Saltar al contenido
Inicio / Intune / Microsot Intune: Unir Equipo a AzureAD por el Usuario Final

Microsot Intune: Unir Equipo a AzureAD por el Usuario Final

Hoy voy a mostrarnos como se hace bueno el dicho “lo perfecto es enemigo de lo bueno”, si si, he visto en muchas ocasiones como el no poder utilizar AutoPilot de la “forma correcta” dejamos de pensar que hay opciones para “simularlo”. Cuando digo simularlo es más bien otra forma de implementar de forma semiautomática la unión de los equipos a AzureAD de  los equipos entregados a nuestros usuarios.  Al fina lo buscamos optimizar los tiempos en este tipo de tareas, el maquetar los equipos desde cero y así evitar seguir guías interminables y los errores que siempre vamos a cometer cuando los procesos son manuales.

La idea de este artículo es mostraros como sería el proceso de entrega de equipos a nuestros usuarios sin poder obtener el hash de hardware desde el proveedor. Esto suele ocurrir cuando tenemos que comprar y entregar equipos a usuarios en diferentes partes del mundo, pero tampoco tenemos un volumen de compra muy algo con algún proveedor, lo que nos “obliga” a comprar por ejemplo en Amazon para “asegurarnos” la entrega en tiempo y forma. El proceso a alto nivel sería:

  • El equipo de IT compra el equipo
  • El proveedor lo entrega al usuario final
  • El equipo de IT envia las credenciales de acceso y una guía de instalación al usuario final
  • El usuario final realiza la mini instalación del equipo
  • Intune hace su magia y el equipo se prepará en cuestión de minutos sin intervención del equipo de IT

Este artículo será muy sencillo, será básicamente teórico pero os haré referencia a otros artículos que he escrito en otras ocasiones sobre Intune. Pero antes, os dejo aqui una pequeña infografía:

El objetivo es claro, que un usuario final pueda completar el proceso de unir su equipo a AzureAD, minimizando el tiempo de implementación por parte de IT y asegurarnos que el equipo funciona según las políticas previamente definidas. Aquí os voy a dejar algunos puntos claves para poder definir un entorno que nos permita cumplir con nuestro objetivo además de optimizar el trabajo de Intune:

  • Instalación de aplicaciones: siempre que sea posible (casi siempre lo es) debemos configurar las aplicaciones para que se distribuyan mediante Intune. La asignación de aplicaciones se recomiendan asignarlas  los grupos virtuales Todos lo usuarios o Todos los dispositivos que tenemos por defecto en Intune, pero utilizando los filtros que podemos crear con múltiples condiciones. Por ejemplo, si tenemos un entorno híbrido es posible que queramos distinguir los equipos unidos a AzureAD o Hibrido, pues podemos crear un filtro con la siguiente regla: (device.deviceTrustType -eq “Azure AD joined”) (+ info sobre Performance recommendations for Grouping, Targeting and Filtering in large Microsoft Intune environments).

Hay muchísimas aplicaciones que podéis despldgar y/o actualizar desde Intune, aquí os dejo algunos ejemplos:

  • Configuración de perfiles: en cuanto a la asignación de los perfiles más de lo mismo, siempre que podamos a los grupos virtuales aplicando filtros, pero sino es posible, utilicemos grupos de AzureAD para asignarles los perfiles (también las aplicaciones) a dichos grupos. Si tenéis una buena estructura de grupos de AzureAD (ADDS también), tipo: EmpresaDepartamentosRoles en cuanto el usuario esté en su rol ya tendrá también sus aplicaciones y configuraciones para su rol. Aquí os dejo algunas de las configuraciones que podéis aplicar por defecto:
  • Actualizaciones de Windows: configurar Windows Update For Business, aquí os dejo un artículo muy útil Manage Windows 10 and Windows 11 software updates in Intune y se asignan con la misma filosofía, grupos y filtros.

Ya por último (es una forma de hablar), debemos crear diferentes políticas de seguridad en la sección de EndPoint Security de Intune:

Esto es una base inicial de las cosas que podríamos/deberíamos configurar, pero además, es recomendable tener una infraestructura de PKI bien desplegada integrada con Intune para entregar certificados a usuarios y equipos unidos a AzureAD porque seguro que los vamos utilizar y así ya lo tenemos avanzado y las transciones serán más sencillas. Además, algo fundamental a dia de hoy, las directivas de acceso condiciona las cuales podemos utilizar en múltiples circunstancias:

Pues con todo esto y algunas configuraciones adicionales, podemos hacer que un usuario pueda realizar su parte de forma muy sencilla. Aquí os dejo las primeras capturas de pantalla de lo que verá el usuario y en la que realmente tendrá que prestar atención,

 

El usuario puede escribir lo que quiera, luego se lo vamos a renombrar:

Este es el único paso que el usuario debe estar atento, claramente debe elegir Set up for work o school

Ahora debe introducir el usuario que le hemos enviado vía enlace seguro de Keeper (https://docs.keeper.io/user-guides/one-time-share)

YO ya tenía el MFA configurado de ahí que me lo solicite, pero sino es así, le pedirá que registre su móvil, etc..

Si nos hemos autenticado correctamente, ya simplemente esperamos a que Intune haga su magia 🙂 (hay más opciones que el usuario va a configurar, pero no importa lo que configure, no tiene “importancia” y lo vamos a cambiar todo vía Intune)

Una vez completado el proceso, el usuario podrá iniciar su sesión con lo básico que le hemos definido en Intune:

Podríamos configurar una tarea programada para que 5min después de que el usuario inicie sesión se reinicie, pensar que el usuario la primera vez que inicia aún es administrador local del equipo. En cuanto el equipo se reinicie, ya le pedirá el PIN de BitLocker si lo hemos configurado:

Si tenemos más aplicaciones para instalar a los usuarios, se irán instalando cuando el usuario vuelva a iniciar sesió y así completando el proceso del setup:

Pues ya lo tendríamos todo:

  • Instalación de aplicaciones
  • Configuración del entorno
  • Control de dispositivos
  • Sistema Operativo actualizado
  • Claves de BitLocker en AzureAD
  • Grupo de administradores locales gestionado
  • Contraseña de la cuenta de administrado local cambiada y en AzureAD
  • Cumplimiento: si hemos establecido que para tener cumplimiento tenemos que tener el cifrado de disco, antivirus, firewall y windows actualizado .. lo tenemos 🙂

Sin llegar a ser perfecto, creo que es bueno. Hay más detalles que se pueden contemplar y que aqui no lo puedo hacer sino quedaría un artículo súper extenso, pero vamos, que se pueden hacer muchas más cosas en este proceso. No he hablado del compliance y el acceso condicional, pero si está en alguno de los artículos que he puesto anteriormente.

Este artículo solo pretende mostrarmos que con poco podemos hacer mucho, no es perfecto, pero creo que es bueno!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!