Automatizar la configuración de nuevos dispositivos con NinjaOne: cómo hacerlo

Este artículo está basado en un webinar realizado por NinjaOne y pretende ser un complemento para que nuestros usuarios lo puedan seguir mejor. Puedes ver el webinar completo aquí.

Incorporar nuevos endpoints puede ser una tarea que requiera mucho tiempo. Por suerte, en muchas ocasiones, los pasos necesarios para configurar, proteger e instalar un endpoint pueden estandarizarse y automatizarse para reducir drásticamente la inversión de tiempo necesaria. Con las herramientas adecuadas, puedes incluso automatizar la configuración personalizada de dispositivos a escala.

Este artículo proporciona un marco para la configuración de tus automatizaciones y cinco ejemplos paso a paso que puedes implementar de inmediato en NinjaOne.

El nuevo marco de configuración de dispositivos

Hemos dividido el nuevo proceso de automatización de la configuración de dispositivos en cinco pasos:

• Limpiar el dispositivo
• Configurar el endpoint
• Instalar las aplicaciones necesarias
• Implementar los recursos de seguridad y
• Validar

Para el primer y el último paso, el orden es importante, pero para los tres pasos intermedios es probable que vayas saltando de un paso a otro según tus necesidades.

Limpiar el dispositivo

Este paso va a ser muy relevante si estás reciclando un dispositivo usado anteriormente. Es importante eliminar todos los datos del anterior usuario y restablecer el dispositivo a un punto de partida para que el nuevo usuario tenga la mejor experiencia posible. En el caso de nuevos endpoints, tal vez sea necesario realizar una limpieza para, por ejemplo, eliminar el bloatware.

Algunos pasos de la limpieza pueden ser:

• Ejecutar la reparación de Windows Update
• Eliminar usuarios no utilizados y cuentas de administrador
• Eliminar el software preinstalado
• Eliminar versiones antiguas de software y volver a instalarlas
• Eliminar impresoras no utilizadas y preinstaladas
• Borrar carpetas temporales, eliminar datos de usuario

Configurar el endpoint

Hay miles de posibles cambios de configuración que puedes realizar en un endpoint antes de que el usuario final tome el control de su dispositivo. Estos cambios suelen ser para mejorar la seguridad o la experiencia del usuario final.

Ejemplo de cambios de configuración:

• Desactivar Fastboot
• Añadir perfil SSID de la red wifi
• Establecer planes de energía
• Establecer el nombre del ordenador
• Asignar unidades de red
• Establecer claves de registro
• Activar y configurar puntos de restauración
• Desactivar la actualización a Windows 11
• Establecer las fechas de vencimiento de las cuentas locales
• Configurar los ajustes del usuario final (idioma, hora, regiones, disposición del teclado, establecer aplicaciones por defecto)

Instalar aplicaciones

Uno de los casos de uso más sencillos, y probablemente más comunes, para automatizar la configuración de dispositivos es el despliegue de aplicaciones.

Ejemplos de aplicaciones y categorías de aplicaciones

• Software de seguridad (AV, NGAV, EDR, etc.)
• Aplicaciones de productividad (Office 365, Slack, Zoom)
• Softwares de copia de seguridad (Ninja Data Protection, Acronis)
• VPN (con servidor y dominio configurados)
• Aplicaciones de línea de negocio
• SSO

Implementar recursos de seguridad

Tanto si se trata de implementar aplicaciones de seguridad, como de reforzar un endpoint mediante cambios de configuración o de actualizarlo por completo antes del traspaso, la parte potencialmente más importante de la configuración de un nuevo dispositivo es la protección del endpoint.

Ejemplos de configuraciones de seguridad

• Crear un administrador local
• Configurar la rotación de contraseñas para el administrador local
• Activar Bitlocker
• Activar el firewall y asegurarte de que el perfil está activado
• Aplicar el último parche disponible del sistema operativo
• Ejecutar actualizaciones de firmwares OEM y BIOS

Validación

El paso de validación es el último y más crítico en el proceso de configurar un dispositivo automatizado. La automatización ahorra muchísimo tiempo, pero carece de la supervisión que proporciona un enfoque más práctico. Al automatizar también la validación, puedes asegurarte de que el nuevo dispositivo cumple las especificaciones (y tomar medidas si no es así) antes de que el usuario final empiece a utilizarlo.

Automatizar la configuración de nuevos dispositivos en NinjaOne (Ejemplos)

Los siguientes cinco ejemplos siguen el marco definido anteriormente, con un ejemplo por paso. Estos ejemplos pretenden ser lo suficientemente genéricos como para aplicarse fácilmente en cualquier entorno, lo suficientemente amplios como para ser aplicables a muchos y fácilmente reproducibles. Cada uno de estos cinco ejemplos se incluiría en una política a la que se añadirían nuevos dispositivos para automatizar su configuración.

Deberías poder reutilizar fácilmente estos pasos para crear tu propio proceso automatizado de configuración de dispositivos.

Ejemplo 1 – Limpieza – Ejecutar la reparación de Windows Update

Al volver a aprovisionar un dispositivo usado para un nuevo usuario, debes asegurarte de que Windows Update funcione según lo previsto. Para ello, puedes ejecutar un script de reparación de Windows Update antes de implementar cualquier workflow de aplicación de parches.

Cómo configurar la automatización de la reparación de Windows Update

1. Dirígete a la sección de scripts programados de tu política de dispositivos
2. Crea un nuevo script programado
3. Completa el nombre y la descripción
4. Prográmalo en «Ejecutar una vez inmediatamente» (este escript se activará solo una vez, durante el primer registro)
5. Añade tu script de reparación de Windows Update (los usuarios de Ninja pueden ver los scripts que hemos utilizado aquí).

Ejemplo 2 – Configuración – Desactivar Fastboot

Con el Fastboot activado, los usuarios finales podrían pensar que están reiniciando su ordenador cuando en realidad lo están poniendo en hibernación. Esto puede provocar que algunos parches no se instalen, dejando a los endpoints en un estado de vulnerabilidad.

En este ejemplo, estamos utilizando una condición para comprobar continuamente si el Fastboot está activado y desactivarlo. Si la desactivación del Fastboot falla, enviaremos una notificación y crearemos un ticket, ya que es probable que sea necesaria la intervención manual.

Cómo configurar el monitor Fastboot y desactivar la automatización

1. Importa el script «Disable-WindowsFastBoot» desde la biblioteca de plantillas de scripts de NinjaOne
2. Ve a la sección de condiciones de tu política de dispositivos
3. Crea un nuevo script de condición del tipo «Condición de resultado de script»
4. En «script de evaluación», elige «Disable-WindowsFastBoot» y en «Con salidaWith Output Contains ‘Fail’, selecciona «Contiene “Fail”»
5. Completa el nombre y la descripción
6. Añade una notificación y/o una regla de ticketing para garantizar un seguimiento adecuado

Ejemplo 3 – Instalar aplicaciones

Uno de los pasos más habituales a la hora de configurar un nuevo dispositivo es desplegar las aplicaciones necesarias. A menudo tendrás que desplegar varias aplicaciones para que el dispositivo esté listo.

Cómo desplegar aplicaciones

1. Dirígete a la sección de scripts programados de tu política de dispositivos
2. Crea un nuevo script programado
3. Completa el nombre y la descripción
4. Prográmalo a «Ejecutar una vez inmediatamente»
5. Haz clic en «Añadir script» y selecciona los scripts de instalación de aplicaciones que desees desplegar
   1. Puedes utilizar el script Install Application incorporado para desplegar la mayoría de los paquetes MSI / EXE / DMG / PKG
6. Coloca las aplicaciones en el orden que quieras que se instalen

Ejemplo 4 – Seguridad – Administrador local

Muchos MSP y equipos de TI utilizan una cuenta de administrador local en los endpoints para asegurarse de que disponen de un vehículo para realizar acciones privilegiadas en los endpoints gestionados. La creación de esta cuenta de administrador local durante la configuración ayuda a garantizar que otras acciones durante la configuración tengan más probabilidades de éxito.

Cómo crear una cuenta de administrador local

1. Dirígete a la sección de scripts programados de tu política de dispositivos
2. Crea un nuevo script programado
3. Completa el nombre y la descripción
4. Prográmalo a «Ejecutar una vez inmediatamente»
5. Añade tu script «Crear administrador local»(los usuarios de Ninja pueden ver los scripts que hemos aquí)

Es probable que quieras rotar la contraseña de administrador regularmente para garantizar una mayor seguridad.

Cómo rotar la contraseña de administrador

• Ve a «Campos personalizados globales»
• Crea un nuevo campo personalizado con tipo igual a «seguro»
  • En el script enlazado, el nombre del campo es «domainadminpassword»
• Dirígete a la sección de scripts programados de tu política de dispositivos
• Crea un nuevo script programado
• Completa el nombre y la descripción
• Configúralo para que se ejecute en el horario adecuado (semanalmente, por ejemplo)
• Añade tu script de rotación de contraseñas(los usuarios de Ninja pueden ver los scripts que hemos usado aquí)

Ejemplo 5 – Validación

El último paso, la validación, garantiza que estés al tanto de cualquier problema que surja durante el proceso automatizado de configuración de nuevos dispositivos.

Cómo configurar la validación

• Ve a «Campos personalizados globales»
• Crea un nuevo campo personalizado con texto de tipo para cada paso de tu flujo de trabajo de incorporación
• Incorpora un código de comprobación de errores en cada script de tu su proceso de incorporación que escriba los resultados de éxito o fallo en el campo personalizado asociado.
• Crea una nueva condición con tipo igual a «campo personalizado»
• Comprueba si hay un mensaje de error en cada campo personalizado
• Crea una notificación o un ticket si detectas un fallo

El paso de validación crea un ticket en caso de fallo, ya que en este punto la automatización ha identificado un problema y es probable que sea necesaria la intervención manual.

Automatización de la configuración de dispositivos basada en imágenes vs. basada en agentes

Tradicionalmente, los dispositivos nuevos se configuraban desplegando una imagen maestra en el endpoint. Esta imagen maestra tenía todas las configuraciones y aplicaciones necesarias ya desplegadas. El proceso que hemos visto utiliza un enfoque basado en agentes. Ambos enfoques presentan ventajas e inconvenientes, que se exponen a continuación:

	Basado en imágenes	Basado en agentes (NinjaOne)
Ideal para	Entornos altamente estandarizados Entornos de oficina	Entornos remotos y distribuidos Endpoints que necesitan personalización
Beneficios	Configuración estandarizada de los dispositivos Eliminación del dispositivo (privacidad de datos) Sin pasos de validación	Configuración automatizada en las instalaciones del usuario final Personalización a escala Configuración más fácil Puede preinstalarse en una imagen maestra
Inconvenientes	Doble envío para empleados remotos Requiere mucho tiempo No se puede personalizar	Más puntos de fallo

 

Si gestionas endpoints remotos y distribuidos o si necesitas personalización a escala para configurar nuevos endpoints, un enfoque basado en agentes es mucho más adecuado.

¿Listo para automatizar la configuración de nuevos dispositivos?

Aunque los ejemplos de este artículo son genéricos y relativamente sencillos, deberían ser un buen punto de partida para que automatices la configuración de tus nuevos dispositivos. Si estás listo para empezar a automatizar la configuración de tus dispositivos, regístrate para una prueba gratuita de NinjaOne.