Recursos para profesionales y entusiastas de IT

[ARTICULO] Windows Intune | Tipos de Administradores y Configuración de Niveles de Acceso

12 minutos de lectura

Windows Intune ofrece dos niveles de roles de administrador, a través de los cuales se puede dar acceso a la consola de administrador.

No obstante, estos niveles de administrador responden a la necesidad de poder delegar roles correcta y escalablemente. Como administradores de Windows Intune, debemos conocer, entender y aplicar estos roles correctamente, con el objetivo que un usuario no necesite ser administrador de la organización (Tenant Administrator) para efectuar tareas de configuración.

En este artículo describiremos conceptualmente los roles de administrador y sus niveles de acceso, como así también ubicaremos en la consola el lugar para configurarlos.

 

 

Introducción

Objetivo y Alcance

El objetivo de este artículo es:

  • Conocer los roles existentes de administrador en Windows Intune.
  • Entender los niveles de acceso posibles de configurar.
  • Ejemplificar desde que consola se pueden dar de alta y de baja estos roles.

 

En relación al alcance, trabajaremos sobre el reléase de Diciembre 2012 de Windows Intune, y con una cuenta ya existente creada para nuestra organización. Vamos a tener que poder acceder a las siguientes herramientas de Windows Intune:

  • El portal de administración.
  • La consola de administración.

 

Audiencia

Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en aprender nuevas cosas.

 

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

 

Desarrollo

Portal de Administración y Consola de Administración: conceptos claros

Ante todo, debemos aclarar dos conceptos: diferencia entre Portal de Administración y Consola de Administración de Windows Intune.

 

Portal de Administración de Windows Intune

El Portal de Administración de Windows Intune se alcanza desde la siguiente URL: https://account.manage.microsoft.com

Este portal provee de acceso administrativo y permite realizar las siguientes tareas:

  • Agregar y quitar usuarios.
  • Agregar y quitar grupos de seguridad.
  • Agregar y quitar dominios de la organización.
  • Administrar, comprar, renovar y pagar suscripciones.
  • Generar, verificar y responder tickets de servicio.
  • Verificar el estado general de la plataforma
  • Para Partners, también permite el acceso de Partners para la venta de Windows Intune.

 

Como podemos observar a simple vista, esta consola no provee opciones ni permite configuración de Windows Intune, sino que es meramente administrativa. Sin embargo, es el único lugar desde el cual vamos a poder generar usuarios.

 

Consola de Administración de Windows Intune

La Consola de Administración de Windows Intune es accesible desde la siguiente URL: https://manage.microsoft.com

Esta consola nos permite administrar todos los aspectos relacionados al producto Windows Intune: equipos, grupos, políticas, directivas, reportes, y también hasta opciones generales. Es decir, que será la consola que utilizaremos para ver el estado de los equipos, actualizaciones pendientes, etc.

A diferencia del Portal de Administración, aquí no podremos dar de alta o baja usuarios, pero si podremos administrar los equipos y dispositivos asociados a los usuarios. También, desde esta consola, vamos a poder dar de alta los administradores de servicio que veremos a continuación.

 

Roles de Administrador en Microsoft Online Services

Microsoft Online Services tiene varios productos y servicios. Entre ellos nos encontramos con Windows Intune y Office 365. Estos roles de administrador son accesibles desde los Portales de Administración del servicio.

 

Tipos de Administrador de Microsoft Online Services

Desde el Portal de Administración de Windows Intune vamos a poder asignar a nuestros usuarios roles de Administrador. A modo de repaso, existen 5 roles de administración, a saber:

  • Global administrator: tiene acceso a todas las herramientas administrativas. Por defecto es la persona que compra y la primera cuenta que se crea al comprar un servicio de Microsoft Online Services, como Office 365 o Windows Intune.
  • Billing administrator: Puede hacer compras, administrar suscripciones a servicios, administrar tickets de soporte y monitorear el estado general de la plataforma. No puede desarrollar otras tareas administrativas.
  • Password administrator: como bien su nombre lo indica, puede resetear password, administrar requerimientos de servicio y monitorear el estado genera de la plataforma.
  • Service administrator: administra requerimientos de servicio y monitorea su estado general.
  • User management administrator: puede resetear passwords, monitorear el estado general de servicio, y administrar cuentas de usuario y grupos. Si bien no puede crear o borrar otros administradores, si puede administrar otras opciones de los usuarios.

 

En este artículo, nuestro foco se concentrará en “Global Administrator”. Los restantes, si bien con importantes para el Portal de Administración, no nos suman funcionalidad en la Consola de Administración de Windows Intune.

 

Como agregar o quitar Global Administrators desde el Portal

Dentro del Portal de Administración de Windows Intune de Microsoft Online Services (https://account.manage.microsoft.com) vamos a ir a “Users” en el apartado “Management”:

 

Ilustración 1 – Usuarios de Windows Intune desde el Portal de Administración.

Ilustración 1 – Usuarios de Windows Intune desde el Portal de Administración.

 

Allí haremos un clic sobre el usuario al que queremos darle derechos de Global Administrator. Por ejemplo en nuestro caso lo haremos sobre “Bart Simpson”:

 

Ilustración 2 – Modificación de opciones de usuarios desde el Portal de Administración para dar permisos de Global Administrator.

Ilustración 2 – Modificación de opciones de usuarios desde el Portal de Administración para dar permisos de Global Administrator.

 

Tal como muestra la imagen anterior, debemos ir a la sección “Settings” y allí darle los derechos de “Global Administrator” en la primer pregunta: “Do you want this user to have administrator…”.

Recordemos, que por defecto el primer usuario que crea la cuenta es un Global Administrator, y que luego podremos (y es recomendable) dar por lo menos 1 acceso más con este nivel.

Este usuario tendrá, como veremos a continuación, derechos totales sobre la Consola de Administración de Windows Intune.

 

Roles de Administrador de Windows Intune

En lo específico a Windows Intune, tendremos dos niveles de roles de administrador cuyo acceso se verá reflejado en la Consola de Administración (recordemos que no es lo mismo que Portal de Administración). Estos niveles son:

  • Windows Intune Tenant Administrator: tiene todos los derechos administrativos y técnicos en la consola de administración de Windows Intune. Es quién está marcado con el rol de “Global Administrator” en los roles que vimos anteriormente y normalmente es el usuario que ha comprado y aceptado el contrato de Windows Intune. Por supuesto, luego se pueden agregar más y, específicamente, es lo recomendado.
  • Windows Intune Service Administrator: tiene derechos específicos sobre la consola de administración de Windows Intune, y tiene posibilidad de configurarse con dos niveles de acceso que veremos a continuación: Full Access y Read-only Access. No es necesario que tengan ningún rol de administrador específico, solo que forme parte del grupo “Windows Intune” del Panel de Administración.

 

Niveles de Acceso a Consola de Administración de Windows Intune

Ya hemos dejado en claro que los “Windows Intune Tenant Administrators” tiene derechos totales sobre la Consola de Administración de Windows Intune. Ahora bien, quienes sean “Windows Intune Service Administrator” tendrán posibilidad de dos niveles de acceso:

  • Full Access: este nivel de administrador permite el acceso completo a la consola de administración de Windows Intune y puede realizar todas las operaciones, incluyendo agregar o quitar otros administradores de servicio.
  • Read-only Access: estos administradores de servicio tienen derechos de sólo lectura sobre la consola y no pueden realizar ningún tipo de modificación. Son muy útiles para verificaciones, controles y revisiones de información que pueda generar Windows Intune sobre los equipos. Por supuesto, pueden correr reportes.

 

Es decir, un “Windows Intune Service Administrator” con derechos Full Access tendrá el mismo nivel de acceso que un “Windows Intune Tenant Administrator”, sin embargo será este último quien pueda ingresar al Portal de Administración, y no el Windows Intune Service Administrator. Este es un aspecto central para entender cómo hacer una delegación de roles efectiva para Windows Intune.

 

Cómo agregar o quitar niveles de Windows Intune Service Administrator desde la Consola

Los niveles de Windows Intune Service Administrators se administran desde la “Consola de Administración de Windows Intune”, y no desde el “Portal de Administración”. Por ello ingresaremos con un usuario que sea Windows Intune Tenant Administrator a la URL: https://manage.microsoft.com

Allí iremos a la sección “Administración”:

 

Ilustración 3 – Consola de Administración de Windows Intune: administración de administradores.

Ilustración 3 – Consola de Administración de Windows Intune: administración de administradores.

 

Luego iremos a “Administración de Administradores”, opción “Administradores del Servicio”:

 

Ilustración 4 – Consola de Administración de Windows Intune: administración de administradores de servicio.

Ilustración 4 – Consola de Administración de Windows Intune: administración de administradores de servicio.

 

Tal como muestra la imagen anterior, haremos clic en “Agregar”:

 

Ilustración 5 – Consola de Administración de Windows Intune: administración de administradores de servicio – Cómo agregar un nuevo administrador de servicio y configurar su nivel de acceso.

Ilustración 5 – Consola de Administración de Windows Intune: administración de administradores de servicio – Cómo agregar un nuevo administrador de servicio y configurar su nivel de acceso.

 

Allí completaremos el Id de usuario (usuario@dominio.com) y le configuraremos su nivel de acceso: Full Access (acceso completo) o Read-only Access (Acceso de solo lectura).

Luego de haber configurado esto, podremos disfrutar de realizar una delegación de funciones en Windows Intune, y un manejo correcto de los tipos y niveles de roles de Administración para el “Portal de Administración Windows Intune” y la “Consola de Administración de Windows Intune”.

 

Conclusiones

Windows Intune, y el resto de los servicios de Microsoft Online Services, provee una simple y eficaz forma de trabajar con delegación de roles. De esta forma, nos aseguramos que los usuarios tengan los permisos de acceso y ejecución que realmente necesitan para su trabajo diario, sin comprometernos ni comprometerlos a situaciones dudosas.

En el caso de Windows Intune, tenemos dos grandes niveles de administración para la Consola de Administración, que es aquella donde realizamos las operaciones diarias sobre el sistema Windows Intune: nivel completo (Full Access) y nivel limitado (Read-only Access).

Esperamos que este artículo haya sido de utilidad y esperamos el feedback de todos!

 

Referencias y Links

 

 

Pablo Ariel Di Loreto

Director at TecTimes
Mi nombre es Pablo Ariel Di Loreto, nací en Mayo de 1981 y soy oriundo de la Ciudad de Berazategui, Buenos Aires, Argentina.

Mis lazos con la informática comenzaron en el año 1998, cuando tenía 16 años, y comencé a aprender como administrar servidores bajo la plataforma Microsoft (Windows Server, Exchange Server, IIS, y otros) y a realizar desarrollos de software con tecnologías ASP y PHP. Un tiempo más tarde comencé a trabajar ya en forma productiva en la administración de plataformas y desarrollo de software.

Desde hace varios años he tenido una intensa actividad en las comunidades profesionales, a través de eventos, webcasts, foros y publicaciones diversas. En Abril de 2014 fui reconocido como Most Valuable Professional (MVP) por parte de Microsoft, estando hoy reconocido en las especialidades "Windows and Devices for IT" y "Microsoft Azure".

En la actualidad me desarrollo como Service Delivery Manager en Algeiba (http://www.algeiba.com), una compañía que brinda soluciones y servicios tecnológicos, dirigiendo un Equipo de Trabajo de más de 20 personas. También soy el Director de TecTimes, un Portal de Tecnología que nació en el año 2012 como parte de un proyecto personal de contribución a la comunidad tecnológica en español.
avatar

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.