Unión híbrida Microsoft Entra controlada por el usuario: aumentar el límite de la cuenta de equipo en la unidad organizativa (UO)

Pasos de unión híbrida Microsoft Entra controlada por el usuario de Windows Autopilot:

• Paso 1: Configurar la inscripción automática de Intune de Windows
• Paso 2: Instalación del conector de Intune para Active Directory

• Paso 3: Aumentar el límite de la cuenta de equipo en la unidad organizativa (UO)

• Paso 4: Registro de dispositivos como dispositivos Windows Autopilot
• Paso 5: Creación de un grupo de dispositivos
• Paso 6: Configurar y asignar la página de estado de inscripción de Windows Autopilot (ESP)
• Paso 7: Creación y asignación de Microsoft Entra perfil de Windows Autopilot de unión híbrida
• Paso 8: Configurar y asignar un perfil de unión a un dominio
• Paso 9: Asignar un dispositivo Windows Autopilot a un usuario (opcional)
• Paso 10: Implementación del dispositivo

Para obtener información general sobre el flujo de trabajo de unión híbrida Microsoft Entra controlada por el usuario de Windows Autopilot, consulte Introducción a la unión híbrida Microsoft Entra controlada por el usuario de Windows Autopilot.

Nota:

Si ya se ha aumentado el límite de la cuenta de equipo para la unidad organizativa (OU) adecuada, omita este paso y pase al paso 4: Registrar dispositivos como dispositivos Windows Autopilot.

Aumento del límite de la cuenta de equipo en la unidad organizativa (UO)

Conector actualizado

Importante

Este paso solo es necesario en una de las condiciones siguientes:

• El administrador que instaló y configuró el conector de Intune para Active Directory no tenía los derechos adecuados, como se describe en Intune Connector for Active Directory Requirements (Conector de Intune para requisitos de Active Directory).
• El administrador que instaló y configuró el conector de Intune tenía los derechos adecuados como se ha descrito anteriormente, pero no se pudo conceder permiso a la cuenta de servicio administrada (MSA) para crear objetos de equipo en las unidades organizativas especificadas durante la instalación del conector de Intune.
• El ODJConnectorEnrollmentWizard.exe.config archivo XML no se modificó para agregar unidades organizativas para las que la MSA debe tener permisos.

El propósito de Intune Connector para Active Directory es unir equipos a un dominio y agregarlos a una unidad organizativa. Por este motivo, la cuenta de servicio administrada que se usa para el conector de Intune para Active Directory debe tener permisos para crear cuentas de equipo en la unidad organizativa donde los equipos están unidos al dominio local.

Con los permisos predeterminados en Active Directory, las combinaciones de dominio del conector de Intune para Active Directory podrían funcionar inicialmente sin modificaciones de permisos en la unidad organizativa de Active Directory. Sin embargo, después de que MSA intente unir más de 10 equipos al dominio local, dejará de funcionar porque, de forma predeterminada, Active Directory solo permite que cualquier cuenta única una hasta 10 equipos al dominio local.

Los usuarios siguientes no están restringidos por la limitación de unión a 10 dominios de equipo:

• Usuarios de los grupos Administradores o Administradores de dominio: para cumplir con el modelo de principios de privilegios mínimos, Microsoft no recomienda convertir la MSA en administrador o administrador de dominio.
• Usuarios con permisos delegados en unidades organizativas (OU) y contenedores de Active Directory para crear cuentas de equipo: se recomienda este método, ya que sigue el modelo de principios de privilegios mínimos.

Para corregir esta limitación, la MSA necesita el permiso Crear cuentas de equipo en la unidad organizativa (OU) a la que se unen los equipos en el dominio local. El conector de Intune para Active Directory establece los permisos de los MSA en las unidades organizativas siempre que se cumpla una de las condiciones siguientes:

• El administrador que instala el conector de Intune para Active Directory tiene los permisos necesarios para establecer permisos en las unidades organizativas.
• El administrador que configura el conector de Intune para Active Directory tiene los permisos necesarios para establecer permisos en las unidades organizativas.

Si el administrador que instala o configura el conector de Intune para Active Directory no tiene los permisos necesarios para establecer permisos en las unidades organizativas, es preciso seguir los pasos siguientes:

1. Inicie sesión en un equipo que tenga acceso a la consola de Usuarios y equipos de Active Directory con una cuenta que tenga los permisos necesarios para establecer permisos en las unidades organizativas.

2. Abra la consola de Usuarios y equipos de Active Directory mediante la ejecución de DSA.msc.

3. Expanda el dominio deseado y vaya a la unidad organizativa (OU) a la que se unen los equipos durante Windows Autopilot.

   Nota:

   La unidad organizativa a la que se unen los equipos durante la implementación de Windows Autopilot se especifica más adelante durante el paso Configurar y asignar perfil de unión a dominio .

4. Haga clic con el botón derecho en la unidad organizativa y seleccione Propiedades.

   Nota:

   Si los equipos se unen al contenedor equipos predeterminado en lugar de una unidad organizativa, haga clic con el botón derecho en el contenedor Equipos y seleccione Delegar control.

5. En las ventanas Propiedades de la unidad organizativa que se abre, seleccione la pestaña Seguridad .

6. En la pestaña Seguridad , seleccione Avanzadas.

7. En la ventana Configuración de seguridad avanzada , seleccione Agregar.

8. En las ventanas Entrada de permiso , junto a Entidad de seguridad, seleccione el vínculo Seleccionar una entidad de seguridad .

9. En la ventana Seleccionar usuario, equipo, cuenta de servicio o grupo , seleccione el botón Tipos de objeto... .

10. En la ventana Tipos de objeto , active la casilla Cuentas de servicio y, a continuación, seleccione Aceptar.

11. En la ventana Seleccionar usuario, equipo, cuenta de servicio o grupo, en Escriba el nombre del objeto que desea seleccionar, escriba el nombre de la MSA que se usa para el conector de Intune para Active Directory.

    Sugerencia

    La MSA se creó durante el paso o sección Instalar el conector de Intune para Active Directory y tiene el formato de nombre de msaODJ##### donde ##### son cinco caracteres aleatorios. Si no se conoce el nombre de la MSA, siga estos pasos para buscar el nombre de la MSA:

    1. En el servidor que ejecuta Intune Connector for Active Directory, haga clic con el botón derecho en el menú Inicio y, a continuación, seleccione Administración de equipos.
    2. En la ventana Administración de equipos, expanda Servicios y aplicaciones y, a continuación, seleccione Servicios.
    3. En el panel de resultados, busque el servicio con el nombre Intune ODJConnector for Active Service. El nombre de la MSA aparece en la columna Iniciar sesión como .

12. Seleccione Comprobar nombres para validar la entrada de nombre de MSA. Una vez validada la entrada, seleccione Aceptar.

13. En las ventanas Entrada de permiso , seleccione el menú desplegable Se aplica a: y, a continuación, seleccione Solo este objeto.

14. En Permisos, anule la selección de todos los elementos y, a continuación, active solo la casilla Crear objetos de equipo .

15. Seleccione Aceptar para cerrar la ventana Entrada de permiso .

16. En la ventana Configuración de seguridad avanzada , seleccione Aplicar o Aceptar para aplicar los cambios.

Conector heredado

El propósito de Intune Connector para Active Directory es unir equipos a un dominio y agregarlos a una unidad organizativa. Por este motivo, el servidor que ejecuta el conector de Intune para Active Directory debe tener permisos para crear cuentas de equipo en la unidad organizativa donde los equipos están unidos al dominio local.

Con los permisos predeterminados en Active Directory, las combinaciones de dominio del conector de Intune para Active Directory podrían funcionar inicialmente sin modificaciones de permisos en la unidad organizativa de Active Directory. Sin embargo, después de que el servidor que ejecuta el conector de Intune para Active Directory intente unir más de 10 equipos al dominio local, dejará de funcionar porque, de forma predeterminada, Active Directory solo permite que cualquier cuenta única una hasta 10 equipos al dominio local.

Los usuarios siguientes no están restringidos por la limitación de unión a 10 dominios de equipo:

• Usuarios de los grupos Administradores o Administradores de dominio: para cumplir con el modelo de principios de privilegios mínimos, Microsoft no recomienda que la cuenta de equipo que ejecuta Intune Connector para Active Directory sea administrador o administrador de dominio.
• Usuarios con permisos delegados en unidades organizativas (OU) y contenedores de Active Directory para crear cuentas de equipo: este método se recomienda porque sigue el modelo de principios de privilegios mínimos.

Para corregir esta limitación, el servidor que ejecuta el conector de Intune para Active Directory necesita el permiso Crear cuentas de equipo en la unidad organizativa (OU) a la que se unen los equipos en el dominio local:

Para aumentar el límite de la cuenta de equipo en la unidad organizativa (OU) a la que se unen los equipos durante Windows Autopilot, siga estos pasos en un equipo que tenga acceso a la consola de Usuarios y equipos de Active Directory:

1. Abra la consola de Usuarios y equipos de Active Directory mediante la ejecución de DSA.msc.

2. Expanda el dominio deseado y vaya a la unidad organizativa (OU) a la que se unen los equipos durante Windows Autopilot.

   Nota:

   La unidad organizativa a la que se unen los equipos durante la implementación de Windows Autopilot se especifica más adelante durante el paso Configurar y asignar perfil de unión a dominio .

3. Haga clic con el botón derecho en la unidad organizativa y seleccione Delegar control.

   Nota:

   Si los equipos se unen al contenedor equipos predeterminado en lugar de una unidad organizativa, haga clic con el botón derecho en el contenedor Equipos y seleccione Delegar control.

4. En la ventana Asistente para delegación de controles del Asistente para delegación de controles, seleccione Siguiente.

5. En la ventana Usuarios o grupos , en Usuarios y grupos seleccionados, seleccione Agregar.

6. Junto a Seleccionar este tipo de objeto: en la ventana Seleccionar usuarios, equipos o grupos , seleccione Tipos de objeto.

7. En la ventana Tipos de objeto , active la casilla Equipos y, a continuación, seleccione Aceptar. Los demás elementos de esta ventana se pueden dejar en su valor predeterminado.

8. En la ventana Seleccionar usuarios, equipos o grupos, en el cuadro Escriba los nombres de objeto que desea seleccionar, escriba el nombre del equipo donde se instaló el conector de Intune para Active Directory durante el paso Instalar el conector de Intune para Active Directory.

9. Seleccione Comprobar nombres para validar la entrada. Una vez validada la entrada, seleccione Aceptar.

10. En la ventana Usuarios o grupos , compruebe que el equipo correcto se muestra en Usuarios y grupos seleccionados y, a continuación, seleccione Siguiente.

11. En la ventana Tareas para delegar , seleccione Crear una tarea personalizada para delegar y, a continuación, seleccione Siguiente.

12. En la ventana Tipo de objeto de Active Directory :

    1. Seleccione Solo los siguientes objetos en la carpeta.

    2. En Solo los siguientes objetos de la carpeta, seleccione Objetos de equipo.

    3. Active la casilla Crear objetos seleccionados en esta carpeta .

    4. Seleccione Siguiente.

13. En la ventana Permisos , en Permisos:, active la casilla Control total y, a continuación, seleccione Siguiente.

    Nota:

    Después de activar la casilla Control total , todas las demás opciones en Permisos: se seleccionan automáticamente. La selección automática de las casillas es normal y esperada. No anule la selección de ninguna de las casillas después de que se activen automáticamente.

14. En la ventana Finalización del Asistente para delegación de controles , seleccione Finalizar.

Paso siguiente: Registro de dispositivos como dispositivos Windows Autopilot

Paso 4: Registro de dispositivos como dispositivos Windows Autopilot

Contenido relacionado

Para obtener más información sobre cómo aumentar el límite de cuentas de equipo en una unidad organizativa, consulte los artículos siguientes:

• Aumente el límite de la cuenta de equipo en la unidad organizativa (UO).
• Límite predeterminado al número de estaciones de trabajo que un usuario puede unir al dominio.
• Agregar estaciones de trabajo al dominio.