Inscripción masiva para dispositivos Windows
Se aplica a
- Windows 10
- Windows 11
Unir nuevos dispositivos Windows a Microsoft Entra ID e Intune. Para inscribir dispositivos de forma masiva para el inquilino de Microsoft Entra, cree un paquete de aprovisionamiento con la aplicación Diseñador de configuración de Windows (WCD). La aplicación del paquete de aprovisionamiento a dispositivos corporativos une los dispositivos al inquilino de Microsoft Entra y los inscribe para la administración de Intune. Una vez aplicado el paquete, está listo para que los usuarios de Microsoft Entra inicien sesión.
Los usuarios de Microsoft Entra son usuarios estándar en estos dispositivos y reciben directivas de Intune asignadas y aplicaciones necesarias. Los dispositivos Windows inscritos en Intune mediante la inscripción masiva de Windows pueden usar la aplicación Portal de empresa de Intune para instalar aplicaciones disponibles.
Roles y permisos
Para crear un token de inscripción masiva, debe tener una asignación de roles de Microsoft Entra admitida y no debe tener como ámbito una unidad administrativa en Microsoft Entra ID. Los roles integrados de Microsoft Entra con permiso para crear tokens de inscripción masiva son:
- Administrador de dispositivos en la nube
- Administrador de Intune
- Administrador de contraseñas
Para obtener más información sobre estos roles, consulte Roles integrados de Microsoft Entra.
Requisitos previos
- Los dispositivos deben ejecutar la actualización Windows 11 o Windows 10 Creator (compilación 1709) o posterior.
- Habilite la inscripción automática de Windows.
Además, asegúrese de que la entidad de servicio para Microsoft.Azure.SyncFabric (AppID 00000014-0000-0000-c000-00000000000000) está presente en el inquilino de Microsoft Entra. En una línea de comandos, use el Get-AzureADServicePrincipal
comando para comprobar la entidad de servicio. Sin la entidad de servicio, el Diseñador de configuración de Windows no puede recuperar el token de inscripción masiva, lo que da lugar a un error.
Creación de un paquete de aprovisionamiento
Instale el Diseñador de configuración de Windows (WCD) desde Microsoft Store.
Abra la aplicación Windows Configuration Designer y seleccione Aprovisionar dispositivos de escritorio.
Se abre una ventana de Nuevo proyecto al especificar la siguiente información:
- Nombre: nombre para el proyecto
- Carpeta de proyecto: guardar la ubicación para el proyecto
- Descripción : una descripción opcional del proyecto
Escriba un nombre único para los dispositivos. Los nombres pueden incluir un número de serie (%SERIAL%) o un conjunto aleatorio de caracteres. De manera opcional, también puede escribir una clave de producto si actualiza la edición de Windows, configura el dispositivo para su uso compartido y quita software instalado previamente.
De manera opcional, puede configurar la red Wi-Fi a la que se conectan los dispositivos cuando se inician por primera vez. Si no están configurados los dispositivos de red, se requiere una conexión de red con cable cuando se inicia por primera vez el dispositivo.
Seleccione Inscripción en Azure AD, escriba una fecha de expiración en Expiración de token masivo y seleccione Obtener token masivo. El período de validez del token es de 180 días.
Nota:
Una vez creado un paquete de aprovisionamiento, se puede revocar antes de su expiración quitando la cuenta de usuario package_{GUID} asociada del identificador de Microsoft Entra.
Proporcione sus credenciales de Microsoft Entra para obtener un token masivo.
Nota:
- La cuenta que usa para solicitar el token masivo debe incluirse en el ámbito de usuario MDM en Microsoft Entra ID. Si quita esta cuenta de un grupo vinculado al ámbito de usuario mdm, la inscripción masiva dejará de funcionar.
- La recuperación masiva de tokens no funciona para las cuentas de usuario federadas habilitadas para los lanzamientos preconfigurados.
En la página Mantener la sesión iniciada en todas las aplicaciones, seleccione No, iniciar sesión solo en esta aplicación. Si mantiene la casilla activada y hace clic en Aceptar, el dispositivo que está usando se administrará en la organización. Si no quiere que el dispositivo se administre, asegúrese de seleccionar No, iniciar sesión solo en esta aplicación.
Haga clic en Siguiente cuando el Token masivo se recupere correctamente.
De manera opcional, puede agregar aplicaciones y agregar certificados. Estas aplicaciones y certificados se aprovisionan en el dispositivo.
De manera opcional, puede proteger el paquete de aprovisionamiento con contraseña. Haga clic en Crear.
Aprovisionamiento de dispositivos
Obtenga acceso al paquete de aprovisionamiento en la ubicación especificada en la carpeta de proyecto que se especificó en la aplicación.
Elija cómo se aplicará el paquete de aprovisionamiento en el dispositivo. Un paquete de aprovisionamiento se puede aplicar en un dispositivo de una de las siguientes maneras:
- Coloque el paquete de aprovisionamiento en una unidad USB, inserte esta unidad en el dispositivo que desea inscribir de forma masiva y aplíquelo durante la configuración inicial
- Coloque el paquete de aprovisionamiento en una carpeta de red y aplíquelo después de la configuración inicial
Si desea obtener instrucciones paso a paso sobre cómo aplicar un paquete de aprovisionamiento, consulte Aplicar un paquete de aprovisionamiento.
Una vez que aplique el paquete, el dispositivo se reiniciará automáticamente en 1 minuto.
Cuando se reinicia el dispositivo, se conecta al identificador de Microsoft Entra e se inscribe en Microsoft Intune.
Solución de problemas con la inscripción masiva de Windows
Problemas de aprovisionamiento
El aprovisionamiento está diseñado para usarlo en dispositivos Windows nuevos. Es posible que los errores de aprovisionamiento requieran que se borre el dispositivo o que se recupere a partir de una imagen de arranque. En estos ejemplos se describen algunos motivos de errores de aprovisionamiento:
- Un paquete de aprovisionamiento que intenta unirse a un dominio de Active Directory o a un inquilino de Microsoft Entra que no crea una cuenta local podría hacer que el dispositivo no sea accesible si se produce un error en el proceso de unión al dominio debido a la falta de conectividad de red.
- Los scripts ejecutados por el paquete de aprovisionamiento se ejecutan en el contexto del sistema. Los scripts pueden realizar cambios arbitrarios en el sistema de archivos del dispositivo y las configuraciones. Un script incorrecto o malintencionado podría poner el dispositivo en un estado que solo se podría recuperar si se restablece desde imagen inicial o se borra el dispositivo.
Puede comprobar si la configuración del paquete se ha realizado correctamente o no en el registro de administración Provisioning-Diagnostics-Provider en el Visor de eventos.
Nota:
La inscripción en masa se considera un método de inscripción sin usuario y, debido a ello, solo se aplicaría la restricción de inscripción "Predeterminada" en Intune durante la inscripción. Asegúrese de que se permita la plataforma Windows en la restricción predeterminada. De lo contrario, se producirá un error en la inscripción. Para comprobar las funcionalidades junto con otros métodos de inscripción de Windows, consulte Funcionalidades del método de inscripción de Intune para dispositivos Windows.
Inscripción masiva mediante Wi-Fi
Cuando no se usa una red abierta, debe usar certificados de nivel de dispositivo para iniciar conexiones. Los dispositivos inscritos de forma masiva no pueden usar certificados de usuarios específicos para el acceso a la red.
Acceso condicional
El acceso condicional está disponible para los dispositivos inscritos a través de la inscripción masiva que ejecuten Windows 11 o Windows 10 versión 1803 y versiones posteriores.