Modo controlado por el usuario de Windows Autopilot

El modo controlado por el usuario de Windows Autopilot te permite configurar nuevos dispositivos Windows para transformarlos automáticamente de su estado de fábrica a un estado listo para usar. Este proceso no requiere que el personal de TI toque el dispositivo.

El proceso es sencillo. Los dispositivos se pueden enviar o distribuir al usuario final directamente con las siguientes instrucciones:

  1. Saque el dispositivo de la caja, conéctelo y actívelo.
  2. Si usa varios idiomas, elija un idioma, una configuración regional y un teclado.
  3. Conéctelo a una red inalámbrica o por cable con acceso a Internet. Si usa conexión inalámbrica, conéctese primero a la red wi-fi.
  4. Especifique la dirección de correo electrónico y la contraseña de su cuenta de la organización.

El resto del proceso está automatizado. El dispositivo realiza los pasos siguientes:

  1. Únase a la organización.
  2. Inscríbase en Microsoft Intune u otro servicio MDM.
  3. Configure según lo definido por la organización.

Puede suprimir cualquier otro mensaje durante la experiencia integrada (OOBE). Para obtener más información sobre las opciones disponibles, consulte Configuración de perfiles de Autopilot.

Importante

Si usa Servicios de federación de Active Directory (AD FS) (ADFS), hay un problema conocido que puede permitir que el usuario final inicie sesión con una cuenta diferente a la asignada a ese dispositivo.

El modo controlado por el usuario de Windows Autopilot admite Microsoft Entra unir y Microsoft Entra dispositivos unidos híbridos. Para obtener más información sobre estas dos opciones de combinación, consulte los artículos siguientes:

Los pasos del proceso controlado por el usuario son los siguientes:

  1. Una vez que el dispositivo se conecta a una red, el dispositivo descarga un perfil de Windows Autopilot. El perfil define la configuración usada para el dispositivo. Por ejemplo, define las solicitudes suprimidas durante la configuración rápida.

  2. Windows comprueba si hay actualizaciones OOBE críticas. Si hay actualizaciones disponibles, se instalan automáticamente. Si es necesario, el dispositivo se reinicia.

  3. Se solicita al usuario las credenciales de Microsoft Entra. Esta experiencia de usuario personalizada muestra el nombre del inquilino Microsoft Entra, el logotipo y el texto de inicio de sesión.

  4. El dispositivo se une a Microsoft Entra ID o Active Directory, según la configuración del perfil de Windows Autopilot.

  5. El dispositivo se inscribe en Intune u otro servicio MDM configurado. En función de las necesidades de la organización, esta inscripción tiene lugar:

    • Durante el proceso de combinación de Microsoft Entra, mediante la inscripción automática de MDM.

    • Antes del proceso de unión a Active Directory.

  6. Si está configurado, muestra la página de estado de inscripción (ESP).

  7. Una vez completadas las tareas de configuración del dispositivo, el usuario inicia sesión en Windows con las credenciales que proporcionó anteriormente. Si el dispositivo se reinicia durante el proceso de ESP del dispositivo, el usuario debe volver a escribir sus credenciales. Estos detalles no se conservan después del reinicio.

  8. Después de iniciar sesión, se muestra la página de estado de inscripción para las tareas de configuración dirigidas al usuario.

Si encuentra algún problema durante este proceso, consulte Solución de problemas de Windows Autopilot.

Para obtener más información sobre las opciones de combinación disponibles, consulte las secciones siguientes:

  • Microsoft Entra unión está disponible si los dispositivos no necesitan unirse a un dominio de Active Directory local.
  • Microsoft Entra unión híbrida está disponible para los dispositivos que necesitan unirse a Microsoft Entra ID y al dominio de Active Directory local.

Modo controlado por el usuario para Microsoft Entra combinación

Para completar una implementación controlada por el usuario mediante Windows Autopilot, siga estos pasos de preparación:

  1. Asegúrese de que los usuarios que realizan implementaciones de modo controlado por el usuario pueden unir dispositivos a Microsoft Entra ID. Para obtener más información, consulte Configurar las opciones de dispositivo en la documentación de Microsoft Entra.

  2. Cree un perfil de Autopilot para el modo controlado por el usuario con la configuración deseada.

    • En Intune, este modo se elige explícitamente al crear el perfil.

    • En Microsoft Store para Empresas y centro de partners, el modo controlado por el usuario es el predeterminado.

  3. Si usa Intune, cree un grupo de dispositivos en Microsoft Entra ID y asigne el perfil de Autopilot a ese grupo.

Para cada dispositivo que se implementa mediante la implementación controlada por el usuario, se necesitan estos pasos adicionales:

  • Agregue el dispositivo a Windows Autopilot. Puede realizar este paso de dos maneras:

  • Asigne un perfil de Autopilot al dispositivo:

    • Si usa Intune y Microsoft Entra grupos de dispositivos dinámicos, esta asignación se puede realizar automáticamente.

    • Si usa Intune y Microsoft Entra grupos de dispositivos estáticos, agregue manualmente el dispositivo al grupo de dispositivos.

    • Si usa otros métodos, como Microsoft Store para Empresas o el Centro de partners, asigne manualmente un perfil de Autopilot al dispositivo.

Sugerencia

Si el estado final previsto del dispositivo es la administración conjunta, puede configurar la inscripción de dispositivos en Intune para habilitar la administración conjunta, lo que sucede durante el proceso de Autopilot. Este comportamiento dirige la autoridad de la carga de trabajo de forma organizada entre el Configuration Manager e Intune. Para obtener más información, consulte Cómo inscribirse con Autopilot.

Modo controlado por el usuario para Microsoft Entra unión híbrida

Importante

Microsoft recomienda implementar nuevos dispositivos como nativos de la nube mediante Microsoft Entra unión. No se recomienda implementar nuevos dispositivos como Microsoft Entra dispositivos de unión híbrida, incluso a través de Autopilot. Para obtener más información, consulte Microsoft Entra unidos frente a Microsoft Entra híbrido unido en puntos de conexión nativos de la nube: qué opción es adecuada para su organización.

Windows Autopilot requiere que los dispositivos estén Microsoft Entra unidos. Si tiene un entorno de Active Directory local, podrá unir dispositivos al dominio local. Para unir los dispositivos, configure los dispositivos Autopilot para que se unan de forma híbrida a Microsoft Entra ID.

Sugerencia

A medida que Microsoft habla con los clientes que usan Microsoft Intune y Microsoft Configuration Manager para implementar, administrar y proteger sus dispositivos cliente, a menudo obtenemos preguntas sobre la administración conjunta de dispositivos y Microsoft Entra dispositivos unidos a híbridos. Muchos clientes confunden estos dos temas. La administración conjunta es una opción de administración, mientras que Microsoft Entra ID es una opción de identidad. Para obtener más información, consulte Descripción de los escenarios de administración conjunta y Microsoft Entra híbrida. Esta entrada de blog tiene como objetivo aclarar Microsoft Entra combinación híbrida y administración conjunta, cómo funcionan juntos, pero no son lo mismo.

No puede implementar el cliente de Configuration Manager al aprovisionar un nuevo equipo en el modo controlado por el usuario de Windows Autopilot para Microsoft Entra unión híbrida. Esta limitación se debe al cambio de identidad del dispositivo durante el proceso de unión Microsoft Entra. Implemente el cliente de Administrador de configuración después del proceso de Autopilot. Consulte Métodos de instalación de cliente en Configuration Manager para obtener opciones alternativas para instalar el cliente.

Requisitos para el modo controlado por el usuario con Microsoft Entra ID híbrido

  • Cree un perfil de Windows Autopilot para el modo controlado por el usuario.

    En el perfil de Autopilot, en Unión a Microsoft Entra ID como, seleccione Microsoft Entra unido a híbrido.

  • Si usa Intune, necesita un grupo de dispositivos en Microsoft Entra ID. Asigne el perfil de Windows Autopilot al grupo.

  • Si usa Intune, cree y asigne un perfil de unión a un dominio. Un perfil de configuración de unión a un dominio incluye información de dominio de Active Directory local.

  • El dispositivo debe acceder a Internet. Para obtener más información, consulte los requisitos de red.

  • Instale Intune Connector para Active Directory.

    Nota:

    Intune Connector une el dispositivo al dominio local. Los usuarios no necesitan permisos para unir dispositivos al dominio local. Este comportamiento supone que configura el conector para esta acción en nombre del usuario. Para más información, consulte Aumentar el límite de cuentas informáticas en la Unidad organizativa

  • Si usa un proxy, habilite y configure la opción Proxy WPAD.

Además de estos requisitos básicos para Microsoft Entra unión híbrida controlada por el usuario, se aplican los siguientes requisitos adicionales a los dispositivos locales:

  • El dispositivo tiene una versión compatible actualmente de Windows.

  • El dispositivo está conectado a la red interna y tiene acceso a un controlador de dominio de Active Directory.

    • Debe resolver los registros DNS para el dominio y los controladores de dominio.

    • Debe comunicarse con el controlador de dominio para autenticar al usuario.

Modo controlado por el usuario para Microsoft Entra unión híbrida con compatibilidad con VPN

Los dispositivos unidos a Active Directory requieren conectividad a un controlador de dominio de Active Directory para muchas actividades. Estas actividades incluyen la validación de las credenciales del usuario al iniciar sesión y la aplicación de la configuración de directiva de grupo. El proceso controlado por el usuario de Autopilot para Microsoft Entra dispositivos unidos a híbridos valida que el dispositivo pueda ponerse en contacto con un controlador de dominio haciendo ping a ese controlador de dominio.

Con la adición de compatibilidad con VPN para este escenario, puede configurar el Microsoft Entra proceso de unión híbrida para omitir la comprobación de conectividad. Este cambio no elimina la necesidad de comunicarse con un controlador de dominio. En su lugar, para permitir la conexión a la red de la organización, Intune ofrece la configuración de VPN necesaria antes de que el usuario intente iniciar sesión en Windows.

Requisitos para el modo controlado por el usuario con Microsoft Entra ID híbrido y VPN

Además de los requisitos básicos para el modo controlado por el usuario con Microsoft Entra unión híbrida, los siguientes requisitos adicionales se aplican a un escenario remoto con compatibilidad con VPN:

  • Una versión compatible actualmente de Windows.

  • En el Microsoft Entra perfil de unión híbrida para Autopilot, habilite la siguiente opción: Omitir comprobación de conectividad de dominio.

  • Una configuración de VPN con una de las siguientes opciones:

    • Se puede implementar con Intune y permite al usuario establecer manualmente una conexión VPN desde la pantalla de inicio de sesión de Windows.

    • Establece automáticamente una conexión VPN según sea necesario.

La configuración de VPN específica necesaria depende del software VPN y de la autenticación que se use. En el caso de las soluciones VPN de terceros, esta configuración suele implicar la implementación de una aplicación Win32 a través de extensiones de administración de Intune. Esta aplicación incluiría el software cliente VPN y cualquier información de conexión específica. Por ejemplo, nombres de host de punto de conexión VPN. Para obtener detalles de configuración específicos de ese proveedor, consulte la documentación del proveedor de VPN.

Nota:

Los requisitos de VPN no son específicos de Autopilot. Por ejemplo, si se implementa una configuración de VPN para habilitar los restablecimientos de contraseña remotos, esa misma configuración se puede usar con Windows Autopilot. Esta configuración permitiría a un usuario iniciar sesión en Windows con una nueva contraseña cuando no se encuentra en la red de la organización. Una vez que el usuario inicia sesión y sus credenciales se almacenan en caché, los intentos de inicio de sesión posteriores no necesitan conectividad, ya que Windows usa las credenciales almacenadas en caché.

Si el software VPN requiere autenticación de certificado, use Intune para implementar también el certificado de dispositivo necesario. Esta implementación se puede realizar mediante las funcionalidades de inscripción de certificados de Intune, que tienen como destino los perfiles de certificado en el dispositivo.

Algunas configuraciones no se admiten porque no se aplican hasta que el usuario inicia sesión en Windows:

  • Certificados de usuario
  • Complementos vpn para UWP que no son de Microsoft desde la Tienda Windows

Validation

Antes de intentar una Microsoft Entra unión híbrida mediante VPN, es importante confirmar que un modo controlado por el usuario para Microsoft Entra proceso de unión híbrida funciona en la red interna. Esta prueba simplifica la solución de problemas al asegurarse de que el proceso principal funciona antes de agregar la configuración de VPN.

A continuación, confirme que puede usar Intune para implementar la configuración de VPN y sus requisitos. Pruebe estos componentes con un dispositivo existente que ya esté Microsoft Entra unido a híbridos. Por ejemplo, algunos clientes VPN crean una conexión VPN por máquina como parte del proceso de instalación. Valide la configuración mediante los pasos siguientes:

  1. Compruebe que se crea al menos una conexión VPN por máquina.

    Get-VpnConnection -AllUserConnection

  2. Intente iniciar manualmente la conexión VPN.

    RASDIAL.EXE "ConnectionName"

  3. Cierre la sesión de Windows. Compruebe que puede ver el icono "Conexión VPN" en la página de inicio de sesión de Windows.

  4. Mueva el dispositivo de la red interna e intente establecer la conexión mediante el icono de la página de inicio de sesión de Windows. Inicie sesión en una cuenta que no tenga credenciales almacenadas en caché.

En el caso de las configuraciones de VPN que se conectan automáticamente, los pasos de validación pueden ser diferentes.

Nota:

Puede usar una VPN siempre activa para este escenario. Para obtener más información, consulte Implementación de VPN always-on.

Siguientes pasos