Respuesta y compatibilidad de COVID-19 de Contoso para el trabajo híbrido

  • Artículo
  • Tiempo de lectura: 2 minutos

Contoso siempre había admitido a sus trabajadores remotos, que accedieron a los recursos locales a través de un servidor VPN central en la sede central de París. Contoso había emitido a todos los trabajadores remotos un portátil administrado. Los trabajadores locales tenían una mezcla de equipos de escritorio y portátiles.

Respuesta de Contoso a COVID-19

Con el inicio de la pandemia covid-19, de repente todos los trabajadores esenciales eran trabajadores remotos. Contoso respondió cambiando su personal para trabajar desde casa y llevar a cabo sus actividades principales a través del acceso remoto a recursos locales y en línea mediante Microsoft 365 servicios en la nube.

Contoso tenía servidores VPN de acceso remoto en la oficina central de París para admitir el 25 % de su personal ya remoto, pero rápidamente se movió para ampliar su capacidad de acceso remoto para admitir el 90 % de su personal. Contoso implementó servidores VPN de acceso remoto en cada oficina satélite para que los trabajadores remotos usarían un punto de entrada de cierre regional para obtener acceso a la intranet de Contoso.

Contoso también actualizó la configuración de los clientes VPN instalados en portátiles, tabletas y teléfonos inteligentes para el túnel dividido, de modo que el tráfico del conjunto Optimize de puntos de conexión de Office 365 omitió la conexión VPN y se envió directamente a través de Internet. Para obtener más información, vea Optimizar la Office 365 para usuarios remotos mediante túnel dividido de VPN.

Esta es la configuración resultante con dispositivos VPN instalados en la sede central de París y en cada una de las oficinas satélite.

Infraestructura VPN de Contoso.

Un trabajador remoto con el cliente VPN instalado usa DNS para buscar la oficina regionalmente más cercana y se conecta al dispositivo VPN instalado allí. Con la tunelización dividida, el tráfico Microsoft 365 los puntos de conexión optimizar se envía directamente a la ubicación de red Microsoft 365 regional. El resto del tráfico se envía a través de la conexión VPN al dispositivo VPN.

Compatibilidad de Contoso con el trabajo híbrido

Después de realizar los cambios iniciales para admitir principalmente trabajadores remotos durante los bloqueos regionales, Contoso realizó cambios en la infraestructura para admitir el trabajo híbrido en el que un trabajador podía ser:

  • Siempre remoto.
  • Siempre en el sitio.
  • Una combinación de in situ y remota.

Microsoft 365 identidad, seguridad y cumplimiento están diseñados para que Zero Trust funcione independientemente de la ubicación del usuario y su dispositivo. Para obtener más información, vea Zero Trust.

Sin embargo, la administración de nuevas instalaciones y actualizaciones de software depende de la ubicación del dispositivo, ya que el software que se va a instalar podría venir de un origen local o de Internet. Los arquitectos de TI de Contoso diseñaron sus nuevas instalaciones y actualiza la infraestructura en función de la ubicación del dispositivo, en lugar del trabajador.

Designaban dos tipos de dispositivos: dedicados localmente e itinerancia.

Dedicado local

Un dispositivo local dedicado es un equipo de escritorio o servidor que nunca sale de la intranet de Contoso y no tiene instalado un cliente VPN. Estos dispositivos locales siguen usando Microsoft Endpoint Configuration Manager y sus puntos de distribución para las instalaciones y actualizaciones de Windows 10, Aplicaciones Microsoft 365 para empresas y el explorador perimetral.

Itinerancia

Un dispositivo móvil puede salir de la intranet de Contoso e incluye portátiles emitidos a muchos trabajadores de oficina y a todos los trabajadores remotos y otros dispositivos propiedad de la organización, como teléfonos inteligentes y tabletas con el cliente VPN de Contoso instalado.

Dado que estos dispositivos se pueden conectar a Internet en un momento dado, usan Intune u otros servicios basados en la nube para instalar y actualizar Windows 10, Aplicaciones Microsoft 365 para empresas y Edge. No usan los puntos de distribución locales de Configuration Manager existentes.

Esto significa que algunas de las instalaciones y actualizaciones del dispositivo móvil se realizarán a través de Internet mientras están locales y conectadas a la intranet. Pero los arquitectos de IT de Contoso decidieron que la simplicidad de la configuración era más importante que la optimización del ancho de banda de intranet a Internet, especialmente cuando la mayoría de los trabajadores remotos rara vez están conectados a la intranet.

Esta es la infraestructura resultante.

Infraestructura de instalación y actualizaciones de Contoso.

El comportamiento de instalación y actualización se determina al convertir las cuentas de equipo de los dispositivos en miembros de uno de estos grupos:

  • OnPremDevices

    El cliente de Configuration Manager en el dispositivo usa puntos de distribución para las descargas y actualizaciones.

  • RoamingDevices

    Intune y otras opciones de configuración del dispositivo especifican el uso de la red Microsoft 365 para instalar y actualizar.

Nuevo proceso de incorporación

Para un nuevo dispositivo local dedicado emitido a un nuevo trabajador o a un nuevo servidor en un centro de datos, cuando el trabajador inicia sesión, el cliente de Configuration Manager basado en la pertenencia del dispositivo al grupo OnPremDevices descarga e instala las actualizaciones más recientes para Windows 10, Aplicaciones Microsoft 365 para empresas y Edge desde la distrib de Configuration Manager local puntos de ution. Cuando se completa, el dispositivo local dedicado está listo para su uso y usa estos puntos de distribución para actualizaciones continuas.

Para un nuevo dispositivo remoto emitido a un nuevo trabajador, cuando el trabajador inicia sesión, el dispositivo, según su pertenencia al grupo RoamingDevices, se pone en contacto con el servicio en la nube de Intune y otros servicios y descarga e instala las actualizaciones más recientes para Windows 10, Aplicaciones Microsoft 365 para empresas y Edge. Cuando se completa, el dispositivo remoto está listo para su uso y usa el cliente VPN instalado para obtener acceso a los recursos locales y a la red Microsoft 365 para actualizaciones continuas.

Paso siguiente

Configure la infraestructura para el trabajo híbrido en su organización.