Windows - TechNet Gallery

Comentarios

Transcripción

Windows - TechNet Gallery
Windows 10 IT Pro
Readiness
Presentación del
“VIP SUMMIT Windows 10”
Septiembre de 2015
las personas que utilizan una Tablet
para el trabajo, por lo menos han
comprado
una
aplicación
de negocio efectiva que utilizan con fr
ecuencia
las personas que utilizan un smartp
hone por trabajo, por lo menos
han
comprado
una
aplicación de negocio efectiva que
utilizan con frecuencia
los empleados tienen acceso a
datos confidenciales, como
información de clientes, datos
financieros no públicos, propiedad
intelectual, etc., de los dispositivos
personales
Lo que clientes nos están diciendo
Las
contraseñas
ya no son
suficientes
La seguridad
de nuestros
dispositivos
móviles es una
de las
principales
preocupacione
s
Como puedo
proteger mis
datos
coporativos
Tenemos que
estar
adoptando
nuevas
tecnologías
rapidas como
nuestros
clientes
Mis usuarios
necesitan
acceso a sus
aplicaciones y
datos en
cualquier
lugar, en
cualquier
momento
No mas
implementaci
ones grandes
Demasiadas
herramientas
Queremos más
transparencia y
un diálogo
abierto con
Microsoft
Presupuestos
de TI están
bajo presión.
Muéstranos
cómo
podemos
reducir los
costos de TI
Crear más computación
personal
Habilitar la movilidad de la experiencia
Interacciones naturales
Mayor plataforma de confianza
Nuevo hardware innovador
Windows como servicio
Una plataforma de Windows convergente
Protección contra
amenazas de seguridad
modernas
Gestionado por la
innovación continua
Sea mas productivo
Dispositivos innovadores
para su negocio
Ser más productivo
Una experiencia de usuario que amaran
Fácil para los usuarios Windows 7
Experiencia de usuario similar
a través de dispositivos
Incrementando la
productividad del usuario
Continuum
Continuum para teléfonos
Experiencia Office familiar en Windows
para Teléfonos, Tabletas, y Escritorios
Construido para experiencia táctil y móvil
Aplicaciones universales Office
incrementa la productividad del teléfono
Aplicaciones de correo y calendario
Presentar desde PowerPoint
Editar documentos de Word
Internet Explorer 11
Una experiencia familiar de usuario que se adapta a su
dispositivo
Menú Inicio
Continuum
Continuum para teléfonos
Aplicaciones que puede ejecutar sobre cualquier
dispositivo Windows
Aplicaciones Universales Windows
La mejor experiencia de productividad a través de todos
los dispositivos Windows.
Office para Windows
Modernice su experiencia web, permaneciendo
compatible
Microsoft Edge
Internet Explorer 11
Dispositivos
innovadores
para sus negocios
Portátiles
táctiles
Lápiz
2-en-1
Dispositivos
comerciales
Industria especifica &
dispostivos reforzados
Soluciones
especificamente
diseñadas
Camino excepcional para la
creación y lluvia de ideas
con otros
Reuniones
productivas y atractivas
Plataforma para aplicaciones
increíbles de gran pantalla
Tecnología avanzada para
el lugar de trabajo moderno
Ultimas innovaciones de Windows sobre su flota
existente de PCs.
Gran soporte para teclado y ratón
Compatibilidad de hardware
Control granular de experiencia de usuario
Escoja desde el rango de dispositivos innovadores
Windows.
Amplia innovación de la industria
Dispositivos 2-en-1
Surface
Lumia
Productividad redefinida con revolucionarios
dispositivos Windows.
Surface Hub
HoloLens
Protección contra
amenazas de seguridad
modernas
Sofisticación
2003–2004
2005–present
Targeting
2012–beyond
Estas amenazas requieren un Nuevo Enfoque
Arruinar el modelo
económico del
atacante
Romper el libro de
estrategias de ataque
ELIMINAR LOS
VECTORES DE ATAQUE
Seguridad de adentro hacia afuera
Nuevos desafíos requieren una nueva plataforma
Identity protection
Data protection
Threat resistance
Device security
Defensa contra
Amenazas de
Seguridad Modernas
DISPOSITIVOS
SEGUROS
IDENTIDADES
SEGURAS
RESISTENCIA
PROTECCION DE
ANTE AMENAZAS LA INFORMACIÓN
Hardware
Rooted Trust
DISPOSITIVOS
SEGUROS
IDENTIDADES
SEGURAS
RESISTENCIA
PROTECCION DE
ANTE AMENAZAS LA INFORMACIÓN
Device integrity
Secured Hardware
Cryptographic processor
Virtualization
Secure Roots of Trust
Biometric sensors
Device integrity
El Malware interfiere entre
el hardware y el Sistema
operativo inyectandose
antes que éste comience.
UEFI Secure Boot previene
que el dispositivo sea
manipulado y asegura que
el Sistema operativo
comience con integridad
Cryptographic
processor
Virtualization
Biometric sensors
El Malware
compromete la
integridad y obtiene
acceso no autorizado a
información sensible
(por ejemplo claves)
El Malware gana
privilegios administrativos,
y por ende gana acceso
completo al sistema
desactivando las defensas
para evadir su detección
El atacante obtiene acceso
a los usuarios, contraseñas
/ PIN y dispositivos 2FA.
El procesador TPM
proporciona validación
evitando rupturas de
integridad e impide
acceso no autorizado a
información sensible
La virtualización de los
procesos críticos del
sistema permite aislar los
componentes más
importantes del sistema
operativo y sus datos,
incluso en caso que
comprometa el sistema.
El uso de un Sistema
biométrico para la
autenticación aumenta el
nivel de dificultad para un
atacante a su máximo
nivel
El fin de las
Hardware
Contraseñas. Doble
Rooted
TrustTodos
Factor para
DISPOSITIVOS
SEGUROS
IDENTIDADES
SEGURAS
RESISTENCIA
PROTECCION DE
ANTE AMENAZAS LA INFORMACIÓN
Windows 10
Objetivos de
Identidad
Doble-Factor de Autenticación
Control de incumplimiento de credenciales,
Robos y Pishing.
Para Consumidores Finales y Empresas
Uso de credenciales conocidas en familias
de dispositivos móviles para inicio de sesión,
pero en el Desktop
Identidad de
Usuario y
Autenticación
Secretos
Compartidos…
Mal manejado, se pierden…
(Sugerencia: el usuario es el problema)
shhh!
Los Sitios que
utilizamos son
un punto débil
1
Bank
.com
Social
.com
Usuario
Network
.com
LOL
.com
2
1
Atacante
Obscure
.com
El Usuario y el
Dispositivo
son eslabones
débiles
1
IDP
2
3
Usuario
IDP
Dispositivo
4
IDP
5
Atacante
Recurso
de Red
Soluciones PKI
Complejas, costosas y atacadas
La CA está
bajo ataque
1
3
IDP
Active Directory
2
User
4
Atacante
Recurso
de Red
5
6
Windows 8.1
Activos de Alto Valor
Uso limitado de
MFA crea
vínculos débiles
Otros Recursos de Red
UN/Password
Usuario
Demandas de la
Empresa
Implementación Simple
Costos Reducidos
Multifactor con los
dispositivos existentes
Implementación simplificada
Multi-Factor basado en Dispositivos
CREDENCIAL DE USUARIO
Utiliza Dispositivos
Familiares
Par de claves asimétricas
Aprovisionada via PKI o creada
localmente por Windows 10
Segurizado por
Hardware
Un nuevo
enfoque
1
2
User
Intranet
Resource
4
Intranet
Resource
4
3
Windows10
IDP
Active Directory
Azure AD
Google
Facebook
Microsoft Account
PIN
Opción de implementación mas
sencilla.
No hay dependencias de
Hardware.
Mas familiar para el usuario.
Biométrico
Mayor Seguridad.
Fácil de usar.
Imposible de olvidar.
Derivados de
Credenciales y tokens
de acceso.
“Pass the Hash”
Ataques
Desafío a la Seguridad de hoy.
Desafíos a la
Seguridad de hoy.
Ataques Pass the
Hash
Los ataques Pass the hash han
pasado de ser amenazas hipotéticas
a amenazas muy reales.
Desafío a la
Seguridad de hoy.
Ataques Pass the Hash
Permite a un atacante obtener el
token de acceso de un usuario
utilizando herramientas comunes
como “MimiKatz”.
Una vez obtenido, un atacante suele
ser capaz de robar tokens de acceso
adicionales.
Permite a un atacante frecuente
persistir incluso una vez detectado.
Solución.
Ataques Pass the Hash
VSM utiliza Hyper-V como entorno
de ejecución para proteger el token
NTLM – Usted puede conseguir
cosas dentro pero no puede
conseguir cosas fuera.
Desacopla el hash NTLM para un
logueo (inicio de sesión) secreto.
Totalmente aleatorio y gestiona la
larga duración del hash NTLM para
prevenir ataques de fuerza bruta.
Requiere un cliente Windows 10 y
un controlador de dominio.
Finalización del
El
fin de las
Stack
contraseñas, doble
factor
para todo el
La democratización
mundo.
de Prevención de
Pérdida de Datos
DISPOSITIVOS
SEGUROS
IDENTIDADES
SEGURAS
RESISTENCIA
PROTECCION DE
ANTE AMENAZAS LA INFORMACIÓN
87%
58%
…un administrador senior admite
regularmente cargar archivos del
trabajo en un mail personal o una
cuneta de nube
Han enviado accidentalmente
información sensible a las Personas
equivocadas.
U$S240
Por Registro
Promedio de Costo por una
violación de datos en todas las
industrias.
Protección del
dispositivo
Proteger el sistema y
los datos por robo o
hurto del dispositivo.
Separación de la
información
Contención
Separación BYOD
Protección de
fuga de datos
Prevenir acceso de
aplicaciones no
autorizadas de los
datos de acceso.
Protección de
compartidos.
Proteger la
información cuando
esta es compartida
con otros, o cuando se
utilizan dispositivos
que no son de la
organización.
Data-at-rest
Protección
La amenaza de dispositivos
perdidos o robados.
Data-at-rest
Proteccion
Riesgos de dispositivos no cifrados.
Credenciales de administrador local
pueden ser restablecidas con
herramientas offline.
Equipos y servidores decomisados
son un riesgo.
Inscripción de
dispositivos.
BitLocker
Los dispositivos pueden ser
encriptados out-of-box con
BitLocker
Mayor aceptación global de TPM
Generalizado en todos los
dispositivos Windows para el
2015
Fácil de implementar, líder en
seguridad, fiabilidad y rendimiento.
Single sign-on para dispositivos
modernos y compatible con hardware
soportado en Windows 7.
Gestión de calidad empresarial
(MBAM) y el cumplimiento (FIPS)
Protección del
dispositivo
Proteger el sistema y
los datos por robo o
hurto del dispositivo.
Separación de la
información
Contención
Separación BYOD
Protección de
fuga de datos
Prevenir acceso de
aplicaciones no
autorizadas de los
datos de acceso.
Protección de
compartidos.
Proteger la
información cuando
esta es compartida
con otros, o cuando se
utilizan dispositivos
que no son de la
organización.
O
Proteja los datos en reposo
Perfecta integración en la plataforma
Introducción
Enterprise Data Protection
Datos Empresariales vs personales
identificable donde quiera que este el
dispositivo.
Evita que las aplicaciones no
autorizadas accedan a los datos de la
compañía.
Un enfoque diferente
El departamento IT tiene plenamente el
control de claves, datos y además
puede ser borrado remotamente a
demanda.
La experiencia común en todos los
dispositivos de Windows con soporte
multiplataforma
Protección del
dispositivo
Proteger el sistema y
los datos por robo o
hurto del dispositivo.
Separación de la
información
Contención
Separación BYOD
Protección de
fuga de datos
Prevenir acceso de
aplicaciones no
autorizadas de los
datos de acceso.
Protección de
compartidos.
Proteger la
información cuando
esta es compartida
con otros, o cuando se
utilizan dispositivos
que no son de la
organización.
Protección del
dispositivo
Proteger el sistema y
los datos por robo o
hurto del dispositivo.
Separación de la
información
Contención
Separación BYOD
Protección de
fuga de datos
Prevenir acceso de
aplicaciones no
autorizadas de los
datos de acceso.
Protección de
compartidos.
Proteger la
información cuando
esta es compartida
con otros, o cuando se
utilizan dispositivos
que no son de la
organización.
Protección de Datos
Compartidos.
Rights Management Services
Proteger todos los tipos de archivos,
donde quiera que vayan, nube, correo
electrónico, BYOD.
Soporte para todos los dispositivos y
sistemas comúnmente utilizados –
Windows, OSX, iOS, Android
Se puede aplicar automáticamente al
correo, OneDrive Pro, etc.
Agregado de protección persistente y
no extraíble de datos.
Importantes mejoras en
Windows 7
Soporte para B2B via Azure AD
Soporte para escenarios on premise y
cloud (e.g.: Office 365)
Fácil de aprovisionar y soporte para FIPS
140-2 (regulación y cumplimiento).
Finalización del
stack
Protección activa
La democratización
de la prevención de
pérdida de datos
DISPOSITIVOS
SEGUROS
IDENTIDADES
SEGURAS
RESISTENCIA
PROTECCION DE
ANTE AMENAZAS LA INFORMACIÓN
HOY
APPS
Su futuro debe depender de:
LA CONFIANZA EN APP SE DEBE
GANAR
Dos caminos para elegir
Device Guard
Traditional Approach
Un nuevo enfoque para Windows
Desktop.
La forma en que las cosas siempre han
sido.
Ofrece protección increíble.
Lleva a un mayor riesgo.
Requiere Cambios en proceso para
aplicaciones.
Requiere software adicional para
gestionar.
El escritorio de Windows se puede
bloquear para que ejecute solamente
Apps de confianza (como en Windows
Phone)
Device Guard
Hardware Rooted
App Control
Las aplicaciones no confiables y
ejecutables, como Malware, no se
podrán ejecutar
Resistente a la manipulación por parte
de un administrador o Malware
Requiere dispositivos especialmente
configurados por el OEM o IT
Requiere Windows Enterprise edition
Soporta todas las aplicaciones,
incluyendo Universales y Escritorio
(Win32)
Device Guard
Getting Apps into
the Circle of Trust
Las aplicaciones de confianza pueden
ser creadas por IHV, ISV y
organizaciones utilizando un servicio
de firma de Microsoft
Las aplicaciones deben ser
especialmente firmadas. No se require
modificación adicional
El Servicio de Firmas será puesto a
disposición de OEMs, IHV, ISVs y
Organizaciones
Dos caminos para elegir
Device Guard
Traditional Approach
Un nuevo enfoque para Windows
Desktop.
La forma en que las cosas siempre han
sido.
Ofrece protección increíble.
Lleva a un mayor riesgo.
Requiere Cambios en proceso para
aplicaciones.
Requiere software adicional para
gestionar.
Traditional
Approach
Type of threats to
consider and mitigate
Device Tampering
Vulnerabilities
Malware
Phishing
Device and
Platform Integrity
Ensuring Windows starts
on a trustworthy device
UEFI prevents firmware attacks
and ensures Windows starts
before any malware
TPM enables local and remote verification
of system integrity before system start
Windows Trusted Boot prevents malware
from starting during boot process and
can protect anti-virus solutions
Windows isolates system core and puts
sensitive processes into containers – offering
protection even with kernel level breach
Windows vulnerability mitigations reduce
or eliminate impact of exploits
App Security &
Online Safety
Protects system and apps
from the most common
forms of malware
Windows sandboxes Universal Apps, validates
app integrity, and offers app control
Windows includes Windows Defender, an
advanced antivirus and malware solution
Windows and IE SmartScreen blocks
malicious websites and apps before they
get a chance to impact the device
WinRE integration helps remediate when the
OS or other defenses are inoperable
Conditional
Access
Blocking unhealthy devices
to protect resources and
prevent proliferation
Windows Provable PC Health (PPCH)
provides remote attestation services, and
can initiate remediation when necessary
Denying access to end points that are unable
to “prove” that they’re healthy
Intune will provide conditional access
based on PPCH health state “claims”
PPCH cloud service and health claims are
available for use by 3rd party network access,
security, and management solutions.
Health is
assumed
Important resources
1
2
PPCH provides
health intel to
MDMS
3
Important resources
4
5
2
1
Active threat
protection
SECURE
DEVICES
SECURED
IDENTITIES
THREAT
RESISTANCE
INFORMATION
PROTECTION
Hardware rooted
trust
Active threat
protection
Two-factor for
everyone
Data loss prevention
SECURE
DEVICES
SECURED
IDENTITIES
THREAT
RESISTANCE
INFORMATION
PROTECTION
Hardware based security for better malware protection.
Secure Boot
Enterprise credential protection via hardware-based isolation
Secure corporate identity to protect against
modern threats.
Microsoft Passport
Windows Hello
Protect your corporate data, wherever the data is.
Enterprise data protection
Eliminate malware on your devices.
Device Guard
More secure per-app connection for mobile workers.
Secure Remote Connection
Gestionado para la
innovación continua
Trabaja con su infraestructura existente
Soporte continuado para directiva de grupo y WMI
Soporte MDM avanzado
Consistente a través de PC/Móvil
Soluciones primarias y de terceros
Opciones disponibles
Identidad
Active Directory; Azure Active Directory
Administración
Directivas de grupo, System Center Configuration Manager,
Administración para PCs de terceros; Intune, MDM de terceros
Actualizaciones
Windows Update; Windows Server Update Services (WSUS);
Intune, MDM de terceros
Infraestructura
En premisa o en la nube
Propiedad
Propiedad corporativa, CYOD; BYOD
Organizaciones pueden combinar y coincidir, dependiendo en su escenario especifico
Básica
Ligera
Control Total
Exchange ActiveSync
Active Directory y/o
Azure Active Directory
Active Directory
Mobile Device Management
Directivas de Grupo
System Center
Windows Update
Windows Update/MDM
WSUS
BYOD dispositivos
(personales)
Propiedad corporativa
y dispositivos BYOD
Dispositivos de
propiedad corporativa
Acceso solo a E-mail
Publicado hacia Internet
o red corporativa.
Red corporativa
Productos
System Center Configuration Manager
Microsoft Desktop Optimization Pack (MDOP)
Servicios en la nube
Windows Server
Azure Active Directory
Azure RMS
Microsoft Intune
Windows Store
Windows Update
Active Directory
Directivas de grupo
Windows Server Update Services (WSUS)
Windows Cliente
Windows Management Instrumentation (WMI)
Windows Remote Management (WinRM)
Windows Update
Cliente de directivas de grupo
Mobile Device Management (MDM)
PowerShell
AppLocker
Producto
System Center 2012 R2
Configuration Manager
System Center 2012
Configuration Manager
System Center
Configuration Manager 2007
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008
Microsoft Deployment Toolkit 2013
Soporta administración
para Windows 10
Soporta implementación
para Windows 10
Inversiones significativas en funcionalidad anidada
para ambos dispositivos móviles y escritorio.
Dispositivos
corporativos
completamente
administrados
Device Lockdown
BYOD:
Configuraciones
de seguridad
simples
Teléfono
Escritorio
Windows 8.1
Telefono
Escritorio
Windows 10
• Unenrollment with alerts
• Removal of Enterprise
configuration (apps, certs, profiles,
policies) and Enterprise encrypted
data (with EDP)
• Full device wipe
• Remote Lock, PIN reset, Ring,
& Find
• Enhanced inventory for compliance
decisions
• Curated Windows Store
• Business Store Portal (BSP) app
deployment; license reclaim
• Enterprise App management
• Simplified LOB app management
• Win32 (MSI) app management
• App inventory (LOB/store apps)
• App allow/deny lists via Applocker
• Enterprise data protection
•
•
•
•
•
Un conjunto
consistente de
capacidades
MDM alrededor
de Móvil,
Escritorio y IoT
Provisioning
Bulk enrollment
Simple bootstrap
Converged protocol
Azure AD Integration
• Additional device inventory
• Extended set of policies
Client certificate management
• Enterprise Wi-Fi
• VPN management
• Email provisioning
• MDM Push
• Device Update control
• Kiosk, Start screen, Start menu
configuration and control
Active Directory proporciona capacidades
claves de identidad empresarial y seguridad
Azure Active Directory
toma esto hacia la nube
Trabaja ambos juntos
Windows 10 toma ventaja total de ambos
Propiedad de la organización
• Computador unido a AD
para establecer confianza
• Usuario inicia sesión con la
cuenta de AD
• Directiva de grupo + System
Center
• Computador unido a Azure AD
para establecer confianza
• Usuario inicia sesión con la
cuenta de Azure AD
• Intune/MDM
• Configuraciones itinerantes
Inicio único de sesión para empresas
+ Servicios basados en la nube
Propiedad personal (BYOD)
• Computador registra con AD o Azure AD vía Device
Registration para establece confianza para acceso a
recursos remotos.
• Usuario inicia sesión con una cuenta Microsoft, asociados
a una cuenta Azure AD
• Intune/MDM
Conexión
simple
Windows Server
Active Directory
Otros
directorios
Auto-servicio
Inicio único
de sesión
Username
•••••••••••
SaaS
Azure
Intune
En premisa
Microsoft Azure Active Directory
Office 365
Nube
Consola
sencilla de
administración
Intune
Nuevas desde Windows 10
Nuevas desde Windows 7
Nuevas directivas para soporte de
características de Windows 10
Capacidades desde Windows 8.1:
• Pantalla de Inicio y administración del Menú Inicio.
• Soporte IPv6 para impresoras, VPN, orientación
• Configuraciones para Microsoft Edge
• Ajuste para credenciales PIN de próxima generación
• Administración de aplicaciones universales
• Directiva de almacenamiento en cache
Capacidades desde Windows 8:
• Optimización de inicio de sesión para clientes
DirectAccess
• Mejor uso de directivas de registro grandes (registry.pol)
• Actualización remota de directivas de grupo (GPUpdate)
• Procesamiento en segundo plano mas eficiente
Soporte completo para Windows 10
Producto
Versión requerida/recomendada
AGPM
AGPM 4.0 SP3 (Agosto)
App-V
App-V 5.1 (Agosto)
DaRT
DaRT 10 (Agosto)
MBAM
MBAM 2.5 SP1 (Agosto), 2.5 es correcta
UE-V
UE-V 2.1 SP1 (Agosto)
Managed in-place upgrade
Runtime configuration, customize without imaging
Reduced validation and deployment costs
App & Device
Compatibility
Hardware requirements
are unchanged
Strong desktop app compatibility
Windows Store apps are compatible
Internet Explorer
enterprise investments
Legacy Web Apps
Licenciamiento por volumen
Distribución flexible
Recuperación/Re-utilización de licencias
Su tienda corporativa
Tienda Windows
Portal corporativo
• Aplicaciones modernas
• Inicio de sesión con Microsoft Account
• Pago con tarjeta de crédito, tarjeta regalo,
PayPal, Alipay, INICIS, operadores móviles
(teléfono)
• Impulsado por MDM
• Carga lateral de aplicaciones modernas
de línea de negocio (LOB).
• Vinculo hacia aplicaciones en la tienda Windows
Convergencia
WINDOWS 8.1
WINDOWS
PHONE 8.1
WINDOWS 10
XBOX
• Portal de desarrolladores convergido para
Windows y Windows Phone
• Capacidades de usuario y desarrollador separadas
• Experiencia completamente convergida
• Las mejores características de cada una
• Nuevas capacidades
Tienda Windows
Tienda Windows
para negocios
• Aplicaciones modernas
• Aplicaciones modernas
• Inicio de sesión de Microsoft Account • Aprovecha Azure Active Directory para la
administración en algunos escenarios
• Pago con tarjeta de crédito, tarjeta
regalo, PayPal, Alipay, INICIS,
• Tienda privada para la organización o
operadores móviles
aplicaciones línea de negocio.
• Pago con tarjeta de crédito, orden de
compra, factura
• Implementar aplicaciones modernas
fuera de línea, en imágenes y más
• Administración de licenciamiento
para aplicaciones modernas
Portal Corporativo
• Carga de aplicaciones modernas de
línea de negocio (LOB)
• Implemente aplicaciones desde la
Tienda Windows como las
aplicaciones LOB cargadas a través de
la integración del portal corporativo
de software utilizando MDM
Implementación flexible
de aplicaciones
Soporte para cualquier
organización
Simplificar via
convergencia
En linea, fuera de linea o
incluidas en las imagenes.
Profesor y salon de clases
Una tienda, un centro de
desarrollo, un portal de tienda
corporativo
A traves de tienda, via MDM o
utilizando System Center
Aplicaciones linea de negocio
puede ser privadas
Negocios pequeños y otras
organizaciones
Grandes organizaciones
Tienda Universal a traves de
todos los dispostivos
Procesos de carga reconciliados
En línea
Fuera de línea
• Todas las empresas necesitan cuentas Azure AD
• Archivos de instalación gestionados e
implementados por la Tienda Windows
• Seguimiento de licencias por la Tienda
Windows
• Actualizaciones instaladas vía Windows Update
• Usuarios de empresas no necesitan cuentas
Azure AD
• Archivos de instalación son descargados e
implementados utilizando la infraestructura
organizacional
• No existe seguimiento de licencias
• Actualizaciones instaladas vía Windows Update
MDM /
ConfigMgr
(deep links)
MDM /
ConfigMgr
(sideload)
Tienda Privada
Asignación
Directa
Imaging
Manual
Administrador IT
INICIO DE SESIÓN PARA LA
TIENDA WINDOWS
ADQUISICIÓN DE
APLICACIONES
• Utilizando una cuenta Azure
• Aplicaciones gratis
• Aplicaciones de pago
usando orden de
compra, factura,
TIENDA
ORGANIZACIONAL
CREADA
• Aplicaciones deseadas
agregadas
Usuario Final
NOTAS
• Basado en nube
• No hay requerimientos de
infraestructura en premisa
• No requiere servicio MDM
• Apps se actualizan
automáticamente desde el
Tienda Windows
• Puede incluir aplicaciones
LOB
INICIO DE SESIÓN EN
WINDOWS
ACCESO A LA TIENDA
WINDOWS
• Usando una cuenta AD o
Azure AD
• Visualización desde la
tienda organizacional o
categorías publicas
INSTALAR APPS
• Seleccionar desde la
Tienda Privada usando
Azure AD, o categoría
publica usando cuenta
Microsoft
Escenarios
Mobile Device Management (EN LÍNEA)
Administrador IT
SIGN IN TO WINDOWS
STORE FOR BUSINESS
• Using Azure AD account
APPS ACQUIRED
• Free apps
• Purchased using
a PO or invoice
APPS ADDED TO MDM
SERVICE
• Link to the app
in the BSP
NOTAS
• Cloud-based or on-prem
(depending on the MDM
service used)
• Apps automatically updated
from the Windows Store
• The Windows Store can be
disabled if desired
Usuario Final
LOG INTO WINDOWS
• Using AD or Azure AD account
LAUNCH ENTERPRISE
APP STORE (MDM)
• Sees available app
INSTALL APPS
• Selected from the MDMprovided list
• Installed by the Windows
Store, as directed by the
MDM service
• APIs available to ISVs to
automate the BSP
interactions
Escenario
Administración de licencias (EN LÍNEA)
Administrador IT
INICIAR SESIÓN EN LA
TIENDA WINDOWS PARA
NEGOCIOS
• Using Azure AD account
VER LICENCIAS
ASIGNADAS
• For any BSP app (LOB,
free, paid)
Usuario Final
INICIAR SESIÓN EN
WINDOWS
• Using any account
INICIAR APP
• Informed that license is
no longer available
RECLAMAR LICENCIA
• Available for use by
another user
NOTAS
• Devices periodically check to
see if licenses are still valid
• APIs available to ISVs to
automate this process
Escenario
Imaging (FUERA DE LÍNEA)
Administrador IT
INICIAR SESIÓN EN
LA TIENDA
WINDOWS PARA
NEGOCIOS
• Using Azure AD
account
APPS
ADQUIRIDAS
• Free apps
• Purchased using
a PO or invoice
DESCARGAR
ARCHIVOS DE
INSTALACIÓN
DE LAS APPS
• APPX files
Usuario Final
INICIO DE SESIÓN DE
WINDOWS
• Using AD or Azure AD account
APPS INSTALAN
AUTOMÁTICAMENTE
AGREGAR APPS
A LA IMAGEN
EMPRESARIAL
• Provisioned
for all users
NOTAS
• Apps available to every user
when they log in
• Apps automatically updated
from the Windows Store
• The Windows Store can be
disabled if desired
Escenarios
Tienda de Aplicaciones Empresariales usando SCCM (FUERA DE LINEA)
Administrador IT
INICIAR SESIÓN EN
LA TIENDA
WINDOWS PARA
NEGOCIOS
• Using Azure AD
account
APPS
ADQUIRIDAS
• Free apps
• Purchased using
a PO or invoice
DESCARGAR
ARCHIVOS DE
INSTALACIÓN
DE LAS APPS
• APPX files
AGREGAR APPS
A CONFIGMGR
• Available for
installation
(pull), or
required (push)
Usuario Final
INICIAR SESIÓN EN
WINDOWS
LANZAR EL PORTAL
CORPORATIVO
• Using AD or Azure AD account
• Shows all available apps
added by IT
administrator
INSTALAR APPS
• Installed by ConfigMgr
NOTAS
• Per-user app installation
• ConfigMgr can push apps as
well to users or groups
• Apps automatically updated
from the Windows Store
• The Windows Store can be
disabled if desired
• ConfigMgr v.Next may
integrate with the BSP to
simplify this process
Escenarios
Apps línea de negocio (EN LÍNEA o FUERA DE LÍNEA)
Administrador IT
INICIAR SESIÓN EN
LA TIENDA
WINDOWS PARA
NEGOCIOS
• Using Azure AD
account
INVITAR AL
DESARROLLAD
OR
HACER LA APP
DISPONIBLE
• Via any
scenario, online
or offline
• Specified by email address
• Using Microsoft
account
• Simplified app validation
process, allowing use of
enterprise capabilities
• No sideloading needed in
this case
• Process will be streamlined
later this year, with Dev
Center support for Azure AD
Desarrollador
INICIAR SESIÓN EN
PORTAL DE
DESARROLLADORES
NOTAS
ACEPTAR
INVITACIÓN
• Authorizes
developer to submit
apps to the
organization
ENVIAR APP
•
•
Upload package
Choose
organization’s
catalog
Escoja la soluciones de gestión que trabaje para usted
Mobile Device Management
Directivas de grupo
Fin de las implementaciones Wipe y Replace
Aprovisionamiento dinámico
Actualización en el mismo lugar
Identidad corporativa + Mundo Mobile-First, Cloud-First
Azure AD Join (escritorio y teléfono)
Inicio de sesión inicio para aplicaciones, dispositivos y datos
Itinerancia en el estado de usuario
Potencie su negocio con Aplicaciones Universales
Catalogo privado
La tienda corporativa
Mantenga sus dispositivos seguros
y al día con la ultima tecnología
Windows Update for Business
Formas de Probar Windows 10
Actualización Sobre Windows 7/8.1 (migración In-place)
Virtualización con Vmware, Hyper-V, Virtual Box
Creación de VHD´s
Windows to GO
Metodos Tradicionales (DVD)
Simplificando el
Despliegue
Una de las características que vienen
acompañadas sobre la implementación de
Windows 10 es la forma en como podemos
nosotros hacer la simplificación de nuestras
instalaciones, con ello ya no será necesario
limpiar y volver a cargar nuestras imágenes
reduciendo considerablemente el ajuste, los
datos y nuestras aplicaciones permaneciendo
en el mismo lugar.
Wipe-and-Load
In-Place
Aprovisionamiento
• Proceso Tradicional
• Captura de Datos y
Configuraciones
• Deploy (personalizado) imagen
de OS
• Injección de Drivers
• Instalar apps
• Restaurar Datos y
Configuraciones
Dejar que Windows haga el
trabajo
• Preservar todos los datos,
configuraciones, apps y
drivers
• Instalar (standard) imagen de
OS
• Restaurar Todo
Configurar Nuevos
Dispositivos
• Transformar en un dispositivo
de la Empresa
• Remover items , Extras,
Agregar aplicaciones
organizacionales y
configuracion
Recomendado para
dispositivos
existentes(Windows 7/8/8.1)
Nuevas Capacidades para
Nuevos Dispositivos
Opción Preferida para
Empresas
• Soportado con Windows 7, Windows 8, y
Windows 8.1
• Los Consumidores usan Windows update,
pero las empresas desean mayor control
• Use System Center Configuration Manager
or MDT para administrar el proceso
• Usa la imagen estandard de Windows 10
• Automaticamente conserva aplicaciones
existentes, configuraciones y drivers
• Rapido Confiable, con Rollback automatico
si se encuentran problemas
Proceso simplificado, basado
en experiencia previa
• Popular para Windows 8 hasta Windows 8.1
• Proceso probado con un cliente para
actualizar desde Windows 7 a Windows 8.1,
como proceso de aprendizaje
• Feedback integrado en Windows 10 para
proveer capacidades adicionales para
automatizacion, drivers, logging, etc.
• Trabajar con ISVs para el cifrado de discos
Take off-the-shelf
hardware
El dispositivo esta para
su uso productivo
Aplicar un paquete de
aprovisionamiento
Transformar con poca
o ninguna interacción
de usuario
• Windows (ICD) es una herramienta agiliza la personalización y el
aprovisionamiento de una imagen de Windows.
• Puedes usar Windows ICD para realizar las siguientes tareas:
• Ver todos los ajustes y políticas configurables para una imagen o el
aprovisionamiento paquete de Windows 10.
• Crear archivos de respuesta de aprovisionamiento de Windows.
• Agregar controladores de terceros, aplicaciones, u otros activos a un
archivo de respuesta.
• Crear variantes y especificar los ajustes.
• Construir una imagen de Windows.
• Construir un paquete de aprovisionamiento.
Como llegar a Windows ICD
La instalación de Windows ICD se encuentra dentro de las
herramientas para la implementación de Windows.
Windows Assessment and Deployment Kit (Windows ADK) es
un conjunto de herramientas que sirve para personalizar,
evaluar e implementar sistemas operativos Windows en
equipos nuevos.
Instalar Windows ICD desde ADK
https://msdn.microsoft.com/en-us/windows/hardware/dn913721.aspx
No es nada difícil sobre su instalación, solo que Windows ICD se basa en algunas otras
herramientas dentro de ADK.
•Herramientas de implementación.
•Windows Preinstallation Environment (Windows PE), Entorno de preinstalación de
Windows (Windows PE).
•Imaging and Configuration Designer (ICD), Imaging y configuración Diseñador (ICD).
•User State Migration Tool (USMT). Usuario de la herramienta de migración de estado
de usuario (USMT).
Instalar Windows ICD desde ADK
Mas información en:
https://msdn.microsoft.com/en-us/library/windows/hardware/dn916113(v=vs.85).aspx
Mejoras a las herramientas
Existentes
Cambios minimos a procesos
de deployment existentes
• New Assessment and Deployment Kit
incluye soporte para Windows 10, mientras
continua el soporte para Windows 7
• Sera Natural para IT Pros que desplegaron
Windows 7 y Windows 8.1
• Actualizaciones menores a System Center
2012 para agregar soporte
• Actualizaciones menores para Microsoft
Deployment Toolkit 2013 para agregar
soporte
• Dentro de la imagen de windows 10, usada
para crear tu imagen maestra
• Captura una imagen de Windows 10, usada
para deployments wipe-and-load
Compact.exe en Windows 10
Otra de las nuevas características en los grandes cambios de Windows 10, es la
utilización de menos espacio que su predecesor Windows 8.x. realizando estos
cambios para funcionar en dispositivos reducidos de espacio tales como tabletas,
ordenadores portátiles con unidades de estado solido de pequeño tamaño.
Windows 10 incluye un nuevo mecanismo de compresión conocido como OS
Compact. (herramienta de Línea de Comandos).
Para llegar a ello, es indispensable hacer copia de seguridad de su equipo antes de
cualquier cambio siempre en nuestro PC.
Compact.exe en Windows 10
1.- Escribimos compact.exe /compactOS:always
2.- El proceso se inicia con una duración de entre 10 a 15 minutos sin necesidad de
reiniciar el equipo.
Compact.exe en Windows 10
3.- Si deseamos desactivar la compresión solamente ejecutamos la siguiente línea de
comandos. compact.exe /compactOS:never
Compact.exe en Windows 10
4.- Con este proceso estaremos ahorrando alrededor de 2GB de almacenamiento
(puede variar según el S.O.)
Esta opción es mucho mas recomendada para usuarios que ejecutan un S.O. en un
dispositivo de almacenamiento limitado.
Manteniendo los
dispositivos seguros y
actualizados
Desafíos de Clientes
Dispositivos de Clientes
Usuarios de Empresa
Sistemas Especializados
Actualizaciones instaladas a través de
Windows Update a medida que llegan
Actualizaciones posteriores a la
validación en el mercado
Ejemplos: Control de Tráfico Aéreo,
Salas de Emergencia
Mantiene cientos de millones de
consumidores seguros y al día en lo que se
conoce como Current Branch
Current Branch for business
Sin nuevas funcionalidades en
Long Term Servicing Branch
Basede usuarios de gran tamaño y diversa
ayuda a la calidad de las actualizaciones
BYOD: dispositivos más seguros y al día
Actualizaciones de Seguridad regulares
Control con WSUS
Capacidades
Dispositivos de Consumo
Usuarios Empresariales
Sistemas Especializados
Windows Update
Windows Update for Business
Windows Server Update Services
(WSUS)
Integración con System Center Configuration Manager y herramientas existentes del Cliente
Engineering
builds
Broad
Microsoft
internal
validation
Microsoft
Insider Preview
Branch
Current Branch
Current Branch for Business
Users
10’s of
thousands
Customer
Internal Ring
I
Several Million
Hundreds
of millions
*Conceptual illustration only
Customer
Internal Ring
II
Customer
Customer
Internal Ring
Internal Ring
III
IV
Ongoing
engineering
development
Windows Insider
Preview Branch
Current Branch
Current Branch
For Business
Feedback
and asks
Specific feature and
performance feedback
Deploy to appropriate
audiences via WUB
Stage broad deployment
via WU for Business
Application compatibility
validation
Test and prepare for broad
deployment
Long Term
Servicing Branch*
Deploy for mission critical
systems via WSUS
*Enterprise or Education edition required
Protection against
modern security threats
Managed for
continuous innovation
Hardware based security for
better malware protection.
Secure Boot
Enterprise credential protection via
hardware-based isolation
Choose management solutions
that work best for you.
Mobile Device Management
Group Policy
Secure corporate identity to
protect against modern threats.
Microsoft Passport
Windows Hello
Protect your corporate data,
wherever the data is.
Enterprise data protection
Eliminate malware on your devices.
Device Guard
More secure per-app connection
for mobile workers.
Secure Remote Connection
End of wipe and
replace deployment.
Dynamic provisioning
In-place upgrade
Corporate identity for the mobilefirst, cloud-first world
Azure AD Join (desktop and phone)
Single sign on to apps, devices, data
User state roaming
Power your business
with Universal Apps.
Private catalog
The Business Store
Keep your devices secure and up
to date with latest technology.
Windows Update for Business
Be more productive
Innovative devices
for your business
A familiar user experience
that adapts to your device.
Start menu
Continuum
Continuum for Phone
Latest Windows innovations
on your existing PC fleet.
Great mouse & keyboard support
Hardware compatibility
Granular UX Control
Apps that can run on any
Windows device.
Windows Universal Apps
The best productivity experience
across all Windows devices.
Office for Windows
Choose from the range of
innovative Windows devices.
Broad industry innovation
2-in-1 devices
Surface
Lumia
Modernize your web experience,
stay compatible.
Microsoft Edge
Internet Explorer 11
Redefine productivity with
revolutionary Windows devices.
Surface Hub
HoloLens
Get ready for Windows 10
Accelerate migration to IE11
Start adopting Windows Update for Business
Pilot Windows 10; build deployment plan
Test upcoming Windows Preview features
Profile your systems and user groups
Join the Windows Insider Program
Windows Update for Business
Current Branch for Business
WSUS / Long Term Servicing Branch
Give your feedback
Muchas Gracias
Email: [email protected]
Web: http://www.algeiba.com/
Facebook: https://www.facebook.com/AlgeibaIT

Documentos relacionados