Modulo 01. Windows empresarial: ediciones, identidades y casos de uso

Objetivo del modulo

Comprender como las ediciones de Windows, los modelos de identidad y los escenarios de uso condicionan cada decision de gestion, seguridad y soporte en el endpoint corporativo.

Resultados esperados

• Diferenciar las capacidades reales de Windows Pro, Enterprise y Education y su impacto en licenciamiento, gestion y seguridad.
• Explicar los modelos de identidad (Entra joined, hybrid joined, on-premises) y como determinan la experiencia del usuario y las opciones de administracion.
• Seleccionar el escenario de dispositivo adecuado (knowledge worker, kiosk, frontline, shared device) y justificar la configuracion asociada.

Desarrollo teorico

Ediciones de Windows y licenciamiento corporativo

Windows se distribuye en varias ediciones, pero en entorno corporativo las relevantes son Windows Pro, Windows Enterprise y Windows Education. La diferencia no es solo de precio: cada edicion habilita o restringe capacidades concretas de gestion, seguridad y virtualizacion que afectan directamente a la operacion diaria.

Windows Pro es la edicion que viene preinstalada en la mayoria de hardware corporativo. Permite unir el equipo a un dominio Active Directory o a Entra ID, soporta Group Policy, BitLocker, Remote Desktop y Hyper-V. Para muchas organizaciones medianas es suficiente. Sin embargo, Windows Pro no incluye capacidades avanzadas que Enterprise si ofrece.

Windows Enterprise se licencia a traves de acuerdos de volumen (EA, CSP, Microsoft 365 E3/E5) y anade funcionalidades criticas. WDAC (Windows Defender Application Control) en su modo mas granular, con politicas gestionadas por Intune o MEMCM, solo esta completamente soportado en Enterprise. Credential Guard, que protege credenciales NTLM y Kerberos aislando el proceso LSASS en un contenedor virtualizado (VBS), requiere Enterprise. DirectAccess y Always On VPN con perfiles avanzados de device tunnel tambien necesitan Enterprise. Windows Update for Business con anillos de despliegue granulares, aplazamiento de feature updates hasta 365 dias y aplazamiento de quality updates hasta 30 dias esta disponible en Pro, pero las politicas de compliance avanzadas en Intune (como Autopatch) funcionan mejor con Enterprise. App-V para virtualizacion de aplicaciones es exclusivo de Enterprise.

Windows Education comparte la base de Enterprise pero esta orientada a centros educativos. En la practica, la mayoria de entornos corporativos no la utilizan, pero conviene conocerla porque los dispositivos educativos a veces aparecen en inventarios tras adquisiciones o donaciones.

El licenciamiento tiene implicaciones operativas directas. Un equipo con licencia Pro al que se intenta aplicar una politica WDAC completa o Credential Guard no la aceptara. Antes de desplegar cualquier linea base de seguridad o gestion, el administrador debe verificar la edicion real del parque ejecutando Get-ComputerInfo | Select-Object WindowsProductName o consultando el inventario de Intune. Una discrepancia entre la edicion esperada y la real es una de las causas mas frecuentes de fallos en despliegues de seguridad que parecen inexplicables.

Modelos de identidad en el endpoint corporativo

La identidad del dispositivo determina como se autentica el usuario, que politicas recibe, que servicios puede consumir y como se gestiona el ciclo de vida del equipo. En el ecosistema Microsoft actual existen tres modelos principales.

Entra ID joined (anteriormente Azure AD joined) es el modelo cloud-native. El dispositivo se registra directamente en Entra ID durante el OOBE (Out-of-Box Experience) o mediante la configuracion de Windows. No necesita conectividad a un controlador de dominio on-premises. La gestion se realiza integramente desde Intune. Las politicas se entregan como perfiles de configuracion MDM, no como Group Policy Objects (GPO). Este modelo es ideal para organizaciones cloud-first, dispositivos nuevos y escenarios donde no hay dependencia de recursos on-premises (file servers, impresoras legacy, aplicaciones Kerberos).

Hybrid Entra ID joined combina el dominio Active Directory clasico con un registro en Entra ID. El equipo se une al dominio on-premises con la herencia de GPOs tradicional, pero tambien se sincroniza con Entra ID a traves de Entra Connect. Esto permite aplicar acceso condicional, Intune co-management y SSO a recursos cloud sin renunciar a la infraestructura existente. Es el modelo mas comun en migraciones graduales. La complejidad radica en la coexistencia de dos fuentes de configuracion: GPO y MDM. Cuando ambas intentan configurar la misma politica (por ejemplo, configuracion de Windows Update o de firewall), el resultado depende de la prioridad definida en el CSP MDMWinsOverGP. Si no se gestiona esta coexistencia, se producen conflictos silenciosos donde el equipo ignora una de las dos fuentes.

On-premises domain joined es el modelo tradicional puro. El equipo se une a Active Directory, recibe GPO, se gestiona con SCCM (ahora MEMCM) y no tiene presencia en Entra ID. Este modelo sigue existiendo en organizaciones con requisitos de aislamiento, entornos clasificados o infraestructura legacy sin plan de migracion. La limitacion es que no permite acceso condicional, Autopilot, ni gestion moderna sin pasos adicionales.

El cuarto estado, Entra ID registered (workplace join), se usa para dispositivos personales BYOD donde el usuario registra su cuenta corporativa sin ceder el control del dispositivo a la organizacion. Las politicas aplicables son limitadas y se gestionan via MAM (Mobile Application Management) en lugar de MDM completo.

OOBE y Autopilot como punto de partida

La experiencia Out-of-Box Experience (OOBE) es el primer contacto del usuario con el dispositivo corporativo. En un despliegue tradicional, OOBE se personaliza mediante answer files (unattend.xml) o imagenes de referencia con MDT o SCCM. En un despliegue moderno, Windows Autopilot sustituye la imagen custom: el equipo arranca con la imagen OEM de fabrica, se conecta a internet, el hash de hardware preregistrado en Intune identifica el tenant, y el OOBE se personaliza automaticamente con branding corporativo, join a Entra ID, enrollment en Intune y despliegue de aplicaciones y politicas.

Autopilot tiene varios modos. User-driven permite al usuario iniciar sesion con sus credenciales corporativas y el dispositivo se configura automaticamente. Self-deploying mode configura el equipo sin interaccion de usuario, ideal para kiosks o dispositivos compartidos. Pre-provisioning (white glove) permite que el equipo de IT o el proveedor complete parte de la configuracion antes de que el usuario reciba el dispositivo, reduciendo el tiempo de primer inicio a minutos.

Escenarios de dispositivo

No todos los endpoints corporativos tienen el mismo perfil de uso. Identificar el escenario correcto condiciona las politicas de seguridad, la experiencia de usuario y el modelo de soporte.

El knowledge worker utiliza un portatil personal con sesion propia, aplicaciones de productividad, acceso a datos corporativos y VPN. Es el caso mas comun. Recibe el perfil completo de politicas, BitLocker, Defender, Windows Hello for Business y actualizaciones gestionadas.

El kiosk es un dispositivo dedicado a una sola aplicacion o a un conjunto reducido. Se configura con assigned access (kiosk mode) en Windows, que bloquea el shell y muestra unicamente la aplicacion asignada. En Intune se despliega como un perfil de kiosk con multi-app o single-app mode. Group Policy tambien permite configurar Shell Launcher para reemplazar explorer.exe por una aplicacion personalizada.

El frontline worker opera en turno, con dispositivo compartido, y necesita login rapido y experiencia limpia en cada sesion. Shared PC mode en Windows limpia el perfil al cerrar sesion, gestiona el almacenamiento local y permite la rotacion rapida de usuarios. Se configura via Intune (SharedPC CSP) o GPO.

Compatibilidad y aplicaciones heredadas

Toda migracion de version o edicion de Windows choca con la compatibilidad de aplicaciones. Intune Endpoint Analytics puede reportar aplicaciones que generan errores o cuelgues frecuentes. WDAC y AppLocker pueden bloquear aplicaciones no aprobadas, pero tambien pueden romper flujos legacy si no se validan previamente. El patron operativo correcto es: inventariar aplicaciones, clasificarlas por criticidad, probar compatibilidad en un anillo piloto, resolver incompatibilidades (shims, virtualizacion con App-V, o remediacion) y desplegar progresivamente.

|Modelo de identidad|Union del dispositivo|Fuente de politicas|Gestion moderna|Acceso condicional| |

Modulo 02. Configuracion del dispositivo y experiencia corporativa

Objetivo del modulo

Comprender como se configura un dispositivo Windows corporativo desde el primer encendido hasta la operacion diaria, utilizando Group Policy, Intune y provisioning packages para entregar una experiencia estandarizada, segura y productiva.

Resultados esperados

• Disenar un perfil de configuracion corporativa completo que cubra OOBE, branding, aplicaciones, red y experiencia de usuario.
• Distinguir cuando usar Group Policy, cuando Intune y cuando provisioning packages segun el modelo de identidad y el escenario.
• Configurar politicas de energia, navegador Edge, impresoras, VPN y restricciones de usuario sin degradar la productividad.

Desarrollo teorico

El primer encendido: OOBE y provisioning

La configuracion del dispositivo corporativo comienza en el primer encendido. En un despliegue tradicional con imagenes, el equipo arranca con una imagen master preparada con MDT (Microsoft Deployment Toolkit) o SCCM Task Sequences. La imagen incluye el sistema operativo, drivers, aplicaciones base y un unattend.xml que automatiza el OOBE: nombre del equipo, union al dominio, creacion de usuario local, configuracion regional y activacion de licencia. Este metodo sigue siendo valido en entornos on-premises puros, pero requiere mantener y actualizar imagenes periodicamente, lo que genera deuda tecnica.

En el modelo moderno, Windows Autopilot elimina la imagen custom. El dispositivo arranca con la imagen OEM de fabrica. Durante el OOBE, se conecta a internet, el servicio Autopilot identifica el equipo por su hash de hardware, aplica un perfil de despliegue que personaliza la experiencia (ocultar pantallas de EULA, privacidad, Cortana), une el equipo a Entra ID, lo enrolla en Intune y comienza la entrega de politicas y aplicaciones. El Enrollment Status Page (ESP) muestra al usuario el progreso de la configuracion y evita que acceda al escritorio antes de que el equipo este listo. El ESP se configura en Intune y permite definir que aplicaciones y politicas deben completarse antes de permitir el uso, que timeout aplicar y si bloquear el dispositivo si la instalacion falla.

Los provisioning packages (PPKG) son un tercer metodo, util para escenarios sin conectividad a internet durante el despliegue o para configuraciones puntuales. Se crean con Windows Configuration Designer y se aplican via USB durante el OOBE o despues. Un PPKG puede unir el equipo a Entra ID, instalar certificados, configurar WiFi, aplicar restricciones y desplegar aplicaciones. Es especialmente util para kiosks o dispositivos en localizaciones remotas.

Group Policy: configuracion on-premises

Group Policy sigue siendo la herramienta principal de configuracion en entornos con Active Directory. Las GPO se organizan en OUs (Organizational Units) y se aplican jerarquicamente: sitio, dominio, OU. Cada GPO contiene configuraciones de equipo (Computer Configuration) y de usuario (User Configuration) que modifican el registro, el comportamiento del sistema y la experiencia del usuario.

Las configuraciones mas relevantes para el puesto de trabajo corporativo incluyen la politica de energia (esquemas de energia forzados para equilibrar rendimiento y duracion de bateria en portatiles), la configuracion de Windows Update (aplazamiento de actualizaciones, horas activas, reinicio automatico), la restriccion de dispositivos USB (permitir solo dispositivos especificos mediante DeviceID), la configuracion del navegador Edge (pagina de inicio corporativa, extensiones permitidas y bloqueadas, modo IE para aplicaciones legacy), la configuracion de impresoras (despliegue automatico via GPO Preferences basado en ubicacion o grupo de seguridad), y las restricciones de escritorio (ocultar elementos del panel de control, bloquear acceso a CMD o PowerShell para usuarios estandar, forzar fondo de escritorio corporativo).

Las Administrative Templates (ADMX) se actualizan con cada version de Windows y de Office. Mantener las ADMX actualizadas en el Central Store del dominio es critico para poder configurar funcionalidades nuevas. Si el Central Store contiene ADMX obsoletas, las configuraciones nuevas simplemente no aparecen en la consola GPMC.

El filtrado de GPO permite aplicar configuraciones solo a los equipos o usuarios que las necesitan. Esto se hace con Security Filtering (aplicar la GPO solo a un grupo de seguridad), WMI Filtering (aplicar solo si el equipo cumple una condicion WMI, como version de Windows o modelo de hardware) o Item-Level Targeting en GPO Preferences (aplicar un elemento solo si se cumple una combinacion de condiciones).

Intune: configuracion moderna via MDM

En entornos Entra ID joined o hybrid con co-management, Intune entrega la configuracion mediante perfiles de configuracion que se aplican via CSP (Configuration Service Provider). Los CSP son la interfaz MDM que Windows expone para recibir configuraciones sin necesidad de GPO.

Intune organiza los perfiles en varias categorias. Los Device Configuration Profiles cubren restricciones de dispositivo (camara, Bluetooth, USB, capturas de pantalla), configuracion de WiFi y VPN (perfiles Always On VPN con certificado o EAP-TLS), configuracion de email (perfil de Outlook automatico), configuracion de Edge (mismas capacidades que GPO ADMX pero via CSP), y templates personalizados con OMA-URI para configuraciones que no tienen interfaz grafica en Intune.

Los Settings Catalog es la interfaz moderna que expone todas las configuraciones disponibles en formato plano y buscable, sustituyendo progresivamente a los templates. Permite buscar cualquier configuracion por nombre, combinar configuraciones de distintas areas en un solo perfil y aplicar filtros por edicion de Windows o version.

Los Endpoint Security Profiles agrupan configuraciones de seguridad: antivirus (Defender), firewall, cifrado (BitLocker), ASR (Attack Surface Reduction) y deteccion de amenazas. Estos perfiles se separan de los de configuracion general para permitir ownership diferente (el equipo de seguridad gestiona estos perfiles, el equipo de workplace gestiona los de experiencia).

Las Compliance Policies definen el estado minimo aceptable de un dispositivo: version minima de Windows, BitLocker activo, Defender activo, sin jailbreak, contrasena que cumpla requisitos. Un dispositivo non-compliant puede ser marcado, notificado al usuario, bloqueado via acceso condicional o wiped remotamente.

Coexistencia GPO y MDM en entornos hybrid

Cuando un dispositivo es hybrid Entra ID joined y tiene co-management activo, puede recibir configuraciones de dos fuentes: GPO y MDM. Si ambas fuentes intentan configurar la misma politica, se produce un conflicto. Windows resuelve esto con el CSP MDMWinsOverGP: cuando esta habilitado para una categoria (Windows Update, firewall, etc.), la configuracion MDM prevalece sobre la GPO.

La practica recomendada es migrar la configuracion por cargas de trabajo (workloads) en co-management de Configuration Manager: primero se migra compliance, luego Windows Update, luego endpoint protection, despues device configuration. En cada paso se valida que las politicas MDM entregan el mismo resultado que las GPO antes de desactivar la fuente legacy.

Experiencia del usuario estandar

El usuario corporativo estandar no debe tener privilegios de administrador local. Esto es una decision de seguridad fundamental que tiene implicaciones directas en la experiencia. Sin admin local, el usuario no puede instalar software, modificar configuraciones de red avanzadas ni desactivar controles de seguridad. Pero tambien no puede instalar una impresora, actualizar un driver o resolver problemas simples por si mismo.

La solucion es combinar la retirada de admin con herramientas de autoservicio. Intune Company Portal permite al usuario instalar aplicaciones aprobadas desde un catalogo corporativo sin necesitar privilegios elevados. Endpoint Privilege Management (parte de Intune Suite) permite elevar permisos para acciones especificas (ejecutar un instalador aprobado) sin dar admin local permanente. Para impresoras, Universal Print elimina la necesidad de drivers locales y permite que el usuario anade impresoras desde Settings sin admin.

La configuracion del escritorio corporativo debe equilibrar branding (fondo de pantalla, logotipo en pantalla de bloqueo, tema de colores), productividad (Start menu con aplicaciones corporativas pinneadas, taskbar limpia, apps preinstaladas utiles) y limpieza (deshabilitar tips de Windows, desactivar sugerencias del menu inicio, eliminar apps preinstaladas no necesarias como juegos o redes sociales). Todo esto se configura con perfiles de Intune (Start layout XML, CSP de personalizacion) o GPO (User Configuration > Administrative Templates > Start Menu and Taskbar).

Configuracion de red: WiFi, VPN y certificados

La conectividad es la base de todo lo demas. Los perfiles de WiFi corporativo se despliegan via Intune o GPO con la configuracion 802.1X (EAP-TLS con certificado de equipo o de usuario). El certificado se entrega automaticamente mediante un perfil SCEP o PKCS vinculado a la CA corporativa configurada en Intune con el conector NDES.

Always On VPN sustituye a DirectAccess como solucion de conectividad remota corporativa. Se configura como un perfil VPN en Intune con device tunnel (conectividad de equipo antes del login, para recibir GPO y renovar certificados) y user tunnel (conectividad de usuario, con split tunneling para enviar solo trafico corporativo por la VPN). La configuracion de Always On VPN requiere certificados, NPS (Network Policy Server), perfil ProfileXML y, en Enterprise, device tunnel.

|Metodo de configuracion|Modelo de identidad|Ventaja principal|Limitacion| |