Introducción a Microsoft Endpoint Manager

Como parte de su licencia de Microsoft 365, es probable que su empresa adopte Microsoft Endpoint Manager, que reúne Microsoft Intune, Configuration Manager, Análisis de escritorio, administración conjunta y Windows Autopilot en una plataforma unificada para ayudar a proteger y administrar los dispositivos y aplicaciones de su organización.

Una arquitectura global de servicio en la nube

Microsoft Intune fue diseñado desde la nube y para la nube, y está estrechamente vinculado con Azure Active Directory (Azure AD). Intune se integra con las directivas de Azure AD y acceso condicional (CA) para ayudarle a administrar el acceso a las aplicaciones y dispositivos de su organización y proteger y aislar los datos corporativos. Intune mejora la entidad de certificación con cumplimiento basado en el dispositivo y puede tomar señales de riesgo de Microsoft Defender para punto de conexión, así como también de las aplicaciones de defensa contra amenazas móviles (MTD). Intune también se integra con las soluciones de control de acceso de red (NAC) para garantizar que solo los dispositivos compatibles puedan conectarse a la red corporativa.

Los almacenes de aplicaciones son partes clave de la implementación de Intune. En el caso de los dispositivos iOS, puede usar el Programa de Compras por Volumen de Apple (VPP), que forma parte de Apple Business Manager, o la App Store. En el caso de Android, puede usar la tienda de aplicaciones de Google Play para dispositivos de administrador de dispositivos o Google Play administrado para dispositivos Android Enterprise. Para Windows, la Microsoft Store para Empresas proporciona una excelente experiencia para la implementación de aplicaciones.

Su experiencia de gestión administrativa se centraliza desde el Centro de administración de Microsoft Endpoint Manager, el cual usa las llamadas de Microsoft Graph para el servicio Intune. Cada acción desde la configuración de la aplicación hasta la configuración de administración de dispositivos móviles hasta la seguridad en el centro de administración, es una llamada de Microsoft Graph. Si no está familiarizado con Graph, dedique algún tiempo a comprenderlo; específicamente, cómo se integra Graph con Microsoft Intune.

Arquitectura del servicio de Intune

Inicialmente, Intune comenzó como una combinación de un conjunto de servicios que se ejecutan en las máquinas físicas de un centro de datos privado y un conjunto de servicios distribuidos que se ejecutan en Azure. En 2018, todos los servicios de Intune fueron rediseñados para que ejecutarse en Microsoft Azure. En la actualidad, los servicios en la nube de Intune se basan en Azure Service Fabric. Todos los servicios se implementan en un clúster de Service Fabric que consta de un grupo de nodos de front-end y de nivel intermedio. Nos referimos a cada uno de estos clústeres como una unidad de escalado de Azure o ASU.

Arquitectura de la unidad de escalado de Azure: vista global

Detalles de la unidad de escalado de Azure:

• Hay 18 clústeres distribuidos en tres regiones en Norteamérica, Europa y Asia Pacífico. Cada clúster tiene aproximadamente 5 000 servicios en ejecución, todos con una partición para escalar horizontalmente.
• Los clústeres están completamente aislados y son independientes entre sí. Se hospedan en diferentes suscripciones y centros de datos, y no pueden tener acceso entre sí.
• Se realiza una copia de seguridad de los datos en una tabla o almacenamiento de blobs de Azure persistente externo. Esto permite una recuperación rápida de las réplicas en caso de un error grave.

Cambiar desde las máquinas físicas en un centro de datos privado a una arquitectura de microservicios basada en la nube permitió a Microsoft escalar Intune a miles de millones de dispositivos y aplicaciones y ofrecer rápidamente las últimas innovaciones. Los clientes experimentaron una mayor confiabilidad, estabilidad y rendimiento del servicio. Puede obtener más información acerca del desarrollo de esta arquitectura en la entrada de blog Cómo creamos (reconstruimos) Intune en un servicio en la nube líder de escala global.

Conexión a la nube con Configuration Manager

Microsoft Endpoint Configuration Manager, que forma parte de Microsoft Endpoint Manager, le ayuda a proteger los dispositivos, las aplicaciones y los datos locales que las personas de su organización usan para ser productivos. Si solo necesita administrar puntos de conexión basados en la nube, puede usar Microsoft Intune. Si solo necesita administrar puntos de conexión locales, como los equipos que la organización ha conectado a la red interna, puede usar Microsoft Endpoint Configuration Manager. Sin embargo, si necesita administrar una combinación de puntos de conexión locales y en la nube, puede usar la conexión a la nube para aprovechar Intune y Configuration Manager desde Microsoft Endpoint Manager.

Tendrá que realizar dos pasos para conectar a la nube sus dispositivos locales. El primer paso de los datos adjuntos se denomina datos adjuntos del espacio empresarial, que registra el espacio empresarial de Intune con la implementación de Configuration Manager. El segundo paso se denomina administración conjunta y gestiona simultáneamente dispositivos de Windows 10 con Configuration Manager y Microsoft Intune. Son pasos incrementales en el camino hacia tener datos adjuntos completos en la nube. Obtiene un valor inmediato a través de la conexión de inquilino y obtiene un valor adicional a través de la administración conjunta.

Planificación e implementación

Una adopción o migración correcta a Microsoft Intune comienza con un plan. Este plan depende de la solución de administración actual de dispositivos de la empresa, los objetivos empresariales y los requisitos técnicos. Además, debe incluir a las partes interesadas clave que apoyarán y colaborarán con el plan.

Los siguientes recursos le ayudarán a planear e implementar Intune:

• Guía de implementación: Cómo configurar o pasar a Microsoft Intune
• Guía de planificación para el traslado a Microsoft Intune
• Configuración de Microsoft Intune

Inscripción de dispositivos

Con Intune, puede administrar dispositivos y aplicaciones, así como la forma en que estos acceden a los datos de la empresa. Para usar esta administración de dispositivos móviles (MDM) de Intune, primero es necesario inscribir los dispositivos en el servicio de Intune. Al inscribir un dispositivo, se emite un certificado MDM. Dicho certificado se usa para la comunicación con el servicio de Intune.

Los dispositivos se pueden inscribir en las siguientes plataformas. Para consultar versiones concretas, vea Sistemas operativos compatibles:

• Android
• iOS/iPadOS
• macOS
• Windows

Cada plataforma podría tener requisitos adicionales. Por ejemplo, los dispositivos iOS/iPadOS y macOS requieren un  Certificado push MDM de Apple.

Los siguientes recursos le ayudarán a obtener más información sobre la inscripción de dispositivos para cada plataforma:

• ¿Qué es la inscripción de dispositivos en Intune?
• Funcionalidades de administración de dispositivos inscritos de Microsoft Intune
• Opciones de inscripción para dispositivos administrados por Intune
• Métodos de inscripción de Intune para dispositivos Windows
• Inscripción de dispositivos iOS/iPadOS en Intune
• Inscribir dispositivos Android
• Configuración de la inscripción de dispositivos macOS en Intune

Configuración de dispositivos

Microsoft Intune incluye las opciones de configuración y las características que puede habilitar o deshabilitar en distintos dispositivos de la organización. Estas opciones de configuración y características se agregarán a los perfiles de configuración. Puede crear perfiles para otros dispositivos y plataformas, como iOS/iPadOS, macOS, el administrador de dispositivos Android, Android Enterprise y Windows. Luego, use Intune para aplicar o "asignar" el perfil a los dispositivos.

Los siguientes recursos le ayudarán a comprender cómo configurar las opciones del dispositivo:

• Configurar los ajustes del dispositivo
• Línea base de Seguridad de Windows
• Marco de configuración de seguridad de iOS/iPadOS Enterprise
• Marco de configuración de seguridad de Android Enterprise
• Configuración y características de dispositivos en Microsoft Intune
• Uso del catálogo de configuración para configurar las opciones de los dispositivos Windows y macOS
• Asignación de perfiles para dispositivos en Microsoft Intune
• Directivas de configuración de aplicaciones para Microsoft Intune
• Administración de seguridad de puntos de conexión en Microsoft Intune

Directivas de cumplimiento

Las soluciones MDM como Intune pueden ayudar a establecer requisitos para que los usuarios y dispositivos protejan los datos de la organización. En Intune, estos requisitos se administran con directivas de cumplimiento. Las directivas de cumplimiento de Intune tienen dos partes:

• Configuración de directivas de cumplimiento  : Esta configuración para todo el inquilino es similar a la directiva de cumplimiento integrada que cada dispositivo recibe. La configuración de directivas de cumplimiento establece una línea de base para el funcionamiento de la directiva de cumplimiento en el entorno de Intune, lo que incluye si los dispositivos que no han recibido directivas de cumplimiento de dispositivos son compatibles o no.

• Directiva de cumplimiento de dispositivos: Son reglas específicas de la plataforma que los administradores pueden configurar e implementar en grupos de usuarios o dispositivos. Estas reglas definen los requisitos de los dispositivos, como los sistemas operativos mínimos o el uso del cifrado de discos. Los dispositivos deben cumplir estas reglas para que se consideren compatibles.

Los siguientes artículos le ayudarán a comprender cómo crear y supervisar directivas de cumplimiento en Intune, así como a integrarse con las soluciones MTD y NAC, y el acceso condicional:

• Directivas de cumplimiento de dispositivos en Microsoft Intune
• Creación de una directiva de cumplimiento en Microsoft Intune
• Habilitar el conector de defensa contra amenazas móviles en Microsoft Intune
• Exigir el cumplimiento mediante Microsoft Defender para punto de conexión con acceso condicional en Intune
• Integración del control de acceso de red con Microsoft Intune
• Integración con acceso condicional
• Acceso condicional basado en la aplicación con Intune
• Escenarios de acceso condicional
• Supervisión de directivas de cumplimiento de dispositivos en Microsoft Intune

Directivas de protección de aplicaciones de Intune

Las directivas de Intune App Protection (APP) le permiten proteger los datos de la organización dentro de una aplicación. Junto con las funcionalidades de configuración de la aplicación, puede también implementar la administración de aplicaciones móviles (MAM) en Intune para ayudar a proteger los datos confidenciales a los que se accede desde los dispositivos administrados y no administrados. Con MAM sin inscripción (MAM-WE), puede usar Intune para administrar aplicaciones profesionales o educativas, incluidas aplicaciones de productividad (como las aplicaciones de Microsoft Office), en casi cualquier dispositivo, incluidos los dispositivos personales en escenarios bring-your-own-device (BYOD). Consulte la lista oficial de Aplicaciones protegidas de Microsoft Intune, disponible para uso público.

Para obtener información general sobre las directivas de protección de aplicaciones y cómo funcionan, consulte los siguientes artículos:

• Información general de las directivas de protección de aplicaciones
• Marco de protección de datos con directivas de protección de aplicaciones
• Descripción de los plazos de entrega de las directivas de protección de aplicaciones
• Creación y asignación de directivas de protección de aplicaciones
• Administración de transferencias de datos entre aplicaciones iOS en Microsoft Intune
• Cómo supervisar directivas de protección de aplicaciones
• Revisión de los registros de protección de aplicaciones cliente
• Preguntas más frecuentes sobre MAM y la protección de aplicaciones

Entrega de aplicaciones a dispositivos

Intune admite una amplia gama de aplicaciones, incluidas las aplicaciones de la tienda para iOS, macOS, Android y Windows, y las aplicaciones de línea de negocio (LOB). Puede administrar la implementación de la aplicación desde el Centro de administración de Microsoft Endpoint Manager. Además, puede usar Intune para organizar la implementación de aplicaciones de la tienda con Google Play, App Store de Apple y Microsoft Store administrados.

Consulte estos recursos para saber cómo agregar y administrar aplicaciones con Intune:

• ¿Qué es la administración de aplicaciones de Microsoft Intune?
• Agregar aplicaciones a Microsoft Intune
• Agregar y asignar aplicaciones de Google Play administrado a dispositivos Android Enterprise
• Agregar aplicaciones de la tienda iOS a Microsoft Intune
• Procedimiento para administrar aplicaciones de iOS y macOS compradas mediante Apple Business Manager con Microsoft Intune
• Implementación de aplicaciones Windows 10 con Microsoft Intune
• Cómo proteger los datos empresariales de aplicaciones con Microsoft Intune
• Administración de aplicaciones del sistema Android Enterprise en Microsoft Intune

Privacidad y datos personales en Intune

Debe comprender cómo Intune recopila, almacena, conserva, procesa, protege, comparte, audita y exporta los datos personales. Microsoft Intune no usa ningún dato personal recopilado para prestar servicios de generación de perfiles, publicidad o con fines comerciales.

Los siguientes recursos le ayudarán a comprender la privacidad y los datos personales en Intune:

• Privacidad y datos personales en Intune
• Datos de diagnóstico opcionales de aplicaciones cliente de Intune
• Recopilación de datos en Intune
• Procesamiento y almacenamiento de datos en Intune
• Auditoría, exportación o eliminación de datos personales en Intune

Actualizaciones del servicio Intune

Las nuevas versiones de las características de Intune suelen tener una cadencia de seis a ocho semanas, desde el planeamiento hasta el lanzamiento, denominada sprint. Las versiones de Intune usan la convención de nomenclatura AAMM. Por ejemplo, 2107 sería una versión de julio de 2021.

Cómo se publican las actualizaciones

Nuestro proceso de lanzamiento mensual es una actualización metódica de muchos entornos diferentes, primero en varios servicios de Azure y después, en el centro de administración, lo que hace que esté disponible para su uso. Un entorno interno denominado Autohospedado es el primer entorno que recibe la versión. Esto solo lo usan los equipos de ingeniería de Intune. A continuación, lo implementamos en el inquilino de Microsoft, el cual administra más de 650 000 dispositivos. Una vez que hayamos validado que no hay problemas clave con los servicios, comenzaremos a implementar los entornos de los clientes en un enfoque por fases. Una vez que todos los inquilinos se han actualizado correctamente, actualizamos el Centro de administración de Microsoft Endpoint Manager. Este enfoque por fases nos permite identificar los problemas antes de que afecten al servicio o a nuestros clientes.

La actualización de la aplicación del Portal de empresa es un proceso diferente. Microsoft está sujeto a los requisitos y procesos de lanzamiento de Apple App Store y Google Play y, a veces, también a los de los operadores de telefonía móvil. No siempre es posible alinear las actualizaciones de versiones de Intune con las actualizaciones del Portal de empresa. Para obtener más información, consulte Actualización de IU para las aplicaciones de usuario final de Intune para obtener información sobre las actualizaciones del Portal de empresa.

¿Cómo puedo saber si se ha completado una actualización del servicio para mi inquilino?

1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.
2. Seleccione Administración de inquilinos > Estado del inquilino para ver el nombre y la ubicación del inquilino, la entidad de MDM, el estado de la cuenta y el número de versión del servicio. En el ejemplo siguiente, el inquilino tiene la versión de servicio 2104 (abril de 2021).

Mantenerse al día con las versiones

Mantenerse al día sobre las versiones y los cambios es una parte importante de la implementación de Intune. Intune proporciona varias maneras de mantenerse al día sobre las últimas actualizaciones del servicio:

• Novedades de Intune : Obtenga información sobre las novedades de cada semana en Microsoft Intune, incluida una introducción a la versión actual, avisos, información sobre versiones anteriores y otra información. El contenido se publica al final del sprint actual, una vez que las actualizaciones de la interfaz de usuario comiencen a implementarse en el Centro de administración de Microsoft Endpoint Manager.
• Centro de mensajes: Cuando la actualización del servicio se implemente por completo, verá un mensaje publicado en Estado de inquilino: Estado del servicio y en el centro de mensajes, o puede ver los mismos mensajes en el Centro de mensajes en portal.office.com. Usamos las API del servicio para extraer solo los mensajes de Microsoft Endpoint Manager de Office en la interfaz de usuario del Centro de administración de Microsoft Endpoint Manager.
• Página de estado del inquilino de Microsoft Intune : Un centro de conectividad principal donde puede ver la información actual y las comunicaciones sobre el servicio de Intune y el estado del inquilino.
  1. Navegue al Centro de administración de Microsoft Endpoint Manager.
  2. Seleccione Administración de inquilino > Estado del inquilino > Estado del servicio > Centro de mensajes.
  3. Seleccione un mensaje en el Centro de mensajes de Intune para leerlo.
• Obtenga los anuncios más recientes de Twitter siguiendo a  @IntuneSuppTeam.

Intune también comparte información sobre las actualizaciones de desarrollo, publica incidentes de servicio en el Centro de administración de Microsoft Endpoint Manager y puede enviar notificaciones por correo electrónico. Para saber cómo mantenerse al día con esta información, consulte Mantenerse al día con las nuevas características, los cambios de servicio y el estado del servicio de Intune.

Esperamos que le haya resultado útil esta introducción a Intune. Consulte Sugerencias y trucos para administrar Intune para seguir aprendiendo a sacar el máximo partido de la implementación de Intune.

Recursos y comentarios 

Para obtener información adicional sobre Microsoft Endpoint Manager, consulte la siguiente documentación: 

• Introducción a Microsoft Intune
• Información sobre la administración de dispositivos
• Tutorial: Paso a paso de Intune en Microsoft Endpoint Manager
• Arquitectura de alto nivel para Microsoft Intune