Configuración de Microsoft Intune para la administración de actualizaciones y parches de seguridad

Configuración de Microsoft Intune para la administración de actualizaciones y parches de seguridad

08/02/2025

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración y el uso de Microsoft Intune para administrar de manera efectiva parches y actualizaciones de seguridad en dispositivos Windows. En un panorama de amenazas cibernéticas en constante evolución, mantener actualizados los sistemas operativos y las aplicaciones es una de las prácticas de seguridad más críticas para mitigar las vulnerabilidades y proteger a la organización contra ataques. Microsoft Intune, como solución de administración unificada de puntos finales (UEM), ofrece herramientas sólidas para automatizar y controlar el proceso de actualización [1].

Introducción

La falta de parches y actualizaciones de seguridad es una de las principales causas de violaciones de seguridad. Los atacantes suelen aprovechar las vulnerabilidades conocidas en los sistemas operativos y el software, lo que hace esencial un proceso de gestión de parches eficiente y automatizado. En entornos empresariales modernos, con una fuerza laboral distribuida y una variedad de dispositivos, la administración manual de actualizaciones se vuelve poco práctica y propensa a errores. Aquí es donde Microsoft Intune brilla, proporcionando una plataforma centralizada para administrar e implementar actualizaciones en dispositivos Windows, garantizando que sigan siendo seguros y compatibles [2].

Microsoft Intune le permite administrar diferentes tipos de actualizaciones de Windows, incluidas Actualizaciones de calidad, que brindan correcciones de seguridad y no relacionadas con la seguridad, y Actualizaciones de funciones, que brindan nuevas funcionalidades y mejoras. A través de las políticas de Update Rings y los perfiles de actualización de funciones, los administradores pueden controlar cuándo y cómo se implementan las actualizaciones, lo que permite una implementación gradual para minimizar el riesgo y garantizar la compatibilidad. Además, Intune proporciona funciones para monitorear el estado de cumplimiento de las actualizaciones y solucionar problemas [3].

Esta guía práctica cubrirá la configuración de anillos de actualización y perfiles de actualizaciones de características en Intune, la implementación de actualizaciones en dispositivos Windows, la supervisión del cumplimiento de las actualizaciones y el uso de informes para identificar y resolver problemas. Se proporcionarán instrucciones paso a paso, ejemplos prácticos y explicaciones concisas para que el lector pueda implementar, probar y validar estas características. Además, se discutirán consejos de seguridad, verificación de cumplimiento y mejores prácticas para garantizar una gestión de actualizaciones de seguridad y parches eficaz, autónoma, profesional y confiable.

¿Por qué Microsoft Intune es crucial para la gestión de parches?

  • Automatización y Eficiencia: Automatiza la entrega de actualizaciones, reduciendo la carga administrativa y garantizando que los dispositivos estén siempre actualizados.
  • Control granular: permite a los administradores establecer políticas detalladas sobre cuándo, cómo y a qué dispositivos se aplican las actualizaciones, lo que admite implementaciones por fases.
  • Seguridad mejorada: garantiza que las últimas correcciones de seguridad se apliquen rápidamente, mitigando las vulnerabilidades y protegiendo contra vulnerabilidades conocidas.
  • Cumplimiento: ayuda a que los dispositivos cumplan con las políticas de seguridad internas y los requisitos normativos.
  • Visibilidad e informes: proporciona paneles e informes para monitorear el estado de las actualizaciones, identificar dispositivos que no cumplen con las normas y solucionar problemas.
  • Experiencia de usuario: Le permite configurar ventanas de tiempo activas y fechas límite de reinicio para minimizar el impacto de las actualizaciones en la productividad del usuario.

Requisitos previos

Para configurar Microsoft Intune para administrar parches y actualizaciones de seguridad, necesitará los siguientes elementos:

  1. Licencia: una licencia de Microsoft Intune (generalmente incluida con las suscripciones a Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5) [4].
  2. Acceso administrativo: una cuenta con la función de Administrador global o Administrador de servicios Intune en el centro de administración de Microsoft Intune (https://intune.microsoft.com).
  3. Dispositivos Windows registrados: Dispositivos Windows 10/11 registradoscreado en Microsoft Intune. Los dispositivos deben configurarse para recibir actualizaciones de Windows Update (Windows Update for Business) [5].

Paso a paso: configurar Microsoft Intune para la gestión de parches

Configuremos políticas de actualización para dispositivos Windows.

1. Creación de anillos de actualización para Windows

Los anillos de actualización son políticas que administran cómo y cuándo se aplican a los dispositivos las actualizaciones de calidad y no relacionadas con la seguridad.

  1. Abra su navegador y navegue hasta el centro de administración de Microsoft Intune: https://intune.microsoft.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el panel de navegación izquierdo, seleccione Dispositivos > Por plataforma > Windows.
  4. En "Administrar actualizaciones", seleccione Anillos de actualización de Windows.

  5. Haga clic en + Crear perfil.

  6. Conceptos básicos:

    • Nombre: proporcione un nombre significativo (por ejemplo: Anel_Atualizacao_Piloto_Windows).
    • Descripción: proporcione una descripción clara (por ejemplo, "Anillo de actualización para el grupo piloto, con un retraso mínimo").

  7. Haga clic en "Siguiente".

  8. Actualizar configuración de timbre:

    • Configuración de actualización de calidad:
      • Nivel de mantenimiento de actualizaciones de calidad: Canal de Disponibilidad General.
      • Período de aplazamiento de actualizaciones de calidad (días): 0 (para el grupo piloto, para recibir actualizaciones lo más rápido posible). Para grupos más grandes, puede configurar "3" a "7" días.
      • Período de aplazamiento de la actualización del controlador (días): 0 (o un valor mayor para los controladores de prueba).
    • Configuración de actualizaciones de funciones:
      • Nivel de mantenimiento de actualizaciones de funciones: Canal de disponibilidad general.
      • Periodo de aplazamiento de actualización de funciones (días): 0 (para grupo piloto). Para grupos más grandes, puede establecer entre "30" y "60" días.
    • Configuración de la experiencia del usuario final:
      • Comportamiento de actualización automática: Instalar y reiniciar automáticamente en el momento del mantenimiento.
      • Reiniciar después de la instalación: Reinicio automático en el momento del mantenimiento.
      • Horas activas: Horas activas controladas por el usuario.
      • Plazo de reinicio (días): 2 (para el grupo piloto). Para grupos más grandes, de "5" a "7" días.

  9. Haga clic en "Siguiente".

  10. Etiquetas de alcance: Opcionalmente, agregue etiquetas de alcance. Haga clic en "Siguiente".

  11. Asignaciones: asigne este anillo de actualización a un grupo de dispositivos de Azure AD (por ejemplo, Pilot_Device_Group).

  12. Haga clic en "Siguiente".

  13. Revisar + crear: revise la configuración y haga clic en Crear.

    • Explicación: Debe crear varios anillos de actualización (por ejemplo, piloto, rápido, lento) con diferentes períodos de aplazamiento para permitir una implementación gradual de las actualizaciones, minimizando el riesgo de problemas de compatibilidad.

2. Creación de perfiles de actualizaciones de funciones para Windows (Actualizaciones de funciones para Windows 10 y posteriores)

Los perfiles de actualización de funciones le permiten orientar dispositivos a una versión específica de Windows (por ejemplo, Windows 11 22H2).

  1. En el panel de navegación izquierdo del centro de administración de Microsoft Intune, seleccione Dispositivos > Por plataforma > Windows.
  2. En "Administrar actualizaciones", seleccione Windows 10 y actualizaciones de funciones posteriores.

  3. Haga clic en + Crear perfil.

  4. Conceptos básicos:

    • Nombre: proporcione un nombre significativo (por ejemplo: Atualizacao_Recurso_Windows11_23H2).
    • Descripción: proporcione una descripción clara (por ejemplo, "Implementación de Windows 11 23H2 en dispositivos elegibles").

  5. Haga clic en "Siguiente".

  6. Configuración de actualización de funciones:

    • Versión del recurso que se implementará: seleccione la versión deseada (por ejemplo, Windows 11, versión 23H2).
    • Fecha de disponibilidad: establece la fecha en la que la actualización estará disponible para los dispositivos.
    • Fecha de finalización: opcionalmente, establezca una fecha de finalización para la oferta de actualización.

  7. Haga clic en "Siguiente".

  8. Etiquetas de alcance: Opcionalmente, agregue etiquetas de alcance. Haga clic en "Siguiente".

  9. Asignaciones: asigne este perfil a un grupo de dispositivos de Azure AD (por ejemplo, Windows11_Device_Group).

  10. Haga clic en "Siguiente".

  11. Revisar + crear:Revise la configuración y haga clic en Crear.

    • Explicación: Este perfil garantizará que los dispositivos del grupo asignado reciban la versión específica de Windows 11 23H2. Es importante probar las actualizaciones de funciones en grupos más pequeños antes de implementarlas ampliamente.

3. Monitoreo del estado de actualización

Intune ofrece paneles e informes para monitorear el progreso y el cumplimiento de las actualizaciones.

  1. En el panel de navegación izquierdo del centro de administración de Microsoft Intune, seleccione Dispositivos > Por plataforma > Windows.
  2. En "Administrar actualizaciones", seleccione Anillos de actualización de Windows.
  3. Haga clic en el anillo de actualización que desea monitorear (por ejemplo: Anel_Atualizacao_Piloto_Windows).

  4. En la descripción general del anillo de actualización, puede ver el "Estado de implementación del dispositivo" y el "Estado de actualización del usuario", que muestran cuántos dispositivos son compatibles, cuántos tienen errores, etc.

  5. Para obtener informes más detallados, en el panel de navegación izquierdo del centro de administración de Intune, seleccione Informes > Actualizaciones de Windows.

  6. Aquí puede encontrar informes como "Informe de cumplimiento de actualizaciones de Windows" e "Informe de actualizaciones de funciones de Windows" para obtener una vista completa del estado de las actualizaciones en su organización.

Validación y pruebas

Es fundamental probar las políticas de actualización para garantizar que funcionen como se espera y que los dispositivos reciban las actualizaciones correctamente.

1. Prueba de anillos de actualización (actualizaciones de calidad)

  1. Escenario: registre un dispositivo Windows de prueba en Intune y asígnelo a Pilot_Device_Group.
  2. Acción esperada: El dispositivo debe recibir e instalar actualizaciones de calidad de acuerdo con la política Anel_Atualizacao_Piloto_Windows (con un retraso de 0 días, es decir, rápidamente).
  3. Verificación:
    • En el dispositivo de prueba, vaya a "Configuración" > "Actualización de Windows" y verifique el historial de actualizaciones.
    • En el centro de administración de Intune, verifique el "Estado de implementación del dispositivo" para "Anel_Atualizacao_Piloto_Windows" y el "Informe de cumplimiento de Windows Update" para confirmar que el dispositivo sea compatible.
    • Comando en el dispositivo (PowerShell como administrador): powershell Obtener-WindowsUpdateLog
      • Explicación: Este comando genera un registro detallado de las actividades de Windows Update, útil para solucionar problemas.

2. Prueba de perfiles de actualización de recursos

  1. Escenario: Registre un dispositivo Windows de prueba en Intune y asígnelo a Windows11_Device_Group.
  2. Acción esperada: El dispositivo debe recibir e instalar la Actualización de funciones de Windows 11, versión 23H2.
  3. Verificación:
    • En el dispositivo de prueba, vaya a Configuración > Sistema > Acerca de y verifique la Versión de Windows.
    • En el centro de administración de Intune, verifique el Estado de implementación del dispositivo para el perfil Atualizacao_Recurso_Windows11_23H2 y el Informe de actualizaciones de características de Windows.

Consejos de seguridad y mejores prácticas

  • Estrategia de anillo de actualización: implemente una estrategia de anillo de actualización por fases (p. ej., piloto, pequeña, mediana, grande) para probar las actualizaciones en un subconjunto de dispositivos antes de implementarlas de manera generalizada. Esto minimiza el riesgo de interrupciones.
  • Ventanas de mantenimiento: configure ventanas de mantenimiento y fechas límite de reinicio que minimicen el impacto en la productividad del usuario, pero garanticen que las actualizaciones se apliquen de manera oportuna.
  • Monitoreo continuo: supervise periódicamente los informes de cumplimiento de actualizaciones en Intune y configure alertas para dispositivos que no cumplan o que presenten errores de actualización.
  • Pruebas de compatibilidad: antes de implementar actualizaciones de funciones importantes, realice pruebas de compatibilidad con aplicaciones y hardware críticos en su entorno.
  • Optimización de entrega: utilice funciones como Optimización de entrega para reducir el consumo de ancho de banda de la red al distribuir actualizaciones en su organización.
  • Gestión de controladores: tenga cuidado con las actualizaciones de controladores. Considere retrasar las actualizaciones de controladores o probarlas exhaustivamente antes de una implementación amplia, ya que los controladores problemáticos pueden causar fallas.capacidad en el sistema.
  • Integración con Microsoft Defender para endpoint: Intune y Defender for Endpoint trabajan juntos para garantizar la seguridad de los endpoints. Defender for Endpoint puede proporcionar información sobre vulnerabilidades que se pueden solucionar con parches.

Solución de problemas comunes

  • Los dispositivos no reciben actualizaciones:
    • Verifique que el dispositivo esté inscrito en Intune y que las políticas de actualización/anillo de funciones estén asignadas al grupo de dispositivos correcto.
    • En su dispositivo, verifique la conectividad con Windows Update. Ejecute wuauclt.exe /reportnow (para Windows 10) o usoclient StartScan (para Windows 11) desde el símbolo del sistema.
    • Verifique los registros de Windows Update en el dispositivo usando Get-WindowsUpdateLog en PowerShell.
    • Verifique la configuración de "Horas activas" en Intune; Si el dispositivo está siempre dentro de las horas activas, es posible que no se reinicie para instalar actualizaciones.
  • Las actualizaciones no se pueden instalar:
    • Consulte los registros de Windows Update en el dispositivo para ver códigos de error específicos.
    • Asegúrese de que su dispositivo tenga suficiente espacio en disco.
    • La causa pueden ser problemas de compatibilidad con software o controladores existentes. Prueba en un ambiente controlado.
    • Verifique la conectividad de red del dispositivo con los servicios de Windows Update.
  • Los dispositivos no aparecen como compatibles en los informes de Intune:
    • Es posible que transcurra algún tiempo hasta que se informe el estado de cumplimiento a Intune. Espere unas horas.
    • Asegúrese de que su dispositivo esté activo y comunicándose con Intune.
    • Verificar que las políticas de cumplimiento estén asignadas correctamente al dispositivo.
  • Falsos positivos (el dispositivo aparece como no conforme, pero está actualizado):
    • Verifique manualmente el estado de las actualizaciones en el dispositivo. Si está actualizado, puede haber un retraso en los informes de Intune.
    • Reinicie el servicio Intune Client Management en el dispositivo (net stop dmwappushservice && net start dmwappushservice).

Conclusión

Microsoft Intune es una herramienta indispensable para administrar parches y actualizaciones de seguridad en entornos Windows. Al automatizar la implementación de actualizaciones de calidad y características y brindar un control granular sobre el proceso, Intune permite a las organizaciones mantener sus dispositivos seguros y compatibles con las últimas protecciones contra amenazas cibernéticas. La implementación de una estrategia de anillo de actualización, junto con un monitoreo continuo y una resolución proactiva de problemas, es fundamental para garantizar un entorno de TI resiliente. Con esta guía práctica, los profesionales de seguridad y administradores de TI estarán bien equipados para configurar, validar y administrar Microsoft Intune, fortaleciendo su postura de seguridad de endpoints y protegiendo los activos de su organización.

Referencias:

[1] Microsoft aprende. Administrar actualizaciones de software de Windows en Intune. Disponible en: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] Microsoft aprende. ¿Qué es Microsoft Intune?. Disponible en: https://learn.microsoft.com/pt-br/intune/overview [3] Microsoft aprende. Administrar actualizaciones de Windows con Intune. Disponible en: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] Microsoft aprende. Licencia de Microsoft Intune. Disponible en: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] Microsoft aprende. Configurar anillos de actualización de Windows en Intune. Disponible en: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] Microsoft aprende. Configurar actualizaciones de funciones de Windows 10 y posteriores en Intune. Disponible en: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates [7] Microsoft aprende. Reportes de Windows Update en Intune. Disponible en: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports