Despliegue masivo mediante Microsoft Intune

Empuje la extensión de navegador y el agente de escritorio de Zeuslock a todo su parque Windows con Microsoft Intune. Plantillas ADMX, paquete Win32 LOB, despliegue por anillos y los fallos reales que verá.

Qué va a desplegar

Dos artefactos aterrizan en cada endpoint gestionado: la extensión de navegador de Zeuslock (instalación forzada en Edge y Chrome mediante ADMX) y el agente de escritorio de Zeuslock (aplicación Win32 LOB que captura los clientes de IA nativos invisibles desde el navegador). Ambas instalaciones son silenciosas y reportan a la misma Consola del Operador en app.zeuslock.ai.

Esta guía acompaña a un ingeniero de endpoint en un despliegue Intune limpio — alrededor de una hora de trabajo de administración, seguida de un despliegue por anillos durante una o dos semanas.

Requisitos previos

  • Licencias Microsoft 365 E3, E5 o Intune independiente para cada dispositivo a inscribir.
  • Una cuenta con el rol Administrador de Intune o Endpoint Security Manager en Entra ID (antes Azure AD).
  • Dispositivos ya enrolados en MDM — Autopilot, unión híbrida a AAD o cogestión con Configuration Manager son todas opciones válidas.
  • Edge y/o Chrome ya presentes en los equipos objetivo (Edge viene con Windows 10/11; Chrome suele empujarse aparte).
  • Un token de enrolamiento pre-provisionado desde Zeuslock. Genérelo antes de empezar: Consola del Operador → Ajustes → Dispositivos → Enrolamiento de flota → Generar token. Fije un tope opcional de dispositivos y una caducidad que cubra su ventana de despliegue (90 días es un valor por defecto razonable).

El token de enrolamiento es un secreto al portador. Trátelo como una clave de API — guárdelo en su gestor de secretos, nunca en claro en un script versionado, y rótelo tras finalizar el despliegue.

Parte 1: Forzar la extensión de navegador mediante ADMX

Paso 1 — Importar las plantillas ADMX de Zeuslock

Descargue el último paquete ADMX y extráigalo al central store de Intune:

Invoke-WebRequest -Uri "https://download.zeuslock.ai/admx/latest" -OutFile "$env:TEMP\zeuslock-admx.zip"
Expand-Archive -Path "$env:TEMP\zeuslock-admx.zip" -DestinationPath "$env:TEMP\zeuslock-admx" -Force
Copy-Item "$env:TEMP\zeuslock-admx\*.admx" "\\$env:USERDNSDOMAIN\SYSVOL\$env:USERDNSDOMAIN\Policies\PolicyDefinitions\"
Copy-Item "$env:TEMP\zeuslock-admx\es-ES\*.adml" "\\$env:USERDNSDOMAIN\SYSVOL\$env:USERDNSDOMAIN\Policies\PolicyDefinitions\es-ES\"

En entornos puramente Intune sin central store de AD, las plantillas ADMX de Edge y Chrome ya están ingeridas por Intune. Solo necesita los ADMX de Zeuslock si va a usar los nodos de política personalizados (anulación de endpoint de telemetría, logs de depuración). Para la instalación forzada únicamente, pase al paso 2.

Paso 2 — Crear el perfil de configuración

  1. Abra el centro de administración de Microsoft Intune: Dispositivos → Perfiles de configuración → Crear perfil.
  2. Plataforma: Windows 10 y posterior. Tipo de perfil: Plantillas → Plantillas administrativas.
  3. Nómbrelo Zeuslock - Instalación forzada extensión navegador.
  4. En el selector de ajustes, navegue a Configuración del equipo → Microsoft Edge → Extensiones y abra Controlar qué extensiones se instalan silenciosamente (la directiva ExtensionInstallForcelist).
  5. Actívela y añada la entrada: iicgcadhcgbckmpapjihechjpgcdamhd;https://clients2.google.com/service/update2/crx.
  6. Repítalo para Chrome bajo Configuración del equipo → Google → Google Chrome → Extensiones → Configurar la lista de aplicaciones y extensiones instaladas de forma forzada.

El ID de extensión de arriba es un marcador — copie el ID de producción desde Ajustes → Dispositivos → Extensión de navegador en la Consola del Operador. La cadena antes del punto y coma es el ID; la URL después es el manifiesto de actualización.

Paso 3 — Asignar

Asigne el perfil a Todos los usuarios o, mejor, a un grupo de seguridad piloto de Entra que solo contenga a su equipo de IT. Haga clic en Revisar + crear. La primera sincronización llega a los dispositivos en menos de 8 horas; puede forzarla desde el equipo con dsregcmd /refreshprt seguido de Ajustes → Cuentas → Acceso a trabajo o escuela → Sincronizar.

Parte 2: Desplegar el agente de escritorio como aplicación Win32 LOB

Paso 1 — Empaquetar el MSI

Descargue ZeuslockAgent.msi desde https://download.zeuslock.ai/agent/windows/latest y la Microsoft Win32 Content Prep Tool desde el GitHub de Microsoft. Después empaquete:

.\IntuneWinAppUtil.exe -c "C:\Packaging\Zeuslock\source" -s "ZeuslockAgent.msi" -o "C:\Packaging\Zeuslock\output" -q

Obtendrá ZeuslockAgent.intunewin en la carpeta de salida.

Paso 2 — Crear la app Win32 en Intune

  1. Aplicaciones → Windows → Agregar → Tipo: aplicación Windows (Win32).
  2. Suba el paquete .intunewin.
  3. Información de la app: Nombre Zeuslock Desktop Agent, Publicador Zeuslock, Categoría Seguridad.
  4. Programa: introduzca los comandos de instalación y desinstalación de abajo.
  5. Requisitos: Arquitectura 64 bits, SO mínimo Windows 10 1809, Espacio libre en disco 500 MB, Memoria física mínima 4096 MB.
  6. Reglas de detección: Configurar manualmente → Tipo: Archivo → Ruta C:\Program Files\Zeuslock\Agent, Archivo zeuslock-agent.exe, Método El archivo o carpeta existe.
  7. Asignaciones: Requerido → Todos los dispositivos (o su grupo piloto).

Comandos de instalación y desinstalación

msiexec /i "ZeuslockAgent.msi" /qn ZEUS_ENROLL_TOKEN=<su-token>
msiexec /x {a8f4c2e0-9b1d-4d5e-8c3f-7e6b9d2a1c8f} /qn

Sustituya <su-token> por el token de enrolamiento generado antes. El GUID de producto es estable entre versiones — verifíquelo en HKLM:\SOFTWARE\Classes\Installer\Products en una máquina de prueba tras una instalación manual.

Verificación en un equipo de prueba

Antes de escalar, demuestre que funciona en un equipo. Elija un dispositivo del anillo piloto, fuerce la sincronización y compruebe:

  1. Icono de bandeja: el escudo de Zeuslock aparece junto al reloj en los cinco minutos posteriores a la entrega de la directiva.
  2. Estado del agente desde una consola PowerShell elevada:
    & "C:\Program Files\Zeuslock\Agent\zeuslock-agent.exe" status
    Esperado: Status: Connected | Tenant: <su-tenant> | Policy version: <n>.
  3. Extensión de navegador: abra edge://extensions. La entrada de Zeuslock debe mostrar Instalada por la empresa sin botón de eliminación.
  4. Consola del Operador → Dispositivos: el hostname aparece con estado En línea en menos de dos minutos.

Despliegue por oleadas

No asigne a Todos los dispositivos el primer día. Escalone:

  • Anillo 0 — IT (día 0): sus propios portátiles. Detecte problemas de empaquetado antes que los usuarios.
  • Anillo 1 — 10 % de un departamento (día 3): elija un equipo amistoso con un campeón identificado.
  • Anillo 2 — 50 % (día 7): amplíe a varios departamentos. Vigile la cola de incidentes y los falsos positivos en la Consola del Operador.
  • Anillo 3 — 100 % (día 10-14): parque completo. Mantenga las políticas en modo Monitor las dos primeras semanas antes de pasar a Anonymize o Block.

Fallos frecuentes de Intune

  • Retraso de asignación. Intune no es instantáneo. Los cambios de pertenencia a grupo pueden tardar hasta 8 horas. Fuerce sincronización desde el dispositivo para pruebas impacientes.
  • ADMX no sincronizados. Si la directiva de extensión no aparece en edge://policy, ejecute gpupdate /force y reinicie Edge. En MDM puro, revise Visor de eventos → Registros de aplicaciones y servicios → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider.
  • Código de salida MSI 1603. Casi siempre un ZEUS_ENROLL_TOKEN ausente o mal formado. Inspeccione C:\Windows\Temp\zeuslock-install.log — el instalador del agente siempre lo escribe.
  • Directiva de extensión Edge en conflicto. Si otra directiva fija ExtensionInstallBlocklist con un comodín, la extensión Zeuslock queda bloqueada pese al force-install. Añada el ID de Zeuslock explícitamente en ExtensionInstallAllowlist.
  • App Win32 atascada en Esperando el estado de instalación. Regla de detección mal puesta — la ruta especificada no existe tras la instalación. Conéctese a un equipo de prueba y confirme que el agente se instala en C:\Program Files\Zeuslock\Agent, no en Program Files (x86).

Una vez el Anillo 3 esté en verde y la cola de incidentes en la Consola del Operador estable, su despliegue Intune está terminado. Pase al ajuste de políticas — vea la guía Primer disparo de detección para la progresión recomendada Monitor → Anonymize → Block.