Solucionar problemas de dispositivos de nivel inferior unidos de forma híbrida a Microsoft Entra

  • Artículo

Este artículo solo es aplicable a los siguientes dispositivos:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Para Windows 10 o versiones posteriores y Windows Server 2016, vea Solución de problemas de dispositivos híbridos de Windows 10 y Windows Server 2016 unidos a Microsoft Entra.

En este artículo se da por supuesto que ha configurado dispositivos híbridos unidos a Microsoft Entra para admitir los siguientes escenarios:

  • Acceso condicional basado en dispositivos

En este artículo se proporcionan instrucciones sobre cómo resolver problemas potenciales.

Qué debería saber:

  • Unión a Microsoft Entra híbrido para dispositivos Windows de bajo nivel funciona de forma ligeramente diferente que en Windows 10 o versiones posteriores. Muchos clientes no se dan cuenta de que necesitan AD FS (para dominios federados) o SSO de conexión directa configurado (para dominios administrados).
  • La opción SSO de conexión directa no funciona en modo de exploración privada en los navegadores Firefox y Microsoft Edge. Tampoco funciona en Internet Explorer si el explorador se ejecuta en modo de protección mejorada o si la configuración de seguridad mejorada está habilitada.
  • Para los clientes con dominios federados, si el punto de conexión de servicio (SCP) se configuró de manera que apunte al nombre de dominio administrado (por ejemplo, contoso.onmicrosoft.com, en lugar de contoso.com), Unión a Microsoft Entra híbrido para dispositivos Windows de bajo nivel no funcionará.
  • El mismo dispositivo físico aparece varias veces en Microsoft Entra ID cuando varios usuarios de dominio inician sesión en los dispositivos unidos a Microsoft Entra híbrido de bajo nivel. Por ejemplo, si jdoe y jharnett inician sesión en un dispositivo, se crea un registro independiente (identificador de dispositivo) para cada uno de estos usuarios en la pestaña de información de USUARIO.
  • Puede que reciba también varias entradas para un dispositivo en la pestaña de información del usuario debido a la reinstalación del sistema operativo o a un nuevo registro manual.
  • El registro inicial o unión de dispositivos se ha configurado para realizar un intento de inicio de sesión o de bloqueo/desbloqueo. Podría haber un retraso de 5 minutos desencadenado por una tarea de programador de tareas.
  • Asegúrese de que KB4284842 está instalado, en Windows 7 SP1 o Windows Server 2008 R2 SP1. Esta actualización evita errores de autenticación futuros debido a la pérdida de acceso del cliente en el caso de claves protegidas después de cambiar la contraseña.
  • La unión a Microsoft Entra híbrido puede producir un error después de que un usuario haya cambiado su UPN, interrumpiendo el proceso de autenticación de SSO de conexión directa. Durante el proceso de unión, es posible que vea que sigue enviando el UPN antiguo a Microsoft Entra ID, a menos que se borren las cookies de la sesión del explorador o que el usuario explícitamente cierre sesión y quite el UPN antiguo.

Paso 1: Recuperar el estado del registro

Para verificar el estado del registro:

  1. Inicie sesión con la cuenta de usuario que usó para crear una combinación híbrida de Microsoft Entra.
  2. Apertura del símbolo del sistema del comando
  3. Escriba "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Este comando muestra un cuadro de diálogo que proporciona detalles sobre el estado de la unión.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Paso 2: Evaluación del estado de la unión a Microsoft Entra híbrido

Si el dispositivo no se unió a Microsoft Entra híbrido, puede intentar unirse a Microsoft Entra híbrido haciendo clic en el botón "Unirse". Si se produce un error al intentar realizar la unión a Microsoft Entra híbrido, se mostrarán los detalles del error.

Los problemas más comunes son:

  • Una configuración incorrecta de AD FS o Microsoft Entra ID o problemas de red

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Autoworkplace.exe no puede autenticarse de forma silenciosa con Microsoft Entra ID o AD FS. Este problema puede deberse a la falta o mala configuración de AD FS (para dominios federados), a la falta o mala configuración del inicio de sesión único de conexión directa de Microsoft Entra (para dominios administrados) o a problemas de red.
    • Podría ser que la autenticación de multifactor (MFA) esté habilitada o configurada para el usuario, y WIAORMULTIAUTHN no esté configurado en el servidor de AD FS.
    • Otra posibilidad es que la página de detección de dominio de inicio (HRD) esté esperando a la interacción del usuario, lo que impide que autoworkplace.exe solicite de forma silenciosa un token.
    • Puede ser que las direcciones URL de AD FS y Microsoft Entra falten en la zona de intranet de Internet Explorer en el cliente.
    • Los problemas de conectividad de red pueden estar impidiendo que autoworkplace.exe llegue a AD FS o a las direcciones URL de Microsoft Entra.
    • Autoworkplace.exe requiere que el cliente tenga una línea de visión directa desde el cliente hasta el controlador de dominio AD local de la organización, lo que significa que la unión a Microsoft Entra híbrido solo se realiza correctamente cuando el cliente está conectado a la intranet de la organización.
    • Si la organización usa el inicio de sesión único sin conexión directa de Microsoft Entra,https://autologon.microsoftazuread-sso.com no está presente en la configuración de la intranet IE del dispositivo.
    • La configuración de Do not save encrypted pages to disk Internet está activada.

  • No está registrado como un usuario de dominio

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    Existen motivos diferentes por los que este problema puede ocurrir:

    • El usuario con la sesión iniciada no es un usuario del dominio (por ejemplo, un usuario local). La unión a Microsoft Entra híbrido en dispositivos de nivel inferior solo se admite para los usuarios del dominio.
    • El cliente no puede conectarse a un controlador de dominio.

  • Se ha alcanzado una cuota

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • El servicio no responde

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

También puede encontrar la información de estado en el registro de eventos en Applications and Services Log\Microsoft-Workplace Join (Registros de aplicaciones y servicios\Microsoft-Workplace Join).

Las causas más comunes para una unión a Microsoft Entra híbrido con error son:

  • El equipo no está conectado a la red interna de la organización, ni a una VPN con conexión al controlador de dominio de AD local.
  • Ha iniciado sesión en el equipo con una cuenta del equipo local.
  • Problemas de configuración de servicio:
    • El servidor de AD FS no se ha configurado para admitir WIAORMULTIAUTHN.
    • El bosque del equipo no tiene un objeto de punto de conexión de servicio que haga referencia a su nombre de dominio comprobado en Microsoft Entra ID
    • O bien, si el dominio es administrado, el SSO de conexión directa no está configurado o no funciona.
    • Un usuario ha alcanzado el límite de dispositivos.

Pasos siguientes