Partekatu honen bidez:


Planeación de la implementación de dispositivos de Microsoft Entra

Este artículo le ayuda a evaluar los métodos para integrar dispositivos con Microsoft Entra ID y a elegir el plan de implementación. También proporciona vínculos clave a las herramientas de administración de dispositivos admitidas.

El panorama de los dispositivos del usuario se expande constantemente. Las organizaciones pueden proporcionar equipos de escritorio, equipos portátiles, teléfonos, tabletas y otros dispositivos. Los usuarios pueden traer sus propios dispositivos y acceder a información desde distintas ubicaciones. En este entorno, su trabajo como administrador es proteger los recursos de la organización en todos los dispositivos.

Microsoft Entra ID permite a las organizaciones cumplir estos objetivos con la administración de identidades de dispositivos. Ahora puede tener sus dispositivos en Microsoft Entra ID y controlarlos desde una ubicación central del centro de administración de Microsoft Entra. Este proceso le ofrece una experiencia unificada, mejora la seguridad y reduce el tiempo necesario para configurar un nuevo dispositivo.

Hay varios métodos para integrar los dispositivos en Microsoft Entra ID, que pueden funcionar por separado o en conjunto según el sistema operativo y los requisitos:

Obtener información

Antes de empezar, asegúrese de que está familiarizado con la administración de identidades de dispositivos.

Ventajas

Principales ventajas de proporcionar a los dispositivos una identidad de Microsoft Entra:

Planeamiento del proyecto de implementación

Tenga en cuenta las necesidades de su organización al determinar la estrategia de esta implementación en su entorno.

Interactuar con las partes interesadas adecuadas

Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que involucra a las partes interesadas adecuadas en el proyecto y que estas conocen bien sus roles.

Para este plan, agregue las siguientes partes interesadas a la lista:

Role Descripción
Administrador de dispositivos Un representante del equipo de dispositivos que pueda comprobar que el plan cumplirá los requisitos de dispositivos de la organización.
Administrador de red Un representante del equipo de red que pueda asegurarse de que se cumplen los requisitos de red.
Equipo de administración de dispositivos Equipo que administra el inventario de dispositivos.
Equipos de administración específicos del sistema operativo Equipos que administran versiones específicas del sistema operativo y les dan soporte técnico. Por ejemplo, puede haber un equipo para Mac o iOS.

Planeamiento de las comunicaciones

La comunicación es fundamental para el éxito de cualquier servicio nuevo. Comunique de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si tienen cualquier problema.

Planeamiento de un piloto

Se recomienda que la configuración inicial del método de integración esté en un entorno de pruebas, o se haga con un pequeño grupo de dispositivos de prueba. Consulte Procedimientos recomendados para un piloto.

Es posible que quiera llevar a cabo una implementación dirigida de unión híbrida a Microsoft Entra antes de habilitarla en toda la organización.

Advertencia

Las organizaciones deben incluir una muestra de usuarios de distintos roles y perfiles en su grupo piloto. Un lanzamiento dirigido permite identificar cualquier problema que no se haya abordado en su plan antes de habilitarlo para toda la organización.

Elección de los métodos de integración

Su organización puede usar varios métodos de integración de dispositivos en un único inquilino de Microsoft Entra. El objetivo es elegir los métodos adecuados para que los dispositivos se administren de forma segura en Microsoft Entra ID. Hay muchos parámetros que influyen en esta decisión: la propiedad, los tipos de dispositivos, la audiencia principal y la infraestructura de su organización.

La siguiente información puede ayudarle a decidir qué métodos de integración deberá usar.

Árbol de decisión para la integración de dispositivos

Use este árbol para determinar las opciones para los dispositivos que son propiedad de la organización.

Nota:

Los escenarios de dispositivos personales o "traiga su propio dispositivo" (BYOD) no se muestran en este diagrama. Siempre dan lugar al registro en Microsoft Entra.

Decision tree

Tabla comparativa

Los dispositivos iOS y Android solo se pueden registrar en Microsoft Entra. En la tabla siguiente se presentan consideraciones generales para dispositivos cliente Windows. Úsela para obtener información general y, después, explore los distintos métodos de integración con más detalle.

Consideración Microsoft Entra registrado Unido a Microsoft Entra Unido a Microsoft Entra
Sistemas operativos cliente
Dispositivos con Windows 11 o Windows 10 Checkmark for these values. Checkmark for these values. Checkmark for these values.
Dispositivos Windows de nivel inferior (Windows 8.1 o Windows 7) Checkmark for these values.
Escritorio Linux: Ubuntu 20.04/22.04 Checkmark for these values.
Opciones de inicio de sesión
Credenciales locales del usuario final Checkmark for these values.
Contraseña Checkmark for these values. Checkmark for these values. Checkmark for these values.
PIN del dispositivo Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello para empresas Checkmark for these values. Checkmark for these values.
Claves de seguridad de FIDO 2.0 Checkmark for these values. Checkmark for these values.
Aplicación Microsoft Authenticator (sin contraseña) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Principales funcionalidades
SSO a los recursos en la nube Checkmark for these values. Checkmark for these values. Checkmark for these values.
Inicio de sesión único en recursos locales Checkmark for these values. Checkmark for these values.
Acceso condicional
(Requiere que los dispositivos estén marcados como conformes)
(Debe administrarse con MDM)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Acceso condicional
(Requiere dispositivos de unión híbrida a Microsoft Entra)
Checkmark for these values.
Autoservicio de restablecimiento de contraseña desde la pantalla de inicio de sesión de Windows Checkmark for these values. Checkmark for these values.
Restablecimiento del PIN de Windows Hello Checkmark for these values. Checkmark for these values.

Registro en Microsoft Entra

Los dispositivos registrados se suelen administrar con Microsoft Intune. Los dispositivos se inscriben en Intune de varias maneras, según el sistema operativo.

Los dispositivos registrados en Microsoft Entra permiten que los dispositivos BYOD (Bring Your Own Device) y los dispositivos propiedad de la empresa usen el inicio de sesión único en los recursos en la nube. El acceso a los recursos se basa en las directivas de acceso condicional de Microsoft Entra aplicadas al dispositivo y al usuario.

Registro de dispositivos

Los dispositivos registrados se suelen administrar con Microsoft Intune. Los dispositivos se inscriben en Intune de varias maneras, según el sistema operativo.

Los usuarios que instalan la aplicación Portal de empresa registran los dispositivos móviles BYOD y propiedad de la empresa.

Si el registro de sus dispositivos es la mejor opción para su organización, consulte los siguientes recursos:

Unión a Microsoft Entra

La unión a Microsoft Entra permite cambiar a un modelo de "primero en la nube" con Windows. Es una base estupenda si tiene previsto modernizar la administración de dispositivos y reducir los costos de TI relacionados con los dispositivos. La unión a Microsoft Entra funciona solamente con dispositivos que tienen Windows 10 o versiones posteriores. Considérelo como la primera opción para los nuevos dispositivos.

Los dispositivos unidos a Microsoft Entra pueden usar el inicio de sesión único en los recursos locales cuando se encuentran en la red de la organización y pueden autenticarse en servidores locales, como el de archivos o impresión, y en otras aplicaciones.

Si esta es la mejor opción para su organización, consulte los siguientes recursos:

Aprovisionamiento de dispositivos unidos a Microsoft Entra

Para aprovisionar dispositivos con el fin de unirlos a Microsoft Entra, tiene los siguientes enfoques:

Si tiene Windows 10 Professional o Windows 10 Enterprise instalado en un dispositivo, la experiencia predeterminada es el proceso de configuración de los dispositivos de la empresa.

Elija el procedimiento de implementación después comparar cuidadosamente estos enfoques.

Puede determinar que la unión a Microsoft Entra es la mejor solución para un dispositivo que esté en un estado diferente. En la tabla siguiente, se muestra cómo cambiar el estado de un dispositivo.

Estado actual del dispositivo Estado deseado del dispositivo Instrucciones
Unido a dominio local Unido a Microsoft Entra Separe el dispositivo del dominio local antes de unirlo a Microsoft Entra ID.
Unido a Microsoft Entra Unido a Microsoft Entra Separe el dispositivo del dominio local y de Microsoft Entra ID antes de unirlo a Microsoft Entra ID.
Microsoft Entra registrado Unido a Microsoft Entra Anule el registro del dispositivo antes de unirlo a Microsoft Entra ID.

Unión híbrida de Microsoft Entra

Si tiene un entorno local de Active Directory y quiere unir a Microsoft Entra ID los equipos que están unidos actualmente a un dominio, puede hacerlo con la unión híbrida a Microsoft Entra. Admite una amplia variedad de dispositivos Windows, incluidos los dispositivos Windows actuales y más antiguos.

La mayoría de las organizaciones ya tienen dispositivos unidos a un dominio y los administran mediante directivas de grupo o System Center Configuration Manager (SCCM). En ese caso, se recomienda configurar la unión híbrida a Microsoft Entra para empezar a disfrutar de sus ventajas mientras aprovecha la inversión actual.

Si la unión híbrida a Microsoft Entra es la mejor opción para su organización, consulte los siguientes recursos:

Aprovisionamiento de la unión híbrida a Microsoft Entra en los dispositivos

Revise su infraestructura de identidad. Microsoft Entra Connect proporciona un asistente para configurar la unión híbrida a Microsoft Entra para:

Si instalar la versión necesaria de Microsoft Entra Connect no es una opción para usted, consulte Configuración manual de la unión a Microsoft Entra híbrido.

Nota:

El dispositivo con Windows 10 o una versión posterior unido a un dominio local intenta unirse automáticamente a Microsoft Entra ID para tener una unión híbrida a Microsoft Entra de forma predeterminada. Esto solo se hará correctamente si tiene configurado el entorno adecuado.

Puede determinar que la unión híbrida a Microsoft Entra es la mejor solución para un dispositivo que esté en un estado diferente. En la tabla siguiente, se muestra cómo cambiar el estado de un dispositivo.

Estado actual del dispositivo Estado deseado del dispositivo Instrucciones
Unido a dominio local Unido a Microsoft Entra Use Microsoft Entra Connect o AD FS para unirlo a Azure.
Unido a un grupo de trabajo local o nuevo Unido a Microsoft Entra Admitido con Windows Autopilot De lo contrario, el dispositivo debe estar unido a un dominio local antes de establecer una unión híbrida a Microsoft Entra.
Unido a Microsoft Entra Unido a Microsoft Entra Sepárelo de Microsoft Entra ID para ponerlo en el grupo de trabajo local o en un estado nuevo.
Microsoft Entra registrado Unido a Microsoft Entra Depende de la versión de Windows. Vea estas consideraciones.

Administración de los dispositivos

Una vez que haya registrado o unido los dispositivos a Microsoft Entra ID, use el centro de administración de Microsoft Entra como ubicación central para administrar las identidades de los dispositivos. La página de dispositivos de Microsoft Entra permite:

Para mantener el entorno limpio, no olvide administrar los dispositivos obsoletos y centre sus recursos en la administración de los dispositivos actuales.

Herramientas de administración de dispositivos admitidas

Los administradores pueden proteger y controlar aún más los dispositivos registrados y unidos con otras herramientas de administración de dispositivos. Estas herramientas proporcionan una manera de aplicar las configuraciones, como requerir el cifrado del almacenamiento, la complejidad de las contraseñas y las instalaciones y actualizaciones de software.

Revise las plataformas admitidas y no admitidas para los dispositivos integrados:

Herramientas de administración de dispositivos Microsoft Entra registrado Unido a Microsoft Entra Unido a Microsoft Entra
Administración de dispositivos móviles (MDM)
Ejemplo: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Administración conjunta con Microsoft Intune y Microsoft Configuration Manager
(Windows 10 o versiones posteriores)
Checkmark for these values. Checkmark for these values.
Directiva de grupo
(Solo Windows)
Checkmark for these values.

Para los dispositivos iOS o Android registrados, es recomendable usar la administración de aplicaciones móviles (MAM) de Microsoft Intune con o sin administración de dispositivos.

Los administradores también pueden implementar plataformas de infraestructura de escritorio virtual (VDI) para hospedar los sistemas operativos Windows en sus organizaciones con el fin de centralizar y consolidar los recursos y así simplificar la administración y reducir los costos.

Pasos siguientes