[ARTICULO] Windows Intune | Tipos de Administradores y Configuración de Niveles de Acceso

Windows Intune ofrece dos niveles de roles de administrador, a través de los cuales se puede dar acceso a la consola de administrador.

No obstante, estos niveles de administrador responden a la necesidad de poder delegar roles correcta y escalablemente. Como administradores de Windows Intune, debemos conocer, entender y aplicar estos roles correctamente, con el objetivo que un usuario no necesite ser administrador de la organización (Tenant Administrator) para efectuar tareas de configuración.

En este artículo describiremos conceptualmente los roles de administrador y sus niveles de acceso, como así también ubicaremos en la consola el lugar para configurarlos.

 

[toc]

 

Introducción

Objetivo y Alcance

El objetivo de este artículo es:

  • Conocer los roles existentes de administrador en Windows Intune.
  • Entender los niveles de acceso posibles de configurar.
  • Ejemplificar desde que consola se pueden dar de alta y de baja estos roles.

 

En relación al alcance, trabajaremos sobre el reléase de Diciembre 2012 de Windows Intune, y con una cuenta ya existente creada para nuestra organización. Vamos a tener que poder acceder a las siguientes herramientas de Windows Intune:

  • El portal de administración.
  • La consola de administración.

 

Audiencia

Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en aprender nuevas cosas.

 

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

 

Desarrollo

Portal de Administración y Consola de Administración: conceptos claros

Ante todo, debemos aclarar dos conceptos: diferencia entre Portal de Administración y Consola de Administración de Windows Intune.

 

Portal de Administración de Windows Intune

El Portal de Administración de Windows Intune se alcanza desde la siguiente URL: https://account.manage.microsoft.com

Este portal provee de acceso administrativo y permite realizar las siguientes tareas:

  • Agregar y quitar usuarios.
  • Agregar y quitar grupos de seguridad.
  • Agregar y quitar dominios de la organización.
  • Administrar, comprar, renovar y pagar suscripciones.
  • Generar, verificar y responder tickets de servicio.
  • Verificar el estado general de la plataforma
  • Para Partners, también permite el acceso de Partners para la venta de Windows Intune.

 

Como podemos observar a simple vista, esta consola no provee opciones ni permite configuración de Windows Intune, sino que es meramente administrativa. Sin embargo, es el único lugar desde el cual vamos a poder generar usuarios.

 

Consola de Administración de Windows Intune

La Consola de Administración de Windows Intune es accesible desde la siguiente URL: https://manage.microsoft.com

Esta consola nos permite administrar todos los aspectos relacionados al producto Windows Intune: equipos, grupos, políticas, directivas, reportes, y también hasta opciones generales. Es decir, que será la consola que utilizaremos para ver el estado de los equipos, actualizaciones pendientes, etc.

A diferencia del Portal de Administración, aquí no podremos dar de alta o baja usuarios, pero si podremos administrar los equipos y dispositivos asociados a los usuarios. También, desde esta consola, vamos a poder dar de alta los administradores de servicio que veremos a continuación.

 

Roles de Administrador en Microsoft Online Services

Microsoft Online Services tiene varios productos y servicios. Entre ellos nos encontramos con Windows Intune y Office 365. Estos roles de administrador son accesibles desde los Portales de Administración del servicio.

 

Tipos de Administrador de Microsoft Online Services

Desde el Portal de Administración de Windows Intune vamos a poder asignar a nuestros usuarios roles de Administrador. A modo de repaso, existen 5 roles de administración, a saber:

  • Global administrator: tiene acceso a todas las herramientas administrativas. Por defecto es la persona que compra y la primera cuenta que se crea al comprar un servicio de Microsoft Online Services, como Office 365 o Windows Intune.
  • Billing administrator: Puede hacer compras, administrar suscripciones a servicios, administrar tickets de soporte y monitorear el estado general de la plataforma. No puede desarrollar otras tareas administrativas.
  • Password administrator: como bien su nombre lo indica, puede resetear password, administrar requerimientos de servicio y monitorear el estado genera de la plataforma.
  • Service administrator: administra requerimientos de servicio y monitorea su estado general.
  • User management administrator: puede resetear passwords, monitorear el estado general de servicio, y administrar cuentas de usuario y grupos. Si bien no puede crear o borrar otros administradores, si puede administrar otras opciones de los usuarios.

 

En este artículo, nuestro foco se concentrará en “Global Administrator”. Los restantes, si bien con importantes para el Portal de Administración, no nos suman funcionalidad en la Consola de Administración de Windows Intune.

 

Como agregar o quitar Global Administrators desde el Portal

Dentro del Portal de Administración de Windows Intune de Microsoft Online Services (https://account.manage.microsoft.com) vamos a ir a “Users” en el apartado “Management”:

 

Ilustración 1 – Usuarios de Windows Intune desde el Portal de Administración.
Ilustración 1 – Usuarios de Windows Intune desde el Portal de Administración.

 

Allí haremos un clic sobre el usuario al que queremos darle derechos de Global Administrator. Por ejemplo en nuestro caso lo haremos sobre “Bart Simpson”:

 

Ilustración 2 – Modificación de opciones de usuarios desde el Portal de Administración para dar permisos de Global Administrator.
Ilustración 2 – Modificación de opciones de usuarios desde el Portal de Administración para dar permisos de Global Administrator.

 

Tal como muestra la imagen anterior, debemos ir a la sección “Settings” y allí darle los derechos de “Global Administrator” en la primer pregunta: “Do you want this user to have administrator…”.

Recordemos, que por defecto el primer usuario que crea la cuenta es un Global Administrator, y que luego podremos (y es recomendable) dar por lo menos 1 acceso más con este nivel.

Este usuario tendrá, como veremos a continuación, derechos totales sobre la Consola de Administración de Windows Intune.

 

Roles de Administrador de Windows Intune

En lo específico a Windows Intune, tendremos dos niveles de roles de administrador cuyo acceso se verá reflejado en la Consola de Administración (recordemos que no es lo mismo que Portal de Administración). Estos niveles son:

  • Windows Intune Tenant Administrator: tiene todos los derechos administrativos y técnicos en la consola de administración de Windows Intune. Es quién está marcado con el rol de “Global Administrator” en los roles que vimos anteriormente y normalmente es el usuario que ha comprado y aceptado el contrato de Windows Intune. Por supuesto, luego se pueden agregar más y, específicamente, es lo recomendado.
  • Windows Intune Service Administrator: tiene derechos específicos sobre la consola de administración de Windows Intune, y tiene posibilidad de configurarse con dos niveles de acceso que veremos a continuación: Full Access y Read-only Access. No es necesario que tengan ningún rol de administrador específico, solo que forme parte del grupo “Windows Intune” del Panel de Administración.

 

Niveles de Acceso a Consola de Administración de Windows Intune

Ya hemos dejado en claro que los “Windows Intune Tenant Administrators” tiene derechos totales sobre la Consola de Administración de Windows Intune. Ahora bien, quienes sean “Windows Intune Service Administrator” tendrán posibilidad de dos niveles de acceso:

  • Full Access: este nivel de administrador permite el acceso completo a la consola de administración de Windows Intune y puede realizar todas las operaciones, incluyendo agregar o quitar otros administradores de servicio.
  • Read-only Access: estos administradores de servicio tienen derechos de sólo lectura sobre la consola y no pueden realizar ningún tipo de modificación. Son muy útiles para verificaciones, controles y revisiones de información que pueda generar Windows Intune sobre los equipos. Por supuesto, pueden correr reportes.

 

Es decir, un “Windows Intune Service Administrator” con derechos Full Access tendrá el mismo nivel de acceso que un “Windows Intune Tenant Administrator”, sin embargo será este último quien pueda ingresar al Portal de Administración, y no el Windows Intune Service Administrator. Este es un aspecto central para entender cómo hacer una delegación de roles efectiva para Windows Intune.

 

Cómo agregar o quitar niveles de Windows Intune Service Administrator desde la Consola

Los niveles de Windows Intune Service Administrators se administran desde la “Consola de Administración de Windows Intune”, y no desde el “Portal de Administración”. Por ello ingresaremos con un usuario que sea Windows Intune Tenant Administrator a la URL: https://manage.microsoft.com

Allí iremos a la sección “Administración”:

 

Ilustración 3 – Consola de Administración de Windows Intune: administración de administradores.
Ilustración 3 – Consola de Administración de Windows Intune: administración de administradores.

 

Luego iremos a “Administración de Administradores”, opción “Administradores del Servicio”:

 

Ilustración 4 – Consola de Administración de Windows Intune: administración de administradores de servicio.
Ilustración 4 – Consola de Administración de Windows Intune: administración de administradores de servicio.

 

Tal como muestra la imagen anterior, haremos clic en “Agregar”:

 

Ilustración 5 – Consola de Administración de Windows Intune: administración de administradores de servicio – Cómo agregar un nuevo administrador de servicio y configurar su nivel de acceso.
Ilustración 5 – Consola de Administración de Windows Intune: administración de administradores de servicio – Cómo agregar un nuevo administrador de servicio y configurar su nivel de acceso.

 

Allí completaremos el Id de usuario (usuario@dominio.com) y le configuraremos su nivel de acceso: Full Access (acceso completo) o Read-only Access (Acceso de solo lectura).

Luego de haber configurado esto, podremos disfrutar de realizar una delegación de funciones en Windows Intune, y un manejo correcto de los tipos y niveles de roles de Administración para el “Portal de Administración Windows Intune” y la “Consola de Administración de Windows Intune”.

 

Conclusiones

Windows Intune, y el resto de los servicios de Microsoft Online Services, provee una simple y eficaz forma de trabajar con delegación de roles. De esta forma, nos aseguramos que los usuarios tengan los permisos de acceso y ejecución que realmente necesitan para su trabajo diario, sin comprometernos ni comprometerlos a situaciones dudosas.

En el caso de Windows Intune, tenemos dos grandes niveles de administración para la Consola de Administración, que es aquella donde realizamos las operaciones diarias sobre el sistema Windows Intune: nivel completo (Full Access) y nivel limitado (Read-only Access).

Esperamos que este artículo haya sido de utilidad y esperamos el feedback de todos!

 

Referencias y Links

 

 

0 0 votes
Article Rating

Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Engineering Manager at MODO (https://modo.com.ar), the payment solution that allows you to connect your money and your world to simplify everyday life. Modo is a payment solution in which you can send, order and pay from your mobile device in the safest, most practical and convenient way. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments