Compartir vía

Implementación de dispositivos unidos híbridos de Microsoft Entra mediante Intune y Windows Autopilot

Importante

Microsoft recomienda implementar nuevos dispositivos como nativos de la nube mediante la unión a Microsoft Entra. No se recomienda implementar nuevos dispositivos como dispositivos de unión híbrida de Microsoft Entra, incluso a través de Autopilot. Para obtener más información, consulte Microsoft Entra joined vs Microsoft Entra hybrid joined in cloud-native endpoints: Which option is right for your organization (Microsoft Entra unido a Microsoft Entra híbrido unido a puntos de conexión nativos de la nube: qué opción es adecuada para su organización).

Intune y Windows Autopilot se pueden usar para configurar dispositivos unidos a Microsoft Entra híbrido. Para ello, siga los pasos de este artículo. Para obtener más información sobre la unión híbrida de Microsoft Entra, consulte Descripción de la unión híbrida y la administración conjunta de Microsoft Entra.

Requisitos previos

Requisitos previos para la inscripción de dispositivos

El dispositivo a inscribir debe seguir estos requisitos:

  • Use una versión compatible actualmente de Windows.
  • Tener acceso a Internet siguiendo los requisitos de red de Windows Autopilot .
  • Tener acceso a un controlador de dominio de Active Directory.
  • Hacer ping correctamente al controlador de dominio del dominio que se va a unir.
  • Si se usa proxy, la opción de configuración del proxy del Protocolo de detección automática de proxy de web (WPAD) debe estar habilitada y configurada.
  • Realizar la configuración rápida (OOBE).
  • Use un tipo de autorización que Microsoft Entra ID admita en OOBE.

Aunque no es necesario, la configuración de la unión híbrida de Microsoft Entra para Servicios federados de Active Directory (ADFS) permite un proceso de registro de Microsoft Entra de Windows Autopilot más rápido durante las implementaciones. Los clientes federados que no admiten el uso de contraseñas y el uso de AD FS deben seguir los pasos del artículo Active Directory Federation Services prompt=login parameter support para configurar correctamente la experiencia de autenticación.

Requisitos previos del servidor del conector de Intune

  • Intune Connector para Active Directory debe instalarse en un equipo que ejecute Windows Server 2016 o posterior con .NET Framework versión 4.7.2 o posterior.

  • El servidor que hospeda Intune Connector debe tener acceso a Internet y Active Directory.

    Nota:

    El servidor de Intune Connector requiere acceso de cliente de dominio estándar a los controladores de dominio, lo que incluye los requisitos de puerto RPC que necesita para comunicarse con Active Directory. Para más información, consulte los siguientes artículos:

  • Para aumentar la escala y la disponibilidad, se pueden instalar varios conectores en el entorno. Recomendamos instalar el conector en un servidor que no esté ejecutando ningún otro conector de Intune. Cada conector debe ser capaz de crear objetos de equipo en cualquier dominio que sea necesario admitir.

  • Si la organización tiene varios dominios y se instalan varios conectores de Intune, se debe usar una cuenta de servicio de dominio que pueda crear objetos de equipo en todos los dominios. Este requisito es válido incluso si la unión híbrida de Microsoft Entra solo se implementa para un dominio específico. Si estos dominios son dominios que no son de confianza, los conectores se deben desinstalar de los dominios en los que no se usa Windows Autopilot. De lo contrario, con múltiples conectores en varios dominios, todos los conectores deben ser capaces de crear objetos informáticos en todos los dominios.

    La cuenta de servicio del conector debe tener los permisos siguientes:

    • Inicie sesión como servicio.
    • Debe formar parte del grupo de usuarios dominio .
    • Debe ser miembro del grupo de administradores local en el servidor de Windows que hospeda el conector.

    Importante

    Las cuentas de servicio administradas no son compatibles con la cuenta de servicio. La cuenta de servicio debe ser una cuenta de dominio.

  • El conector de Intune requiere los mismos puntos de conexión que Intune.

Configuración de la inscripción automática de MDM de Windows

  1. Inicie sesión en Azure Portal y seleccione Id. de microsoft entra.

  2. En el panel izquierdo, seleccione Administrar | movilidad (MDM y WIP)>Microsoft Intune.

  3. Asegúrese de que los usuarios que implementan dispositivos unidos a Microsoft Entra mediante Intune y Windows sean miembros de un grupo incluido en el ámbito de usuario de MDM.

  4. Use los valores predeterminados de los cuadros URL de las condiciones de uso de MDM, Dirección URL de descubrimiento de MDM y Dirección URL de cumplimiento de MDM, y después haga clic en Guardar.

Aumentar el límite de cuentas informáticas en la Unidad Organizativa

Intune Connector para Active Directory crea equipos inscritos en Autopilot en el dominio local de Active Directory. El equipo que hospeda Intune Connector debe tener los derechos para crear los objetos informáticos dentro del dominio.

En algunos dominios, los ordenadores no tienen derecho a crear equipos. Además, los dominios tienen un límite incorporado (por defecto de 10) que se aplica a todos los usuarios y equipos a los que no se les delegan derechos para crear objetos informáticos. Los derechos deben delegarse en los equipos que hospedan Intune Connector en la unidad organizativa donde se crean los dispositivos unidos híbridos de Microsoft Entra.

La unidad organizativa que tiene derechos para crear equipos debe coincidir con:

  • Unidad organizativa especificada en el perfil Unión a dominio.
  • Si no se selecciona ningún perfil, el nombre de dominio del equipo para el dominio de la organización.

  1. Abra Usuarios y equipos de Active Directory (DSA.msc).

  2. Haga clic con el botón derecho en la unidad organizativa que se va a usar para crear equipos > unidos híbridos a Microsoft Entra Control delegado.

    Captura de pantalla del comando Delegar control.

  3. En el asistente Delegación de control, seleccione Siguiente>Agregar>Tipos de objeto.

  4. En el panel Tipos de objetos, seleccione la opción Equipos>OK.

    Captura de pantalla del panel Tipos de objeto.

  5. En el panel Seleccionar usuarios, equipos o grupos, en la casilla Introduzca los nombres de los objetos a seleccionar, introduzca el nombre del equipo en el que está instalado Connector.

    Captura de pantalla del panel Seleccionar usuarios, equipos o grupos.

  6. Seleccione Comprobar nombres para validar la entrada >Aceptar>siguiente.

  7. Seleccione Crear una tarea personalizada para delegar>Siguiente.

  8. Seleccione Sólo los siguientes objetos en la carpeta>Objetos de equipo.

  9. Seleccione Crear objetos seleccionados en esta carpeta y Eliminar objetos seleccionados en esta carpeta.

    Captura de pantalla del panel Tipo de objeto de Active Directory.

  10. Seleccione Siguiente.

  11. En Permisos, active la casilla Control total. Esta acción selecciona todas las otras opciones.

    Captura de pantalla del panel Permisos.

  12. Seleccione Siguiente>Finalizar.

Instalación del conector de Intune

Antes de comenzar la instalación, asegúrese de que se cumplen todos los requisitos previos del servidor del conector de Intune .

Pasos de instalación

  1. De manera predeterminada, Windows Server tiene activada la configuración de seguridad mejorada de Internet Explorer. La configuración de seguridad mejorada de Internet Explorer puede causar problemas al acceder a Intune Connector para Active Directory. Puesto que Internet Explorer está en desuso y en la mayoría de los casos, ni siquiera está instalado en Windows Server, Microsoft recomienda desactivar la configuración de seguridad mejorada de Internet Explorer. Para desactivar la configuración de seguridad mejorada de Internet Explorer:

    1. En el servidor donde se instala Intune Connector, abra el Administrador del servidor.

    2. En el panel izquierdo del Administrador del servidor, seleccione Servidor local.

    3. En el panel PROPIEDADES derecho del Administrador del servidor, seleccione el vínculo Activado o Desactivado junto a Configuración de seguridad mejorada de IE.

    4. En la ventana Configuración de seguridad mejorada de Internet Explorer , seleccione Desactivado en Administradores:y, a continuación, seleccione Aceptar.

  2. Inicie sesión en el Centro de administración de Microsoft Intune.

  3. En la pantalla Inicio , seleccione Dispositivos en el panel izquierdo.

  4. En dispositivos | Pantalla de información general , en Por plataforma, seleccione Windows.

  5. En Windows | En la pantalla Dispositivos Windows , en Incorporación de dispositivos, seleccione Inscripción.

  6. En Windows | Pantalla de inscripción de Windows , en Windows Autopilot, seleccione Intune Connector para Active Directory.

  7. En la pantalla Intune Connector for Active Directory , seleccione Agregar.

  8. Siga las instrucciones para descargar el conector.

  9. Abra el archivo de instalación del conector que ha descargado, ODJConnectorBootstrapper.exe, para instalar el conector.

  10. Al final de la instalación, seleccione Configurar ahora.

  11. Seleccione Iniciar sesión.

  12. Escriba las credenciales de un rol de administrador de Intune. La cuenta de usuario debe tener una licencia de Intune asignada.

Nota:

El rol de administrador de Intune es un requisito temporal en el momento de la instalación.

Después de autenticarse, Intune Connector para Active Directory finaliza la instalación. Una vez finalizada la instalación, compruebe que está activo en Intune siguiendo estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. En la pantalla Inicio , seleccione Dispositivos en el panel izquierdo.

  3. En dispositivos | Pantalla de información general , en Por plataforma, seleccione Windows.

  4. En Windows | En la pantalla Dispositivos Windows , en Incorporación de dispositivos, seleccione Inscripción.

  5. En Windows | Pantalla de inscripción de Windows , en Windows Autopilot, seleccione Intune Connector para Active Directory.

  6. Confirme que el estado de conexión de la columna Estado es Activo.

Nota:

  • Después de iniciar sesión en el conector, puede tardar varios minutos en aparecer en el Centro de administración de Microsoft Intune. Solo aparece si se puede comunicar correctamente con el servicio Intune.

  • Los conectores inactivos de Intune siguen apareciendo en la página Conectores de Intune y se limpiarán automáticamente después de 30 días.

Una vez instalado Intune Connector for Active Directory, se iniciará el registro en el Visor de eventos en la ruta de acceso Registros > de aplicaciones y serviciosde Microsoft>Intune>ODJConnectorService. En esta ruta de acceso, se pueden encontrar registros de administración y operativos .

Nota:

Intune Connector registró originalmente en el Visor de eventos directamente en Registros de aplicaciones y servicios en un registro denominado Servicio del conector ODJ. Sin embargo, el registro de Intune Connector se ha movido a la ruta de acceso Aplicaciones y servicios Registros> deMicrosoft>Intune>ODJConnectorService. Si el registro del servicio del conector de ODJ en la ubicación original está vacío o no está actualizado, compruebe la nueva ubicación de ruta de acceso en su lugar.

Establecer la configuración del proxy web

Si hay un proxy web en el entorno de red, asegúrese de que Intune Connector para Active Directory funciona correctamente haciendo referencia a Trabajar con servidores proxy locales existentes.

Crear un grupo de dispositivos

  1. En el Centro de administración de Microsoft Intune, seleccione Grupos>Nuevo grupo.

  2. En el panel Grupo , seleccione las siguientes opciones:

    1. Para Tipo de grupo, seleccione Seguridad.

    2. Introduzca un Nombre de grupo y una Descripción del grupo.

    3. Seleccione un Tipo de pertenencia.

  3. Si se selecciona Dispositivos dinámicos para el tipo de pertenencia, en el panel Grupo , seleccione Miembros de dispositivos dinámicos.

  4. Seleccione Editar en el cuadro Sintaxis de regla y escriba una de las siguientes líneas de código:

    • Para crear un grupo que incluya todos los dispositivos Autopilot, escriba:

      (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

    • El campo Etiqueta de grupo de Intune se asigna al atributo OrderID en dispositivos Microsoft Entra. Para crear un grupo que incluya todos los dispositivos Autopilot con una etiqueta de grupo (OrderID) específica, escriba lo siguiente:

      (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

    • Para crear un grupo que incluya todos los dispositivos Autopilot con un identificador de pedido de compra específico, escriba lo siguiente:

      (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

  5. Seleccione Guardar>Crear.

Registro de dispositivos Autopilot

Seleccione una de las siguientes maneras de inscribir dispositivos Autopilot.

Registro de dispositivos Autopilot ya inscritos

  1. Cree un perfil de implementación de Autopilot con la opción Convertir todos los dispositivos de destino en Autopilot establecida en .

  2. Asigne el perfil a un grupo que contenga los miembros que deben registrarse automáticamente con Autopilot.

Para más información, consulte Crear un perfil de implementación de Autopilot.

Registro de dispositivos Autopilot no inscritos

Los dispositivos que aún no están inscritos en Windows Autopilot se pueden registrar manualmente. Para obtener más información, consulte Registro manual.

Registro de dispositivos de un OEM

Si compra nuevos dispositivos, algunos OEM pueden registrar los dispositivos en nombre de la organización. Para obtener más información, consulte registro OEM.

Visualización del dispositivo Autopilot registrado

Antes de que los dispositivos se inscriban en Intune, los dispositivos Windows Autopilot registrados se muestran en tres lugares (con nombres establecidos en sus números de serie):

Una vez inscritos los dispositivos Windows Autopilot, los dispositivos se muestran en cuatro lugares:

Nota:

Una vez inscritos los dispositivos, los dispositivos se siguen mostrando en el panel Dispositivos Windows Autopilot en el Centro de administración de Microsoft Intune y en el panel Autopilot del Centro de administración de Microsoft 365, pero esos objetos son los objetos registrados de Windows Autopilot.

Un objeto de dispositivo se crea previamente en el identificador de Microsoft Entra una vez que se registra un dispositivo en Autopilot. Cuando un dispositivo pasa por una implementación híbrida de Microsoft Entra, por diseño, se crea otro objeto de dispositivo que da como resultado entradas duplicadas.

VPN

Los siguientes clientes VPN se prueban y validan:

  • Cliente VPN Windows integrado
  • Cisco AnyConnect (cliente Win32)
  • Pulse Secure (cliente Win32)
  • GlobalProtect (cliente Win32)
  • Punto de control (cliente Win32)
  • Citrix NetScaler (cliente Win32)
  • SonicWall (cliente de Win32)
  • FortiClient VPN (cliente Win32)

Al usar VPN, seleccione en la opción Omitir comprobación de conectividad de AD en el perfil de implementación de Windows Autopilot. Always-On VPN no deben requerir esta opción, ya que se conecta automáticamente.

Nota:

Esta lista de clientes VPN no es una lista completa de todos los clientes VPN que funcionan con Windows Autopilot. Póngase en contacto con el proveedor de VPN correspondiente en relación con la compatibilidad y compatibilidad con Windows Autopilot o con respecto a cualquier problema con el uso de una solución VPN con Windows Autopilot.

Clientes VPN no admitidos

Se sabe que las siguientes soluciones VPN no funcionan con Windows Autopilot y, por lo tanto, no se admiten para su uso con Windows Autopilot:

  • Complementos VPN basados en UWP
  • Cualquier cosa que requiera un certificado de usuario
  • DirectAccess

Nota:

La omisión de un cliente VPN específico de esta lista no significa automáticamente que se admita o que funcione con Windows Autopilot. En esta lista solo se enumeran los clientes VPN que se sabe que no funcionan con Windows Autopilot.

Creación y asignación de un perfil de implementación de Autopilot

Los perfiles de implementación de Autopilot sirven para configurar los dispositivos Autopilot.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. En la pantalla Inicio , seleccione Dispositivos en el panel izquierdo.

  3. En dispositivos | Pantalla de información general , en Por plataforma, seleccione Windows.

  4. En Windows | En la pantalla Dispositivos Windows , en Incorporación de dispositivos, seleccione Inscripción.

  5. En Windows | En la pantalla de inscripción de Windows , en Windows Autopilot, seleccione Perfiles de implementación.

  6. En la pantalla Perfiles de implementación de Windows Autopilot , seleccione el menú desplegable Crear perfil y, a continuación, seleccione Windows PC.

  7. En la pantalla Crear perfil , en la página Aspectos básicos , escriba un nombre y una descripción opcional.

  8. Si todos los dispositivos de los grupos asignados deben registrarse automáticamente en Windows Autopilot, establezca Convertir todos los dispositivos de destino en Autopilot en . Todos los dispositivos corporativos que no son autopilot en grupos asignados se registran en el servicio de implementación de Autopilot. Los dispositivos de propiedad personal no están registrados en Autopilot. Permita un plazo de 48 horas para que se procese el registro. Cuando el dispositivo se anula la inscripción y el restablecimiento, Autopilot lo inscribe de nuevo. Una vez registrado un dispositivo de esta manera, deshabilitar esta configuración o quitar la asignación de perfil no quitará el dispositivo del servicio de implementación de Autopilot. En su lugar, los dispositivos deben eliminarse directamente. Para obtener más información, consulte Eliminación de dispositivos Autopilot.

  9. Seleccione Siguiente.

  10. En la página Configuración rápida (OOBE), para Modo de implementación, seleccione Controlado por el usuario.

  11. En el cuadro Join to Microsoft Entra ID as (Unirse a Microsoft Entra ID as), seleccione Microsoft Entra hybrid joined (Unido a Microsoft Entra híbrido).

  12. Si implementa dispositivos fuera de la red de la organización mediante la compatibilidad con VPN, establezca la opción Omitir comprobación de conectividad de dominio en . Para obtener más información, consulte Modo controlado por el usuario para la unión híbrida de Microsoft Entra con compatibilidad con VPN.

  13. Configure las opciones restantes en la página Configuración rápida (OOBE), según sea necesario.

  14. Seleccione Siguiente.

  15. En la página de Etiquetas de ámbito, seleccione las Etiquetas de ámbito para este perfil.

  16. Seleccione Siguiente.

  17. En la página Asignaciones, seleccione Seleccionar grupos para incluir> la búsqueda y seleccione el grupo > de dispositivos Seleccionar.

  18. Seleccione Siguiente>Crear.

Nota:

Intune comprueba periódicamente si hay nuevos dispositivos en los grupos asignados y, a continuación, inicia el proceso de asignación de perfiles a esos dispositivos. Debido a varios factores diferentes implicados en el proceso de asignación de perfiles de Autopilot, un tiempo estimado para la asignación puede variar de un escenario a otro. Estos factores pueden incluir grupos de Microsoft Entra, reglas de pertenencia, hash de un dispositivo, servicio Intune y Autopilot y conexión a Internet. El tiempo de asignación varía en función de todos los factores y variables implicados en un escenario específico.

(Opcional) Activación de la página de estado de inscripción

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. En la pantalla Inicio , seleccione Dispositivos en el panel izquierdo.

  3. En dispositivos | Pantalla de información general , en Por plataforma, seleccione Windows.

  4. En Windows | En la pantalla Dispositivos Windows , en Incorporación de dispositivos, seleccione Inscripción.

  5. En Windows | Pantalla de inscripción de Windows , en Windows Autopilot, seleccione Página de estado de inscripción.

  6. En el panel Página de estado de inscripción, seleccione Predeterminado>Configuración.

  7. En el cuadro Mostrar el progreso de la instalación de la aplicación y el perfil, haga clic en .

  8. Configure las demás opciones según sea necesario.

  9. Seleccione Guardar.

Creación y asignación de un perfil Unión a un dominio

  1. En el Centro de administración de Microsoft Intune, seleccione Dispositivos>administrar dispositivos | Directivas de> configuración >Crear>nueva directiva.

  2. En la ventana Crear un perfil que se abre, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el nuevo perfil.
    • Descripción: escriba una descripción para el perfil.
    • Plataforma: seleccione Windows 10 y posteriores.
    • Tipo de perfil: seleccione Plantillas, seleccione el nombre de plantilla Unión a dominio y seleccione Crear.

  3. Escriba el nombre y la descripción y seleccione Siguiente.

  4. Proporcione un prefijo de nombre de equipo y un nombre de dominio.

  5. (Opcional) Proporcione una unidad organizativa (OU) en Formato de DN. Las opciones incluyen:

    • Proporcione una unidad organizativa en la que el control se delega en el dispositivo Windows que ejecuta Intune Connector.
    • Proporcione una unidad organizativa en la que el control se delega en los equipos raíz de active directory local de la organización.
    • Si este campo se deja en blanco, el objeto de equipo se crea en el contenedor predeterminado de Active Directory. El contenedor predeterminado suele ser el CN=Computers contenedor. Para obtener más información, vea Redirigir los contenedores de usuarios y equipos en dominios de Active Directory.

    Ejemplos válidos:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Ejemplos no válidos:

    • CN=Computers,DC=contoso,DC=com : no se puede especificar un contenedor. En su lugar, deje el valor en blanco para usar el valor predeterminado para el dominio.
    • OU=Mine : el dominio debe especificarse a través de los DC= atributos.

    Asegúrese de no usar comillas alrededor del valor de unidad organizativa.

  6. Haga clic en Aceptar>Crear. El perfil se crea y se muestra en la lista.

  7. Asignar un perfil de dispositivo al mismo grupo utilizado en el paso Crear un grupo de dispositivos. Se pueden usar diferentes grupos si es necesario unir dispositivos a diferentes dominios u OU.

Nota:

La funcionalidad de nomenclatura para la unión híbrida de Windows Autopilot para Microsoft Entra no admite variables como %SERIAL%. Solo admite prefijos para el nombre del equipo.

Desinstalación del conector de ODJ

El conector ODJ se instala localmente en un equipo a través de un archivo ejecutable. Si el conector ODJ necesita desinstalarse de un equipo, también debe realizarse localmente en el equipo. El conector de ODJ no se puede quitar a través del portal de Intune ni a través de una llamada a graph API.

Para desinstalar el conector ODJ del equipo, siga estos pasos:

  1. Inicie sesión en el equipo que hospeda el conector ODJ.
  2. Haga clic con el botón derecho en el menú Inicio y seleccione Configuración.
  3. En la ventana Configuración de Windows , seleccione Aplicaciones.
  4. En Aplicaciones & características, busque y seleccione Intune Connector para Active Directory.
  5. En Intune Connector para Active Directory, seleccione el botón Desinstalar y, a continuación, vuelva a seleccionar el botón Desinstalar .
  6. El conector ODJ continúa con la desinstalación.

Pasos siguientes

Una vez configurado Windows Autopilot, obtenga información sobre cómo administrar esos dispositivos. Para más información, vea ¿Qué es la administración de dispositivos de Microsoft Intune?.

Contenido relacionado