Planeación de la implementación de dispositivos de Azure Active Directory

Este artículo le ayuda a evaluar los métodos para integrar el dispositivo con Azure AD y a elegir el plan de implementación, y proporciona vínculos clave a las herramientas de administración de dispositivos admitidas.

El panorama de los dispositivos del usuario se expande constantemente. Las organizaciones pueden proporcionar equipos de escritorio, equipos portátiles, teléfonos, tabletas y otros dispositivos. Los usuarios pueden traer sus propios dispositivos y acceder a información desde distintas ubicaciones. En este entorno, su trabajo como administrador es proteger los recursos de la organización en todos los dispositivos.

Azure Active Directory (Azure AD) permite a las organizaciones cumplir estos objetivos mediante la administración de identidades de dispositivos. Ahora puede tener sus dispositivos en Azure AD y controlarlos desde un lugar central en Azure Portal. Este proceso le ofrece una experiencia unificada, mejora la seguridad y reduce el tiempo necesario para configurar un nuevo dispositivo.

Hay varios métodos para integrar los dispositivos en Azure AD, pueden trabajar por separado o en conjunto en función del sistema operativo y los requisitos:

Obtener información

Antes de empezar, asegúrese de que está familiarizado con la administración de identidades de dispositivos.

Ventajas

Principales ventajas de ofrecer a los dispositivos una identidad de Azure AD:

Planeamiento del proyecto de implementación

Tenga en cuenta las necesidades de su organización al determinar la estrategia de esta implementación en su entorno.

Interactuar con las partes interesadas adecuadas

Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que involucra a las partes interesadas adecuadas y que estas conocen bien sus roles.

Para este plan, agregue las siguientes partes interesadas a la lista:

Role Descripción
Administrador de dispositivos Un representante del equipo de dispositivos que pueda comprobar que el plan cumplirá los requisitos de dispositivos de la organización.
Administrador de red Un representante del equipo de red que pueda asegurarse de que se cumplen los requisitos de red.
Equipo de administración de dispositivos Equipo que administra el inventario de dispositivos.
Equipos de administración específicos del sistema operativo Equipos que administran versiones específicas del sistema operativo y les dan soporte técnico. Por ejemplo, puede haber un equipo para Mac o iOS.

Planeamiento de las comunicaciones

La comunicación es fundamental para el éxito de cualquier servicio nuevo. Comunique de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si tienen cualquier problema.

Planeamiento de un piloto

Se recomienda que la configuración inicial del método de integración esté en un entorno de pruebas, o se haga con un pequeño grupo de dispositivos de prueba. Consulte Procedimientos recomendados para un piloto.

Es posible que quiera realizar una implementación dirigida de la unión a Azure AD híbrido antes de habilitarla en toda la organización.

Advertencia

Las organizaciones deben incluir una muestra de usuarios de distintos roles y perfiles en su grupo piloto. Un lanzamiento dirigido permite identificar cualquier problema que no se haya abordado en su plan antes de habilitarlo para toda la organización.

Elección de los métodos de integración

Su organización puede usar varios métodos de integración de dispositivos en un único inquilino de Azure AD. El objetivo es elegir los métodos adecuados para que los dispositivos se administren de forma segura en Azure AD. Hay muchos parámetros que influyen en esta decisión: la propiedad, los tipos de dispositivos, la audiencia principal y la infraestructura de su organización.

La siguiente información puede ayudarle a decidir qué métodos de integración deberá usar.

Árbol de decisión para la integración de dispositivos

Use este árbol para determinar las opciones para los dispositivos que son propiedad de la organización.

Nota:

Los escenarios de dispositivos personales o "traiga su propio dispositivo" (BYOD) no se muestran en este diagrama. Siempre dan como resultado un registro de Azure AD.

Decision tree

Tabla comparativa

Los dispositivos iOS y Android solo se pueden registrar en Azure AD. En la tabla siguiente se presentan consideraciones generales para dispositivos cliente Windows. Úsela para obtener información general y, después, explore los distintos métodos de integración con más detalle.

Consideración Registrado en Azure AD Unido a Azure AD Híbrido unido a Azure AD
Sistemas operativos cliente
Dispositivos con Windows 11 o Windows 10 Checkmark for these values. Checkmark for these values. Checkmark for these values.
Dispositivos Windows de nivel inferior (Windows 8.1 o Windows 7) Checkmark for these values.
Opciones de inicio de sesión
Credenciales locales del usuario final Checkmark for these values.
Contraseña Checkmark for these values. Checkmark for these values. Checkmark for these values.
PIN del dispositivo Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello para empresas Checkmark for these values. Checkmark for these values.
Claves de seguridad de FIDO 2.0 Checkmark for these values. Checkmark for these values.
Aplicación Microsoft Authenticator (sin contraseña) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Principales funcionalidades
SSO a los recursos en la nube Checkmark for these values. Checkmark for these values. Checkmark for these values.
Inicio de sesión único en recursos locales Checkmark for these values. Checkmark for these values.
Acceso condicional
(Requiere que los dispositivos estén marcados como conformes)
(Debe administrarse con MDM)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Acceso condicional
(Requiere dispositivos con unión a Azure AD híbrido)
Checkmark for these values.
Autoservicio de restablecimiento de contraseña desde la pantalla de inicio de sesión de Windows Checkmark for these values. Checkmark for these values.
Restablecimiento del PIN de Windows Hello Checkmark for these values. Checkmark for these values.

Registro en Azure AD

Los dispositivos registrados se suelen administrar con Microsoft Intune. Los dispositivos se inscriben en Intune de varias maneras, según el sistema operativo.

Los dispositivos registrados en Azure AD permiten que los dispositivos BYOD y los dispositivos propiedad de la empresa usen el inicio de sesión único en los recursos en la nube. El acceso a los recursos se basa en las directivas de acceso condicional de Azure AD que se aplican al dispositivo y al usuario.

Registro de dispositivos

Los dispositivos registrados se suelen administrar con Microsoft Intune. Los dispositivos se inscriben en Intune de varias maneras, según el sistema operativo.

Los usuarios que instalan la aplicación Portal de empresa registran los dispositivos móviles BYOD y propiedad de la empresa.

Si el registro de sus dispositivos es la mejor opción para su organización, consulte los siguientes recursos:

Unión a Azure AD

La unión a Azure AD permite realizar una transición hacia un modelo de "primero en la nube" con Windows. Es una base estupenda si tiene previsto modernizar la administración de dispositivos y reducir los costos de TI relacionados con los dispositivos. La unión a Azure AD funciona solo con dispositivos con Windows 10 o versiones superiores. Considérelo como la primera opción para los nuevos dispositivos.

Los dispositivos unidos a Azure AD pueden usar el inicio de sesión único en los recursos locales cuando se encuentran en la red de la organización y pueden autenticarse en servidores locales como el de archivos, impresión y otras aplicaciones.

Si esta es la mejor opción para su organización, consulte los siguientes recursos:

Aprovisionamiento de dispositivos unidos a Azure AD

Para aprovisionar dispositivos que se unan a Azure AD, tiene los siguientes enfoques:

Si tiene Windows 10 Professional o Windows 10 Enterprise instalado en un dispositivo, la experiencia predeterminada es el proceso de configuración de los dispositivos de la empresa.

Elija el procedimiento de implementación después comparar cuidadosamente estos enfoques.

Puede determinar que la unión a Azure AD es la mejor solución para un dispositivo que esté en un estado diferente. En la tabla siguiente, se muestra cómo cambiar el estado de un dispositivo.

Estado actual del dispositivo Estado deseado del dispositivo Instrucciones
Unido a dominio local Unido a Azure AD Cancele la unión del dispositivo al dominio local antes de unirlo a Azure AD.
Híbrido unido a Azure AD Unido a Azure AD Cancele la unión del dispositivo al dominio local y Azure AD antes de unirlo a Azure AD.
Registrado en Azure AD Unido a Azure AD Anule el registro del dispositivo antes de unirlo a Azure AD.

Unión a Azure AD híbrido

Si tiene un entorno local de Active Directory y quiere unir a Azure AD los equipos existentes unidos a un dominio, puede hacerlo con la unión a Azure AD híbrido. Admite una amplia variedad de dispositivos Windows, incluidos los dispositivos Windows actuales y más antiguos.

La mayoría de las organizaciones ya tienen dispositivos unidos a un dominio y los administran mediante directivas de grupo o System Center Configuration Manager (SCCM). En ese caso, se recomienda configurar la unión a Azure AD híbrido para empezar a obtener sus ventajas y aprovechar las inversiones existentes.

Si la unión a Azure AD híbrido es la mejor opción para su organización, consulte los siguientes recursos:

Aprovisionamiento de la unión a Azure AD híbrido en los dispositivos

Revise su infraestructura de identidad. Azure AD Connect proporciona un asistente para configurar la unión a Azure AD híbrido para:

Si instalar la versión requerida de Azure AD Connect no es una opción, consulte Tutorial: Configuración manual de dispositivos unidos a Azure Active Directory híbrido.

Nota

El dispositivo con Windows 10, o versiones superiores, unido a un dominio local intenta unirse automáticamente a Azure AD para convertirse en unido a Azure AD híbrido de forma predeterminada. Esto solo se hará correctamente si tiene configurado el entorno adecuado.

Puede determinar que la unión a Azure AD híbrido es la mejor solución para un dispositivo que esté en un estado diferente. En la tabla siguiente, se muestra cómo cambiar el estado de un dispositivo.

Estado actual del dispositivo Estado deseado del dispositivo Instrucciones
Unido a dominio local Híbrido unido a Azure AD Use Azure AD Connect o AD FS para unirse a Azure.
Unido a un grupo de trabajo local o nuevo Híbrido unido a Azure AD Admitido con Windows Autopilot De lo contrario, el dispositivo debe estar unido a un dominio local antes de la unión a Azure AD híbrido.
Unido a Azure AD Híbrido unido a Azure AD Separar de Azure AD; esto lo coloca en el grupo de trabajo local o en estado Nuevo.
Registrado en Azure AD Híbrido unido a Azure AD Depende de la versión de Windows. Vea estas consideraciones.

Administración de los dispositivos

Una vez que haya registrado o unido sus dispositivos a Azure AD, use Azure Portal como ubicación central para administrar las identidades de los dispositivos. La página de dispositivos de Azure Active Directory le permite:

Para mantener el entorno limpio, no olvide administrar los dispositivos obsoletos y centre sus recursos en la administración de los dispositivos actuales.

Herramientas de administración de dispositivos admitidas

Los administradores pueden proteger y controlar aún más los dispositivos registrados y unidos con otras herramientas de administración de dispositivos. Estas herramientas proporcionan una manera de aplicar las configuraciones, como requerir el cifrado del almacenamiento, la complejidad de las contraseñas y las instalaciones y actualizaciones de software.

Revise las plataformas admitidas y no admitidas para los dispositivos integrados:

Herramientas de administración de dispositivos Registrado en Azure AD Unido a Azure AD Híbrido unido a Azure AD
Administración de dispositivos móviles (MDM)
Ejemplo: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Administración conjunta con Microsoft Intune y Microsoft Endpoint Configuration Manager
(Windows 10 o versiones posteriores)
Checkmark for these values. Checkmark for these values.
Directiva de grupo
(Solo Windows)
Checkmark for these values.

Para los dispositivos iOS o Android registrados, es recomendable usar la administración de aplicaciones móviles (MAM) de Microsoft Intune con o sin administración de dispositivos.

Los administradores también pueden implementar plataformas de infraestructura de escritorio virtual (VDI) para hospedar los sistemas operativos Windows en sus organizaciones con el fin de centralizar y consolidar los recursos y así simplificar la administración y reducir los costos.

Pasos siguientes