Configuración del acceso condicional local mediante dispositivos registrados

  • Artículo

El siguiente documento le guiará a través de la instalación y configuración del acceso condicional local con dispositivos registrados.

conditional access

Requisitos previos de infraestructura

Los siguientes requisitos son necesarios para poder comenzar con el acceso condicional local.

Requisito Descripción
Una suscripción Microsoft Entra a Microsoft Entra ID P1 o P2 Para habilitar la escritura diferida de dispositivos para el acceso condicional local, una versión de evaluación gratuita es adecuada.
Suscripción a Intune Solo se requiere para la integración de MDM en escenarios de cumplimiento de dispositivos: una versión de evaluación gratuita es adecuada.
Microsoft Entra Connect QFE de noviembre de 2015 o posterior. Aquí puede conseguir la última versión.
Windows Server 2016 Compilación 10586 o posterior para AD FS
Esquema de Active Directory para Windows Server 2016 Se requiere el nivel de esquema 85 o superior.
Controlador de dominio de Windows Server 2016 Esto solo es necesario para las implementaciones de claves de confianza de Windows Hello para empresas. Aquí encontrará más información.
Cliente de Windows 10 Se requiere la compilación 10586, u otra posterior, unida al dominio anterior solo en escenarios de unión a un dominio de Windows 10 y Windows Hello para empresas.
Cuenta de usuario Microsoft Entra con licencia Microsoft Entra ID P1 o P2 asignada Para registrar el dispositivo

Actualización del esquema de Active Directory

Para usar el acceso condicional local con dispositivos registrados, primero debe actualizar el esquema de AD. Se deben cumplir las siguientes condiciones: - El esquema debe ser de la versión 85 o posterior: esto solo es necesario para el bosque al que está unido AD FS.

Nota:

Si instaló Microsoft Entra Connect antes de actualizar la versión del esquema (al nivel 85 o posterior) en Windows Server 2016, deberá volver a ejecutar la instalación de Microsoft Entra Connect y actualizar el esquema de AD local para asegurarse de que la regla de sincronización de msDS-KeyCredentialLink está configurada.

Comprobación del nivel de esquema

Para comprobar el nivel del esquema, haga lo siguiente:

  1. Puede usar ADSIEdit o LDP y conectarse al contexto de nomenclatura de esquemas.
  2. Mediante ADSIEdit, haga clic con el botón derecho en "CN=Schema,CN=Configuration,DC=<domain>,DC=<com> y seleccione propiedades. Reemplace los dominios y las partes com por la información del bosque.
  3. En el Editor de atributos, busque el atributo objectVersion y le indicará su versión.

ADSI Edit

También puede usar el siguiente cmdlet de PowerShell (reemplace el objeto por la información del contexto de nomenclatura de esquemas):

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion

PowerShell

Para más información sobre la actualización, consulte Actualizar controladores de dominio a Windows Server 2016.

Habilitar registro de dispositivos de Microsoft Entra

Para configurar este escenario, debe configurar la funcionalidad de registro de dispositivos en Microsoft Entra ID.

Para ello, siga los pasos que se indican en Configuración de Unión a Microsoft Entra en su organización.

Configuración de AD FS

  1. Cree una nueva granja de AD FS 2016.
  2. O bien, migre una granja de servidores a AD FS 2016 desde AD FS 2012 R2
  3. Implemente Microsoft Entra Connect mediante la ruta de acceso personalizada para conectar AD FS a Microsoft Entra ID.

Configuración de la escritura diferida de dispositivos y la autenticación de dispositivos

Nota:

Si ejecutó Microsoft Entra Connect mediante Configuración rápida, se han creado automáticamente los objetos de AD correctos. Sin embargo, en la mayoría de los escenarios de AD FS, Microsoft Entra Connect se ejecutó con Configuración personalizada para configurar AD FS, por lo que son necesarios los pasos siguientes.

Creación de objetos de AD para la autenticación de dispositivos de AD FS

Si la granja de servidores de AD FS aún no está configurada para la autenticación de dispositivos (puede verlo en la consola de administración de AD FS en Servicio -> Registro del dispositivo), siga estos pasos para crear los objetos y la configuración de AD DS correctos.

Screenshot that shows the Device Registration Overview screen.

Nota: Los siguientes comandos requieren herramientas de administración de Active Directory, por lo que si el servidor de federación no es también un controlador de dominio, instale primero las herramientas mediante el paso 1 siguiente. De lo contrario, puede omitir el paso 1.

  1. Ejecute el asistente para agregar roles y características y seleccione la característica Herramientas de administración remota del servidor ->Herramientas de administración de roles ->Herramientas de AD DS y AD LDS -> Seleccione Módulo de Active Directory para Windows PowerShell y Herramientas de AD DS.

Screenshot that highlights the Active Directory module for Windows PowerShell and the AD DS Tools options.

  1. En el servidor principal de AD FS, asegúrese de que ha iniciado sesión como usuario de AD DS con privilegios de Administrador de la empresa y abra un símbolo del sistema de PowerShell con privilegios elevados. A continuación, ejecute los siguientes comandos de PowerShell:

    Import-module activedirectory PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>"

  2. En la ventana emergente, seleccione Sí.

Nota: Si el servicio de AD FS está configurado para usar una cuenta de GMSA, escriba el nombre de la cuenta con el formato "dominio\nombreDeCuenta$"

Screenshot that shows how to use the listed PowerShell commands.

El PSH anterior crea los siguientes objetos:

  • Contenedor RegisteredDevices en la partición de dominio de AD
  • Contenedor y objeto del servicio de registro de dispositivos en Configuración --> Servicios --> Configuración del registro de dispositivos
  • Contenedor y objeto DKM del servicio de registro de dispositivos en Configuración --> Servicios --> Configuración del registro de dispositivos

Screenshot that shows the progress of the objects being created.

  1. Una vez hecho esto, aparecerá un mensaje de finalización correcta.

Screenshot that shows the successful completion message.

Creación de un punto de conexión de servicio (SCP) en AD

Si tiene previsto usar Unión a un dominio de Windows 10 (con registro automático en Microsoft Entra ID), como se describe aquí, ejecute los siguientes comandos para crear un punto de conexión de servicio en AD DS.

  1. Abra Windows PowerShell y ejecute lo siguiente:

    PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Nota:

Nota: Si es necesario, copie el archivo AdSyncPrep.psm1 del servidor de Microsoft Entra Connect. Este archivo se encuentra en Archivos de programa\Microsft Entra Connect\AdPrep

Screenshot that shows the path to the AdSyncPrep file.

  1. Proporcione las credenciales de administrador global de Microsoft Entra.

    PS C:>$aadAdminCred = Get-Credential

Screenshot that shows where to provide the Microsoft Entra Global Administrator credentials.

  1. Ejecute el siguiente comando de PowerShell:

    PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

Donde [AD connector account name] es el nombre de la cuenta que configuró en Microsoft Entra Connect al agregar el directorio de AD DS local.

Los comandos anteriores permiten a los clientes de Windows 10 buscar el dominio de Microsoft Entra correcto para unirse mediante la creación del objeto serviceConnectionpoint en AD DS.

Preparación de AD para la escritura diferida de dispositivos

Para asegurarse de que los objetos y contenedores de AD DS están en el estado correcto para la escritura diferida de dispositivos de Microsoft Entra ID, haga lo siguiente.

  1. Abra Windows PowerShell y ejecute lo siguiente:

    PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

Donde [AD connector account name] es el nombre de la cuenta que configuró en Microsoft Entra Connect al agregar el directorio de AD DS local con el formato dominio\nombreDeCuenta.

El comando anterior crea los siguientes objetos para la escritura diferida de dispositivos en AD DS, si aún no existen, y permite el acceso al nombre de cuenta del conector de AD especificado.

  • Contenedor RegisteredDevices en la partición de dominio de AD
  • Contenedor y objeto del servicio de registro de dispositivos en Configuración --> Servicios --> Configuración del registro de dispositivos

Habilitar la escritura diferida de dispositivos en Microsoft Entra Connect

Si no lo ha hecho antes, para habilitar la escritura diferida de dispositivos en Microsoft Entra Connect, ejecute el asistente una segunda vez y seleccione "Personalizar las opciones de sincronización". Después, active la casilla de escritura diferida de dispositivos y seleccione el bosque en el que ha ejecutado los cmdlets anteriores.

Configuración de la autenticación de dispositivos en AD FS

Con una ventana de comandos de PowerShell con privilegios elevados, configure la directiva de AD FS mediante la ejecución del siguiente comando.

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Compruebe la configuración

Para su referencia, a continuación se muestra una lista completa de los dispositivos, contenedores y permisos de AD DS necesarios para que funcione la escritura diferida de dispositivos y la autenticación.

  • Objeto de tipo ms-DS-DeviceContainer en CN=RegisteredDevices,DC=<domain>

    • Acceso de lectura a la cuenta de servicio de AD FS
    • acceso de lectura/escritura a la cuenta del conector AD de Microsoft Entra Connect Sync

  • Contenedor CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

  • DKM del servicio de registro de dispositivos de contenedor del contenedor anterior

Device Registration

  • Objeto del tipo serviceConnectionpoint en CN=<guid>, CN=Device Registration

  • Configuration,CN=Services,CN=Configuration,DC=<domain>

    • Acceso de lectura y escritura al nombre de cuenta del conector de AD especificado en el nuevo objeto

  • Objeto del tipo msDS-DeviceRegistrationServiceContainer at CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=

  • Objeto del tipo msDS-DeviceRegistrationService del contenedor anterior

Ver en funcionamiento

Para evaluar las nuevas notificaciones y directivas, registre primero un dispositivo. Por ejemplo, puede unir a Microsoft Entra un equipo de Windows 10 mediante la aplicación Configuración en Sistema -> Acerca de, o puede configurar Unión a un dominio de Windows 10 con el registro automático de dispositivos siguiendo los pasos adicionales que se indican aquí. Para más información sobre cómo unir dispositivos móviles de Windows 10, consulte el documento que puede encontrar aquí.

Para una evaluación más sencilla, inicie sesión en AD FS mediante una aplicación de prueba que muestre una lista de notificaciones. Podrá ver nuevas notificaciones, como isManaged, isCompliant y trusttype. Si habilita Windows Hello para empresas, también verá la notificación prt.

Configuración de escenarios adicionales

Registro automático de equipos unidos a un dominio de Windows 10

Para habilitar el registro automático de dispositivos para equipos unidos a un dominio de Windows 10, siga los pasos 1 y 2 que se indican aquí. Esto le ayudará a conseguir lo siguiente:

  1. Asegúrese de que el punto de conexión de servicio de AD DS existe y tiene los permisos adecuados (hemos creado este objeto anteriormente, pero no está de más comprobarlo).
  2. Asegúrese de que AD FS está configurado correctamente.
  3. Asegúrese de que el sistema de AD FS tiene los puntos de conexión correctos habilitados y las reglas de notificación configuradas.
  4. Configure los valores de las directivas de grupo necesarias para el registro automático de dispositivos de equipos unidos a un dominio.

Windows Hello para empresas

Para más información sobre cómo habilitar Windows 10 con Windows Hello para empresas, consulte Habilitar Windows Hello para empresas en la organización.

Inscripción automática de MDM

Para habilitar la inscripción automática de MDM de dispositivos registrados para que pueda usar la notificación isCompliant en la directiva de control de acceso, siga los pasos que se indican aquí.

Solución de problemas

  1. Si recibe un error en Initialize-ADDeviceRegistration que avisa sobre un objeto que ya existe con un estado incorrecto, como "Se ha encontrado el objeto de servicio DRS sin todos los atributos necesarios", es posible que haya ejecutado comandos de PowerShell de Microsoft Entra Connect anteriormente y tenga una configuración parcial en AD DS. Intente eliminar manualmente los objetos de CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> y vuelva a intentarlo.
  2. Para clientes unidos a un dominio de Windows 10
    1. Para comprobar que la autenticación del dispositivo funciona, inicie sesión en el cliente unido al dominio con una cuenta de usuario de prueba. Para desencadenar el aprovisionamiento rápidamente, bloquee y desbloquee el dispositivo de escritorio al menos una vez.
    2. Instrucciones para comprobar el vínculo de credenciales de clave STK en el objeto de AD DS (¿aún se tiene que ejecutar la sincronización dos veces?)
  3. Si recibe un error al intentar registrar un equipo Windows en el que el dispositivo ya estaba inscrito, pero no puede o ya ha anulado la inscripción del dispositivo, es posible que tenga un fragmento de configuración de inscripción de dispositivos en el registro. Para investigar y solucionar el problema, siga estos pasos:
    1. En el equipo Windows, abra Regedit y vaya a HKLM\Software\Microsoft\Enrollments.
    2. En esta clave, habrá muchas subclaves en el formulario GUID. Vaya a la subclave que tiene ~17 valores y un valor de "EnrollmentType" de "6" [unido a MDM] o "13" (unido a Microsoft Entra)
    3. Modifique EnrollmentType a 0.
    4. Vuelva a intentar la inscripción o registro del dispositivo.