[ARTICULO] Windows Intune | Conceptos y Fundamentos

Windows Intune es un servicio en la nube de Microsoft, basado en suscripción mensual, y que facilita la administración unificada de dispositivos cliente. Se dio a conocer en Julio de 2011. En Febrero 2013 se presentó una mejorada versión de la solución, que ha presentado algunos updates en relación a su versión original que le han sumado funcionalidades y mejorado características.

En un primer momento, Windows Intune fue presentado para organizaciones pequeñas a medianas, Hoy en día, y gracias a su integración con System Center Configuration Manager 2012, esta herramienta puede también ser una extensión en la nube para grandes organizaciones.

En este artículo vamos a presentar conceptualmente Windows Intune, recorrer sus funcionalidades y qué brinda a las organizaciones como para que sea tenido en cuenta como solución a implementar.

 

[toc]

 

Introducción

Objetivo y Alcance

El presente documento tiene como objetivo que el lector:

  • Conozca qué es Windows Intune.
  • Conozca cómo funciona y sus características.
  • Conozca en qué dispositivos puede implementarse.

 

En relación al alcance, este artículo se refiere a la versión de Diciembre 2012 de Windows Intune. Otras características agregadas posteriormente a la fecha de publicación, si bien entendemos que no nos disruptivas a los conceptos y fundamentos plasmados aquí, deberán ser revisadas.

 

Desarrollo

Introducción a Windows Intune

Windows Intune es un servicio en la nube de Microsoft, basado en suscripción mensual, y que facilita la administración unificada de dispositivos cliente. En un primer momento, Windows Intune fue presentado para organizaciones pequeñas a medianas, Hoy en día, y gracias a su integración con System Center Configuration Manager 2012, esta herramienta puede también ser una extensión en la nube para grandes organizaciones.

Vamos a recorrer tres puntos esenciales para entender conceptualmente la herramienta:

  • Sus funcionalidades.
  • Como es que funciona.
  • Por qué deberíamos tener en cuenta a Intune como solución.

 

Funcionalidades de Windows Intune

¿Qué funcionalidades ofrece Windows Intune? Vamos a recorrer las siguientes características del producto existentes en la versión de Diciembre 2012:

  • Despliegue de Actualizaciones.
  • Protección contra Malware.
  • Monitoreo y Alertas.
  • Asistencia Remota.
  • Políticas de Seguridad.
  • Despliegue de Software.
  • Inventariado de Hardware y Software.
  • Gestión de Licenciamiento.
  • Self-Service Portal.

 

Despliegue de Actualizaciones

Windows Intune brinda la posibilidad de centralizar la administración y despliegue de actualizaciones a través de Microsoft Update hacia todas las PCs.

Con esta funcionalidad, tenemos una alternativa al rol WSUS (Windows Server Update Services) que viene integrado con las versiones Windows Server, como así también al despliegue de actualizaciones que se realiza con Configuration Manager (también haciendo uso del WSUS).

Existen algunas diferencias de arquitectura en relación a WSUS que intentaremos describir breve y en forma genérica. La distribución de actualizaciones a través de WSUS permite el siguiente esquema de despliegue:

 

Ilustración 1 - Diseño de básico y estandar para despliegue de actualizaciones con servidor WSUS.
Ilustración 1 – Diseño de básico y estandar para despliegue de actualizaciones con servidor WSUS.

 

 

En cambio con Windows Intune, cada dispositivo de nuestra red descarga updates individualmente desde la nube de Windows Intune:

 

Ilustración 2 - Diseño de básico y estandar para despliegue de actualizaciones con Windows Intune. Nótese que se establece una conexión por equipo.
Ilustración 2 – Diseño de básico y estandar para despliegue de actualizaciones con Windows Intune. Nótese que se establece una conexión por equipo.

 

Sin entrar en mayores detalles, esto puede provocar un impacto en nuestra infraestructura, debido a que cada equipo es el que se conecta y descarga las actualizaciones, contrariamente a lo que sucede con WSUS el cual descarga para luego distribuir a toda nuestra red los updates desde Microsoft.

 

Protección contra Malware

Windows Intune ayuda a proteger los dispositivos administrados (computadoras y dispositivos móviles) de las últimas amenazas con la protección centralizada de Endpoint Protection. Endpoint Protection provee:

  • Protección en tiempo real.
  • Protección contra potenciales amenazas.
  • Definiciones contra software malicioso actualizadas.
  • Escaneos programados.

 

El motor de protección utilizado en Windows Intune es el mismo que utiliza System Center 2012 Endpoint Protection.

 

Monitoreo y Alertas

Windows Intune provee de alertas que ayudan a identificar proactivamente amenazas o problemas en los equipos, antes de que ellos impacten al usuario y requieran atención reactiva por parte del administrador.

 

Asistencia Remota

Con Windows Intune, podemos resolver remotamente problemas que el usuario, o brindarle ayuda sin importar el lugar donde esté. El usuario puede solicitar asistencia y el administrador, desde la misma consola web, puede brindársela.

 

Inventariado de Hardware y Software

Podemos dar seguimiento de los activos de hardware y software con las funcionalidades para tal fin que provee Windows Intune:

  • En relación al inventariado de software, éste está solo disponible para computadoras, no dispositivos móviles. Con este complemento, podemos tener un informe de todas las aplicaciones que los equipos tienen instalados, incluyendo números de versión.
  • En relación al inventariado de hardware, podemos obtener información sobre procesador, placa madre y otros dispositivos conectados.

 

Políticas de Seguridad

Las políticas de Windows Intune proveen opciones para controlar muchos aspectos del sistema:

  • Actualizaciones de Software.
  • Opciones de Endpoint Protection.
  • Opciones de Firewall de Windows.
  • Opciones de seguridad para dispositivos móviles.
  • Experiencia de usuarios en el Windows Intune Center.

 

Estas políticas permiten personalizar la experiencia del administrador y los usuarios finales, además de facilitar el cumplimiento de políticas específicas de la organización.

 

Despliegue de Software

Windows Intune permite realizar un deploy de software en computadoras o dispositivos móviles.

  • Para el caso de computadoras, se puede “requerir” la instalación, proceso en el cual el software se instala automáticamente en el equipo (computadora) sin la intervención del usuario.
  • Para el caso de los dispositivos móviles y también computadoras, se puede “poner a disposición” la instalación, el cual deja el software disponible a través del portal de la empresa (self service portal).

 

Gestión de Licenciamiento

Desde Windows Intune podemos incorporar la información de acuerdos de licencia adquiridos mediante Acuerdos de Licencias por Volumen de Microsoft, directamente de Microsoft o, inclusive, de software que no es de Microsoft.

Y aquí vale una aclaración: esta información, según contrato con Microsoft, no podrá ser utilizada por Microsoft para investigación de violaciones de licencias tanto de Microsoft como de otras empresas. Esta funcionalidad se brinda sólo para ampliar la funcionalidad de Windows Intune. Así como no puede ser utilizado para los fines anteriormente mencionados, tampoco garantiza cumplimiento de acuerdos de licencia J.

Con la información del módulo Licencias, podemos extraer infores para ayudar a determinar la posición de licenciamiento de la empresa en base al software instalado. Por supuesto, esto es sólo informativo y, tal como comentamos antes, no garantiza cumplimiento de software ni está diseñado para tal fin.

 

Self-Service Portal

Windows Intune Company Portal es una página focalizada en el usuario final que permite al usuario que consume el servicio:

  • Inscribir y administrar su dispositivo.
  • Buscar e instalar aplicaciones que estén habilitadas por el administrador para distribución.
  • Requerir soporte mediante Asistencia Remota a los profesionales de mesa de ayuda de la organización.

 

Este portal puede estar disponible, en base a las políticas de la organización, para todos los usuarios dados de alta en Windows Intune y accesible desde cualquier punto del planeta con Internet.

 

¿Cómo funciona Windows Intune?

Entender cómo funciona Windows Intune nos facilitará entender por qué puede ser una solución accesible para pequeñas y medianas empresas, o hasta una extensión en la nube de grandes organizaciones.

Windows Intune proporciona la posibilidad de sincronizar o no sincronizar nuestros datos con una infraestructura de Active Directory existente. En base a esta decisión, van a poder utilizarse más o menos funcionalidades de la herramienta.

 

Tipos de Implementación

Windows Intune presenta dos modos de implementación:

  • Implementación en la nube.
  • Implementación unificada on-promises.

 

Implementación en la nube

La implementación en la nube no requiere de hardware extra en la organización, y permite administrar tanto equipos Windows como Dispositivos Móviles en forma integrada desde un navegador web:

 

Ilustración 3 – Implementación en la nube para Windows Intune.
Ilustración 3 – Implementación en la nube para Windows Intune.

 

Los administradores IT usarán la consola web para acceder a las características de administración sobre los clientes y dispositivos móviles manejados.

 

Implementación unificada on-promises

En la implementación unificada on-promises tenemos una integración de System Center Configuration Manager 2012 con Windows Intune, y requiere hardware y licencias adicionales. Este hardware y licencias se utilizarán para el software System Center Configuration Manager:

 

Ilustración 4 – Implementación unificada on-promises + en la nube para Windows Intune y System Center Configuration Manager.
Ilustración 4 – Implementación unificada on-promises + en la nube para Windows Intune y System Center Configuration Manager.

 

Los administradores IT usarán la consola de administración de System Center Configuration Manager 2012 SP1 para acceder a las características de administración de los clientes soportados. Este tipo de implementación permite un deploy de hasta aproximadamente 100 mil usuarios, computadoras y dispositivos móviles desde una infraestructura de administración única.

 

Clientes Soportados

Se puede instalar el software cliente de Windows Intune en equipos que ejecuten cualquiera de los siguientes sistemas operativos de Windows:

  • Windows XP Professional, Service Pack (SP) 3.
  • Windows Vista Enterprise, Ultimate o Business.
  • Windows 7 Enterprise, Ultimate o Professional.
  • Windows 8 Enterprise o Pro.

 

Windows Intune tiene soporte para dispositivos tablets y móviles que ejecuten los siguientes sistemas operativos:

  • Windows Phone 8.
  • iOS 5.0 o posterior.
  • Android 2.3.4 o posterior.

 

Límites Soportados

Para la implementación en la nube de Windows Intune, un máximo de 20 mil (20.000) dispositivos son soportados por cada cuenta de Intune. Se puede optar por tener más de una cuenta, pero siempre respetando el límite de 20 mil dispositivos.

Para implementaciones unificadas on-promises, es decir a través de System Center Configuration Manager 2012 SP1 o superior, se puede extender el límite hasta 100 mil (100.000) dispositivos.

 

Modos de Conexión

En equipos clientes Windows (computadoras) es necesario instalar el cliente de Windows Intune. No es requisito que nuestra infraestructura de Active Directory esté sincronizada para funcionar.

Para dispositivos móviles, Windows Intune usa la administración directa (MDM – Mobile Device Management) y Exchange ActiveSync (EAS) en base a la siguiente tabla:

Windows Intune y dispositivos móviles
Windows Intune y dispositivos móviles

 

Es importante destacar que para que Windows Intune admita Exchange ActiveSync para los dispositivos más antiguos basados en Windows y dispositivos Android, el entorno debe tener la sincronización de Active Directory Domain Services habilitada. Además, se necesita descargar e instalar el Windows Intune Exchange Connector y configurarlo con Exchange Server 2010 SP1 o superior.

 

¿Por qué Windows Intune?

Una de las preguntas que podemos formularnos en una reunión de IT, conociendo los fundamentos básicos de la herramienta, es: ¿por qué Windows Intune y no Configuration? Mi respuesta ante ello es una pregunta un tanto diferente: ¿Por qué no ambas?

Entender que Windows Intune no es la competencia de System Center Configuration Manager es el primer paso para que los administradores puedan entender cómo y cuándo recomendar la herramienta.

Es indiscutible que para pequeñas y medianas empresas Windows Intune es muy seductor al no requerir hardware de despliegue ni licencias extras. Sin embargo, para grandes empresas puede ser una solución muy escalable para dispositivos móviles, dado que brinda una flexibilidad y simplicidad de administración que, en comparación a System Center Configuration Manager, requiere mucho menos esfuerzos. Y además, se integra totalmente desde la misma consola On-Promises facilitando su gestión.

En los próximos y últimos puntos de este artículo, vamos a analizar 4 aspectos clave para entender por qué podemos optar por Windows Intune para pequeñas a medianas organizaciones, y por qué podemos pensar en Windows Intune como complemento para System Center Configuration Manager para grandes organizaciones.

 

Infraestructura Unificada y 100% en la Nube

100% en la Nube: no solo una moda

El objetivo de este punto no es hacer promoción de “Servicios en la Nube” como moda, sino entender qué ventaja puede darle a una organización esta posibilidad.

Windows Intune permite administrar el entorno IT de una organización directamente desde la nube o bien extendiendo una solución local como System Center Configuration Manager. Si nos enfocamos en la primera opción (100% nube) tendremos los siguientes beneficios:

  • No requiere inversión de Hardware.
  • No requiere inversión de licencias Microsoft Server.
  • Administración y gestión remota continua.

 

No requiere inversión de Hardware

Windows Intune no requiere despliegue de servicios de servidor, dado que todos los servicios que dan vida a la herramienta están en servidores de Microsoft.

 

No requiere inversión de licencias Microsoft Server

Por la misma razón que el anterior punto, no requiere instalación de sistemas operativos servidor ni software local. El contrato de Windows Intune es mensual (llamémosle “alquiler”).

 

Administración y gestión remota continua

Windows Intune es accesible desde cualquier navegador web, y proporciona interfaces de comunicación seguras tanto para administración del personal IT como administración de los dispositivos que administra. Pensemos en lo siguiente: ¿qué pasa si un usuario viaja a otro país con la computadora portátil? Con Windows Intune esto no es un problema o limitación, dado que la computadora cuando se conecte a Internet reportará al centro de datos de Microsoft su status, bajará nuevas políticas y no le perderemos rastro.

 

Infraestructura Unificada

La administración de todos los dispositivos de nuestra infraestructura es unificada, incluso cuando Windows Intune es una extensión de System Center Configuration Manager.

Una administración y gestión de dispositivos unificada simplifica la vida de cualquier administrador y disminuye los costos indirectos (y directos, por qué no) de la gestión IT. ¿Por qué? Repasemos los siguientes puntos:

  • Reduce la Complejidad de Infraestructura.
  • Unifica cómo se administra esta Infraestructura.
  • Unifica Usuarios y Dispositivos.
  • Facilita el Despliegue de Aplicaciones.

 

Todos estos puntos hacen de Windows Intune una poderosa herramienta 100% en la nube, con el foco en centralizar y simplificar nuestra administración de infraestructura.

 

Administración de Dispositivos

Windows Intune nos permite administrar diversos tipos de dispositivos fácilmente y con muy poco esfuerzo de despliegue. Podemos pensar en administrar 100% nuestros dispositivos desde la nube, o administrar los dispositivos locales de la organización mediante System Center Configuration Manager + Windows Intune para los dispositivos remotos, ya sean móviles o notebook de empleados que viajan mucho.

Entre sus principales características, como ya hemos visto, encontramos las siguientes en torno a la administración de dispositivos:

  • Gestión de dispositivos móviles simplificada.
  • Flexibilidad de Administración.
  • Supervisión Proactiva.
  • Despliegue de Aplicaciones.
  • Tareas de operación remotas.

 

Cumplimiento y Seguridad

Garantizar que los equipos clientes cumplan las medidas que el departamento de IT definió en sus políticas es un aspecto muy importante. Windows Intune garantiza el cumplimiento de dichas políticas mediante la elección de opciones y configuraciones desde una consola centralizada que aplica a los clientes administrados rápidamente, y estén donde estén.

Además, y mediante las herramientas de monitoreo en línea, se puede visualizar y controlar dicho cumplimiento, así como ampliar la información de aspectos que nos resulten sospechosos.

Por otro lado, garantizar que los equipos clientes no tendrán infecciones de malware es una tarea muy dificultosa, y más en organizaciones donde existen muchas notebooks o dispositivos móviles que no reportan por un largo tiempo a la administración central por ejemplo de Configuration Manager. Windows Intune provee una interface simple de conexión con sólo tener una conexión a internet mediante HTTPS. Por otro lado, el despliegue de Endpoint Protection facilita la dura tarea de mantener protegidas las computadoras, estén donde estén.

Recordemos: Windows Intune no solamente despliega actualizaciones y antivirus, es un complejo sistema de administración simple que garantiza el cumplimiento de muchas políticas relacionadas con el Firewall, protección Antivirus, escaneos programados y visor de eventos.

 

Digamos “Sí” a BYOD (Bring Your Own Device)

Cada vez más los trabajadores utilizan los dispositivos laborales en casa y viceversa. Esto puede ser un gran riesgo para los Administradores IT, dado que los documentos e información sensible es accedida desde fuentes que no llegan a controlarse. Sin embargo, como siempre, un gran riesgo es quizás una gran oportunidad.

Windows Intune facilita y soporta la iniciativa BYOD (Bring Your Own Device), permitiendo la administración y cumplimiento de políticas para dispositivos que aún no están en la oficina e incluso diversas plataformas como Windows RT, Windows 8, iOS y Android.

Por otro lado, el despliegue de actualizaciones por cada dispositivo que el usuario tiene puede resultar tedioso. Sin embargo Windows Intune provee un portal para distribución de software, donde se cuenta con un espacio seguro en la nube para subir aquellas aplicaciones que deben ser desplegadas a los distintos clientes, permitiendo la instalación automática o publicación en portal para que el usuario sea el que finalmente la descarga y utiliza.

 

Conclusiones

Windows Intune, sin lugar a dudas, es una herramienta muy poderosa para garantizar la seguridad y el cumplimiento de políticas de la empresa, tanto para pequeñas, medianas o grandes organizaciones.

Recorriendo las características que tiene (funcionalidades) y los clientes soportados, no podemos dejar de considerar a Windows Intune como candidata a implementarse en todo tipo de organizaciones, asumiendo que el estilo de vida moderno y los nuevos dispositivos móviles están y estarán (cada vez más) presentes en nuestras vidas de administradores IT.

Cualquiera puede iniciar un trial de Windows Intune, el cual dura 30 días, a partir de su portal oficial y probar las características. Solo seguir el enlace y nos cuentan! http://www.microsoft.com/intune

 

Referencias y Links

 

 

0 0 votes
Article Rating

Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Engineering Manager at MODO (https://modo.com.ar), the payment solution that allows you to connect your money and your world to simplify everyday life. Modo is a payment solution in which you can send, order and pay from your mobile device in the safest, most practical and convenient way. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.

Subscribe
Notify of
guest

2 Comments
Most Voted
Newest Oldest
Inline Feedbacks
View all comments
trackback
April 9, 2013 10:56 PM

[…] Windows Intune – Conceptos y Fundamentos […]

Oliver Burgos
Oliver Burgos
July 3, 2013 12:43 PM

Excelente artículo! Excelente resumen técnico! Más claro imposible