Paso 5: Inscribir dispositivos en Microsoft Intune

En la fase final de la implementación, los dispositivos se registran o se unen en Azure Active Directory (Azure AD), se inscriben en Microsoft Intune y se comprueba el cumplimiento.

Durante la inscripción, Microsoft Intune instala un certificado de administración de dispositivos móviles (MDM) en el dispositivo, lo que permite a Intune aplicar perfiles de inscripción, restricciones de inscripción y las directivas y perfiles que creó anteriormente en esta guía.

Este artículo describe:

• Preparación de la inscripción en Microsoft Intune para dispositivos corporativos y propiedad del usuario.
• Opciones de inscripción para cada plataforma del sistema operativo.
• Supervisión, solución de problemas y recursos posteriores a la inscripción.

Introducción

Si esta es la primera vez que implementa perfiles de inscripción con Intune, o está probando una nueva configuración, comience pequeño y use un enfoque preconfigurado. Asigne el perfil de inscripción a un grupo piloto o de prueba. Después de las pruebas iniciales, agregue más usuarios al grupo piloto. Si todo va bien, asigne el perfil de inscripción a más grupos piloto. Para obtener más información y sugerencias, consulte la Guía de planeación: Paso 5: Creación de un plan de implementación.

El registro en Azure AD es un paso necesario para la administración de Intune. Antes de que un dispositivo pueda inscribirse en Intune, el usuario del dispositivo debe autenticarse y establecer una identidad de dispositivo en Azure AD de la organización. Este paso concede al usuario acceso de inicio de sesión único a aplicaciones de trabajo basadas en la nube y otros recursos. Es importante saber qué opción de identidad usa porque determina los métodos de inscripción que puede usar y también determina la experiencia de inicio de sesión del usuario del dispositivo. Las opciones de identidad incluyen:

• El registro de Azure AD es la opción de identidad de dispositivo disponible para dispositivos móviles personales y corporativos. Los usuarios de estos dispositivos se autentican iniciando sesión en recursos de trabajo, como aplicaciones y exploradores web, mediante su cuenta profesional de Azure AD.
• Unido a Azure AD es la opción de identidad de dispositivo disponible para dispositivos de propiedad corporativa Windows 10/11 que usan opciones de administración conjunta. Los usuarios de estos dispositivos se autentican iniciando sesión en el dispositivo mediante su cuenta profesional de Azure AD.

Configuraciones de preinscripción

Prepare los dispositivos para la inscripción mediante la configuración de características de inscripción, como restricciones de inscripción, categorización de dispositivos y administradores de inscripción de dispositivos. Estas configuraciones ayudan a mejorar y simplificar la experiencia de inscripción para usted y los usuarios del dispositivo, y le ayudan a mantenerse organizado en el centro de administración. Configúrelos antes de crear el perfil de inscripción.

La configuración de la disponibilidad varía según la plataforma del sistema operativo.

Anulación de la inscripción y restablecimiento de dispositivos existentes

Si los dispositivos están inscritos actualmente en otro proveedor de MDM, desinscriba los dispositivos del proveedor de MDM existente antes de inscribirlos en Intune. En la tabla siguiente se muestran los dispositivos que requieren un restablecimiento de fábrica antes de inscribirse en Intune.

Plataforma	¿Se necesita un restablecimiento de fábrica?
Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo (BYOD)	No
Perfil de trabajo corporativo de Android Enterprise (COPE)	Sí
Android Enterprise totalmente administrado (COBO)	Sí
Dispositivos Android Enterprise dedicados (COSU)	Sí
Administrador de dispositivos Android (DA)	No
iOS/iPadOS	Sí
Linux	No
macOS	Sí
Windows	No

---

Los dispositivos que no requieren un restablecimiento comienzan a instalar perfiles Intune en cuanto se inscriben. La configuración configurada anteriormente puede permanecer en los dispositivos si no las cambia en Intune antes de la inscripción.

Agregar administradores de inscripción de dispositivos

Se recomienda usar administradores de inscripción de dispositivos cuando necesite inscribir y preparar un gran número de dispositivos para su distribución. Una cuenta de administrador de inscripción de dispositivos puede inscribir y administrar hasta 1000 dispositivos, mientras que una cuenta estándar que no sea administrador solo puede inscribir 15 dispositivos. Un administrador de inscripción de dispositivos es un usuario de Azure AD que no es administrador que puede:

• Inscribir hasta 1000 dispositivos corporativos en Intune
• Iniciar sesión en Portal de empresa de Intune para obtener aplicaciones de empresa
• Configuración del acceso a datos corporativos mediante la implementación de aplicaciones específicas del rol en dispositivos

Algunos métodos de inscripción, como la inscripción automatizada de dispositivos de Apple, no son compatibles con la cuenta del administrador de inscripción de dispositivos, por lo que asegúrese de que el método que elija sea compatible antes de comenzar la instalación.

Para obtener más información y limitaciones, consulte Agregar administradores de inscripción de dispositivos.

Creación de restricciones de inscripción de dispositivos

Use esta característica en el centro de administración de Microsoft Intune para impedir que determinados dispositivos se inscriban en Intune. Hay dos tipos de restricciones de inscripción de dispositivos que puede configurar en Microsoft Intune:

• Restricciones de la plataforma de dispositivos: restrinja los dispositivos en función de la plataforma, la versión, el fabricante o el tipo de propiedad del dispositivo.
• Restricciones de límite de dispositivos: restrinja el número de dispositivos en los que un usuario puede inscribirse en Intune.

Las restricciones de inscripción no están disponibles para Linux y algunos escenarios de inscripción de Windows. Al configurar restricciones para dispositivos personales Android Enterprise, se recomienda aprovechar nuestro marco de configuración de seguridad de Android. Incluye las restricciones de dispositivo necesarias para la seguridad básica (nivel 1), que es la configuración de seguridad mínima que se recomienda tener en los dispositivos personales, y la alta seguridad (nivel 3), que es para los dispositivos utilizados por usuarios o grupos específicos que son de alto riesgo de forma única.

Para más información, vea:

• ¿Qué son las restricciones de inscripción?
• Restricciones de dispositivos recomendadas

Creación de una directiva de términos y condiciones

Use una directiva de términos y condiciones de Intune para revelar los avisos legales y los requisitos de cumplimiento a los usuarios del dispositivo antes de la inscripción. Esta directiva requiere que el usuario de dispositivos acepte los términos y condiciones de su organización antes de inscribir su dispositivo o acceder a recursos protegidos. Los términos y condiciones se muestran a los usuarios de destino en la aplicación Portal de empresa de Intune.

Si busca más control, incluido dónde aparecen los términos, considere la posibilidad de configurar los términos de uso de Azure Active Directory (Azure AD). Los términos de Azure AD se muestran a los usuarios cuando inician sesión en aplicaciones y recursos de destino y ofrecen una configuración más granular que Intune términos y condiciones.

Para obtener más información, consulte Términos y condiciones para el acceso del usuario.

Requerir la autenticación multifactor

Requerir que los usuarios se autentiquen a través de la autenticación multifactor (MFA) durante la inscripción. Si necesita MFA, las personas que quieran inscribir dispositivos deben autenticarse con un segundo dispositivo y dos formas de credenciales para poder inscribir su dispositivo. Se trata de un paso condicional único y garantiza que la persona del dispositivo es quien dice ser. Puede habilitar este comportamiento para todas las plataformas excepto Linux mediante una directiva de acceso condicional con una directiva de MFA. Se requiere Azure AD Premium.

Para obtener más información, consulte Requerir autenticación multifactor para las inscripciones de dispositivos Intune.

Clasificar dispositivos en grupos

Cree una categoría de dispositivo en Intune, como enfermería o marketing, y Intune agregará automáticamente todos los dispositivos que se encuentren dentro de esa categoría al grupo de dispositivos correspondiente de Intune.

Esta característica está disponible para todas las plataformas excepto Linux. Para obtener más información, vea Categorizar dispositivos en grupos.

Inscripción para dispositivos Android

Puede inscribir dispositivos Android personales o corporativos en Intune. Se recomiendan soluciones de inscripción de Android Enterprise para dispositivos personales y corporativos que usen Google Mobile Services. Para dispositivos corporativos que no tienen Google Mobile Services y que se compilan a partir del proyecto de código abierto de Android (AOSP), use los métodos de inscripción de AOSP.

Requisitos previos

Conecte Intune a su cuenta de Google Play administrada. La conexión es necesaria para todas las opciones de administración de Android Enterprise, entre las que se incluyen:

• Perfil de trabajo de propiedad personal de Android Enterprise
• Perfil de trabajo corporativo de Android Enterprise
• Android Enterprise totalmente administrado
• Android Enterprise dedicado

Métodos de inscripción de Android

En las pestañas siguientes se describen las opciones de inscripción de Android y AOSP compatibles con Intune.

Propiedad corporativa

• Dispositivos corporativos con un perfil de trabajo: inscriba dispositivos corporativos que también estén aprobados para su uso personal. Este método crea un perfil de trabajo independiente en el dispositivo para que el usuario pueda cambiar entre sus aplicaciones personales y aplicaciones de trabajo de forma fácil y segura. El usuario del dispositivo inscribe el dispositivo a través de la aplicación Microsoft Intune. Como administrador, puede administrar las aplicaciones y los datos en el perfil de trabajo. Este método se alinea con la solución de administración de perfiles de trabajo de propiedad corporativa de Android Enterprise .

• Totalmente administrado: inscriba dispositivos corporativos exclusivamente para uso profesional y no personal. Hay un usuario asociado al dispositivo inscrito. Puede administrar todo el dispositivo y aplicar controles de directiva no disponibles con el método de perfil de trabajo de Android Enterprise. Este método se alinea con la solución de administración totalmente administrada de Android Enterprise .

• Dispositivo dedicado: inscriba dispositivos corporativos, de uso único o quioscos usados para elementos como la señalización digital, la impresión de vales o la administración de inventario. Con este método, puede limitar las aplicaciones y los vínculos web disponibles en el dispositivo e impedir que las personas usen el dispositivo fuera del ámbito previsto. Este método se alinea con la solución de administración de dispositivos dedicados de Android Enterprise .

• Dispositivos corporativos sin usuario: inscriba dispositivos creados a partir del Proyecto de código abierto de Android (AOSP) y que no contengan servicios de Google Mobile como dispositivos corporativos sin usuario. Estos dispositivos no tienen un usuario asociado a ellos y están diseñados para compartirse, como en una biblioteca o laboratorio.

• Dispositivos corporativos asociados con el usuario: inscriba dispositivos creados a partir de AOSP y que no estén presentes en los servicios de Google Mobile como dispositivos corporativos asociados al usuario. Estos dispositivos están asociados a un único usuario y están diseñados para ser exclusivamente para uso profesional.

• Inscripción sin contacto: se recomienda usar la inscripción sin contacto para las inscripciones masivas y simplificar la inscripción para los trabajadores remotos. Este método le permite preparar los dispositivos corporativos con antelación para que aprovisionen e inscriban automáticamente como dispositivos totalmente administrados cuando los usuarios los activen.

Propiedad del usuario

Dispositivos de propiedad personal con un perfil de trabajo: admite la inscripción de dispositivos personales en escenarios BYOD. Durante la inscripción, se crea un perfil de trabajo independiente en el dispositivo para que las personas puedan cambiar entre sus aplicaciones personales y aplicaciones de trabajo de forma fácil y segura. El propietario del dispositivo inscribe su dispositivo a través de la aplicación Portal de empresa de Intune. Como administrador, puede administrar las aplicaciones y los datos en el perfil de trabajo. Este método se alinea con el perfil de trabajo de Android Enterprise para la solución de administración de dispositivos de propiedad personal.

Nota:

Las funcionalidades de administración de dispositivos Android Enterprise reemplazan a las funcionalidades de administrador de dispositivos Android, por lo que se recomienda usar soluciones de administración de Android Enterprise siempre que sea posible. Todavía se recomienda la solución de administración del administrador de dispositivos Android para estos escenarios:

• Para dispositivos Android certificados por Microsoft Teams.
• Cuando el dispositivo está en un área donde Android Enterprise no está disponible.
• Cuando los dispositivos no pueden integrarse con Google Mobile Services y las opciones de inscripción de AOSP no funcionarán con ellos. Para obtener más información sobre cómo usar el administrador de dispositivos Android cuando Google Mobile Services no está disponible, consulte Uso de Intune en entornos sin Google Mobile Services.

Inscripción para dispositivos Apple

En esta sección se describen las opciones de inscripción disponibles para dispositivos iOS/iPadOS y Mac en Intune.

Requisitos previos

Complete los siguientes requisitos previos antes de crear el perfil de inscripción para dispositivos Apple:

• Cargue un certificado push MDM de Apple en Intune. Para obtener más información, consulte Obtención de un certificado de inserción mdm.
• Obtenga un token del programa de inscripción de Apple si tiene previsto inscribir dispositivos a través de la inscripción de dispositivos automatizada de Apple. Para más información, vea:
  • Obtención del token del programa de inscripción de Apple para iOS/iPadOS
  • Obtención del token del programa de inscripción de Apple para macOS

Soluciones de inscripción de Apple

En la tabla siguiente se describen las soluciones de inscripción para dispositivos que ejecutan iOS/iPadOS y macOS.

Propiedad corporativa

• Inscripción automatizada de dispositivos para iOS/iPadOS y para dispositivos Mac: inscriba dispositivos nuevos o borrados comprados de Apple Business Manager o Apple School Manager con inscripción de dispositivos automatizada. Este método de inscripción automatizada para dispositivos corporativos aplica la configuración de la organización de Apple Business Manager y Apple School Manager, admite el modo de supervisión e inscribe los dispositivos sin necesidad de tocarlos. Cuando los usuarios encienden sus dispositivos, el Asistente para la configuración de Apple los guía a través de la instalación y la inscripción.

• Apple Configurator para dispositivos iOS/iPadOS y Mac: inscriba manualmente dispositivos corporativos nuevos o existentes a través de Apple Configurator. Esta opción es ideal para inscripciones masivas y cuando no tiene acceso a Apple School Manager, Apple Business Manager o cuando necesita una conexión de red cableada. Debe tener acceso físico a los dispositivos porque tiene que conectarse a los dispositivos y configurarlos en un Equipo Mac. Hay dos rutas de acceso diferentes que puede tomar:

  • Inscripción del Asistente de configuración: este método borra el dispositivo y lo prepara para la inscripción en Apple Configurator. Cuando los usuarios encienden sus dispositivos, comienza el Asistente para la instalación y, a continuación, los dispositivos se inscriben en Intune. Debe tener acceso a los números de serie del dispositivo, ya que debe introducirlos en el centro de administración.
  • Inscripción directa: este método le permite inscribir el dispositivo antes de la distribución y no borra el dispositivo. Los dispositivos inscritos de esta manera no están asociados a un usuario, por lo que se recomienda esta opción para dispositivos compartidos o de pantalla completa. Las instrucciones son diferentes para dispositivos macOS e iOS, así que asegúrese de usar la documentación de procedimientos correcta para los dispositivos.

Propiedad del usuario

• Inscripción de BYOD para Macs: habilite la inscripción en Intune para equipos Mac de propiedad personal en escenarios de bring-your-own-device (BYOD). los usuarios de dispositivos con licencia de Intune inicializan la inscripción iniciando sesión en la aplicación de Portal de empresa en su dispositivo.

• Inscripción de usuarios de Apple: habilite la inscripción de usuarios de Apple para dispositivos iOS/iPadOS de propiedad personal en escenarios BYOD. Esta opción ofrece a los propietarios de dispositivos la opción de proteger todo el dispositivo o simplemente aplicaciones y datos relacionados con el trabajo, y mantiene los datos administrados y las aplicaciones en un volumen independiente lejos de los datos personales del usuario. La inscripción tiene lugar en la aplicación Portal de empresa.

• Inscripción de dispositivos de Apple: habilite la inscripción de dispositivos Apple para dispositivos iOS/iPadOS de propiedad personal en escenarios BYOD. Este método proporciona más control sobre la configuración del dispositivo que la inscripción de usuarios. Por ejemplo, puede aplicar requisitos más granulares para los códigos de acceso.

Inscripción para Linux

Los empleados y los alumnos en escenarios BYOD pueden inscribir dispositivos Linux personales en Microsoft Intune. La inscripción les permite acceder a los recursos de trabajo en Microsoft Edge.

Como administrador de Intune, no es necesario hacer nada para habilitar la inscripción de Linux en el centro de administración. Se habilita automáticamente. Cuando los usuarios inscriban sus dispositivos Linux, los verá en el centro de administración. Para obtener más información, consulte Inscripción de dispositivos de escritorio Linux en Microsoft Intune.

Inscripción para Windows

En esta sección se describen las soluciones de inscripción disponibles para dispositivos personales y corporativos que ejecutan Windows 10 o Windows 11.

Nota:

Microsoft Intune la inscripción se admite en dispositivos en entornos en la nube. La administración conjunta con Configuration Manager se admite en entornos locales.

Métodos de inscripción de Windows

En la tabla siguiente se describen los métodos de inscripción admitidos para los dispositivos que ejecutan Windows 10 y Windows 11.

Inscripción automática

Facilita la inscripción en Intune para empleados y alumnos habilitando la inscripción automática para Windows. Para obtener más información, consulte Habilitación de la inscripción automática.

• Unión a Azure Active Directory con inscripción automática: esta opción es compatible con los dispositivos adquiridos por usted o por el usuario del dispositivo para su uso profesional. La inscripción se produce durante la experiencia rápida, después de que el usuario inicie sesión con su cuenta profesional y se una a Azure AD. Esta solución es para cuando no tiene acceso al dispositivo, como en entornos de trabajo remotos. Cuando estos dispositivos se inscriben, su propiedad cambia a propiedad corporativa y obtiene acceso a las características de administración que no están disponibles en los dispositivos marcados como de propiedad personal.

• Experiencia rápida de Windows Autopilot: la inscripción automática es compatible con la experiencia integrada (OOBE) de Windows Autopilot controlada por el usuario o autoinstalado, y es mejor para equipos de escritorio, portátiles y quioscos corporativos. Los usuarios del dispositivo obtienen acceso al escritorio después de instalar el software y las directivas necesarios. Se requiere una licencia de Azure AD Premium.

• Windows Autopilot para la unión a Azure AD híbrido: la inscripción automática se admite con Windows Autopilot para dispositivos unidos a Azure AD híbrido. Durante la experiencia integrada de Windows Autopilot, el conector de Intune para Active Directory permite que los dispositivos de los servicios de dominio de Active Directory se unan a Azure AD y, a continuación, se inscriban automáticamente en Intune. Tiene que instalar el conector de Intune para Active Directory en un servidor local y registrar dispositivos en Windows Autopilot. Se recomienda esta solución de inscripción para entornos locales que usan servicios de dominio de Active Directory y que actualmente no pueden mover sus identidades a Azure AD.

• Administración conjunta con Configuration Manager: la administración conjunta es la mejor para entornos que ya administran dispositivos con Configuration Manager y quieren integrar Microsoft Intune cargas de trabajo. La administración conjunta es el acto de mover cargas de trabajo de Configuration Manager a Intune e indicar al cliente de Windows quién es la autoridad de administración para esa carga de trabajo en particular. Por ejemplo, puede administrar dispositivos con directivas de cumplimiento y cargas de trabajo de configuración de dispositivos en Intune y usar Configuration Manager para todas las demás características, como la implementación de aplicaciones y las directivas de seguridad.

Propiedad del usuario

Inscripción automática para BYOD: la inscripción automática está disponible para los usuarios en escenarios BYOD que desean inscribir sus dispositivos personales. Los empleados y los alumnos con licencia de Intune pueden inicializar el registro y la inscripción automática iniciando sesión en la aplicación de Portal de empresa con su cuenta profesional o educativa.

Inscripción masiva a través del paquete de aprovisionamiento

Workplace se une e inscribe un gran número de dispositivos corporativos en Azure AD y Intune sin necesidad de volver a crear una imagen de ellos. Este proceso requiere que cree un paquete de aprovisionamiento mediante la aplicación Diseñador de configuración de Windows. Puede aplicar el paquete durante la OOBE del dispositivo o cargarlo en el dispositivo en la aplicación Configuración.

Más características de inscripción de Windows

Hay otras opciones de inscripción de Windows en Intune para ayudar a mejorar o simplificar la experiencia de administración de dispositivos para usted y sus empleados:

• Configuración de administración conjunta: habilite la configuración de administración conjunta para integrar Configuration Manager cargas de trabajo con Intune. La administración conjunta le permite usar las características Intune y Configuration Manager para administrar dispositivos.
• Validación de CNAME: valide un alias de servidor de nombres de dominio (DNS) (tipo de registro CNAME) que creó para redirigir las solicitudes de inscripción a Intune servidores. El alias simplifica la inscripción de usuarios en ausencia de Azure AD Premium e inscripción automática.
• Página estado de inscripción: habilite la página Estado de inscripción para que las personas que pasan por la configuración del dispositivo puedan ver y realizar un seguimiento del progreso de la instalación.

Informar y solucionar problemas

Realice un seguimiento de las inscripciones de usuarios incompletas y abandonadas. Este informe de Microsoft Intune indica dónde en el Portal de empresa los usuarios no pudieron completar el proceso de inscripción.

Para solucionar problemas de documentos, consulte Solución de problemas de inscripción de dispositivos.

Recursos

Hay guías de inscripción adicionales disponibles en toda la documentación de Microsoft Intune. Estas guías incluyen comparaciones visuales, pasos de procedimientos, sugerencias y procedimientos recomendados de inscripción para cada plataforma admitida.

• Guía de inscripción en Android
• Guía de inscripción en iOS/iPadOS
• Guía de inscripción de Linux
• Guía de inscripción de macOS
• Guía de inscripción en Windows

Pasos siguientes

1. Configuración de Microsoft Intune
2. Agregar, configurar y proteger aplicaciones
3. Planeamiento de directivas de cumplimiento
4. Creación de perfiles de configuración de dispositivo.
5. 🡺 Inscribir dispositivos (Usted está aquí)