistema operativo.
¿Quién no ha visto la escena típica en el aeropuerto de gente que se deja el portátil? Con AutoPilot y Auto Enrollment resolver esto es sencillo.
Te vas a una tienda, coges un portátil, de la marca que sea, lo conectas a internet, haces Enrollment y automáticamente tu administrador ya puede desplegarte el sistema operativo tú quieras poner, el de tu compañía, el que está homologado, con todas las aplicaciones, con todo el versionado, con absolutamente todo y le das acceso al usuario, acceso a la VPN, etc. - Personalización con plantillas administrativas. Podemos personalizar el escritorio lo que yo quiera, es decir, como si fuera un equipo normal y corriente dentro de mi organización lo puedo hacer igual.
- Instalación/desinstalación.
- Scripting.
- Gestión de dispositivos. Sacar informes de todo el parque que tengo por ahí fuera que no tiene por qué ser mío, sino que puede ser incluso equipamiento propio de nuestros usuarios (bring your own devices).
Si te interesa saber el nivel de parches que tiene entonces puedes sacar un informe de gestión de este en función del tipo que tengan y decidir si quiero que se conecten o no se conecten (acceso condicional) hasta que no se aplique el parche y se le dan las medidas al usuario para que los aplique. Ese acceso condicional se puede usar para todo.
¿En qué consisten las directivas? Puedes decidir que, por ejemplo, todos los que tengan Office 2016, versión lo que sea, les quiero subir a todos, pero me da igual, pueden estar en la red trabajando. - Hibridación del Directorio Activo. ¿En qué consiste?
Consiste en que cualquier usuario, tanto si está en la nube como si está on premise, pueda validarse en los dos extremos. Es decir que independientemente del sitio en el que se encuentren, puedan trabajar con los mismos recursos dentro o fuera de la red.
Según Wikipedia Active Directory (AD) o Directorio Activo (DA) son los términos que utiliza Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadoras. Utiliza distintos protocolos, principalmente LDAP, DNS, DHCP y Kerberos.
De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesión en los equipos conectados a la red, así como también la administración de políticas en toda la red.
Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.
Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera.
Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequeña hasta directorios con millones de objetos.
PROTECCIÓN DE DATOS
En cuanto a las directivas de cumplimiento u ubicación.
Por ubicación lo que podemos hacer es decirle que, en ese dispositivo cuando está fuera de su casa (de una red conocida), se le apliquen una serie de medidas de seguridad, es decir, una serie de características para permitir el acceso a la red.
Eso, lo puedo diferenciar a cuando estoy dentro de mi red.
Cuando estoy dentro de la red, si es un entorno que tengo controlado y es una red segura, esas medidas a lo mejor no las quiero aplicar. Puedo dar de alta mi direccionamiento IP privado para que, cuando mis usuarios no estén entrando desde sus casas o desde la cafetería o desde donde sea, sino que están desde dentro de mi red de empresa, no se apliquen estas directivas.
A nivel de certificados, aquí os he puesto unos cuantos con los que se puede trabajar desde Intune:

Para el Network Access Control (NAC) hay diferentes fabricantes:
- Citrix
- Cisco
- F5
Estos tres fabricantes están homologados. Eso no quiere decir que con otros fabricantes no funcione, seguro que sí, pero estos tres son los que os decía que te aportan esa funcionalidad adicional cuando vamos al panel de administración de Intune.
La línea base de seguridad es como los Blueprint. Son una serie de normas que ya están pre empaquetadas que las podemos editar y que las podemos aplicar al momento, es importantísimo.
También tenemos auditoría, exportación, eliminación de los datos personales, etc.
Todo esto que os he ido contando, va recopilando logs. Los logs en Azure por defecto se almacenan entre 20 y 30 días máximo porque hay tanta información que o establecemos un nivel de rotación o al final tenemos demasiados datos y no somos capaces de hacernos cargo de ellos.
Podemos auditar absolutamente todo ya que todo reporta información de consumo y os he puesto aquí el restablecimiento a valores de fábrica porque es importante también ya que en el caso de perder el dispositivo, si es un dispositivo enrolado, restablecerá valores de fábrica y nos olvidamos de todos los problemas.
LICENCIAS INTUNE Y SEGURIDAD AVANZADA MICROSOFT: CONCLUSIÓN
Esperamos que os haya gustado este webinar.
Consulta todo lo que necesites saber acerca de Microsoft o Microsoft Intune (incluyendo información acerca de las licencias Intune) en nuestra web.
Recordad que podéis consultar todos los webinars y que os podéis suscribir a la Encora Newsletter para estar al día de todas nuestras novedades.
Gracias por compartirlo en redes sociales. Esperamos vuestros comentarios.
¡Hasta pronto!