Cuando vamos migrando todos nuestros equipos de On-Premises (AzureAD Hibrido) al Cloud (AzureAD), algo que nos suele quedar algo descolgado es la instalación de las impresoras. Los clientes suelen tener servidores de impresión, los cuales también queremos derogar para no tener que mantener servicios On-Premises. Al final con un servidor de impresión local, creamos una GPO que la distribuya a los usuarios y listo, puesto esto “mismo” lo podemos hacer mediante Intune sin servidores de impresión locales ni tampoco en nube (aquí un artículo sobre el servicio de impresión Cloud en AzureAD que había publicado en su momento: Servicio de Impresión en la Nube con Universal Print). Servicio que está muy bien, pero con algunas limitaciones que en ocasiones no nos podemos permitir tenerlas y es por ello que tenemos/debemos realizar instalación de impresoras de red en los equipos.

En este artículo voy a mostraros como de sencillo es implementar impresoras de red para vuestros usuarios, usuarios que tienen sus equipos unidos a AzureAD exclusivamente y que los tenemos en cualquier parte del mundo conectados. Ahora diréis, ¿si los tenemos fuera de nuestra red para que queremos tener instaladas impresoras de nuestras oficinas? A esto tengo dos respuestas:

1. El usuario cuando vaya a la oficina las tiene disponibles ya previamente (como ya no tenemos servidores de impresión On-Premises esto podemos hacerlo mediante Intune)
2. El usuario si está conectado por VPN y está correctamente configurada pues podrá imprimir desde cualquier parte del mundo (ya recoger las impresiones es otra cosa :-)).

Sea cual sea el motivo, aquí os dejo como podéis realizar la instalación de cualquier impresora.

En el artículo de como instalar Adobe [Microsoft Intune: Instalación de Adobe Acrobat], os había dejado algunos scripts de los que suelo reutilizar para realizar las instalaciones de aplicaciones. Pues hoy os voy a dejar otros scripts para poder cambiar el idioma de vuestros Windows, además de configurarlo en las sesiones de vuestros usuarios. Para ello, utilizaremos dos scripts que empaquetaremos en ficheros .intunewim para distribuir a nuestros equipos:

1. Instalará el idioma que queramos
2. Aplicará el idioma y demás parámetros del mismo a la sesión del usuario

Para esto, vamos a utilizar las dependencias en Intune (+ info Administración de aplicaciones Win32 en Microsoft Intune), que básicamente es que tengamos una aplicación previa instalada antes de instalar la actual. Además, podemos forzar a que esta otra aplicación se instale primero antes de poder continuar con la instalación de la aplicación en cuestión.

En el artículo de hoy veremos como podemos gestionar el acceso a los dispositivos extraíbles (USB) vía Intune, pero trabajando con la protección de Windows Defender vía Device Control. Este es un artículo lleno de varios momentos de “frustración” por mi parte, puesto que algo que es súper sencillo se complicó al máximo por un pequeño e importante detalle (más adelante lo comentaré).

La idea es configurar un entorno de administración de dispositivos USB de almacenamiento extraíble, a varios niveles:

• Bloquear su instalación (con aviso al usuario)
• Permitir el acceso de lectura y no ejecución (con aviso al usuario)
• Permitir la escritura y no ejecución (con aviso al usuario)

Antes de nada, también comentar que creo que la configuración se puede realizar mediante OMA-URI y la opción de Reducción de la superficie expuesta a ataques la cual creo que tiene un BUG. Cuando digo que creo que tiene un bug es porque la misma configuración vía OMA-URI funcione y la realizada mediante la opción Reducción de la superficie expuesta a ataques, no.

Este será “un artículo repetido”, porque en su momento había publicado como instalar Adobe vía Intune utilizando un .exe y un script de PowerShell [Microsoft Intune: Instalación de Adobe Acrobat]. Este artículo viene a “reforzar” que de la “misma forma” podemos instalar diferentes aplicaciones, simplemente como modificar dos o tres líneas de “código” en los scripts que había publicado.

La idea y el proceso sigue siendo el mismo:

1. Detectar si tenemos una versión anterior instalada de la misma aplicación
2. Si existe comprobamos que es una versión anterior a la nuestra, si es así, continuamos
3. Buscamos las versiones anteriores de la aplicación y las desinstalamos, posteriormente instalamos la nueva versión
4. Comprobamos (podemos hacerlo de muchas formas, MSI, Registro, Carpetas, Scripts, etc..) que se ha instalado correctamente

Hay aplicaciones que por diseño el fabricante crea una tarea programada que la actualizará automáticamente, Adobe es una de ellas, por lo que si somos de los que no queremos perder el control de las versiones que tenemos instaladas, tenemos que evitar que se actualicen solas.