Planear la implementación de la unión a Microsoft Entra híbrido
Si tiene un entorno local de Active Directory Domain Services (AD DS) y quiere unir sus equipos unidos a un dominio AD DS a Microsoft Entra ID, puede hacerlo mediante una unión a Microsoft Entra híbrido.
Sugerencia
El acceso del inicio de sesión único (SSO) a los recursos locales también está disponible para los dispositivos que están unidos a Microsoft Entra. Para obtener más información, consulte Funcionamiento del inicio de sesión único para recursos locales en dispositivos unidos a Microsoft Entra.
Requisitos previos
En este artículo se da por hecho que está familiarizado con la introducción a la administración de identidades de dispositivos en Microsoft Entra ID.
Nota:
La versión del controlador de dominio (DC) mínima necesaria para la unión de dispositivos Windows 10 o versiones posteriores a la unión híbrida de Microsoft Entra es Windows Server 2008 R2.
Los dispositivos unidos de Microsoft Entra híbrido requieren una línea de visión de red a sus controladores de dominio periódicamente. Sin esta conexión, los dispositivos se vuelven inutilizables.
Estos son algunos de los escenarios en los que no habrá línea de visión en los controladores de dominio:
- Cambio de contraseña del dispositivo
- Cambio de contraseña de usuario (credenciales almacenadas en caché)
- Restablecimiento de módulo de plataforma segura (TPM) 2.0
Planeamiento de la implementación
Para planear la implementación de Microsoft Entra híbrido, debe familiarizarse con:
- Revisión de los dispositivos compatibles
- Revisión de los aspectos que debe conocer
- Revisión de la implementación selectiva de unión a Microsoft Entra híbrido
- Seleccione el escenario según la infraestructura de identidad
- Revise la compatibilidad con el nombre principal de usuario (UPN) de Microsoft Windows Server local para la unión híbrida de Microsoft Entra
Revisión de los dispositivos compatibles
La unión a Microsoft Entra híbrido admite una amplia variedad de dispositivos Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Nota: Los clientes de las nubes nacionales de Azure necesitan la versión 1803.
- Windows Server 2019
Como procedimiento recomendado, Microsoft recomienda actualizar a la última versión de Windows.
Revisión de los aspectos que debe conocer
Escenarios no admitidos
- No se admite la unión a Microsoft Entra híbrido para la instancia de Windows Server que ejecute el rol de controlador de dominio (DC).
- El sistema operativo de Server Core no admite ningún tipo de registro de dispositivos.
- La Herramienta de migración de estado de usuario (USMT) no funciona con el registro de dispositivos.
Consideraciones sobre la creación de imágenes del SO
Si se basa en la herramienta de preparación del sistema (Sysprep) y utiliza para la instalación una imagen anterior a Windows 10 1809, asegúrese de que esa imagen no corresponda a un dispositivo ya registrado en Microsoft Entra ID como unido a Microsoft Entra híbrido.
Si se basa en la instantánea de una máquina virtual (VM) para crear otras máquinas virtuales, asegúrese de que esa instantánea no sea de una máquina virtual ya registrada en Microsoft Entra ID como unida a Microsoft Entra híbrido.
Si usa el Filtro de escritura unificado y tecnologías similares que borran los cambios en el disco con el reinicio, se deben aplicar una vez unido el dispositivo a Microsoft Entra híbrido. Si se habilitan estas tecnologías antes de que se complete la unión a Microsoft Entra híbrido, el dispositivo se separará con cada reinicio.
Control de dispositivos con el estado registrado de Microsoft Entra
Si los dispositivos unidos a un dominio con Windows 10 o versiones posteriores están registrados en Microsoft Entra con su inquilino, podría provocar un doble estado de dispositivos registrados en Microsoft Entra y unidos a Microsoft Entra híbrido. Se recomienda actualizar a Windows 10 1803 (con KB4489894 aplicado) o una versión posterior para solucionar automáticamente esta situación. En las versiones anteriores a la 1803, deberá quitar manualmente el estado registrado en Microsoft Entra antes de habilitar la unión a Microsoft Entra híbrido. A partir de la versión 1803, se han realizado los siguientes cambios para evitar este doble estado:
- Cualquier estado registrado de Microsoft Entra existente de un usuario se eliminaría automáticamente en el momento en que el dispositivo se una a Microsoft Entra híbrido y el usuario en cuestión inicie sesión. Por ejemplo, si un usuario A tuviera un estado registrado de Microsoft Entra en el dispositivo, el doble estado de ese usuario A se limpiará únicamente cuando este inicie sesión en el dispositivo. Si hay varios usuarios en el mismo dispositivo, el doble estado se limpiará individualmente cuando cada uno de esos usuarios inicie sesión. Una vez que un administrador quite el estado registrado de Microsoft Entra, Windows 10 anulará la inscripción del dispositivo de Intune, o de cualquier otra administración de dispositivos móviles (MDM) si la inscripción se realizó como parte del registro de Microsoft Entra mediante inscripción automática.
- Este cambio no afecta al estado registrado de Microsoft Entra en las cuentas locales del dispositivo. solo se aplica a las cuentas de dominio. El estado registrado de Microsoft Entra en las cuentas locales no se quita de forma automática, ni siquiera después del inicio de sesión del usuario, ya que no se trata de un usuario del dominio.
- Puede impedir que el dispositivo unido al dominio se registre en Microsoft Entra mediante la incorporación de esta clave del Registro a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- En Windows 10 1803, si tiene configurado Windows Hello para empresas, el usuario tendrá que volver a configurarlo tras la limpieza del estado dual. Este problema se ha solucionado con KB4512509.
Nota:
Aunque Windows 10 y Windows 11 quitan automáticamente el estado registrado de Microsoft Entra localmente, el objeto de dispositivo de Microsoft Entra ID no se elimina de inmediato si se administra mediante Intune. Puede validar la eliminación del estado registrado de Microsoft Entra si ejecuta dsregcmd /status y considera que el dispositivo no se ha registrado en Microsoft Entra en función de eso.
Unión a Microsoft Entra híbrido para un único bosque, varios inquilinos de Microsoft Entra
Para registrar los dispositivos unidos de forma híbrida a Microsoft Entra en sus respectivos inquilinos, las organizaciones deben asegurarse de que la configuración de puntos de conexión de servicio (SCP) se realice en los dispositivos y no en Microsoft Windows Server Active Directory. Más información sobre cómo hacerlo en el artículo Validación controlada de la unión a Microsoft Entra híbrido. Es importante que las organizaciones comprendan que ciertas funcionalidades de Microsoft Entra no van a funcionar en configuraciones de Microsoft Entra multiinquilino de un único bosque.
- La escritura diferida de dispositivo no funciona. Esta configuración afecta al acceso condicional basado en dispositivo de las aplicaciones locales federadas mediante ADFS. También afecta a la implementación de Windows Hello para empresas cuando se usa el modelo de confianza de certificados híbridos.
- La escritura diferida de grupos no funciona. Esta configuración afecta a la escritura diferida de Grupos de Office 365 en un bosque con Exchange instalado.
- El inicio de sesión único de conexión directa no funciona. Esta configuración afecta a los escenarios de inicio de sesión único de las organizaciones para plataformas con múltiples sistemas operativos o exploradores, por ejemplo, iOS o Linux con Firefox, Safari y Chrome sin la extensión de Windows 10.
- La protección de contraseñas de Microsoft Entra en el entorno local no funciona. Esta configuración afecta a la capacidad de realizar eventos de cambio y restablecimiento de contraseña en los controladores de dominio locales de Active Directory Domain Services (AD DS) con las mismas listas de contraseñas prohibidas globales y personalizadas que se almacenan en Microsoft Entra ID.
Otras consideraciones
Si su entorno usa la infraestructura de escritorio virtual (VDI), consulte Identidad del dispositivo y virtualización del escritorio.
La unión híbrida de Microsoft Entra se admite con TPM 2.0 compatible con el Estándar federal de procesamiento de información (FIPS) y no se admite en TPM 1.2. Si los dispositivos tienen TPM 1.2 compatible con FIPS, debe deshabilitarlos antes de continuar con la unión a Microsoft Entra híbrido. Microsoft no proporciona ninguna herramienta para deshabilitar el modo FIPS para TPM, ya que eso depende del fabricante de TPM. Póngase en contacto con el OEM de hardware para obtener soporte técnico.
A partir de la versión de Windows 10 1903, los TPM 1.2 no se usan con la unión a Microsoft Entra híbrido y los dispositivos que tengan esos TPM se consideran como si no tuvieran uno.
Los cambios de UPN solo se admiten a partir de la actualización de 2004 de Windows 10. En el caso de los dispositivos anteriores a la actualización de 2004 de Windows 10, los usuarios tendrán problemas con el acceso condicional y el inicio de sesión único en sus dispositivos. Para solucionar este problema, debe desunir el dispositivo de Microsoft Entra ID (ejecutar "dsregcmd /leave" con privilegios elevados) y volver a realizar la unión (esto se produce automáticamente). Sin embargo, los usuarios que inicien sesión con Windows Hello para empresas no tendrán este problema.
Revisión dirigida de la unión a Microsoft Entra híbrido
Es posible que las organizaciones quieran realizar una implementación dirigida de la unión a Microsoft Entra híbrido antes de habilitarla para toda la organización. Revise el artículo Implementación dirigida de la unión a Microsoft Entra híbrido para entender cómo se realiza.
Advertencia
Las organizaciones deben incluir una muestra de usuarios de distintos roles y perfiles en su grupo piloto. Un lanzamiento dirigido permite identificar cualquier problema que no se haya abordado en su plan antes de habilitarlo para toda la organización.
Seleccione el escenario según la infraestructura de identidad
La unión a Microsoft Entra híbrido funciona con entornos administrados y federados, en función de si la UPN es enrutable o no enrutable. En la parte inferior de la página puede consultar una tabla sobre los escenarios admitidos.
Entorno administrado
Un entorno administrado se puede implementar mediante la sincronización de hash de contraseña (PHS) o la autenticación transferida (PTA) con inicio de sesión único de conexión directa.
Estos escenarios no requieren que se configure un servidor de federación para la autenticación (AuthN).
Nota:
La autenticación en la nube mediante el lanzamiento preconfigurado solo se admite a partir de la actualización 1903 de Windows 10.
Entorno federado
Un entorno federado debe tener un proveedor de identidades que admita los requisitos siguientes. Si tiene un entorno federado en que se utilizan los Servicios de federación de Active Directory (AD FS), entonces los siguientes requisitos ya son compatibles.
Protocolo WS-Trust: Este protocolo es necesario para autenticar en Microsoft Entra ID los dispositivos Windows actuales unidos a Microsoft Entra híbrido. Cuando use AD FS, debe habilitar los siguientes puntos de conexión de WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Advertencia
Tanto adfs/services/trust/2005/windowstransport como adfs/services/trust/13/windowstransport se deben habilitar como puntos de conexión accesibles desde la intranet y NO deben exponerse como accesible desde Proxy de aplicación web. Para más información sobre cómo deshabilitar los puntos de conexión de Windows de WS-Trust, consulte Deshabilitar los puntos de conexión de Windows de WS-Trust en el proxy. Para ver qué puntos de conexión están habilitados, vaya a Servicio>Puntos de conexión en la consola de administración de AD FS.
Desde la versión 1.1.819.0, Microsoft Entra Connect proporciona un asistente para configurar la unión a Microsoft Entra híbrido. El asistente permite simplificar considerablemente el proceso de configuración. Si no le es posible instalar la versión necesaria de Microsoft Entra Connect, consulte la información sobre la configuración manual del registro de dispositivos. Si contoso.com se registra como un dominio personalizado confirmado, los usuarios pueden obtener un PRT aunque su sufijo UPN de AD DS local sincronizado esté en un subdominio como test.contoso.com.
Revise la compatibilidad con UPN de los usuarios locales de Microsoft Windows Server Active Directory para la unión híbrida de Microsoft Entra
A veces, los UPN de usuarios locales de Microsoft Windows Server Active Directory son diferentes de los UPN de Microsoft Entra. En estos casos, la unión a Microsoft Entra híbrido para Windows 10 o versiones posteriores proporciona compatibilidad limitada para los UPN locales de Microsoft Windows Server Active Directory, según el método de autenticación, el tipo de dominio y la versión de Windows. Hay dos tipos de UPN de Active Directory de Microsoft Windows Server locales que pueden existir en su entorno:
- UPN de usuarios enrutable: los UPN enrutables tiene un dominio verificado válido, que está registrado en un registrador de dominios. Por ejemplo, si contoso.com es el dominio principal, en Microsoft Entra ID, contoso.org es el dominio principal en la instancia local de Microsoft Windows Server Active Directory que pertenece a Contoso y que está verificado en Microsoft Entra ID.
- UPN de usuarios no enrutable: los UPN no enrutables no tienen dominio comprobado y solo se aplican en la red privada de la organización. Por ejemplo, si contoso.com es el dominio principal en Microsoft Entra ID, contoso.local es el dominio principal en la instancia local de Microsoft Windows Server Active Directory, pero no es un dominio verificable en Internet y solo se usa dentro de la red de Contoso.
Nota:
La información de esta sección es válida únicamente en el caso de los UPN de usuarios locales. No se puede usar con un sufijo de dominio de equipo local (por ejemplo: computer1.contoso.local).
En la tabla siguiente, se proporcionan detalles sobre la compatibilidad con estos UPN locales de Microsoft Windows Server Active Directory en la unión híbrida de Microsoft Entra a Windows 10:
| Tipo de UPN local de Microsoft Windows Server Active Directory | Tipo de dominio | Versión de Windows 10 | Descripción |
|---|---|---|---|
| Enrutable | Federado | A partir de la versión 1703 | Disponibilidad general |
| No enrutable | Federado | A partir de la versión 1803 | Disponibilidad general |
| Enrutable | Administrado | A partir de la versión 1803 | Disponible con carácter general, el autoservicio de restablecimiento de contraseña de Microsoft Entra en la pantalla de bloqueo de Windows no se admite en entornos donde el UPN local es diferente del UPN de Microsoft Entra. El UPN local debe sincronizarse con el atributo onPremisesUserPrincipalName en Microsoft Entra ID |
| No enrutable | Administrado | No compatible |