Configuración de la unión a Azure AD híbrido

Al traer sus dispositivos a Azure AD, está maximizando la productividad de los usuarios mediante un inicio de sesión único (SSO) en los recursos de nube y del entorno local. Puede proteger el acceso a los recursos con el acceso condicional al mismo tiempo.

Requisitos previos

  • Azure AD Connect, versión 1.1.819.0 o posterior.
    • No excluya los atributos de dispositivo predeterminados de la configuración de sincronización de Azure AD Connect. Para más información sobre los atributos de dispositivo predeterminados sincronizados con Azure AD, consulte Sincronización de Azure AD Connect: Atributos sincronizados con Azure Active Directory.
    • Si los objetos de equipo de los dispositivos que desea mantener unidos a Azure AD híbrido pertenecen a unidades organizativas (UO) específicas, configure las OU correctas para sincronizarlas en Azure AD Connect. Para más información acerca de cómo sincronizar objetos de equipo con Azure AD Connect, consulte Filtrado basado en la unidad organizativa.
  • Credenciales de administrador de empresa para su inquilino de Azure AD.
  • Credenciales de administrador de empresa para cada uno de los bosques locales de Active Directory Domain Services.
  • (Para dominios federados) Al menos Windows Server 2012 R2 con Servicios de federación de Active Directory (AD FS) instalado.
  • Los usuarios pueden registrar sus dispositivos con Azure AD. Dispone de información complementaria sobre esta configuración en el apartado Configuración de dispositivo del artículo Administración de identidades de dispositivo mediante Azure Portal.

Requisitos de conectividad de red

La unión a Azure AD híbrido requiere que los dispositivos tengan acceso a los siguientes recursos de Microsoft desde dentro de la red de su organización:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (si usa o planea usar SSO de conexión directa)
  • El servicio de token de seguridad (STS) de su organización (para dominios federados)

Advertencia

Si su organización usa servidores proxy que interceptan el tráfico SSL en escenarios como la prevención de pérdida de datos o las restricciones de inquilino de Azure AD, asegúrese de que el tráfico a https://device.login.microsoftonline.com se excluya de la interrupción e inspección de TLS. Si no excluye esta dirección URL, pueden surgir interferencias con la autenticación de los certificados de cliente, lo que causaría problemas con el registro de dispositivos y el acceso condicional basado en dispositivos.

Si la organización necesita acceso a Internet mediante un proxy de salida, puede usar la detección automática de proxy web (WPAD) para que los equipos con Windows 10 o versiones posteriores efectúen el registro de dispositivos con Azure AD. Para solucionar problemas de configuración y administración de WPAD, consulte Solución de problemas de la detección automática.

Si no usa WPAD, puede configurar el proxy WinHTTP en el equipo con un objeto directiva de grupo (GPO) a partir de la versión 1709 de Windows 10. Para más información, consulte Configuración del servidor proxy WinHTTP implementado por GPO.

Nota:

Si configura el proxy en el equipo mediante WinHTTP, todos los equipos que no se puedan conectar al proxy configurado no podrán conectarse a Internet.

Si la organización requiere acceso a Internet mediante un servidor proxy saliente autenticado, asegúrese de que los equipos con Windows 10 o versiones posteriores pueden autenticarse correctamente en el proxy de salida. Debido a que los equipos con Windows 10 o versiones posteriores ejecutan el registro de dispositivos mediante el contexto del equipo, configure la autenticación del proxy de salida mediante el contexto del equipo. Realice un seguimiento con su proveedor de proxy de salida en relación a los requisitos de configuración.

Compruebe si el dispositivo tiene acceso a los recursos de Microsoft anteriores con la cuenta del sistema. Para ello, utilice el script para probar la conectividad del registro de dispositivos.

Dominios administrados

Pensamos que la mayoría de las organizaciones implementarán la unión a Azure AD con dominios administrados. Los dominios administrados usan la sincronización de hash de contraseñas (PHS) o la autenticación de paso a través (PTA) con el inicio de sesión único fluido. Los escenarios de dominios administrados no exigen la configuración de un servidor de federación.

Configure la unión a Azure AD híbrido mediante Azure AD Connect para un dominio administrado:

  1. Inicie Azure AD Connect y, a continuación, seleccione Configurar.

  2. En Tareas adicionales, seleccione Configurar opciones de dispositivo y, a continuación, seleccione Siguiente.

  3. En Información general, seleccione Siguiente.

  4. En Conectar con Azure AD, proporcione las credenciales de administrador global para el inquilino de Azure AD.

  5. En Opciones de dispositivos, seleccione Configurar la unión a Azure AD híbrido y, a continuación, seleccione Siguiente.

  6. En Sistemas operativos de los dispositivos, seleccione los sistemas operativos que usan los dispositivos del entorno de Active Directory y, a continuación, seleccione Siguiente.

  7. En Configuración del SCP, para cada bosque en el que desee que Azure AD Connect configure el SCP, complete los pasos siguientes y, a continuación, seleccione Siguiente.

    1. Seleccione el Bosque.
    2. Seleccione un Servicio de autenticación.
    3. Seleccione Agregar para especificar las credenciales de administrador de empresa.

    Dominio administrado: configuración de Azure AD Connect SCP

  8. En Listo para configurar, seleccione Configurar.

  9. En Configuración completada, seleccione Salir.

Dominios federados

Un entorno federado debe tener un proveedor de identidades que admita los requisitos siguientes. Si tiene un entorno federado en que se utilizan los Servicios de federación de Active Directory (AD FS), entonces los siguientes requisitos ya son compatibles.

  • Notificación WIAORMULTIAUTHN: Esta notificación es necesaria para realizar la unión a Azure AD híbrido para dispositivos Windows de nivel inferior.
  • Protocolo WS-Trust: Este protocolo es necesario para autenticar en Azure AD los dispositivos Windows actuales unidos a Azure AD híbrido. Cuando use AD FS, debe habilitar los siguientes puntos de conexión de WS-Trust:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Advertencia

Tanto adfs/services/trust/2005/windowstransport como adfs/services/trust/13/windowstransport se deben habilitar como puntos de conexión accesibles desde la intranet y NO deben exponerse como accesible desde la extranet mediante el Proxy de aplicación web. Para más información sobre cómo deshabilitar los puntos de conexión de Windows de WS-Trust, consulte Deshabilitar los puntos de conexión de Windows de WS-Trust en el proxy. Para ver qué puntos de conexión están habilitados, vaya a ServicioPuntos de conexión en la consola de administración de AD FS.

Configure la unión a Azure AD híbrido mediante Azure AD Connect para un entorno federado:

  1. Inicie Azure AD Connect y, a continuación, seleccione Configurar.

  2. En la página Tareas adicionales, seleccione Configurar opciones de dispositivo y, a continuación, seleccione Siguiente.

  3. En la página Información general, seleccione Siguiente.

  4. En la página Conectar con Azure AD, proporcione las credenciales de administrador global para el inquilino de Azure AD y seleccione Siguiente.

  5. En la página Opciones de dispositivos, seleccione Configurar la combinación de Azure AD híbrido y después Siguiente.

  6. En la página SCP, complete los pasos siguientes y seleccione Siguiente:

    1. Seleccione el bosque.
    2. Seleccione el servicio de autenticación. Debe seleccionar un servidor de AD FS, salvo que su organización tenga exclusivamente clientes de Windows 10 o versiones posteriores y haya configurado la sincronización de equipos o dispositivos, o bien su organización utilice SSO de conexión directa.
    3. Seleccione Agregar para especificar las credenciales de administrador de empresa.

    Dominio federado: configuración de Azure AD Connect SCP

  7. En la página Sistemas operativos de los dispositivos, seleccione los sistemas operativos que los dispositivos en el entorno de Active Directory utilizan y luego Siguiente.

  8. En la página Configuración de federación, escriba las credenciales del administrador de AD FS y, a continuación, seleccione Siguiente.

  9. En la página Listo para configurar, seleccione Configurar.

  10. En la página Configuración completada, seleccione Salir.

Consideraciones sobre la federación

A partir de la versión 1803 de Windows 10, cuando se produce un error en la unión instantánea a Azure AD híbrido en un entorno federado mediante AD FS, disponemos de Azure AD Connect para sincronizar el objeto de equipo en Azure AD, que posteriormente se usa para completar el registro de dispositivos para la unión a Azure AD híbrido.

Otros escenarios

Las organizaciones pueden probar la unión a Azure AD híbrido en un subconjunto del entorno antes de un lanzamiento completo. Los pasos para completar una implementación de destino están disponibles en el artículo Validación controlada de la unión a Azure AD híbrido. Las organizaciones deben incluir una muestra de usuarios con diversos roles y perfiles en este grupo piloto. Un lanzamiento dirigido permite identificar cualquier problema que no se haya abordado en su plan antes de habilitarlo para toda la organización.

Es posible que algunas organizaciones no puedan usar Azure AD Connect para configurar AD FS. Los pasos para configurar las notificaciones manualmente se están disponibles en el artículo Configuración manual de dispositivos unidos a Azure Active Directory híbrido.

Nube de administración pública

En el caso de las organizaciones incluidas en Azure Government, la unión a Azure AD híbrido requiere que los dispositivos tengan acceso a los siguientes recursos de Microsoft desde dentro de la red de su organización:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (si usa o planea usar SSO de conexión directa)

Solución de problemas relativos a la unión a Azure AD híbrido

Si tiene problemas para completar la unión a Azure AD híbrido para los dispositivos de Windows unidos a un dominio, consulte:

Pasos siguientes