Problema

Los ingenieros que gestionan entornos Microsoft Modern Workplace suelen encontrarse con una oferta fragmentada de cursos: algunos cubren Intune a nivel básico, otros se centran en certificaciones específicas, pero pocos entregan un recorrido de extremo a extremo que incluya escenarios empresariales, laboratorios prácticos y la integración de todas las piezas del ecosistema (Azure, Entra ID, Defender, Purview, Zero Trust, etc.). La falta de una ruta estructurada obliga a combinar varios recursos dispersos, lo que genera lagunas de conocimiento, pérdida de tiempo y, en producción, errores de configuración que afectan la seguridad y la experiencia del usuario.

Causa

  1. Currículos aislados – Plataformas de e‑learning tienden a crear cursos centrados en una sola tecnología. Un curso de Intune avanzado rara vez incluye cómo combinarlo con co‑management o con Azure AD Conditional Access.
  2. Actualizaciones rápidas del stack – Microsoft lanza nuevas funcionalidades (por ejemplo, Windows Autopatch) con frecuencia. Los materiales que no se actualizan semanalmente quedan obsoletos y no reflejan los flujos reales de trabajo.
  3. Escasez de laboratorios en la nube – Muchos proveedores ofrecen videos teóricos pero no entornos de prueba que reproduzcan la complejidad de una empresa con cientos de dispositivos, grupos de seguridad y políticas de cumplimiento.
  4. Enfoque en certificaciones – Preparar exámenes (MS‑700, MS‑500, etc.) es útil, pero no garantiza que el ingeniero pueda diseñar e implementar una arquitectura Zero Trust completa.
  5. Falta de guía de integración – La mayoría de los cursos ignoran la interdependencia entre PowerShell, Microsoft Graph y las políticas de Endpoint security, lo que lleva a scripts que funcionan en aislamiento pero fallan al combinarse.

Solución

Construir una ruta de capacitación modular y auto‑gestionada, basada en los siguientes pilares:

1. Definir bloques de conocimiento

Bloque Contenidos clave Resultado esperado
Intune avanzado Gestión de dispositivos, despliegue de apps, políticas de cumplimiento, Autopilot, co‑management, Windows Autopatch, troubleshooting Capacidad para diseñar y operar un tenant de Intune en producción
Azure & Entra ID Azure subscription, RBAC, Conditional Access, Identity Protection, integración con on‑prem AD, Azure AD Connect, gestión de grupos dinámicos Implementar un modelo Zero Trust con identidad como perímetro
Seguridad y cumplimiento Microsoft Defender for Endpoint, Defender for Identity, Purview, políticas de Data Loss Prevention, auditorías de cumplimiento Configurar defensa en profundidad y generar reportes de cumplimiento
Automatización PowerShell, Microsoft Graph API, Azure Automation, Runbooks, gestión de dispositivos a escala Crear scripts que automaticen onboarding, auditorías y remediaciones
Migraciones y gestión de M365 Planeación de tenant-to-tenant, migración de datos, configuración de Exchange Online, Teams, SharePoint, licenciamiento Ejecutar migraciones sin interrupción del usuario
Laboratorios reales Entornos sandbox en Azure, uso de Microsoft Learn sandbox, despliegue de plantillas ARM, pruebas de políticas en grupos piloto Validar cada módulo antes de pasar a producción

2. Seleccionar fuentes fiables

  • Microsoft Learn – rutas oficiales actualizadas semanalmente; incluye módulos interactivos y laboratorios en sandbox.
  • Pluralsight – series “Advanced Intune” y “Zero Trust Architecture” con ejercicios prácticos.
  • GitHub repos – busca proyectos como “Intune‑PowerShell‑Samples” o “Graph‑API‑Automation”. Son código abierto, revisado por la comunidad y se actualizan con cada cambio de API.
  • Cursos de terceros con laboratorio en Azure – plataformas como A Cloud Guru o Udemy que ofrecen suscripciones a laboratorios Azure por horas. Verifica que el curso incluya scripts de despliegue y que el instructor publique actualizaciones trimestrales.

3. Diseñar un plan semanal

  1. Semana 1‑2 – Fundamentos de Azure y Entra ID. Crear una suscripción de prueba, habilitar Azure AD Connect y configurar al menos dos Conditional Access policies.
  2. Semana 3‑4 – Intune básico: enrolamiento de Windows 10/11 con Autopilot, despliegue de una aplicación Win32 y creación de una política de cumplimiento.
  3. Semana 5‑6 – Extender a co‑management con Configuration Manager, probar Windows Autopatch en un grupo piloto y documentar los logs de troubleshooting.
  4. Semana 7‑8 – Seguridad: habilitar Defender for Endpoint, crear una política de ataque surface reduction y validar la detección de una amenaza simulada.
  5. Semana 9‑10 – Automatización: escribir un script PowerShell que recupere el estado de cumplimiento de todos los dispositivos y lo exporte a CSV; luego migrar la lógica a Microsoft Graph con un token de aplicación.
  6. Semana 11‑12 – Laboratorio de integración: combinar Intune, Azure AD y Defender en un escenario de Zero Trust; ejecutar pruebas de acceso condicional desde dispositivos gestionados y no gestionados.

4. Validar con pruebas de campo

  • Prueba de onboarding: registrar 10 dispositivos reales, aplicar políticas y medir el tiempo de cumplimiento.
  • Prueba de resiliencia: desconectar temporalmente la conexión a internet y observar la capacidad de los dispositivos para aplicar políticas en modo offline.
  • Prueba de seguridad: lanzar un ataque de phishing simulado y comprobar la respuesta de Defender y la política de Conditional Access.

5. Mantener el curriculum vivo

  • Suscribirse a los blogs oficiales de Microsoft Security y Intune.
  • Configurar alertas en GitHub para repositorios de scripts de Intune y Graph.
  • Programar una revisión trimestral del plan: actualizar módulos que hayan perdido relevancia y añadir nuevas funcionalidades (por ejemplo, Microsoft Endpoint Manager Analytics).

Cuándo aplicar esta solución

  • Síntomas: El equipo de TI necesita estandarizar la gestión de dispositivos, pero cada ingeniero sigue usando guías distintas; los incidentes de cumplimiento son recurrentes; la documentación interna está desactualizada.
  • Escenarios válidos: Empresas medianas a grandes que han adoptado Microsoft 365 y buscan consolidar la gestión de endpoints; equipos que recién migran a Azure AD y necesitan una hoja de ruta estructurada.
  • Exclusiones: Organizaciones que solo gestionan unos pocos dispositivos y no requieren automatización a escala; entornos que usan exclusivamente soluciones de terceros (por ejemplo, Jamf para macOS) sin integración profunda con Microsoft.

Código

# Obtén un token de aplicación para Microsoft Graph (reemplaza los placeholders)
az ad sp create-for-rbac --name "IntuneAutomationApp" --role "Intune Service Administrator" --scopes "/"
# Exporta el token a una variable de entorno
export GRAPH_TOKEN=$(az account get-access-token --resource https://graph.microsoft.com --query accessToken -o tsv)

# Lista todos los dispositivos gestionados y su estado de cumplimiento
curl -s -H "Authorization: Bearer $GRAPH_TOKEN" \
  "https://graph.microsoft.com/v1.0/deviceManagement/managedDevices?\$select=deviceName,complianceState" \
  | jq '.value[] | "\(.deviceName) \(.complianceState)"' > compliance_report.csv

Verificación

  1. Ejecuta el script anterior y abre compliance_report.csv. Cada fila debe contener el nombre del dispositivo y su estado (compliant, noncompliant, unknown).
  2. Verifica que al menos el 90 % de los dispositivos en el entorno de pruebas aparezcan como compliant.
  3. Si aparecen dispositivos noncompliant, revisa la política de cumplimiento asociada en Intune y corrige la configuración (por ejemplo, requisitos de cifrado o versión mínima de OS).

Notas adicionales

  • Gestión de credenciales: Usa Azure Key Vault para almacenar el secreto de la aplicación Graph; nunca lo incluyas en scripts sin cifrar.
  • Límites de API: Microsoft Graph impone throttling; agrupa peticiones con $batch cuando necesites consultar miles de dispositivos.
  • Entorno de pruebas: Configura un tenant de Azure separado para laboratorios; evita mezclar datos de producción con pruebas de certificación.
  • Documentación viva: Mantén un repositorio Git con los scripts, plantillas ARM y notas de laboratorio. Cada cambio de versión de Intune o Azure AD debe ir acompañado de un commit que indique la fecha y la referencia de la actualización oficial.

Con este enfoque modular, cualquier ingeniero puede construir una base sólida, actualizarla de forma continua y, lo más importante, aplicar los conocimientos directamente en entornos productivos sin depender de un único curso “todo‑en‑uno”.