El Fondo de Solidaridad e Inversión Social, FOSIS, es un servicio del Gobierno de Chile, su misión es contribuir a la superación de la pobreza y la vulnerabilidad social de personas, familias y comunidades. Cuenta con 16 direcciones regionales y 20 oficinas provinciales; y se relaciona con la Presidencia de la República de Chile a través del Ministerio de Desarrollo Social y Familia.

Situación

Actualmente los usuarios de FOSIS utilizan equipos de cómputo suministrados por la institución, para realizar sus actividades laborales, pudiendo con ello acceder a los recursos de la organización, incluyendo Office 365 y contando los usuarios con licenciamiento Enterprise Mobility + Security

E3. Dada la situación de pandemia actual, la mayoría de los usuarios se encuentran realizando sus labores fuera de la oficina, por lo que el FOSIS ha perdido visibilidad y administración de sus equipos, quedando expuesto a las vulnerabilidades de seguridad que puedan presentarse, ya que no se tiene control sobre la red desde donde sus usuarios acceden a los recursos de la organización, ni el estado de seguridad de los dispositivos. Por ello, surgió la necesidad de contar con una plataforma de administración de sus dispositivos móviles MDM, que les permitiera tener control y visibilidad de los dispositivos que ocupan sus usuarios, con el desafío de enrolar los dispositivos de manera remota y sin intervención de los usuarios finales.

Descripción detallada de la solución

Se presento la plataforma de MDM de Microsoft Endpoint Manager (Intune), la cual permite al personal de FOSIS administrar los dispositivos asignados a los usuarios, brindando y estableciendo las configuraciones de conformidad y seguridad que requieran. Luego, se indicó los métodos de enrolamiento posibles, tanto manuales como automáticos.

Siendo el más adecuado para la situación de FOSIS, el enrolamiento en Intune a través de una política de grupo (GPO), dado que le permitiría enrolar los dispositivos de los usuarios de manera automática, sin intervención de los usuarios finales, solo requiriendo que se conectaran a la VPN de FOSIS y así, recibieran la instrucción de enrolamiento automática creada en la GPO.

Se procedió a habilitar el estado de Azure Hybrid Joined en su AD Connect, de manera que los dispositivos sincronizados obtuvieran el estado AAD Hybrid Joined y el token de Azureprt para SSO, el cual es necesario para la inscripción automática en Intune. Sin embargo, se identificó que los computadores no estaban recibiendo dicho token, al realizar una evaluación y serie de pruebas en conjunto con el soporte de Microsoft, se logró identificar que había una discrepancia entre los User Principal Name de AD Local y Azure AD, por lo cual se regularizó dicha situación y los usuarios pudieron recibir el token de Azureprt.

Se habilitó el enrolamiento automático para dispositivos Windows a todos los usuarios del tenant de FOSIS, para luego crear y asignar una GPO que creara una tarea de enrolamiento en Intune a las computadores que se encontraran en las unidades organizativas de la organización, lo cual permitió que se enrolaran los computadores de los usuarios de FOSIS de manera automática al conectarse a la red local o VPN.

Por último, se procedió a monitorear el enrolamiento de los dispositivos de FOSIS en la consola del endpoint manager (Intune), identificando los errores de inscripción que pudieran suceder, donde principalmente se debieron a falta de licenciamiento de los usuarios, con lo que se procedió a asignar las licencias correspondientes de EMS E3 y con ello mitigar los errores de inscripción, de esta manera, se logró enrolar automáticamente los dispositivos de los usuarios de FOSIS sin necesitar intervención de los usuarios.

Ahora los administradores de TI de FOSIS pueden administrar la configuración de seguridad y conformidad de los dispositivos, así como proveerle de recursos y configuraciones que sean requeridas.