Preguntas más frecuentes sobre la administración de dispositivos de Azure Active Directory

Los dispositivos Windows 10 o posterior que están unidos a Azure AD híbrido no aparecen en los dispositivos del USUARIO. Utilice la vista Todos los dispositivos. También puede usar un cmdlet Get-MsolDevice de PowerShell.

Los únicos que aparecen entre los dispositivos del USUARIO son los siguientes:

• Todos los dispositivos personales que no están unidos a Azure AD híbrido.
• Todos los dispositivos que no son Windows 10 o posterior ni Windows Server 2016 o versiones posteriores.
• Todos los dispositivos que no son de Windows.

Vaya a Todos los dispositivos. Use el identificador del dispositivo para buscarlo. Compruebe el valor en la columna de tipo de unión. A veces, puede haberse restablecido el dispositivo o su imagen inicial. Por lo tanto, también es esencial comprobar el estado de registro del dispositivo:

• Para dispositivos Windows 10 o posterior y Windows Server 2016 o versiones posteriores, ejecute dsregcmd.exe /status.
• En las versiones anteriores del sistema operativo, ejecute %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Para consultar información sobre solución de problemas, vea los artículos:

• Solución de problemas de dispositivos mediante el comando dsregcmd
• Solución de problemas de dispositivos híbridos de Windows 10 y Windows Server 2016 unidos a Azure Active Directory
• Solución de problemas de dispositivos híbridos de nivel inferior unidos a Azure Active Directory

El estado de unión del dispositivo, que se muestra en deviceID, debe coincidir con el de Azure AD y satisfacer los criterios de evaluación del acceso condicional. Para más información, consulte Exigir dispositivos administrados para el acceso a aplicaciones en la nube con acceso condicional.

En los dispositivos de Windows 10/11 conectados o registrados con Azure AD, se emite un token de actualización principal (PRT) que permite el inicio de sesión único. La validez de dicho token se basa en la validez del propio dispositivo. Los usuarios verán este mensaje si el dispositivo se ha eliminado o deshabilitado en Azure AD sin iniciar la acción desde el propio dispositivo. Un dispositivo se puede eliminar o deshabilitar en Azure AD bajo cualquiera de los siguientes escenarios:

• El usuario deshabilita el dispositivo en el portal Mis aplicaciones.
• Un administrador (o usuario) borra o deshabilita el dispositivo.
• Solo unido a Azure AD híbrido: un administrador quita la unidad organizativa de los dispositivos del ámbito de sincronización, lo que da lugar a la eliminación de los dispositivos de Azure AD.
• Solo Azure AD híbrido unido: Un administrador deshabilita la cuenta de equipo en las instalaciones, lo que provoca que el dispositivo se deshabilite en Azure AD.
• Actualización de Azure AD Connect a la versión 1.4.xx.x. Descripción de Azure AD Connect 1.4.xx.x y desaparición del dispositivo.

Esta operación es así por diseño. En este caso, el dispositivo no tiene acceso a los recursos en la nube. Los administradores pueden realizar esta acción en dispositivos obsoletos, perdidos o robados para evitar el acceso no autorizado. Si esta acción se realiza de forma no intencionada, debe volver a habilitar o volver a registrar el dispositivo, tal y como se describe a continuación:

• Si el dispositivo se deshabilitó en Azure AD, un administrador con suficientes privilegios puede habilitarlo desde Azure Portal.

  Nota:

  Si va a sincronizar dispositivos mediante Azure AD Connect, los dispositivos unidos a Azure AD híbrido se volverán a habilitar automáticamente durante el siguiente ciclo de sincronización. Por lo tanto, si necesita deshabilitar un dispositivo unido a Azure AD híbrido, debe deshabilitarlo de la instancia de AD local.

• Si el dispositivo se elimina en Azure AD, debe volver a registrar el dispositivo. Para volver a registrar el dispositivo, deberá realizar algunas acciones manualmente en él. Consulte los pasos siguientes para obtener instrucciones sobre cómo volver a registrarse en función del estado del dispositivo.

  Para volver a registrar los dispositivos Windows 10/11 y Windows Server 2016/2019 unidos a Azure AD híbrido, siga estos pasos:

  1. Abra el símbolo del sistema como administrador.
  2. Escriba dsregcmd.exe /debug /leave.
  3. Cierre la sesión y luego iníciela para desencadenar la tarea programada que registra de nuevo el dispositivo con Azure AD.

  Para las versiones anteriores del sistema operativo Windows que estén unidas a Azure AD híbrido, realice los pasos siguientes:

  1. Abra el símbolo del sistema como administrador.
  2. Escriba "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. Escriba "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

  En los dispositivos Windows 10/11 unidos a Azure AD, siga estos pasos:

  1. Abra el símbolo del sistema como administrador.
  2. Especifique dsregcmd /forcerecovery. (Debe ser administrador para realizar esta acción).
  3. Haga clic en "Iniciar sesión" en el cuadro de diálogo que se abre y continúe con el proceso de inicio de sesión.
  4. Cierre la sesión y vuelva a iniciarla en el dispositivo para completar la recuperación.

  En el caso de los dispositivos Windows 10/11 registrados en Azure AD, realice los pasos siguientes:

  1. Vaya a Configuración>Cuentas>Obtener acceso a trabajo o escuela.
  2. Seleccione la cuenta y después Desconectar.
  3. Haga clic en "+ Conectar" y vuelva a registrar el dispositivo. Para ello, pase por el proceso de inicio de sesión.

• En Windows 10 o posterior y Windows Server 2016 o versiones posteriores, si se realizan varios intentos para separar y volver a unir el mismo dispositivo, pueden aparecer entradas duplicadas.
• Cada usuario de Windows que usa Agregar cuenta profesional o educativa crea un nuevo registro de dispositivo con el mismo nombre de dispositivo.
• En las versiones anteriores del sistema operativo Windows que estén unidas a un dominio de Azure Directory local, el registro automático crea un nuevo registro del dispositivo con el mismo nombre de dispositivo para cada usuario del dominio que inicie sesión en dicho dispositivo.
• En el caso de las máquinas unidas a Azure AD que se han borrado, se han vuelto a instalar y se han vuelto a unir con el mismo nombre, aparece otro registro con el mismo nombre de dispositivo.

El registro de dispositivos Windows 10/11 solo se admite con TPM 2.0 compatible con FIPS y no se admite en TPM 1.2. Si los dispositivos tienen TPM 1.2 compatible con FIPS, debe deshabilitarlos antes de continuar con la unión a Azure AD o la unión a Azure AD híbrido. Microsoft no proporciona ninguna herramienta para deshabilitar el modo FIPS para TPM, ya que eso depende del fabricante de TPM. Póngase en contacto con el OEM de hardware para obtener soporte técnico.

La revocación tarda hasta una hora en aplicarse desde el momento en el que el dispositivo de Azure AD se marca como deshabilitado.

A partir de la versión 1803 de Windows 10, Azure AD ha agregado compatibilidad para varias cuentas de Azure AD. Sin embargo, Windows 10/11 restringe el número de cuentas de Azure AD en un dispositivo a tres para limitar el tamaño de las solicitudes de token y permitir un inicio de sesión único (SSO) de confianza. Una vez agregadas tres cuentas, los usuarios ven un error al intentar agregar más cuentas. La información adicional sobre el problema que aparece en la pantalla de error muestra un mensaje para indicar que la operación agregar cuenta está bloqueada porque se ha alcanzado el límite de cuentas.

Los certificados MS-Organization-Access son emitidos por el servicio de registro de dispositivos de Azure AD durante el proceso de registro de dispositivos. Estos certificados se emiten para todos los tipos de unión admitidos en Windows: unido a Azure AD, unido a Azure AD híbrido y dispositivos registrados en Azure AD. Una vez que se emiten, se usan como parte del proceso de autenticación desde el dispositivo para solicitar un token de actualización principal (PRT). Para dispositivos unidos a Azure AD y unidos a Azure AD híbrido, este certificado está presente en Equipo local\Personal\Certificados, mientras que para los dispositivos registrados en Azure AD, el certificado está presente en Usuario actual\Personal\Certificados. Todos los certificados MS-Organization-Access tienen una duración predeterminada de 10 años, pero estos certificados se eliminan del almacén de certificados correspondiente cuando se anula el registro del dispositivo en Azure AD. Cualquier eliminación involuntaria de este certificado provoca errores de autenticación del usuario y requerirá volver a registrar el dispositivo en tales casos.

Para los dispositivos unidos a Azure AD puro, asegúrese de tener una cuenta de administrador local sin conexión o cree una. No podrá iniciar sesión con credenciales de usuario de Azure AD. A continuación, vaya a Configuración>Cuentas>Obtener acceso a trabajo o escuela. Seleccione su cuenta y luego Desconectar. Siga las indicaciones y proporcione las credenciales de administrador local cuando se le solicite. Reinicie el dispositivo para finalizar el proceso de separación.

Sí. Windows tiene una funcionalidad para almacenar en caché un nombre de usuario y contraseña. Esta funcionalidad permite que los usuarios que han iniciado sesión anteriormente accedan rápidamente al escritorio, incluso sin conectividad de red.

Cuando un dispositivo se elimina o deshabilita en Azure AD, el dispositivo Windows no lo reconoce. Por lo que los usuarios que han iniciado sesión anteriormente siguen teniendo acceso al escritorio con el nombre de usuario y contraseña almacenados en caché. Pero dado que el dispositivo se ha eliminado o deshabilitado, los usuarios no pueden acceder a los recursos protegidos con el acceso condicional basado en el dispositivo.

Los usuarios que no han iniciado sesión anteriormente no pueden acceder al dispositivo. No se ha habilitado ningún nombre de usuario o contraseña almacenados en caché para ellos.

Sí, pero solo durante un tiempo limitado. Cuando un usuario se elimina o deshabilita en Azure AD, el dispositivo Windows no lo reconoce inmediatamente. Por lo que los usuarios que han iniciado sesión anteriormente pueden acceder al escritorio con el nombre de usuario y contraseña almacenados en caché.

Normalmente, el dispositivo reconoce el estado del usuario en menos de cuatro horas. Tras lo cual, Windows bloquea el acceso de esos usuarios al escritorio. Como el usuario está eliminado o deshabilitado en Azure AD, se revocan todos sus tokens, por lo que no puede tener acceso a ninguno de los recursos.

Los usuarios eliminados o deshabilitados que no han iniciado sesión anteriormente no pueden acceder al dispositivo. No se ha habilitado ningún nombre de usuario o contraseña almacenados en caché para ellos.

No, actualmente, los usuarios invitados no pueden iniciar sesión en un dispositivo unido a Azure AD.

Con el fin de implementar impresoras para los dispositivos unidos a Azure AD, consulte Deploy Windows Server Hybrid Cloud Print with Pre-Authentication (Implementación de impresión en nube híbrida de Windows Server mediante autenticación previa). Necesita un servidor de Windows Server local para implementar la impresión en nube híbrida. Actualmente, el servicio de impresión basado en la nube no está disponible.

Consulte Conectarse a un equipo remoto unido a Azure Active Directory.

¿Ha configurado determinadas reglas de acceso condicional para requerir un estado de dispositivo específico? Si el dispositivo no cumple los criterios, se bloquea a los usuarios y se les muestra ese mensaje. Examine las reglas de la directiva de acceso condicional. Asegúrese de que el dispositivo cumple los criterios para evitar el mensaje.

Las razones comunes para este escenario son las siguientes:

• Las credenciales de usuario ya no son válidas.
• El equipo no puede comunicarse con Azure Active Directory. Compruebe si existen errores de conectividad de red.
• Los inicios de sesión federados requieren que el servidor de federación admita puntos de conexión WS-Trust que estén habilitados y accesibles.
• Habilitó la autenticación pasarela. Por tanto, debe cambiar su contraseña temporal al iniciar sesión.

Actualmente, los dispositivos unidos a Azure AD no obligan a los usuarios a cambiar la contraseña en la pantalla de bloqueo. Por lo tanto, los usuarios con contraseñas temporales o expiradas se verán obligados a cambiar las contraseñas solo cuando accedan a una aplicación (que requiere un token Azure AD) después de iniciar sesión en Windows.

Este error se produce cuando configura la inscripción automática de Azure Active Directory con Intune sin una asignación de licencias correcta. Asegúrese de que el usuario que intenta unirse a Azure AD tiene asignada la licencia de Intune correcta. Para obtener más información, consulte Configuración de la inscripción de dispositivos Windows.

Puede deberse a que inició sesión en el dispositivo con la cuenta de administrador integrada local. Cree una cuenta local distinta antes de usar la unión de Azure Active Directory para completar la instalación.

Azure AD emite los certificados Ms-Organization-P2P-Access para los dispositivos unidos a Azure AD y a Azure AD híbrido. Estos certificados se usan para habilitar la confianza entre los dispositivos del mismo inquilino en escenarios de escritorios remotos. Se emite un certificado al dispositivo y otro al usuario. El certificado del dispositivo está presente en Local Computer\Personal\Certificates y es válido durante un día. Este certificado se renueva (mediante la emisión de un nuevo certificado) si el dispositivo está activo en Azure AD. El certificado de usuario no es persistente, es válido durante una hora y se emite a petición cuando un usuario intenta establecer una sesión de escritorio remoto con otro dispositivo unido a Azure AD. No se renueva cada vez que expira. Ambos certificados se emiten con el certificado MS-Organization-P2P-Access presente en Local Computer\AAD Token Issuer\Certificates. Azure AD emite este certificado durante el registro de dispositivos.

No es posible deshabilitar o expirar los inicios de sesión almacenados en caché anteriores en dispositivos unidos a Azure AD.

Para dispositivos unidos a Azure AD híbrido, asegúrese de desactivar el registro automático en AD; para ello, siga el artículo Validación controlada. De esta forma, la tarea programada no registrará el dispositivo de nuevo. A continuación, abra un símbolo del sistema como administrador y escriba dsregcmd.exe /debug /leave. O bien ejecute este comando como un script en varios dispositivos para separarlos de forma masiva.

Para consultar información sobre solución de problemas, vea los artículos:

• Solución de problemas de dispositivos híbridos de Windows 10 y Windows Server 2016 unidos a Azure Active Directory
• Solución de problemas de dispositivos híbridos de nivel inferior unidos a Azure Active Directory

Cuando los usuarios agregan sus cuentas a las aplicaciones en un dispositivo unido a un dominio, se les puede preguntar si quieren agregarla a Windows. Si contestan que Sí, el dispositivo se registra en Azure AD. El tipo de confianza se marca como registrado en Azure AD. Después de que habilite la unión de Azure AD híbrido en una organización, el dispositivo también se une con Azure AD híbrido. De esta forma, se muestran dos estados para el mismo dispositivo.

En la mayoría de los casos, la unión de Azure AD híbrido tiene prioridad sobre el estado registrado Azure AD, lo que da lugar a que el dispositivo se considere unido a Azure AD híbrido a cualquier autenticación y evaluación de acceso condicional. Sin embargo, en ocasiones, este estado dual puede dar lugar a una evaluación no determinista del dispositivo y provocar problemas de acceso. Se recomienda encarecidamente actualizar a la versión 1803 de Windows 10 y versiones posteriores en las que se limpiará automáticamente el estado registrado Azure AD. Aprenda cómo evitar o borrar los dos estados en el equipo de Windows 10.

Actualmente, los cambios de UPN no son totalmente compatibles en dispositivos híbridos unidos a Azure AD. Aunque los usuarios pueden iniciar sesión en el dispositivo y acceder a sus aplicaciones de forma local, se produce un error en la autenticación con Azure AD después de cambiar un UPN. Como resultado, los usuarios experimentarán problemas con el acceso condicional y el inicio de sesión único en sus dispositivos. Para solucionar el problema, el usuario debe desunir el dispositivo de Azure AD (ejecutar "dsregcmd /leave" con privilegios elevados) y volver a realizar la unión (se produce automáticamente).

Los cambios de UPN se admiten con Windows 10, actualización 2004 y también se aplican a Windows 11. Los usuarios de dispositivos que tengan esta actualización no experimentarán problemas después de cambiar sus UPN

No, excepto cuando se cambia la contraseña del usuario. Después de completar la unión a Azure AD híbrido en Windows 10/11 y de que el usuario haya iniciado sesión al menos una vez, el dispositivo no requiere línea de visión al controlador de dominio para acceder a los recursos en la nube. Windows 10/11 puede obtener inicio de sesión único a aplicaciones de Azure AD desde cualquier lugar con conexión a internet, excepto cuando se cambia una contraseña. Los usuarios que inician sesión con Windows Hello para empresas continúan recibiendo el inicio de sesión único en las aplicaciones de Azure AD incluso después de un cambio de contraseña, aunque no tengan línea de visión a su controlador de dominio.

Si se cambia una contraseña fuera de la red corporativa (por ejemplo, mediante el uso de SSPR de Azure AD), se produce un error en el inicio de sesión de usuario con la nueva contraseña. Para los dispositivos unidos a Azure AD híbrido, el directorio local de Active Directory es la autoridad principal. Cuando un dispositivo no tiene línea de visión al controlador de dominio, no puede validar la nueva contraseña. Por tanto, el usuario necesita establecer conexión con el controlador de dominio (ya sea a través de VPN o desde dentro de la red corporativa) antes de poder iniciar sesión en el dispositivo con la nueva contraseña. En caso contrario, solo puede iniciar sesión con la contraseña antigua debido a la capacidad de Windows de inicio de sesión almacenado en caché. Sin embargo, Azure AD invalida la contraseña antigua durante las solicitudes de token y, por tanto, impide el inicio de sesión único y genera un error en las directivas de acceso condicional basado en dispositivos hasta que el usuario se autentica con su nueva contraseña en una aplicación o un explorador. Este problema no se produce cuando se usa Windows Hello para empresas.

• Para los dispositivos Windows 10/11 registrados en Azure AD, vaya a Configuración>Cuentas>Obtener acceso a trabajo o escuela. Seleccione su cuenta y luego Desconectar. El registro de dispositivos es por perfil de usuario en Windows 10/11.
• Para iOS y Android, puede usar Configuración>Registro de dispositivos la aplicación Microsoft Authenticator configuración y seleccionar Anular registro del dispositivo .
• En macOS, puede usar la aplicación Portal de empresa de Microsoft Intune para anular la inscripción del dispositivo en la administración y quitar cualquier registro.

En el caso de los dispositivos Windows 10 versión 2004 y posteriores, este proceso se puede automatizar con la herramienta de eliminación de Workplace Join (WPJ)

Habilite el registro siguiente para evitar que los usuarios agreguen cuentas de trabajo adicionales a los dispositivos Windows 10/11 corporativos unidos a un dominio o a Azure AD o híbridos unidos a Azure AD. Esta directiva también se puede usar para impedir que las máquinas unidas a un dominio reciban involuntariamente la instancia de Azure AD registrada con la misma cuenta de usuario.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Sí, pero solo con el servicio de registro de dispositivos de Azure y para clientes híbridos. No es compatible con el servicio de registro de dispositivos local en los servicios de federación de Active Directory (AD FS).

Siga estos pasos:

1. Cree una directiva de cumplimiento.
2. Defina una directiva de acceso condicional para dispositivos de Mac OS.

Observaciones:

• Los usuarios incluidos en la directiva de acceso condicional necesitan una versión admitida de Office para macOS para acceder a los recursos.
• Durante el primer intento de acceso, se pide a los usuarios que inscriban el dispositivo mediante el portal de la empresa.

Pasos siguientes

• Obtenga más información sobre los dispositivos registrados en Azure AD.
• Obtenga más información sobre los dispositivos unidos a Azure AD.
• Obtenga más información sobre los dispositivos híbridos unidos a Azure AD.
• Herramienta de búsqueda de errores de Microsoft