Como indiqué en un artículo anterior, el procedimiento natural después de unir uno o múltiples dispositivos a Microsoft Intune es empezar a gestionarlos, es decir, aplicarle directivas de configuración o de seguridad, se a través de las que están preestablecidas o utilizando las que hacen parte del OMA-URI.
Ahora bien, por motivos de seguridad siempre es conveniente tener una base de cumplimiento para saber que cada dispositivo unido cumple con estándares definidos por la organización. Microsoft Intune nos permite crear algunas directivas de cumplimiento tanto para dispositivos móviles como para estaciones Windows de una forma muy sencilla, así que utilizaré el resto del artículo para describir el proceso, aunque solo me enfocaré en Windows 10 por ahora.
Requisitos
1. Es necesario contar con licencia de Intune y de Azure Active Directory Premium. Ambas están incluídas en los planes de Enterprise Mobility + Security (EMS)
2. Utilizar una plataforma soportada:
-
Android
-
iOS
-
macOS
-
Windows 8.1
-
Windows 10
3. El dispositivo tiene que estar inscrito en Microsoft Intune
4. Para Conditional Access: no están soportados los equipos unidos con la inscripción múltiple de dispositivos, tiene que ser individual
Crear directiva de cumplimiento
1. Iniciamos sesión en el portal de Azure con la cuenta administrativa: https://portal.azure.com
2. En la barra de búsqueda de arriba, digitamos Intune y seleccionamos Intune:
3. En la página de Microsoft Intune, seleccionamos Device Compliance en el panel izquierdo:
4. En la página de Device Compliance, hacemos clic en Policies y luego en Create Policy
5. En la página de Create Policy, indicamos un nombre, descripción y como plataforma escogemos Windows 10 and later:
6. Hacemos clic en Settings, luego en Device Health, activamos como Require la opción de Require BitLocker y hacemos clic en OK en la parte inferior:
7. En la página de Windows 10 complicance policy, hacemos clic en System Settings para expandir otras configuraciones, activamos Firewall y Antivirus y luego clic en OK:
En este artículo solo referencié algunas directivas, pero cada organización debe acomodarse a sus necesidades.
8. En la página de Windows 10 compliance policy, hacemos clic en OK
9. En la página de Create policy, hacemos clic en el botón de Create en la parte inferior:
10. En la página de la directiva creada, en mi caso Windows Compliance, hacemos clic en el botón izquierdo de Assignments, luego en el botón central de Select groups to include y agregamos el grupo al que pertenezcan los usuarios que están iniciando sesión en los dispositivos a evaluar. Después de esto, hacemos clic en el botón de Save para guardar:
Intune hará la evaluación cada 8 horas aproximadamente después de los primeros 30 minutos de haberlo unido al MDM. Mientras eso pasa, es probable que vean los dispositivos en la categoría de Not Evaluated:
Lamentablemente, el cuadro anterior es de los que más se demora para actualizarse, así que yo diría que es poco confiable, a menos que se le de el tiempo adecuado.
Si queremos ver el detalle de lo que cumple, no cumple o no aplica, basta con ir a la consola de Intune y hacemos clic en Setting compliance, debajo de la categoría de Monitor. En el panel central veremos un desglozado de lo que aplicamos como cumplimiento y sus resultados:
Aunque personalmente las directivas de cumplimiento en Intune creo que les falta mucho, se pueden utilizar para hacer cosas mucho más interesantes si se unen con el Acceso condicional, pero eso será probablemente para otras entradas del blog.
Espero les sea de utilidad.
—Checho