Entorno de TI distribuido con muchos administradores en el mismo inquilino Microsoft Intune
Muchas organizaciones usan un entorno de TI distribuido donde tienen un único inquilino Microsoft Intune con varios administradores locales. En este artículo se describe una manera de escalar Microsoft Intune para admitir varios administradores locales que administran sus propios usuarios, dispositivos y crean sus propias directivas en un único inquilino Microsoft Intune. No hay ninguna respuesta correcta o incorrecta sobre cuántos administradores puede tener en el inquilino. El artículo se centra en los inquilinos que tienen muchos administradores locales.
La TI distribuida es necesaria en sistemas en los que un gran número de administradores locales se conectan a un único inquilino Intune. Por ejemplo, algunos sistemas educativos se organizan para que tenga un administrador local para cada escuela del sistema o región. A veces, este entorno distribuido podría ser 15 o más administradores locales diferentes que se acumulan en el mismo sistema central o Microsoft Intune inquilino.
Cada administrador local puede configurar grupos para satisfacer sus necesidades organizativas. Normalmente, el administrador local crea grupos y organiza varios usuarios o dispositivos por ubicación geográfica, departamento o características de hardware. Los administradores locales también usan estos grupos para administrar tareas a escala. Por ejemplo, los administradores locales pueden establecer directivas para muchos usuarios o implementar aplicaciones en un conjunto de dispositivos.
Roles que necesita conocer
Equipo central: el equipo o grupo central incluye los administradores globales o los administradores principales en el inquilino. Estos administradores pueden supervisar todos los administradores locales y pueden proporcionar instrucciones a los administradores locales.
Administradores locales: los administradores locales son locales y se centran en directivas y perfiles para sus ubicaciones específicas; escuelas, hospitales, etc.
Control de acceso basado en roles
En esta sección se describen brevemente los diferentes modelos y se proponen directrices en cada modelo para administrar directivas, perfiles y aplicaciones entre el equipo central y los administradores locales. Los modelos son:
- Modelo de delegación parcial
- Modelo de delegación completa
- Modelo central
- Modelo devolvido
- Modelo híbrido
Modelo de delegación parcial
El modelo de delegación parcial propone las siguientes directrices para la administración de directivas entre el equipo central y los administradores locales.
✔️ Permisos
- El equipo central debe mantener los permisos de creación, actualización y eliminación de directivas, perfiles de inscripción y aplicaciones.
- Conceda solo permisos de lectura y asignación a los administradores locales.
✔️ Reutilización
- Las directivas, los perfiles de inscripción y las aplicaciones configurados habitualmente deben estar disponibles para que los administradores locales puedan reutilizarlas tanto como sea posible.
- Microsoft Intune usa muchas configuraciones comunes que se dividen en algunas categorías. Revise las recomendaciones que aparecen en Directivas de Protección de aplicaciones.
- A medida que los administradores locales se incorporan, deben revisar las directivas existentes y reutilizarlas según sea necesario.
✔️ Excepciones
- El equipo central puede crear determinadas directivas, perfiles de inscripción y aplicaciones como excepciones, cuando sea necesario, en nombre de los administradores locales. Normalmente, estas excepciones incluyen cualquier tipo de perfil que requiera parámetros únicos.
Se propone un modelo de delegación parcial en estas dos áreas:
Directrices de grupos y asignaciones para administradores locales: ¿Cuáles son algunos de los procedimientos recomendados para que los administradores locales adopten mientras organizan grupos para la administración de dispositivos a través de Microsoft Intune? Para averiguarlo, lea el artículo Intune agrupación, selección de destino y filtrado: recomendaciones para obtener el mejor rendimiento: Microsoft Tech Community
Directrices específicas de características: cómo se administran las directivas, los perfiles o las aplicaciones entre una entidad central y los administradores locales con permisos específicos para las distintas características. Para obtener más información, vaya a la sección Directrices específicas de características.
Modelo de delegación completa
El modelo de delegación completa propone las siguientes directrices para la administración de directivas entre el equipo central y los administradores locales.
- Cada administrador local debe tener su propia etiqueta de ámbito para separar cada objeto que administre completamente.
- Cuando el administrador local no necesita crear, actualizar o eliminar, conceda al administrador local un rol con permisos de lectura y asignación y evite asignarle cualquier otro rol con permiso completo. Con este enfoque, puede evitar la combinación de permisos entre etiquetas de ámbito.
- A veces, es posible que los administradores locales necesiten crear sus propias directivas, perfiles y aplicaciones mientras comparten algunas directivas, perfiles y aplicaciones comunes. En tales casos, cree un grupo especial y asigne las directivas, perfiles y aplicaciones comunes a este grupo. Este grupo no debe incluirse en el grupo de ámbito para ningún administrador local. Grupo de ámbito. Este enfoque impide que los permisos de creación, actualización y eliminación asignados a los administradores locales se apliquen a estas directivas, perfiles y aplicaciones comunes.
Modelo central
En el modelo central, un único equipo de administración local (primario) administra varias organizaciones secundarias. Factores como geografía, unidad de negocio o tamaño pueden relacionar organizaciones secundarias.
Solo se usa una etiqueta de ámbito para cubrir todos los administradores locales administrados.
Si es posible, el equipo de administración local debe estandarizar las asignaciones entre los administradores locales y colocar todos sus dispositivos en un único grupo Microsoft Entra para la asignación. Cuando no es posible crear un único grupo de Microsoft Entra, el equipo de administración local puede crear grupos de Microsoft Entra diferentes para realizar asignaciones diferentes.
Si un equipo de administración local diferente administra o mueve una organización, se deben realizar los pasos siguientes:
Todos los dispositivos y usuarios de la organización deben extraerse de grupos de Microsoft Entra comunes en el ámbito del equipo de administración local original.
Todas las directivas, aplicaciones o perfiles asignados de forma única para esa organización deben tener su etiqueta de ámbito actualizada para el nuevo equipo de administración local.
Modelo devolvido
En el modelo desenlazado, su administrador local dedicado administra varios administradores locales (elementos secundarios) y también los supervisa un equipo de administración local intermediario. Tanto los administradores primarios como los secundarios tienen sus propias etiquetas de ámbito para representar los límites de administración.
- Si hay menos de 50 administradores secundarios, se puede conceder acceso al equipo de administración local intermedio mediante la asignación de todas las etiquetas de ámbito de los elementos secundarios a la asignación de roles RBAC de los equipos de administración local intermedios.
- Si hay más de 50 administradores de niños, se debe conceder al equipo de administración local intermedio su propia etiqueta de ámbito para representar toda la colección de administradores de niños que supervisan.
- Las directivas recién creadas en las etiquetas de ámbito del administrador secundario deben tener la etiqueta intermedia agregada por un rol de administrador global para evitar que el equipo de administración local intermedio pierda visibilidad.
Modelo híbrido
En el modelo híbrido, el mismo administrador primario se usa tanto en el modelo central como en el modelo devolvido al mismo tiempo. No hay ninguna recomendación especial para este modelo.
Directrices específicas de características
En función de los requisitos empresariales de cada característica, las directrices proporcionadas en esta sección pueden recomendar la creación de directivas por administrador local o el delegado de los permisos necesarios para crear objetos a los administradores locales.
Nota:
Las instrucciones proporcionadas en esta sección no abordan todas las características, sino que solo cubren las áreas para las que tenemos instrucciones especiales.
directiva de Protección de aplicaciones
Las directivas de protección de aplicaciones son reglas que garantizan que los datos de la organización siguen siendo seguros o se encuentran en una aplicación administrada. Para obtener más información, vaya a directivas de Protección de aplicaciones.
Las directrices para las directivas de Protección de aplicaciones se dividen entre el equipo central y los administradores locales de la siguiente manera:
Equipo central: tareas
- Revise las necesidades empresariales y de seguridad de toda la organización y genere un conjunto de directivas comunes de Protección de aplicaciones para los administradores locales.
- Revise las recomendaciones enumeradas para identificar qué controles de seguridad son adecuados antes de crear las directivas de Protección de aplicaciones.
- Tenga un método establecido para que los administradores locales soliciten directivas de Protección de aplicaciones personalizadas, si es necesario, para necesidades empresariales específicas en las que los requisitos empresariales no se puedan lograr con las directivas comunes existentes.
- Para obtener recomendaciones específicas sobre cada nivel de configuración y las aplicaciones mínimas que deben protegerse, revise Marco de protección de datos mediante directivas de Protección de aplicaciones, vaya a directivas de Protección de aplicaciones.
Administradores locales: permisos y tareas
- Proporcione permisos de lectura y asignación, pero no cree, actualice ni elimine permisos en Aplicaciones administradas, por lo que no pueden crear sus propias directivas de Protección de aplicaciones.
- Proporcione permisos de lectura y asignación para la asignación de directivas de configuración de aplicaciones a sus aplicaciones.
- Proporcione permisos de lectura y asignación solo cuando haya directivas de protección diferentes para dispositivos administrados y dispositivos no administrados. Si el equipo central elige ofrecer solo una directiva para ambos, no se necesita la directiva de configuración de la aplicación.
- Si se usa la directiva de configuración de la aplicación, se recomienda asignar la directiva de configuración de la aplicación a todas las instancias de App sin excepción.
- Elija entre directivas de Protección de aplicaciones comunes. Los administradores locales pueden solicitar al equipo central que cree directivas de protección de aplicaciones personalizadas como excepción y solo si es necesario.
- Para obtener más información, vaya a directivas de Protección de aplicaciones
Directiva de cumplimiento
Las directivas de cumplimiento de Intune definen las reglas y la configuración que los usuarios y dispositivos deben cumplir para que sean compatibles. Para obtener más información sobre las directivas de cumplimiento, vaya a Directivas de cumplimiento.
Equipo central
El equipo central debe crear directivas de cumplimiento comunes para que los administradores locales elijan entre y solo, si es necesario, cree directivas de excepción. Para obtener más información, vaya a Directivas de cumplimiento. La creación de directivas incluye la creación de scripts de directiva de cumplimiento personalizados porque están sujetos a la misma escala que la directiva de cumplimiento normal.
Para obtener más información sobre cómo crear una directiva de cumplimiento, vaya a Directivas de cumplimiento.
Administradores locales
Proporcionar a los administradores locales permisos de lectura y asignación, pero no crear, actualizar o eliminar permisos en la directiva de cumplimiento. Los permisos de lectura y asignación les permiten elegir entre las directivas de cumplimiento comunes creadas por el equipo central y asignarlas a sus usuarios y dispositivos.
Configuración de dispositivos
En esta sección:
- Restricciones de dispositivos y configuración general
- Acceso a recursos
- Anillos de actualización de Windows
- Actualizaciones de características
- Actualizaciones de calidad
Restricciones de dispositivos y configuración general
Conceda permiso a los administradores locales para crear, actualizar y eliminar dentro de su propio ámbito.
Use el Catálogo de configuración y las líneas base de seguridad hasta el máximo posible, en lugar de los perfiles creados en la lista Perfiles de configuración, para mitigar la escala en el centro de administración de Microsoft Intune.
En general, el equipo central debe intentar supervisar centralmente el contenido de las configuraciones y reemplazar una gran cantidad de perfiles duplicados siempre que sea posible por un perfil compartido.
Acceso a recursos
Se recomienda el modelo de delegación completa .
Anillos de actualización de Windows
- Se recomienda que los anillos de actualización de Windows se administren de forma centralizada. El equipo central debe crear tantas directivas comunes de anillo de actualización de Windows como necesite para admitir la varianza de los administradores locales.
- Los administradores locales no deben crear sus propios anillos de actualización de Windows. Al delegar en un gran número de administradores, el número total de objetos puede llegar a ser grande y difícil de administrar. Los procedimientos recomendados varían para cada característica. Para obtener más información, vaya a Anillos de Windows Update.
Actualizaciones de características
Se recomienda el modelo de delegación completa .
Actualizaciones de calidad
Se recomienda el modelo de delegación completa .
Certificados
Se recomienda usar permisos a través del equipo central para incorporar o desconectar conectores según sea necesario. Incorporación de conectores para que cada administrador local admita la emisión de certificados.
No conceda permiso a los administradores locales para los conectores UPDATE o DELETE.
Aplicaciones
Conceda a los administradores locales permisos completos para administrar aplicaciones en la medida de su ámbito.
En esta sección:
Programa de compras por volumen de Apple
Windows
Android
Para obtener más información, vaya a Administrar aplicaciones.
Programa de compras por volumen de Apple
Actualmente, no hay problemas de escala para el número admitido de tokens del Programa de compras por volumen. Para obtener más información, vaya a Cuántos tokens puedo cargar.
Windows
Los administradores locales pueden crear aplicaciones Win32 según sea necesario dentro del límite multiplataforma, aplicación de línea de negocio y vínculo web. Para obtener más información, vaya a Administración de aplicaciones win32.
Nota:
Microsoft Store para Empresas se está retirando. A partir de Windows 11, tiene una nueva opción para las aplicaciones privadas con licencia por volumen. Para obtener más información, vaya al repositorio de aplicaciones privadas en Windows 11 y Actualizar para Microsoft Intune integración con Microsoft Store en Windows.
Android
Los administradores locales deben elegir entre las aplicaciones de la tienda existentes o pedir al equipo central que agregue nuevas aplicaciones de la Tienda Android. Los administradores locales no deben crear nuevas aplicaciones de la Tienda Android. El número total de objetos puede llegar a ser grande y difícil de administrar.
Los administradores locales pueden crear aplicaciones de línea de negocio de Android, según sea necesario, dentro del límite multiplataforma, de línea de negocio y vínculo web.
El equipo central debe agregar aplicaciones de Google Play administradas.
- El equipo central solo puede ver las aplicaciones de Google Play administradas disponibles en el país o región de su inquilino. Si el equipo central necesita una aplicación de Google Play administrada solo disponible en algunos países o regiones, es posible que tenga que trabajar con el desarrollador de la aplicación para que aparezca correctamente.
- El equipo central debe administrar todo el contenido relacionado con las aplicaciones de Google Play administradas, incluidas las aplicaciones privadas, las aplicaciones web y las colecciones. Por ejemplo, si un cliente planea usar el iframe de Google Play administrado para publicar aplicaciones privadas, tiene que hacerlo con una sola cuenta de desarrollador propiedad del equipo central.
- El equipo central puede seleccionar una sola etiqueta de ámbito como etiqueta de ámbito de Google Play administrado. Tiene una lista desplegable especial en la página del conector de Google Play administrado. La etiqueta de ámbito se aplicará a todas las aplicaciones de Google Play administradas después de que el equipo central las agregue a la consola, pero no se aplicará de forma retroactiva a las aplicaciones que ya se hayan agregado. Se recomienda encarecidamente que el equipo central establezca la etiqueta de ámbito antes de agregar aplicaciones y, a continuación, asigne a cada equipo regional esa etiqueta de ámbito. De lo contrario, es posible que los administradores regionales no puedan ver sus aplicaciones de Google Play administradas.
Solo se admite una directiva OEMConfig por dispositivo, excepto para dispositivos Zebra. Con los dispositivos Zebra, se recomienda encarecidamente que tenga el menor número posible de directivas porque el tiempo para aplicar la directiva es aditivo. Por ejemplo, si asigna seis directivas con la suposición de que se superponen entre sí, se tarda aproximadamente 6 veces más en empezar a trabajar en el dispositivo que en una sola directiva.
Nota:
Tenga extrema consideración y precaución al establecer el modo de actualización de prioridad alta en muchas aplicaciones y grupos diferentes. Esto es por varias razones:
- Aunque muchas aplicaciones se pueden establecer en modo de prioridad alta, solo se puede instalar una actualización de aplicación a la vez. Una actualización de aplicaciones de gran tamaño podría bloquear muchas actualizaciones más pequeñas hasta que la aplicación grande haya terminado de instalarse.
- En función de cuándo las aplicaciones publiquen nuevas actualizaciones, podría haber un pico repentino en el uso de la red si coinciden las versiones de la aplicación. Si Wi-Fi no está disponible en algunos dispositivos, también podría haber un pico en el uso de telefonía móvil.
- Aunque ya se han mencionado experiencias de usuario disruptivas, el problema aumenta a medida que se establecen más aplicaciones en el modo de actualización de prioridad alta.
Para obtener más información sobre los problemas de escala relacionados con las actualizaciones de aplicaciones administradas de Google Play mediante el modo de actualización de alta prioridad, consulte este artículo de Techcommunity.
Perfiles de inscripción
En esta sección:
- Autopilot
- Página de estado de inscripción (ESP)
- Administrador de negocios de Apple (ABM)
- Perfiles de Android Enterprise
- Restricciones de inscripción
- Categorías de dispositivos
Autopilot
- Conceda a los administradores locales los permisos para leer dispositivos Autopilot y cargar nuevos dispositivos Autopilot.
- Los administradores locales no deben crear perfiles de Autopilot. Al delegar en un gran número de administradores, el número total de objetos puede llegar a ser grande y difícil de administrar. El procedimiento recomendado varía según el área de características. Para obtener más información sobre Autopilot, vaya a Uso de Autopilot para inscribir dispositivos Windows en Intune.
Página de estado de inscripción:
- Los administradores locales deben seleccionar entre los perfiles de página de estado de inscripción existentes que se van a asignar, o bien deben solicitar al equipo central que cree un perfil de excepción, solo si es necesario.
- Los administradores locales no deben crear perfiles de página de estado de inscripción. Al delegar en un gran número de administradores, el número total de objetos puede llegar a ser grande y difícil de administrar. El procedimiento recomendado varía según el área de características. Para obtener información sobre la página Estado de inscripción, vaya a Configurar la página Estado de inscripción.
Apple Business Manager
Si es posible, no se deben conceder permisos de creación, actualización o eliminación a los administradores locales en los perfiles de inscripción. Si a los administradores locales se les conceden permisos para crear perfiles de Apple Business Manager, también les concede permisos de creación, actualización y eliminación en Autopilot. Sin embargo, los administradores locales no deben crear perfiles de Autopilot.
Al delegar en un gran número de administradores, el número total de objetos puede llegar a ser grande y difícil de administrar. El procedimiento recomendado varía según el área de características. Para obtener más información, vaya a Uso de Apple Business Manager para inscribir dispositivos Apple en Intune.
Perfiles de Android Enterprise
- El equipo central debe crear perfiles de inscripción de dispositivos dedicados de propiedad corporativa de Android Enterprise para cada administrador local para la agrupación de dispositivos.
- Si es posible, no se deben conceder permisos de creación, actualización o eliminación a los administradores locales en dispositivos Android Enterprise. Estas restricciones impiden que los administradores locales modifiquen la configuración de Android Enterprise para todo el inquilino y el perfil de inscripción totalmente administrado global.
Restricciones de inscripción
El mismo conjunto de permisos rigen la configuración del dispositivo y las restricciones de inscripción. Cuando se conceden permisos para crear para la configuración del dispositivo, también se conceden permisos para crear para las restricciones de inscripción. Sin embargo, no se debe conceder permiso a los administradores locales para crear perfiles de restricción de inscripción. Por lo tanto, se les debe indicar que no creen nuevos perfiles de restricciones de inscripción.
Las restricciones de límite de dispositivos de inscripción definen cuántos dispositivos puede inscribir cada usuario. Las restricciones de límite de dispositivos de inscripción deben cubrir todos los límites de dispositivo posibles para que los administradores locales puedan compartir. Para obtener más información, vaya a ¿Qué son las restricciones de inscripción?.
El equipo central debe estandarizar las restricciones de tipo de dispositivo tanto como sea posible y agregar nuevas restricciones, pero solo como excepciones especiales después de que un administrador local haya revisado las restricciones existentes.
Categorías de dispositivos
La característica Categorías de dispositivos (categorías de dispositivos>) no tiene su propia familia de permisos. En su lugar, sus permisos se rigen por los permisos establecidos en Organización. Vaya a Roles de administración > de inquilinos. Seleccione un rol personalizado o integrado y seleccione Propiedades. Aquí puede asignar permisos, uno de ellos es Organización. Por lo tanto, si necesita permisos de lectura para categorías de dispositivos, establezca permisos de lectura en La organización.
Los equipos centrales pueden crear categorías de dispositivos. Sin embargo, no se debe permitir que los administradores locales creen, actualicen o eliminen categorías de dispositivos, ya que requeriría concederles permisos en La organización, dándoles acceso a otras características de nivel de inquilino que se rigen por permisos de la organización.
Para obtener más información, vaya a Categorías de dispositivos.
Análisis de puntos de conexión
- El equipo central debe crear tantas líneas base comunes de Endpoint Analytics como necesite para admitir la varianza de los administradores locales.
- Si es posible, los administradores locales no deben crear sus propias líneas base de Endpoint Analytics. Al delegar en un gran número de administradores, el número total de objetos puede llegar a ser grande y difícil de administrar. El procedimiento recomendado varía según el área de características.
- Para obtener más información, vaya a Configuración de opciones en Análisis de puntos de conexión.