Windows 365 (V) – Ciclo de vida de un PC en la nube

Publicada el por

Vamos con el re-póker de artículos sobre Windows 365, o lo que es lo mismo, con el quinto y, como continuación de Windows 365 (IV) – Requisitos, en este hablaremos del ciclo de vida de Windows 365.

En Windows 365 se coordina y administra el ciclo de vida de todos los PCs en la nube desplegados en nuestra infraestructura. Como los PCs en la nube “solo” existen en la nube, y como podéis leer solo va entre comillas porque podemos tener dispositivos híbridos, administrar el ciclo de vida es más fácil que administrar el ciclo de vida de dispositivos Windows físicos ya que en los PCs en la nube nunca falta la capacidad de administración y la seguridad.

A continuación veremos las cinco fases del ciclo de vida de un PC en la nube:

Cloud PC lifecycle stages.

Aprovisionamiento

Tenemos una experiencia bastante admin friendly para implementar los PCs en la nube,  integrándose en el Microsoft Endpoint Manager admin center y aprovisionándose en el servicio de Windows 365, conectados a Azure, unidos a Azure AD e inscritos en Microsoft Endpoint Manager.

Al asignar una licencia de Windows 365 a un usuario y agregarlo a un grupo el cual tiene asignado una directiva de aprovisionamiento, se desencadena el despliegue automático del PC en la nube del usuario.

Cada PC en la nube se crea mediante una imagen de sistema operativo donde de forma nativa, se incluye una galería de imágenes predeterminadas que proporcionan una experiencia de conexión remota optimizada para Windows y Microsoft 365, pudiéndose cargar imágenes propias  y personalizadas donde, Windows 365, realizará algunas optimizaciones de manera automática.

Windows 365 también tiene pruebas de aprovisionamiento sintético y supervisión de la infraestructura integradas en conexiones de red locales, ejecutándose con regularidad para probar las redes y otros requisitos previos:

Graphical user interface, text, application Description automatically generated

Estas pruebas ayudan a minimizar los errores de aprovisionamiento debido a posibles problemas del entorno, ayudándonos a resolverlos de manera más rápida.

Configuración

Una vez se han aprovisionado, se deben configurar y se tienen proteger, al igual que cualquier otro endpoint del entorno. Para que esta configuración sea la óptima y como parte del aprovisionamiento, todos los PCs en la nube deben estar:

  • Unidos a Azure AD
  • Unidos a Azure AD híbrido

Después de unirse, los PCs en la nube se inscriben en Endpoint Manager, donde estarán listos para, por ejemplo, aplicar conditional access o cualquier perfil de configuración.

También esta disponible una una línea base de seguridad optimizada para los PCs en la nube la cual nos ayuda a asegurarnos de que se configuran de forma segura con una sobrecarga mínima, habiéndose optimizado para garantizar que la conectividad remota no se vea afectada.

Protección

Windows 365 se integra con el resto de Microsoft 365 para proteger los PC en la nube pudiéndose usar la integración con Microsoft Defender for Endpoint para protegerlos desde el momento en que se aprovisionan. Esta protección incluye el uso de las funcionalidades de detección y respuesta para determinar el riesgo del dispositivo.

Windows 365 también se puede proteger mediante el acceso condicional de Azure AD, excluyendo Windows 365 de las directivas de cumplimiento de dispositivos para garantizar que los usuarios finales puedan acceder a sus PC en la nube desde cualquier dispositivo. Se puede usar también la autenticación multifactor, el riesgo de inicio de sesión y otros controles para asegurarse de que el usuario se autentica de forma segura.

También puede deshabilitar el portapapeles y el redireccionamiento de unidades para prevenir y evitar la pérdida de datos impidiendo que los usuarios puedan:

  • Copiar y pegar información de sus PC en la nube en otras ubicaciones no administradas.
  • Guardar archivos en sus dispositivos personales desde el PC en la nube.

Monitorización

Un requisito clave de los PC en la nube es asegurarse de que se tiene el tamaño adecuado para las necesidades del usuario final. Windows 365 se integra con Endpoint analytics en  Microsoft Productivity Score. Endpoint analytics proporciona medidas de la carga de proceso y memoria en los PC en la nube. Después, se puede cambiar el tamaño para que coincidan con las demandas de los usuarios y sus aplicaciones. Esta acción de cambio de tamaño se muestra en Microsoft Endpoint Manager junto con otras acciones del dispositivo para proporcionar una experiencia sin problemas entre los PC en la nube y otros endpoint.

También puede usar Proactive Remediation de Endpoint analytics para mejorar la supervisión y la corrección del PC en la nube, permitiendo ampliar las optimizaciones de Microsoft 365 integradas que proporciona Windows 365, incluidas las optimizaciones para un entorno de IT heterogéneo.

Des-aprovisionamiento

Hay un par de maneras de quitar de forma segura el acceso de un usuario a su PC en la nube:

  • Si quita la licencia del usuario o la directiva de aprovisionamiento asignada, el PC en la nube pasa a un período de gracia de siete días. Este período de gracia permite errores y restablecimiento sin afectar al usuario pero si se quiere bloquear el acceso inmediatamente, deshabilite la cuenta de usuario en AD local y revoque los tokens de actualización del usuario en Microsoft Azure Active Directory.
  • Una vez que expira el período de gracia, Windows 365 des-aprovisiona completamente el PC en la nube y su almacenamiento. Los PC en la nube se cifran mediante cifrado del servidor en Azure Disk Storage, claves administradas por la plataforma, para que los dispositivos se des-aprovisionen de forma segura.

También se puede usar la opción Finalizar período de gracia, tratándose de un acto destructivo; se eliminará el PC en la nube y los datos y este ya no estará disponible:

Graphical user interface, application Description automatically generated

Después de seleccionar , los pasos siguientes se realizarán automáticamente:

  • El equipo en la nube empezará a des-aprovisionar.
  • El usuario pierde acceso al PC en la nube.
  • El sistema operativo y los datos se eliminan del PC en la nube y ya no estará disponible.
  • Si la directiva de aprovisionamiento original se reemplazó por otra, el PC en la nube se volverá a aprovisionar con la configuración de la nueva directiva.
Graphical user interface, text, application Description automatically generated

Enjoy!

Referencia: Cloud PC lifecycle in Windows 365 | Microsoft Docs