Compartir a través de


La unión a Microsoft Entra híbrido se implementa de forma selectiva

Puede validar la planificación y los requisitos previos para la unión de dispositivos híbridos a Microsoft Entra mediante una implementación dirigida antes de habilitarla en toda la organización. En este artículo se explica cómo realizar una implementación específica de la unión híbrida de Microsoft Entra.

Precaución

Tenga cuidado al modificar valores en Active Directory. Realizar cambios en un entorno establecido podría tener consecuencias imprevistas.

Implementación selectiva de la unión a Microsoft Entra híbrido en dispositivos Windows actuales

Para los dispositivos que ejecutan Windows 10, la versión mínima admitida es Windows 10 (versión 1607) para realizar la unión híbrida. Como procedimiento recomendado, actualice a la versión más reciente de Windows 10 u 11.

Para realizar una implementación dirigida de la unión híbrida de Microsoft Entra en dispositivos Windows, debe hacer lo siguiente:

  1. Borre la entrada Punto de conexión de servicio (SCP) de Windows Server Active Directory si existe.
  2. Configure la configuración del Registro del lado cliente para SCP en los equipos unidos a un dominio mediante un objeto de directiva de grupo (GPO).
  3. Si usa Servicios de federación de Active Directory (AD FS), también debe configurar la configuración del Registro del lado cliente para SCP en el servidor de AD FS mediante un GPO.
  4. Es posible que tenga que personalizar las opciones de sincronización en Microsoft Entra Connect para habilitar la sincronización de dispositivos.

Sugerencia

El SCP se puede configurar localmente en el registro del dispositivo en determinadas situaciones. Si el dispositivo encuentra un valor en el registro, utiliza esa configuración; de lo contrario, consulta el directorio del SCP e intenta realizar una unión híbrida.

Borrar el SCP de Microsoft Windows Server Active Directory

Use el Editor de interfaces de Servicios de Active Directory (ADSI Edit) para modificar los objetos SCP en Microsoft Windows Server Active Directory.

  1. Inicie la aplicación ADSI Edit de escritorio desde una estación de trabajo administrativa o un controlador de dominio como Administrador de Empresa.
  2. Conéctese al Contexto de Nombres de Configuración de su dominio.
  3. Navega a CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Haga clic con el botón derecho en el objeto hoja CN=62a0ff2e-97b9-4513-943f-0d221bd30080 y seleccione Propiedades.
    1. Seleccione palabras clave en la ventana Editor de atributos y seleccione Editar.
    2. Seleccione los valores de azureADId y azureADName (uno a uno) y seleccione Quitar.
  5. Cierre ADSI Edit.

Configuración del registro del cliente de SCP

Utiliza el siguiente ejemplo para crear un objeto de directiva de grupo (GPO) para implementar una configuración del registro que habilite una entrada SCP en el registro de tus dispositivos.

  1. Abra una consola de administración de directivas de grupo y cree un nuevo objeto de directiva de grupo en el dominio.
    1. Asigne un nombre al GPO recién creado (por ejemplo, ClientSideSCP).
  2. Edite el GPO y busque la siguiente ruta: Configuración del equipo>Preferencias>Configuración de Windows>Registro.
  3. Haga clic con el botón derecho en el Registro y seleccione Nuevo>elemento del Registro.
    1. En la pestaña General , configure lo siguiente.
      1. Acción: actualizar.
      2. Subárbol: HKEY_LOCAL_MACHINE.
      3. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nombre del valor: TenantId.
      5. Tipo de valor: REG_SZ.
      6. Datos de valor: El identificador único global (GUID) o el Identificador de inquilino de su inquilino de Microsoft Entra, que se puede encontrar en Id. de Entra General, >, Propiedades, >.
    2. Seleccione Aceptar.
  4. Haga clic con el botón derecho en el Registro y seleccione Nuevo>elemento del Registro.
    1. En la pestaña General , configure lo siguiente.
      1. Acción: actualizar.
      2. Subárbol: HKEY_LOCAL_MACHINE.
      3. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nombre del valor: TenantName.
      5. Tipo de valor: REG_SZ.
      6. Datos de valor: el nombre de dominio comprobado si está utilizando un entorno federado, como, por ejemplo, AD FS. El nombre de dominio verificado o el nombre de dominio onmicrosoft.com, por ejemplo contoso.onmicrosoft.com, si usa el entorno administrado.
    2. Seleccione Aceptar.
  5. Cierre el editor para el GPO recién creado.
  6. Vincule el GPO recién creado a la unidad organizativa (OU) correcta que contiene equipos unidos a un dominio que pertenecen a la población de lanzamiento controlado.

Configuración de AD FS

Si su Microsoft Entra ID está federado con AD FS, primero necesita configurar SCP del lado del cliente usando las instrucciones mencionadas anteriormente vinculando el GPO a sus servidores AD FS. El objeto SCP define el origen de autoridad de los objetos del dispositivo. Puede ser local o Microsoft Entra ID. Cuando se configura el SCP en el lado del cliente para AD FS, se establece Microsoft Entra ID como el origen de los objetos de dispositivo.

Nota:

Si no pudo configurar SCP en el cliente en los servidores de AD FS, el origen de las identidades de los dispositivos se considerará local. AD FS comenzará a eliminar los objetos de dispositivo del directorio local después del período estipulado definido en el atributo "MaximumInactiveDays" del registro de dispositivos de AD FS. Los objetos de registro de dispositivos de AD FS se pueden encontrar mediante el cmdletGet-AdfsDeviceRegistration.

¿Por qué un dispositivo puede estar en un estado pendiente?

Al configurar una tarea de unión híbrida de Microsoft Entra en Microsoft Entra Connect Sync para los dispositivos locales, la tarea sincroniza los objetos de dispositivo con el identificador de Microsoft Entra y establece temporalmente el estado registrado de los dispositivos en "pendiente" antes de que el dispositivo complete el registro del dispositivo. Este estado pendiente se debe a que el dispositivo debe añadirse al directorio de Microsoft Entra antes de que pueda registrarse. Para obtener más información sobre el proceso de registro de dispositivos, consulte Funcionamiento: Registro de dispositivos.

Después de la validación

Después de comprobar que todo funciona según lo previsto, puede registrar automáticamente el resto de los dispositivos Windows con el identificador de Microsoft Entra. Automatice la unión híbrida de Microsoft Entra configurando el SCP usando Microsoft Entra Connect.