redefinición de la administración de windows 10€¦ · windows 10 permite que los...

PAPEL BLANCO – ENERO 2017

REDEFINICIÓN DE LA ADMINISTRACIÓN DE WINDOWS 10 Movilidad empresarial auténtica

PA P E L B L A N C O | 2

REDEFINICIÓN DE LA ADMINISTRACIÓN DE WINDOWS 10

Tabla de contenidoIntroducción....................................................................................................................3

Solución de VMware....................................................................................................4

Reducción del costes y la complejidad de la administración.....................5

Administración simplificada.....................................................................................8

Proteja y controle los dispositivos Windows 10...............................................17

Minimice el riesgo de la pérdida de datos........................................................23

Resumen........................................................................................................................26



Las tecnologías orientadas al consumidor (programa de uso de dispositivos personales) y las iniciativas de la nube móvil se están convirtiendo en elementos esenciales para las empresas que desean mantenerse a la vanguardia. Este cambio ha forzado a las organizaciones a pensar más allá de la productividad y la colaboración básicas de los usuarios finales y a implementar iniciativas modernas de movilidad empresarial que requieren una reestructuración de los procesos principales de la empresa para adaptarlos al modelo de la nube móvil. Con Windows 10, Microsoft ha introducido al mercado un SO móvil, listo para integrarse con la nube, que se espera que impulse cambios importantes en la estrategia de computación de usuario final (EUC). Los SO modernos ofrecen una plataforma unificada para crear aplicaciones, ampliar los procesos principales de la empresa y ponerlos a disposición de los usuarios finales independientemente de dónde estén ni el dispositivo Windows 10 que utilicen. Sin embargo, la implementación de esta visión de la movilidad empresarial trae consigo nuevos desafíos. Un estudio de VMware en 2015, en el que participaron más de 1000 personas responsables de las decisiones de TI, identificó que los objetivos principales de la implementación de iniciativas de movilidad son:1

1. Reducir el costes y la complejidad generales de la administración

2. Garantizar la seguridad y el control de los dispositivos en todo momento

3. Minimizar el riesgo de la pérdida de datos corporativos

Gracias a una visión unificada de administración de extremos, VMware tiene la ventaja a la hora de enfrentarse a desafíos. La solución de EUC de VMware les permite a las organizaciones aprovechar al máximo sus iniciativas de movilidad y a los departamentos de TI restructurar sus procesos para facilitar la productividad en la empresa. Este artículo técnico va dirigido a los responsables de las políticas de tecnología (TDM) y a los expertos de TI y describe cómo VMware redefine la implementación y la administración de Windows 10 en el sector empresarial.

Introducción

Muchos aún ven a las organizaciones de TI como centros de costess y sus responsabilidades se ven limitadas a las tareas comunes de ofrecer soporte continuo a los usuarios, los dispositivos, las aplicaciones y los sistemas operativos (SO).

1 VMware State of Business Mobility Report. Rep. VMware, Nov. 2015. Web. <http://www.air-watch.com/lp/vmware-state-of-business-mobility-report-2015/>.



VMware AirWatch® ofrece soporte para la administración de Windows 10 y presenta formas novedosas para implementar, controlar y administrar la administración de los PC de las organizaciones. Reduce el costes total y la complejidad de la administración porque le permite al equipo de TI consolidar las herramientas y los paneles y elimina muchas de las dificultades de las tareas comunes de la administración del ciclo de vida de PC (p. ej.: la inscripción preparada y la creación de imágenes; el mantenimiento complejo de las unidades; la administración de las actualizaciones de SO, el firewall, el antivirus y las políticas de cifrado).

Además, AirWatch le permite al equipo de TI controlar y proteger los dispositivos de los usuarios finales con perfiles de seguridad, ajustes de conformidad y restricciones de dispositivos pormenorizados. La solución minimiza el riesgo de perder datos al asegurar que solo los dispositivos administrados que cumplan con las políticas de conformidad definidas por la empresa puedan acceder a las aplicaciones, el contenido y el correo electrónico.

El resto del artículo describe en detalle cómo la solución de computación de usuario final de VMware ayuda a abordar las inquietudes de la organización ante la adopción de iniciativas de movilidad empresarial, en particular, en las implementaciones de Windows 10.

Solución de VMwareEn el centro de la visión de VMware de administración unificada de extremos está la solución de movilidad empresarial (EMM) de AirWatch.



Windows 10 permite que los administradores de TI aprovechen las nuevas capacidades de administración de movilidad empresarial (EMM). AirWatch recoge las mejores funciones de la administración de clientes tradicional y ofrece las mejores capacidades de EMM del sector para simplificar la administración de escritorio y dispositivos móviles con Windows 10.

Agilice la implementaciónCon AirWatch, los administradores de TI pueden simplificar en gran medida el proceso de inscripción y aprovisionamiento de dispositivos. AirWatch proporciona una experiencia de incorporación intuitiva para Windows 10 en cualquier red, ya sea pública (unida a un dominio de nube) o privada (sin unir a un dominio de nube), y en cualquier tipo de escenario: BYOD (Traiga su propio dispositivo), CYOD (Elija su propio dispositivo) y dispositivos corporativos. AirWatch se integra con Microsoft Active Directory (AD) y Microsoft Azure AD en la nube pública para ofrecer soporte a los modelos de implementación solo en la nube o híbridos que unen los dispositivos al dominio.

Reducción del costes y la complejidad de la administración

Al encender por primera vez

Ajustes > Cuentas

Ajustes > Cuentas

PackageInstallation

Inscripción víaapp de

Microsoft

Inscripción automática

Inscripcipción en Workplace

Ajuste del dispositivo

Nivel de aplicación

Incorporación simplificada de los usuarios finales

Incorporación simplificada por TI

Aprovision-amientoen masa

Figura 1: Casos prácticos de aprovisionamiento de Windows 10 con AirWatch



La forma tradicional de crear imágenes y de unir los dominios siempre ha sido una manera compleja y lenta de inscribir los dispositivos. Cuando se combina el aprovisionamiento en tiempo de ejecución en Windows 10 con las capacidades de aprovisionamiento de productos de AirWatch, los administradores de TI pueden abordar la inscripción en masa de dispositivos con más control, y basándose en políticas, sin tener que volver a crear las imágenes para casos individuales.

Incorporación simplificada de los usuarios finales

Incorporación simplificada por TI

El usuario final se inscribe a sí mismo sin la intervención de TI

Inscripción en masa de un solo clic con una política sin volver a crear imágenes

Productividad de TI y costes operativos:


La integración con Azure Active Directory permite a las organizaciones brindar soporte a la inscripción de autoservicio de los usuarios finales sin involucrar al equipo de TI y con la menor interacción posible del usuario. Los usuarios finales se pueden inscribir:

• Con la inscripción preparada al utilizar el nuevo dispositivo por primera vez

• Al agregar sus credenciales corporativas

• Al iniciar sesión en una aplicación de la empresa (Microsoft Office, por ejemplo)

El método de inscripción de autoservicio con las credenciales corporativas une los dispositivos al dominio de la nube; configura correctamente los perfiles, los ajustes, las aplicaciones, las políticas de conformidad y el contenido y prepara el dispositivo para la administración de AirWatch en un solo proceso optimizado.



Aplicaciones Configuración

• Eliminar bloatware

• Instalar MSI

• Instalar EXE

• Instalar DLL

• Instalar controladores

• Instalar aplicaciones de la tienda

• Instalar actualizaciones de Windows

• Implementar claves de licencia de Windows

• Implementar scripts personalizados

• Certificados

• Correo electrónico

• VPN

• WiFi

• Firewall

• Antivirus

• Cifrados

• Cliente de actualización de Windows

• Restricciones de aplicaciones

• Agregar cuentas

• Configurar el menú Inicio

• Configurar el fondo de pantalla

• Configuración de la impresora

Al utilizar AirWatch, los administradores de TI pueden importar en masa los dispositivos que tengan ciertos números de serie y asociarlos a las cuentas de usuario que van a recibirlos. AirWatch proporciona las direcciones URL necesarias para la inscripción preparada y el aprovisionamiento (detección, inscripción y política) que se conectan con el Diseñador de imágenes y configuraciones de Windows (ICD).

Al combinarlo con las capacidades de aprovisionamiento de productos de AirWatch (véase la sección de Administración de aplicaciones), AirWatch le permite al equipo de TI crear un solo paquete de inscripción preconfigurado que le proporciona de forma remota la configuración, las aplicaciones (EXE y MSI incluidas), las actualizaciones de software, los controladores, los archivos y los comandos al usuario final a través de correo electrónico o disco de multimedia y que se instala con un solo clic. El administrador o el usuario final también pueden importar el paquete directamente en los ajustes de Windows Work Access.

(cont. de Incorporación simplificada por TI)

Figura 2: El paquete de aprovisionamiento puede incluir listas de aplicaciones y configuraciones



En la consola administrativa de AirWatch está el panel de dispositivos de que presenta a los administradores de TI un resumen de alto nivel y en tiempo real, que incluye los dispositivos Windows 10, de toda la flota de extremos de la organización. El panel de dispositivos es personalizable y le permite realizar búsquedas y aplicar filtros para que los administradores puedan encontrar dispositivos con diferentes criterios, como plataforma, versión de SO, estado de conformidad, tipo de propiedad, entre otros. La capacidad de aumentar la cantidad de detalles simplifica y agiliza las acciones de MDM y las funciones administrativas en un conjunto concreto de dispositivos.

Dispositivos

Administración simplificada

Tablero centralizado para admón. e informes de todo dispositivo, aplicación y plataforma de SO


La consola administrativa de AirWatch también le permite realizar un análisis más profundo de cualquier dispositivo individual. Por ejemplo, los administradores pueden obtener detalles del estado de seguridad del dispositivo sin importar independientemente de s el dispositivo Windows 10 está inscrito o no en el programa de administración, si cumple con las políticas de código de acceso y cifrado, o si la posición del dispositivo es correcta según la configuración de certificación de estado (véase la sección de Posición de dispositivos).

AirWatch también ofrece una amplia gama de informes y registros de eventos predeterminados que proporciona a los administradores estadísticas con las que pueden adoptar medidas efectivas en las implementaciones de Windows 10. Los administradores de TI tienen la capacidad de crear informes personalizados, definir listas de distribución y automatizar el envío de informes y programas desde la consola administrativa centralizada.



Inventario de dispositivos

Aplicaciones

AirWatch ofrece funciones de inteligencia de recursos integradas en la consola. Los administradores de TI ven una serie de detalles como los dispositivos de cierto grupo organizativo, el estado de la conexión a la red de los dispositivos, los dispositivos que tienen instaladas ciertas aplicaciones, si los dispositivos están en peligro o no y muchos otros informes detallados que están preconfigurados.

Uno de los desafíos que deben afrontar los administradores de TI en la administración de PC es que el ecosistema de aplicaciones está fragmentado. Con Windows 10, las organizaciones ya no necesitan herramientas de distribución distintas para cada tipo de aplicación y los administradores pueden conceder a los usuarios finales acceso a todas las aplicaciones, ya sea un paquete EXE o MSI, aplicaciones web, remotas o universales: todo desde una sola tienda de aplicaciones. La nueva tienda es compatible con las aplicaciones que mantengan una sola base de código para las plataformas móvil y de escritorio de Windows. Esta función ahorra tiempo a los desarrolladores y permite que los administradores creen un sistema de administración unificado para todos los extremos.

Figura 3: Tablero de dispositivos de AirWatch

PA P E L B L A N C O | 1 0

AirWatch permite que los administradores implementen un catálogo de aplicaciones unificado para que los usuarios finales accedan a las aplicaciones corporativas aprobadas desde un solo lugar. Las políticas de configuración de aplicaciones de AirWatch aseguran que solo se ejecuten aplicaciones de confianza en los equipos de los usuarios finales (véase la sección Grupos de aplicaciones). La integración con VMware Identity Manager, una solución de identidad como servicio (IDaaS), le permite al equipo de TI controlar y proteger el acceso a las aplicaciones corporativas y crear acceso fácil a los usuarios finales que utilizan esas aplicaciones en cualquier lugar y dispositivo (Inicio de sesión único).

VMware AirWatch® App Catalog™ se integra con la Microsoft Store y permite la instalación autoservicio de las aplicaciones que se asignan al usuario según su plataforma, grupo de usuarios, rol, entre otros parámetros. El catálogo permite que los desarrolladores y los administradores vean las estadísticas de instalación de las aplicaciones, recopilen comentarios, envíen notificaciones de inserción, instalen aplicaciones silenciosamente en los dispositivos de los usuarios, personalicen la marca y creen categorías personalizadas. AirWatch App Catalog se puede enviar automáticamente a los dispositivos durante la inscripción de Windows 10 o a pedido con un clip web.

Gracias al desarrollo de la Microsoft Store Windows para empresas, Microsoft ofrece un espacio donde los desarrolladores, los responsables de TI y los administradores pueden enviar, buscar, adquirir, administrar y distribuir aplicaciones Windows 10 para las organizaciones. AirWatch se complace en trabajar con Microsoft para integrarse con la Microsoft Store para empresas y permitir que los administradores finales puedan tener acceso, implementar y utilizar aplicaciones Windows 10 en sus organizaciones.




Aprovisionamiento de productos

Inventario de aplicaciones

AirWatch permite la implementación remota de aplicaciones, archivos y comandos a través de “perfiles de productos”. Las capacidades de aprovisionamiento de productos de AirWatch permite que los administradores de TI envíen aplicaciones, controladores, actualizaciones de firmware, paquetes complejos o scripts para mantener actualizados los dispositivos de escritorio de Windows y así estén listos en todo momento. Los administradores pueden simplificar las tareas de aprovisionamiento de productos y distribución de software aún más al crear programas y flujos de trabajo automatizados para las instalaciones, que se pueden configurar para que la instalación se lleve a cabo solo cuando se cumplan ciertas condiciones de red, programa o batería. AirWatch ofrece soporte completo para las instalaciones básicas de MSI y además presenta un motor de scripts para la automatización de tareas que le proporciona capacidades que normalmente requerirían una herramienta de administración de ciclo de vida de PC (PCLM). De esta manera, los administradores de TI se benefician de las capacidades tradicionales de PCLM en lo que se completa la transición al flujo de administración basado en EMM.

AirWatch ofrece soporte para el control completo del inventario, recopilación y registros de las aplicaciones de escritorio de Windows (heredadas) y de las aplicaciones Metro (modernas). Los administradores de TI pueden ver los informes de las versiones y los estados de implementación de las aplicaciones, la presencia de aplicaciones en dispositivos seleccionados y las listas de aplicaciones con los costes y, además, pueden acceder a muchas otras funciones del inventario de aplicaciones.

Figura 4: Aprovisionamiento de productos de AirWatch

Apps

Archivos

Comandos



AirWatch ofrece funciones de administración de correo electrónico para Windows 10 que dan soporte y protección a la infraestructura de correo electrónico corporativo al permitir que solo los usuarios y los dispositivos que cumplan con las políticas tengan acceso al correo. AirWatch brinda soporte para el acceso al correo electrónico en el cliente de correo nativo (Microsoft Outlook) o en la aplicación de AirWatch Inbox y para la implementación de varias configuraciones de administración de correo electrónico en la misma organización, incluso Exchange Online y Office 365.

Esa flexibilidad permite que los administradores de TI centralicen la administración de varios entornos de correo electrónico de distintas sucursales o grupos de usuarios, y ofrezcan soporte para las actualizaciones o los escenarios de migración en los que una parte de los extremos estén en un entorno distinto.

Soporte para Office 365

Correo

AirWatch y VMware Identity Manager facilitan y automatizan el proceso de aprovisionar acceso a las diferentes aplicaciones de Office 365 para las organizaciones que utilizan Microsoft Office 365 al sincronizarse con los grupos de usuarios de los servicios de directorio (LDAP). La integración asegura que haya una identidad común para la autenticación y el acceso condicional a las aplicaciones de modo que solo los usuarios autorizados, en los dispositivos administrados y que tengan licencias compradas, puedan acceder a los distintos servicios de Office 365.

Ofrezca soporte para la admón. centralizada de distintas infraestructuras de correo electrónico


2 Windows Desktop: Exchange Server, Exchange Online, Office 365; Windows Phone: Exchange Server, Exchange Online, Office 365, Lotus Traveler, Novell GroupWise, Google Apps for Work.

ContenidoLa solución de administración de contenido de AirWatch ayuda a las organizaciones a enviar y acceder al contenido en dispositivos de escritorio o móviles de Windows. Los administradores de TI pueden configurar y cargar contenido administrado a la consola administrativa, sincronizar los servidores de archivos corporativos (como Microsoft SharePoint, Microsoft OneDrive, recursos compartidos de red, etc.) y habilitar un espacio de contenido personal para los usuarios finales. Los usuarios finales pueden compartir los datos y acceder a ellos de forma segura con VMware AirWatch® Content Locker™.


Sin embargo, Windows 10 ha dado pie a una transición de GPO a la administración de la plataforma basada en EMM. La tecnología de AirWatch ahora permite la configuración inalámbrica de los dispositivos Windows 10 con actualizaciones en tiempo real en cualquier red pública o privada. AirWatch también brinda soporte para los ajustes nativos del SO de cifrado, antivirus, malware y firewall y, de este modo elimina la necesidad de comprar y dar soporte a software y agentes de terceros. AirWatch permite la coexistencia de la administración tradicional basada en GPO junto con el nuevo método de EMM para que los administradores no se vean forzados a escoger una de las dos. Al integrar lo mejor de la administración del ciclo de vida de PC (PCLM) y EMM, el método de AirWatch busca aumentar la productividad de TI, reducir los costes y mejorar la seguridad de los extremos.


Actualizaciones

Windows 10 tiene un nuevo servicio de actualizaciones que está diseñado para la movilidad y la nube. Cambia el concepto de actualización de SO de la eliminación y el reemplazo a un modelo en el que las actualizaciones periódicas de SO y las funciones se reciben inalámbricamente. La nueva función de Windows de actualizaciones como servicio también tiene planes de servicio o ramas de actualización que los administradores pueden usar para controlar el orden de las implementaciones según la preferencia o la sensibilidad de la organización a las actualizaciones de funciones y seguridad. Estos cambios implican que ahora las organizaciones necesitan una herramienta de administración basada en la nube para mantenerse al día con las nuevas capacidades de actualización.

Consolide o elimine las licencias de las herramientas tradicionales de admón de PC

Gastos de capital e infraestructura:

Funciones tradicionales de los clientesLos métodos tradicionales de administración de PC dependen en gran medida de los objetos de política de grupo (GPO). Los GPO requieren que los dispositivos se conecten a la red corporativa y se reinicien para poder recibir las políticas. Además, las organizaciones a menudo requerirían una infraestructura de administración basada en EMM independiente para proteger y administrar los extremos móviles y los que no son de tipo Windows.



(cont. de Actualizaciones)

AirWatch proporciona control detallado sobre la administración y el envío de las actualizaciones de Windows en la organización. El administrador de TI puede decidir si los usuarios tendrán acceso para controlar las actualizaciones de SO ellos mismos o puede aplicar las actualizaciones por medio de una suscripción a las fuentes de actualización de Windows. AirWatch se integra con el nuevo servicio de Microsoft Update y también brinda soporte a Windows Server Update Services (WSUS) corporativos de la organización.

Los administradores pueden establecer políticas sobre el envío de las actualizaciones al dispositivo, como el envío automático o autorizado por el usuario, y definir los periodos de mantenimiento, como el día y la hora preferidos para la instalación, para que las actualizaciones no interfieran en la productividad del usuario. AirWatch también ofrece opciones para decidir si otros productos de Microsoft o de terceros se pueden instalar de forma simultánea con las actualizaciones de Windows y si se deben enviar las compilaciones de Windows Insider a los usuarios finales. AirWatch también es compatible con la nueva función de optimización de envío de actualizaciones de Winodws para el envío de igual a igual que permite que los usuarios reciban las actualizaciones y las aplicaciones con mayor rapidez.

Elimine la complejidad de la administración de actualizaciones, revisiones, controladores y otras tareas tradicionales del ciclo de vida de PC




Firewall

Las políticas de firewall en las redes privadas y públicas son otra función de la administración de cliente tradicional que ahora puede administrar con mayor eficacia a través de la consola administrativa de AirWatch.

AirWatch permite la configuración del cifrado de BitLocker para que las organizaciones puedan cifrar un disco completo o la partición de SO de forma silenciosa. Los administradores pueden depositar la clave de recuperación de BitLocker en la consola administrativa de AirWatch y en el Portal de autoservicio (SSP) como parte de un nuevo modelo de autoservicio que reduce la carga del equipo de TI.

Cifrado

Los administradores pueden administrar las políticas del antivirus nativo, Windows Defender, y crear políticas de conformidad desde AirWatch. Los administradores de TI pueden activar la función de seguimiento en tiempo real, establecer periodos de actualizaciones de definiciones y análisis, agregar exclusiones, seleccionar acciones automáticas para diferentes niveles de amenazas y definir otras políticas avanzadas de seguimiento y análisis.

Además de las políticas nativas de Windows Defender, los administradores pueden configurar reglas de conformidad para las soluciones de antivirus de terceros para asegurar que el seguimiento esté activado y que las definiciones de los virus y los archivos de firma estén actualizados.

Antivirus y malware



Además de la capacidad de autoservicio de los usuarios finales para la inscripción de los dispositivos y la instalación de aplicaciones y actualizaciones, AirWatch permite que los administradores configuren el Portal de autoservicio (SSP), lo que alivia la carga del equipo de soporte técnico y los vales de servicio al ofrecerle una herramienta al usuario final para que dé seguimiento y administre sus dispositivos de forma remota. Los usuarios finales pueden eliminar los dispositivos, ver su clave de recuperación de BitLocker, enviar mensajes y llevar a cabo muchas otras tareas administrativas en el dispositivo de manera independiente en el Portal de autoservicio. la tabla que se muestra a continuación presenta una lista de las tareas del SSP compatibles con los dispositivos móviles y de escritorio de Windows:

Portal de autoservicio (SSP)

La admón autónoma de los usuarios finales reduce las llamadas de asistencia y la carga del equipo de TI


Permita el autoservicio de los usuarios finales

AirWatch también permite el uso de varias funciones de autoservicio que reduce aún más la carga del equipo de TI relacionada con la asistencia a los usuarios finales y los clientes y, permite que se centre en otras tareas más importantes.

AirWatch: Redefinición de la administración de Windows 10 / 16

Tabla 1: Capacidades del Portal de autoservicio (SSP) de AirWatch para dispositivos Windows 10

Además de la capacidad de autoservicio de los usuarios finales para la inscripción de los dispositivos y la instalación de aplicaciones y actualizaciones, AirWatch permite que los administradores configuren el Portal de autoservicio (SSP) que alivia la carga del equipo de soporte técnico y los vales de servicio al ofrecerle una herramienta al usuario final para que dé seguimiento y administre sus dispositivos de forma remota. Los usuarios finales pueden realizar una eliminación de los dispositivos, ver su clave de recuperación de BitLocker, enviar mensajes y llevar a cabo muchas otras tareas administrativas en el dispositivo de manera independiente en el Portal de autoservicio. La tabla a continuación presenta una lista de las tareas del SSP compatibles con los dispositivos móviles y de escritorio de Windows:

Portal de autoservicio (SSP)

La admón autónoma de los usuarios finales reduce las llamadas de asistencia y la carga del equipo de TI


Elim

inar

dis

po

siti

vo

Co

nsu

ltar

dis

po

siti

vo

Elim

inac

ión

to

tal

Elim

inac

ión

em

pre

sari

al

Blo

qu

ear

dis

po

siti

vo

pan

talla

Ub

icar

dis

po

siti

vo

Envi

ar m

ensa

je

Des

carg

ar A

gen

t

Rec

up

erar

cla

ve

de

Bit

Lock

er

Elim

inar

reg

istr

o

Ver

men

saje

de

insc

rip

ció

n

Ree

nvi

ar m

ensa

je

de

insc

rip

ció

n

Gen

erar

to

ken

d

e ap

licac

ión

Rev

oca

r to

ken

d

e ap

licac

ión

Ad

min

istr

ar c

orr

eo

elec

tró

nic

o

Rev

isar

Tér

min

os

de

uso

Car

gar

cer

tifi

cad

o

S/M

IME

Acciones:

Escritorio de Windows

Windows Mobile

X X X X

X XX X X

X X X X X X X X X X X

X X X X X X X X

Permita el autoservicio de los usuarios finales

AirWatch también permite el uso de varias funciones de autoservicio que reduce aún más la carga del equipo de TI relacionada con la asistencia a los usuarios finales y los clientes y permite que se enfoque en otras tareas más importantes.



Proteja y controle los dispositivos Windows 10

Perfiles de dispositivosLos perfiles de dispositivos son el instrumento principal para la administración y la protección de los dispositivos a través de AirWatch. Contienen las cargas útiles (ajustes, configuraciones y restricciones) que las organizaciones desean aplicar a los dispositivos Windows 10. Las cargas útiles ayudan a los administradores a establecer políticas que mitiguen los problemas más importantes asociados con la protección de la identidad/acceso (códigos de acceso, credenciales, Passport for Work), los datos (protección de datos, cifrado) y protección contra amenazas (antivirus, firewall) de los usuarios de dispositivos Windows 10. AirWatch permite que los administradores creen perfiles para los dispositivos móviles y de escritorio de Windows 10 y que los asignen a ciertos grupos inteligentes que son grupos personalizables definidos por los administradores que determinan las plataformas, los dispositivos y los usuarios finales que recibirán una aplicación, una política de conformidad y un perfil de dispositivo. La Tabla 2 identifica las cargas útiles de perfiles de dispositivos de Windows que son compatibles con AirWatch.

La protección de los dispositivos móviles y de escritorio de Windows 10 comienza con la inscripción de los extremos en la administración de EMM. De esta manera se asegura de que solo los extremos administrados tengan acceso a las aplicaciones, los recursos y los repositorios corporativos. Después de la inscripción, AirWatch permite la configuración de perfiles de seguridad, políticas de conformidad y restricciones de dispositivo que garantizan mayor control y seguridad al comprobar que los dispositivos no hayan sido manipulados



Los perfiles de dispositivos móviles y de escritorio de Windows 10 de AirWatch también incluyen opciones para activar muchas restricciones a nivel de dispositivo para mayor control de MDM. Los administradores de TI ahora pueden crear restricciones para lo siguiente:

Restricciones del dispositivo

Control detallado para las restricciones a nivel del dispositivo y de la aplicación

Seguridad/Control:

• Administración de dispositivos: p. ej. Permita que los usuarios anulen la inscripción de su dispositivo o lo restablezcan

• Administración de dispositivos: permita que los usuarios anulen la inscripción de su dispositivo o realicen un restablecimiento, entre otros

• Seguridad y privacidad: permita el uso de los servicios de ubicación o datos de telemetría, entre otros

• Ajustes de dispositivos: permita que los usuarios cambien los ajustes de fecha y hora o idioma, entre otros

• Funcionalidad del dispositivo: permita el uso de la cámara, Bluetooth, Cortana, entre otros

• Aplicaciones: permita el uso de aplicaciones y actualizaciones de confianza solamente

• Red: permita el uso de datos celulares en roaming, conexión automática a configuraciones de Wi-Fi, entre otros

• Navegador: permita la función de autorellenar en los formularios de Internet, cookies y ventanas emergentes, entre otros


Los perfiles de dispositivos móviles y de escritorio de Windows 10 de AirWatch también incluyen opciones para habilitar muchas restricciones a nivel de dispositivo para mayor control de MDM. Los administradores de TI ahora pueden crear restricciones para lo siguiente:

Restricciones del dispositivo

Control pormenorizado para las restricciones a nivel del dispositivo y de la aplicación

Seguridad/Control:

• Device administration: e.g. enable users to un-enroll their device or reset device

• Administración de dispositivos: Permita que los usuarios anulen la inscripciónde su dispositivo o realicen un restablecimiento, entre otors

• Seguridad y privacidad: Permita el uso de los servicios de ubicación o datos detelemetría, entre otros

• Ajustes de dispositivos: permita que los usuarios cambien los ajustes de fechay hora o idioma, entre otros

• Funcionalidad del dispositivo: Permita el uso de la cámara, Bluetooth, Cortana,entre otros

• Aplicaciones: Permita el uso de aplicaciones y actualizaciones confiablessolamente

• Red: Permita el uso de datos celulares en roaming, conexión automática aconfiguraciones de Wi-Fi, entre otros

• Navegador: Permita la función de autorellenar en los formularios de Internet,cookies y ventanas emergentes, entre otros

Tabla 2: Cargas útiles de AirWatch para dispositivos Windows 10C

ód

igo

de

acce

so

Wi-

Fi

VPN

Cre

den

cial

es

Res

tric

cio

nes

Pro

tecc

ión

de

dat

os

Pass

po

rt f

or

Wo

rk

Fire

wal

l

Mo

do

de

aplic

ació

n

ún

ica

An

tivi

rus

Cif

rad

o

Act

ual

izac

ion

es

de

Win

do

ws

Clip

s W

eb

Exch

ang

e A

ctiv

e Sy

nc

SCEP

Co

ntr

ol d

e ap

licac

ion

es

Serv

icio

s w

eb

de

Exch

ang

e

Co

rreo

ele

ctró

nic

o

Acc

eso

asi

gn

ado

Aju

stes

per

son

aliz

ado

s

Cargas útiles:


Windows Mobile

X X X X X X X X X X X X X X X X X X X

X X X X X X X X X X X X X X X

Tabla 2: Cargas útiles de AirWatch para dispositivos Windows 10



AirWatch es compatible con los perfiles de control de aplicaciones para Windows 10 y les permite a los administradores crear listas blancas y listas negras de aplicaciones para evitar que los usuarios descarguen e instalen aplicaciones no autorizadas de la tienda de aplicaciones pública. Se pueden aprovisionar las políticas de AppLocker para bloquear el uso de aplicaciones que ya estuvieran instaladas según lo definido por la configuración de control de aplicaciones.

AirWatch tiene un motor de conformidad en tiempo real que asegura que todos los dispositivos cumplan con las políticas de administración y control que definió el administrador de TI. Estas políticas de seguridad son distintas para cada plataforma y pueden incluir una serie de criterios de conformidad como: perfiles de dispositivos (códigos de acceso, antivirus, cifrado, entre otros), lista de aplicaciones (lista blanca, lista negra, requeridas), estado comprometido (certificación de estado) y otros que se presentan en la tabla a continuación. Los administradores también pueden configurar las reglas de escalación automatizadas que realizan acciones específicas (notificar al usuario, bloquear el acceso a las aplicaciones) y pueden permitir periodos de gracia cuando se detecte que el dispositivo no está conforme. Las reglas de escalación reducen la tarea del equipo de TI de analizar periódicamente la conformidad de todos los dispositivos y también aumenta la posición de seguridad al garantizar que solo los dispositivos conformes tengan acceso a las aplicaciones y los datos corporativos.

Grupos de aplicaciones

Motor de conformidad

Motor de conformidad en tiempo real con políticas automáticas de escalación

Seguridad/Control:



La certificación de seguridad de Windows 10 comprueba el estado de arranque (ejemplo: Arranque seguro, versión de Administrador de arranque) y el estado de seguridad (ejemplo: BitLocker, Device Guard) para ayudar a detectar si el dispositivo está comprometido. La consola administrativa de AirWatch permite que los administradores seleccionen atributos específicos de certificación de seguridad para marcar el dispositivo como comprometido. El motor de conformidad comprueba que no haya problemas con ninguno de los atributos y toma las medidas necesarias que el administrador haya definido. Como AirWatch obtiene la información de certificación de seguridad del Módulo de plataforma segura (TPM) –un componente de hardware cifrado que viene integrado en el dispositivo, en vez del SO, la detección del estado comprometido funciona aun cuando el kernel del SO esté en peligro.

Posición de dispositivo

Combinación de controles de hardware y software que comprueban la posición del dispositivo

Seguridad/Control:


La atestación de seguridad de Windows 10 comprueba el estado de arranque (ejemplo: Arranque seguro, versión de Administrador de arranque) y el estado de seguridad (ejemplo: BitLocker, Device Guard) para ayudar a detectar si el dispositivo está comprometido. La consola administrativa de AirWatch permite que los administradores seleccionen atributos específicos de atestación de seguridad para marcar el dispositivo como comprometido. El motor de conformidad comprueba que no haya problemas con ninguno de los atributos y toma las medidas necesarias que el administrador haya definido. Como AirWatch obtiene la información de atestación de seguridad del Módulo de plataforma segura (TPM) –un componente de hardware cifrado que viene integrado en el dispositivo– en vez del SO, la detección del estado comprometido funciona aun cuando el kernel del SO esté comprometido.

Posición de dispositivo

Controles de controles de hardware y software que comprueban la posición del dispositivo

Seguridad/Control:

Tabla 3: Políticas de conformidad de AirWatch para dispositivos Windows 10Es

tad

o d

el a

nti

viru

s

Esta

do

co

mp

rom

etid

o

Últ

ima

det

ecci

ón

del

dis

po

siti

vo

Cif

rad

o

Esta

do

del

fire

wal

l

Ace

pta

ció

n d

e lo

s Té

rmin

os

de

uso

Mo

del

o

Ver

sió

n d

e SO

Có

dig

o d

e ac

ceso

Ro

amin

g

Cam

bio

de

tarj

eta

SIM

Esta

do

de

las

actu

aliz

acio

nes

au

tom

átic

as d

e W

indo

ws

Políticas de conformidad:


Windows Mobile

X X X X X X X X X X

X X X X X X X

Tabla 3: Políticas de conformidad de AirWatch para dispositivos Windows 10




Figura 5: Atestación de seguridad para Windows 10

Usernames and passwords can be forgotten, shared, or exploited (e.g. pass-the-hash-attacks) putting corporate data at risk. Windows 10 brings together a combination of strong authenticators and hardware and virtualization-based (Credential Guard) security. With AirWatch, admins can establish well-defined authentication policies for Windows 10 that mitigates credentials from being exploited and puts an end to the pass-the-hash attacks.

Autenticación

Solicitud

Aprobado

Prueba

Arranque seguro

Cifrado de BitLocker

Antivirus

Integridad de código

Versión de Windows

TPM 2.0 o superior

Probar estado de dispositivo

Solicitar acceso

Los nombres de usuario y las contraseñas se pueden olvidar, compartir o ser víctimas de exploits (p. ej. de ataques pass-the-hash), lo que supone un riesgo para los datos corporativos. Windows 10 reúne una combinación de autenticadores sólidos y seguridad basada tanto en hardware como en virtualización (Credential Guard). Con AirWatch, los administradores pueden establecer políticas de autenticación bien definidas para Windows 10 que mitigan la posibilidad de que las credenciales sean víctimas de exploits y ponen fin a los ataques de pass-the-hash.

Autenticación



Windows 10 presenta Microsoft Passport, una autenticación multifactor (MFA) integrada en el SO, que es un reemplazo más seguro y de calidad empresarial para las contraseñas. AirWatch se integra con las nuevas funciones de seguridad de Windows 10: Windows Hello (autenticación biométrica) y Passport PIN. AirWatch le permite establecer políticas para las acciones de comprobación, configurar el nivel de seguridad y los requisitos de complejidad del PIN y aprovisionar certificados para identificar a los usuarios.

El SSO garantiza que los usuarios inicien sesión una sola vez en el dispositivo para acceder a las aplicaciones recomendadas de la organización que hay disponibles sin tener que volver a iniciar sesión otra vez. VMware Identity Manager, una solución en la nube, provee integración de los servicios de directorio para los servicios de directorio locales internos (LDAP) y utiliza aserciones SAML para federar la identidad con la nube. La identidad federada habilita el uso de SSO en todas las aplicaciones de Windows 10: SaaS, Office 365, Outlook y móviles. Además de reducir las solicitudes de asistencia para recuperar las contraseñas olvidadas, la función de SSO aumenta la seguridad, ya que los usuarios no tienen que guardar/anotar las contraseñas en lugares vulnerables y el acceso a todas las aplicaciones puede desactivarse para evitar la fuga de datos en caso de que el empleado deje de trabajar en la empresa.

Autenticación multifactor (MFA)

Inicio de sesión único (SSO)

Brinde soporte a MFA y SSO para mayor seguridad en la autenticación

Seguridad/Control:



La seguridad es la clave de todos los aspectos de la estrategia de administración de movilidad y prevención de pérdida de datos de AirWatch. La protección de los datos en los extremos Windows 10 comienza con la protección del acceso a los servidores de aplicaciones para que solo las aplicaciones administradas y los usuarios autorizados accedan a ellos. AirWatch permite que los administradores de TI definan políticas avanzadas de prevención de pérdida de datos en los dispositivos Windows 10 para mantener los datos de la empresa contenidos y protegidos, a la vez que administra las los problemas de privacidad relacionados con los datos personales de los empleados. VMware Identity Manager se integra con las capacidades de administración de movilidad empresarial de AirWatch para traer más ventajas a la empresa. La solución integrada minimiza el riesgo de la pérdida de datos al asegurar que solo los dispositivos administrados que cumplan con las políticas de conformidad definidas por la empresa tengan acceso a las aplicaciones, el contenido y el correo electrónico.

Las organizaciones pueden utilizar varias puertas de enlace de VPN para crear conexiones seguras para los extremos. Sin embargo, la VPN a nivel del dispositivo no distingue entre aplicaciones de trabajo, personales y no autorizadas en el extremo y permite el flujo de tráfico entre el dispositivo y el centro de datos siempre y cuando la conexión esté activa.

Minimice el riesgo de la pérdida de datos

VPN por aplicación

Elimine la necesidad de servicios de VPN de terceros y licencias

Gastos de capital e infraestructura:

La función de VPN por aplicación de AirWatch ofrece seguridad a nivel de la aplicación y microsegmentación en el cliente para que en todo momento solo los usuarios autorizados, que tengan dispositivos validados y que utilicen aplicaciones autorizadas, sean los que accedan al centro de datos. Al utilizar el perfil de VPN de Windows 10, los administradores pueden seleccionar las aplicaciones específicas que tienen



La integración con VMware Identity Manager permite que los administradores de TI otorguen acceso condicional a los recursos empresariales basándose en el estado administrado, o no, de los dispositivos y si cumplen con los requisitos de conformidad. El motor de conformidad de AirWatch continuamente evalúa la conformidad y se basa en criterios de asignación de perfiles de conformidad robustos (véase la Tabla 3) para controlar el acceso a todas las aplicaciones (móvil, escritorio, SaaS, universal, etc.), varios repositorios de datos (a través de AirWatch Content Locker), múltiples implementaciones de correo electrónico y cualquier tipo de dispositivo.

Cuando el usuario final solicita acceso a los recursos corporativos, VMware Identity Manager comprueba que el dispositivo esté administrado y conforme según el informe del motor de conformidad. Los controles de acceso adaptables son compatibles con la autenticación basada en notificaciones que puede depender de los usuarios o los grupos, tipo de dispositivo o aplicación y administración de dispositivos o red (dominio). Las políticas de acceso condicional también incluyen las configuraciones de Exchange Online o EAS en las que los administradores crean políticas de listas blancas o listas negras para restringir el acceso y la entrega de correos electrónicos a los dispositivos sin administrar que no cumplan los requisitos de conformidad.

Acceso condicional

autorización para acceder a los recursos corporativos, ya sean direcciones IP, puertos o ubicaciones de intranet como SharePoint. La capacidad de VPN por aplicación impide el acceso a los datos de la empresa por medio de cualquier aplicación que no sea segura o de confianza. El servicio de VPN integrado, VMware AirWatch® Tunnel™, elimina la necesidad de utilizar servicios de terceros y pagar la cuota de licencias y, de esta manera, garantiza que el servicio de VPN se ofrece a un costes total de propiedad menor. Además de ser compatible con un servicio de VPN nativo, AirWatch también se integra con los servicios de VPN que tenga la organización.


La integración con VMware Identity Manager permite que los administradores de TI otorguen acceso condicional a los recursos empresariales basándose en el estado administrado, o no, de los dispositivos y si cumplen con los requisitos de conformidad. El motor de conformidad de AirWatch continuamente evalúa la conformidad y se basa en criterios de asignación de perfiles de conformidad robustos (véase la Tabla 3) para controlar el acceso a todas las aplicaciones (móvil, escritorio, SaaS, universal, etc.), varios repositorios de datos (a través de AirWatch Content Locker), múltiples implementaciones de correo electrónico y cualquier tipo de dispositivo.

Cuando el usuario final solicita acceso a los recursos corporativos, VMware Identity Manager comprueba que el dispositivo esté administrado y conforme según el informe del motor de conformidad. Los controles de acceso adaptables son compatibles con la autenticación basada en notificaciones que puede depender de los usuarios o grupos, tipo de dispositivo o aplicación y administración de dispositivos o red (dominio). Las políticas de acceso condicional también incluyen las configuraciones de Exchange Online o EAS en las que los administradores crean políticas de listas blancas o listas negras para restringir el acceso y la entrega de correos electrónicos a los dispositivos sin administrar que no cumplan los requisitos de conformidad.

Acceso condicional

Figura 6: App Tunnel y VPN por aplicación de AirWatch

autorización para acceder a los recursos corporativos, ya sean direcciones de IP, puertos o ubicaciones de intranet como SharePoint. La capacidad de VPN por aplicación impide el acceso a los datos de la compañía por medio de cualquier aplicación que no sea segura o de confianza. El servicio de VPN integrado, VMware AirWatch® Tunnel™, elimina la necesidad de utilizar servicios de terceros y pagar la cuota de licencias y, de esta manera, garantiza que el servicio de VPN se ofrece a un costo total de propiedad menor. Además de ser compatible con un servicio de VPN nativo, AirWatch también se integra con los servicios de VPN que tenga la organización.

VPN a nivel de aplicación

Figura 6: App Tunnel y VPN por aplicación de AirWatch



Prevención de pérdida de datosLos administradores de TI pueden implementar las funciones avanzadas de prevención de pérdida de datos que impiden que los usuarios copien/peguen o abran documentos adjuntos o archivos corporativos fuera del contenedor seguro (AirWatch Content Locker). La solución de administración de contenido de AirWatch permite el cifrado a nivel del documento y la creación de listas blancas o listas negras según el tipo de archivo y, además, protege los datos en tránsito y en reposo con el cifrado AES de 256 bits. Asimismo, las funciones de administración de correo electrónico de AirWatch evitan la filtración de datos del correo corporativo al asegurar que los archivos adjuntos y los hipervínculos solo se abran dentro de un contenedor seguro o en un navegador o buzón administrado.

Protección de datos empresariales (EDP)Además de las funciones nativas de prevención de pérdida de datos, AirWatch se complace en asociarse con Microsoft para dar soporte a las capacidades de protección de datos empresariales (EDP) a las organizaciones que participen participen en programa de Microsoft TAP y ciertas compilaciones de Windows Insider. Las funciones de EDP de AirWatch para las compilaciones de Windows Insider permite que los administradores otorguen permiso a las aplicaciones de escritorio o modernas que sean de confianza para que abran o descifren datos de trabajo. Los administradores pueden configurar fronteras protegidas por la empresa —intervalos de IP, nombres de dominios o servidores de proxy— que provean un espacio seguro para los datos corporativos. Se cifrará toda la información que se origine en las aplicaciones confiables dentro de las fronteras protegidas por la empresa. La flexibilidad de las opciones de AirWatch permiten habilitar o inhabilitar las capacidades de ciertos grupos de usuarios de mover datos y del uso compartido como copiar/pegar, arrastrar y colocar, entre otras.

Mejor posición de seguridad de extremo a extremo con la microsegmentación en el cliente, acceso condicional y la prevención de pérdida de datos

Seguridad/Control:



La movilidad empresarial está evolucionando rápidamente en un área de trabajo digital que brinda a los empleados las herramientas adecuadas para hacer un buen trabajo: los dispositivos que les resultan más cómodos, procesos de trabajo transformadores y acceso a los recursos y los datos. Al cambiar de un SO heredado que estaba centrado en las PC a un sistema moderno que no discrimina entre dispositivos, Windows 10 presenta oportunidades para que las organizaciones incorporen escenarios de movilidad que apoyen a los administradores de TI, desarrolladores y usuarios finales:

• Gracias a la incorporación de la administración de movilidad empresarial (EMM) como la herramienta principal de administración, Windows 10 permite que los administradores de TI den soporte a múltiples escenarios de tipos de dispositivos y propiedad eficientemente.

• La plataforma de aplicaciones universales permite que los desarrolladores creen o reestructuren los procesos empresariales principales de la organización con una sola base de código y que realicen la implementación a los usuarios finales a través de una interfaz unificada.

• El SO está diseñado para funcionar uniformemente en las plataformas unificadas de escritorio y dispositivos móviles y así ofrecer una experiencia de producción coherente a los usuarios finales sin importar dónde se encuentren ni la hora del día.

A medida que las empresas ven los nuevos horizontes de la movilidad empresarial, sus líderes deben adoptar una solución cohesiva y especializada que ofrezca “facilidad de uso para el consumidor, seguridad para la empresa” para todas las partes interesadas. Las soluciones de computación del usuario final de VMware se especializan en resolver los desafíos de adopción de las iniciativas de movilidad empresarial. Con VMware AirWatch® Enterprise Mobility Management™ y VMware Identity Manager, la solución unificada de administración de extremos reduce los costes y la complejidad de administrar los dispositivos de Windows 10 de la organización, propociona control detallado para garantizar el control y la seguridad de los extremos y activa las funciones avanzadas de prevención de pérdida de datos.

Resumen



Para obtener más información, visite: www.airwatch.com/es/soluciones/plataformas

Para comenzar una prueba gratuita de AirWatch, visite: www.air-watch.com/lp/free-trial

Para obtener más información, visite www.dell.com/datasecurity o envíe un correo a [email protected]

Recursos adicionales

VMware, Inc. 3401 Hillview Avenue Palo Alto CA 94304 USA Tel 877-486-9273 Fax 650-427-5001 www.vmware.comCopyright © 2017 VMware, Inc. All rights reserved. This product is protected by U.S. and international copyright and intellectual property laws. VMware products are covered by one or more patents listed at http://www.vmware.com/go/patents. VMware is a registered trademark or trademark of VMware, Inc. in the United States and/or other jurisdictions. All other marks and names mentioned herein may be trademarks of their respective companies. Item No: 8219_AW_Redefine_Windows_10_Mgmnt_WPP_ES MONTH 1/17

redefinición de la administración de windows 10€¦ · windows 10 permite que los...

Documents