En el contexto de Microsoft Intune y los servicios relacionados, un identificador corporativo (a veces denominado clave corporativa o código corporativo) se utiliza normalmente durante la inscripción de dispositivos en la infraestructura de administración de su organización. Es un identificador único que ayuda a identificar el servicio de inscripción de Intune de la organización. Los dispositivos utilizan este identificador cuando se configuran para conectarse de forma segura a los recursos y las políticas de la organización administrados a través de Intune.
Para poder realizar este tipo de configuraciones usando Microsoft Intune debemos considerar que esta nueva característica nos permite en términos generales, bloquear los dispositivos BYOD desde la sección de restricción de dispositivos del portal de Intune y poder identificar a traves del identificador cuales pueden considerarse corporativos para su correcta inscripción o enrolamiento de los mismos.
como prerrequisitos debemos usan la version de Windows 11 22H2 o superior con el KBB5035942 el cual fue liberado en marzo de este año 2024.
Con el cambio reciente, ahora también es compatible con Windows 10. Para ello, debemos tener el parche KB5039299, que se traduce como la compilación del sistema operativo 19045.4598 para la actualización del 24 de junio.
Para poder visualizar este escenario para dispositivos personales o BYOD dentro del portal de Intune configuramos la restricción por Sistema Operativo en este caso para Windows personales.
En un entorno de prueba cuando un usuario necesite o quiera inscribir su dispositivo personal a Azure Active Directory aparecerá el siguiente mensaje.
Para poder permitir el acceso a Intune de este tipo de dispositivos, debemos utilizar el identificador para poder cambiar el tipo de enrolamiento a corporativo y que Intune pueda dar acceso al mismo. para ello dentro del dispositivo corremos el siguiente script de Powershell para extrar el identificador, los creditos para Manish Bangia en su blog.
#Create c:\temp folder if doesn't exists
$path = "c:\temp"
If(!(Test-Path -PathType container $path))
{
New-Item -ItemType Directory -Path $path
}
#Get Model and Manufacturer
$ComputerSystemInfo = Get-WmiObject Win32_ComputerSystem
$ManufacturerValue = $ComputerSystemInfo.Manufacturer
$ModelValue = $ComputerSystemInfo.Model
#Get Serial Number
$BIOSInfo = Get-WmiObject Win32_BIOS
$SerialNumberValue = $BIOSInfo.SerialNumber
#Combining all values
$WinCorpIdentifier = "$ManufacturerValue,$ModelValue,$SerialNumberValue"
#Output CSV
$WinCorpIdentifier | Out-File $path\WinCorpIdentifier.csv
o se puede utilizar esta otra porción de código en Powershell
$objBIOSInfo = Get-Ciminstance -Class Win32_BIOS
$objComputerInfo = Get-Ciminstance -Class Win32_ComputerSystem
$strManufacturer = $objComputerInfo.Manufacturer
$strModel = $objComputerInfo.Model
$strSerialNumber = $objBIOSInfo.SerialNumber
$strDeviceIdentifier = "$strManufacturer,$strModel,$strSerialNumber"
Set-Content -Path "C:\Temp\DeviceIdentifier.csv" -Value $strDeviceIdentifier
como resultado podremos ver en la carpeta temp la información del identificador.
Ahora en Microsoft Intune subimos la información del archivo extraído, en la sección de enrollment – corporate identifier.
Seleccionamos Manufacturer, mode and serial number (Windows only)
Finalmente veremos la información del dispositivo tratado como corporate.
Es en este momento que el dispositivo, aunque a nivel de Device Platform Restriction está bloqueado, se considerara un dispositivo corporativo el cual podrá unirse a Azure Active Directory.
La configuración y administración del identificador corporativo garantiza que los dispositivos inscritos en la solución de administración de su organización (como Intune) estén correctamente autenticados y conectados a sus recursos corporativos de forma segura.
