Preguntas frecuentes sobre la administración de dispositivos de Microsoft Entra

Los dispositivos Windows 10 o versiones posteriores que están unidos a Microsoft Entra híbrido no aparecen en los dispositivos del USUARIO. Utilice la vista Todos los dispositivos. También puede usar un cmdlet de PowerShell Get-MgDevice.

Los únicos que aparecen entre los dispositivos del USUARIO son los siguientes:

• Todos los dispositivos personales que no están unidos a Microsoft Entra híbrido.
• Todos los dispositivos que no son Windows 10 o posterior ni Windows Server 2016 o versiones posteriores.
• Todos los dispositivos que no son de Windows.

Vaya a Todos los dispositivos. Use el identificador del dispositivo para buscarlo. Compruebe el valor en la columna de tipo de unión. A veces, puede haberse restablecido el dispositivo o su imagen inicial. Por lo tanto, también es esencial comprobar el estado de registro del dispositivo:

• Para dispositivos Windows 10 o posterior y Windows Server 2016 o versiones posteriores, ejecute dsregcmd.exe /status.
• En las versiones anteriores del sistema operativo, ejecute %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Para consultar información sobre solución de problemas, vea los artículos:

• Solución de problemas de dispositivos mediante el comando dsregcmd
• Solución de problemas con dispositivos Windows 10 y Windows Server 2016 unidos de forma híbrida en Microsoft Entra
• Solucionar problemas de dispositivos de nivel inferior unidos de forma híbrida a Microsoft Entra

Los clientes de Windows capturan el PRT de Microsoft Entra ID si el usuario y el dispositivo pertenecen al mismo inquilino. Los usuarios no obtendrán un PRT para otro inquilino si el dispositivo no está registrado o el usuario no es miembro. Si los dos inquilinos confían entre sí a través de B2B, siempre puede crear notificaciones de acceso B2B entre inquilinos y dispositivos de confianza desde el inquilino principal.

El estado de unión del dispositivo, que se muestra en deviceID, debe coincidir con el de Microsoft Entra ID y satisfacer los criterios de evaluación del acceso condicional. Para más información, consulte Exigir dispositivos administrados para el acceso a aplicaciones en la nube con acceso condicional.

En los dispositivos de Windows 10/11 conectados o registrados con Microsoft Entra ID, se emite un token de actualización principal (PRT) que permite el inicio de sesión único. La validez de dicho token se basa en la validez del propio dispositivo. Los usuarios verán este mensaje si el dispositivo se ha eliminado o deshabilitado en Microsoft Entra ID sin iniciar la acción desde el propio dispositivo. Un dispositivo se puede eliminar o deshabilitar en Microsoft Entra siguiendo uno de los siguientes escenarios:

• El usuario deshabilita el dispositivo en el portal Mis aplicaciones.
• Un administrador (o usuario) borra o deshabilita el dispositivo.
• Solo unido a Microsoft Entra híbrido: un administrador quita la unidad organizativa de los dispositivos del ámbito de sincronización, lo que da lugar a la eliminación de los dispositivos de Microsoft Entra ID.
• Solo unido a Microsoft Entra híbrido: un administrador deshabilita la cuenta de equipo local, lo que da lugar a que el dispositivo se deshabilite en Microsoft Entra ID.
• Actualización de Microsoft Entra Connect a la versión 1.4.xx.x. Descripción de Microsoft Entra Connect 1.4.xx.x y desaparición del dispositivo.

Esta operación es así por diseño. En este caso, el dispositivo no tiene acceso a los recursos en la nube. Los administradores pueden realizar esta acción en dispositivos obsoletos, perdidos o robados para evitar el acceso no autorizado. Si esta acción se realiza de forma no intencionada, debe volver a habilitar o volver a registrar el dispositivo, tal y como se describe a continuación:

• Si el dispositivo se ha deshabilitado en Microsoft Entra ID, un administrador con privilegios suficientes puede habilitarlo en el Centro de administración de Microsoft Entra.

  Nota:

  Si va a sincronizar dispositivos mediante Microsoft Entra Connect, los dispositivos unidos a Microsoft Entra híbrido se volverán a habilitar automáticamente durante el siguiente ciclo de sincronización. Por lo tanto, si necesita deshabilitar un dispositivo unido a Microsoft Entra híbrido, debe deshabilitarlo de la instancia de AD local.

• Si el dispositivo se elimina en Microsoft Entra ID, debe volver a registrar el dispositivo. Para volver a registrar el dispositivo, deberá realizar algunas acciones manualmente en él. Consulte los pasos siguientes para obtener instrucciones sobre cómo volver a registrarse en función del estado del dispositivo.

  Para volver a registrar dispositivos Windows 10/11 y Windows Server 2016/2019 unidos a Microsoft Entra híbrido, siga estos pasos:

  1. Abra el símbolo del sistema como administrador.
  2. Escriba dsregcmd.exe /debug /leave.
  3. Cierre la sesión y luego iníciela para desencadenar la tarea programada que registra de nuevo el dispositivo con Microsoft Entra ID.

  Para las versiones anteriores del sistema operativo de Windows que estén unidas a Microsoft Entra híbrido, realice los pasos siguientes:

  1. Abra el símbolo del sistema como administrador.
  2. Escriba "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. Escriba "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

  En los dispositivos Windows 10/11 unidos a dispositivos Microsoft Entra, siga estos pasos:

  1. Abra el símbolo del sistema como administrador.
  2. Especifique dsregcmd /forcerecovery. (Debe ser administrador para realizar esta acción).
  3. Haga clic en "Iniciar sesión" en el cuadro de diálogo que se abre y continúe con el proceso de inicio de sesión.
  4. Cierre la sesión y vuelva a iniciar sesión en el dispositivo para completar la recuperación.

  En el caso de los dispositivos Windows 10/11 registrados en Microsoft Entra, realice los pasos siguientes:

  1. Vaya a Configuración>Cuentas>Obtener acceso a trabajo o escuela.
  2. Seleccione la cuenta y después Desconectar.
  3. Haga clic en "+ Conectar" y vuelva a registrar el dispositivo. Para ello, pase por el proceso de inicio de sesión.

• En Windows 10 o posterior y Windows Server 2016 o versiones posteriores, si se realizan varios intentos para separar y volver a unir el mismo dispositivo, pueden aparecer entradas duplicadas.
• Cada usuario de Windows que usa Agregar cuenta profesional o educativa crea un nuevo registro de dispositivo con el mismo nombre de dispositivo.
• En las versiones anteriores del sistema operativo Windows que estén unidas a un dominio de Azure Directory local, el registro automático crea un nuevo registro del dispositivo con el mismo nombre de dispositivo para cada usuario del dominio que inicie sesión en dicho dispositivo.
• En el caso de las máquinas unidas a Microsoft Entra que se han borrado, se han vuelto a instalar y se han vuelto a unir con el mismo nombre, aparece otro registro con el mismo nombre de dispositivo.

El registro de dispositivos Windows 10/11 solo se admite con TPM 2.0 compatible con FIPS y no se admite en TPM 1.2. Si los dispositivos tienen TPM 1.2 compatible con FIPS, debe deshabilitarlos antes de continuar con la unión a Microsoft Entra o a Microsoft Entra híbrido. Microsoft no proporciona ninguna herramienta para deshabilitar el modo FIPS para TPM, ya que eso depende del fabricante de TPM. Póngase en contacto con el OEM de hardware para obtener soporte técnico.

La revocación tarda hasta una hora en aplicarse desde el momento en el que el dispositivo de Microsoft Entra se marca como deshabilitado.

A partir de la versión 1803 de Windows 10, Microsoft Entra ID ha agregado compatibilidad para varias cuentas de Microsoft Entra. Sin embargo, Windows 10/11 restringe el número de cuentas de Microsoft Entra en un dispositivo a tres para limitar el tamaño de las solicitudes de token y permitir un inicio de sesión único (SSO) de confianza. Una vez agregadas 3 cuentas, los usuarios ven un error para las cuentas posteriores. La información adicional sobre el problema que aparece en la pantalla de error muestra un mensaje para indicar que la operación agregar cuenta está bloqueada porque se ha alcanzado el límite de cuentas.

El servicio de registro de dispositivos de Microsoft Entra emite los certificados MS-Organization-Access durante el proceso de registro de dispositivos. Estos certificados se emiten para todos los tipos de unión admitidos en Windows: unido a Microsoft Entra, unido a Microsoft Entra híbrido y dispositivos registrados en Microsoft Entra. Una vez que se emiten, se usan como parte del proceso de autenticación desde el dispositivo para solicitar un token de actualización principal (PRT). Para dispositivos unidos a Microsoft Entra y a Microsoft Entra híbrido, este certificado está presente en Equipo local\Personal\Certificados, mientras que para los dispositivos registrados en Microsoft Entra, el certificado está presente en Usuario actual\Personal\Certificados. Todos los certificados MS-Organization-Access tienen una duración predeterminada de 10 años. Estos certificados se eliminan del almacén de certificados correspondiente cuando se anula el registro del dispositivo de Microsoft Entra ID. Cualquier eliminación involuntaria de este certificado provoca errores de autenticación para el usuario y requiere volver a registrar el dispositivo en estos casos.

Para los dispositivos unidos a Microsoft Entra puro, asegúrese de tener una cuenta de administrador local sin conexión o cree una. No podrá iniciar sesión con credenciales de usuario de Microsoft Entra. A continuación, vaya a Configuración>Cuentas>Obtener acceso a trabajo o escuela. Seleccione su cuenta y luego Desconectar. Siga las indicaciones y proporcione las credenciales de administrador local cuando se le solicite. Reinicie el dispositivo para finalizar el proceso de separación.

Sí. Windows tiene una funcionalidad para almacenar en caché un nombre de usuario y contraseña. Esta funcionalidad permite que los usuarios que han iniciado sesión anteriormente accedan rápidamente al escritorio, incluso sin conectividad de red.

Cuando un dispositivo se elimina o deshabilita en Microsoft Entra ID, el dispositivo Windows no lo reconoce. Por lo que los usuarios que han iniciado sesión anteriormente siguen teniendo acceso al escritorio con el nombre de usuario y contraseña almacenados en caché. Pero dado que el dispositivo se ha eliminado o deshabilitado, los usuarios no pueden acceder a los recursos protegidos con el acceso condicional basado en el dispositivo.

Los usuarios que no han iniciado sesión anteriormente no pueden acceder al dispositivo. No se ha habilitado ningún nombre de usuario o contraseña almacenados en caché para ellos.

Sí, pero solo durante un tiempo limitado. Cuando un usuario se elimina o deshabilita en Microsoft Entra ID, el dispositivo Windows no lo reconoce inmediatamente. Por lo que los usuarios que han iniciado sesión anteriormente pueden acceder al escritorio con el nombre de usuario y contraseña almacenados en caché.

Normalmente, el dispositivo reconoce el estado del usuario en menos de cuatro horas. Tras lo cual, Windows bloquea el acceso de esos usuarios al escritorio. Como el usuario está eliminado o deshabilitado en Microsoft Entra ID, se revocan todos sus tokens. por lo que no puede tener acceso a ninguno de los recursos.

Los usuarios eliminados o deshabilitados que no han iniciado sesión anteriormente no pueden acceder al dispositivo. No se ha habilitado ningún nombre de usuario o contraseña almacenados en caché para ellos.

No, de momento los usuarios invitados no pueden iniciar sesión en un dispositivo unido a Microsoft Entra.

Las organizaciones pueden elegir implementar la impresión en nube híbrida de Windows Server mediante autenticación previa o la impresión universal para los dispositivos unidos a Microsoft Entra.

Consulte Conexión a un equipo remoto unido a Microsoft Entra.

¿Ha configurado determinadas reglas de acceso condicional para requerir un estado de dispositivo específico? Si el dispositivo no cumple los criterios, se bloquea a los usuarios y se les muestra ese mensaje. Examine las reglas de la directiva de acceso condicional. Asegúrese de que el dispositivo cumple los criterios para evitar el mensaje.

Las razones comunes para este escenario son las siguientes:

• Las credenciales de usuario ya no son válidas.
• El equipo no puede comunicarse con Microsoft Entra ID. Compruebe si existen errores de conectividad de red.
• Los inicios de sesión federados requieren que el servidor de federación admita puntos de conexión WS-Trust que estén habilitados y accesibles.
• Habilitó la autenticación de paso a través. Por tanto, debe cambiar su contraseña temporal al iniciar sesión.

Actualmente, los dispositivos unidos a Microsoft Entra no obligan a los usuarios a cambiar la contraseña en la pantalla de bloqueo. Por tanto, los usuarios con contraseñas temporales o expiradas se verán obligados a cambiar la contraseña solo cuando accedan a una aplicación (que requiera un token de Microsoft Entra) después de iniciar sesión en Windows.

Este error se produce cuando configura la inscripción automática de Microsoft Entra con Intune sin una licencia adecuada asignada. Asegúrese de que el usuario que intenta unirse a Microsoft Entra tiene asignada la licencia de Intune correcta. Para obtener más información, consulte Configuración de la inscripción de dispositivos Windows.

Puede deberse a que inició sesión en el dispositivo con la cuenta de administrador integrada local. Cree una cuenta local distinta antes de usar la unión de Microsoft Entra para completar la instalación.

La aplicación P2P Server es la aplicación registrada por Microsoft Entra ID para habilitar conexiones de Protocolo de escritorio remoto (RDP) a cualquier dispositivo Windows unido a Microsoft Entra o unido a Windows unido a Microsoft Entra en su inquilino. Esta aplicación crea un certificado de todo el inquilino emitido por la entidad de certificación de Microsoft Entra y se usa para emitir certificados de usuario y dispositivo RDP para la conectividad RDP. Para asegurarse de que esta es la aplicación correcta, puede encontrar el id. de objeto de la aplicación P2P Server en Centro de administración de Microsoft Entra>Aplicaciones>Aplicaciones empresariales. Quite el filtro predeterminado aplicado para ver todas las aplicaciones. Compare este id. de objeto mediante la API de Microsoft Graph para consultar los detalles mediante GET /servicePrincipals/{objectid} y confirmar que la propiedad servicePrincipalNames es urn:p2p_cert.

Microsoft Entra ID emite los certificados Ms-Organization-P2P-Access para los dispositivos unidos a Microsoft Entra y a Microsoft Entra híbrido. Estos certificados se usan para habilitar la confianza entre los dispositivos del mismo inquilino en escenarios de escritorios remotos. Se emite un certificado al dispositivo y otro al usuario. El certificado del dispositivo está presente en Local Computer\Personal\Certificates y es válido durante un día. Este certificado se renueva (mediante la emisión de un nuevo certificado) si el dispositivo está activo en Microsoft Entra ID. El certificado de usuario no es persistente, es válido durante una hora y se emite a petición cuando un usuario intenta establecer una sesión de escritorio remoto con otro dispositivo unido a Microsoft Entra. No se renueva cada vez que expira. Ambos certificados se emiten con el certificado MS-Organization-P2P-Access presente en Local Computer\AAD Token Issuer\Certificates. Microsoft Entra ID emite este certificado durante el registro de dispositivos.

No es posible deshabilitar o expirar los inicios de sesión almacenados en caché anteriores en dispositivos unidos a Microsoft Entra.

Para dispositivos unidos a Microsoft Entra híbrido, asegúrese de desactivar el registro automático en AD; para ello, siga el artículo Validación controlada. De esta forma, la tarea programada no registrará el dispositivo de nuevo. A continuación, abra un símbolo del sistema como administrador y escriba dsregcmd.exe /debug /leave. O bien ejecute este comando como un script en varios dispositivos para separarlos de forma masiva.

Para consultar información sobre solución de problemas, vea los artículos:

• Solución de problemas con dispositivos Windows 10 y Windows Server 2016 unidos de forma híbrida en Microsoft Entra
• Solucionar problemas de dispositivos de nivel inferior unidos de forma híbrida a Microsoft Entra

Cuando los usuarios agregan sus cuentas a las aplicaciones en un dispositivo unido a un dominio, se les puede preguntar si quieren agregarla a Windows. Si contestan que Sí, el dispositivo se registra en Microsoft Entra ID. El tipo de confianza se marca como registrado en Microsoft Entra. Después de habilitar la unión de Microsoft Entra híbrido en una organización, el dispositivo también se une con Microsoft Entra híbrido. De esta forma, se muestran dos estados para el mismo dispositivo.

En la mayoría de los casos, la unión de Microsoft Entra híbrido tiene prioridad sobre el estado registrado de Microsoft Entra, lo que da lugar a que el dispositivo se considere unido a Microsoft Entra híbrido para cualquier autenticación y evaluación de acceso condicional. Sin embargo, a veces, este estado dual puede dar lugar a una evaluación no determinista del dispositivo y causar problemas de acceso. Se recomienda encarecidamente actualizar a la versión 1803 de Windows 10 y versiones posteriores, en las que se limpiará automáticamente el estado registrado de Microsoft Entra. Aprenda cómo evitar o borrar los dos estados en el equipo de Windows 10.

Los cambios de UPN se admiten con Windows 10, actualización 2004 y también se aplican a Windows 11. Los usuarios de dispositivos que tengan esta actualización no experimentarán problemas después de cambiar sus UPN.

Los cambios de UPN en versiones anteriores de Windows 10 no son totalmente compatibles con dispositivos unidos a dispositivos híbridos de Microsoft Entra. Aunque los usuarios pueden iniciar sesión en el dispositivo y acceder a sus aplicaciones de forma local, se produce un error en la autenticación con Microsoft Entra ID después de cambiar un UPN. Como resultado, los usuarios experimentarán problemas con el acceso condicional y el inicio de sesión único en sus dispositivos. Debe desasociar el dispositivo de Microsoft Entra ID (ejecutar "dsregcmd /leave" con privilegios elevados) y volver a unirse (se produce automáticamente) para resolver el problema.

No, excepto cuando se cambia la contraseña del usuario. Después de completar la unión a Microsoft Entra híbrido en Windows 10/11 y de que el usuario inicie sesión al menos una vez, el dispositivo no requiere línea de visión al controlador de dominio para acceder a los recursos en la nube. Windows 10/11 puede obtener inicio de sesión único a aplicaciones de Microsoft Entra desde cualquier lugar con conexión a internet, excepto cuando se cambia una contraseña. Los usuarios que inician sesión con Windows Hello para empresas continúan recibiendo el inicio de sesión único en las aplicaciones de Microsoft Entra incluso después de un cambio de contraseña, aunque no tengan línea de visión a su controlador de dominio.

Si se cambia una contraseña fuera de la red corporativa (por ejemplo, con SSPR de Microsoft Entra), se produce un error en el inicio de sesión del usuario con la nueva contraseña. Para los dispositivos unidos a Microsoft Entra híbrido, el directorio local de Active Directory es la autoridad principal. Cuando un dispositivo no tiene línea de visión a un controlador de dominio, no puede validar la nueva contraseña. El usuario debe establecer una conexión con el controlador de dominio (ya sea a través de VPN o estar en la red corporativa) antes de poder iniciar sesión en el dispositivo con su nueva contraseña. De lo contrario, solo puede iniciar sesión con la contraseña antigua debido a la capacidad de inicio de sesión almacenado en caché de Windows. Sin embargo, Microsoft Entra ID invalida la contraseña antigua durante las solicitudes de token y, por tanto, impide el inicio de sesión único y genera un error en las directivas de acceso condicional basado en dispositivos hasta que el usuario se autentica con su nueva contraseña en una aplicación o un explorador. Este problema no se produce si usa dispositivos unidos a Microsoft Entra.

• Para los dispositivos Windows 10/11 registrados en Microsoft Entra, vaya a Configuración>Cuentas>Obtener acceso a trabajo o escuela. Seleccione su cuenta y luego Desconectar. El registro de dispositivos es por perfil de usuario en Windows 10/11.
• Para iOS y Android, puede usar Configuración>Registro de dispositivos la aplicación Microsoft Authenticator configuración y seleccionar Anular registro del dispositivo .
• En macOS, puede usar la aplicación Portal de empresa de Microsoft Intune para anular la inscripción del dispositivo en la administración y quitar cualquier registro.

Para Windows 10 versión 2004 y versiones anteriores, este proceso se puede automatizar con la Herramienta de eliminación Workplace Join (WPJ).

Habilite el siguiente registro para impedir que los usuarios agreguen otras cuentas de trabajo adicionales a los dispositivos Windows 10/11 unidos a un dominio corporativo, a Microsoft Entra o a Microsoft Entra híbrido. Esta directiva también se puede usar para impedir que las máquinas unidas a un dominio reciban involuntariamente la instancia de Microsoft Entra registrada con la misma cuenta de usuario.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Contenido relacionado

• Herramienta de búsqueda de errores de Microsoft