Windows en la empresa: gestión de dispositivos móviles

Reunión de empresa

En el crucial momento de decidir la compra de un dispositivo móvil, las personas de a pie tenemos en cuenta muchas cualidades: el tamaño de pantalla, memoria, procesador, si es de aluminio, los colores, el sistema operativo (las minoría de las veces) y fundamentalmente el precio.

En las empresas estas características tienen importancia, claro está, pero se tienen en cuenta otros factores que normalmente no tenemos para nuestro dispositivo personal y que influyen tanto como el precio.

Una organización ha de tener en cuenta el presupuesto del que dispone, por lo que tiene que llegar a acuerdos con los distribuidores profesionales. El mantenimiento que te aporta normalmente el mismo distribuidor es otra de las cualidades que se suelen valorar. Y justo aquí es donde comienzan las dificultades, en el momento de analizar el coste del soporte del dispositivo.

El soporte de un producto incluye una variedad de temas. Es importante que los usuarios sepan usar los dispositivos (en caso contrario tendré que darles formación), que mi equipo de Service Desk tenga conocimientos sobre ese SO, el hardware… Pero no termina aquí, también tengo que tener en cuenta cuanto cuesta incluir aplicaciones propias en ese terminal y cuando nos referimos a esto también hablamos de los costes de programación o si el personal tiene capacidad para adaptar las aplicaciones actuales al nuevo dispositivo. Y por último, las capacidades que tengo para administrar este dispositivo y poder realizar tareas como:

  • Plataformarlos antes de entregárselo al usuario .
  • Distribuirles aplicaciones.
  • Restringir características en busca de seguridad.
  • Controlar los dispositivos cuando están en movilidad.
  • Actuar en caso de pérdida o robo.

En estos puntos mencionados anteriormente nos vamos a centrar. Estudiaremos las opciones que tenemos para gestionar dispositivos móviles en entornos corporativos con herramientas de Microsoft (soluciones MDM, Mobile Device Management).

ActiveSync

Es un software de sincronización de datos creado por Microsoft. Este software está sobre todo pensado para la sincronización del buzón de usuario con Exchange. Su principal ventaja es que trabaja con correo push, lo cual significa que el servidor es el que notifica al dispositivo que existe un elemento nuevo al contrario que los sistemas pull que es el dispositivo el que periódicamente va a comprobar al servidor si existen elementos nuevos.

De esta manera, al estar dando por hecho que se sincronizan datos corporativos y por ende susceptibles de ser sensibles y estar afectados por regulaciones corporativas y legales, se tiene la posibilidad de poner políticas de ActiveSync. Estas políticas permiten controlar y delimitar ciertos usos que se le puede dar al terminal, algunos ejemplos de lo que podemos controlar:

  • Permitir tarjetas SD.
  • Permitir WiFi.
  • Permitir cámara.
  • Permitir el uso compartido de Internet.
  • Datos adjuntos habilitados.

Además de esto el usuario desde su acceso web al correo llamado Outlook Web APP (OWA) puede establecer la contraseña que usa para la sincronización con ActiveSync, ver los dispositivos que están sincronizando y hacer un borrado remoto de los datos del mismo en caso de necesidad.

Dispositivos_moviles_owa

Las tareas de administración se hacen desde las herramientas de Exchange Server, Office 365, Microsoft Intune y cualquier otro software similrar que use ActiveSync como método de sincronización.

Dado que este software fue diseñado para la sincronización de información, las políticas que permite hacer son para proteger la información sensible, pero no para administrar los dispositivos en su totalidad. Por eso encontramos carencias como no poder distribuir software, deficiencias en el control del dispositivo y limitaciones en el inventario

Microsoft Intune

Es un servicio en la nube de Microsoft que se utiliza para poder distribuir software, gestionar las actualizaciones de Windows Update e inventariar dispositivos corporativos. Destaca por un equilibrio entre facilidad y prestaciones.

Para que un terminal se pueda administrar con Microsoft Intune tiene que tener un agente, disponible tanto para dispositivos de escritorio como para los dispositivos móviles, denominado “Portal de Empresa”. Este agente se presenta en forma de aplicación para los dispositivos móviles y es el que se encarga de hacer todos los cambios o instalaciones/desinstalaciones que ordenemos desde el portal web. En el campo de dispositivos móviles nos permite:

  • Distribuir aplicaciones: Microsoft Intune nos permite distribuir aplicaciones a los terminales móviles de cualquiera de las tres plataformas (WP, IOS y Android). Se pueden hacer obligatorias o que estén disponibles en el “Portal de empresa”.
  • Inventariar los dispositivos: El inventario nos presenta unos informes en los que podremos consultar la cantidad de dispositivos que tenemos, el tipo, modelo, hardware, software y otros detalles similares. En ningún momento recoge información sobre el usuario o el tipo de actividad que realiza desde el terminal.
  • Introducir directivas de gestión: Nos permite establecer qué tipo de acciones podrá hacer el usuario con este terminal. En este caso son más variadas que las que ofrece ActiveSync, algunos ejemplos:
    • Aplicaciones permitidas o aplicaciones bloqueadas.
    • Bloquear copiar y pegar.
    • Usar geolocalización.
    • Impedir navegación web.
    • Permitir capturas de pantalla.
    • Obligar al cifrado del dispositivo.
    • Obligar a configurar contraseña de desbloqueo.
    • Minutos de inactividad antes de que se bloquee.
    • Exigir al usuario la descarga de el “Portal de empresa” para poder configurar su correo con Exchange.

Imagen: Gestion de directivas para Móviles en Windows Intune

Microsoft Intune al ser un servicio en la nube se paga por uso, en concreto se paga por cantidad de usuarios. Cada usuario puede tener cinco dispositivos vinculados y por este motivo es muy interesante para empresas medianas y pequeñas.

System Center Configuration Manager

Se trata de un producto para empresas destinado a Administradores de TI. Nos permitirá realizar varias tareas en nuestro parque informático, a saber:

  • Distribución de software de manera centralizada sin que el usuario tenga que realizar ninguna acción o interrumpir su productividad.
  • Gestión de las actualizaciones de manera centralizada aprovechando la infraestructura que tenemos para distribuir software.
  • Inventariado de software y hardware de todos los dispositivos.
  • Gestión de licenciamiento.
  • Gestión del cumplimiento, la cual nos permite comprobar cuantos clientes “cumplen” una configuración establecida.
  • Dar asistencia a nuestros usuarios usando control remoto.
  • Podemos ver no solo cuantos usuarios tienen un software si no cuanto lo usan (cuantos usuarios y cuánto tiempo/ejecuciones) usando métricas de software.
  • Desplegar sistemas operativos, permitiendo una gran variedad de escenarios y facilitando así la vida al administrador de TI en esta labor, además se puede integrar con MDT.
  • Permite usar Wake On LAN para todas las tareas de distribución encendiendo los equipos antes de realizarlas. Lo que nos permite realizar estas tareas fuera de horas de producción.
  • Compatibilidad con Windows, MAC, Linux, Windows Phone, IOS y Android.

Imagen: Distribución de aplicaciones móviles con SCCM

Para poder utilizar esta herramienta con dispositivos móviles es necesario hacerlo a través de Microsoft Intune. Utiliza a este servicio como pasarela para la conexión con los terminales y a su vez aprovecha el cliente de Microsoft Intune mientras ahorra a Microsoft costes de desarrollo. Todas las tareas se realizan desde la consola de Configuration Manager y además de aportar más funcionalidades que Microsoft Intune aislado nos permite tener toda la información de dispositivos en una sola herramienta.

Para concluir

Voy a transmitir las conclusiones evaluando la capacidad de los sistemas operativos móviles para ser administrados y por otro lado la capacidad del software MDM para hacerlo.

Sistemas operativos móviles: Los tres dispositivos permiten ser administrados desde herramientas con poca distinción entre sistemas operativos. Además, el hecho de usar una herramienta de este tipo, nos permitirá impedir que haya dispositivos flasheados conectados a nuestra organización. De esta menea conseguimos reducir los riesgos que existen en iOS y Android con este tipo de prácticas. A otro lado quedaría decir que plataformas como Windows Phone permiten más integración que los otros dos y que por la seguridad de la tienda tanto Windows Phone como iOS nos dan más garantías en cuanto a proteger “el dato” que en Android.

Software MDM: Como podéis ver todos nos aportan grandes opciones, pero a Microsoft aún le falta camino por recorrer que otros MDM del mercado ya tienen cubierto. Nos encontramos con la posibilidad de plataformar los dispositivos con algo parecido a las maquetas, pero con dispositivos móviles, o como la posibilidad de conectarse remotamente al dispositivo para poder dar asistencia remota a los usuarios en movilidad. Microsoft en este área está en buen camino, pero se les pide un poco más de evolución para poder ser la mejor opción.

El artículo Windows en la empresa: gestión de dispositivos móviles ha sido publicado en Microsoft Insider.

Microsoft Insider