Hola a todos,

Voy a explicar el proceso que vamos a seguir para subir una aplicación a Intune para posteriormente ser implementada para que los usuarios finales puedan descargarla e instalarla en sus dispositivos.

Las capturas van a ser de la instalación de Lync 2013 para Android.

Lo primero que tenemos que realizar es acceder al portal de administración de Windows Intune (http://manage.microsoft.com), y acceder a Software y pulsaremos en apartado de Tareas, en Paso 1: agregar software

Se nos abrirá una nueva ventana del navegador en donde deberemos volver a iniciar sesión

Lo primero que deberemos de realizar es seleccionar si queremos instalar una aplicación o queremos distribuir un enlace, el siguiente paso será seleccionar que tipo de archivo de instalación:

• Paquete de aplicación Android (archivo *.apk)
• Paquete de aplicación IOS (archivo *.ipa)
• Paquete de Windows Phone (archivo *.xap)
• Paquete de Windows (*.appx, +.appxbundle)

Para esta instalación selecciono Paquete de aplicación Android. Y seleccionamos el fichero de instalación.

Proseguimos con el Wizard indicando la información que queremos que aparezca en el Portal de Empresa de Windows Intune, así como el icono de la aplicación. Por último deberemos de indicar a que categoría pertenece la aplicación.

Indicaremos la versión mínima que tendrá que utilizar nuestro dispositivo para que la aplicación pueda funcionar.

Después del proceso nos indicará un resumen de toda la información que hemos introducido.

Una vez realizado todo el proceso, empezará a cargar toda la información, como subiendo el fichero de instalación que habíamos seleccionado anteriormente.

Una vez finalizado el proceso, podremos ir a Software administrado y veremos la aplicación indicada y si está o no implementada.

Hola a todos,

En el anterior post, escribía de los pasos a realizar para prepara a Windows Intune para dispositivos IOS, en este nuevo post, voy ha realizar la explicación para dispositivos WindowsPhone y Android.

Accedemos al portal de administración de Windows Intune (http://manage.microsoft.com) y navemos hasta llegar al apartado de Mobile Device Management en el menú de Administración.

Android

Inicio por este sistema operativo, por que no tenemos que realizar ninguna acción especial para prepara a Windows Intune para su addesión.

Windows Phone

Para poder inscribir un dispositivo Windows Phone en Intune, deberemos realizar las siguientes acciones:

Crear un registro CNAME en nuestro DNS de internet:

Alias Name: enterpriseenrollment
FQDN Host: enterpriseenrollment.manage.microsoft.com

Tenemos que contar que cualquier cambio en los registros DNS de internet pueden llegar a tardar hasta 72h para que estén replicados en todos los DNS principales.

Acceder al portal de desarrollo de WindowsPhone y generar una cuenta: https://dev.windowsphone.com/en-US/join   (Tiene un coste de 14€ /año la licencia de desarrollo y gratis para estudiantes 😉 )

Acceder a la web de Symantec para realizar comprar el certificado de distribución de aplicaciones empresariales (tiene un coste de 299$ /año).

Si estáis utilizando la versión Trial de WindowsIntune, podéis realizar la prueba de publicar una aplicación que ya está firmada y que se puede descargar desde: http://www.microsoft.com/en-us/download/details.aspx?id=39079.

Con este certificado podremos firmar las aplicaciones a distribuir desde Windows Intune. Aunque probaré de bajar un XAP firmado de la Store y probar de distribuirlo desde Windows Intune.

Hola a todos,

Voy a explicar como preparar nuestro Windows Intune para poder administrar dispositivos IOS (iPhone/ iPad), en nuestra organización.

Para eso, deberemos acceder al portal de administración de Windows Intune: https://manage.microsoft.com, con las credenciales de administrador e ir al apartado de administración

Accederemos al apartado de Mobile Device Management – iOS– Upload and APNs Certificate, y seguiremos las indicaciones que nos indican:

1. Bajar un fichero (extensión .csr) para posteriormente subirlo en la web de Certificados de Apple, deberemos especificar un nombre, en mi caso: SolicitudCertificadoAPNs.csr
   
2. Acceremos a las web de Apple. Si no tenemos un AppleID de la organización, aprovecharemos y crearemos uno.
   
3. Pulsamos en Create a Certificate, aceptamos la licencia y nos pedirá el fichero que nos hemos bajado en el primer paso.
4. Una vez seleccionado el certificado que habíamos bajado de la web de Windows Intune, lo cargamos en la web de Apple y esperamos a que verifiquen que la información para bajar el certificado MDM sea correcta.
   Hemos generado un certificado para los servicios de MDM durante 1 año.
5. Bajamos el certificado generado (MDM_ Microsoft Corporation_Certificate.pem)
6. Procedemos a subir el certificado generado en la web de Apple, y junto al certificado, deberemos indicar el Apple_ID con el cual se ha generado el certificado.
   
7. Al finalizar el proceso, veremos la información del certificado, conforme todo el proceso ha funcionado correctamente.
   

Con la tarea realizada en el post, ya tendremos la posibilidad de poder gestionar dispositivos IOS desde Windows Intune.

Hola a todos,

Voy a explicar como podemos montar un servicio de Escritorio Remoto en la Nube, para eso, me voy a apoyar en la plataforma de Microsoft: Windows Azure.

Para esto, vamos a iniciar la configuración de la plataforma en Azure, de una forma similar a la cual realizaríamos si estuviese en un entorno de laboratorio.

Doy por hecho que ya tenemos una subscripción en Windows Azure, y si no la tenemos es tan fácil como pulsar VERSIÓN DE EVALUACIÓN GRATUITA, en la web de Windows Azure y seguir los pasos indicados.

Una vez dentro del área de trabajo de Azure, realizaremos los siguientes pasos:

1. Definir grupo de afinidad
   Los grupos de afinidad es una agrupación de elementos de Windows Azure (redes, VM, Almacenamiento, etc) y permite que todos los elementos que estén dentro de un mismo grupo de afinidad, esten ubicados en el mismo centro de datos, y a ser posible, lo más cercano a nuestra ubicación. De esta manera, ganaremos en optimización del entorno, reducimos la latencia de red y aumentaremos el rendimiento.
   Para darlo de alta pulsaremos en: configuración – grupos de afinidad – agregar un nuevo grupo de afinidad. Se nos abrirá un formulario, en el cual indicaremos:
   1. Nombre: AGRDSDEMO (Nombre que me indentifica que es)
   2. Descripción: Grupo de afinidad RDS DEMO (descripción que identifica este elemento)
   3. Región: Norte de Europa (ubicación del CPD más cercano de Windows Azure)
      
2. Crear un almacenamiento para VM
   Para poder alojar los VHD/VHDX, y que estos esten también próximos a nosotros, vamos a crear un almacenamiento y lo vamos a vincular con el grupo de afinidad que hemos generado anteriormente.
   Pulsamos en el simbolo (+) que tenemos en la parte inferior izquierda del portal y navemos: servicios de datos – almacenamiento – creación rápida e introducimos un nombre único y seleccionamos el grupo de afinidad creado anteriormente.
3. Alta de servicio DNSDamos de alta un servidor DNS interno, y que posteriormente sea utilizado por nuestro Directorio activo. Pulsaremos en Redes – Servidores DNS – Registrar un Servidor DNS.
   Indicando el nombre del servidor DNS: RDSDEMODNS1, y el direccionamiento IP: 10.0.0.4
4. Alta de una RED VIRTUAL
   Accedemos al menú izquierdo y pulsamos en: REDES – Redes virtuales – Crear una red virtual. Indicamos un nombre y volvemos a seleccionar el grupo de afinidad que hemos creado anteriormente.
   
   Pulsamos a siguimente e indicamos el servidor DNS que hemos creado en el punto 3.
   
5. Creación de máquinas virtuales
   Vamos a montar 2 VM, de dos tamaños diferentes, una, que daremos de alta para realizar las tareas de directorio activo, la crearemos con un tañamo pequeño (1 CPU y 1,75Gb RAM), y la otra, que será la VM que realizará las tareas de Servidor RDS con todos los ROLES, la crearemos como tamaño grande (4CPU y 7Gb RAM).Pulsamos en el botón (+) y navegamos por proceso – máquina virtual – creación rápida e indicamos la configuración:
   1. VM AD:
      • Nombre DNS: RDSDEMOAD
      • Imagen: Windows Server 2012 Datacenter
      • Tamaño: Pequeño
      • Nombre usuario: administrador (ADMINISTRATOR y ADMIN no es posible añadirlo)
      • Contraseña: una constraseña para el adminstrador local
      • Región/Grupo afinidad: El creado anteriormente AGRDSDEMO
   2. VM RDS:
      • Nombre DNS: RDSDEMOAPP
      • Imagen: Windows Server 2012 Datacenter
      • Tamaño: Grande
      • Nombre usuario: administrador (ADMINISTRATOR y ADMIN no es posible añadirlo)
      • Contraseña: una constraseña para el adminstrador local
      • Región/Grupo afinidad: El creado anteriormente AGRDSDEMO

Procedemos a configurar cada una de las VM, indicando para cada una de ella la siguiente información:

• Servicio en la Nube: Nombre de la máquina virtual (RDSDEMOAD / RDSDEMOAPP)
• Región / Grupo de Afinidad / Red Virtual: Indicamos la RED Virtual creada (RDSDEMOLAN)
• Subredes de la red virtual: Indicamos la que se ha creado por defecto (Subnet-1(10.0.0.0/24))
• Cuenta de almacenamiento: La creado también anteriormente (STRDSDEMO)
• Conjunto de disponibilidad: Se podría indicar para que replicara en otro CPD, pero, en este caso, no lo vamos a activar.

Para cada una de las VM deberemos ir a configurar los Extremos, que son los puertos que vamos a abrir para la conectividad con las VM’s.

Para la VM de Directorio Activo, lo dejaremos por defecto, mientras que para la VM de RDS cambiaremos la configuración añadiendo nuevo puerto y fijando el puerto de Escritorio Remoto.

Para implementar Windows Intune, podemos realizar varias configuraciones:

• Cloud
• Híbrida (cloud y local)
• Asistida por SSCM

Previo a que arquitectura se puede adecuar más a nuestra organización o solución Intune, deberemos de evaluar los requisitos que ya indiqué en el post anterior, de los equipos a administrar.

Para la opción de MDM, Windows Intune realizará un check del terminal previo al proceso de instalación, por lo que el dispositivo no tendría que tener ningún tipo de Rootkit tipo Jailbreak (IOS).

Instalación del agente

La instalación en el puesto cliente se puede realizar de varias maneras, y deberemos realizar la instalación según el entorno en donde se esté ejecutando el instalador.

Cuando realizamos la inscripción de forma automática, tenemos que dejar en el mismo directorio el fichero de instalación: Windows_Intune_Setup.exe como el certificado de seguridad WindowsIntune.ACCOUNTCERT.

Si utilizamos una distribución basada en Directorio Activo, y tenemos la posibilidad de tener un servidor de directorio en las ubicaciones remotas (AD o RODC), deberíamos comprobar que tenemos tanto el Script de despliegue, como el ejecutable y certificado para no generar más ancho de banda que el necesario.

Si utilizamos una distribución basada en SCCM, tenemos que tener en cuenta, si es posible y así lo tenemos indicado en la infraestructura a desplegar, de que antes de realizar el despliegue del agente, tener el paquete en todos los DistributionPoints de SCCM, para minimizar lo máximo posible el tráfico de WAN/LAN.

Para desplegar el agente mediante imágenes de sistema operativo, se realizará el mismo procedimiento que para SCCM, pero el paquete de SCCM, indicarlo lo antes posible de cualquier otra instalación para que vaya informando del software instalado en el equipo.

El agente se instalará en unos 30 minutos, aunque la totalidad de la instalación podría tardar (según la línea de datos), hasta un par de horas. Esto es debido, a que es necesario la descarga de los diferentes componentes en los que se apoya Windows Intune y la actualización de los mismos.

Consideraciones en el equipo cliente

Antes de iniciar una implantación de Intune tenemos que tener en cuenta varios aspectos y saber cómo vamos a distribuir los agentes Intune una vez que tenemos identificados los equipos que van a ser administrados de la nube.

Existen restricciones tanto a nivel de Software como de Hardware, por lo tanto, lo primero que vamos a tener que hacer es realizar un estudio de los equipos que queremos administrar.

A nivel de Software, sólo podemos instalar el agente en plataformas Microsoft y cómo mínimo el sistema operativo indicado en la siguiente tabla:

Para las opciones MDM, y como en otros sistemas de Administración de equipos móviles, existen restricciones en caso de despliegue de software en los dispositivos, como por ejemplo, en IOS es necesario que la organización tenga una cuenta de desarrollo de AppleStore, ya que sólo se instalará el fichero .IPA si este está firmado por Apple.

A nivel de Hardware deberemos de tener un equipo con las siguientes características mínimas:

Otros aspectos importantes a tener en cuenta:

• El equipo debe de contar con Windows Installer 3.1
• En el momento de la instalación, el usuario que instala el agente de Windows Intune, debe de tener permisos de administrador sobre el equipo.

Consideraciones de red

Para poder administrar los equipos que están detrás de un proxy y/o firewall, será necesario el tener abiertos algunos puertos (80 y 443) hacia los siguientes destinos:

Los agentes van a realizar un uso según los componentes que habilitemos en cada uno de ellos, pero, las estimaciones de tráfico por cada agente son:

De todas maneras, aunque parezca que va a producirse bastante tráfico de red, para los agentes que ejecuten Windows 7 y Windows 8, y no tengan aplicada una GPO que deshabilite BranchCache, estos podrán realizar las acciones de DistributionPoint una vez que se hayan descargado los componentes a actualizar, de esta manera, el consumo de ancho de banda se minizará.

Hola a todos,

En esta última entrada en referencia a los Roles de administración, voy a dejar una tabla-resumen, en donde indico que se puede hacer con cada uno de los Rol en cuestión.

Hola,

Volvemos a la carga, con el Rol, que posiblemente más uso se le tenga que dar en la organización. Con este Rol podremos realizar la creación y modificación de usuarios de Windows Intune, con la única limitación, de que estos usuarios no podrán ser ningún Rol de Administración, para crear un usuario con dicho Rol, deberá generarse con el Administrador Global de Windows Intune.

Como vemos, si con este Rol vamos generando un usuario de Windows Intune, la misma interface nos muestra en gris la configuraciones no podemos realizar, como es la asignación de un rol de administración.

Como he comentado anteriormente, con el Rol de Administración de Usuario, es posible restrablecer las contraseñas de usuarios de Intune, pero no las de los administradores, excepto la cuenta de Administración de Contraseñas, que con este Rol si que es posible cambiarla.

Como podemos ver, la contraseña se puede restrablecer, y se envía un correo a la cuenta indicada, informando la la contraseña en texto plato.

Un Saludo!

Hola a todos,

En esta pequeña serie de los diferentes Rol que existen en Windows Intune, vamos a ver el Rol de Administrador de Contraseñas, que, junto al Administrador de Windows Intune, será el único miembro administrador en Windows Intune, que podrá restrablecer la contraseña de un Administrador.

La creación de usuario, ya hemos visto anteriormente que es muy fácil. Este Rol, tiene la propiedad de poder cambiar la constraseña de los usurios administradores de Windows Intune, menos del Administrador Global.

No puede realizar ningún cambio en los usuario y/o grupos de seguridad creados en Intune.

Si se intenta realizar un restablecimiento de una cuenta, la cual no tenemos permisos para realizar dicha acción, se enviará un correo indicándolo 😉 así que cuidadín XD.

Un Saludo,

Hola a todos,

Siguiendo con la temática de Windows Intune, voy a continuar con otro artículo, en este caso, no técnico, pero no por eso, menos importante.

La definición de los diferentes Roles que podemos tener en la plataforma Cloud de Microsoft, es muy importante, por que definirá las acciones a realizar por diferentes personas y/o departamentos de nuestra organización.

Uno de los Roles que normalmente, se podría no configurar, pero, que es necesario, es el Rol del Administrador de Facturación, que al fin y al cabo, es el que pagará a Microsoft los servicios Cloud.

Desde el usuario que se ha dado de alta el servicio de Windows Intune, y que por lo tanto, es el Administrador Global, deberemos realizar el alta de usuario siguiendo un sencillo Wizard, via web.

Siempre que vayamos a crear un usuario con un Rol de adminsitración, deberemos informar del Nombre y Apellidos del mismo.

 Deberemos de informar de un correo electrónico para las notificaciones que pueda recibir este usuario.

Es obligatorio seleccionar la ubicación del usuario, esto es, por que podría haber limitaciones del servicio según la ubicación geográfica.

Seleccionamos el grupo (si procede), al cual va a pertenecer el usuario creado, y seguidamente, continuamos configurando el correo electrónico de soporte. Este correo, sirve para recuperar la cuenta en caso de que se tenga que reiniciar la contraseña, y se pueden indicar hasta un máximo 5 correos electrónicos separados por punto y coma «;».

Finalmente, nos indica un resumen de la creación del usuario y de la primera contraseña que tiene para ser cambiada al realizar el inicio de sesión.

Para acceder al servicio,  administrarlo y realizar el cambio de contraseña, accederemos al portal: https://account.manage.microsoft.com.

¿Que podemos hacer y que no?

Con la siguiente captura de pantalla, se puede ver muy fácilmente.

La parte de administración (señalada en recuadro rojo), es dónde podemos crear, modificar y borrar usuarios y grupos de seguridad del sistema. Este Rol, sólo tendrá permisos de lectura, ya que por definición de Rol, sólo podrá gestionar y administrar las suscripciones y solicitudes de servicio.

La parte de Suscripción y Soporte técnico, es la que podrá realizar la administración este Rol.

Tenemos que tener en cuenta, que el Administrador de Facturación, comparte ROL con otros servicios en nube de Microsoft, como puede ser Office365, por lo que la información que podamos obtener desde estas pantallas puede variar según los servicios ya contratados.

• Administrar: Nos indican la cantidad de licencias que tenemos contratadas y el contacto con el Partner de referencia si lo hubieramos informado. Desde aquí también accederemos a la pantalla de compra.
  
• Licencias: Nos muestra todas las licencias que tiene la organización.
  
• Comprar: Nos muestra la información de las suscripciones que tenemos opción a adquirir.
  

• Solicitud de servicio: Nos proporcionan 2 links imporantes: Link a la comunidad Technet de microsoft, en donde posiblemente podamos solucionar el 80% de nuestras consultas. y otro link que nos enlaza con la web de soporte de Microsoft Online Services: https://support.microsoftonline.com/default.aspx?productkey=intunesupp
• Estado del servicio: Nos reenvia a la web de supervisión de servicios de Microsoft Online Services de Windows Intune, en donde podremos ver las posibles incidencias que puede haber en el servicio, y que acciones se están llevando a cabo.
  

Hasta aquí una breve explicación del Rol de Administrador de Facturación.