Compartir vía

Modo controlado por el usuario de Windows Autopilot

El modo controlado por el usuario de Windows Autopilot permite configurar un nuevo dispositivo Windows para transformarlos automáticamente de su estado de fábrica a un estado listo para usarse. Este proceso no requiere que el personal de TI toque el dispositivo.

El proceso es sencillo. Los dispositivos se pueden enviar o distribuir al usuario final directamente con las siguientes instrucciones:

  1. Saque el dispositivo de la caja, conéctelo y actívelo.
  2. Si usa varios idiomas, seleccione un idioma, una configuración regional y un teclado.
  3. Conéctelo a una red inalámbrica o por cable con acceso a Internet. Si usa conexión inalámbrica, conéctese primero a la red wi-fi.
  4. Especifique una cuenta de dirección de correo electrónico y una contraseña para la organización.

El resto del proceso está automatizado. El dispositivo realiza los pasos siguientes:

  1. Únase a la organización.
  2. Inscríbase en Microsoft Intune u otro servicio de administración de dispositivos móviles (MDM).
  3. Configure según lo definido por la organización.

Otras solicitudes se pueden suprimir durante la experiencia integrada (OOBE). Para obtener más información sobre las opciones disponibles, consulte Configuración de perfiles de Autopilot.

Importante

Si se usa Servicios de federación de Active Directory (ADFS), hay un problema conocido que puede permitir que el usuario final inicie sesión con una cuenta diferente a la asignada a ese dispositivo.

El modo controlado por el usuario de Windows Autopilot admite la unión a Microsoft Entra y los dispositivos unidos híbridos de Microsoft Entra. Para obtener más información sobre estas dos opciones de combinación, consulte los artículos siguientes:

Los pasos del proceso controlado por el usuario son los siguientes:

  1. Una vez que el dispositivo se conecta a una red, el dispositivo descarga un perfil de Windows Autopilot. El perfil define la configuración usada para el dispositivo. Por ejemplo, define las solicitudes suprimidas durante la configuración rápida.

  2. Windows comprueba si hay actualizaciones OOBE críticas. Si hay actualizaciones disponibles, se instalan automáticamente. Si es necesario, el dispositivo se reinicia.

  3. Se solicita al usuario las credenciales de Microsoft Entra. Esta experiencia de usuario personalizada muestra el nombre del inquilino de Microsoft Entra, el logotipo y el texto de inicio de sesión.

  4. El dispositivo se une a Microsoft Entra ID o Active Directory, en función de la configuración del perfil de Windows Autopilot.

  5. El dispositivo se inscribe en Intune u otro servicio MDM configurado. En función de las necesidades de la organización, esta inscripción tiene lugar:

    • Durante el proceso de unión a Microsoft Entra, mediante la inscripción automática de MDM.

    • Antes del proceso de unión a Active Directory.

  6. Si está configurado, muestra la página de estado de inscripción (ESP).

  7. Una vez completadas las tareas de configuración del dispositivo, el usuario inicia sesión en Windows con las credenciales que proporcionó anteriormente. Si el dispositivo se reinicia durante el proceso de ESP del dispositivo, el usuario debe volver a escribir sus credenciales. Estos detalles no se conservan después del reinicio.

  8. Después de iniciar sesión, se muestra la página de estado de inscripción para las tareas de configuración dirigidas al usuario.

Si encuentra algún problema durante este proceso, consulte Solución de problemas de Windows Autopilot.

Para obtener más información sobre las opciones de combinación disponibles, consulte las secciones siguientes:

Modo controlado por el usuario para la unión a Microsoft Entra

Para completar una implementación controlada por el usuario mediante Windows Autopilot, siga estos pasos de preparación:

  1. Asegúrese de que los usuarios que realizan implementaciones de modo controlado por el usuario pueden unir dispositivos a Microsoft Entra ID. Para obtener más información, consulte Configurar las opciones de dispositivo en la documentación de Microsoft Entra.

  2. Cree un perfil de Autopilot para el modo controlado por el usuario con la configuración deseada.

    • En Intune, este modo se elige explícitamente cuando se crea un perfil.

    • En Microsoft Store para empresas y centro de partners, el modo controlado por el usuario es el predeterminado.

  3. Si usa Intune, cree un grupo de dispositivos en Microsoft Entra ID y asigne el perfil de Autopilot a ese grupo.

Para cada dispositivo que se implementa mediante la implementación controlada por el usuario, se necesitan estos pasos adicionales:

  • Agregue el dispositivo a Windows Autopilot. Este paso se puede realizar de dos maneras:

  • Asigne un perfil de Autopilot al dispositivo:

    • Si usa grupos de dispositivos dinámicos de Intune y Microsoft Entra, esta asignación se puede realizar automáticamente.

    • Si usa grupos de dispositivos estáticos de Intune y Microsoft Entra, agregue manualmente el dispositivo al grupo de dispositivos.

    • Si usa otros métodos, como Microsoft Store para Empresas o el Centro de partners, asigne manualmente un perfil de Autopilot al dispositivo.

Sugerencia

Si el estado final previsto del dispositivo es de administración conjunta, la inscripción de dispositivos se puede configurar en Intune para habilitar la administración conjunta, lo que sucede durante el proceso de Autopilot. Este comportamiento dirige la autoridad de la carga de trabajo de forma organizada entre el Configuration Manager e Intune. Para obtener más información, consulte Cómo inscribirse con Autopilot.

Modo controlado por el usuario para la unión híbrida de Microsoft Entra

Importante

Microsoft recomienda implementar nuevos dispositivos como nativos de la nube mediante la unión a Microsoft Entra. No se recomienda implementar nuevos dispositivos como dispositivos de unión híbrida de Microsoft Entra, incluso a través de Autopilot. Para obtener más información, consulte Microsoft Entra joined vs Microsoft Entra hybrid joined in cloud-native endpoints: Which option is right for your organization (Microsoft Entra unido a Microsoft Entra híbrido unido a puntos de conexión nativos de la nube: qué opción es adecuada para su organización).

Windows Autopilot requiere que los dispositivos estén unidos a Microsoft Entra. Para un entorno de Active Directory local, los dispositivos se pueden unir al dominio local. Para unir los dispositivos, configure los dispositivos Autopilot para que se unan de forma híbrida a Microsoft Entra ID.

Sugerencia

A medida que Microsoft se comunica con los clientes que usan Microsoft Intune y Microsoft Configuration Manager para implementar, administrar y proteger sus dispositivos cliente, a menudo se producen preguntas sobre la administración conjunta de dispositivos y los dispositivos unidos a Microsoft Entra híbridos. Muchos clientes confunden estos dos temas. La administración conjunta es una opción de administración, mientras que Microsoft Entra ID es una opción de identidad. Para obtener más información, consulte Descripción de los escenarios híbridos de Microsoft Entra y administración conjunta. Esta entrada de blog tiene como objetivo aclarar la unión híbrida y la administración conjunta de Microsoft Entra, cómo funcionan juntos, pero no son lo mismo.

El cliente de Configuration Manager no se puede implementar al aprovisionar un nuevo equipo en el modo controlado por el usuario de Windows Autopilot para la unión híbrida de Microsoft Entra. Esta limitación se debe al cambio de identidad del dispositivo durante el proceso de unión a Microsoft Entra. Implemente el cliente de Administrador de configuración después del proceso de Autopilot. Consulte Métodos de instalación de cliente en Configuration Manager para obtener opciones alternativas para instalar el cliente.

Requisitos para el modo controlado por el usuario con el identificador híbrido de Microsoft Entra

  • Cree un perfil de Windows Autopilot para el modo controlado por el usuario.

    En el perfil de Autopilot, en Join to Microsoft Entra ID as (Unirse a Microsoft Entra ID como), seleccione Microsoft Entra hybrid joined (Unido a Microsoft Entra híbrido).

  • Si usa Intune, se necesita un grupo de dispositivos en Microsoft Entra ID. Asigne el perfil de Windows Autopilot al grupo.

  • Si usa Intune, cree y asigne un perfil de unión a un dominio. Un perfil de configuración de unión a un dominio incluye información de dominio de Active Directory local.

  • El dispositivo debe acceder a Internet. Para obtener más información, consulte los requisitos de red.

  • Instale Intune Connector para Active Directory.

    Nota:

    Intune Connector une el dispositivo al dominio local. Los usuarios no necesitan permisos para unir dispositivos al dominio local. Este comportamiento supone que el conector está configurado para esta acción en nombre del usuario. Para más información, consulte Aumentar el límite de cuentas informáticas en la Unidad organizativa

  • Si usa un proxy, habilite y configure la opción Proxy de protocolo de detección automática de proxy (WPAD).

Además de estos requisitos básicos para la unión híbrida de Microsoft Entra controlada por el usuario, se aplican los siguientes requisitos adicionales a los dispositivos locales:

  • El dispositivo tiene una versión compatible actualmente de Windows.

  • El dispositivo está conectado a la red interna y tiene acceso a un controlador de dominio de Active Directory.

    • Debe resolver los registros DNS para el dominio y los controladores de dominio.

    • Debe comunicarse con el controlador de dominio para autenticar al usuario.

Modo controlado por el usuario para la unión híbrida de Microsoft Entra con compatibilidad con VPN

Los dispositivos unidos a Active Directory requieren conectividad a un controlador de dominio de Active Directory para muchas actividades. Estas actividades incluyen la validación de las credenciales del usuario al iniciar sesión y la aplicación de la configuración de directiva de grupo. El proceso controlado por el usuario de Autopilot para dispositivos unidos a Microsoft Entra híbrido valida que el dispositivo pueda ponerse en contacto con un controlador de dominio haciendo ping a ese controlador de dominio.

Con la adición de compatibilidad con VPN para este escenario, el proceso de unión híbrida de Microsoft Entra se puede configurar para omitir la comprobación de conectividad. Este cambio no elimina la necesidad de comunicarse con un controlador de dominio. En su lugar, para permitir la conexión a la red de la organización, Intune ofrece la configuración de VPN necesaria antes de que el usuario intente iniciar sesión en Windows.

Requisitos para el modo controlado por el usuario con id. de Microsoft Entra híbrido y VPN

Además de los requisitos básicos para el modo controlado por el usuario con la unión híbrida de Microsoft Entra, los siguientes requisitos adicionales se aplican a un escenario remoto con compatibilidad con VPN:

  • Una versión compatible actualmente de Windows.

  • En el perfil de unión híbrida de Microsoft Entra para Autopilot, habilite la siguiente opción: Omitir comprobación de conectividad de dominio.

  • Una configuración de VPN con una de las siguientes opciones:

    • Se puede implementar con Intune y permite al usuario establecer manualmente una conexión VPN desde la pantalla de inicio de sesión de Windows.

    • Establece automáticamente una conexión VPN según sea necesario.

La configuración de VPN específica necesaria depende del software VPN y de la autenticación que se use. En el caso de las soluciones VPN que no son de Microsoft, esta configuración suele implicar la implementación de una aplicación Win32 a través de extensiones de administración de Intune. Esta aplicación incluiría el software cliente VPN y cualquier información de conexión específica. Por ejemplo, nombres de host de punto de conexión VPN. Para obtener detalles de configuración específicos de ese proveedor, consulte la documentación del proveedor de VPN.

Nota:

Los requisitos de VPN no son específicos de Autopilot. Por ejemplo, si se implementa una configuración de VPN para habilitar los restablecimientos de contraseña remotos, esa misma configuración se puede usar con Windows Autopilot. Esta configuración permitiría a un usuario iniciar sesión en Windows con una nueva contraseña cuando no se encuentra en la red de la organización. Una vez que el usuario inicia sesión y sus credenciales se almacenan en caché, los intentos de inicio de sesión posteriores no necesitan conectividad, ya que Windows usa las credenciales almacenadas en caché.

Si el software VPN requiere autenticación de certificado, use Intune para implementar también el certificado de dispositivo necesario. Esta implementación se puede realizar mediante las funcionalidades de inscripción de certificados de Intune, que tienen como destino los perfiles de certificado en el dispositivo.

Algunas configuraciones no se admiten porque no se aplican hasta que el usuario inicia sesión en Windows:

  • Certificados de usuario
  • Complementos vpn para UWP que no son de Microsoft desde la Tienda Windows

Validation

Antes de intentar una unión híbrida de Microsoft Entra mediante VPN, es importante confirmar que el modo controlado por el usuario para el proceso de unión híbrida de Microsoft Entra funciona en la red interna. Esta prueba simplifica la solución de problemas al asegurarse de que el proceso principal funciona antes de agregar la configuración de VPN.

A continuación, confirme que Intune se puede usar para implementar la configuración de VPN y sus requisitos. Pruebe estos componentes con un dispositivo existente que ya esté unido a Microsoft Entra híbrido. Por ejemplo, algunos clientes VPN crean una conexión VPN por máquina como parte del proceso de instalación. Valide la configuración mediante los pasos siguientes:

  1. Compruebe que se crea al menos una conexión VPN por máquina.

    Get-VpnConnection -AllUserConnection

  2. Intente iniciar manualmente la conexión VPN.

    RASDIAL.EXE "ConnectionName"

  3. Cierre la sesión de Windows. Compruebe que el icono de conexión VPN aparece en la página de inicio de sesión de Windows.

  4. Mueva el dispositivo de la red interna e intente establecer la conexión mediante el icono de la página de inicio de sesión de Windows. Inicie sesión en una cuenta que no tenga credenciales almacenadas en caché.

En el caso de las configuraciones de VPN que se conectan automáticamente, los pasos de validación pueden ser diferentes.

Nota:

Se puede usar una VPN siempre activa para este escenario. Para obtener más información, consulte Implementación de VPN always-on.

Pasos siguientes

Contenido relacionado