No es casualidad que, en este contexto, un nombre resuene cada vez más en los círculos técnicos: Microsoft Intune. Es la herramienta sigilosa que está cambiando las reglas del juego, reemplazando la "vieja escuela" de la gestión de dispositivos.

El "Antes": El Castillo, el Foso y el Administrador Agotado

Para entender por qué Intune es tan relevante, tenemos que recordar cómo se hacían las cosas. Ayer mismo me topé con un viejo manual de Active Directory (AD) y me dio un golpe de nostalgia.

Durante décadas, la gestión de IT se basó en el modelo del "castillo y el foso":

1. El Castillo: Era la red de la oficina.
2. El Foso: Era el firewall.
3. Los Súbditos: Eran los PCs, unidos físicamente al "Dominio" (el Active Directory).

Si estabas dentro del castillo (en la oficina, conectado por cable), todo funcionaba. El servidor de Active Directory, ese pilar fundamental en un rack parpadeante, te daba permiso para existir.

A través de las Políticas de Grupo (GPOs), el administrador de sistemas (SysAdmin) decidía todo sobre tu PC: qué impresora usabas, qué fondo de pantalla tenías, si podías usar un USB y qué unidades de red veías.

¿Y para desplegar software? Teníamos al "hermano mayor" de AD: el SCCM (System Center Configuration Manager). Una bestia local (on-premise) increíblemente potente, pero también increíblemente compleja, diseñada para instalar Windows o enviar el paquete de Office a 5.000 equipos a la vez... siempre que estuvieran dentro del castillo.

El problema era evidente: ¿qué pasaba cuando salías del castillo?

El portátil se convertía en un dispositivo "tonto". No recibía actualizaciones de GPOs, no se le podía instalar software... a menos que te conectaras por VPN. Y todos sabemos lo que significa la VPN: lentitud, cortes y una experiencia de usuario frustrante. La pandemia de 2020 no creó este problema, pero sí lo expuso de forma brutal. El modelo del castillo se derrumbó cuando todos tuvieron que trabajar desde fuera.

El "Ahora": Gestión Moderna desde la Nube (Hola, Intune)

Aquí es donde entra Microsoft Intune. Intune no es un programa que instalas en un servidor; es un servicio en la nube. Forma parte de la suite de Microsoft Endpoint Manager (MEM), aunque ahora Microsoft vuelve a llamarlo simplemente "Intune".

La filosofía es radicalmente opuesta. A Intune no le importa el "castillo".

Intune abandona la idea de gestionar la red y se centra en gestionar el endpoint (el dispositivo) y la identidad (el usuario), sin importar dónde estén.

Es, fundamentalmente, una plataforma de Gestión Unificada de Endpoints (UEM). Esto se divide en dos conceptos clave que a veces se confunden:

1. MDM (Mobile Device Management - Gestión de Dispositivos Móviles)

Esto es lo que la mayoría piensa que es Intune. Es la capacidad de controlar el dispositivo completo. Cuando la empresa te da un portátil nuevo o un móvil de empresa, lo "inscribe" (enroll) en Intune.

A partir de ahí, Intune toma el control (sustituyendo a las GPOs):

• Configura el dispositivo: Forza el cifrado (BitLocker en Windows, FileVault en Mac), exige un PIN, configura la Wi-Fi, instala certificados.
• Asegura el cumplimiento: Comprueba que el antivirus esté activo, que el sistema operativo esté actualizado, y si no lo está, puede bloquear el acceso a los datos de la empresa.
• Despliega aplicaciones: Envía Office, Teams, Slack o tu software de contabilidad desde la nube, silenciosamente.

2. MAM (Mobile Application Management - Gestión de Aplicaciones Móviles)

Aquí es donde Intune se vuelve brillante y resuelve el problema del BYOD (Bring Your Own Device), o "Trae tu propio dispositivo".

Ayer hablaba con un cliente que nos decía: "Mis comerciales quieren usar sus móviles personales para ver el email del trabajo, pero me da pánico que los datos acaben en su Dropbox personal o en WhatsApp".

Intune, mediante MAM, permite crear un "contenedor" seguro dentro del dispositivo personal del empleado. La empresa no controla tu móvil (no ve tus fotos, ni tu historial de navegación), pero sí controla sus aplicaciones.

Con las políticas de MAM (conocidas como App Protection Policies), podemos hacer cosas como:

• Permitir que abras un Excel adjunto en la app de Outlook.
• PERO impedir que copies y pegues el contenido de ese Excel en tu WhatsApp o en tu Gmail personal.
• Forzar un PIN de acceso solo para abrir las apps de empresa (Outlook, Teams, OneDrive).
• Permitir guardar el archivo solo en el OneDrive de la empresa, no en el almacenamiento local del teléfono.

Si el empleado deja la empresa, el departamento de IT simplemente envía una señal de "borrado selectivo". Intune borra el contenedor de empresa (emails, contactos, archivos) sin tocar ni una sola foto personal del dispositivo. Es el equilibrio perfecto entre flexibilidad y seguridad.

¿Qué reemplaza Intune de la "Vieja Escuela"?

La migración es clara. Intune, junto a su compañero Azure Active Directory (ahora renombrado a Microsoft Entra ID), está reemplazando piezas clásicas del puzzle de IT:

• Reemplaza las GPOs de Active Directory: En lugar de GPOs, ahora usamos "Perfiles de Configuración" en Intune. Son más flexibles, modernos (funcionan con Windows 10/11, macOS, iOS y Android) y se aplican vía Internet.
• Reemplaza (en parte) a SCCM: Para el despliegue de software en la nube y la gestión de actualizaciones (Windows Update for Business), Intune es el nuevo estándar. SCCM sigue siendo el rey para tareas muy complejas (como desplegar sistemas operativos en servidores locales), pero para el portátil del usuario, Intune es el camino.
• Reemplaza la "unión al dominio" tradicional: Antes, un PC tenía que estar "unido al dominio" local. Ahora, usamos "Azure AD Join" (o Entra ID Join). El PC se registra directamente contra la nube.
• Reemplaza la necesidad de VPN (para gestión): El portátil ya no necesita "llamar a casa" por VPN para recibir políticas o actualizaciones. Mientras tenga Internet, Intune lo encontrará y lo gestionará.

La Magia de Autopilot: El Fin del "Maquetado"

Si hay algo que demuestra el poder de esta nueva filosofía es Windows Autopilot.

El proceso "vieja escuela" era:

1. Comprar 50 portátiles.
2. Llevarlos al departamento de IT.
3. El técnico de IT pasaba días "maquetándolos" (instalando Windows desde una imagen personalizada, drivers, software base...).
4. Entregárselo al usuario.

El proceso "nueva escuela" con Intune + Autopilot:

1. Comprar 50 portátiles (el proveedor sube sus números de serie a nuestro Intune).
2. Enviar el portátil precintado directamente a casa del empleado.
3. El empleado lo enciende, se conecta a su Wi-Fi y pone su email y contraseña de empresa.
4. Autopilot reconoce el equipo, Intune toma el control y, durante los siguientes 30 minutos, instala todo (políticas, apps, Office) automáticamente desde la nube.

El técnico de IT ni siquiera ha tocado la caja. Esto no es ciencia ficción, es el día a día de miles de empresas que han adoptado la gestión moderna.

No es una herramienta, es una nueva filosofía

Intune no es solo "un SCCM en la nube". Es un cambio de mentalidad. Es la respuesta de Microsoft al mundo post-perímetro, un mundo donde la seguridad no puede depender de un muro físico.

La "vieja escuela" del Active Directory y las GPOs era sólida, pero rígida. Pertenecía a una época en la que el trabajo ocurría en un lugar físico concreto. Hoy, el trabajo es una actividad, no un lugar.

Adoptar Intune significa adoptar el Zero Trust (Confianza Cero): no confiar en nadie por defecto, ni siquiera si está "dentro" de la oficina, y verificar siempre la identidad del usuario y la "salud" del dispositivo antes de dar acceso.

Es un camino que, como todo en tecnología, requiere aprendizaje (pregúntenle a cualquier SysAdmin que esté migrando GPOs a perfiles de Intune), pero es un camino sin retorno. La gestión de IT ha salido definitivamente del cuarto de servidores y ahora vive en la nube.