Microsoft Entra Connect: habilitación de la escritura diferida de dispositivo

Nota:

Se requiere una suscripción a Microsoft Entra ID P1 o P2 para la escritura diferida de dispositivos.

En la siguiente documentación se ofrece información sobre cómo habilitar la característica de escritura diferida de dispositivo en Microsoft Entra Connect. La escritura diferida de dispositivo se usa en los siguientes escenarios:

• Habilitación de Windows Hello para empresas mediante la implementación híbrida de confianza de certificado
• Habilite el acceso condicional basado en dispositivos para aplicaciones protegido de ADFS (2012 R2 o superior) (confianzas para usuario de confianza).

Esto ofrece seguridad adicional y la garantía de que el acceso a las aplicaciones solo se concede para dispositivos de confianza. Para más información sobre el acceso condicional, vea Administración de riesgos con el acceso condicional y Configuración del acceso condicional local mediante el Registro de dispositivos de Microsoft Entra.

Importante

Los dispositivos deben encontrarse en el mismo bosque que los usuarios. Puesto que los dispositivos deben volver a escribirse en un único bosque, esta característica no admite actualmente una implementación con varios bosques de usuarios.

Solo se puede agregar un objeto de configuración de registro de dispositivo al bosque de Active Directory local. Esta característica no es compatible con una topología en la que la instancia de Active Directory local está sincronizada a varios directorios de Microsoft Entra.

Parte 1: Instalación de Microsoft Entra Connect

Instale Microsoft Entra Connect mediante la configuración rápida o personalizada. Microsoft recomienda empezar con todos los usuarios y grupos sincronizados correctamente antes de habilitar la escritura diferida de dispositivos.

Parte 2: Habilitación de la reescritura de dispositivos en Microsoft Entra Connect

1. Ejecute de nuevo el Asistente para la instalación. Seleccione Configurar opciones de dispositivo en la página Tareas adicionales y haga clic en Siguiente.

   

   Nota:

   La nueva opción Configurar opciones de dispositivo está disponible únicamente en la versión 1.1.819.0 y posteriores.

2. En la página de opciones del dispositivo, seleccione Configurar la escritura diferida de dispositivo. La opción Deshabilitar la escritura diferida de dispositivo no estará disponible hasta que se habilite la escritura diferida de dispositivo. Haga clic en Siguiente para ir a la siguiente página del asistente.

3. En la página de escritura diferida, verá el dominio suministrado como el bosque de escritura diferida de dispositivos predeterminado.

4. La página Contenedor de dispositivos ofrece la opción de preparar Active Directory usando una de las dos opciones disponibles:

   a. Proporcionar credenciales de administrador de empresa: si se proporcionan las credenciales de administrador de empresa para el bosque donde deben volver a escribirse los dispositivos, Microsoft Entra Connect preparará el bosque automáticamente durante la configuración de la escritura diferida de dispositivos.

   b. Descargar el script de PowerShell: Microsoft Entra Connect genera automáticamente un script de PowerShell que puede preparar Active Directory para la escritura diferida de dispositivos. En caso de que no puedan proporcionarse las credenciales de administrador de empresa en Microsoft Entra Connect, es recomendable descargar el script de PowerShell. Proporcione el script de PowerShell descargado CreateDeviceContainer.ps1 al administrador de empresa del bosque donde se volverán a escribir los dispositivos.

   Para preparar el bosque de Active Directory, se realizan las siguientes operaciones:

   • Si todavía no existen, se crean y configuran nuevos contenedores y objetos en CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
   • Si todavía no existen, se crean y se configuran nuevos contenedores y objetos en CN=RegisteredDevices,[domain-dn]. Los objetos de dispositivo se crearán en este contenedor.
   • Establece los permisos necesarios en la cuenta de Microsoft Entra Connector, para administrar dispositivos en su Active Directory.
   • Solo necesita ejecutarse en un bosque, incluso si se está instalando Microsoft Entra Connect en varios bosques.

Comprobar que los dispositivos están sincronizados con Active Directory

La reescritura de dispositivos debería funcionar ahora correctamente. Tenga en cuenta que se puede tardar hasta tres horas en que los objetos de dispositivos se vuelvan a escribir en AD. Para comprobar que los dispositivos que se están sincronizados correctamente, siga este procedimiento después de completar las reglas de sincronización:

1. Inicie el Centro de administración de Active Directory.

2. Expanda RegisteredDevices dentro del dominio que se está federando.

   

3. Los dispositivos actualmente registrados aparecerán en la lista.

   

Habilitación del acceso condicional

Encontrará a su disposición instrucciones detalladas para habilitar este escenario en Configuración del acceso condicional local mediante el registro de dispositivos de Microsoft Entra.

Solucionar problemas

La casilla de reescritura sigue deshabilitada

Si la casilla para la reescritura de dispositivos no se habilita a pesar de haber seguido los pasos anteriores, los siguientes pasos le guiarán por lo que el Asistente para la instalación comprueba antes de habilitar la casilla.

En primer lugar:

• El bosque donde están los dispositivos deben tener el esquema de bosque actualizado al nivel de Windows 2012 R2 para que existan el objeto de dispositivo y los atributos asociados.
• Si el Asistente para la instalación ya se está ejecutando, algunos cambios no se detectarán. En este caso, complete el Asistente para la instalación y ejecútelo de nuevo.
• Asegúrese de que la cuenta que proporciona en el script de inicialización sea realmente la del usuario correcto usado por Active Directory Connector. Para ello, siga estos pasos:
  • En el menú Inicio, abra Servicio de sincronización.
  • Abra la pestaña Conectores .
  • Busque el conector con el tipo Dominio de Active Directory y selecciónelo.
  • En Acciones, seleccione Propiedades.
  • Vaya a Conexión al bosque de Active Directory. Compruebe que el dominio y el nombre de usuario especificados en esta pantalla coinciden con la cuenta proporcionada para el script.

Compruebe la configuración en Active Directory:

• Asegúrese de que el servicio de registro del dispositivo se encuentra en la siguiente ubicación (CN=DeviceRegistrationService,CN=Servicios de registro del dispositivo,CN=Configuración de registro del dispositivo,CN=Servicios,CN=Configuración) en el contexto de nomenclatura de la configuración.

• Compruebe que haya un solo objeto de configuración; para ello, busque en el espacio de nombres de configuración. Si hay más de uno, elimine el duplicado.

• En el objeto Servicio de registro del dispositivo, asegúrese de que exista el atributo msDS-DeviceLocation y que tenga un valor. Busque en esta ubicación y asegúrese de que exista con el tipo de objeto msDS-DeviceContainer.

• Compruebe que la cuenta usada por el conector de Active Directory tenga los permisos necesarios en el contenedor Dispositivos registrados encontrado mediante el paso anterior. Este es el permiso esperado en este contenedor:

• Compruebe que la cuenta de Active Directory tenga permisos en el objeto CN=Configuración de registro del dispositivo, CN=Servicios, CN=Configuración.

Información adicional

• Administración de riesgos con el acceso condicional
• Configuración del acceso condicional local mediante el registro de dispositivos de Microsoft Entra

Pasos siguientes

Más información sobre la Integración de las identidades locales con Microsoft Entra ID.