[TUTORIAL] Windows Intune | Configuración y Administración básica de Windows Intune – Parte 2 de 2
Esta es la segunda entrega del tutorial de administración de equipos con y sin dominio de Windows Intune.
En esta parte, vamos a realizar las acciones de optimización del entorno ya implementado (en primera medida) de Windows Intune. Esta optimización abarca tareas de configuración de actualizaciones, auto-aprobaciones, alertas y utilización de reportes. Por otro lado, y para finalizar, dedicaremos un pequeño apartado al monitoreo proactivo que esta herramienta on-line nos facilita.
Recordemos que ya hemos explicado los conceptos y fundamentos de Windows Intune como servicio en la nube de Microsoft en un artículo esta semana (ver “Artículos relacionados”). Ahora llegó el momento de ver una aplicación práctica a través de este tutorial.
[toc]
Introducción
El objetivo, comentarios y agradecimientos están plasmados en la primera parte de este tutorial. No obsatnte, recordaremos el objetivo del mismo.
Objetivo
Como recordatorio, este tutorial en ambas entregas tiene como objetivo mostrar a las organizaciones cómo se pueden ver beneficiadas con la utilización de Windows Intune, aprovechando sus capacidades de protección de equipos de escritorio como así también dispositivos móviles.
Alcance
El alcance de este tutorial fue desarrollado en la primera parte del mismo. Recomendamos verificar dicha primera entrega a través de los “artículos relacionados” al pie de esta publicación.
Plan de Trabajo
Nuestro plan de trabajo, recordemos, se dividía en cuatro aspectos fundamentales:
-
La configuración del entorno de Windows Intune:
- Agregado de Administradores.
- Configuración de Políticas y Cumplimiento.
- Planeamiento del uso de ancho de banda.
-
El agregado de Usuarios, Dispositivos y Aplicaciones:
- Agregado de usuarios y grupos de seguridad.
- Administración de grupos de usuarios y equipos.
- Agregado de Computadoras.
- Agregado de Aplicaciones.
-
La optimización del entorno de Windows Intune:
- Administración de Actualizaciones y aprobaciones automáticas.
- Configuración de Alertas y Notificaciones.
- Utilización de reportes.
-
Las posibilidades de realización de Monitoreo Proactivo:
- Para Actualizaciones.
- Para Endpoint Protection.
- Para Alertas de los sistemas monitoreados.
- Por agrupación de equipos según configuración.
En esta segunda parte trabajaremos sobre los siguientes puntos:
- La optimización del entorno de Windows Intune.
- Las posibilidades de realización de Monitoreo Proactivo.
Desarrollo de la parte 2/2 del Tutorial
Optimización del entorno Windows Intune
Administración de Actualizaciones y Aprobaciones Automáticas
Podemos administrar qué actualizaciones se buscan y cuáles tienen aprobación automática. Para ello vamos a ir, dentro de la Consola de Administración de Windows Intune, a “Administración”:
Luego, elegiremos el nodo “Actualizaciones”, donde podremos seleccionar las categorías de productos a descargar actualizaciones y qué tipo de clasificación:
-
Por Categoría de productos se entiende a qué productos vamos a mantener actualizados, por ejemplo:
- Office.
- Windows.
- Bing.
- Etc.
-
Por Clasificación de actualizaciones entendemos a:
- Actualizaciones críticas.
- Actualizaciones de seguridad.
- Actualizaciones.
- Etc.
Una vez elegidas estas opciones, podemos elegir para qué tipo de productos y actualizaciones se van a auto-aprobar las mismas, sin necesidad que el administrador intervenga, de modo tal que se descargarán e instalarán en los equipos clientes automáticamente.
Para ello, y yendo un poquito más abajo en la misma pantalla de “Actualizaciones”, configuraremos las “Reglas de aprobación automática”:
Haremos clic en “Nuevo” y se desplegará el asistente para aprobación automática:
Le ponemos un nombre a la regla y le damos siguiente. Seleccionaremos las Categorías de productos sobre los cuales implementaremos la actualización automática y le damos siguiente:
Luego seleccionaremos las Clasificaciones de actualizaciones sobre las que implementaremos las aprobaciones automáticas:
En el casi último paso, tenemos posibilidad de aplicar esta política de aprobaciones automática a un grupo de equipo en particular. Nótese cómo nuevamente los grupos de equipos pueden aprovecharse en configuraciones y decisiones de implementación. En nuestro caso, y a modo de ejemplo (si bien no tenemos ningún equipo aún) elegimos el grupo creado en pasos anteriores “ARGENTINA”. Por último, podemos seleccionar una fecha límite para que las actualizaciones se instalen luego de la auto-aprobación:
Ya para finalizar, repasamos las opciones seleccionadas y le damos en “Finalizar”:
Nótese que en este ejemplo hemos aprobado todas las categorías de producto y tipos de updates. En la vida real, esto deberá analizarse en base a las políticas de cada organización, y hasta se pueden generar grupos de aprobación especiales para equipos de pruebas. Este aspecto, si bien es muy simple de implementar, no forma parte del presente tutorial. No obstante, es muy importante tenerlo en cuenta y utilizarlo como parte de Windows Intune o cualquier software de distribución de updates.
Configuración de Alertas y Notificaciones
Windows Intune es una herramienta muy poderosa que procesará muchas alertas. Ahora bien, podemos configurar alertas para que nos lleguen a nuestro correo electrónico e incluso definir qué tipo de alertas y a quién enviarlas.
En la Consola de Administración vamos al nodo “Administración”:
Allí elegimos “Alertas y notificaciones”:
Tipos de alertas
Existen muchos tipos de alertas, los cuales podremos configurar. Con solo deplegar el nodo “Tipos de alertas” nos daremos cuenta de la magnitud:
Por cada tipo de alerta podremos ver info sobre que sistemas se aplica, su gravedad y, además, podremos configurarlo para habilitarlo o deshabilitarlo:
Destinatarios
Como destinatarios predeterminados, aparecerán los Administradores de Intune. También podremos agregar otros:
Reglas de notificación
Tenemos la posibilidad de configurar para cada tipo de alertas los destinatarios de las mismas o, incluso, crear nuevas reglas:
Creación de reglas personalizadas
Si creamos nuestras propias reglas, podemos configurar en forma personalizada avisos según, por ejemplo, grupo de equipos. Esto serviría (pensemos e imaginemos) para que los administradores de “ARGENTINA” (grupo de equipos creado anteriormente) reciban las notificaciones de sus equipos, mientras los grupos de otros países recibirán los suyos. Podemos asociar la regla con diferentes destinatarios y con ello evitamos que todos reciban las notificaciones de todos!
El asistente tiene 3 pasos muy simples. Primero creamos la regla y le asignamos un nombre, categorías y gravedades de alertas:
Posteriormente seleccionamos los grupos a los que se aplicará:
Por último seleccionamos al o los destinatarios (deben estar dados de alta) y le damos en “Guardar”:
De esta forma hemos creado una nueva regla de notificación personalizada a nuestras necesidades:
Utilización de Reportes
Como último ítem, vamos a comentar que desde la Consola de Administración tenemos muchos informes disponibles. Específicamente, si vamos al apartado “Informes” podremos descubrirlos:
Allí nos encontraremos con diferentes categorías de informes:
Por ejemplo, para el “Informe de inventario de equipos” tenemos opciones para aplicar:
El resultado será un informe como el siguiente:
Podremos crear nuestros propios informes recordando opciones seleccionadas, para extraer la información que más nos interese y a pocos clics de distancia.
Monitoreo Proactivo
Por último, desde la consola podremos realizar monitoreo proactivo de los distintos aspectos implementados.
Monitoreo Proactivo de Actualizaciones
Monitoreo Proactivo de Endpoint Protection
Monitoreo Proactivo de Alertas
Monitoreo Proactivo por Agrupación de Equipos
Conclusiones
En esta segunda parte del tutorial hemos realizado todo el despliegue de equipos. Dicho despliegue se realiza a través de agentes que se instalan (literalmente) con menos de 4 clics. Esto, sin lugar a dudas, brinda a los administradores la tranquilidad de poder realizar despliegues del agente rápidos e, inclusive, que lo realice el usuario mediante el auto-enrollment.
Por supuesto, debemos cuidar aspectos de seguridad relacionados a la ubicación y disponibilidad de dicho ejecutable instalador. Imaginese que en manos de personas externas a la empresa puede ocasionar inconvenientes de auto-enrollment hacia usuarios que en realidad no son de la organización. Si bien esto no es un problema de seguridad en sí mismo, sino que nos puede causar dolores de cabeza además de estar protegiendo dispositivos que no son de la empresa.
El monitoreo una vez implementado el agente es muy simple y, como vimos, tenemos muchísimos datos para poder realizar y efectivizar seguimiento proactivo del estado de salud de la plataforma. Esto, acompañado de una buena estrategia de delegación de roles (verificar artículos relacionados) puede significar seguimiento diario con recursos que no requieren gran skill para realizar dichas tareas incluso con personal junior o no expertos en sistemas (o auditores que requieren tener acceso a la plataforma como verificación adicional en base a procedimientos de la organización).
Por último, las políticas y directivas de Windows Intune nos garantizan el cumplimiento para equipos dentro y fuera de la organización, y su aplicación es muy simple.
Como gran conclusión, Windows Intune es una herramienta a ser tenida en cuenta en pequeñas y medianas organizaciones como toda una plataforma de monitoreo y despliegue de updates y software. Así también, puede ser utilizada por grandes organizaciones como extensión en la nube del System Center Configuration Manager 2012 SP1, y para garantizar el cumplimiento y seguridad de diversos dispositivos móviles y equipos que viajan constantemente y solo tienen conectividad a internet limitada. Por supuesto, esto no ha sido foco de este tutorial, y será un tema a desarrollar en futuros.
Espero que hayan disfrutado de la presente publicación y esperamos el feedback de todos! Saludos!
Referencias y Links
- Windows Intune Getting Started Guide: http://technet.microsoft.com/library/hh441719.aspx
- Sign up for a Windows Intune Trial: http://technet.microsoft.com/en-us/library/jj733628.aspx
- Configure Your Windows Intune Environment: http://technet.microsoft.com/en-US/hh441722.aspx
- Add Computers, Users, and Mobile Devices: http://technet.microsoft.com/en-US/hh441723.aspx
- Optimizing Your Environment: http://technet.microsoft.com/en-US/hh441724.aspx
[…] Windows Intune – Configuración y Administración básica de Equipos – Parte 2 de 2 […]