Cerrar
InicioAzureMicrosoft Endpoint Manager: Inscripción de dispositivos [Híbrido – AzureAD Join – Azure Registered]

Microsoft Endpoint Manager: Inscripción de dispositivos [Híbrido – AzureAD Join – Azure Registered]

Hoy empezaremos con el primer artículo sobre Intune, en donde iremos descubriendo los diferentes servicios y aplicaciones que podemos darle en nuestros entornos. Lo primero, será entender que tipo de licenciamiento vamos a necesitar para habilitar Intune para nuestros usuarios:

  • Microsoft 365 E5
  • Microsoft 365 E3
  • Enterprise Mobility + Security E5
  • Enterprise Mobility + Security E3
  • Microsoft 365 Business Premium
  • Microsoft 365 F1
  • Microsoft 365 F3
  • Microsoft 365 Government G5
  • Microsoft 365 Government G3
  • Intune for Education

Desde mi punto de vista y/o experiencia, la llegad de las licencias Microsoft 365 Business Premium claramente ha impulsando que muchos clientes puedan implementar Intune en sus organizaciones. Con esta licencia, tenemos los servicios servicios disponibles:

Con Intune, vamos a poder gestionar los diferentes aspectos de nuestros dispositivos registrados/unidos al dominio de AzureAD (híbrido):

  • Instalación de aplicaciones
  • Gestión de aplicaciones
  • Protección de cuentas
  • Gestión de antivirus
  • Acceso Condicional
  • AutoPilot
  • Borrado remoto
  • Etc..

Aquí os dejo un enlace a la documentación de Microsoft sobre Intune: Microsoft Intune documentation. Yo hoy me voy a centrar en las configuraciones que debemos aplicar a nuestro entorno para inscribir los diferentes equipos (corporativos, personales (BYOD)) en Intune:

Para poder proteger los recursos  en cada dispositivo, debemos poder administrar sus identidades y para ello AzureAD debe conocerlas. Los dispositivos que podemos ver en AzureAD, son dispositivos que hemos unido o registrado de alguna manera. Lo tipos de uniones, por nombrarlo de alguna forma, de dispositivos en AzureAD son las siguiente (fuente:¿Qué es la identidad de dispositivos de Azure Active Directory? | Microsoft Docs):

  • Azure AD registered (BYOD)
    • Los dispositivos que están registrados en Azure AD normalmente son dispositivos móviles o de propiedad personal y en ellos se inicia sesión con una cuenta personal de Microsoft u otra cuenta local.
      • Windows 10
      • iOS
      • Android
      • MacOS
  • Azure AD joined
  • Unido a Azure AD híbrido
    • Los dispositivos que están unidos a Azure AD híbrido son propiedad de una organización y se inicia sesión con una cuenta de Active Directory Domain Services que pertenece a dicha organización. Existen en la nube y en el entorno local.
      • Windows 7, 8.1 o 10
      • Windows Server 2008 o versiones posteriores

Y ahora, lo que  vamos a comentar es cual sería el proceso que debemos aplicar para cada caso.

Unido a Azure AD híbrido: Dispositivos híbridos unidos a Azure AD

Estos dispositivos son equipos unidos a nuestro dominio On-Premises, los cuales se sincronización a AzureAD vía Azure AD Connect (es uno de los requisitos) y aparecerán en la sección de dispositivos de Azure como dispositivos Hybrid Azure AD joined. La configuración es muy sencilla y estos son los requisitos previos:

  • Windows 10 1709 o superior
  • Habilitado el servicio de movilidad (MDM y MAM) en Azure
  • ADDS sincronizado con AzureAD vía Azure AD Connect (artículo de su configuración básica: Azure AD Connect)
  • Configuración GPO para la auto inscripción en Intune

Lo del Windows 10 1709 o superior es algo que no hay mucho que comentar, es un requisitos y deberías tener vuestros equipos lo más actualizados posible. Ahora, el habilitar el servicio de movilidad lo haréis desde el Portal de Azure – Azure Active Directory – Movilidad (MDM y MAM) y pulsamos en Microsoft Intune (sino lo tenemos, lo debemos agregar pulsando en Agregar aplicación):

Ahora debemos habilitar la sección de Ámbito de usuario de MDM:

La configuración de Azure AD Connect es sencilla, por un lado debemos agregar las OU donde tenemos nuestros equipos para que se sincronicen con AzureAD. Por último, debemos configurar una GPO con la siguiente configuración: Configuración de Equipos – Plantillas administrativas – Componentes de Windows – MDM:

Antes de nada, sino fuese así, debéis actualizar las plantillas administrativas de vuestras GPO:

Por último, antes de que los usuarios puedan registrar los equipos en AzureAD, debemos habilitarlo de la siguiente forma desde el Portal de Azure – Azure AD – Dispositivos – Configuración de dispositivos y habilitamos los siguiente:

  • Que usuarios pueden inscribir sus equipos en AzureAD (Todo, Seleccionado (grupos) o Ninguno)
  • Si tienen que tener habilitado la autenticación multifactora
  • Número máximo de dispositivos que puede tener cada usuario

Una vez que tengamos todo configurado, podemos ir la sección de dispositivos en Azure y vemos que ya tenemos los dispositivos registrados y como Hybrid Azure AD joined:

Si ahora queremos comprobar que ya estamos correctamente registrados desde el equipo, debemos acceder a Settings – Accounts – Acces work or school y debemos ver el botón Info

Si pulsamos en el, podemos ver la configuración que hemos aplicado vía Intune a este dispositivos:

Azure AD registered (BYOD): Dispositivos registrados en Azure AD

Los dispositivos registrados en AzureAD son dispositivos móviles (iOS, Android) y personales (Windows, MacOS), los cuales para iniciar sesión en ellos tienen sus propias cuentas personales. Pero, el registrar los dispositivos nos permite administrar las entrega de aplicaciones, aplicar directivas de acceso condicional y borrado remoto de datos corporativos. Hoy voy a mostraros como podéis hacerlo desde un equipo Windows, pero en otro artículo lo haremos con dispositivos móviles (Android e iOS). El proceso es muy sencillo, desde ConfiguraciónCuentasObtener acceso a trabajo o escuela, pulsamos en Conectar y escribimos la dirección de correo del usuario:

Escribimos la contraseña de nuestro usuario

Si el usuario tiene MFA, pues aprobamos la solicitud:

Y en cuestión de segundos el equipo se registrará en AzureAD:

Una vez finalizado el proceso, pulsamos en Listo.

Ahora podemos probar por ejemplo la autenticación en aplicaciones o servicios de O365, si accedemos al Exchange Online veréis como iniciaréis sesión automáticamente sin tener que introducir las claves de usuario:

Por último, si ahora accedemos al Portal de Azure y buscamos por nombre (podemos hacerlo también desde el usuario que ha registrado el equipo) y veremos que está registrado pero no está habilitado para MDM:

El problema, es que no está administrador vía MDM (Intune), para ello tenemos que descargarnos el Portal de Empresa desde la tienda e iniciar el registro completo (próximo artículo).

Azure AD joined: Dispositivos unidos a Azure AD

Por último, veamos como podemos unir nuestro equipo directamente al AzureAD, la opción que más me gusta y seguro que a vosotros también. Antes de nada, vamos a necesitar configurar dos registros DNS de tipo CNAME evitando que los usuarios tengan que escribir el nombre del servidor de registro de form manual.

Los registros DNS son los siguientes:

  • Tipo: CNAME
  • Host: EnterpriseEnrollment.dominioempresa.com
  • Destino: EnterpriseEnrollment-s.manage.microsoft.com
  • Tipo: CNAME
  • Host: EnterpriseRegistration.dominioempresa.com
  • Destino: EnterpriseRegistration.windows.net

Debemos crear los diferentes registros para cada dominio que tengamos, esto tenerlo en cuenta. Dicho esto, una vez creados podéis comprobar si están correctamente creados desde el Portal de Administración de Intune:

Ya con esta configuración lista, desde el equipo que queremos unir al dominio de AzureAD nos vamos a la Configuración de cuentas, pulsamos en Conectar y ahora pulsamos en Unir este dispositivo a Azure Active Directory:

Introducimos las credenciales correspondientes:

Cuando nos hayamos autenticado, nos indica si queremos agregar nuestro equipo al dominio de Azure y pulsamos en Unirse:

En cuestión de segundos ya tenemos nuestro equipo unido a AzureAD, pulsamos en Listo para finalizar el proceso.

Ahora ya podemos iniciar sesión con alguna cuenta de usuario que tengamos en AzureAD, para ello cerramos la sesión actual e iniciamos una nueva sesión introduciendo el nombre de usuario (formato usuario@dominio)

E iniciamos sesión ..

Si ahora buscamos el dispositivo unido al dominio en el Portal de Azure, ya lo tenemos disponible y como el tipo de relación como Azure Ad Joined y además administrador por Intune:

Pero si en vez de buscar por dispositivos buscamos los dispositivos que tiene un usuario asignados, veremos que yo tengo tres dispositivos:

Como vemos es todo un mundo, pero esto no ha hecho más que empezar, ya veréis las cosas que se pueden hacer con cada dispositivo en función del tipo de combinación en AzureAD.

No he querido de tirar de muchos detalles en cada proceso, porque sino se extendería muchísimo este artículo. Realmente lo que quiero es ir comentado las cosas que podemos ir haciendo a partir de ahora:

  • Directivas de Compliance
  • Directivas de Seguridad
  • Instalación de Aplicaciones
  • Etc..

En función del tipo de registro en AzureAD tendremos una serie de configuraciones permitidas, las cuales iremos descubriendo poco a poco. Veremos como podemos ir configurando prácticamente todos los aspectos de cada dispositivo, algo muuuy parecido a lo que hacemos con las GPO tradicionales de las cuales veréis que os iréis olvidando poco a poco :-).

En los próximos artículos iremos entrando en más detalles de Intune!!

Microsoft Azure: Aho
Microsoft Endpoint M
1 COMENTARIO

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This