Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Si tiene un entorno de Active Directory Domain Services (AD DS) local y quiere unir los equipos unidos a un dominio de AD DS a Microsoft Entra ID, puede realizar esta tarea mediante la unión híbrida de Microsoft Entra.
Sugerencia
El acceso del inicio de sesión único (SSO) a los recursos locales también está disponible para los dispositivos que están unidos a Microsoft Entra. Para obtener más información, consulte Funcionamiento del inicio de sesión único en los recursos locales en dispositivos unidos a Microsoft Entra.
Prerrequisitos
En este artículo se da por supuesto que está familiarizado con la Introducción a la administración de identidades de dispositivos en Microsoft Entra ID.
Nota:
La versión mínima necesaria del controlador de dominio (DC) para Windows 10 o una unión híbrida de Microsoft Entra más reciente es Windows Server 2008 R2.
Los dispositivos unidos híbridos a Microsoft Entra requieren una línea de visión de red periódica a los controladores de dominio. Sin esta conexión, los dispositivos quedan inutilizables.
Estos son algunos de los escenarios en los que no habrá línea de visión en los controladores de dominio:
- Cambio de contraseña de dispositivo
- Cambio de contraseña de usuario (credenciales almacenadas en caché)
- Restablecimiento del módulo de plataforma segura (TPM)
Planeamiento de la implementación
Para planear la implementación híbrida de Microsoft Entra, familiarícese con:
- Revisión de los dispositivos compatibles
- Revisar las cosas que debe saber
- Revisión de la implementación dirigida de la unión híbrida de Microsoft Entra
- Selección del escenario en función de la infraestructura de identidad
- Revise la compatibilidad con el nombre principal de usuario (UPN) de Microsoft Windows Server local para la unión híbrida de Microsoft Entra.
Revisión de los dispositivos compatibles
La unión a Microsoft Entra híbrido admite una amplia variedad de dispositivos Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Nota: Los clientes de la nube nacional de Azure requieren la versión 1803
- Windows Server 2019
- Windows Server 2022
Como procedimiento recomendado, Microsoft recomienda actualizar a la versión más reciente de Windows.
Revisar las cosas que debe saber
Escenarios no soportados
- La unión híbrida de Microsoft Entra no es compatible con Windows Server que ejecuta el rol controlador de dominio (DC).
- El sistema operativo Server Core no admite ningún tipo de registro de dispositivos.
- La Herramienta de migración de estado de usuario (USMT) no funciona con el registro de dispositivos.
Consideraciones sobre la creación de imágenes del sistema operativo
Si confías en la Herramienta de preparación del sistema (Sysprep) y usas una imagen anterior a Windows 10 1809 para la instalación, asegúrate de que la imagen no procede de un dispositivo ya registrado con el Microsoft Entra ID como unido híbrido a Microsoft Entra.
Si confía en una instantánea de máquina virtual (VM) para crear más máquinas virtuales, asegúrese de que la instantánea no procede de una máquina virtual que ya esté registrada con el Microsoft Entra ID como unido híbrido de Microsoft Entra.
Si utiliza Unified Write Filter y otras tecnologías similares que borran los cambios en el disco al reiniciar, estas deben aplicarse después de que el dispositivo esté unido a Microsoft Entra como híbrido. La habilitación de estas tecnologías antes de completar la unión híbrida de Microsoft Entra provoca que el dispositivo se desactive en cada reinicio.
Control de dispositivos con el estado registrado de Microsoft Entra
Si los dispositivos unidos a un dominio de Windows 10 o versiones más recientes están Registrados en Microsoft Entra en su inquilino, podría dar lugar a un estado dual del dispositivo híbrido unido a Microsoft Entra y al dispositivo registrado de Microsoft Entra. Se recomienda actualizar a Windows 10 1803 (con KB4489894 aplicado) o versiones posteriores para abordar automáticamente este escenario. En versiones anteriores a la versión 1803, debe quitar manualmente el estado registrado de Microsoft Entra antes de habilitar la unión híbrida de Microsoft Entra. En 1803 y versiones posteriores, se realizaron los siguientes cambios para evitar este estado dual:
- Cualquier estado registrado de Microsoft Entra existente para un usuario se quitaría automáticamente después de que el dispositivo esté unido a Microsoft Entra híbrido y el mismo usuario inicie sesión. Por ejemplo, si un usuario A tuviera un estado registrado de Microsoft Entra en el dispositivo, el doble estado de ese usuario A se limpiará únicamente cuando este inicie sesión en el dispositivo. Si hay varios usuarios en el mismo dispositivo, el estado dual se limpia individualmente cuando esos usuarios inician sesión. Después de que un administrador quite el estado registrado de Microsoft Entra, Windows 10 anulará la inscripción del dispositivo de Intune u otra administración de dispositivos móviles (MDM), si la inscripción se produjo como parte del registro de Microsoft Entra a través de la inscripción automática.
- El estado registrado de Microsoft Entra en cualquier cuenta local del dispositivo no se ve afectado por este cambio. Solo se aplica a las cuentas de dominio. El estado registrado de Microsoft Entra en las cuentas locales no se quita automáticamente incluso después del inicio de sesión del usuario, ya que el usuario no es un usuario de dominio.
- Puede impedir que el dispositivo unido a un dominio sea Microsoft Entra registrado agregando el siguiente valor del Registro a HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- En Windows 10 1803, si tienes Windows Hello para empresas configurado, el usuario debe volver a configurar Windows Hello para empresas después de la limpieza de estado dual. Este problema se soluciona con KB4512509.
Nota:
Aunque Windows 10 y Windows 11 eliminan automáticamente el estado registrado de Microsoft Entra localmente, el objeto de dispositivo en Microsoft Entra ID no se elimina inmediatamente si Intune lo administra. Puede validar la eliminación del estado registrado de Microsoft Entra ejecutando dsregcmd /status.
Unión híbrida de Microsoft Entra para un único bosque, varios inquilinos de Microsoft Entra
Para registrar dispositivos como unión híbrida de Microsoft Entra a los inquilinos respectivos, las organizaciones deben asegurarse de que la configuración del punto de conexión de servicio (SCP) se realiza en los dispositivos y no en Microsoft Windows Server Active Directory. Puede encontrar más detalles sobre cómo realizar esta tarea en el artículo Implementación dirigida a la unión híbrida de Microsoft Entra. Es importante que las organizaciones comprendan que ciertas funcionalidades de Microsoft Entra no van a funcionar en configuraciones de Microsoft Entra multiinquilino de un único bosque.
- Escritura diferida de dispositivo no funciona. Esta configuración afecta al acceso condicional basado en dispositivos para aplicaciones locales federadas mediante AD FS. Esta configuración también afecta a la implementación de Windows Hello para empresas al usar el modelo de confianza de certificados híbridos.
- Escritura diferida de grupos no funciona. Esta configuración afecta a la reescritura de grupos de Office 365 en un bosque con Exchange instalado.
- SSO sin fisuras no funciona. Esta configuración afecta a los escenarios de SSO en organizaciones que usan plataformas de explorador como iOS o Linux con Firefox, Safari o Chrome sin la extensión de Windows 10.
- La protección con contraseña de Microsoft Entra local no funciona. Esta configuración afecta a la capacidad de realizar cambios de contraseña y eventos de restablecimiento de contraseña en controladores de dominio de Active Directory Domain Services (AD DS) locales con las mismas listas de contraseñas prohibidas globales y personalizadas que se almacenan en el identificador de Microsoft Entra.
Otras consideraciones
Si el entorno usa la infraestructura de escritorio virtual (VDI), consulte Identidad del dispositivo y virtualización de escritorio.
La unión híbrida de Microsoft Entra es compatible con TPM 2.0 compatible con Federal Information Processing Standard (FIPS) y no es compatible con TPM 1.2. Si los dispositivos tienen TPM 1.2 compatible con FIPS, debe deshabilitarlos antes de continuar con la unión híbrida de Microsoft Entra. Microsoft no proporciona ninguna herramienta para deshabilitar el modo FIPS para TPM, ya que eso depende del fabricante de TPM. Póngase en contacto con el OEM de hardware para obtener soporte técnico.
A partir de la versión de Windows 10 1903, la versión 1.2 de TPM no se usa con la unión híbrida de Microsoft Entra y los dispositivos con esos TPM se tratan como si no tuvieran un TPM.
Los cambios de UPN solo se admiten a partir de la actualización de 2004 de Windows 10. En el caso de los dispositivos anteriores a la actualización de Windows 10 2004, los usuarios podrían tener problemas de SSO y acceso condicional en sus dispositivos. Para resolver este problema, debe desasociar el dispositivo de Microsoft Entra ID (ejecutar "dsregcmd /leave" con privilegios elevados) y volver a asociarlo (esto se realiza automáticamente). Sin embargo, los usuarios que inician sesión con Windows Hello para empresas no se enfrentan a este problema.
Revisión de la unión híbrida de Microsoft Entra de destino
Es posible que las organizaciones quieran realizar una implementación dirigida de la unión híbrida de Microsoft Entra antes de habilitarla para toda la organización. Revise el artículo Implementación dirigida a la unión híbrida de Microsoft Entra para comprender cómo hacerlo.
Advertencia
Las organizaciones deben incluir un ejemplo de usuarios de distintos roles y perfiles en su grupo piloto. Un lanzamiento dirigido ayuda a identificar las incidencias que puede que el plan no solucione antes de habilitar toda la organización.
Selección del escenario en función de la infraestructura de identidad
La unión híbrida de Microsoft Entra funciona con entornos administrados y federados, en función de si el UPN es enrutable o no enrutable. Consulte la parte inferior de la página para ver la tabla de escenarios admitidos.
Entorno administrado
Un entorno administrado se puede implementar mediante la sincronización de hash de contraseñas (PHS) o la autenticación de paso a través (PTA) con inicio de sesión único sin interrupciones.
Estos escenarios no requieren que configure un servidor de federación para la autenticación (AuthN).
Nota:
La autenticación en la nube mediante el despliegue gradual solo se admite a partir de la versión 1903 de Windows 10.
Entorno federado
Un entorno federado debe tener un proveedor de identidades que admita los requisitos siguientes. Si tiene un entorno federado en que se utilizan los Servicios de federación de Active Directory (AD FS), entonces los siguientes requisitos ya son compatibles.
protocoloWS-Trust: Este protocolo es necesario para autenticar dispositivos Windows unidos a Microsoft Entra híbridos con el identificador de Microsoft Entra. Al usar AD FS, debe habilitar los siguientes puntos de conexión WS-Trust:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Advertencia
Tanto adfs/services/trust/2005/windowstransport o adfs/services/trust/13/windowstransport deben habilitarse como puntos de conexión accesibles desde la intranet y NO deben exponerse como puntos de conexión orientados a la extranet a través del Proxy de aplicación web. Para más información sobre cómo deshabilitar los puntos de conexión de Windows de WS-Trust, consulte Deshabilitar los puntos de conexión de Windows de WS-Trust en el proxy. Para ver qué puntos de conexión están habilitados, vaya a Servicio>Puntos de conexión en la consola de administración de AD FS.
Desde la versión 1.1.819.0, Microsoft Entra Connect proporciona un asistente para configurar la unión a Microsoft Entra híbrido. El asistente le permite simplificar significativamente el proceso de configuración. Si instalar la versión necesaria de Microsoft Entra Connect no es una opción para usted, consulte Configuración manual del registro de dispositivos. Si contoso.com se registra como un dominio personalizado confirmado, los usuarios pueden obtener un PRT incluso si su sufijo de UPN de AD DS local sincronizado está en un subdominio como test.contoso.com.
Revise el soporte con UPN de usuarios locales de Microsoft Windows Server Active Directory para la unión híbrida de Microsoft Entra
- UPN de usuarios enrutables: un UPN enrutable tiene un dominio comprobado válido registrado con un registrador de dominios. Por ejemplo, si contoso.com es el dominio principal en el identificador de Microsoft Entra, contoso.org es el dominio principal de AD local que pertenece a Contoso y se comprueba en microsoft Entra ID.
- UPN de usuarios no enrutables: un UPN no enrutable no tiene un dominio comprobado y solo es aplicable dentro de la red privada de la organización. Por ejemplo, si contoso.com es el dominio principal de Microsoft Entra ID y contoso.local es el dominio principal de AD local, pero no es un dominio verificable en Internet y solo se usa dentro de la red de Contoso.
Nota:
La información de esta sección solo se aplica a un UPN de usuarios locales. No es aplicable a un sufijo de dominio de equipo local (por ejemplo: computer1.contoso.local).
En la tabla siguiente, se proporcionan detalles sobre la compatibilidad con estos UPN locales de Microsoft Windows Server Active Directory en la unión híbrida de Microsoft Entra a Windows 10:
| Tipo de UPN de Microsoft Windows Server Active Directory local | Tipo de dominio | Versión de Windows 10 | Descripción |
|---|---|---|---|
| Enrutable | Federado | A partir de la versión 1703 | Disponible con carácter general |
| No enrutable | Federado | A partir del lanzamiento de la versión 1803 | Disponible con carácter general |
| Enrutable | Administrado | A partir del lanzamiento de la versión 1803 | Disponible con carácter general, Microsoft Entra SSPR en la pantalla de bloqueo de Windows no se admite en entornos en los que el UPN local es diferente del UPN de Microsoft Entran. El UPN local debe sincronizarse con el onPremisesUserPrincipalName atributo en el identificador de Entra de Microsoft. |
| No enrutable | Administrado | No está soportado |