Planeamiento de la implementación de la unión a Azure Active Directory híbrido
Si tiene un entorno local de Active Directory Domain Services (AD DS) y quiere unir sus equipos unidos a un dominio AD DS a Azure AD, puede hacerlo mediante una unión a Azure AD híbrido.
Sugerencia
El acceso del inicio de sesión único a los recursos locales también está disponible para los dispositivos que están unidos a Azure AD. Para obtener más información, consulte How SSO to on-premises resources works on Azure AD joined devices (Funcionamiento del inicio de sesión único a recursos locales en dispositivos unidos a Azure AD).
Requisitos previos
En este artículo se da por hecho que está familiarizado con la introducción a la administración de identidades de dispositivos en Azure Active Directory.
Nota:
La versión del controlador de dominio mínima necesaria para la unión de dispositivos Windows 10 o versiones posteriores a Azure AD híbrido es Windows Server 2008 R2.
Los dispositivos unidos de Azure AD híbrido requieren una línea de visión de red a sus controladores de dominio periódicamente. Sin esta conexión, los dispositivos se vuelven inutilizables.
Estos son algunos de los escenarios en los que no habrá línea de visión en los controladores de dominio:
- Cambio de contraseña del dispositivo
- Cambio de contraseña de usuario (credenciales almacenadas en caché)
- TPM restablecido
Planeamiento de la implementación
Para planear la implementación de Azure AD híbrido, debe familiarizarse con:
- Revisión de los dispositivos compatibles
- Revisión de los aspectos que debe conocer
- Revisión de la implementación dirigida de la unión Azure AD híbrido
- Seleccione el escenario según la infraestructura de identidad
- Revisión del UPN de AD local para la unión a Azure AD híbrido
Revisión de los dispositivos compatibles
La unión a Azure AD híbrido admite una amplia variedad de dispositivos Windows. Dado que la configuración para los dispositivos que ejecutan versiones anteriores de Windows requiere otros pasos, los dispositivos compatibles se agrupan en dos categorías:
Dispositivos de Windows actuales
- Windows 11
- Windows 10
- Windows Server 2016
- Nota: Los clientes de las nubes nacionales de Azure necesitan la versión 1803.
- Windows Server 2019
Para los dispositivos que ejecutan el sistema operativo de escritorio Windows, las versiones admitidas se enumeran en el artículo Información sobre la versión de Windows 10. Como procedimiento recomendado, Microsoft recomienda actualizar a la última versión de Windows.
Dispositivos de Windows de nivel inferior
- Windows 8.1
- La compatibilidad con Windows 7 finalizó el 14 de enero de 2020. Para más información, consulte el artículo sobre el fin de la compatibilidad con Windows 7.
- Windows Server 2012 R2
- Windows Server 2012
- Para información de soporte técnico de Windows Server 2008 R2 sobre Windows Server 2008 y 2008 R2, consulte Preparación para la finalización del soporte técnico de Windows Server 2008.
Como primer paso del planeamiento, debe revisar el entorno y determinar si necesita admitir dispositivos Windows de nivel inferior.
Revisión de los aspectos que debe conocer
Escenarios no admitidos
- No se admite la unión a Azure AD híbrido para Windows Server que ejecute el rol de controlador de dominio (DC).
- No se admite la unión a Azure AD híbrido en dispositivos Windows de nivel inferior al usar la movilidad de credenciales o de perfiles de usuario, o el perfil obligatorio.
- El sistema operativo de Server Core no admite ningún tipo de registro de dispositivos.
- La Herramienta de migración de estado de usuario (USMT) no funciona con el registro de dispositivos.
Consideraciones sobre la creación de imágenes del SO
Si se basa en la herramienta de preparación del sistema (Sysprep) y utiliza para la instalación una imagen anterior a Windows 10 1809, asegúrese de que esa imagen no corresponda a un dispositivo ya registrado en Azure AD como unido a Azure AD híbrido.
Si se basa en la instantánea de una máquina virtual para crear otras máquinas virtuales, asegúrese de que esa instantánea no sea de una máquina virtual ya registrada en Azure AD como unida a Azure AD híbrido.
Si usa el filtro de escritura unificado y tecnologías similares que borran los cambios en el disco con el reinicio, se deben aplicar una vez unido el dispositivo a Azure AD híbrido. Si se habilitan estas tecnologías antes de que se complete la unión a Azure AD híbrido, el dispositivo se separará con cada reinicio.
Control de dispositivos con el estado registrado de Azure AD
Si los dispositivos unidos a un dominio con Windows 10 o versiones posteriores están registrados en Azure AD con su inquilino, podría provocar un doble estado de dispositivos registrados en Azure AD y unidos a Azure AD híbrido. Se recomienda actualizar a Windows 10 1803 (con KB4489894 aplicado) o una versión posterior para solucionar automáticamente esta situación. En las versiones anteriores a 1803, deberá quitar manualmente el estado registrado en Azure AD antes de habilitar la unión a Azure AD híbrido. A partir de la versión 1803, se han realizado los siguientes cambios para evitar este doble estado:
- Cualquier estado registrado de Azure AD existente de un usuario se eliminaría automáticamente en el momento en que el dispositivo se una a Azure AD híbrido y el usuario en cuestión inicie sesión. Por ejemplo, si un usuario A tuviera un estado registrado de Azure AD en el dispositivo, el doble estado de ese usuario A se limpiará únicamente cuando este inicie sesión en el dispositivo. Si hay varios usuarios en el mismo dispositivo, el doble estado se limpiará individualmente cuando cada uno de esos usuarios inicie sesión. Una vez que un administrador quite el estado registrado de Azure AD, Windows 10 anulará la inscripción del dispositivo de Intune, o de cualquier otra administración de dispositivos móviles, si la inscripción se realizó como parte del registro de Azure AD por inscripción automática.
- Este cambio no afecta al estado registrado de Azure AD en las cuentas locales del dispositivo, solo se aplica a las cuentas de dominio. El estado registrado de Azure AD en las cuentas locales no se quita de forma automática, ni siquiera después del inicio de sesión del usuario, ya que no se trata de un usuario del dominio.
- Puede impedir que el dispositivo unido al dominio se registre en Azure AD mediante la incorporación de esta clave del Registro a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- En Windows 10 1803, si tiene configurado Windows Hello para empresas, el usuario tendrá que volver a configurarlo tras la limpieza del estado dual. Este problema se ha solucionado con KB4512509.
Nota:
Aunque Windows 10 y Windows 11 quitan automáticamente el estado registrado de Azure AD localmente, el objeto de dispositivo de Azure AD no se elimina de inmediato si se administra mediante Intune. Puede validar la eliminación del estado registrado de Azure AD si ejecuta dsregcmd /status y considerar que el dispositivo no se ha registrado en Azure AD en función de eso.
Unido a Azure AD híbrido para un único bosque, varios inquilinos de Azure AD
Para registrar los dispositivos unidos a Azure AD híbrido en sus respectivos inquilinos, las organizaciones deben asegurarse de que la configuración de SCP se realice en los dispositivos y no en AD. Más información sobre cómo hacerlo en el artículo Validación controlada de la unión a Azure AD híbrido. Es importante que las organizaciones comprendan que ciertas funcionalidades de Azure AD no funcionarán en configuraciones de Azure AD multiinquilino de un único bosque.
- La escritura diferida de dispositivo no funcionará. Esta configuración afecta al acceso condicional basado en dispositivo de las aplicaciones locales federadas mediante ADFS. También afecta a la implementación de Windows Hello para empresas cuando se usa el modelo de confianza de certificados híbridos.
- La escritura diferida de Grupos no funcionará. Esta configuración afecta a la escritura diferida de Grupos de Office 365 en un bosque con Exchange instalado.
- SSO de conexión directa no funcionará. Esta configuración afecta a los escenarios de inicio de sesión único de las organizaciones para plataformas con múltiples sistemas operativos o exploradores, por ejemplo, iOS o Linux con Firefox, Safari y Chrome sin la extensión de Windows 10.
- La unión a Azure AD híbrido de dispositivos Windows de nivel inferior en un entorno administrado no funcionará. Por ejemplo, la unión a Azure AD híbrido en Windows Server 2012 R2 en un entorno administrado requiere SSO de conexión directa y, como no funcionará, la unión a Azure AD híbrido no funcionará para este tipo de configuración.
- La protección de contraseñas de Azure AD local no funcionará. Esta configuración afecta a la capacidad de realizar eventos de cambio y restablecimiento de contraseña en los controladores de dominio locales de Active Directory Domain Services (AD DS) con las mismas listas de contraseñas prohibidas globales y personalizadas que se almacenan en Azure AD.
Otras consideraciones
Si su entorno usa la infraestructura de escritorio virtual (VDI), consulte Identidad del dispositivo y virtualización del escritorio.
La unión a Azure AD híbrido es compatible con TPM 2.0 compatible con FIPS y no se admite en TPM 1.2. Si los dispositivos tienen TPM 1.2 compatible con FIPS, debe deshabilitarlos antes de continuar con la unión a Azure AD híbrido. Microsoft no proporciona ninguna herramienta para deshabilitar el modo FIPS para TPM, ya que eso depende del fabricante de TPM. Póngase en contacto con el OEM de hardware para obtener soporte técnico.
A partir de la versión 10 1903 de Windows, los TPM 1.2 no se usan con la unión a Azure AD híbrido y los dispositivos que tengan esos TPM se considerarán como si no tuvieran uno.
Los cambios de UPN solo se admiten a partir de la actualización de 2004 de Windows 10. En el caso de los dispositivos anteriores a la actualización de 2004 de Windows 10, los usuarios tendrán problemas con el acceso condicional y el inicio de sesión único en sus dispositivos. Para solucionar este problema, debe desunir el dispositivo de Azure AD (ejecutar "dsregcmd /leave" con privilegios elevados) y volver a realizar la unión (esto se produce automáticamente). Sin embargo, los usuarios que inicien sesión con Windows Hello para empresas no tendrán este problema.
Revisión de la unión dirigida a Azure AD híbrido
Es posible que las organizaciones quieran realizar una implementación dirigida de la unión a Azure AD híbrido antes de habilitarla para toda la organización. Revise el artículo Validación controlada de la unión a Azure AD híbrido para entender cómo se realiza.
Advertencia
Las organizaciones deben incluir una muestra de usuarios de distintos roles y perfiles en su grupo piloto. Un lanzamiento dirigido le ayudará a identificar cualquier problema que el plan no haya solucionado antes de habilitarlo para toda la organización.
Seleccione el escenario según la infraestructura de identidad
La unión a Azure AD híbrido funciona con entornos administrados y federados, en función de si la UPN es enrutable o no enrutable. En la parte inferior de la página puede consultar una tabla sobre los escenarios admitidos.
Entorno administrado
Un entorno administrado se puede implementar mediante Sincronización de hash de contraseña (PHS) o Autenticación de paso a través (PTA) con Inicio de sesión único de conexión directa.
Estos escenarios no requieren que se configure un servidor de federación para la autenticación.
Nota:
La autenticación en la nube mediante el lanzamiento preconfigurado solo se admite a partir de la actualización 1903 de Windows 10.
Entorno federado
Un entorno federado debe tener un proveedor de identidades que admita los requisitos siguientes. Si tiene un entorno federado en que se utilizan los Servicios de federación de Active Directory (AD FS), entonces los siguientes requisitos ya son compatibles.
- Notificación WIAORMULTIAUTHN: Esta notificación es necesaria para realizar la unión a Azure AD híbrido para dispositivos Windows de nivel inferior.
- Protocolo WS-Trust: Este protocolo es necesario para autenticar en Azure AD los dispositivos Windows actuales unidos a Azure AD híbrido.
Cuando use AD FS, debe habilitar los siguientes puntos de conexión de WS-Trust:
/adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Advertencia
Tanto adfs/services/trust/2005/windowstransport como adfs/services/trust/13/windowstransport se deben habilitar como puntos de conexión accesibles desde la intranet y NO deben exponerse como accesible desde Proxy de aplicación web. Para más información sobre cómo deshabilitar los puntos de conexión de Windows de WS-Trust, consulte Deshabilitar los puntos de conexión de Windows de WS-Trust en el proxy. Para ver qué puntos de conexión están habilitados, vaya a ServicioPuntos de conexión en la consola de administración de AD FS.
Desde la versión 1.1.819.0, Azure AD Connect proporciona un asistente para configurar la unión a Azure AD híbrido. El asistente permite simplificar considerablemente el proceso de configuración. Si no le es posible instalar la versión necesaria de Azure AD Connect, consulte la información sobre la configuración manual del registro de dispositivos.
Revisión del soporte de UPN de usuarios de AD local para la unión a Azure AD híbrido
A veces, los UPN de los usuarios de AD local difieren de los UPN de Azure AD. En estos casos, la unión a Azure AD híbrido para Windows 10 o versiones posteriores proporciona compatibilidad limitada para los UPN de AD local, según el tipo de método de autenticación, el tipo de dominio y la versión de Windows. Hay dos tipos de UPN de AD local que pueden existir en su entorno:
- UPN de usuarios enrutable: los UPN enrutables tiene un dominio verificado válido, que está registrado en un registrador de dominios. Por ejemplo, si contoso.com es el dominio principal, en Azure AD contoso.org es el dominio principal en la instancia local de AD que pertenece a Contoso y que está verificado en Azure AD.
- UPN de usuarios no enrutable: los UPN no enrutables no tienen dominio comprobado y solo se aplican en la red privada de la organización. Por ejemplo, si contoso.com es el dominio principal en Azure AD, contoso.local es el dominio principal en la instancia local de AD, pero no es un dominio verificable en Internet y solo se usa dentro de la red de Contoso.
Nota:
La información de esta sección es válida únicamente en el caso de los UPN de usuarios locales. No se puede usar con un sufijo de dominio de equipo local (por ejemplo: computer1.contoso.local).
En la tabla siguiente se proporcionan detalles sobre la compatibilidad de estos UPN de AD local en la unión a Azure AD híbrido para Windows 10.
| Tipo de UPN de AD local | Tipo de dominio | Versión de Windows 10 | Descripción |
|---|---|---|---|
| Enrutable | Federado | A partir de la versión 1703 | Disponibilidad general |
| No enrutable | Federado | A partir de la versión 1803 | Disponibilidad general |
| Enrutable | Administrado | A partir de la versión 1803 | Disponible con carácter general, SSPR de Azure AD en la pantalla de bloqueo de Windows no se admite en entornos donde el UPN local es diferente del UPN de Azure AD. El UPN local debe sincronizarse con el atributo onPremisesUserPrincipalName en Azure AD |
| No enrutable | Administrado | No compatible |