[ARTICULO] Windows Intune | Tipos de Administradores y Configuración de Niveles de Acceso
Windows Intune ofrece dos niveles de roles de administrador, a través de los cuales se puede dar acceso a la consola de administrador.
No obstante, estos niveles de administrador responden a la necesidad de poder delegar roles correcta y escalablemente. Como administradores de Windows Intune, debemos conocer, entender y aplicar estos roles correctamente, con el objetivo que un usuario no necesite ser administrador de la organización (Tenant Administrator) para efectuar tareas de configuración.
En este artículo describiremos conceptualmente los roles de administrador y sus niveles de acceso, como así también ubicaremos en la consola el lugar para configurarlos.
[toc]
Introducción
Objetivo y Alcance
El objetivo de este artículo es:
- Conocer los roles existentes de administrador en Windows Intune.
- Entender los niveles de acceso posibles de configurar.
- Ejemplificar desde que consola se pueden dar de alta y de baja estos roles.
En relación al alcance, trabajaremos sobre el reléase de Diciembre 2012 de Windows Intune, y con una cuenta ya existente creada para nuestra organización. Vamos a tener que poder acceder a las siguientes herramientas de Windows Intune:
- El portal de administración.
- La consola de administración.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en aprender nuevas cosas.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Desarrollo
Portal de Administración y Consola de Administración: conceptos claros
Ante todo, debemos aclarar dos conceptos: diferencia entre Portal de Administración y Consola de Administración de Windows Intune.
Portal de Administración de Windows Intune
El Portal de Administración de Windows Intune se alcanza desde la siguiente URL: https://account.manage.microsoft.com
Este portal provee de acceso administrativo y permite realizar las siguientes tareas:
- Agregar y quitar usuarios.
- Agregar y quitar grupos de seguridad.
- Agregar y quitar dominios de la organización.
- Administrar, comprar, renovar y pagar suscripciones.
- Generar, verificar y responder tickets de servicio.
- Verificar el estado general de la plataforma
- Para Partners, también permite el acceso de Partners para la venta de Windows Intune.
Como podemos observar a simple vista, esta consola no provee opciones ni permite configuración de Windows Intune, sino que es meramente administrativa. Sin embargo, es el único lugar desde el cual vamos a poder generar usuarios.
Consola de Administración de Windows Intune
La Consola de Administración de Windows Intune es accesible desde la siguiente URL: https://manage.microsoft.com
Esta consola nos permite administrar todos los aspectos relacionados al producto Windows Intune: equipos, grupos, políticas, directivas, reportes, y también hasta opciones generales. Es decir, que será la consola que utilizaremos para ver el estado de los equipos, actualizaciones pendientes, etc.
A diferencia del Portal de Administración, aquí no podremos dar de alta o baja usuarios, pero si podremos administrar los equipos y dispositivos asociados a los usuarios. También, desde esta consola, vamos a poder dar de alta los administradores de servicio que veremos a continuación.
Roles de Administrador en Microsoft Online Services
Microsoft Online Services tiene varios productos y servicios. Entre ellos nos encontramos con Windows Intune y Office 365. Estos roles de administrador son accesibles desde los Portales de Administración del servicio.
Tipos de Administrador de Microsoft Online Services
Desde el Portal de Administración de Windows Intune vamos a poder asignar a nuestros usuarios roles de Administrador. A modo de repaso, existen 5 roles de administración, a saber:
- Global administrator: tiene acceso a todas las herramientas administrativas. Por defecto es la persona que compra y la primera cuenta que se crea al comprar un servicio de Microsoft Online Services, como Office 365 o Windows Intune.
- Billing administrator: Puede hacer compras, administrar suscripciones a servicios, administrar tickets de soporte y monitorear el estado general de la plataforma. No puede desarrollar otras tareas administrativas.
- Password administrator: como bien su nombre lo indica, puede resetear password, administrar requerimientos de servicio y monitorear el estado genera de la plataforma.
- Service administrator: administra requerimientos de servicio y monitorea su estado general.
- User management administrator: puede resetear passwords, monitorear el estado general de servicio, y administrar cuentas de usuario y grupos. Si bien no puede crear o borrar otros administradores, si puede administrar otras opciones de los usuarios.
En este artículo, nuestro foco se concentrará en “Global Administrator”. Los restantes, si bien con importantes para el Portal de Administración, no nos suman funcionalidad en la Consola de Administración de Windows Intune.
Como agregar o quitar Global Administrators desde el Portal
Dentro del Portal de Administración de Windows Intune de Microsoft Online Services (https://account.manage.microsoft.com) vamos a ir a “Users” en el apartado “Management”:
Allí haremos un clic sobre el usuario al que queremos darle derechos de Global Administrator. Por ejemplo en nuestro caso lo haremos sobre “Bart Simpson”:
Tal como muestra la imagen anterior, debemos ir a la sección “Settings” y allí darle los derechos de “Global Administrator” en la primer pregunta: “Do you want this user to have administrator…”.
Recordemos, que por defecto el primer usuario que crea la cuenta es un Global Administrator, y que luego podremos (y es recomendable) dar por lo menos 1 acceso más con este nivel.
Este usuario tendrá, como veremos a continuación, derechos totales sobre la Consola de Administración de Windows Intune.
Roles de Administrador de Windows Intune
En lo específico a Windows Intune, tendremos dos niveles de roles de administrador cuyo acceso se verá reflejado en la Consola de Administración (recordemos que no es lo mismo que Portal de Administración). Estos niveles son:
- Windows Intune Tenant Administrator: tiene todos los derechos administrativos y técnicos en la consola de administración de Windows Intune. Es quién está marcado con el rol de “Global Administrator” en los roles que vimos anteriormente y normalmente es el usuario que ha comprado y aceptado el contrato de Windows Intune. Por supuesto, luego se pueden agregar más y, específicamente, es lo recomendado.
- Windows Intune Service Administrator: tiene derechos específicos sobre la consola de administración de Windows Intune, y tiene posibilidad de configurarse con dos niveles de acceso que veremos a continuación: Full Access y Read-only Access. No es necesario que tengan ningún rol de administrador específico, solo que forme parte del grupo “Windows Intune” del Panel de Administración.
Niveles de Acceso a Consola de Administración de Windows Intune
Ya hemos dejado en claro que los “Windows Intune Tenant Administrators” tiene derechos totales sobre la Consola de Administración de Windows Intune. Ahora bien, quienes sean “Windows Intune Service Administrator” tendrán posibilidad de dos niveles de acceso:
- Full Access: este nivel de administrador permite el acceso completo a la consola de administración de Windows Intune y puede realizar todas las operaciones, incluyendo agregar o quitar otros administradores de servicio.
- Read-only Access: estos administradores de servicio tienen derechos de sólo lectura sobre la consola y no pueden realizar ningún tipo de modificación. Son muy útiles para verificaciones, controles y revisiones de información que pueda generar Windows Intune sobre los equipos. Por supuesto, pueden correr reportes.
Es decir, un “Windows Intune Service Administrator” con derechos Full Access tendrá el mismo nivel de acceso que un “Windows Intune Tenant Administrator”, sin embargo será este último quien pueda ingresar al Portal de Administración, y no el Windows Intune Service Administrator. Este es un aspecto central para entender cómo hacer una delegación de roles efectiva para Windows Intune.
Cómo agregar o quitar niveles de Windows Intune Service Administrator desde la Consola
Los niveles de Windows Intune Service Administrators se administran desde la “Consola de Administración de Windows Intune”, y no desde el “Portal de Administración”. Por ello ingresaremos con un usuario que sea Windows Intune Tenant Administrator a la URL: https://manage.microsoft.com
Allí iremos a la sección “Administración”:
Luego iremos a “Administración de Administradores”, opción “Administradores del Servicio”:
Tal como muestra la imagen anterior, haremos clic en “Agregar”:
Allí completaremos el Id de usuario (usuario@dominio.com) y le configuraremos su nivel de acceso: Full Access (acceso completo) o Read-only Access (Acceso de solo lectura).
Luego de haber configurado esto, podremos disfrutar de realizar una delegación de funciones en Windows Intune, y un manejo correcto de los tipos y niveles de roles de Administración para el “Portal de Administración Windows Intune” y la “Consola de Administración de Windows Intune”.
Conclusiones
Windows Intune, y el resto de los servicios de Microsoft Online Services, provee una simple y eficaz forma de trabajar con delegación de roles. De esta forma, nos aseguramos que los usuarios tengan los permisos de acceso y ejecución que realmente necesitan para su trabajo diario, sin comprometernos ni comprometerlos a situaciones dudosas.
En el caso de Windows Intune, tenemos dos grandes niveles de administración para la Consola de Administración, que es aquella donde realizamos las operaciones diarias sobre el sistema Windows Intune: nivel completo (Full Access) y nivel limitado (Read-only Access).
Esperamos que este artículo haya sido de utilidad y esperamos el feedback de todos!
Referencias y Links
- Assigning administrator roles: http://technet.microsoft.com/en-us/library/hh967622.aspx
- Configure Your Windows Intune Environment: http://technet.microsoft.com/en-US/hh441722.aspx