[Articulo] Windows | Windows 10 en las Organizaciones: Transición hacia una administración moderna
En la visión de una “administración moderna” para Windows 10, las organizaciones pueden administrar dispositivos con Windows de cualquier forma: PC, tablets, teléfono, HoloLens, Surface Hub, etc., de la misma manera que el resto de los dispositivos móviles del entorno.
Los usuarios desean la flexibilidad de usar sus propios dispositivos personales. Los profesionales de TI tienen la tarea de administrar dispositivos en un entorno de dispositivos de uso mixto y centrado en dispositivos móviles, al tiempo que mantienen la productividad para los usuarios, protegen los activos corporativos y mantienen bajos los costos.
En esta publicación vamos a contar conceptualmente cómo mediante la administración de dispositivos móviles (MDM), las organizaciones pueden administrar con mayor facilidad los dispositivos de Windows, independientemente de si están en la red corporativa o no.
¡Esperamos que lo disfruten y estamos en contacto!
[toc]
Introducción
Objetivo y Alcance
Esta publicación tiene como objetivo contar conceptualmente cómo mediante la administración de dispositivos móviles (MDM), las organizaciones pueden administrar con mayor facilidad los dispositivos de Windows, independientemente de si están en la red corporativa o no.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Desarrollo
El uso de dispositivos personales para el trabajo, así como de los empleados que trabajan fuera de la oficina, está cambiando la forma en que las organizaciones administran los dispositivos. Si bien algunas partes de algunas organizaciones pueden requerir un control profundo y granular de los dispositivos, otras organizaciones están adoptando una administración más ligera basada en escenarios que faculta a la fuerza de trabajo moderna.
En este sentido, Windows 10 ofrece múltiples opciones de administración para las organizaciones:
- Por un lado, brinda soporte para que sea administrado profundamente a través de tecnologías como directivas de grupo (GPOs), Active Directory y System Center Configuration Manager.
- Por otro lado, ofrece un enfoque “mobile-first cloud-first” de administración simplificada y moderna que utiliza soluciones de administración MDM (Mobile Device Management) para administración menos profunda pero que permite llegar a virtualmente cualquier dispositivo conectado a Internet, de la mano de tecnologías tales como Microsoft Enterprise Mobility Suite (EMS) o software de terceros.
Al pensar en los fundamentos de la administración y cómo desea aplicarlos a diferentes dispositivos, tenga en cuenta las siguientes cuatro etapas del ciclo de vida del dispositivo:
Vamos a recorrer cada una de estas etapas, con el fin de entender cuáles son las tendencias modernas de administración y concluyendo en cuál es la más adecuada.
Deployment and Provisioning
A diferencia de la implementación de sistema operativo tradicional, que requiere operaciones de TI complejas, la administración de dispositivos moderna abre la puerta a la “administración inmediata”. Tradicionalmente, el Equipo de IT debía generar una imagen “inicial” con todas las aplicaciones que el usuario debía utilizar, como así también podía optar con generar secuencia de tareas a través de un software de distribución de sistemas operativos que instalaran estas aplicaciones inmediatamente luego de instalar el sistema operativo.
Hoy en día, el Equipo de IT (y también el usuario) requiere transformar fácilmente dispositivos nuevos o reseteados recientemente en dispositivos completamente configurados y totalmente administrados, sin volver a generar imágenes o reinstalando una imagen del sistema que requiera intervención de IT.
Windows 10 hoy tiene funcionalidades de reseteo de sistema operativo, permitiendo a un usuario desktop o mobile (siempre y cuando cuente con esos derechos) de volver el sistema operativo a fábrica. Una vez que esto sucede, el usuario con Windows 10 también tiene la posibilidad de ingresar su nomobre de usuario y password para volver a ingresar y loguearse a los recursos corporativos (ejemplo con Azure Active Directory). Pero… ¿qué sucede con todas las aplicaciones instaladas?
El aprovisionamiento dinámico hoy resulta ser mucho más facil, habilitado por servicios de administración de dispositivos basados en la nube como Microsoft Intune. Adicionalmente, y con el fin de transformar dispositivos nuevos (o re-formateados) en equipos completamente configurados, se puede utilizar Windows Imaging and Configuration Designer (ICD).
Por supuesto, el administrador de IT puede seguir utilizando técnicas de imagen tradicionales, por ejemplo implementando imágenes personalizadas con System Center Configuration Manager.
Identity and Authentication
Windows 10 y servicios como Azure Active Directory abren nuevas posibilidades para la identidad, la autenticación y la administración basadas en la nube o, en su defecto, híbridas con soluciones on-premises.
Escenarios como BYOD (bring your own device) y CYOD (choose your own device) están permitiendo que las empresas reconsideren cómo los usuarios acceden a recursos y aplicaciones corporativas. Hoy en día resulta poco probable pensar que un usuario no pueda trabajar si no tiene un dispositivo propio de la empresa.
Podríamos pensar que la administración del usuario y del dispositivo cae dentro de estas dos categorías:
- Dispositivos corporativos (CYOD) o personales (BYOD) utilizados por los usuarios de dispositivos móviles para aplicaciones SaaS como Office 365:
- Windows 10 permite a los empleados aprovisionar dispositivos por su cuenta.
- Los dispositivos corporativos pueden configurar fácilmente el acceso corporativo con Azure AD Join. Del mismo modo, una nueva experiencia BYOD simplificada permite a los usuarios agregar su cuenta de trabajo a Windows (su equipo personal) y acceder a recursos de trabajo en dispositivos personales.
- La combinación de Azure AD Join y la inscripción automática de Intune MDM lleva a los dispositivos a un estado administrado por la empresa en un solo paso, todo desde la nube.
- Azure AD Join también es una gran solución para el personal temporal, socios u otros empleados a tiempo parcial. Estas cuentas se pueden mantener separadas del dominio AD local pero aún así acceder a los recursos corporativos necesarios.
- Equipos unidos a un dominio de Active Directory Domain Services utilizando aplicaciones y recursos tradicionales que requieren autenticación o acceso a recursos altamente confidenciales o clasificados en las instalaciones:
- Los dispositivos de Windows 10 unidos a un dominio de Active Directory local se registrarán automáticamente con Azure AD, para que los usuarios puedan disfrutar de los beneficios adicionales de las experiencias de Windows 10, como inicio de sesión único en la nube y recursos locales desde cualquier lugar, itinerancia empresarial de configuraciones, Microsoft Passport for Work y Windows Hello.
- Los equipos unidos al dominio deben continuar administrándose con políticas de grupo o cliente de System Center Configuration Manager.
Los Administradores Modernos requieren revisar qué usuarios o dispositivos requieren la unión de dominio de Windows Server y ccuáles pueden estar “unidos” a Azure Active Directory.
Esto es lo que podría ser un árbol de decisión generalizado que tiene en cuenta casi todos los casos generados, aunque las excepciones se aplicarán en algunos casos, por supuesto. Revisemos el arbol de decisión sugerido por Microsoft:
Configuration
Aquí surje una pregunta que normalmente nos hacen los administradores de IT o Gerentes de IT: ¿cómo administro la configuración de un equipo que no está dentro de mi Servicio de Directorio? (refiriendose a Active Directory Domain Services).
El nivel de gestión necesario en los dispositivos, datos, configuraciones de usuario, sumado a los requisitos de la industria, pueden claramente definir qué tecnología utilizar.
En forma clásica, los administradores de IT han utilizado Group Policies (GPOs) y configuraciones a través del agente de System Center Configuration Manager para especificar personalizaciones de look & feel, comportamiento, u opciones y accesos disponibles al sistema operativo. Pero… ¿qué sucede si el dispositivo es personal del usuario? En estos casos, a los empleados con frecuencia les preocupa que los administradores de IT apliquen políticas estrictas a sus dispositivos personales, pero todavía desean tener acceso a documentos y correos electrónicos corporativos.
Siguiendo con el escenario moderno de actualización, Windows 10 proporciona un conjunto consistente de configuraciones en PC, tabletas y teléfonos a través de una capa común de MDM.
El enfoque de MDM requiere configuraciones que logren la intención del administrador sin exponer todas las configuraciones posibles. Por el contrario, la Política de grupo expone las configuraciones detalladas de los controles de administrador individualmente. Uno de los beneficios de MDM es que permite a los administradores aplicar configuraciones más amplias de privacidad, seguridad y administración de aplicaciones a través de herramientas más ligeras y eficientes. Esto hace que MDM sea la mejor opción para dispositivos que están constantemente en movimiento.
Muchas organizaciones aún necesitan administrar equipos unidos a un dominio en un nivel granular, como la configuración configurable de GP de Internet Explorer o reglas muy específicas de Firewall de Windows. En estos casos, la Política de grupo (GPOs) y el agente de políticas de System Center Configuration Manager siguen siendo excelentes opciones de gestión. La Política de grupo es la mejor manera de configurar granularmente PC y PC con Windows unidas a un dominio conectadas a la red corporativa. Microsoft continúa agregando configuraciones de directiva de grupo con cada nueva versión de Windows. Para la configuración granular con implementación robusta de software, actualizaciones de Windows y despliegue del sistema operativo, System Center Configuration Manager Configuration Manager sigue siendo la solución recomendada.
Microsoft nos propone el siguiente arbol de decisión en cuanto a opciones de configuración de equipos:
Updating
Con Windows como servicio, las organizaciones de TI ya no necesitan realizar procesos complejos de creación de imágenes (borrado y carga) con cada nueva versión de Windows. Los dispositivos reciben las últimas características y actualizaciones de calidad a través de procesos de parchado simples (caso de canal Semi Anual) y a menudo automáticos.
MDM con Intune proporciona herramientas para aplicar actualizaciones de Windows a las computadoras cliente de la empresa. Configuration Manager permite una gran capacidad de administración y seguimiento de estas actualizaciones, incluidas las ventanas de mantenimiento y las reglas de implementación automática.
Conclusiones
Es muy fácil comenzar a administrar dispositivos de Windows desde la nube. La integración de Azure Active Directory y Windows 10 permite la inscripción automática en Microsoft Intune u otras soluciones de MDM, ayudando a los profesionales de TI a adoptar técnicas de administración modernas y al mismo tiempo crear una mejor experiencia de usuario.
Acerca del Autor
Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Service Manager at Algeiba Dev (http://www.algeiba.com), providing services with the vision of create the best technology solutions to transform organizations around the world. I´m also Chief Communications Officer in vOpen (https://vopen.tech), an initiative that connect students, professionals and technology experts around the world to share knowledge, experiences and promote technological innovation. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.