viernes, 26 de noviembre de 2021

Mover silenciosamente carpetas de usuario a Onedrive

 Hola, 

Tras apreciar que las últimas versiones de ADMX que nos permiten añadir capacidades de gestión de Onedrive vía GPO, están perdiendo riqueza y se están eliminando opciones de configuración en ventaja de Intune que es donde Microsoft se está llevando la capacidad de configuración. He estado investigando y opciones interesantes, como la de mover el contenido de Mis Documentos, Mis Imagenes y Escritorio a Onedrive, configurando así una nueva forma de mantener los datos de usuarios a través de los PCs o escritorios en los que se valide y a su vez tener una copia de seguridad en cloud de la información del usuario.



La forma de añadir las gpos por cierto, las podéis ver aquí: How to add OneDrive sync settings in Local Group Policy Editor (thewindowsclub.com)

En relación a las claves de registro para redirección de carpetas comentada, los pasos son los siguientes.

Claves de registro interesantes para configurar la redirección silenciosa de las carpetas:

1. Recoger el ID del tenant, para ello hay que iniciar sesión en Portal.azure.com y propiedades del tenant.




2. Añadir clave en el registro: [HKLM\SOFTWARE\Policies\Microsoft\OneDrive]"KFMSilentOptIn"="1111-2222-3333-4444IDtenant"
Valor tipo Cadena - REG_SZ

Activar o silenciar aviso a usuarios:

[HKLM\SOFTWARE\Policies\Microsoft\OneDrive]"KFMSilentOptInWithNotification"

0. NO

1. SI

Con esto ya estaría y cerrando Onedrive y volviéndolo a abrir, o bien reiniciando el equipo, ya movería el contenido a Onedrive.

Podemos también seleccionar qué carpetas queremos sincronizar, esto se modera con las siguientes entradas: 

[HKLM\SOFTWARE\Policies\Microsoft\OneDrive]"KFMSilentOptInDesktop"

[HKLM\SOFTWARE\Policies\Microsoft\OneDrive]"KFMSilentOptInDocuments"

[HKLM\SOFTWARE\Policies\Microsoft\OneDrive]"KFMSilentOptInPictures"

Entrada Reg_word  :  Valor 1 moverá la carpeta y Valor 0 no moverá la carpeta.

miércoles, 27 de octubre de 2021

Comparativa entre Windows 365 Business frente a Windows 365 Enterprise Cloud PC

 

Hola, 

Tras el lanzamiento de los nuevos productos DAAS (Desktop as a service) de escritorio en cloud de Microsoft llamados Windows 365, ya me han estado llegando las primeras dudas ante los diferentes sabores, Business y Enterprise, en los que se ofrece este nuevo producto. 

A continuación os publico una tabla que he ido haciendo de las funcionalidades que he recopilado, con el fin de tratar de posicionar cada una de las dos opciones de adquisición de Windows 365 Cloud PC.


Característica

Windows Business

Windows 365 Enterprise

 

Entre 1 y 300 escritorios

 

SI

 

SI

 

Más de 300 escritorios

 

NO

 

SI

 

El usuario ha de contar con licencia W10 Enterprise

 

NO

 

SI

 

El usuario ha de contar con licencias Azure AD P1

 

NO

 

SI


El usuario ha de disponer y es necesario contar con Endpoint Manager (Intune)

 

NO

 

SI

 

Conectividad a Azure VNET directa

 

NO

 

SI

 

Conexión de escritorio a Azure Vía Point to Site VPN

 

SI

 

SI

 

Requiere licencia M365/O365 Premium, F3,E3, E5, A3, A5 o M365 Educación (estudiantes).

 

NO

 

SI

 

Imágenes Windows personalizables

 

NO

 

SI

 

Provisión de escritorio sin entorno Azure

 

SI

 

NO

 

Posibilidad de provisionar imágenes generalizadas de Azure VMS Generación 1

 

NO

 

SI

 

Licencia asignable vía O365 Admin Center

 

SI

 

SI

 

Asociable a Azure AD

 

SI

 

SI

 

Asociable a Windows Active Directory

 

NO

 

SI

 

SSO en O365

 

SI

 

SI

 

Carpetas de perfil personales redireccionables a Onedrive

 

SI

 

SI

 

Provisionable y gestionable por INTUNE

 

SI

 

SI

 

Aplicables GPOS y polítics de Intune

 

NO

 

SI

 

Asignable a grupos de Azure AD y políticas

 

NO

 

SI

 

Admin local modificable y gestionable

 

NO

 

SI

 

Despliegue de aplicaciones desde INTUNE

 

SI **

 

SI

 

Limitaciones en tráfico de red*

 

SI

 

NO

 

Windows Update gestionable por administrador

 

SI **

 

SI

 

Monitorizable Endpoint Analytics, alertas de salud

 

NO

 

SI

 

Gestionables vía API o M365 Lighthouse

 

NO

 

SI (hasta 300)


*Tráfico saliente mensual incluido en escritorios W365 Business:

2GB Ram: 12 GB de salida, 4-8GB Ram: 20GB de salida, 16GB Ram: 40GB de salida, 32GB Ram: 70GB de salida. El tráfico de datos podrá ser restringido si se exceden los límites

 *Tráfico saliente mensual incluido en escritorios W365 Enterprise:

La salida se produce por la infraestructura de Azure, por lo se facturarán las tarifas de ancho de banda de Azure. La conectividad a nuestra VNET NO está incluida.

**Si dispones de licencia Intune

miércoles, 29 de septiembre de 2021

Nuevas licencias CSP Perpetual

 

Hola, 

Desde este mes, podemos adquirir productos Microsoft con un nuevo tipo de licencia, esta se llama licencia csp perpetua y se puede adquirir a través de los proveedores CSP acreditados. Cabe destacar que no se podrán adquirir licencias en otro formato a partir del 31 de Diciembre de 2021.

Los productos que más han resonado son Windows Server 2022 Core License y Cals, además de SQL Server Core Licenes y excepto productos de las familias Dynamics 365 On-premises, System Center y Azure DevOps Server, Microsoft prevé llevar a este modelo al resto de productos.

Los cambios son innumerables y como cambio que Microsoft más destaca es que el software y la licencia la tendremos que ir a buscar en la consola "Microsoft 365 admin center", además, se puede auditar quien y cuando se han consultado las claves y descargado el software 

En general, de las licencias CSP Perpetual cabe destacar lo siguiente:

Acceso a la la clave y software

Como aspecto técnico más curiosos,  me ha gustado encontrar documentación relativa a la API a través de la cual, productos de Microsoft y de terceros por desarrollar, podrán consultar la clave de productos y realizar tareas de administración de la misma, tenéis toda la info aquí: https://docs.microsoft.com/en-us/partner-center/announcements/2021-september#apis-to-be-throttled

Ejemplo de código en C#:

    // string selectedCustomerUserId;

    // string selectedCustomerId;

    // IAggregatePartner partnerOperations;

    var customerUserAssignedLicenses =     partnerOperations.Customers.ById(selectedCustomerId).Users.ById(selectedCustomerUserId).Licenses.Get();

Ejemplo HTTP:

    GET https://api.partnercenter.microsoft.com/v1/customers/0c39d6d5-c70d-4c55-bc02-        f620844f3fd1/users/482e2152-4b49-48ec-b715-823365ce3d4c/licenses HTTP/1.1

    Authorization: Bearer <token>

    Accept: application/json

    MS-RequestId: 68e50b00-e1ff-422a-a293-158617463d41

    MS-CorrelationId: 813f15b3-eb18-4709-b2f3-668d62babf91

    X-Locale: en-US

    Host: api.partnercenter.microsoft.com


Además de los links aparecidos en el artículo, podéis encontrar más información aquí:

September 2021 announcements - Partner Center | Microsoft Docs

Download perpetual software and product license keys bought through the Cloud Solution Provider (CSP) program - Microsoft 365 admin | Microsoft Docs

https://docs.microsoft.com/en-us/partner-center/announcements/2021-september#apis-to-be-throttled

Get licenses assigned to a user by license group - Partner Center app developer | Microsoft Docs


Saludos.




domingo, 18 de abril de 2021

Despliegue de Software por GPO a través de VPN

 

Hola, 

Como bien sabéis, quienes habéis leído mi entrada anterior en este blog, el despliegue de software vía GPO se inhabilita cuando las directivas se aplican en modo refresh. Este escenario los encontramos comunmente cuando tenemos equipos fuera de la oficina  que conectan por VPN una vez ya iniciada la sesión de usuario.

Una forma de desplegar aplicaciones vía GPO a pesar de tener equipos por VPN, es la de configurar  una tarea progamada (Scheduled Task) a través también de GPOS. Con ello, podemos lanzar una orden de instalación silenciosa de software.


Programa a instalar

Para la demostración siguiente, he utilizado el programa Visio Viewer.

Download Microsoft Visio 2016 Viewer from Official Microsoft Download Center

Este programa cual ofrece un MSI que rescaté en la ruta:  C:\Program Files (x86)\MSECache\vviewer  tras instalarlo a mano en un equipo y comprobar que la instalación clásica no requiere variables.

Podéis ver todo el registro de instalación de Visio viewer en C:\Users\mhernandez\AppData\Local\Temp\Microsoft Visio Viewer 2016 (0).log y deducir todo esto.

Una vez tenemos un .MSI o .EXE que se deja instalar sin preguntas. o bien un .CMD o .BAT que nos lanza la instalación de un programa que con las variables oportunas comprobamos que se instala sin preguntas, ya tendríamos lo que necesitamos para el laboratorio.

Más información aquí: Command-Line Options - Win32 apps | Microsoft Docs


Creación de GPO

Para la creación de una GPO, iremos a "Computer configuration\Preferences\Control Panel Settings\Scheduled Tasks".

Allí podemos crear Tareas programadas tomando como ejemplo la captura que pongo a continuación.

Observar las capturas relativas a solapa, General, Triggers y Actions.

Teniendo en cuenta que desde Actions, es donde está el kit de la cuestión. Desde allí, en mi caso llamo a un archivo .cmd que tiene una única linea:  "\\servidor\carpeta compartida\viewer.msi".



En Trigger es donde podemos configurar tanto al recurrencia del disparto de la acción, como el día que queremos que caduque la tarea programada.


En Actions es donde llamamos al archivo que disparará la instalación del archivo .msi.



El resultado en un equipo afectado por la GPO es el siguiente:










martes, 13 de abril de 2021

Comportamiento de GPOS a través de VPN

 Hola, 

A raíz de la proliferación de entornos de teletrabajo, muchos administradores de sistemas con Directorio Activo, están encontrando situaciones que no les eran comunes hasta ahora.

La instalación de software o lanzado de scripts de Log-in no está funcionando vía GPO, dado que habitualmente, los equipos iniciados fuera de la Lan, no ven a los controladores de dominio, hasta que iniciamos sesión en Windows e iniciamos la conexión VPN. 

Esto no sería así, si tuviésemos IPSEC, Direct Access o accesos VPN Always on, pero no es algo común de encontrar. 

Habilitación de DirectAccess | Microsoft Docs

Comportamiento

Por definición, y aunque no está popularizado este conocimiento, las gpos se procesan cada 90 minutos con una diferencia aleatoria de 30 minutos. Por lo que podemos decir, que todas las gpos que no se han procesado al estar el equipo conectado a la red en el inicio, finalmente se procesan, si el equipo permanece conectado a la VPN. Esto viene a ser igual, en cuanto a las GPOS con opciones de usuario.

Tenéis información sobre procesamiento Síncrono y Asíncrono y sobre el proceso de refresco aquí:

RefreshPolicy function (userenv.h) - Win32 apps | Microsoft Docs

Initial Processing of Group Policy | Microsoft Docs

Logon Optimization | Microsoft Docs

Actualizar la directiva de grupo | Microsoft Docs

Excepciones

Instalación de software, Scripts de logon y redirección de carpetas.

Lo dicho anteriormente es cierto, aunque es bien cierto también, que no todas las opciones configuradas en las GPOS se aplican cada 90 minutos. "Folder Redirection" por ejemplo, o la aplicación de Scripts de logon e instalación de software vía GPO, en las opciones de GPO por equipo, no se aplicarán nunca si el equipo no alcanza a los controladores de dominio en el arranque del sistema operativo. En cuanto a estas opciones lanzadas por usuario, si no se alcanzan los DCs tras la introducción de las credenciales.

Conectividades lentas

Aun con todo lo comentado, todo equipo conectado por VPN tendrá una conexión considerada lenta si esta ofrece 500kbps. Esta consideración es la que encontramos por defecto, aunque permite ser cambiada.

La política en cuestión, la podéis encontrar en las opciones por equipo: 

    Policies\Adminsitrative Templates\System\Group Policy

    Con nombre: Configure Group Policy slow link detection . Podréis variar la consideración entre 0 y        4.294.967.200 kbps. Si configuráis la cifra 0 desactivaréis la consideración de Slow Link.

La consideración lenta, también puede determinarse por otras situaciones a pesar de tener más de 500kbp, por ejemplo serían estas:

- Slow-link mode:  Determinación de latencia según path. (“Configure slow-link mode” policy on Vista for Offline Files | Microsoft Docs)

- Tiempo de espera: Control Slow Network Connection 120 milisegundos (GPS: Control slow network connection timeout for user profiles (gpsearch.azurewebsites.net)

- PingBufferSize: Algoritmo por cierto que ha varia en Windows Server 2019 y versiones superiores a Windows 10 1809. (https://docs.microsoft.com/en-us/troubleshoot/windows-server/user-profiles-and-logon/manage-profile-service-slow-link-detection#how-slow-link-detection-works-in-current-operating-systems)

La consideración de conexión lenta según PingBufferSize, ha variado según versión de Windows:

  • Windows Server 2019 and Windows 10 1809: KB 4601383, February 16, 2021-KB4601383 (OS Build 17763.1790) Preview
  • Windows 10 1909: KB 4601380, February 16, 2021—KB4601380 (OS Build 18363.1411) Preview
  • Windows 10 20H1/20H2: KB 4601382, February 24, 2021—KB4601382 (OS Builds 19041.844 and 19042.844) Preview

También, podéis cambiar el comportamiento de conexión lenta a través de las siguientes opciones en GPO:

A modo de diagnóstico. El evento que veréis cuando no podremos por ejemplo aplicar un Roaming profile es el siguiente:

Log Name: Application

Source: Microsoft-Windows-User Profiles Service

Event ID:1543

Y por ejemplo, el aviso que un usuario verán en perfiles móviles dirá lo siguiente: 

Your roaming profile isn't synchronized with the server because a slow network connection is detected. You've been signed in with a local profile.

Más información la podéis encontrar aquí: https://docs.microsoft.com/en-us/troubleshoot/windows-server/user-profiles-and-logon/manage-profile-service-slow-link-detection#settings-that-control-slow-link-detection

Slow Link Mode - Archivos Offline

Event ID=1004

Description:  Path \server\share$ transitioned to slow link with latency = 81 and bandwidth = 258888 

“Configure slow-link mode” policy on Vista for Offline Files | Microsoft Docs


Las opciones de las directivas de grupo no aplicará en conexiones Slow Link son las siguientes:


COMPONENTE


FORZADO (Push)


Deployed Printer Connections

No

Disk Quotas

No

Folder Redirection

No

Scripts

No

Software Installation

No