Administración de identidades de dispositivo en el Centro de administración de Microsoft Entra

Microsoft Entra ID proporciona una ubicación central desde donde administrar las identidades de los dispositivos y supervisar la información de los eventos relacionados.

Para acceder a la información general de los dispositivos, siga estos pasos:

1. Inicie sesión en el Centro de administración de Microsoft Entra como usuario con al menos permisos de usuario predeterminados.
2. Vaya a Entra ID>Dispositivos>Resumen.

En la información general de los dispositivos, puede ver el número total de dispositivos, dispositivos obsoletos, dispositivos no conformes y dispositivos no administrados. Proporciona vínculos a Intune, al acceso condicional, a las claves de BitLocker y a la supervisión básica. Otras características, como el acceso condicional y Microsoft Intune, requieren asignaciones de roles adicionales

Los recuentos de dispositivos de la página de información general no se actualizan en tiempo real. Los cambios deben reflejarse cada pocas horas.

Desde allí, puede ir a Todos los dispositivos a:

• Identificar los dispositivos, incluidos:
  • Dispositivos unidos o registrados en Microsoft Entra ID.
  • Dispositivos implementados a través de Windows Autopilot.
  • Impresoras que usan impresión universal.
• Realizar tareas de administración de identidades de dispositivo, como habilitar, deshabilitar, eliminar y administrar.
  • Las opciones de administración de Impresoras y Windows Autopilot están limitadas en microsoft Entra ID. Estos dispositivos deben administrarse desde sus respectivas interfaces de administración.
• Configurar los valores de la identidad del dispositivo.
• Habilitar o deshabilitar la itinerancia de estado de empresa.
• Revisar los registros de auditoría relacionados con los dispositivos.
• Descargar dispositivos.

Sugerencia

• Los dispositivos Windows 10 y posteriores unidos a Microsoft Entra híbrido no tienen propietario a menos que el usuario primario esté establecido en Microsoft Intune. Si busca un dispositivo por propietario y no lo encuentra, busque por el identificador de dispositivo.

• Si ve un dispositivo vinculado híbridamente a Microsoft Entra con un estado de Pendiente en la columna Registrado, el dispositivo se ha sincronizado desde Microsoft Entra Connect y está esperando a completar el registro desde el cliente. Consulte Cómo planear la implementación de la unión a Microsoft Entra híbrido. Para obtener más información, consulte Preguntas más frecuentes sobre administración de dispositivos.

• En algunos dispositivos iOS, los nombres de dispositivos que contienen apóstrofos pueden usar caracteres diferentes similares a los apóstrofos. Por lo tanto, la búsqueda de estos dispositivos es un poco complicada. Si no ve los resultados de búsqueda correctos, asegúrese de que la cadena de búsqueda contiene caracteres de apóstrofo que coincidan.

Administración de un dispositivo de Intune

Si tiene derechos para administrar dispositivos en Intune, puede administrar los dispositivos para los que la administración de dispositivos móviles aparece como Microsoft Intune. Si el dispositivo no está inscrito con Microsoft Intune, la opción Administrar no está disponible.

Habilitación o deshabilitación de un dispositivo de Microsoft Entra

Hay dos maneras de habilitar o deshabilitar dispositivos:

• La barra de herramientas de la página Todos los dispositivos , después de seleccionar uno o varios dispositivos.
• La barra de herramientas, después de profundizar en un dispositivo específico.

Importante

• Para habilitar o deshabilitar cualquier dispositivo, debe ser administrador del servicio Intune o administrador de dispositivos en la nube.
• La deshabilitación de un dispositivo evita que se autentique mediante Microsoft Entra ID. Esto evita que acceda a los recursos de Microsoft Entra que están protegidos por el acceso condicional basado en dispositivos y que use las credenciales de Windows Hello para empresas.
• Al deshabilitar un dispositivo, se revocan el token de actualización principal (PRT) y los tokens de actualización del dispositivo.
• Las impresoras no se pueden habilitar ni deshabilitar en Microsoft Entra ID.

Eliminación de un dispositivo de Microsoft Entra

Hay dos maneras de eliminar un dispositivo:

• La barra de herramientas de la página Todos los dispositivos , después de seleccionar uno o varios dispositivos.
• La barra de herramientas, después de profundizar en un dispositivo específico.

Importante

• Para eliminar dispositivos, debe ser administrador de dispositivos en la nube, administrador de Intune o administrador de Windows 365.
• Las impresoras siempre deben eliminarse primero en Impresión universal.
• Para eliminar cualquier dispositivo de Windows Autopilot antes hay que eliminarlo de Intune.
• La eliminación de un dispositivo:
  • Impide que acceda a los recursos de Microsoft Entra.
  • Quita todos los detalles asociados al dispositivo. Por ejemplo, las claves de BitLocker de los dispositivos Windows.
  • Es una actividad irrecuperable. No se recomienda a menos que sea necesario.

Si otra entidad de administración administra un dispositivo, como Microsoft Intune, asegúrese de que se borra o se retira antes de eliminarlo. Consulte Administración de dispositivos obsoletos antes de eliminar un dispositivo.

Visualización o copia de un identificador de dispositivo

Puede usar un identificador de dispositivo para comprobar los detalles del identificador de dispositivo en el dispositivo o para solucionar problemas a través de PowerShell. Para acceder a la opción de copia, seleccione el dispositivo.

Ver o copiar las claves de BitLocker

Puede ver y copiar claves de BitLocker para permitir a los usuarios recuperar unidades cifradas. Estas claves solo están disponibles para dispositivos Windows cifrados y almacenan sus claves en Microsoft Entra ID. Puede encontrar estas claves al ver los detalles de un dispositivo seleccionando Mostrar clave de recuperación. Al seleccionar Mostrar clave de recuperación , se genera una entrada de registro de auditoría, que puede encontrar en la KeyManagement categoría.

Para ver o copiar las claves de BitLocker, debe ser el propietario del dispositivo o bien tener al menos uno de estos roles:

• Administrador de dispositivos en la nube
• Administrador del departamento de soporte técnico
• Administrador de Intune
• Administrador de seguridad
• Lector de seguridad

Nota

Cuando se reutilizan los dispositivos que usan Windows Autopiloty hay un nuevo propietario del dispositivo, ese nuevo propietario del dispositivo debe ponerse en contacto con un administrador para adquirir la clave de recuperación de BitLocker para ese dispositivo. Los administradores con ámbito de rol personalizado o unidad administrativa seguirán teniendo acceso a las claves de recuperación de BitLocker para aquellos dispositivos que han sufrido cambios de propiedad del dispositivo, a menos que el nuevo propietario del dispositivo pertenezca a un rol personalizado o ámbito de unidad administrativa. En esta instancia, el usuario tendrá que ponerse en contacto con otro administrador con ámbito para las claves de recuperación. Para obtener más información, consulte el artículo Buscar el usuario principal de un dispositivo de Intune.

Visualización y filtrado de los dispositivos

También puede filtrar la lista de dispositivos en función de los siguientes atributos:

• Estado habilitado
• Estado de cumplimiento
• Tipo de combinación (unido a Microsoft Entra, unido a Microsoft Entra híbrido, registrado en Microsoft Entra)
• Marca de tiempo de actividad
• Tipo y versión del sistema operativo
  • Windows se muestra para dispositivos Windows 11 y Windows 10 (con KB5006738).
  • Windows Server se muestra para las versiones compatibles administradas con Microsoft Defender para Endpoint.
• Tipo de dispositivo (impresora, máquina virtual segura, dispositivo compartido, dispositivo registrado)
• MDM
• Piloto automático
• Atributos de extensión
• Unidad administrativa
• Propietario

Descargar dispositivos

Los administradores de dispositivos en la nube y los administradores de Intune pueden usar la opción Descargar dispositivos para exportar un archivo CSV que enumera los dispositivos. Puede aplicar filtros para determinar qué dispositivos se mostrarán. Si no aplica ningún filtro, se muestran todos los dispositivos. Una tarea de exportación puede ejecutarse durante una hora, en función de las selecciones. Si la tarea de exportación supera la hora, se produce un error y no se genera ningún archivo.

La lista exportada incluye estos atributos de identidad del dispositivo:

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

Se pueden aplicar los filtros siguientes para la tarea de exportación:

• Estado habilitado
• Estado de cumplimiento
• Tipo de combinación
• Marca de tiempo de actividad
• Tipo de SO
• Tipo de dispositivo

Configuración de las opciones de dispositivo

Si quiere administrar identidades de dispositivo mediante el Centro de administración de Microsoft Entra, los dispositivos deben registrarse o unirse a microsoft Entra ID. Como administrador, puede controlar el proceso de registro y unión de dispositivos mediante la configuración de los siguientes valores del dispositivo.

Se debe tener asignado uno de los siguientes roles para poder leer o modificar la configuración del dispositivo:

• Administrador de dispositivos en la nube (leer y modificar)
• Administrador de Intune (solo lectura)
• Administrador de Windows 365 (solo lectura)

• Los usuarios pueden unir dispositivos a Microsoft Entra ID: esta configuración le permite seleccionar los usuarios que pueden registrar sus dispositivos como dispositivos unidos a Microsoft Entra. El valor predeterminado es All.

  Nota

  Los usuarios pueden unir dispositivos a Microsoft Entra ID, y esta configuración solo se aplica a la unión a Microsoft Entra en Windows 10 o versiones posteriores. Esta configuración no se aplica a los dispositivos unidos híbridos de Microsoft Entra, las máquinas virtuales unidas a Microsoft Entra en Azure o los dispositivos unidos a Microsoft Entra que usan el modo de implementación automática de Windows Autopilot porque estos métodos funcionan en un contexto sin usuario.

• Los usuarios pueden registrar sus dispositivos con Microsoft Entra ID: debe configurar esta opción para permitir que los usuarios registren dispositivos personales con Windows 10 o posterior, así como dispositivos iOS, Android y macOS con Microsoft Entra ID. Si selecciona Ninguno, no se permite que los dispositivos se registren con el identificador de Entra de Microsoft. La inscripción con Microsoft Intune o Administración de dispositivos móviles para Microsoft 365 exige registrarse. Si ha configurado cualquiera de estos servicios, se selecciona ALL y NONE no está disponible.

• Requerir autenticación multifactor para registrar o unir dispositivos con el identificador de Microsoft Entra:

  • Se recomienda que las organizaciones usen la acción registrar o unir dispositivos de usuario en el acceso condicional para aplicar la autenticación multifactor. Debe configurar este conmutador en No si usa una directiva de acceso condicional para requerir la autenticación multifactor.
  • esta opción le permite especificar si se les pide a los usuarios que proporcionen otro factor de autenticación para unir sus dispositivos a Microsoft Entra ID o registrarlos ahí. El valor predeterminado es No. Se recomienda requerir la autenticación multifactor cuando un dispositivo se registre o una. Antes de habilitar la autenticación multifactor para este servicio, debe asegurarse de que la autenticación multifactor está configurada para los usuarios que registran sus dispositivos. Para obtener más información sobre los servicios de autenticación multifactor de Microsoft Entra, consulte Introducción a la autenticación multifactor de Microsoft Entra. Es posible que esta configuración no funcione con proveedores de identidades de terceros.

  Nota

  La opción Requerir autenticación multifactor para registrar o unir dispositivos con el identificador de Microsoft Entra se aplica a los dispositivos unidos a Microsoft Entra (con algunas excepciones) o Microsoft Entra registrados. Esta configuración no se aplica a los dispositivos unidos híbridos a Microsoft Entra, las máquinas virtuales unidas a Microsoft Entra en Azure o los dispositivos unidos a Microsoft Entra que usan el modo de implementación automática de Windows Autopilot.

• Número máximo de dispositivos: esta configuración permite seleccionar el número máximo de dispositivos asociados o registrados en Microsoft Entra que un usuario puede tener en Microsoft Entra ID. Si los usuarios alcanzan este límite, no pueden agregar más dispositivos hasta que se quiten uno o varios de los dispositivos existentes. El valor predeterminado es 50. Puede aumentar el valor hasta 100. Si escribe un valor por encima de 100, Microsoft Entra ID lo establece en 100. También puede usar Unlimited para aplicar ningún límite distinto de los límites de cuota existentes.

  Nota

  La opción Número máximo de dispositivos se aplica a los dispositivos que están unidos a Microsoft Entra o a Microsoft Entra registrados. Esta configuración no se aplica a los dispositivos unidos a Microsoft Entra híbrido.

• Administrar administradores locales adicionales en dispositivos unidos a Microsoft Entra: esta configuración le permite seleccionar los usuarios a los que se les conceden derechos de administrador local en un dispositivo. A estos usuarios se les asigna el rol Administradores de dispositivos en Microsoft Entra ID.

• Habilitar Microsoft Entra Local Administrator Password Solution (LAPS) (versión preliminar): LAPS es la gestión de contraseñas de cuentas locales en dispositivos Windows. LAPS proporciona una solución para administrar y recuperar de forma segura la contraseña de administrador local integrada. Con la versión en la nube de LAPS, los clientes pueden habilitar el almacenamiento y la rotación de contraseñas de administrador local para dispositivos unidos a Microsoft Entra ID y Microsoft Entra híbrido. Para obtener información sobre cómo administrar LAPS en Microsoft Entra ID, consulte el artículo de información general.

• Restrinja a los usuarios que no sean administradores la recuperación de las claves de BitLocker para los dispositivos de su propiedad: los administradores pueden bloquear el acceso de autoservicio a la clave de BitLocker al propietario registrado del dispositivo. Los usuarios predeterminados sin permiso de lectura de BitLocker no pueden ver ni copiar sus claves de BitLocker para los dispositivos que tengan en propiedad. Debe ser al menos un administrador de roles con privilegios para actualizar esta configuración.

• Enterprise State Roaming: para obtener información sobre esta configuración, consulte el artículo de información general.

Registros de auditoría

Las actividades de un dispositivo están visibles en los registros de actividad. Estos registros contienen las actividades desencadenadas por el servicio de registro de dispositivos y los usuarios:

• Creación de dispositivos e incorporación de propietarios o usuarios al dispositivo
• Cambios en la configuración de un dispositivo
• Operaciones de dispositivo como eliminar o actualizar un dispositivo
• Operaciones masivas como descargar en todos los dispositivos

Nota

Al realizar operaciones masivas, como importar o crear, puede encontrar un problema si la operación masiva no se completa en el plazo de la hora. Para solucionar este problema, se recomienda dividir el número de registros procesados por lote. Por ejemplo, antes de iniciar una exportación, se puede limitar el conjunto de resultados filtrando por un tipo de grupo o un nombre de usuario para así reducir el tamaño de los resultados. Al refinar tus filtros, esencialmente limitas los datos devueltos por la operación masiva. Para más información, consulte Limitaciones del servicio de operaciones masivas.

El punto de entrada a los datos de auditoría es Registros de auditoría en la sección Actividad de la página Dispositivos .

El registro de auditoría tiene una vista de lista predeterminada que muestra:

• La fecha y hora de la repetición.
• Los destinos.
• El iniciador o actor de una actividad.
• La actividad.

Puede personalizar la vista de lista seleccionando Columnas en la barra de herramientas:

Para reducir los datos notificados a un nivel que se adapte a sus necesidades, puede filtrarlo mediante estos campos:

• Categoría
• Tipo de recurso de actividad
• Actividad
• Intervalo de fechas
• Destino
• Iniciado por (actor)

También puede buscar entradas concretas.

Pasos siguientes

• Administración de dispositivos obsoletos en microsoft Entra ID
• Resolución de problemas de estado de dispositivo pendiente