Gestión de Equipos con Windows Ya Instalado Usando Microsoft Intune
Este artículo le guiará por cada paso del proceso de configuración de Microsoft Intune. El propósito de este artículo es ayudarle a comprender mejor las configuraciones admitidas de Intune. Después de revisar el artículo, debería poder registrarse para la evaluación gratuita de Microsoft Intune, agregar usuarios finales, definir grupos de usuarios, asignar licencias a los usuarios y configurar las demás opciones necesarias para empezar a usar Microsoft Intune.
Está claro que, debido a los últimos acontecimientos acaecidos a nivel mundial, el teletrabajo ha cobrado una importancia vital que antes solo tenía en determinadas organizaciones. Debemos asumir que esta aquí para quedarse. Esto supone un reto a la hora de que los departamentos de TI puedan gestionar algunos dispositivos, ya sean Laptops, tablets o teléfonos móviles.
Anteriormente teníamos la opción de configurarlos manualmente, o bien mediante GPO y Scripts, en caso de ser un equipo Windows unido a Active Directory. No olvidemos que si tenemos WSUS, y dependiendo de la configuración aplicada, estos equipos no podrían actualizarse. Y, si lo hiciesen, estando la opción de Buscar actualizaciones en línea activada, no tendríamos ningún control sobre ello.
¿Qué es Microsoft Intune?
Microsoft Intune nos puede solucionar esta papeleta. Intune nos va a permitir:
- Aplicar configuraciones específicas a nuestros equipos móviles.
- Cambiar configuraciones.
- Aplicar restricciones.
- Instalar aplicaciones.
- Realizar actualizaciones.
Si bien en este post trataremos muchos aspectos técnicos, la intención es no tomarlo como un manual de Intune, sino más bien, como una explicación de las funciones más importantes del producto. Queremos explicar cómo Intune puede ayudar a gestionar esos equipos que no tenemos físicamente en nuestra oficina.
Con Microsoft Endpoint Manager, podemos instalar aplicaciones a través de Intune en sus diversas modalidades. Dentro de la sección de Microsoft Endpoint Manager, en la opción de Aplicaciones, podemos tener la información relacionada a nuestra configuración actual del tenant, en donde tenemos Todas las aplicaciones, podemos crear la parte de Monitor, cuáles aplicaciones se han instalado de acuerdo a las detectadas, al estado de instalación de la aplicación o al estado de protección de las aplicaciones.
Tenemos Por plataforma para seleccionar aquellas aplicaciones que hemos desplegado o que vamos a implementar a través de Windows, iOS o iPadOS, macOS y el sistema operativo Android. También tenemos las Directivas de aplicaciones, en donde podemos crear Directivas de protección para el acceso a las mismas a nivel de identidad, configuración de las aplicaciones y Perfiles de directivas para las aplicaciones en específico de la suite de Office.
Requerimientos de Intune
Antes de empezar a configurar Microsoft Intune, revise la guía de planeamiento. Antes de registrarse en Intune, determine si ya tiene una cuenta de Microsoft Online Services, Contrato Enterprise o un contrato de licencias por volumen equivalente. Si ya dispone de una cuenta profesional o educativa, inicie sesión con dicha cuenta y agregue Intune a su suscripción.
Si disponemos de un tenant de Microsoft 365, automáticamente disponemos ya de una versión gratuita y básica de Azure AD. Esto sería suficiente para poner en marcha Intune. Naturalmente si disponemos de una licencia de Azure AD Premium dispondremos de algunas ventajas más que nos facilitarán nuestro trabajo con Intune.
Necesitaremos además crear unos registros CNAME en nuestros servidores DNS públicos para facilitar que los equipos se unan a Intune. Opcionalmente, puede configurar el dominio personalizado de la organización en Intune, como contoso.com. Establezca el registro DNS para conectar el nombre de dominio de su empresa con Intune. Si va a migrar a Microsoft 365 desde una suscripción de Office 365, es posible que el dominio ya esté en Microsoft Entra ID.
Los usuarios deben tener asignada una licencia Intune en Microsoft 365 o bien alguna de las siguientes, que ya lo incorporan:
- Microsoft 365 E5
- Microsoft 365 E3
- Enterprise Mobility + Security E5
- Enterprise Mobility + Security E3
- Microsoft 365 Empresa
- Microsoft 365 F1
- Microsoft 365 F3
- Microsoft 365 Administración Pública G5
- Microsoft 365 Administración Pública G3
Microsoft Intune está disponible para diferentes tamaños y necesidades de la organización. Ofrece una experiencia de administración sencilla de usar para escuelas y pequeñas empresas, y una funcionalidad más avanzada requerida por los clientes empresariales.
Un administrador debe tener una licencia asignada para administrar Intune a menos que esté disponible el acceso de administrador sin licencia. Intune admite el acceso de administrador sin licencia, lo que permite a los administradores administrar Intune sin una licencia de Intune asignada. Los inquilinos creados después de julio de 2021 lo tienen habilitado de forma predeterminada. Los inquilinos creados antes de julio de 2021 pueden habilitarlo manualmente.
Usuarios, Grupos y Licencias
Los usuarios se almacenan en Microsoft Entra ID, que también se incluye con Microsoft 365. Puede agregar usuarios o conectar Active Directory para sincronizar con Intune. Cada persona de su organización necesita una cuenta de usuario para poder iniciar sesión y acceder a Microsoft Intune. Para crear cuentas de usuario, agregue usuarios a Intune. Una vez agregado, puede conceder permisos y asignar licencias a los usuarios.
Agregue grupos para asignar aplicaciones, configuración y otros recursos. Intune usa grupos de Microsoft Entra para organizar y administrar dispositivos y usuarios. Como administrador de Intune, puede configurar los grupos de modo que satisfagan sus necesidades organizativas. Por ejemplo, puede crear grupos para organizar usuarios o dispositivos por ubicación geográfica, departamento o características de hardware. Además, puede usar grupos para administrar tareas a escala.
Tanto si agrega usuarios de uno en uno como de todos a la vez, debe asignar a cada usuario una licencia de Intune para que los usuarios puedan inscribir sus dispositivos en Intune. La evaluación gratuita de Microsoft Intune proporciona 25 licencias de Intune.
Control de Acceso Basado en Roles (RBAC)
Microsoft Intune usa el control de acceso basado en rol (RBAC) para administrar el acceso administrativo. Incluye roles integrados que tienen permisos predefinidos para completar tareas específicas del administrador, como la administración de aplicaciones y la creación de directivas. Las etiquetas de ámbito funcionan con roles para limitar qué objetos Intune, como dispositivos, directivas y aplicaciones, son visibles para un administrador.
Asigne los roles integrados a los administradores en función de sus responsabilidades. Por ejemplo, asigne el rol Administrador de directivas y perfiles a los administradores que crean y administran directivas de inscripción. Cree sus propios roles personalizados con el conjunto exacto de permisos que necesita y, a continuación, asigne a los administradores en función de sus responsabilidades. Los roles personalizados le permiten definir un conjunto preciso de permisos cuando los roles integrados no cumplen sus requisitos o si desea implementar el acceso con privilegios mínimos. Use etiquetas de ámbito para limitar la visibilidad de Intune objetos. Las etiquetas de ámbito controlan qué objetos pueden ver los administradores. Los roles controlan qué acciones pueden realizar en esos objetos.
Para ayudar a protegerse frente a una cuenta administrativa en peligro, la configuración de aprobación de varios administradores requiere que una segunda cuenta administrativa deba aprobar un cambio antes de que se aplique el cambio.
Gestión de Equipos con Intune: Agregar una Máquina a Intune
La configuración de la autoridad de administración de dispositivos móviles (MDM) determina cómo administra los dispositivos. De forma predeterminada, la evaluación gratuita de Intune establece la entidad de MDM en Intune. Como administrador de TI, debe establecer una entidad de MDM antes de que los usuarios puedan inscribir dispositivos para la administración.
Pongamos el caso de que tenemos un equipo Windows 10, da igual si está en un dominio o un grupo de trabajo. Es un portátil y queremos administrar su configuración independientemente de dónde esté el equipo, ya que el usuario trabajará siempre desde casa, típico ejemplo de teletrabajador. En el proceso de Gestionar equipos con Intune, lo primero que debemos hacer es registrar el equipo en nuestro Azure AD. Para ello desde Configuración → Cuentas accedemos a Obtener acceso a trabajo o escuela y añadimos nuestra cuenta de Microsoft 365, mediante nuestro usuario y password.
Para comprobar que nuestro equipo está añadido a Azure AD accedemos al Centro de Administración de Microsoft 365 y desde ahí al portal de Azure AD o bien en la URL del Centro de Administración de Azure Active Directory. Una vez hemos accedido al portal de Azure podemos ver en Dispositivos que nuestro equipo se ha añadido. Tenemos nuestro equipo registrado en Azure AD, pero aún no está en Intune.
Inscripción de Dispositivos en Intune
Windows 10 es una versión permitida en Intune. Puede inscribir dispositivos Windows a través del sitio web o la aplicación de Portal de empresa de Intune. Los dispositivos que ejecutan Windows 7 o 8.1 deben inscribirse a través del sitio web de Portal de empresa.
Si disponemos de una licencia de Azure AD Premium, podemos configurar que la inscripción se realice automáticamente. Si al instalar nuestro nuevo PC hubiéramos escogido utilizar una cuenta Microsoft de Trabajo o Escuela y hubiéramos introducido nuestra cuenta de Microsoft 365, se hubiera inscrito a la vez en los dos entornos.
En este caso vamos a realizar una inscripción manual. En función del tipo de dispositivo podremos publicar Perfiles de Configuración, Scripts, Aplicaciones, etc. Si por ejemplo nos situamos sobre Dispositivos → Windows podremos ver el equipo que hemos inscrito anteriormente. Desde aquí podríamos ver también el estado de aplicación, de la instalación de aplicaciones, scripts y perfiles de configuración, pero de momento vamos a ver cómo generarlas y aplicarlas.
Desde el centro de administración de Intune, seleccione >Inscripción automática de Windows. Ámbito de usuario mdm: cuando se establece en Algunos o Todos, los dispositivos se unen a Microsoft Entra ID y los dispositivos se administran mediante Intune. No importa quién haya iniciado sesión en el dispositivo o si los dispositivos son personales o BYOD. Ámbito de usuario de MAM: cuando se establece en Algunos o Todos, Intune administra la cuenta de organización en el dispositivo. Los dispositivos están "registrados" en Microsoft Entra ID. Los dispositivos no se "unen" a Microsoft Entra ID y no se administran mediante Intune.
Para la inscripción masiva, vaya a Microsoft Store y descargue la aplicación Diseñador de configuración de Windows (WCD). Configure la aplicación Designer configuración de Windows y elija inscribir dispositivos en Microsoft Entra ID. Se crea un archivo de paquete. En la configuración de la cuenta del dispositivo, los usuarios inician sesión con su cuenta de organización y seleccionan este archivo de paquete. Si los usuarios finales están familiarizados con la ejecución de un archivo desde estas ubicaciones, pueden completar la inscripción.
Registrar: al registrar dispositivos en Microsoft Entra ID, los dispositivos se muestran como personales en el centro de administración de Intune. Los usuarios obtienen acceso a los recursos de la organización, como el correo electrónico. Unir: al unir dispositivos en Microsoft Entra ID, los dispositivos se administran completamente mediante Intune y recibirán las directivas que cree. Esta opción es común para dispositivos propiedad de la organización.
Opciones de Inscripción de Dispositivos Windows
La siguiente tabla resume las diferentes opciones de inscripción para dispositivos Windows, dependiendo de su propiedad y estado.
| Tipo de Dispositivo | Método de Inscripción | Descripción | ¿Dispositivo Unido a Azure AD? | ¿Dispositivo Administrado por Intune? |
|---|---|---|---|---|
| BYOD o Personal | Inscripción Manual (Configuración > Cuentas > Acceder a trabajo o escuela) | Los usuarios encienden el dispositivo e inician sesión con su cuenta personal. Luego, ingresan la dirección de correo electrónico de su organización y el nombre del servidor de Intune o registro CNAME. | Registrado en Azure AD | Sí (gestión de cuenta de organización) |
| BYOD o Personal | Unir este dispositivo a Azure Active Directory (desde Configuración) | Los usuarios activan el dispositivo, pasan por la OOBE e inician sesión con su cuenta personal. Luego, eligen unir el dispositivo a Azure Active Directory. | Unido a Azure AD | Sí (administración completa) |
| Propiedad de la Organización (Nuevos) | Windows Autopilot | Utiliza la versión OEM de Windows preinstalada. Requiere inscripción automática y un perfil de inscripción en Intune. | Unido a Azure AD | Sí (administración completa) |
| Propiedad de la Organización (Existentes) | Inscripción Automática (GPO) | Registrar Active Directory en Microsoft Entra ID y crear una directiva de grupo "Habilitar la inscripción automática de MDM". | Unido a Azure AD Híbrido | Sí (administración completa) |
| Administración Conjunta | Adjuntar en la Nube (Administrador de Configuración a Intune) | Administra dispositivos Windows mediante Administrador de Configuración y Microsoft Intune conjuntamente. | Unido a Azure AD Híbrido o Registrado en Azure AD | Sí (compartida entre ambos) |
Configurar Windows Autopilot + Intune paso a paso 🔥 (Desde CERO)
Personalización del Portal de Empresa
Las aplicaciones del Portal de empresa, el sitio web del Portal de empresa y la aplicación de Intune en Android son los lugares en los que los usuarios acceden a los datos de la empresa y pueden realizar tareas comunes. Personalice el Portal de empresa de Intune que los usuarios usan para inscribir dispositivos e instalar aplicaciones. Estos valores se muestran tanto en la aplicación Portal de empresa como en el sitio web del Portal de empresa de Intune. Vuelva a iniciar sesión con su cuenta profesional o educativa. Una vez completada la instalación, vuelva a la aplicación Portal de empresa. Después de inscribirse, si tiene problemas para acceder a cosas profesionales o educativas, intente sincronizar el dispositivo.
Normalmente, los usuarios no quieren inscribirse y es posible que no estén familiarizados con la aplicación Portal de empresa. Asegúrese de proporcionar instrucciones, incluida la información que se va a introducir. Si es administrador de TI y tiene problemas al inscribir dispositivos, consulte Solución de problemas de inscripción de dispositivos Windows en Microsoft Intune. Si necesita más ayuda para configurar el dispositivo o usar Portal de empresa, póngase en contacto con su persona de soporte técnico.
Administración de Dispositivos en Intune
Si volvemos al inicio en Dispositivos veremos un apartado llamado “Directiva”, este conjunto de opciones que tenemos aquí se podría definir como las GPO de Intune. Aunque en otros apartados que veremos después tenemos también opciones que junto a estas las configuraríamos en un AD on Premise con GPO (en el caso de dispositivos Windows).
Perfiles de Configuración
Los aspectos más destacables de la configuración y personalización de nuestros dispositivos se configurarían desde aquí. Podemos crear configuraciones con plantillas administrativas, restricciones del dispositivo, agregar certificados, configuraciones WIFI, VPN y también crear valores de configuración personalizados OMA-URI (identificador uniforme de recursos de Open Mobile Alliance). Naturalmente, una vez creadas las podemos aplicar a los equipos que creamos oportuno.
El aspecto, por ejemplo, de las plantillas administrativas se asemejaría bastante a lo que son nuestras queridas GPO de AD. Para este Post, hemos creado algunas configuraciones, en este caso, dos restricciones y una VPN que aplicaremos a nuestro equipo ya registrado en Intune. Hemos desactivado, por ejemplo, el uso de Cortana y el acceso a la parte de “Sistema” dentro de la configuración de Windows 10. También hemos configurado un acceso VPN.
En este laboratorio se han asignado estas configuraciones a todos los dispositivos, naturalmente podemos crear grupos de seguridad tanto de usuarios como de equipos para poder asignar estas configuraciones.
Actualización de Windows 10
Otro de los aspectos importantes e interesantes es la posibilidad de controlar la forma en que configuramos las actualizaciones de Windows. Para ello disponemos de dos opciones:
- Anillo de actualización de Windows 10: desde aquí podemos configurar las opciones clásicas de configuración de las actualizaciones de Windows, así como la experiencia de usuario (canal de servicio, actualizar o no controladores de Windows u otros productos Microsoft instalados, así como la programación de la instalación de las actualizaciones, entre otros).
- Actualizaciones de características de Windows 10: esta directiva (que se encuentra en versión preliminar) deja los dispositivos en la versión de Windows que se especifique y bloquea el conjunto de características en dichos dispositivos hasta que se decida actualizarlos a una versión posterior de Windows, lo cual es interesante para problemas de compatibilidad.
Seguridad de los Puntos de Conexión
Esta parte es muy importante e interesante, ya que desde aquí podemos, por ejemplo, aplicar configuraciones de encriptado de disco con Bitlocker, configurar las opciones de Windows Defender o aplicar reglas y configuraciones en el Firewall. En nuestro caso, para probarlo, hemos creado una regla para desactivar el Firewall de Windows.
Administración de Aplicaciones
Para finalizar, vamos a ver la parte de instalación de aplicaciones, desde aquí podemos instalar o desinstalar aplicaciones en nuestros equipos. Estas aplicaciones pueden ser diferentes en función del Sistema Operativo. Para Windows 10, por ejemplo, pueden ser aplicaciones de la tienda de Microsoft, simples MSI, actualizaciones de Edge, o bien forzar la instalación de las aplicaciones de Escritorio de Office en función de nuestra licencia de Microsoft 365.
Para este laboratorio, se han configurado un par de aplicaciones MSI descargando previamente los archivos de instalación de la página del fabricante (7Zip y Google Chrome), subimos el MSI y lo publicamos. También se ha configurado (hay una política solo para eso) el paquete de la nueva actualización de Microsoft Edge y las aplicaciones de Escritorio de Microsoft 365.
Si os fijáis, hay algunas aplicaciones cuyo tipo es “Aplicación de la tienda Microsoft para Empresas”, esto se ha hecho para desinstalar algunas aplicaciones Preinstaladas de Windows (Juegos, Xbox, etc.). Antes existía una opción en Intune para poder hacerlo, pero actualmente para ello tienes que crear una Bussines Store de Microsoft, que no es más que una tienda personalizada para tu organización en la que autorizas o desautorizas diferentes aplicaciones. En esta tienda (se crea desde el portal de Azure) se añaden aplicaciones y se puede sincronizar con Intune e incluso podemos forzar a nuestros equipos a que sea su única tienda disponible, bloqueando la de Microsoft.
Verificación de Configuración en Intune
Cuando el equipo se sincronice con Intune se deberán aplicar todas las configuraciones que hemos preparado (aplicaciones, seguridad, etc.). Los equipos se sincronizan automáticamente cada cierto tiempo, pero también podemos forzarlo de forma manual.
Si accedemos a la máquina que previamente hemos registrado y configurado desde Intune, vemos que además de desactivar el Firewall de Windows, ha instalado 7Zip, Google Chrome, la nueva versión de Edge y Office. También ha desinstalado las aplicaciones preinstaladas y ha configurado los updates y la VPN que hemos configurado en la consola de Endpoint Manager.
Desde el portal de empresa, vemos por ejemplo la última actualización de las directivas, o las últimas descargas de aplicaciones realizadas.
El 14 de octubre de 2025, Windows 10 llegó al final del soporte técnico y no recibirá actualizaciones de calidad y características.