Administración de dispositivos Windows en su organización: transición a la administración moderna

El uso de dispositivos personales para el trabajo y los empleados que trabajan fuera de la oficina pueden estar cambiando la forma en que su organización administra los dispositivos. Determinadas partes de la organización pueden requerir un control pormenorizado exhaustivo de los dispositivos, mientras que otras partes pueden necesitar una administración más clara y basada en el escenario que faculte a los empleados modernos. Windows ofrece la flexibilidad para responder a estos requisitos cambiantes y se puede implementar fácilmente en un entorno mixto. Puede cambiar gradualmente el porcentaje de dispositivos Windows, siguiendo las programaciones de actualización normales que se usan en su organización.

Su organización puede admitir varios sistemas operativos en una amplia gama de tipos de dispositivos y administrarlos a través de un conjunto común de herramientas como Microsoft Configuration Manager, Microsoft Intune u otros productos de terceros. Esta "diversidad administrada" le permite capacitar a los usuarios para que se beneficien de las mejoras de productividad disponibles en sus nuevos dispositivos Windows (incluida la amplia compatibilidad táctil y de lápiz), a la vez que mantiene los estándares de seguridad y facilidad de administración. Puede ayudarle a usted y a su organización a beneficiarse de Windows más rápido.

En este artículo se ofrecen instrucciones sobre las estrategias para implementar y administrar dispositivos Windows, incluida la implementación de Windows en un entorno mixto. Abarca las opciones de administración más las cuatro fases del ciclo de vida del dispositivo:

Revisión de las opciones de administración para Windows

Windows ofrece una variedad de opciones de administración, como se muestra en el diagrama siguiente:

Diagrama de la ruta de acceso a TI moderna.

Como se indica en el diagrama, Microsoft sigue proporcionando compatibilidad para una administración y seguridad profundas a través de tecnologías como la directiva de grupo, Active Directory y Configuration Manager. También ofrece un enfoque "mobile-first, cloud-first" de administración simplificada y moderna mediante soluciones de administración de dispositivos basadas en la nube, como Microsoft Enterprise Mobility + Security (EMS). Las futuras innovaciones de Windows, que se entregan a través de Windows como servicio, se complementan con servicios en la nube como Microsoft Intune, Microsoft Entra ID, Azure Information Protection y Microsoft 365.

Implementación y aprovisionamiento

Con Windows, puede seguir usando la implementación del sistema operativo tradicional, pero también puede "administrar de forma inmediata". Para transformar nuevos dispositivos en dispositivos totalmente configurados y totalmente administrados, puede hacer lo siguiente:

  • Evite volver a compilar mediante el aprovisionamiento dinámico, habilitado por un servicio de administración de dispositivos basado en la nube, como Windows Autopilot o Microsoft Intune.

  • Crea paquetes de aprovisionamiento independientes creados con el Diseñador de configuración de Windows. Para obtener más información, vea Aprovisionamiento de paquetes para Windows.

  • Use técnicas tradicionales de creación de imágenes, como la implementación de imágenes personalizadas con Configuration Manager.

Tiene varias opciones para actualizar a Windows 10 y Windows 11. En el caso de los dispositivos existentes que ejecutan Windows 10, puede usar el sólido proceso de actualización local para un traslado rápido y confiable a Windows 11, a la vez que conserva automáticamente todas las aplicaciones, los datos y la configuración existentes. Este uso del proceso puede significar menores costos de implementación y una mayor productividad, ya que los usuarios finales pueden ser inmediatamente productivos: todo está justo donde lo dejaron. También puede usar un enfoque tradicional de borrado y carga si lo prefiere, con las mismas herramientas que usa actualmente.

Identidad y autenticación

Puede usar Windows y servicios como Microsoft Entra ID de nuevas maneras para la identidad, autenticación y administración basadas en la nube. Puede ofrecer a los usuarios la posibilidad de "traer su propio dispositivo" (BYOD) o de "elegir su propio dispositivo" (CYOD) de una selección que ponga a disposición. Al mismo tiempo, puedes administrar equipos y tabletas que deban unirse a un dominio debido a las aplicaciones o los recursos específicos que se usan en ellos.

Puede visualizar la administración de usuarios y dispositivos como si estuviesen en estas dos categorías:

  • Dispositivos corporativos (CYOD) o personales (BYOD) empleados por usuarios móviles para aplicaciones SaaS, como Office 365. Con Windows, los empleados pueden aprovisionar automáticamente sus dispositivos:

    • En el caso de los dispositivos corporativos, pueden configurar el acceso corporativo con Microsoft Entra unión. Cuando se ofrecen Microsoft Entra unirse con la inscripción automática de MDM Intune, pueden llevar los dispositivos a un estado administrado por la empresa en un solo paso, todo desde la nube.

      Microsoft Entra unirse también es una excelente solución para el personal temporal, asociados u otros empleados a tiempo parcial. Estas cuentas se pueden mantener separadas del dominio de AD local, pero seguir necesitando acceso a los recursos corporativos.

    • De igual modo, para los dispositivos personales, los empleados pueden usar una nueva experiencia BYOD simplificada para agregar su cuenta de trabajo a Windows y, después, acceder a los recursos de trabajo en el dispositivo.

  • Equipos y tabletas unidos a un dominio usados para aplicaciones tradicionales y para el acceso a recursos importantes. Estas aplicaciones y recursos pueden ser los tradicionales que requieren autenticación o acceso a recursos altamente confidenciales o clasificados en el entorno local.

    Con Windows, si tiene un dominio de Active Directory local que se integra con Microsoft Entra ID, cuando se unen los dispositivos de los empleados, se registran automáticamente con Microsoft Entra ID. Este registro proporciona:

    Los equipos y tabletas unidos a un dominio se pueden seguir administrando con Configuration Manager directiva de cliente o grupo.

A medida que revisas los roles de tu organización, puedes usar el árbol de decisión generalizado siguiente para empezar a identificar qué usuarios o dispositivos deben unirse a un dominio. Considere la posibilidad de cambiar los usuarios restantes a Microsoft Entra ID.

Diagrama del árbol de decisión para las opciones de autenticación de dispositivos.

Configuración y configuración

Los requisitos de configuración se definen con varios factores, incluidos el nivel de administración necesario, los dispositivos y los datos administrados, y los requisitos del sector. Mientras tanto, los empleados se preocupan con frecuencia porque TI aplica directivas estrictas a sus dispositivos personales, pero quieren seguir accediendo al correo electrónico y los documentos corporativos. Puede crear un conjunto coherente de configuraciones entre equipos, tabletas y teléfonos a través de la capa de MDM común.

  • MDM: MDM te ofrece una manera de establecer la configuración que satisface tu intención de diseño sin exponer todas las opciones posibles. (Por el contrario, la directiva de grupo expone una configuración específica que se controla individualmente). Una ventaja de MDM es que le permite aplicar una mayor privacidad, seguridad y configuración de administración de aplicaciones a través de herramientas más ligeras y eficientes. MDM también le permite dirigirse a dispositivos conectados a Internet para administrar directivas sin usar la directiva de grupo que requiere dispositivos locales unidos a un dominio. Esta disposición hace que MDM sea la mejor opción para los dispositivos que están constantemente en marcha.

  • Directiva de grupo y Configuration Manager: es posible que la organización todavía tenga que administrar equipos unidos a un dominio en un nivel pormenorizada mediante la configuración de directiva de grupo. Si es así, la directiva de grupo y Configuration Manager siguen siendo excelentes opciones de administración:

    • La directiva de grupo es la mejor manera de configurar pormenorizadamente pc y tabletas Windows unidos a un dominio conectados a la red corporativa mediante herramientas basadas en Windows. Microsoft continúa agregando la configuración de directiva de grupo con cada nueva versión de Windows.

    • Configuration Manager sigue siendo la solución recomendada para la configuración pormenorizada con una sólida implementación de software, actualizaciones de Windows e implementación del sistema operativo.

Actualización y mantenimiento

Con Windows como servicio, tu departamento de TI ya no necesita realizar procesos de creación de imágenes complejos (limpieza y carga) con cada nueva versión de Windows. Ya sea en el canal de disponibilidad general o Long-Term canal de mantenimiento, los dispositivos reciben las últimas actualizaciones de características y calidad a través de procesos de aplicación de revisiones sencillos , a menudo automáticos. Para obtener más información, consulte Escenarios de implementación de Windows.

MDM con Intune proporciona herramientas para aplicar actualizaciones de Windows en equipos cliente de la organización. Configuration Manager permite la administración completa y ofrece funcionalidades de seguimiento de estas actualizaciones, incluidas las ventanas de mantenimiento y las reglas de implementación automáticas.

Pasos siguientes

Hay varios pasos que puede seguir para comenzar el proceso de modernización de la administración de dispositivos en su organización:

Evaluar las prácticas de administración actuales y buscar inversiones que podrías realizar hoy mismo. ¿Cuáles de tus prácticas actuales necesitas conservar y cuáles puedes cambiar? Específicamente, ¿qué elementos de la administración tradicional debes mantener y cuáles puedes modernizar? Tanto si toma medidas para minimizar la creación de imágenes personalizadas, volver a evaluar la administración de la configuración o volver a evaluar la autenticación y el cumplimiento, las ventajas pueden ser inmediatas. Puede usar el análisis de directivas de grupo en Microsoft Intune para ayudar a determinar qué directivas de grupo admiten los proveedores de MDM basados en la nube, incluidos los Microsoft Intune.

Evaluar los distintos casos de uso y las necesidades de administración de tu entorno. ¿Hay grupos de dispositivos que pueden sacar partido de una administración simplificada más clara? Los dispositivos BYOD, por ejemplo, son candidatos naturales para la administración basada en la nube. Los usuarios o los dispositivos que manipulan datos controlados de manera más estricta pueden requerir un dominio local de Active Directory para la autenticación. Configuration Manager y EMS le proporcionan la flexibilidad de realizar la implementación de escenarios de administración modernos, a la vez que se dirige a diferentes dispositivos de la manera que mejor se adapte a sus necesidades empresariales.

Revisar los árboles de decisión de este artículo. Con las distintas opciones de Windows, además de Configuration Manager y Enterprise Mobility + Security, tienes la flexibilidad de controlar las herramientas de administración, autenticación, configuración y creación de imágenes para cualquier escenario.

Tomar medidas incrementales. Avanzar hacia la administración moderna de dispositivos no tiene que ser una transformación de la noche a la mañana. Los nuevos sistemas operativos y dispositivos se pueden introducir mientras se conservan los antiguos. Con esta "diversidad administrada", los usuarios pueden beneficiarse de las mejoras de productividad en los dispositivos Windows modernos, al tiempo que continúa manteniendo los dispositivos más antiguos según sus estándares de seguridad y facilidad de administración. La directiva DE CSP MDMWinsOverGP permite que las directivas MDM prevalezcan sobre las directivas de grupo cuando ambas directivas de grupo y sus directivas MDM equivalentes se establecen en el dispositivo. Puede empezar a implementar directivas MDM mientras mantiene el entorno de directivas de grupo. Para obtener más información, incluida la lista de directivas MDM con directivas de grupo equivalentes, consulte Directivas admitidas por directivas de grupo.

Optimizar las inversiones existentes. En el trayecto desde la administración local tradicional a la administración basada en la nube moderna, aprovecha la arquitectura híbrida flexible de Configuration Manager e Intune. La administración conjunta permite administrar simultáneamente dispositivos Windows mediante Configuration Manager y Intune. Para obtener más información, consulta los artículos siguientes: