Planeación de la implementación de dispositivos de Microsoft Entra
Este artículo le ayuda a evaluar los métodos para integrar dispositivos con Microsoft Entra ID y a elegir el plan de implementación. También proporciona vínculos clave a las herramientas de administración de dispositivos admitidas.
El panorama de los dispositivos del usuario se expande constantemente. Las organizaciones pueden proporcionar equipos de escritorio, equipos portátiles, teléfonos, tabletas y otros dispositivos. Los usuarios pueden traer sus propios dispositivos y acceder a información desde distintas ubicaciones. En este entorno, su trabajo como administrador es proteger los recursos de la organización en todos los dispositivos.
Microsoft Entra ID permite a las organizaciones cumplir estos objetivos con la administración de identidades de dispositivos. Ahora puede tener sus dispositivos en Microsoft Entra ID y controlarlos desde una ubicación central del centro de administración de Microsoft Entra. Este proceso le ofrece una experiencia unificada, mejora la seguridad y reduce el tiempo necesario para configurar un nuevo dispositivo.
Hay varios métodos para integrar los dispositivos en Microsoft Entra ID, que pueden funcionar por separado o en conjunto según el sistema operativo y los requisitos:
- Puede registrar dispositivos en Microsoft Entra ID.
- Unir dispositivos a Microsoft Entra ID (solo en la nube).
- Establecer una unión híbrida de los dispositivos a Microsoft Entra, de forma que están unidos a un dominio de la instancia local de Active Directory y a Microsoft Entra ID.
Obtener información
Antes de empezar, asegúrese de que está familiarizado con la administración de identidades de dispositivos.
Ventajas
Principales ventajas de proporcionar a los dispositivos una identidad de Microsoft Entra:
Aumentar la productividad: los usuarios pueden realizar el inicio de sesión único (SSO) de conexión directa en los recursos locales y en la nube, lo que permite la productividad dondequiera que estén.
Aumentar la seguridad: aplique directivas de acceso condicional a los recursos en función de la identidad del dispositivo o el usuario. Unir un dispositivo a Microsoft Entra ID es un requisito previo para aumentar la seguridad con una estrategia sin contraseñas.
Mejorar la experiencia del usuario: proporcione a los usuarios un acceso sencillo a los recursos basados en la nube de la organización desde dispositivos personales y corporativos. Los administradores pueden habilitar Enterprise State Roaming para obtener una experiencia unificada en todos los dispositivos Windows.
Simplificar la implementación y administración: simplifique el proceso de incorporación de dispositivos a Microsoft Entra ID con Windows Autopilot, el aprovisionamiento masivo o la experiencia de configuración rápida (OOBE) de autoservicio. Administre los dispositivos con herramientas de administración de dispositivos móviles (MDM) como Microsoft Intune y sus identidades en el centro de administración de Microsoft Entra.
Planeamiento del proyecto de implementación
Tenga en cuenta las necesidades de su organización al determinar la estrategia de esta implementación en su entorno.
Interactuar con las partes interesadas adecuadas
Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que involucra a las partes interesadas adecuadas en el proyecto y que estas conocen bien sus roles.
Para este plan, agregue las siguientes partes interesadas a la lista:
| Role | Descripción |
|---|---|
| Administrador de dispositivos | Un representante del equipo de dispositivos que pueda comprobar que el plan cumplirá los requisitos de dispositivos de la organización. |
| Administrador de red | Un representante del equipo de red que pueda asegurarse de que se cumplen los requisitos de red. |
| Equipo de administración de dispositivos | Equipo que administra el inventario de dispositivos. |
| Equipos de administración específicos del sistema operativo | Equipos que administran versiones específicas del sistema operativo y les dan soporte técnico. Por ejemplo, puede haber un equipo para Mac o iOS. |
Planeamiento de las comunicaciones
La comunicación es fundamental para el éxito de cualquier servicio nuevo. Comunique de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si tienen cualquier problema.
Planeamiento de un piloto
Se recomienda que la configuración inicial del método de integración esté en un entorno de pruebas, o se haga con un pequeño grupo de dispositivos de prueba. Consulte Procedimientos recomendados para un piloto.
Es posible que quiera llevar a cabo una implementación dirigida de unión híbrida a Microsoft Entra antes de habilitarla en toda la organización.
Advertencia
Las organizaciones deben incluir una muestra de usuarios de distintos roles y perfiles en su grupo piloto. Un lanzamiento dirigido permite identificar cualquier problema que no se haya abordado en su plan antes de habilitarlo para toda la organización.
Elección de los métodos de integración
Su organización puede usar varios métodos de integración de dispositivos en un único inquilino de Microsoft Entra. El objetivo es elegir los métodos adecuados para que los dispositivos se administren de forma segura en Microsoft Entra ID. Hay muchos parámetros que influyen en esta decisión: la propiedad, los tipos de dispositivos, la audiencia principal y la infraestructura de su organización.
La siguiente información puede ayudarle a decidir qué métodos de integración deberá usar.
Árbol de decisión para la integración de dispositivos
Use este árbol para determinar las opciones para los dispositivos que son propiedad de la organización.
Nota:
Los escenarios de dispositivos personales o "traiga su propio dispositivo" (BYOD) no se muestran en este diagrama. Siempre dan lugar al registro en Microsoft Entra.
Tabla comparativa
Los dispositivos iOS y Android solo se pueden registrar en Microsoft Entra. En la tabla siguiente se presentan consideraciones generales para dispositivos cliente Windows. Úsela para obtener información general y, después, explore los distintos métodos de integración con más detalle.
| Consideración | Microsoft Entra registrado | Unido a Microsoft Entra | Unido a Microsoft Entra |
|---|---|---|---|
| Sistemas operativos cliente | |||
| Dispositivos con Windows 11 o Windows 10 |  |
|
|
| Dispositivos Windows de nivel inferior (Windows 8.1 o Windows 7) | |
||
| Escritorio Linux: Ubuntu 20.04/22.04 | |
||
| Opciones de inicio de sesión | |||
| Credenciales locales del usuario final | |
||
| Contraseña | |
|
|
| PIN del dispositivo | |
||
| Windows Hello | |
||
| Windows Hello para empresas | |
|
|
| Claves de seguridad de FIDO 2.0 | |
|
|
| Aplicación Microsoft Authenticator (sin contraseña) | |
|
|
| Principales funcionalidades | |||
| SSO a los recursos en la nube | |
|
|
| Inicio de sesión único en recursos locales | |
|
|
| Acceso condicional (Requiere que los dispositivos estén marcados como conformes) (Debe administrarse con MDM) |
|
|
|
| Acceso condicional (Requiere dispositivos de unión híbrida a Microsoft Entra) |
|
||
| Autoservicio de restablecimiento de contraseña desde la pantalla de inicio de sesión de Windows | |
|
|
| Restablecimiento del PIN de Windows Hello | |
|
Registro en Microsoft Entra
Los dispositivos registrados se suelen administrar con Microsoft Intune. Los dispositivos se inscriben en Intune de varias maneras, según el sistema operativo.
Los dispositivos registrados en Microsoft Entra permiten que los dispositivos BYOD (Bring Your Own Device) y los dispositivos propiedad de la empresa usen el inicio de sesión único en los recursos en la nube. El acceso a los recursos se basa en las directivas de acceso condicional de Microsoft Entra aplicadas al dispositivo y al usuario.
Registro de dispositivos
Los dispositivos registrados se suelen administrar con Microsoft Intune. Los dispositivos se inscriben en Intune de varias maneras, según el sistema operativo.
Los usuarios que instalan la aplicación Portal de empresa registran los dispositivos móviles BYOD y propiedad de la empresa.
Si el registro de sus dispositivos es la mejor opción para su organización, consulte los siguientes recursos:
- Esta introducción a los dispositivos registrados en Microsoft Entra.
- Esta documentación para el usuario final sobre cómo registrar un dispositivo personal en la red de la organización.
Unión a Microsoft Entra
La unión a Microsoft Entra permite cambiar a un modelo de "primero en la nube" con Windows. Es una base estupenda si tiene previsto modernizar la administración de dispositivos y reducir los costos de TI relacionados con los dispositivos. La unión a Microsoft Entra funciona solamente con dispositivos que tienen Windows 10 o versiones posteriores. Considérelo como la primera opción para los nuevos dispositivos.
Los dispositivos unidos a Microsoft Entra pueden usar el inicio de sesión único en los recursos locales cuando se encuentran en la red de la organización y pueden autenticarse en servidores locales, como el de archivos o impresión, y en otras aplicaciones.
Si esta es la mejor opción para su organización, consulte los siguientes recursos:
- Esta introducción a los dispositivos unidos a Microsoft Entra.
- Familiarícese con el plan de implementación de unión a Microsoft Entra.
Aprovisionamiento de dispositivos unidos a Microsoft Entra
Para aprovisionar dispositivos con el fin de unirlos a Microsoft Entra, tiene los siguientes enfoques:
- Autoservicio: Primera ejecución de Windows 10
Si tiene Windows 10 Professional o Windows 10 Enterprise instalado en un dispositivo, la experiencia predeterminada es el proceso de configuración de los dispositivos de la empresa.
- Configuración rápida (OOBE) de Windows o desde la Configuración de Windows
- Windows Autopilot
- Inscripción masiva
Elija el procedimiento de implementación después comparar cuidadosamente estos enfoques.
Puede determinar que la unión a Microsoft Entra es la mejor solución para un dispositivo que esté en un estado diferente. En la tabla siguiente, se muestra cómo cambiar el estado de un dispositivo.
| Estado actual del dispositivo | Estado deseado del dispositivo | Instrucciones |
|---|---|---|
| Unido a dominio local | Unido a Microsoft Entra | Separe el dispositivo del dominio local antes de unirlo a Microsoft Entra ID. |
| Unido a Microsoft Entra | Unido a Microsoft Entra | Separe el dispositivo del dominio local y de Microsoft Entra ID antes de unirlo a Microsoft Entra ID. |
| Microsoft Entra registrado | Unido a Microsoft Entra | Anule el registro del dispositivo antes de unirlo a Microsoft Entra ID. |
Unión híbrida de Microsoft Entra
Si tiene un entorno local de Active Directory y quiere unir a Microsoft Entra ID los equipos que están unidos actualmente a un dominio, puede hacerlo con la unión híbrida a Microsoft Entra. Admite una amplia variedad de dispositivos Windows, incluidos los dispositivos Windows actuales y más antiguos.
La mayoría de las organizaciones ya tienen dispositivos unidos a un dominio y los administran mediante directivas de grupo o System Center Configuration Manager (SCCM). En ese caso, se recomienda configurar la unión híbrida a Microsoft Entra para empezar a disfrutar de sus ventajas mientras aprovecha la inversión actual.
Si la unión híbrida a Microsoft Entra es la mejor opción para su organización, consulte los siguientes recursos:
- Esta introducción a los dispositivos de unión híbrida a Microsoft Entra.
- Familiarícese con el plan de implementación de unión híbrida a Microsoft Entra.
Aprovisionamiento de la unión híbrida a Microsoft Entra en los dispositivos
Revise su infraestructura de identidad. Microsoft Entra Connect proporciona un asistente para configurar la unión híbrida a Microsoft Entra para:
Si instalar la versión necesaria de Microsoft Entra Connect no es una opción para usted, consulte Configuración manual de la unión a Microsoft Entra híbrido.
Nota:
El dispositivo con Windows 10 o una versión posterior unido a un dominio local intenta unirse automáticamente a Microsoft Entra ID para tener una unión híbrida a Microsoft Entra de forma predeterminada. Esto solo se hará correctamente si tiene configurado el entorno adecuado.
Puede determinar que la unión híbrida a Microsoft Entra es la mejor solución para un dispositivo que esté en un estado diferente. En la tabla siguiente, se muestra cómo cambiar el estado de un dispositivo.
| Estado actual del dispositivo | Estado deseado del dispositivo | Instrucciones |
|---|---|---|
| Unido a dominio local | Unido a Microsoft Entra | Use Microsoft Entra Connect o AD FS para unirlo a Azure. |
| Unido a un grupo de trabajo local o nuevo | Unido a Microsoft Entra | Admitido con Windows Autopilot De lo contrario, el dispositivo debe estar unido a un dominio local antes de establecer una unión híbrida a Microsoft Entra. |
| Unido a Microsoft Entra | Unido a Microsoft Entra | Sepárelo de Microsoft Entra ID para ponerlo en el grupo de trabajo local o en un estado nuevo. |
| Microsoft Entra registrado | Unido a Microsoft Entra | Depende de la versión de Windows. Vea estas consideraciones. |
Administración de los dispositivos
Una vez que haya registrado o unido los dispositivos a Microsoft Entra ID, use el centro de administración de Microsoft Entra como ubicación central para administrar las identidades de los dispositivos. La página de dispositivos de Microsoft Entra permite:
- Configurar las opciones del dispositivo.
- Debe ser administrador local para administrar dispositivos Windows. Microsoft Entra ID actualiza esta pertenencia para los dispositivos unidos a Microsoft Entra y agrega automáticamente a los usuarios que tienen el rol de administrador de dispositivos como administradores a todos los dispositivos unidos.
Para mantener el entorno limpio, no olvide administrar los dispositivos obsoletos y centre sus recursos en la administración de los dispositivos actuales.
Herramientas de administración de dispositivos admitidas
Los administradores pueden proteger y controlar aún más los dispositivos registrados y unidos con otras herramientas de administración de dispositivos. Estas herramientas proporcionan una manera de aplicar las configuraciones, como requerir el cifrado del almacenamiento, la complejidad de las contraseñas y las instalaciones y actualizaciones de software.
Revise las plataformas admitidas y no admitidas para los dispositivos integrados:
| Herramientas de administración de dispositivos | Microsoft Entra registrado | Unido a Microsoft Entra | Unido a Microsoft Entra |
|---|---|---|---|
| Administración de dispositivos móviles (MDM) Ejemplo: Microsoft Intune |
|
|
|
| Administración conjunta con Microsoft Intune y Microsoft Configuration Manager (Windows 10 o versiones posteriores) |
|
|
|
| Directiva de grupo (Solo Windows) |
|
Para los dispositivos iOS o Android registrados, es recomendable usar la administración de aplicaciones móviles (MAM) de Microsoft Intune con o sin administración de dispositivos.
Los administradores también pueden implementar plataformas de infraestructura de escritorio virtual (VDI) para hospedar los sistemas operativos Windows en sus organizaciones con el fin de centralizar y consolidar los recursos y así simplificar la administración y reducir los costos.