Windows Intune desde 0 [Parte 2]

Héctor Martínez Tobar
20 May, 2013
Cloud, Microsoft Intune
byod, cloud, microsoft, windows, windows intune, windows intune desde 0
3 comments

¡Buenos días!

Esta es la segunda parte de la serie de artículos y videos que estoy elaborando sobre Windows Intune.

La semana pasada hablé sobre el panel de administración de Intune; ahora que ya sabemos cómo gestionar las licencias de los y cómo crear grupos y usuarios, vamos a hablar un poco de los dispositivos y, sobre todo, de la consola de administración de Windows Intune, que es una de esas tres secciones que forman toda la tecnología tal y como dije en la entrada anterior.

Empecemos pues.

Lo primero que debemos hacer es familiarizarnos con la consola de administración, que tiene un aspecto como el de la siguiente imagen:

System Overview

Si os fijáis, se distinguen dos grupos perfectamente apreciables en la imagen, el panel lateral, que es desde donde navegaremos a las distintas características y posibilidades que nos ofrece Intune y por otro lado el panel central que es donde vamos a poder interactuar con todas esas características y posibilidades de las que os hablaba.

Si ampliamos un poco el panel lateral veremos los distintos apartados por los que podemos navegar:

Panel Lateral

Hoy explicaré los tres primeros grupos. System Overview, Groups y Updates.

System Overview

Esta sección es la que vamos a usar como punto de inicio, atajo, información general… Las mismas palabras ya lo dicen, es un resumen del sistema.

El aspecto de este panel es de la siguiente forma:

Overview

Como veis, cuando no hay ningún dispositivo añadido nos aparece un “anuncio” de Getting Started que nos va a sugerir qué hacer. También nos mostrará una pequeña lista de tareas disponibles y por último nos dará acceso a la documentación que esté relacionada con Intune.

Siguiendo el orden, vamos a ver qué posibilidades nos brinda el panel de “Getting Started”.

Lo más básico y esencial es tener todos los equipos y dispositivos en general, dados de alta en Intune, para ello, debemos pulsar sobre el enlace que nos lleva a la descarga del instalador que usaremos en nuestros equipos.

Nota importante: El instalador es “personal e intransferible”, lo que quiero decir es que el instalador va ligado con Intune, si nos dan otro instalador que no hayamos descargado desde nuestra propia consola de administración y lo instalamos, nuestro equipo estará adoptando una configuración de otro Intune ajeno al nuestro y por lo tanto, no lo podremos monitorizar.

Starting Overview

Una vez lo descargamos, lo ejecutamos en el equipo ue deseamos monitorizar y veremos el siguiente procedimiento:

Asistente de instalación

Hasta aquí, todo normal y no es necesario comentar. Una vez tengamos el ejecutable que nos hemos descargado, instalado, aparecerá un icono en nuestra barra de tareas con el siguiente aspecto:

Agente Intune

A partir de ahora, el agente de Intune está corriendo en nuestro equipo, instalando las actualizaciones que hayamos decidido, programas, aplicando directivas… Cosas que iremos viendo a lo largo de toda la serie de artículos.

Ahora que ya sabemos cómo descargar el instalador y como se instala, podemos seguir viendo las posibilidades de la pestaña System Overview.

Como era de esperar y como dije al principio, al ser un resumen del sistema, vamos a poder ver los problemas que ha detectado Intune en nuestros dispositivos.

En el caso de a continuación, como no estamos monitorizando ningún equipo, no nos aparecerá información. Más adelante, cuando el agente de Intune, que debemos instalar en el dispositivo, envíe datos a la administración, ya se verán reflejados los detalles.

(En las pruebas que he estado realizando, ha sido cuestión de minutos, menos de 10 incluso menos de 5 en que apareciera nuestro dispositivo listado).

Status Overview

Por último, se nos van a mostrar unos enlaces a modo de acceso directo para crear grupos y para ver lo reports que nos genera Intune.

Tasks Overview

Al clicar sobre “Create Group” nos va a desplazar al menú de Groups, y si clicamos sobre “View a Report”, Intune nos enviará al panel de Reports.

Grupos

El panel de grupos, es uno de los paneles que más se utilizan tanto por las características que nos permite como por el contenido del mismo.

Como siempre y en todas las secciones disponibles, nos presentan una pestaña de Overview, donde vamos a encontrar un resumen de todos los elementos que forman “Groups”.

Desde grupos vamos a gestionar todos los usuarios que tenemos dados de alta en Intune (creados desde el panel de administración de Windows Intune, visto en la primera parte) y además, una lista de todos los dispositivos registrados por el sistema.

La relación entre estos dos objetos (usuario – dispositivo) es muy estrecha, que de eso se trata (BYOD).

Veamos sin más rodeos la Overview de los grupos:

Groups Overview

Debemos apreciar en la imagen que al seleccionar “Groups”, se nos abre un menú desplegable con más opciones para navegar por las distitntas opciones que tiene esta sección como dije mientras la introducía.

Vamos a explicar cada una.

La primera opción con la que nos encontramos es la de “All users”, en esta pestaña nos aparecerán listados todos los usuarios detallados con el nombre que se mostrará, el nombre de acceso a Intune, el número de dispositivos que posee y la última actualización que se produjo sobre el usuario.

Lista de usuarios

Por defecto todos los usuarios que creamos en su día, no están asignados a ningún grupo, es por eso que si nos ponemos sobre Ungrouped Users nos aparecen todos esos.

Para crear un grupo es muy sencillo, además tenemos dos modos distintos de hacerlo, almenos que yo conozca, desde la overview general de la consola de administración de Windows Intune⁽¹⁾ o bien pulsando sobre “Create Group from Selection”. Sea cual sea la opción que elijamos, vamos a tener un asistente para crear los grupos como este de a continuación:

Creando un grupo

Los parámetros para crear el grupo no son ningún misterio para los que estén familiarizados con la administración de sistemas, pues es casi igual. Nos pide un nombre para el grupo, una descripción y cuál va a ser el grupo padre, si es que lo hay.

Una vez rellenemos todos los datos que se nos pide, avanzamos con “next” para poder añadir los usuarios a partir de algún grupo de seguridad que hayamos creado en el panel de administración de Windows Intune⁽²⁾, siempre que nos interese. Sino, los podremos añadir a mano más adelante.

La siguiente pantalla del asistente tiene este aspecto:

Creando un grupo

Desde aquí podréis añadir a un grupo entero con sus respectivos usuarios siempre y cuando ese grupo exista, claro. En la primera parte de la serie #WindowsIntuneDesde0, vimos cómo crear esos grupos. Este asistente nos ofrece la posibilidad de excluir a todos los usuarios que pertenezcan a un grupo existente. Me recuerda mucho al filtrado de un firewall. Considero que es un buen panel que nos puede ahorrar tiempo si tenemos todos los grupos bien organizados.

Una vez hayamos completado todo con nuestras preferencias pulsamos sobre “next” o sobre “finish” si ya se han agregado todos los usuarios que tenían que ser agregados a ese grupo.

En el caso de que no tengamos esos grupos de los que hablaba creados, siempre podemos añadir los usuarios que queramos de forma manual.

Si le dimos a “next”, veremos lo siguiente:

Creando un grupo

El proceso para añadir es muy sencillo, pulsamos sobre “Browse…” y se desplegará una ventana que listará todos los usuarios, usuarios que añadiremos seleccionándolos y pulsando “Add”; en el caso de haber añadido a un usuario de forma equivocada, lo seleccionamos y pulsamos “Remove” y saldrá del grupo.

Creando un grupo

Nota: Fijaros bien en el check-box que aparece al final de la ventana emergente, es algo a tener en cuenta, sobre todo cuando lo tenemos todo muy bien organizado.

Al pulsar sobre “OK” se añadirán los usuarios y tendremos la opción de excluir a otros del grupo, igual que vimos en el panel anterior.

Creando un grupo

El procedimiento para excluir cualquier usuario de un grupo es el mismo que hemos seguido para añadirlo, lo vemos en la siguiente imagen.

Seleccionamos el usuario, lo añadimos y ya estará excluido.

Una vez hayamos acabado de añadir y de excluir grupos y/o usuarios para el nuevo grupo, tendremos un panel similar a este:

Creando un grupo

Ahora sí, ya no hay más configuraciones, por lo que si avanzamos con “Next” nos llevará al sumario, un resumen con todas las características del grupo, juntadas en una pantalla.

Sumario

Cuando tenemos algún grupo creado, se nos lista en el desplegable “All users” como podéis ver a continuación:

Grupo listado

Una vez explicada la primera “sección” del panel de Groups, veamos qué nos ofrece la segunda, “All Devices”.

Tal y como se titula este apartado, podremos ver todos los dispositivos disponibles con todo tipo de detalles e información referente a esos mismos.

“All Devices”, es también un desplegable que cuando lo pulsamos nos muestra todos los ordenadores y dispositivos móviles.

All Devices

En la pestaña “All Computers” se listarán todos los rdenadores en los que se les haya instalado el ejecutable que hemos visto al principio, si pasó un tiempo prudencial y suficiente desde que se realizó la instalación como para que Intune recopílese datos sobre estos, veremos los problemas que detecta sobre el equipo, ya sean de seguridad, de políticas, de actualizaciones…

En el siguiente caso, vamos a ver como el panel ha detectado nuestro equipo y, pese a que no dispone de todos los datos al 100%, ya nos damos cuenta que ha habido fallos durante la instalación de actualizaciones, además, de notificarnos que es necesario realizar una actuación manual para verificar/aprobar/confirmar las actualizaciones para el sistema, que eso lo trataremos más adelante.

Ordenador detectado

Como he ido comentando, la relación entre los dispositivos y los es muy importante, es una de las cosas que implica BYOD, por lo tanto, vamos a tener la posibilidad de enlazar/relacionar un dispositivo con un usuario, para darle propiedad y saber qué configuración (con todos los parámetros que incluye) se le debe aplicar a ese dispositivo. Tal vez, desde la organización no le interesa que todos los usuarios con un dispositivo móvil tengan acceso a las mismas aplicaciones, gracias a esta opción vamos a poder controlar eso y más, de forma muy sencilla.

El procedimiento para enlazar los dispositivos con los usuarios es muy simple, tan sólo debemos seleccionar el elemento y pulsar sobre “Link User…”.

Enlazando dispositivos

Justo al hacerlo, nos aparecerá una ventana emergente con la que buscaremos el usuario al que queremos asignarle, en este caso, el ordenador. Veréis que hay zona habilitada para escribir texto, ahí pondremos el usuario que buscamos, lo seleccionamos y pulsamos sobre OK.

Buscando usuario

El ordenador ya tiene su usuario o el usuario ya tiene su ordenador, depende de la visión que le queráis dar, en cualquier caso, si os fijáis, en los detalles que nos da en el pie de página cuando tenemos seleccionado el dispositivo, ya nos aparece el usuario “propietario”, por lo menos, su cuenta, que ya es más que suficiente para poder identificar el usuario habitual.

Detalles equipo

Además, si volvemos a la pestaña del grupo que creamos anteriormente al que lo llamamos “Group 1”, se podrá apreciar que el usuario Lara Giulietta, ya tiene un dispositivo asignado.

Usuario con dispositivo

Todas las pestañas de los menús desplegables de la sección “Grupos” contienen un resumen general (Overview) de la función en la que nos encontramos; antes pudimos ver los dispositivos que Intune detectó después de haber instalado el software necesario sobre los clientes, ahora, vamos a ver ese resumen del que os hablo, el cual, nos ofrece una lista con el estado de todos los subservicios que nos ofrece Intune.

Los subservicios o funciones de las que estoy hablando son las Alertas que puedan notificar cada agente de los clientes, errores en las actualizaciones, problemas de seguridad como puede ser la detección de malware en nuestros equipos, si las políticas/directivas se han aplicado correctamente, si se ha instalado el software que desde la consola de administración hemos desplegado, entre otras.

Lo vemos:

Overview All Computers

En este caso, se ha detectado un problema en las actualizaciones sobre un equipo. Si pulsamos sobre el error, nos llevará al menú con el equipo que nos da los problemas.

Fallos en el equipo

Ahora ya hemos detectado ese equipo problemático y nos notifica que han fallado 7 actualizaciones. Si pulsamos sobre el número de actualizaciones falladas, veremos las que no se pudieron instalar, también podemos ir más allá y ver el motivo por el que han fallado.

Lista de errores

Normalmente, cuando fallan estas actualizaciones significa que el sistema operativo del cliente no es compatible con Intune. De todos modos, podemos buscar ayuda para el error.

Para hacerlo, debemos fijarnos en el enlace que hay justo debajo de “Recommended Actions”. Cuando lo pulsamos, nos carga la página de ayuda detallando la descripción de la actualización, la clasificación de la misma, el publicador y la acción que puede requerir la instalación.

Sugerencias/Procedimiento

En la imagen superior, vemos que puede ser necesario el reinicio y que en principio no se le va a consultar al usuario para llevar a cabo esa acción. Si por lo que fuera el ordenador no se hubiese reiniciado, podemos reiniciarlo nosotros desde la misma consola de administración con unas “Remote tasks” por defecto que incorpora Intune.

Al reiniciar nosotros el equipo, descartaremos la posibilidad de que todavía requiera el reinicio.

Para hacer uso de estas tareas remotas lo podemos hacer a partir del botón “Remote tasks” que aparece en la barra de tareas cuando tenemos el equipo seleccionado.

Remote task

Siempre nos va a solicitar una confirmación para realizar la acción.

Confirmación

Cuando confirmemos que efectivamente queremos reiniciar el equipo, justo en la esquina inferior derecha de la consola de administración de Windows Intune, mostrará las tareas remotas pendientes por realizar.

Remote tasks pendientes

Que al clicar sobre esas tareas, accederemos a la lista de tareas pendientes.

Listado de acciones en cola

Updates

Finalmente llegamos a la sección que controla todas las actualizaciones que se van a instalar, o no, en nuestros equipos.

Bajo mi punto de vista, el sistema de actualizaciones de Windows Intune es muy similar al WSUS que conocemos de Windows Server, así que si estáis familiarizados con esa tecnología, os va a resultar muy fácil gestionar las actualizaciones de los equipos de Intune.

Como todas las demás secciones, Updates incluye un resumen que nos muestra los errores al instalar las actualizaciones y las advertencias de la necesidad de aprobar X actualizaciones que se recomiendan para nuestros sistemas.

Cuando pulsemos sobre esos errores o advertencias, automáticamente seremos redirigidos a la sección de grupos, que hemos visto antes, para trabajar directamente sobre el foco del problema y/o advertencia.

Overview Updates

En la siguiente imagen vamos a ver el comportamiento que comentaba unas líneas más arriba; cuando desde la overview, pulsamos una alerta o error, nos lleva sobre el foco implicado y en este caso llegamos al ordenador llamado Hector-serv, que además de tener 7 actualizaciones fallidas, tiene varias actualizaciones recomendadas pendiente de la aprobación del administrador.

Errores durante la actualización

Para aprobar las actualizaciones recomendadas, simplemente debemos seleccionar las deseadas y pulsar sobre “Approve”.

Approve

Vista la Overview, avanzamos por el menú de Updates hasta encontrarnos con “All Updates”, que es otro desplegable que nos mostrará todas las actualizaciones disponibles para nuestros sistemas, las aprobadas por los administradores, las declinadas e incluso vamos a tener la posibilidad de subir paquetes para desplegarlas por nuestros sistemas.

El desplegable ofrece una organización o filtro de las actualizaciones, clasificándolas hasta en 7 grupos distintos.

Actualizaciones disponibles

Si queremos aprobar un grupo de actualizaciones para los equipos, debemos hacer exactamente lo mismo que hicimos antes cuando detectamos los errores. Seleccionamos los paquetes deseados y pulsamos sobre “Approve”.

Una vez los aprobemos nos saldrá una página para seleccionar el grupo de dispositivos al que se llevará a cabo la instalación.