El dia de hoy vamos a ver la configuracion de Microsoft endpoint de acuerdo a una de las caracteristicas que esta plataforma tiene para configurar Cloud Management Gateway.
Con la versión 1806 de Config Mgr se brindan mejoras adicionales a Cloud Management Gateway y elimina la necesidad de PKI en nuestro entorno. Con estas mejoras, nunca ha sido tan fácil configurar el CMG.
Como podemos ver para llegar a configurar esta caracteristicas necesitaremos tener previamente lo siguiente:
Un certificado público para nuestro nombre de dominio. (* .company.com)
Una suscripción de Azure, no una suscripción de CSP
Derechos de administrador global en Azure AD
Tener la configuración de Windows 10 Hybrid Join
Client Computer Communication
El primer paso es habilitar “Use Configuration Manager-generated certificates for HTTP site systems“. Para ello vamos a Administration – Site Configuration – Sites – Properties.
Ahora vamos a permitir el trafico realizando la configuración de Management Point en MECM.
En Client Settings, vamos a permitir el acceso a cloud Services.
Co-Management
Debemos configurar Co-Management Administration -> Cloud Services -> Co-management.
En Enablement – Seleccionamos Automatic Enrollment in Intune
Al finalizar podremo ver la configuración como se muestra a continuación.
Azure Services
Ahora vamos a configurar Azure Services, para ello dentro de nuestra consola de MECM nos posicionamos en Cloud Services – Azure Services, Clic derecho en crear azure services, debemos seleccionar Cloud Management.
Creeamos las dos aplicaciones resaltadas a continuación.
Se pueden usar los valores predeterminados para crear las aplicaciones. Solo se requieren los nombres.
Al finalizar el asistente veremos desde MECM la configuración como se muestra a continuación.
Y al mismo tiempo la configuración agregara las dos aplicaciones en nuestro portal de Azure.
DNS Name
Para este paso debemos crear un servicio en la nube y crea un CNAME para nuestro dominio.
El primer paso es ir a Azure y crear un nuevo recurso Cloud Service (classic)
cuando tengamos nuestro servicio de nube colocaremos dentro de nuestra intraestructura de dominio un CNAME o TXT dependiendo el proceso de la entidad certificadora
deploymentmxmecm.cloudapp.net —-> deploymentmxcmg.deployment.mx
Cloud Management Gateway
Ahora teniendo todo esto configurado y teniendo a la mano nuestro certificado publico, procedemos configurar CMG en nuestro entorno de MECM.
Tengamos el certificado listo en formato PFX para esto.
Damos clic derecho en Cloud Management Gateway y colocamos las credenciales de Active directory.
Importamos nuestro certificado creado con extension .PFX
Esto puede tomar hasta 20-30 minutos. Podemos seguir el estado en Cloud Management Gateway o abrir el registro: CloudMgr.log
Cloud Management Gateway Connection Point
El siguiente paso es crear un nuevo CMG Connection Point, para ello vamos a agregar este rol desde MECM.
Seleccionamos nuestro Cloud Services y damos clic en siguiente.
Agremos nuestros certificados creados por nuestra Empresa Certificadora y listo.
Teniendo toda la configuración, podremos implementar nuestros dispositivos teniendo el siguiente resultado desde nuestra consola de Microsoft Endpoint Configuration Manager.
Sin mas por el momento me despido enviandoles un gran saludo a todos mis lectores, estamos con nuevos post.
About the author
Microsoft Global Secure Access
Encontrándose en fase previa, ahora, Microsoft ha cambiado la forma de trabajar destinada a proteger a cualquier usuario que acceda a cualquier dato desde cualquier dispositivo. Microsoft Entra Internet Access y Microsoft Entra Private Access componen la solución Security Service Edge (SSE) de Microsoft. El acceso seguro global (versión preliminar) es el término unificado que se usa para Microsoft Entra Internet Access y Microsoft Entra Private Access. El acceso seguro global es la ubicación unificada del Centro de administración Microsoft Entra. El acceso seguro global se basa en los principios básicos de Zero Trust de usar privilegios mínimos, comprobar explícitamente y asumir la vulneración. Veamos en este post como configurar de manera sencilla y básica Microsoft Global Secure Access. Global Secure Access (versión preliminar), Microsoft Security Service Edge, es la ubicación centralizada en el Centro de administración de Microsoft Entra, donde puede configurar y administrar las características. Muchas […]
Lo más destacado en LinkedIn 2024
Here's my 2024 LinkedIn Rewind, by Coauthor: 2024 proved that technical expertise matters most when shared effectively. As Microsoft MVP and LinkedIn Learning Instructor, I focused on bridging enterprise device management knowledge between English and Spanish-speaking technology communities. Key technical implementations:→ Microsoft Tunnel Gateway for MAM deployment→ Remote Help for Intune Suite testing→ Cloud PKI in Intune Suite validation→ Microsoft Teams Rooms management with Intune→ Windows Autopilot Pre-provisioning configurations Technical milestones: Achieved Windows Server Hybrid Administrator Associate certification Received 11th consecutive Microsoft MVP Award (Security & Windows Devices) Enhanced Intune Suite implementation expertise Expanded DeploymentMX blog technical resources Launched new LinkedIn Learning courses for Spanish-speaking IT professionals Posts that resonated with our technical community: "Honored to share that I've been recognized as a dual MVP in Security & Windows and Devices for the 11th consecutive year!"https://www.linkedin.com/feed/update/urn:li:activity:7216858712936693760/ "Windows 24H2 screens look […]
Microsoft Zero Trust Workshop
Abordar los desafíos de seguridad modernos puede ser complicado, pero implementar una estrategia de Zero Trust lo simplifica. Al adoptar Zero Trust, tu organización puede mejorar su postura de seguridad, reducir riesgos y complejidad, y fortalecer el cumplimiento y la gobernanza. Zero Trust no es un producto ni un servicio, sino un enfoque integral para diseñar e implementar principios clave de seguridad. Esta herramienta de evaluación te ayudará a navegar en tu recorrido hacia Zero Trust. En esta guía aprenderás cómo aplicar los principios de Zero Trust en el panorama de seguridad de Microsoft, enfocándote en: Verificar de manera explícita Adoptar el acceso con privilegios mínimos Asumir que la seguridad puede ser comprometida Zero Trust se basa en no asumir que todo lo que está detrás del firewall corporativo es seguro. En su lugar, parte del principio de que puede […]
Implementar Windows 365 Boot
Microsoft presentó recientemente una función llamada Windows 365 Boot, diseñada para simplificar el acceso a las Cloud PCs. Con Windows 365 Boot, los usuarios pueden iniciar sesión en su dispositivo local y conectarse de inmediato a su Cloud PC, creando una experiencia similar a la de un kiosco, diseñada para un acceso dedicado a Windows 365. El proceso para configurar un dispositivo con Windows 365 Boot ha sido increíblemente simplificado por los equipos de Intune y Windows 365. A través de una implementación guiada, los administradores pueden configurar un conjunto completo de perfiles de Intune con un mínimo de pasos: seleccionar algunas configuraciones, asignar la implementación a un grupo de Entra y registrar el primer dispositivo físico en cuestión de minutos. Sin embargo, hay un requisito sorprendente: ¡los dispositivos deben inscribirse utilizando una cuenta de usuario! ¿Por qué, Microsoft? Este […]
Implementar Zoom con Microsoft Intune
Hola que tal amigos, el dia de hoy vamos a utilizar Microsoft Intune para desplegar la herramienta de conferencias Zoom, dada la situación que se vive actualmente, podemos a través de esta herramienta hacer uso de su implementación usando la plataforma de Microsoft Intune. Lo primero que debemos hacer es descargar el archivo .MSI desde la siguiente ruta. https://www.zoom.us/client/latest/ZoomInstallerFull.msi Los ajustes se pueden configurar en varios escenarios. Algunos solo pueden ser configurados por Zoom Admin o IT Admin y otros pueden ser configurados por el usuario final. Podemos configurar a nivel de cliente el archivo para una instalación desatendida con los siguientes comandos. Install: msiexec /packageZoomInstallerFull.msi /lex zoommsi.log Silent install: msiexec /i ZoomInstallerFull.msi /quiet /qn /norestart /log install.log Wait until in-progress meeting ends before installing: msiexec /i ZoomInstallerFull.msi /norestart MSIRESTARTMANAGERCONTROL=»Disable» Auto-start Silently with Windows*: Disabled by default. To enable, append ZSILENTSTART=»true» to the end of your install […]
Windows Autopilot Pre-Aprovisionamiento
Windows Autopilot ayuda a las organizaciones a aprovisionar fácilmente nuevos dispositivos mediante la imagen y los controladores oem preinstalados. Esta funcionalidad permite a los usuarios finales preparar sus dispositivos para la empresa mediante un proceso sencillo. Windows Autopilot también puede proporcionar un servicio de aprovisionamiento previo que ayuda a los asociados o al personal de TI a aprovisionar previamente un equipo Windows totalmente configurado y listo para la empresa. Desde la perspectiva del usuario final, la experiencia controlada por el usuario de Windows Autopilot no cambia, pero conseguir que su dispositivo esté totalmente aprovisionado es más rápido. Con Windows Autopilot para la implementación aprovisionada previamente, el proceso de aprovisionamiento se divide. Las partes que consumen mucho tiempo las realiza TI, asociados o OEM. El usuario final simplemente completa algunas directivas y configuraciones necesarias y, a continuación, puede empezar a usar su dispositivo. En […]
Related
Implementa Task Sequence a través de Internet con Cloud Management Gateway
Desde la versión 2010 de Microsoft Endpoint Configuration Manager, Microsoft lanzo una serie de nuevas funcionalidades para mejorar la experiencia de usuario y la administración remota de los sistemas operativos fuera de la red corporativa, una de esas funcionalidades fue la implementación de Task Sequence a través de Internet con lo que nos da la posibilidad de poder implementar un sistema operativo de Windows que incluya el agente de System Center para que pueda ser gestionado desde la consola con ayuda de Cloud Management Gateway. Con esta nueva funcionalidad podemos implementar Windows desde un medio booteable (USB) Cabe recalcar que este método no soporta la conexión de Wifi, solamente es por medio de una conexión de cable físico ethernet para poder alcanzar esta configuración. Sin más por el momento vayamos a la parte interesante. Antes de comenzar debemos tener implementado […]
Exportar todos los HardwareHash desde MEMCM
El dia de hoy, Michael publico un nuevo script para poder exportar los hardwareHash que tiene identificados la consola de Microsoft Endpoint y poder extraerlos en un solo archivo .csv. Para realizar este procedimiento debemos primeramente instalar el modulo de powershell. Install-Module -Name WindowsAutoPilotIntune Una vez descargado e implementado el modulo vamos a descargar el archivo .ps1 encargado de realizar la ejecución, este script lo podemos descargar desde este link https://www.powershellgallery.com/packages/Get-CMAutopilotHashes/1.0/Content/Get-CMAutopilotHashes.ps1 Importante.- Ejecutar el script en donde tengamos nuestro Microsoft Endpoint Manager Configuration Manager colocando el Site Code, veamos la sintaxis. El resultado de la ejecución. Si deseamos agregar una etiqueta de grupo, también puede especificarlo en la línea de comando agregando un parámetro "-GroupTag <nombre>". Con esto podemos conseguir que los dispositivos Hybrid Azure AD se unan (registrados en Azure AD) y se administren conjuntamente. Si lo hacemos, podemos […]
Administrar Bitlocker desde Configuration Manager
Vamos a realizar los pasos necesarios para poder administrar Bitlocker desde Configuration Manager Abrimos la consola de Microsoft Endpoint Configuration Manager, y nos vamos a posicionar en Assets and Compliance > Overview > Endpoint Protection > BitLocker Management. Desde allí, podemos crear una nueva Política de control de administración de BitLocker, donde se puede especificar si se desea cifrar la unidad del sistema operativo y / o unidades fijas y / o unidades extraíbles, y establecer políticas de administración de clientes. Se abrira una nueva ventana en donde colocaremos la siguiente información. Al seleccionar estas casillas de verificación, aparecerán páginas adicionales en el panel de navegación de la izquierda. Habilitar la política de cifrado de Drive nos permite elegir el método de cifrado: AES de 128 bits (predeterminado), AES de 128 bits con difusor, AES de 256 bits con difusor o AES de 256 […]
Token Bulk Registration en Imagen Offline de Windows
https://www.youtube.com/watch?v=iesq3Nzlb9w
Activar Remote Control en Equipos con Cloud Management Gateway
Cuando se configura un CMG de MEMCM, puedes habilitar el escritorio remoto en él. Para habilitar el escritorio remoto en el servidor CMG que se encuentra en Azure, primero se debe configurar correctamente una puerta de enlace de administración en la nube. Desde el portal de Azure vamos a ir a Cloud Services, y seleccionamos nuestra configuración de CMG. Dentro de la configuración damos clic en Remote Control y activamos la caracteristica, colocamos un user y password y esperamos a que la configuracion termine. Dar clic en Guardar. Una vez finalizada la configuración debemos dar clic en Roles & Instances y seleccionamos Proxy_Service Desde MEMCM damos clic en un equipo con CMG. Podemos ver que el equipo esta desde Internet Administrado a través de Cloud Management Gateway Sin mas por el momento nos depedimos enviandoles un gran saludo, siganos para […]
Webinar Cloud Management Gateway en Español
Hola a todos les comparto este webinar que realize hace unos dias en conjunto con un compañero de españa Cesar Rojo Medina y Angel García Ayas sobre Cloud Management Gateway. https://www.youtube.com/watch?v=GTKqG3tSTm8&feature=youtu.be
Be the first to leave a comment