Guía de planeamiento de Microsoft Intune

Una implementación o migración correcta de Microsoft Intune comienza con el planeamiento. Esta guía le orientará por los objetivos habituales de la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM). Además, contiene instrucciones sobre el inventario de los dispositivos, las licencias, la revisión de las directivas y la infraestructura actuales, la creación de un plan de lanzamiento y mucho más.

Sugerencia

El kit de adopción de Intune incluye plantillas de correo electrónico y otra información útil.

Esta guía está en constante evolución. Así pues, no dude en agregar o actualizar las sugerencias e instrucciones existentes que le hayan parecido útiles.

Tarea 1: Determinar los objetivos

Las organizaciones usan la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM) para controlar los datos de la organización de forma segura y con interrupciones mínimas para los usuarios. Al evaluar una solución de MDM o MAM, como Microsoft Intune, debe examinar cuál es el objetivo y qué quiere lograr.

En esta sección, se describen los objetivos comunes al usar Intune.

Objetivo: Acceder a las aplicaciones organizativas y al correo electrónico

Los usuarios esperan trabajar en dispositivos con aplicaciones de la organización, lo que incluye tareas como leer y responder correos electrónicos, actualizar y compartir datos, etc. En Intune, puede implementar diferentes tipos de aplicaciones, entre las que se incluyen las siguientes:

  • Aplicaciones de Office 365
  • Aplicaciones Win32
  • Aplicaciones de línea de negocio (LOB)
  • Aplicaciones personalizadas
  • Habilitación (o bloqueo) del acceso a aplicaciones integradas o aplicaciones de la tienda

tarea: crear una lista de las aplicaciones que los usuarios usan con regularidad. Estas aplicaciones son las que deben estar incluidas en sus dispositivos. Algunas consideraciones que hay que tener en cuenta:

  • Muchas organizaciones implementan en equipos y tabletas el conjunto de aplicaciones de Office, como Word, Excel, OneNote, PowerPoint y Teams. En dispositivos más pequeños, como teléfonos móviles, se pueden instalar aplicaciones individuales, en función de los requisitos del usuario.

    Por ejemplo, el equipo de ventas podría necesitar Teams, Excel y SharePoint. En dispositivos móviles, solo se pueden implementar estas aplicaciones, en lugar de todo el conjunto de aplicaciones de Office.

  • Los usuarios esperan poder leer y responder correos electrónicos y unirse a reuniones en todos los dispositivos, incluidos los personales. En los dispositivos propiedad de la organización, puede implementar Outlook y Teams. Además, puede administrar y controlar todas las opciones de configuración de los dispositivos y las aplicaciones, incluidos los requisitos de PIN y contraseña. En los dispositivos personales, no tiene este control. Por lo tanto, decida si quiere proporcionar a los usuarios acceso a las aplicaciones de la organización, como el correo electrónico y las reuniones.

    Para conocer más detalles y consideraciones, consulte Dispositivos personales frente a dispositivos propiedad de la organización (en este artículo).

Objetivo: Proteger el acceso en todos los dispositivos

Los datos que se almacenan en los dispositivos móviles deben estar protegidos contra actividades malintencionadas.

tarea: determine cómo desea proteger los dispositivos y minimice el impacto de la actividad malintencionada. Algunas consideraciones que hay que tener en cuenta:

  • Es imprescindible contar con antivirus y protección contra el malware. Intune se integra con distintos asociados de Mobile Threat Defense (MTD) (Defensa contra amenazas móviles) para ayudar a proteger los dispositivos inscritos, los dispositivos personales y las aplicaciones. En los dispositivos Windows 10, puede usar Microsoft Defender para punto de conexión e Intune de manera conjunta.

    Microsoft Defender para punto de conexión incluye características de seguridad y un portal para supervisar las amenazas y reaccionar ante ellas.

  • Si un dispositivo está en peligro, le interesará limitar el impacto mediante el acceso condicional. Por ejemplo:

    • Si un dispositivo cumple el nivel de amenaza que ha establecido, puede bloquear el acceso a los recursos de la organización. El acceso condicional le ayuda a impedir la propagación de actividades malintencionadas.

    • El acceso condicional contribuye a proteger la red y los recursos frente a los dispositivos, incluso los que no están inscritos en Intune.

      Por ejemplo, Intune se integra con Microsoft Defender para punto de conexión. Microsoft Defender para punto de conexión examina un dispositivo y determina si está en peligro. Después, el acceso condicional puede bloquear automáticamente el acceso a este dispositivo desde los recursos de la organización, incluido el correo electrónico.

  • Las actualizaciones del dispositivo, el sistema operativo y las aplicaciones también ayudan a proteger los datos. Cree un plan en el que defina cómo y cuándo se instalan las actualizaciones. En Intune hay directivas que ayudan a administrar las actualizaciones, incluidas actualizaciones para aplicaciones de la tienda.

  • Determine cómo se autenticarán los usuarios con los recursos de la organización desde sus diversos dispositivos. Por ejemplo, puede:

    • Use certificados en los dispositivos para autenticar características y aplicaciones, incluidas las que se conectan a una red privada virtual (VPN) y las que abren Outlook, entre otras. Estos certificados permiten una experiencia de usuario sin contraseña. El acceso sin contraseña se considera más seguro que pedirles a los usuarios que escriban su nombre de usuario y contraseña de la organización.

      Si está planeando usar certificados, asegúrese de que tiene una infraestructura de clave pública (PKI) admitida y lista para crear e implementar perfiles de certificado.

    • Use la autenticación multifactor (MFA) cuando necesite una capa adicional de autenticación en dispositivos propiedad de la organización. También puede emplear MFA para autenticar aplicaciones en dispositivos personales. Otra opción es usar datos biométricos, como el reconocimiento facial y las huellas digitales.

      Si va a usar biometría para la autenticación, asegúrese de que los dispositivos la admiten. La mayoría de los dispositivos modernos son compatibles con esta opción.

    • Implemente una implementación de confianza cero. Con la confianza cero, se usan las características de Azure AD y Microsoft Intune para proteger todos los extremos, se usa la autenticación sin contraseña, etc. Para obtener más información, consulte Centro de implementación de confianza cero.

Objetivo: distribuir TI

Muchas organizaciones quieren conceder a distintos administradores el control de las ubicaciones, las divisiones, etc. Por ejemplo, el grupo Administradores de TI de Charlotte controla y supervisa las directivas del campus de Charlotte. Los administradores de TI de Charlotte solo pueden ver y administrar las directivas de esta ubicación. No pueden ver ni administrar directivas de la ubicación de Redmond. Este enfoque se denomina TI distribuida.

En Intune, la TI distribuida usa etiquetas de ámbito y categorías de inscripción de dispositivos. Las etiquetas de ámbito usan el control de acceso basado en roles (RBAC). Por lo tanto, solo los usuarios de un grupo específico tienen permiso para administrar las directivas y los perfiles de los usuarios y los dispositivos del ámbito.

Al usar categorías de dispositivos, estos se agregan automáticamente a grupos en función de las categorías que cree. Cuando los usuarios inscriben su dispositivo, eligen una categoría, como ventas, administrador de TI, dispositivo de punto de venta, etc. Estos grupos de dispositivos ya están listos para recibir los perfiles y las directivas que cree.

Para facilitar la administración de los dispositivos, puede usar las categorías de dispositivos de Intune para agregar automáticamente dispositivos a grupos en función de las categorías que defina.

Tarea: determine cómo desea distribuir las reglas y la configuración (directivas y perfiles). Algunas consideraciones que hay que tener en cuenta:

  • Determine la estructura de administración. Por ejemplo, puede que le interese separar por ubicación, como Administradores de TI de Charlotte o Administradores de TI de Redmond. Es posible que prefiera separar por rol, por ejemplo, Administradores de red que controlan todo el acceso a la red, incluida la VPN.

    Estas categorías se convertirán en las etiquetas de ámbito.

  • Muchas organizaciones separan grupos por tipo de dispositivo, como iOS, iPadOS, Android o Windows. Por ejemplo:

    • Distribución de aplicaciones específicas en dispositivos específicos. Por ejemplo, puede implementar la aplicación de lanzadera de Microsoft en los dispositivos de la red de Redmond.
    • Implementación de directivas en ubicaciones específicas. Por ejemplo, puede implementar un perfil de VPN en los dispositivos de la red de Charlotte para que se conecten automáticamente cuando estén dentro del alcance.
    • Control de la configuración de dispositivos específicos. Por ejemplo, puede deshabilitar la cámara de los dispositivos Android Enterprise que se usan en una planta de fabricación, crear un perfil de antivirus de Windows Defender para todos los dispositivos Windows o agregar la configuración de correo electrónico de Exchange a todos los dispositivos iOS/iPadOS.

    Estas categorías se convertirán en las categorías de inscripción de dispositivos.

Objetivo: mantener los datos de la organización dentro de la organización

Los datos que se almacenan en los dispositivos móviles deben estar protegidos contra la pérdida accidental o el uso compartido. Este objetivo incluye la eliminación de datos de la organización que están almacenados en dispositivos personales y de la organización.

Tarea: cree un plan para cubrir diferentes escenarios que afecten a su organización. Algunas consideraciones que hay que tener en cuenta:

Para conocer más detalles y consideraciones, consulte Dispositivos personales frente a dispositivos propiedad de la organización (en este artículo).

Tarea 2: Realizar un inventario de los dispositivos

Las organizaciones tienen una gran variedad de dispositivos, como equipos de escritorio, portátiles, tabletas y teléfonos móviles. Estos dispositivos pueden ser propiedad de la organización o de los usuarios. Al planear la solución de administración de dispositivos, asegúrese de tener en cuenta todo lo que accederá a los recursos de la organización, incluidos los dispositivos personales de los usuarios.

En esta sección se incluye información relacionada con los dispositivos que debe tener en cuenta.

Plataformas compatibles

Intune es compatible con el administrador de dispositivos Android, Android Enterprise y dispositivos iOS, iPadOS, macOS y Windows. Para ver las versiones específicas, consulte las plataformas compatibles.

Tarea: si los dispositivos usan versiones no compatibles, que son principalmente sistemas operativos más antiguos, es el momento de actualizar el sistema operativo o reemplazar los dispositivos. Estos dispositivos y sistemas operativos antiguos pueden tener una compatibilidad limitada y suponen un riesgo de seguridad potencial. En esta tarea se incluyen los equipos de escritorio que ejecutan Windows 7, los dispositivos iPhone 7 que ejecutan el sistema operativo original de la versión 10.0, etc.

Dispositivos personales frente a dispositivos propiedad de la organización

En los dispositivos personales, es normal que los usuarios consulten el correo electrónico, se unan a reuniones de Teams y actualicen archivos de SharePoint, entre otras cosas. Muchas organizaciones admiten los dispositivos personales, mientras que muchas otras solo permiten los que son propiedad de la organización.

Como organización y como administrador, usted decide si permitirá los dispositivos personales.

Tarea: determine cómo desea controlar los dispositivos personales. Si la movilidad es importante para su organización, tenga en cuenta los enfoques siguientes:

  • En los dispositivos personales, ofrezca a los usuarios la opción de inscribirse en Intune. Una vez que se hayan inscrito, los administradores administrarán totalmente estos dispositivos, incluidas las directivas de inserción, el control de la configuración y las características de los dispositivos, e incluso la eliminación de los dispositivos. Como administrador, es posible que le interese tener este control, o tal vez crea que le interesa.

    Cuando los usuarios inscriben sus dispositivos personales, probablemente no sepan o no entiendan que los administradores pueden hacer de todo en el dispositivo, incluido borrarlo o restablecerlo de manera accidental. Como administrador, puede que no le interese asumir esta responsabilidad o el impacto que podría tener en los dispositivos que no son propiedad de su organización.

    Además, muchos usuarios se niegan a inscribirse y buscan otras maneras de acceder a los recursos de la organización. Por ejemplo, necesita que los dispositivos estén inscritos para usar la aplicación de Outlook y consultar el correo electrónico de la organización. Para omitir este requisito, los usuarios abren cualquier explorador web en el dispositivo e inician sesión en Outlook Web Access, lo que probablemente no sea el resultado esperado. También podrían realizar capturas de pantalla y guardar las imágenes en el dispositivo, algo que tal vez no le interese.

  • En los dispositivos personales, use directivas de configuración de aplicaciones y directivas de protección de aplicaciones. Los usuarios no se inscriben en Intune y usted no administra estos dispositivos.

    Use una declaración de Términos y condiciones con una directiva de acceso condicional. Si los usuarios no la aceptan, no tendrán acceso a las aplicaciones. Si la aceptan, se agrega un registro de dispositivo en Azure AD y el dispositivo se convierte en una entidad conocida. Si el dispositivo es conocido, puede llevar un seguimiento de a qué recursos se accede desde el dispositivo.

    Después, controle el acceso y la seguridad mediante directivas de aplicación.

    Determine qué tareas usa más la organización, como el correo electrónico y la participación en reuniones. Use directivas de configuración de aplicaciones para configurar las opciones específicas de la aplicación. Use directivas de protección de aplicaciones para controlar la seguridad y el acceso a estas aplicaciones.

    Por ejemplo, los usuarios pueden usar la aplicación de Outlook en su dispositivo personal para consultar el correo electrónico del trabajo. Con Intune, los administradores crean una directiva de protección de aplicaciones de Outlook que usa la autenticación multifactor (MFA) cada vez que se abre la aplicación de Outlook, impide realizar acciones de copiar y pegar, etc.

  • Quiere que todos los dispositivos estén totalmente administrados. En este escenario, proporcione a los usuarios todos los dispositivos que necesiten, incluidos teléfonos móviles. Invierta en un plan de actualización de hardware para que los usuarios sigan siendo productivos y eficaces. Inscriba en Intune estos dispositivos propiedad de la organización y adminístrelos mediante directivas.

    Esta opción impide el uso de dispositivos personales.

Se recomienda que siempre dé por supuesto que habrá datos que salgan del dispositivo. Asegúrese de contar con métodos de seguimiento y auditoría. Para obtener más información, consulte Centro de implementación de confianza cero.

Administración de equipos de escritorio

Intune puede administrar equipos de escritorio que ejecutan Windows 10 y versiones más recientes. El sistema operativo Windows 10 incluye características de administración de dispositivos modernas y quita las dependencias de la directiva de grupo de Active Directory (AD) local. Para disfrutar de las ventajas de la nube, cree reglas y configuraciones en Intune e implemente estas directivas en todos los dispositivos Windows 10, incluidos equipos de escritorio.

Para obtener más información, consulte Escenario guiado: escritorio moderno administrado en la nube.

Si los dispositivos Windows 10 se administran actualmente mediante Configuration Manager, puede inscribirlos igualmente en Intune. Este enfoque se conoce como "administración conjunta". La administración conjunta ofrece muchas ventajas, como la ejecución de acciones remotas en el dispositivo (reinicio, control remoto, restablecimiento de la configuración de fábrica), el acceso condicional con cumplimiento de dispositivos y mucho más. También puede asociar a la nube los dispositivos en Intune.

Para obtener más información, consulte ¿Qué es la administración conjunta?, Rutas hacia la administración conjunta y Asociación de inquilinos de Endpoint Manager.

Tarea: examine lo que usa actualmente para la administración de dispositivos móviles, cuáles son los objetivos y determine la mejor ruta de acceso. Algunas consideraciones que hay que tener en cuenta:

  • Si actualmente no usa nada, puede que lo mejor sea usar Intune directamente.

  • En el caso de los dispositivos nuevos que no están inscritos en Configuration Manager, o en el caso de cualquier solución MDM, puede que lo mejor sea usar Intune directamente.

  • Si actualmente usa Configuration Manager, dispone de las opciones siguientes:

    • Si quiere conservar la infraestructura existente y trasladar algunas cargas de trabajo a la nube, use la administración conjunta. Obtendrá las ventajas de ambos servicios. Los dispositivos existentes pueden recibir algunas directivas de Configuration Manager (local) y otras directivas de Intune (nube).
    • Si quiere conservar la infraestructura existente y usar Intune para ayudar a supervisar los dispositivos locales, use la asociación de inquilinos. Obtendrá las ventajas de usar el centro de administración de Endpoint Manager, pero seguirá usando Configuration Manager para administrar los dispositivos.
    • Si quiere una solución en la nube pura para administrar los dispositivos, trasládese a Intune. Este escenario no es habitual. Por lo general, los usuarios de Configuration Manager prefieren seguir usándolo. La guía de implementación de configuración contiene información útil.

    Para obtener más información, vea Administración conjunta de cargas de trabajo.

Tarea 3: Determinar los costos y las licencias

La administración de dispositivos consiste en una relación con diversos servicios. Intune incluye opciones de configuración y características que puede controlar en distintos dispositivos. También hay otros servicios que desempeñan un papel fundamental:

  • Azure Active Directory (AD) Premium incluye varias características clave para la administración de dispositivos, entre las que se incluyen las siguientes:

    • Windows Autopilot: Windows 10 dispositivos se pueden inscribir automáticamente en Intune y recibir automáticamente las directivas.
    • Autenticación multifactor (MFA): los usuarios deben escribir dos o más métodos de verificación, como un PIN, una aplicación autenticadora, una huella digital y otras opciones. MFA es una opción excelente al usar directivas de protección de aplicaciones para dispositivos personales o dispositivos propiedad de la organización que requieren seguridad adicional.
    • Acceso condicional: si los usuarios y dispositivos siguen las reglas, como un código de acceso de 6 dígitos, obtendrán acceso a los recursos de la organización. En caso de que no las cumplan, no podrán acceder.
    • grupos de usuarios dinámicos y grupos de dispositivos dinámicos: agregar usuarios o dispositivos automáticamente a grupos cuando cumplan criterios, como una ciudad, cargo laboral, tipo de sistema operativo, versión del sistema operativo, etc.
  • Office 365 incluye aplicaciones de las que dependen los usuarios, como Outlook, Word, SharePoint, Teams, OneDrive, etc. Puede implementar estas aplicaciones en los dispositivos mediante Intune.

  • Microsoft Defender para punto de conexión ayuda a supervisar y examinar dispositivos Windows 10 para detectar actividades malintencionadas. También puede establecer un nivel de amenaza aceptable. Si lo combina con el acceso condicional, puede bloquear el acceso a los recursos de la organización cuando se supera el nivel de amenaza.

  • Azure Information Protection clasifica y protege documentos y mensajes de correo electrónico mediante la aplicación de etiquetas. En las aplicaciones de Office, puede usar este servicio para impedir el acceso no autorizado a los datos de la organización, incluidas aplicaciones en dispositivos personales.

Todos estos servicios se incluyen en la licencia Microsoft 365 E5. Para obtener más información, consulte los planes de licencias de Microsoft 365.

Tarea: determinar qué servicios y programas necesita y usa su organización para ser productivo y seguro. Algunas consideraciones que hay que tener en cuenta:

  • Si su objetivo es implementar directivas (reglas) y perfiles (configuración) sin ningún tipo de cumplimiento, necesita como mínimo Intune. Intune está disponible con distintas suscripciones, e incluso como servicio independiente. Para obtener más información, consulte Licencias de Microsoft Intune.

    Actualmente usa Configuration Manager y quiere configurar la administración conjunta de sus dispositivos. Intune ya está incluido en la licencia de Configuration Manager. Si le interesa que Intune administre por completo los dispositivos nuevos o administrados conjuntamente, necesitará una licencia de Intune independiente.

  • Quiere aplicar las reglas de cumplimiento o de contraseña que cree en Intune. Como mínimo, necesita Intune y Azure AD Premium. Intune y Azure AD Premium están disponibles con Enterprise Mobility + Security.

    Para obtener más información, consulte Opciones de precios de Enterprise Mobility + Security.

  • Solo quiere administrar aplicaciones de Office 365 en los dispositivos. Como mínimo, necesita Office 365. Para obtener más información, consulte MDM para Office 365 frente a Microsoft Intune y Preguntas más frecuentes sobre la administración de dispositivos móviles para Office 365.

  • Quiere implementar aplicaciones de Office 365 en los dispositivos y crear directivas para ayudar a proteger los dispositivos que ejecutan estas aplicaciones. Como mínimo, necesita Intune y Office 365.

  • Quiere crear directivas en Intune, implementar aplicaciones de Office 365 y aplicar sus propias reglas y opciones de configuración. Como mínimo, necesita Intune, Office 365 y Azure AD Premium. Dado que todos estos servicios se incluyen en Microsoft 365, puede ser más rentable usar la licencia de Microsoft 365.

    Para obtener más información, consulte los planes de licencias de Microsoft 365.

Tarea 4: Revisar las directivas e infraestructura existentes

Muchas organizaciones tienen una infraestructura de administración de dispositivos y directivas que simplemente se mantiene. Por ejemplo, podría tener directivas de grupo de 20 años de antigüedad, pero no saber lo que hacen. Al considerar la posibilidad de migrar a la nube, en lugar de centrarse en lo que ha hecho siempre, determine cuáles son sus objetivos.

Teniendo en cuenta estos objetivos, cree una línea base para las directivas. Si dispone de varias soluciones de administración de dispositivos, tal vez haya llegado el momento de empezar a usar una única solución de administración de dispositivos móviles.

Tarea: empiece a examinar las tareas que ejecuta de forma local y que podrían moverse a la nube. Recuerde que, en lugar de centrarse en lo que ha hecho siempre, debe determinar cuáles son sus objetivos. Algunas consideraciones que hay que tener en cuenta:

  • Revise las directivas existentes y su estructura. Algunas directivas pueden aplicarse de forma global, otras se aplican en el nivel de sitio y otras son específicas de un dispositivo. El objetivo consiste en conocer y comprender la intención de las directivas globales, de las directivas locales, etc.

    Las directivas de grupo de AD se aplican en este orden: local, sitio, dominio y unidad organizativa (UO). En esta jerarquía, las directivas de UO sobrescriben a las directivas locales, las de dominio sobrescriben a las de sitio, y así sucesivamente.

    En Intune, las directivas se aplican a los usuarios y a los grupos que se crean. No existe ninguna jerarquía. Si dos directivas actualizan el mismo valor, este se muestra como un conflicto. Para obtener más información, vea Preguntas comunes, problemas y su solución con perfiles y directivas de dispositivos.

    Al cambiar de una directiva de grupo de AD a Intune, las directivas globales de AD empezarán a aplicarse lógicamente a los grupos que tenga (o que necesite). Estos grupos incluirán los usuarios y los dispositivos que quiere que tengan como destino el nivel global, de sitio, etc. Esta tarea le permite hacerse una idea de la estructura de grupo que necesitará en Intune.

  • Esté preparado para crear directivas y perfiles en Intune. Intune incluye varias características que cubren escenarios que podrían interesarle. Por ejemplo:

    • Líneas base de seguridad: en dispositivos Windows 10, líneas base de seguridad son opciones de seguridad preconfiguradas con los valores recomendados. Si no está familiarizado con la protección de dispositivos, o si prefiere una línea base completa, consulte más información sobre las líneas base de seguridad.
    • Plantillas administrativas: en dispositivos Windows 10, use plantillas ADMX para configurar las opciones de directiva de grupo para Windows, Internet Explorer, Office y Microsoft Edge versión 77 y posteriores. Estas plantillas ADMX son las mismas que se usan en la directiva de grupo de AD, pero se basan al 100 % en la nube en Intune.
    • Directiva de grupo: use análisis de directivas de grupo para importar y analizar los GPO. Esta característica ayuda a determinar cómo se traducen los GPO en la nube. La salida muestra qué valores se admiten en los proveedores de MDM, incluido Microsoft Intune. También se muestra cualquier configuración en desuso o la configuración que no está disponible para los proveedores de MDM.
    • Escenarios guiados: escenarios guiados son una serie personalizada de pasos centrados en casos de uso de un extremo a otro. Estos escenarios incluyen automáticamente directivas, aplicaciones, asignaciones y otras configuraciones de administración.
  • Cree una línea base de directiva que incluya sus objetivos mínimos. Por ejemplo:

    • Correo electrónico seguro: como mínimo, es posible que quiera:

      • Habilitar el acceso condicional para Exchange Online o mediante la conexión a una solución de correo electrónico local.
      • Crear directivas de protección de aplicaciones de Outlook.
    • Configuración del dispositivo: como mínimo, es posible que quieras:

      • Requerir un PIN de seis caracteres para desbloquear el dispositivo.
      • Impedir las copias de seguridad en servicios personales en la nube, como iCloud o OneDrive.
    • Perfiles de dispositivo: como mínimo, es posible que quiera:

      • Crear un perfil de Wi-Fi con la configuración predeterminada para conectarse a la red inalámbrica Contoso Wi-Fi.
      • Crear un perfil de VPN con un certificado para autenticarse automáticamente y conectarse a una VPN de la organización.
      • Crear un perfil de correo electrónico con la configuración predeterminada para conectarse a Office 365 o a una solución de correo electrónico de Gmail.
    • Aplicaciones: como mínimo, es posible que quieras:

      • Implementar Office 365 con directivas de protección de aplicaciones.
      • Implementar una línea de negocio (LOB) con directivas de protección de aplicaciones.
  • Revise la estructura actual de los grupos. En Intune, puede crear y asignar directivas a grupos de usuarios, a grupos de dispositivos y a grupos de usuarios y dispositivos dinámicos (requiere Azure AD Premium).

    Al crear grupos en la nube, como Intune o Microsoft 365, se generan en Azure AD. No se ve la personalización de marca de Azure AD, pero es lo que está usando.

  • Si dispone de varias soluciones de administración de dispositivos, cambie a una única solución de administración de dispositivos móviles. Se recomienda usar Intune para ayudar a proteger los datos de la organización en aplicaciones y dispositivos.

Tarea 5: Crear un plan de implementación

La siguiente tarea consiste en planear el modo y el momento en que los usuarios y los dispositivos recibirán las directivas. En esta tarea, tenga en cuenta también las siguientes consideraciones:

  • Defina los objetivos y las métricas de éxito. Use estos puntos de datos para crear otras fases de lanzamiento. Asegurarse de que los objetivos sean específicos, mensurables, alcanzables, realistas y oportunos (SMART, Specific, Measurable, Attainable, Realistic, and Timely). Planee la medición en relación con los objetivos en cada fase para que el proyecto de lanzamiento se mantenga encarrilado.
  • Tenga objetivos claramente definidos. Inclúyalos en todas las actividades de difusión y aprendizaje para que los usuarios entiendan por qué la organización ha elegido Intune.

Tarea: cree un plan para implementar las directivas y elija cómo los usuarios inscriben sus dispositivos en Intune. Algunas consideraciones que hay que tener en cuenta:

  • Implemente las directivas en fases. Por ejemplo:

    • Empiece con un grupo piloto o de prueba. Estos grupos deben saber que son los primeros usuarios y estar dispuestos a proporcionar comentarios. Use estos comentarios para mejorar la configuración, la documentación y las notificaciones y para facilitar el proceso a los usuarios en un lanzamiento futuro. Estos usuarios no deben ser ejecutivos ni personas VIP.

      Después de las pruebas iniciales, agregue más usuarios al grupo piloto. También puede crear más grupos piloto que se centren en un lanzamiento diferente, por ejemplo:

      • Departamentos: cada departamento puede ser una fase de implementación. Puede centrarse en un departamento completo a la vez. En este lanzamiento, los usuarios de cada departamento podrían usar el dispositivo de la misma forma y acceder a las mismas aplicaciones. Los usuarios probablemente tendrán los mismos tipos de directivas.

      • Geografía: implemente las directivas para todos los usuarios de una geografía específica, ya sea el mismo continente, país o región o el mismo edificio de la organización. Este lanzamiento le permite centrarse en la ubicación específica de los usuarios. Podría proporcionar un entorno de Windows Autopilot para un enfoque de implementación previamente aprovisionado, ya que el número de ubicaciones que implementan Intune al mismo tiempo es menor. Es posible que existan departamentos o casos de uso diferentes en la misma ubicación. Por lo tanto, podría probar diferentes casos de uso al mismo tiempo.

      • Plataforma: esta implementación implementa plataformas similares al mismo tiempo. Por ejemplo, podría implementar directivas en todos los dispositivos iOS/iPadOS en febrero, en todos los dispositivos Android en marzo y en todos los dispositivos Windows en abril. Este enfoque permitiría simplificar las solicitudes de ayuda al departamento de soporte técnico, ya que solo admiten una plataforma a la vez.

      Con un enfoque por fases, puede recibir comentarios de tipos de usuarios muy diferentes.

    • Tras una prueba piloto correcta, ya está listo para iniciar un lanzamiento de producción completo. El ejemplo siguiente consiste en un plan de lanzamiento de Intune que incluye grupos de destino y escalas de tiempo:

    Fase de implementación Julio Agosto Septiembre Octubre
    Piloto limitado TI (50 usuarios)
    Piloto expandido TI (200 usuarios), ejecutivos de TI (10 usuarios)
    Fase de implementación de producción 1 Ventas y marketing (2000 usuarios)
    Fase de implementación de producción 2 Venta al por menor (1000 usuarios)
    Fase de implementación de producción 3 Recursos humanos (50 usuarios), Finanzas (40 usuarios), Ejecutivos (30 usuarios)

    Esta plantilla también está disponible para la descarga en Planeamiento, diseño e implementación de Intune: plantillas de tabla.

  • Elija la manera en que los usuarios inscribirán los dispositivos personales y de la organización. Hay varios métodos de inscripción, entre los que se incluyen los siguientes:

    • Autoservicio de usuario: los usuarios inscriben sus propios dispositivos siguiendo los pasos proporcionados por su organización de TI. Este método es el que más se usa y es más escalable que la inscripción asistida por el usuario.
    • inscripción asistida por el usuario: con este enfoque de implementación aprovisionado previamente, un miembro de TI ayuda a los usuarios a través del proceso de inscripción, en persona o mediante Teams. Este método se usa normalmente con personal ejecutivo y otros grupos que pueden necesitar más ayuda.
    • Feria de la industria tecnológica de TI: en este evento, el grupo de TI configura una cabina de asistencia para la inscripción de Intune. Aquí, los usuarios reciben información sobre la inscripción de Intune, realizan preguntas y obtienen ayuda para inscribir los dispositivos. Esta opción resulta beneficiosa para los usuarios y el departamento de TI, sobre todo durante las primeras fases del lanzamiento de Intune.

    En el ejemplo siguiente se incluyen los métodos de inscripción:

    Fase de implementación Julio Agosto Septiembre Octubre
    Piloto limitado
    Autoservicio TI
    Piloto expandido
    Autoservicio TI
    Previamente aprovisionado Ejecutivos de TI
    Fase de implementación de producción 1 Ventas, Marketing
    Autoservicio Ventas y marketing
    Fase de implementación de producción 2 Venta minorista
    Autoservicio Venta minorista
    Fase de implementación de producción 3 Ejecutivos, recursos humanos, finanzas
    Autoservicio Recursos humanos, finanzas
    Previamente aprovisionado Ejecutivos

Tarea 6: Comunicar cambios

La administración de los cambios se basa en comunicaciones claras y útiles sobre los cambios futuros. La idea consiste en facilitar la implementación de Intune, asegurarse de que los usuarios conozcan los cambios y evitar cualquier interrupción.

Tarea: el plan de comunicación de lanzamiento debe incluir información importante, cómo notificar a los usuarios y cuándo comunicarse. Algunas consideraciones que hay que tener en cuenta:

  • Determine qué información se debe comunicar. Comuníquese en fases con los grupos y usuarios, comenzando con una puesta en marcha del lanzamiento de Intune, seguida de una inscripción previa y una posterior:

    • fase de puesta en marcha: comunicación amplia que presenta el proyecto de Intune. Debe aclarar cuestiones clave, como las siguientes:

      • ¿Qué es Intune?
      • ¿Por qué la organización usa Intune? (Deben incluirse las ventajas para la organización y los usuarios).
      • Proporcione un plan de alto nivel para la implementación y el lanzamiento.
      • Si no se permitirán dispositivos personales a menos que se inscriban, explique por qué ha tomado la decisión.
    • Fase de inscripción previa: comunicación amplia que incluye información sobre Intune y servicios adicionales (como Office, Outlook y OneDrive), recursos de usuario y escalas de tiempo específicas cuando los usuarios y grupos van a recibir Intune.

    • Fase de inscripción: comunicación dirigida a usuarios y grupos de la organización que están programados para recibir Intune. Debe informar a los usuarios de que están listos para recibir Intune, así como incluir los pasos de inscripción y la persona de contacto para solicitar ayuda y solventar dudas.

    • fase posterior a la inscripción: comunicación dirigida a usuarios y grupos de la organización que se han inscrito en Intune. Debe proporcionar recursos adicionales que puedan resultar útiles al usuario y recopilar comentarios sobre su experiencia durante y después la inscripción.

    Es posible que el kit de adopción de Intune le resulte útil. Úselo tal como está o cámbielo para su organización.

  • Elija cómo comunicar la información de lanzamiento de Intune a los usuarios y los grupos de destino. Por ejemplo:

    • Cree una reunión presencial de toda la organización o use Microsoft Teams.

    • Cree un correo electrónico para la inscripción previa, otro para la inscripción y otro para la inscripción posterior. Por ejemplo:

      • Correo electrónico 1: explique las ventajas, las expectativas y la programación. Aproveche la ocasión para mostrar otros servicios a los que se concede acceso en los dispositivos administrados por Intune.
      • Correo electrónico 2: anuncie que ahora hay servicios listos para su acceso a través de Intune. Indique a los usuarios que se inscriban ahora. Proporcione a los usuarios una escala de tiempo antes de que su acceso se vea afectado. Recuerde a los usuarios las ventajas y las razones estratégicas para la migración.
    • Use un sitio web de la organización en el que se expliquen las fases de lanzamiento, lo que los usuarios pueden esperar y con quién deben ponerse en contacto para obtener ayuda.

    • Cree carteles, use las plataformas de redes sociales de la organización (como Yammer) o distribuya folletos para anunciar la fase de inscripción previa.

  • Cree una escala de tiempo en la que se indiquen los plazos y las personas interesadas. Las primeras comunicaciones de puesta en marcha de Intune pueden dirigirse a toda la organización o solo a un subconjunto. Pueden prolongarse varias semanas antes de que comience el lanzamiento de Intune. Después de esto, la información puede comunicarse en fases a los usuarios y los grupos, y adaptarse a la programación de lanzamiento de Intune.

    El ejemplo siguiente es un plan de comunicaciones de lanzamiento de Intune de alto nivel:

    Plan de comunicación Julio Agosto Septiembre Octubre
    Fase 1 Todo
    Reunión de puesta en marcha Primera semana
    Fase 2 TI Ventas y marketing Venta minorista Recursos humanos, finanzas y ejecutivos
    Correo electrónico de implementación previa 1 Primera semana Primera semana Primera semana Primera semana
    Fase 3 TI Ventas y marketing Venta minorista Recursos humanos, finanzas y ejecutivos
    Correo electrónico de implementación previa 2 Segunda semana Segunda semana Segunda semana Segunda semana
    Fase 4 TI Ventas y marketing Venta minorista Recursos humanos, finanzas y ejecutivos
    Correo electrónico de inscripción Tercera semana Tercera semana Tercera semana Tercera semana
    Fase 5 TI Ventas y marketing Venta minorista Recursos humanos, finanzas y ejecutivos
    Correo electrónico de inscripción posterior Cuarta semana Cuarta semana Cuarta semana Cuarta semana

Tarea 7: Servicio de soporte técnico y usuarios finales

Incluya al departamento de soporte técnico de TI en las primeras fases de los esfuerzos piloto y el planeamiento de la implementación de Intune. La implicación temprana ayuda a los miembros del departamento a familiarizarse con Intune, lo que les permitirá obtener conocimientos y experiencia para identificar y resolver problemas de forma más eficaz. Además, los prepara para prestar asistencia durante todo el proceso de lanzamiento en producción dentro de la organización. Los equipos de soporte técnico y de asistencia experimentados son de gran ayuda para que los usuarios adopten estos cambios.

Tareas: incorporar formación en soporte técnico. Validar la experiencia del usuario final con métricas de éxito en el plan de implementación. Algunas consideraciones que hay que tener en cuenta:

  • Determine quién prestará soporte técnico a los usuarios finales. Las organizaciones pueden tener diferentes niveles (de 1 a 3). Por ejemplo, los niveles 1 y 2 pueden formar parte del equipo de soporte técnico, mientras que el nivel 3 puede incluir miembros del equipo de MDM responsable de la implementación de Intune.

    El nivel 1 suele ser el primer nivel de soporte técnico y el primero con el que los usuarios se ponen en contacto. Si el nivel 1 no es capaz de resolver el problema, lo deriva al nivel 2. El nivel 2 lo derivará al nivel 3 si es necesario. El Soporte técnico de Microsoft puede considerarse como el nivel 4.

    • En las fases iniciales de lanzamiento, asegúrese de que todos los niveles del equipo de soporte técnico documenten los problemas y las soluciones. Busque patrones y ajuste las comunicaciones para la siguiente fase de lanzamiento. Por ejemplo:
      • Si distintos usuarios o grupos tienen dudas sobre la inscripción de sus dispositivos personales, considere la posibilidad de realizar una llamada de Teams para responder a las preguntas más habituales.
      • Si los usuarios tienen los mismos problemas al inscribir dispositivos propiedad de la organización, organice un evento presencial para ayudar a los usuarios a inscribir los dispositivos.
  • Cree un flujo de trabajo de asistencia y comunique constantemente los problemas de soporte técnico, las tendencias y otra información importante a todos los niveles del equipo de soporte técnico. Por ejemplo, puede celebrar reuniones diarias o semanales a través de Teams para que todos los niveles sean conscientes de las tendencias y los patrones y puedan obtener ayuda.

    En el ejemplo siguiente se muestra la manera en que Contoso implementa los flujos de trabajo de su departamento de soporte técnico de TI:

    1. El usuario final se pone en contacto con el nivel 1 del departamento de soporte técnico de TI con un problema de inscripción.
    2. El nivel 1 del departamento de soporte técnico de TI no puede determinar la causa principal y lo escala al nivel 2.
    3. El nivel 2 del departamento de soporte técnico de TI investiga el asunto. El nivel 2 no puede resolver el problema, de modo que lo deriva al nivel 3 y proporciona información adicional para ayudar.
    4. El nivel 3 del departamento de soporte técnico de TI investiga el problema, determina la causa principal y comunica la solución a los niveles 2 y 1.
    5. Después, el nivel 1 del departamento de soporte técnico de TI se pone en contacto con los usuarios y resuelve el problema.

    Este método, especialmente en las primeras fases del lanzamiento de Intune, aporta muchas ventajas, como las siguientes:

    • Ayuda en el aprendizaje tecnológico.
    • Identificación rápida de problemas y soluciones.
    • Mejora de la experiencia general del usuario.
  • Entrene al departamento y a los equipos de soporte técnico. Pídales que inscriban dispositivos que ejecuten las diferentes plataformas que se usan en la organización (Android, iOS/iPadOS, macOS y Windows) para que se familiaricen con el proceso. Considere la posibilidad de usar los equipos de soporte técnico como grupo piloto para los escenarios.

    Hay recursos de aprendizaje disponibles, como vídeos de YouTube, tutoriales de Microsoft sobre la inscripción, el cumplimiento y la configuración, y cursos a través de asociados.

    A continuación se muestra un ejemplo de un programa de aprendizaje de soporte técnico de Intune:

    • Revisión de un plan de soporte técnico de Intune
    • Información general de Intune
    • Solucionar los problemas comunes
    • Herramientas y recursos
    • Preguntas y respuestas

La documentación sobre cómo presentar Intune a los usuarios finales, el foro de Intune basado en la comunidad y la documentación para el usuario final son también excelentes recursos.

Siguientes pasos

Cree directivas de dispositivo y de aplicación e inscriba los dispositivos.

Consulte el kit de adopción de Intune.