Endpoint Manager: ¿Qué es y qué tan bien funciona?

0
14

A medida que las empresas buscan ofrecer ambientes de trabajo flexibles a los empleados, ya sea en desktops o dispositivos móviles, en la oficina o en el campo, los departamentos de TI han tenido que esforzarse para consolidar la administración del hardware en una sola consola.

Con ese objetivo de TI en mente, el 2011, Microsoft lanzó su servicio en la nube, Intune, para abordar las necesidades de la emergente gestión de la movilidad empresarial (EMM, por sus siglas en inglés) en el lugar de trabajo.

Después de ocho años, Microsoft decidió combinar su plataforma de gestión unificada de terminales (UEM, por sus siglas en inglés) Intune, con su System Center Configuration Manager (ConfigMgr), permitiendo a los usuarios acceder a ambos con una sola interfaz.

Los productos combinados -ahora llamados Endpoint Manager- hacen que las licencias de Intune estén disponibles para todos los clientes de ConfigMgr con el fin de poder administrar dispositivos Windowsconjuntamente. Según Microsoft, se están gestionando más de doscientos millones de dispositivos entre los dos servicios en la nube.

Junto con una única interfaz de administración para ConfigMgr e Intune, Endpoint Manager incluye el Centro de Administración de Gestión de Dispositivos (DMAC, por sus siglas en inglés) y Desktop Analytics.

El software brinda a los administradores de TI herramientas de administración en la nube y on premises, así como opciones de administración conjunta para abastecer, implementar, administrar y asegurar terminales –desktops, dispositivos móviles y aplicaciones- en toda la empresa.

En pocas palabras, Endpoint Manager está diseñado para facilitar la administración de varios tipos de dispositivos, proteger los datos corporativos y, simultáneamente, permitir a los empleados hacer su trabajo utilizando dispositivos corporativos y personales. Combina las capacidades de gestión de dispositivos móviles (MDM, por sus siglas en inglés) con la gestión de aplicaciones móviles (MAM,por sus siglas en inglés). Aunque obviamente está vinculado a Windows 10 y otros productos de Microsoft, Endpoint Manager puede administrar hardware que ejecuta otros sistemas operativos.

El cambio de marca de Intune tuvo algunos efectos, según el vicepresidente de investigación de Gartner, Chris Silva. Por un lado, todos los clientes que usan ConfigMgr obtuvieron acceso al conjunto de funciones, anteriormente conocido como Intune, desde sus dispositivos Windows, empujándolos en la dirección de UEM para esas PC.

La combinación de ambos fue la respuesta de Microsoft a las preguntas sobre si las herramientas de administración de PC tradicionales, como SCCM/ConfigMgr, finalmente estaban muertas. (No lo están).

Según Silva, las herramientas de administración tradicionales continuarán desempeñando un papel en la cogestión de las PC que requieren tareas tradicionales de ciclo de vida, como la creación de imágenes, junto con el uso de MDM.

«Considerando todo esto…, el total de dispositivos terminales gestionados únicamente mediante UEM/MDM hoy es inferior al 5%», afirmó Silva. «Esperamos que el número crezca más rápido ahora que la pregunta de qué herramienta o herramientas son relevantes para administrar las PC ha sido respondida por Microsoft, que las administra actualmente».

Intune llegó hace ocho años, cuando las compañías se vieron obligadas a administrar una avalancha repentina de dispositivos que acceden a datos y redes corporativas, consecuencia de la tendencia en la cual los empleados traen sus propios dispositivos (BYOD, por sus siglas en inglés), que despegó después del lanzamiento del iPhone de Apple en el 2007.

«Incluso si los trabajadores no son móviles todo el tiempo, la forma en que hacemos negocios hoy requiere un enfoque diferente, y ahí es donde entra Intune», afirmó Maura Hameroff, directora de marketing de productos de seguridad de Microsoft. «Comenzamos con una solución en la nube… para permitir a los empleados tener acceso a todo lo que necesitan en el dispositivo que necesitan».

Como un servicio de suscripción, Microsoft cobra a las compañías mensualmente por usuario. Los precios se encuentran desde 8,74 dólares por puesto, como parte de la Enterprise Mobility Suite de Microsoft, la cual incluye Azure Active Directory, Azure Rights Management Services y Advanced Threat Analytics.

Cómo UEM (y Endpoint Manager) encajan en el mercado EMM
Impulsado por los programas BYOD corporativos, la gestión del hardware está cambiando de un mundo dominado por Windows a un mundo cada vez más diverso, e incluye dispositivos iOS, Android y Apple. Gartner pronostica que el 80% de las tareas de los trabajadores se realizarán en un dispositivo móvil el 2020, aumentando el impulso detrás de la gestión unificada de terminales (UEM), que permite que todos los dispositivos orientados al usuario se administren desde una sola consola.

Para el año 2022, afirmó Gartner, el 30% de las PC con Windows 10 de la compañía se administrarán utilizando software EMM o herramientas UEM. Eso debería ayudar a las empresas a aumentar la eficiencia operativa. La parte difícil para muchos será elegir si usar algo como Intune, o crear un ecosistema de gestión basado en software de varios proveedores externos.

Según Gartner, para tener éxito, cualquier producto UEM integral deberá integrarse con las herramientas de gestión de clientes y cumplir con los siguientes objetivos:

  • Proporcionar una única consola para configurar, administrar y monitorear dispositivos móviles tradicionales, PCs y administración de dispositivos de IoT.
  • Unificar la aplicación de protección de datos, configuración de dispositivos y políticas de uso.
  • Proporcionar una vista única de usuarios de múltiples dispositivos para mejorar la asistencia al usuario final y para recopilar analítica detallada del lugar de trabajo.
  • Actuar como un punto de coordinación para organizar las actividades de las tecnologías de los terminales relacionados, como los servicios de identidad y la infraestructura de seguridad.

La gran diferencia entre MDM y UEM: Este último prevé administrar el hardware desktop tan fácilmente como los dispositivos móviles.

La mayoría de los proveedores, cuyo software permite UEM, provienen del mercado de MDM y EMM, y muchos han estado agregando capacidades de gestión de Windows en los últimos años, según Chris Silva, vicepresidente del equipo de Gartner Mobile, Endpoint y Wearables Computing.

«Muchos se han expandido recientemente para admitir también las plataformas ChromeOS y macOS, colocándolos en una posición para asumir la administración de múltiples tipos de terminales tradicionales, junto con los terminales móviles que gestionan», afirmó Silva por correo electrónico. «Los proveedores tradicionales de herramientas de gestión de clientes (CMTs, por sus siglas en inglés) ha tardado en desarrollar extensiones para sus herramientas tradicionales de administración de PCs destinadas a manejar dispositivos móviles y sistemas operativos modernos (como Chrome, que requieren un enfoque de gestión similar al de MDM). Entonces, en resumen, el campo se ve muy similar a los análisis anteriores del espacio MDM/EMM”.

Además de Microsoft, entre los otros proveedores que ofrecen soluciones UEM se encuentran BlackBerry, IBM, MobileIron y VMware.

En particular, AirWatch de VMware se ha destacado en cuanto a las capacidades que ofrece, particularmente al permitir a las empresas «cerrar» la brecha entre el software tradicional de gestión de clientes, como System Center Configuration Manager (SCCM) o LANDESK, y las herramientas UEM modernas, afirmó Bryan Taylor, director de investigación del equipo de Gartner Mobile, Endpoint y Wearables Computing.

«Intune y AirWatch tienen un conjunto más amplio de características y funcionalidades, orientadas a ayudar en la transición hacia la gestión moderna», afirmó Taylor sobre el predecesor de Endpoint Manager.

La migración de la gestión tradicional de las PC hacia las herramientas EMM/UEM es un «imperativo estratégico clave» para las empresas, pero el cronograma para la implementación depende, en gran medida, de la rapidez con que las empresas deseen avanzar en esa dirección y cuánto dinero estén dispuestas a invertir, según Gartner

La firma de investigación recomienda que las organizaciones «Tipo A» -las más agresivas en la adopción de nuevas tecnologías (alrededor del 10% de todas las empresas)- ya deberían estar haciendo el cambio a UEM a partir de este año. Estas organizaciones creen que la tecnología es un diferenciador estratégico.

Las organizaciones «Tipo C», o las menos propensas a adoptar rápidamente la nueva tecnología (aproximadamente el 20% de las empresas), deberían considerar la UEM para el 2022.

La mayor parte de las empresas («Tipo B»: el 70% de las organizaciones) se ubican en algún punto intermedio. Actualmente usan una combinación de enfoques tecnológicos y solo un pequeño número se está mudando activamente a la UEM este año; la mayoría continúa manteniendo herramientas y procesos de gestión de PCs separados, afirmó Gartner.

«Durante el próximo año, comenzaremos a ver más pruebas de esto. Pero, para la mayoría de las organizaciones, no veremos esfuerzos serios para comenzar a mover porciones significativas de sus Windows y Mac a un paradigma de administración moderno (UEM) hasta dentro de otros dos o tres años», afirmó Taylor.

Ampliamente disponible pero poco utilizado
Más del 50% de las grandes empresas ya cuentan con herramientas UEM, principalmente a través de acuerdos de licencia integrales, pero solo alrededor del 5% realmente las utilizan en la actualidad.

«La mayoría de las organizaciones solo están tratando de entender lo que significa comenzar este viaje», afirmó Taylor. «Están planeando, elaborando estrategias y experimentando».

La tasa de adopción de Intune, antes de su inclusión en Endpoint Manager, estaba teniendo bastante impacto positivo, afirmó, sobre todo porque viene con el Enterprise Agreement de Microsoft (EA): el paquete de licencias por volumen de la compañía para organizaciones con 500 o más usuarios. Intune se incluye con Azure Active Directory (AD) en el EA.

«Se necesita Azure Active Directory para que cualquiera de sus productos de última generación funcione», afirmó Taylor. «Entonces, no se trata de si la mayoría de las organizaciones lo va a adoptar, sino cuándo».

La adopción también está impulsada por la abrumadora popularidad del paquete de software basado en suscripción de Microsoft, Office 365, que también requiere Azure AD para funcionar.

Endpoint Manager se beneficia porque Microsoft requiere que se establezcan políticas de protección de datos para las aplicaciones móviles de Office 365, en particular el conocido comando ‘guardar como’ para cualquier documento. Ni iOS ni Android OS saben qué hacer con el comando «guardar como» en Microsoft Office.

No es sorprendente que Intune/Endpoint Manager haya evolucionado rápidamente durante el año pasado, ya que Microsoft se ha movido para abordar muchas de sus deficiencias; el equipo de Microsoft parece haber adquirido una «religión» en torno a la velocidad de los dispositivos móviles y ha comenzado a mantenerse al día con los avances de otros proveedores líderes de UEM, como AirWatch y MobileIron, señaló Taylor.

«Nunca había visto a un equipo de producto en Microsoft moverse tan rápido», agregó.

Cuadrante mágico de Gartner para proveedores de UEM a partir de junio del 2018.

Lo que puede hacer Endpoint Manager
A través de la consola de Endpoint Manager (Intune), los administradores de TI pueden ejecutar una estrategia de UEM, donde los usuarios finales son capaces de incorporarse a través de cualquier plataforma de hardware, y se pueden aplicar reglas que rigen a qué aplicaciones y a qué datos pueden acceder. UEM utiliza las API de MDM en plataformas móviles para permitir la gestión de identidad, la gestión inalámbrica de LAND, la analítica operativa y la gestión de activos. En teoría, al menos, UEM permite que TI suministre, controle y asegure de forma remota todo, desde smartphones hasta tabletas, computadoras portátiles, desktops y, ahora, dispositivos de la Internet de las cosas (IoT) desde una única consola de administración.

Algunos productos de UEM también permiten la administración de aplicaciones móviles (MAM), lo que les permite a los administradores de TI controlar el acceso a aplicaciones comerciales específicas, y el contenido asociado con ellas, sin controlar todo el dispositivo físico.

Muchas de las funciones básicas de provisión de aplicaciones y sistemas requeridas para las laptops y PCs de negocio, que ejecutan Windows 10, ahora se pueden realizar a través de las consolas de control EMM de ese sistema operativo, que están habilitadas por el protocolo Intune de Microsoft. Eso significa que las organizaciones con implementaciones más recientes de PCs con Windows pueden usar herramientas de administración consolidadas y plataformas de configuración y políticas unificadas a través de UEM.

Por ejemplo, la integración del software con Azure AD de Microsoft y Azure Information Protection permite a los administradores clasificar -y opcionalmente proteger- documentos y correos electrónicos mediante la aplicación de reglas y condiciones de acceso. Y la integración de Intune con Azure Data Protection permite a los administradores incluir marcas de agua en cualquier imagen tomada con un dispositivo móvil, ya sea emitida por la empresa, o utilizada a través de una política BYOD corporativa.

Pantalla de inscripción de Intune.

El año pasado, para facilitar la administración de dispositivos, especialmente para los departamentos basados en Windows, Microsoft agregó la funcionalidad nativa de EMM a Windows 10 y Windows 10 Mobile OS a través de Intune. Esto se suma al sistema operativo Windows 10 Mobile, que tiene un cliente de administración de dispositivos incorporado para implementar, configurar, mantener y admitir smartphones.

En todas las ediciones de Windows 10, incluidas las de hardware para desktop, dispositivos móviles e Internet de las cosas (IoT), el cliente proporciona una única interfaz a través de la cual Intune puede administrar cualquier dispositivo con Windows 10.

Intune permite el acceso condicional, incluyendo la denegación de acceso a dispositivos no administrados por este o que no cumplen con las políticas corporativas de TI; la gestión de Office 365 y aplicaciones móviles de office; o con la administración de PCs ejecutando Windows Vista o versiones más recientes de Windows.

Una API abierta también permite a los proveedores de software de terceros, como SAP, ajustar sus controles de acceso a la aplicación en la interfaz de usuario de Intune.

«También utilizamos AppConfig, que funciona para cualquier posible contenedor de Android, por lo que podemos portar la funcionalidad del sistema operativo para cualquier aplicación que necesite protección a través de Intune», afirmó Hameroff de Microsoft. «Debido a la gestión de integración profunda que tenemos con las aplicaciones, también estamos protegiendo los datos dentro de una aplicación. Entonces, por ejemplo, puede aplicar cosas como copiar y pegar bloques. Nuestros SDK también tienen esa capacidad, por lo que cualquier aplicación con la que lo envuelva puede tener un bloque de copiar y pegar».

Muchas de las funciones básicas de provisión de aplicaciones y sistemas requeridas para las laptops y PCs empresariales que ejecutan Windows 10, también se pueden realizar a través de las consolas de control EMM. Endpoint Manager trabaja con SCCM basado en agentes para soportar capacidades de administración de servidores y PC más avanzadas.

(La suscripción principal incluye los derechos de uso de SCCM, que permiten a las organizaciones administrar PCs y dispositivos móviles a través de la misma consola de administración, otro beneficio de una estrategia UEM).

Interfaz de usuario de protección de documentos de Microsoft Azure.

Carhartt probó Intune y encontró problemas
John Hill, CIO del fabricante de ropa de trabajo Carhartt, usó Intune para administrar su ambiente de teléfonos móviles como parte de un lanzamiento de Office 365. Pero después de encontrarse con varios problemas, su equipo lo abandonó por una plataforma más completa.

(Carhartt tiene 1.850 clientes de PC con Windows, 300 smartphones provistos por empresas y 200 teléfonos bajo una política de BYOD; el 95% de los smartphones funcionan con iOS).

Como parte de una actualizacióna su programa de seguridad interna del 2016, Carhartt implementó Intune a través de su acuerdo empresarial de Microsoft. Hill admite que no había investigado mucho y asumió que Intune sería fácil de conectar a su ambiente actual de Microsoft.

Chris Walker, director de infraestructura de Carhartt, afirmó que la compañía se inclina más hacia una política BYOD, por lo que una estrategia MAM era atractiva, ya que la plataforma de hardware utilizada por los empleados sería dudosa. Sin embargo, los problemas con Intune aumentaron y Carhartt finalmente limitó su implementación a su ambiente móvil.

«Tuvimos tantos problemas con los dispositivos móviles que no había forma de que le agregara una desktop«, afirmó Walker.

La mayoría de los problemas involucraron control de políticas, implementación de políticas y administración en general, explicó Walker. Se encontraba con usuarios finales aleatorios que habían perdido acceso a todas las aplicaciones y datos corporativos; para recuperar el acceso, el personal de TI tuvo que desinstalar y volver a instalar Intune en el dispositivo, o mover a los usuarios fuera de un grupo y volver a ingresar al grupo.

Hill afirmó que incluso contactó a dos socios diferentes de la industria que tenían prácticas existentes de Microsoft para obtener asesoramiento y ayuda. Tampoco fueron capaces de resolver el problema.

Otro problema que Hill describió como «absurdo» implicó el uso de muy pocas herramientas de administración en Intune, lo que resultó en la implementación simultánea de todos los controles móviles y de aplicaciones. Debido a que la compañía tiene una política BYOD, y «el 80% de los dispositivos provistos por la empresa se utilizan para comunicaciones personales», Hill señaló que no quería que se borraran todos los datos de los teléfonos debido a errores, o porque se les ingresó una contraseña incorrecta muchas veces.

«No queríamos tener un efecto en esas otras cosas: sus contactos, sus fotos personales y esas cosas que hacen que las personas tengan cautela cuando tienen una herramienta de administración en su teléfono», afirmó. «Aparentemente estábamos haciendo muy poco para la administración de dispositivos y parece que esto causaba, en parte, nuestros problemas. Debería poder cargar un [conjunto de herramientas] MDM y, literalmente, desactivar todas las políticas.

«Solo estábamos tratando de simplificar las cosas. Así es como se construye Intune; tiene una lista de cien opciones diferentes y simplemente se activan o desactivan. No pudimos reducir los controles», agregó Hill.

A principios del año pasado, Carhartt dejó de usar licencias exclusivamente de Intune y puso a prueba -y después compró- la Enterprise Mobility Suite de Microsoft, que incluye una licencia de Intune y también ofrece MAM.

«Funcionó muy bien y fue fácil de implementar. Por lo tanto, esencialmente, nos deshicimos de las licencias independientes de Intune y utilizamos EMS, lo que nos dio todas esas capacidades», afirmó Hill. «Eso hizo la vida mucho más fácil. Cualquier aplicación que coloque en el contenedor -y aquella solamente- es la que se ve afectada, sin afectar el resto del dispositivo».

Un problema que la compañía aún está resolviendo es la capacidad de soportar dispositivos Windows, Apple y Chrome en una sola consola de administración. «Uno realmente necesita tres soluciones para manejar eso», afirmó Walker.

«Las compañías no actúan bien juntas. Quizás sea intencional», agregó.

Brother International y su plan de consolidación en la nube
Tony Serignese, vicepresidente de TI de Brother International Corp., afirmó que su compañía también lanzó Intune para administrar su ambiente de dispositivos móviles. Después de implementar Office 365 hace cinco años, él luego se enteró de que uno de los paquetes de licencias incluía Intune.

Entonces, en el 2016, la compañía lo implementó junto con Microsoft Azure. Brother tiene alrededor de 1.800 de desktop Windows junto con casi 500 usuarios móviles, la mayoría de los cuales están en iOS, y un porcentaje menor en Android.

Antes de usar Intune, Brother había usado la plataforma MDM de MobileIron durante varios años. Pero a medida que aumentó el número de dispositivos móviles utilizados para funciones relacionadas con el trabajo, también aumentó el costo de licenciar el software.

«El apoyo que tuvimos tampoco fue realmente bueno», dijo Serignese.

«El soporte para Android en ese momento no era tan sólido en comparación con Intune», afirmó Kai Fan, un administrador de infraestructura de sistemas de red. «Por ejemplo, teníamos que descargar aplicaciones separadas para que el correo electrónico funcionara en Android. Y para Intune, con la aplicación Outlook, podemos configurar un cliente de correo electrónico nativo en un [dispositivo] Android».

Sin embargo, el costo fue el principal impulsor -eso y la consolidación de sistemas en Microsoft, afirmó Serignese.

«Lo bueno es que no me costará más dinero; es parte de nuestro acuerdo de licencia [de Office 365]», afirmó Serignese.

Sin embargo, una de las quejas del equipo de TI incluyó problemas para generar informes.

«Necesitan mejorar sus informes», afirmó Fan. «Uno conoce los dispositivos que contiene, puede ver todo eso, pero hacer cualquier cosa con los datos, eso es muy difícil».

Por ejemplo, señaló Fan, simplemente sacar una lista de todas las aplicaciones de Android que se ejecutan en dispositivos fue una tarea ardua en Intune. «Debería ser algo fácil de conseguir», agregó.

Otra queja era la cantidad de trabajo manual que la instalación requería para completar. El área tardó dos meses en implementarlo; Brother realizaba «fiestas de implementación de Intune» dos veces por semana, atrayendo a usuarios finales de áreas predeterminadas.

Intune tardó en configurarse unos quince minutos por cada usuario. «La parte que más tiempo llevó fue que las personas descubrieran cuál era su ID de Apple», afirmó Kirit Nayee, líder técnico sénior de Microsoft y plataformas en la nube de Brother.

Sin embargo, implementar la configuración y la topología de Intune fue bastante sencillo, al igual que establecer sus políticas de administración, según Fan.

El paso a los servicios basados en la nube ha sido un tema constante en Brother, que ahora utiliza servicios externos para sus ambientes ERP y CRM; también está planeando un cambio a Amazon Web Services a partir de la próxima primavera.

«Puedo decir que, para los muchachos de mi oficina, existen muchas cosas más emocionantes que hacer que preocuparse de que la memoria en un servidor se dañe o que el backup se haya ejecutado la noche anterior», afirmó Serignese.

El uso de una plataforma de administración móvil basada en la nube, como Intune, le ha dado al departamento de TI una mayor sensación de control sobre su ambiente móvil, y nuevas capacidades de seguridad que no estaban disponibles en su plataforma MDM interna anterior.

«Recién estamos comenzando a analizar el aspecto de seguridad de Intune», afirmó Serignese. «Al pasar a él, podemos encontrar muchas más capacidades y no tener que comprar otro producto más».

Lucas Mearian, Computerworld