Microsoft Windows Intune 3

(Jaime Peña Tresancos)

Twitter: @jpt219

Windows Intune es un tipo de software que toma un modelo basado en suscripciones, de tal manera que no hay un soporte físico como tal desde el que se instala –cómo tal tipo de venta-, sino que se hace a través de Internet.

Está plenamente basado en la filosofía SaaS (Software as a Service), es decir, no se vende el software como tal, sino el servicio que se presta a modo de suscripción según el tiempo de utilización y el despliegue que se haga de él (número de ordenadores que cubra la licencia).

El sitio Web en que podemos obtener toda la información acerca de él es:

• http://www.microsoft.com/es-es/windows/windowsintune/pc-management.aspx
  

¿Qué y para quién es Windows Intune?

Microsoft nos presenta Windows Intune como un producto para la gestión y seguridad de equipos a través de Internet. Eso, de por sí dice bastante, pero hemos de afinar y definir qué es y lo que no es. Empezaremos por esto último. Trabaja en red, pero no es un gestor de redes al uso, no reemplaza sino que complementa los sistemas de red en ámbitos de trabajo más cercanos al usuario final, liberando de tareas más tediosas a los administradores centrales o haciendo las labores de aquellos cuando la entidad del grupo de trabajo no justificaría una red amplia dedicada.

Algunas de las situaciones típicas en que Windows Intune aporta una ventaja competitiva son:

• Una solución de gestión de primera línea para las pequeñas y medianas empresas, o para grupos de trabajo en general.
• Con Windows Intune se puede probar, por primera vez, una solución integrada y totalmente funcional de alquiler de software, facilitando la migración al sistema operativo más reciente.
• Gestión de parte de un gran grupo, como por ejemplo los ordenadores de un área de trabajo especial, de aquellos que salen de la oficina, de la de los trabajadores que utilizan ordenadores en sus casas, etc.

Respecto y concretando más lo que sí es y hace, el conjunto de capacidades técnicas de Windows Intune puede ser agrupado en las siguientes grandes áreas:

• Integración y distribución con Windows 7 Enterprise
• Consola de gestión/administración a través de Internet
• Gestión de los diversos elementos de seguridad
• Auditoría de sistemas
• Informes de los sistemas cliente
• Alertas y soporte online
• Distribución de software y control de actualizaciones
• Gestión de múltiples agrupaciones de sistemas cliente

Suscripción y despliegue

El típico proceso inicial de instalación de un software administrador no existe como tal. Cómo ya hemos comentado por encima y a ello volveremos, todo se lleva a cabo desde Internet.

El sitio de Microsoft Online para acceder a la suscripción, registro y despliegue de Windows Intune en nuestros sistemas es:

• https://mocp.microsoftonline.com/site/Default.aspx
  

Una vez instalado el software cliente en cada uno de los ordenadores que hemos licenciado –despliegue de Windows Intune– podremos acceder también al Windows Intune Center, seleccionando la opción de menú Inicio\Windows Intune Center o haciendo doble clic sobre el icono correspondiente en el Escritorio de Windows. Se trata de una utilidad de gestión local de algunas de las opciones de Windows Intune, de sus detalles también hablaremos más abajo, dado que algunas han de ser aprobadas por el administrador y aquí simplemente escogeremos hacerlo ya:

1. Buscar ahora actualizaciones que haya aprobado el administrador del sistema de Windows Intune
2. Iniciar un análisis del sistema, al margen de lo programado por el administrador del sistema de Windows Intune
3. Solicitar una sesión de asistencia remota por parte del administrador del sistema de Windows Intune
4. Instalación de aplicaciones del Portal de empresa –Company Portal, véase más adelante-

Nuevo sistema de administración. Herramientas de administración

En Windows Intune 2 se accedía a los servicios de administración mediante una cuenta Windows Live ID –cuenta Passport-, en la nueva versión 3 esto ya no es así, dado que Windows Intune se encuentra integrado en el llamado Windows Azure Active Directory, de igual manera que lo está, por ejemplo, Office 365.

Este cambio aparentemente cosmético, implica numerosas ventajas en el ámbito de nuevas prestaciones de trabajo en la nube, mejoras en el control, seguridad y flexibilidad de acceso, todo de manera transparente para el usuario administrador.

Para las labores administrativas se dispone de:

• Windows Intune Administrator Console: Es la consola tradicional de administración, ya presente en las versiones anteriores.
• Windows Intune Account Portal: Éste portal reemplaza el anterior Microsoft Online Customer Portal (MOCP).
  

Ahora más enfocado al usuario

Los grupos tradicionales de Intune eran compuestos por ordenadores solamente, ordenadores de sobremesa, portátiles, pertenecientes a ciertos grupos de trabajo, etc. En Intune 3 se mantiene tal posibilidad, pero se amplía muy sustancialmente, ahora se pueden crear grupos por usuario y por tipo de dispositivo, incluyendo los tipos de dispositivos móviles –véase más adelante-.

Así, un único individuo puede disponer de un ordenador un Smartphones y un Tablet, acercándose de ésta manera a la forma de trabajo que debe afrontarse de ahora en adelante. Eso puede constituir de por sí un grupo, o un elemento de un grupo de individuos que, por ejemplo, trabajen en mantenimiento externo.

Otro aspecto muy importante es el concepto de grupo en sí, ahora podremos tener grupos de los tipos:

• Estático: son los tradicionales, la pertenencia al grupo es definida directamente por el administrador. Los tipos de grupos también son creados por el propio administrador.
• Dinámico: son actualizados automáticamente cuando hay usuarios que cumplan los criterios de pertenencia:
  • Grupos de usuarios por sección o DNS
  • Grupos de seguridad, por niveles y posibilidad de acceso a administración
  • Tipos de dispositivo, p.ej. tipo de móvil
• Mixto

Gestión de equipos móviles

Desde la administración de dispositivos se puede descargar el Exchange Connector, lo que nos abre la posibilidad de trabajar con dispositivos móviles, Smartphones y Tablets. Cuando uno de los usuarios autorizados dispone de alguno de los siguientes tipos:

Mediante Windows Intune 3, ahora dispondrá de, entre otras, las siguientes facilidades de trabajo:

• Detección automática de los dispositivos móviles –su tipo y especificaciones particulares- que se conecten a través de Exchange Server.
• Utilización de la misma consola de administración que la que se emplea para los ordenadores.
• Políticas de uso propias para cada tipo de hardware, que incluyen encriptaciones de datos, como contraseñas, y definición de tipos y longitudes mínimas, en muchos casos sólo limitadas por las capacidades del dispositivo móvil.
• Posibilidad de disponer de un Company Portal específico para aplicaciones específicas de cada dispositivo móvil utilizado, aparte del general para los sistemas estándar Windows.

En la figura adjunta se observa la ventana de acceso al sistema Intune 3 desde un Tablet Android, allí podremos descargar el software cliente necesario y acceder a las aplicaciones del Mobile Company Portal.

Alertas y directivas. Nuevas características

Ha habido cambios en el ámbito de las alertas en dos aspectos, por una parte se definen nuevos tipos de alertas y por otra se pueden organizar las alertas (agruparlas) por tipos. En la figura adjunta se muestran todos los tipos predefinidos.

Las novedades en cuanto a directivas son varias, a destacar la nueva pestaña de conflicto de directivas y, como no podría ser menos, todo lo necesario para la gestión de dispositivos móviles (por ejemplo, se pueden poner bloqueados o en cuarentena, de ser detectado algún conflicto y según su importancia y temporalidad).

También existen una serie de plantillas de directivas recomendadas –ya predefinidas-, en concreto:

• Directiva de seguridad móvil
• Configuración de Firewall de Windows
• Configuración de Agente de Windows Intune
• Configuración de Windows Intune Center

Los informes también han sido sustancialmente mejorados, con una amplia capacidad de personalización en función de un gran tipo de entradas predefinidas a modo de asistente.

Company Portal y almacenamiento mejorado

Siguiendo las líneas más nuevas en los modelos de servicio de software, que también aparecerán con Windows 8 y que ya están disponibles en Windows Phone y sistemas móviles en general, hacen su aparición los portales de aplicaciones:

• Windows Intune Company Portal: Es un portal que proporciona un grupo de aplicaciones Windows –programas o utilidades de gestión de dispositivos en forma de ejecutables o módulos instalables MSI-, puestas a disposición por el administrador, que pueden ser instaladas a demanda por los usuarios en sus ordenadores.
  
• Windows Intune Mobile Company Portal: Similar, pero para aplicaciones y utilidades de dispositivos móviles compatibles.
  

La capacidad de almacenamiento en la nube ha crecido desde 2 GB hasta 20 GB y dar así suficiente capacidad para despliegue general de software y soportar los portales de aplicaciones anteriormente comentados.

Asistencia remota –soporte-, distribución de software y actualizaciones

Al repasar la opción Administración, nos encontramos con un potente conjunto de herramientas de asistencia remota y gestión de software de los equipos. Es tal vez lo más espectacular de Windows Intune.

Los clientes desde el Windows Intune Center, como hemos visto más arriba, pueden solicitar una sesión de asistencia remota. Al hacerlo remiten un mensaje de correo electrónico al administrador que puede ponerse en contacto con ellos mediante una ventana tipo chat o incluso hacerse con el control de todo el ordenador cliente, para tratar de solucionar los problemas presentados a través de Internet. Así mismo, se puede invitar a otros administradores a compartir la consola y ayudar a solventar el problema.

Obviamente eso puede no ser la respuesta definitiva, pero seguramente sí solventará una buena parte de las incidencias de los usuarios, sin necesidad de personarse a cada momento en los puestos de trabajo.

Respecto a las actualizaciones, si bien pueden ser definidas las políticas en cada uno de los ordenadores, con Windows Intune logramos un control mucho más preciso de las políticas de actualización de los sistemas. Así, por ejemplo, podemos definir políticas que automáticamente aprueben ciertos tipos de actualizaciones, como las de seguridad –por poner un caso-, que se aplicarían a alguno(s), a alguna(s) categoría(s) o a todos los ordenadores que estamos administrando.

Respecto al software, hay varios niveles de control e intervención. Lo más obvio y menos potente es el registro exacto de los componentes instalados. Pero es posible crear paquetes para despliegue de software, con relativa facilidad, siempre que sean aplicaciones de Microsoft, como la Office, u otras de terceros pero más sencillas. En éste ámbito se prometen muy importantes mejoras para la versión 3, de la cual se esperan próximas betas.

Conclusiones

No es una aplicación de usuario final, eso es obvio, pero si de una pertinencia, atractivo y productividad para la empresa que la hace merecedora de mejor conocimiento y prueba (es gratuita, recordémoslo, durante 30 días para hasta 25 sistemas).

Nos ha gustado especialmente:

• La facilidad de despliegue y administración general
• La excelente implementación SaaS y la nube como lugar de alojamiento administrativo
• La gran economía de medio físicos, de memoria y recursos de todo el sistema
• El acceso a un control de sistemas que hasta el presente sólo era factible a grandes sistema de red
• Su potente sistema de configuración mediante asistentes para directivas de grupos y funcionalidades

©Jaime Peña Tresancos, 2013