Implementación Microsoft Entra dispositivos unidos a híbridos mediante Intune y Windows Autopilot

Importante

Microsoft recomienda implementar nuevos dispositivos como nativos de la nube mediante Microsoft Entra unión. No se recomienda implementar nuevos dispositivos como Microsoft Entra dispositivos de unión híbrida, incluso a través de Autopilot. Para obtener más información, consulte Microsoft Entra unidos frente a Microsoft Entra híbrido unido en puntos de conexión nativos de la nube: qué opción es adecuada para su organización.

Puede usar Intune y Windows Autopilot para configurar Microsoft Entra dispositivos unidos a híbridos. Para ello, siga los pasos de este artículo. Para obtener más información sobre Microsoft Entra unión híbrida, consulte Descripción de Microsoft Entra combinación híbrida y administración conjunta.

Requisitos previos

Requisitos previos para la inscripción de dispositivos

El dispositivo a inscribir debe seguir estos requisitos:

  • Usar Windows 11 o Windows 10 versión 1809 o posterior.
  • Tener acceso a Internet siguiendo los requisitos de red de Windows Autopilot .
  • Tener acceso a un controlador de dominio de Active Directory.
  • Se ha hecho ping correctamente al controlador de dominio del dominio al que está intentando unirse.
  • Si se usa Proxy, la opción de configuración de WPAD Proxy debe estar activada y configurada.
  • Realizar la configuración rápida (OOBE).
  • Use un tipo de autorización que Microsoft Entra ID admita en OOBE.

Aunque no es necesario, la configuración de Microsoft Entra unión híbrida para Servicios federados de Active Directory (AD FS) permite un proceso de registro de windows Autopilot Microsoft Entra más rápido durante las implementaciones. Los clientes federados que no admiten el uso de contraseñas y usan AD FS deben seguir los pasos del artículo Servicios de federación de Active Directory (AD FS) soporte técnico de parámetros prompt=login para configurar correctamente la experiencia de autenticación.

Requisitos previos del servidor del conector de Intune

  • Intune Connector para Active Directory debe instalarse en un equipo que ejecute Windows Server 2016 o posterior con .NET Framework versión 4.7.2 o posterior.

  • El servidor que hospeda Intune Connector debe tener acceso a Internet y a Active Directory.

    Nota:

    El servidor de Intune Connector requiere acceso de cliente de dominio estándar a los controladores de dominio, lo que incluye los requisitos de puerto RPC que necesita para comunicarse con Active Directory. Para más información, consulte los siguientes artículos:

  • Para aumentar la escalabilidad y disponibilidad, puede instalar varios conectores en el entorno. Recomendamos instalar el conector en un servidor que no esté ejecutando ningún otro conector de Intune. Cada conector debe ser capaz de crear objetos informáticos en cualquier dominio al que desea brindar soporte técnico.

  • Si su organización tiene varios dominios e instala varios conectores de Intune, se debe usar una cuenta de servicio de dominio que pueda crear objetos de equipo en todos los dominios. Este requisito se cumple incluso si tiene previsto implementar Microsoft Entra unión híbrida solo para un dominio específico. Si estos dominios son dominios que no son de confianza, debe desinstalar los conectores de los dominios en los que no desea usar Windows Autopilot. De lo contrario, con múltiples conectores en varios dominios, todos los conectores deben ser capaces de crear objetos informáticos en todos los dominios.

    La cuenta de servicio del conector debe tener los permisos siguientes:

    • Inicie sesión como servicio.
    • Debe formar parte del grupo de usuarios dominio .
    • Debe ser miembro del grupo de administradores local en el servidor de Windows que hospeda el conector.

    Importante

    Las cuentas de servicio administradas no son compatibles con la cuenta de servicio. La cuenta de servicio debe ser una cuenta de dominio.

  • El conector de Intune requiere los mismos puntos de conexión que Intune.

Configuración de la inscripción automática de MDM de Windows

  1. Inicie sesión en el portal de Azure. En el panel izquierdo, seleccione Microsoft Entra ID>Mobility (MDM y MAM)>Microsoft Intune.

  2. Asegúrese de que los usuarios que implementan Microsoft Entra dispositivos unidos mediante Intune y Windows sean miembros de un grupo incluido en el ámbito de usuario de MDM.

  3. Use los valores predeterminados de los cuadros URL de las condiciones de uso de MDM, Dirección URL de descubrimiento de MDM y Dirección URL de cumplimiento de MDM, y después haga clic en Guardar.

Aumentar el límite de cuentas informáticas en la Unidad Organizativa

El conector de Intune para Active Directory crea equipos inscritos con Autopilot en el dominio local de Active Directory. El equipo que hospeda Intune Connector debe tener los derechos para crear los objetos informáticos dentro del dominio.

En algunos dominios, los ordenadores no tienen derecho a crear equipos. Además, los dominios tienen un límite incorporado (por defecto de 10) que se aplica a todos los usuarios y equipos a los que no se les delegan derechos para crear objetos informáticos. Los derechos deben delegarse en los equipos que hospedan Intune Connector en la unidad organizativa donde se crean Microsoft Entra dispositivos unidos híbridos.

La unidad organizativa que tiene derechos para crear equipos debe coincidir con:

  • Unidad organizativa especificada en el perfil Unión a dominio.
  • Si no se ha seleccionado ningún perfil, el nombre de dominio del equipo para el dominio.
  1. Abra Usuarios y equipos de Active Directory (DSA.msc).

  2. Haga clic con el botón derecho en la unidad organizativa que se va a usar para crear Microsoft Entra equipos > unidos a híbridos Delegar control.

    Captura de pantalla del comando Delegar control.

  3. En el asistente Delegación de control, seleccione Siguiente>Agregar>Tipos de objeto.

  4. En el panel Tipos de objetos, seleccione la opción Equipos>OK.

    Captura de pantalla del panel Tipos de objeto.

  5. En el panel Seleccionar usuarios, equipos o grupos, en la casilla Introduzca los nombres de los objetos a seleccionar, introduzca el nombre del equipo en el que está instalado Connector.

    Captura de pantalla del panel Seleccionar usuarios, equipos o grupos.

  6. Seleccione Comprobar nombres para validar la entrada >Aceptar>Siguiente.

  7. Seleccione Crear una tarea personalizada para delegar>Siguiente.

  8. Seleccione Sólo los siguientes objetos en la carpeta>Objetos de equipo.

  9. Seleccione Crear objetos seleccionados en esta carpeta y Eliminar objetos seleccionados en esta carpeta.

    Captura de pantalla del panel Tipo de objeto de Active Directory.

  10. Seleccione Siguiente.

  11. En Permisos, active la casilla Control total. Esta acción selecciona todas las otras opciones.

    Captura de pantalla del panel Permisos.

  12. Seleccione Siguiente>Finalizar.

Instalación del conector de Intune

Antes de comenzar la instalación, asegúrese de que se cumplen todos los requisitos previos del servidor del conector de Intune .

Pasos de instalación

  1. Desactive la configuración de seguridad mejorada de Internet Explorer. De manera predeterminada, Windows Server tiene activada la configuración de seguridad mejorada de Internet Explorer. Si no puede iniciar sesión en Intune Connector para Active Directory, desactive La configuración de seguridad mejorada de Internet Explorer para el administrador. Para desactivar la configuración de seguridad mejorada de Internet Explorer:

    1. En el servidor donde se instala Intune Connector, abra Administrador del servidor.
    2. En el panel izquierdo de Administrador del servidor, seleccione Servidor local.
    3. En el panel PROPIEDADES derecho de Administrador del servidor, seleccione el vínculo Activado o Desactivado junto a Configuración de seguridad mejorada de IE.
    4. En la ventana Configuración de seguridad mejorada de Internet Explorer , seleccione Desactivado en Administradores:y, a continuación, seleccione Aceptar.
  2. En el centro de administración de Microsoft Intune, seleccione Dispositivos>Windows>Enrollment>Intune Connector para Agregar de Active Directory>.

  3. Siga las instrucciones para descargar el conector.

  4. Abra el archivo de instalación del conector que ha descargado, ODJConnectorBootstrapper.exe, para instalar el conector.

  5. Al final de la instalación, seleccione Configurar ahora.

  6. Seleccione Iniciar sesión.

  7. Escriba las credenciales del rol de administrador global o administrador de Intune. La cuenta de usuario debe tener una licencia de Intune asignada.

  8. Vaya a Dispositivos>Windows>Inscripción de Windows>Conector de Intune para Active Directory y confirme que el estado de la conexión es Activo.

Nota:

  • El rol de administrador global es un requisito temporal en el momento de la instalación.
  • Después de iniciar sesión en el conector, puede tardar varios minutos en aparecer en el centro de administración de Microsoft Intune. Solo aparece si se puede comunicar correctamente con el servicio Intune.
  • Los conectores inactivos de Intune siguen apareciendo en la página Conectores de Intune y se limpiarán automáticamente después de 30 días.

Una vez instalado Intune Connector, iniciará el registro en el Visor de eventos en la ruta de acceso Registros de aplicaciones y servicios>de Microsoft>Intune>ODJConnectorService. En esta ruta de acceso, se pueden encontrar Administración y registros operativos.

Nota:

Intune Connector inició sesión originalmente en la Visor de eventos directamente en Registros de aplicaciones y servicios en un registro denominado Servicio del conector de ODJ. Sin embargo, el registro de Intune Connector se ha movido a la ruta de acceso Aplicaciones y servicios Registros> deMicrosoft>Intune>ODJConnectorService. Si encuentra que el registro del servicio del conector de ODJ en la ubicación original está vacío o no está actualizado, compruebe en su lugar la nueva ubicación de ruta de acceso.

Establecer la configuración del proxy web

Si tiene un proxy web en el entorno de red, asegúrese de que el conector de Intune para Active Directory funcione correctamente; para ello, vea Trabajo con servidores proxy locales existentes.

Crear un grupo de dispositivos

  1. En el centro de administración de Microsoft Intune, seleccione Grupos>Nuevo grupo.

  2. En el panel Grupo, elija las siguientes opciones:

    1. Para Tipo de grupo, seleccione Seguridad.
    2. Introduzca un Nombre de grupo y una Descripción del grupo.
    3. Seleccione un Tipo de pertenencia.
  3. Si ha seleccionado Dispositivos dinámicos para el tipo de afiliación, en el panel Grupo, seleccione Miembros de dispositivos dinámicos.

  4. Seleccione Editar en el cuadro Sintaxis de regla y escriba una de las siguientes líneas de código:

    • Para crear un grupo que incluya todos los dispositivos Autopilot, introduzca (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]").
    • El campo Etiqueta de grupo de Intune se asigna al atributo OrderID en dispositivos Microsoft Entra. Si desea crear un grupo que incluya todos sus dispositivos de Autopilot con una etiqueta de grupo específica (OrderID), escriba: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
    • Para crear un grupo que incluya todos los dispositivos Autopilot con un identificador de pedido de compra específico, escriba (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").
  5. Seleccione Guardar>Crear.

Registro de los dispositivos Autopilot

Seleccione una de las formas siguientes de inscribir los dispositivos Autopilot.

Registro de dispositivos Autopilot ya inscritos

  1. Cree un perfil de implementación de Autopilot con la opción Convertir todos los dispositivos de destino en Autopilot establecida en .

  2. Asigne el perfil a un grupo que contenga los miembros que quiere registrar de forma automática en Autopilot.

Para más información, consulte Crear un perfil de implementación de Autopilot.

Registro de dispositivos Autopilot no inscritos

Si los dispositivos aún no están inscritos, puede registrarlos manualmente. Para obtener más información, consulte Registro manual.

Registro de dispositivos de un OEM

Si va a comprar nuevos dispositivos, algunos OEM pueden encargarse de registrar los dispositivos. Para obtener más información, consulte registro OEM.

Visualización del dispositivo Autopilot registrado

Antes de que se inscriban en Intune, los dispositivos registrados e Autopilot se muestran en tres lugares (con nombres establecidos con sus números de serie):

  • El panel Dispositivos Autopilot de Intune en Azure Portal. Seleccione Inscripción de dispositivos>Inscripción de Windows>Dispositivos.
  • El panel dispositivos Microsoft Entra en Intune en el Azure Portal. Seleccione Dispositivos>Microsoft Entra Dispositivos.
  • En el panel Microsoft Entra Todos los dispositivos de Microsoft Entra ID en el Azure Portal, seleccione Dispositivos>todos los dispositivos.

Después de inscribir los dispositivos Autopilot, se muestran en cuatro lugares:

  • El panel Dispositivos Autopilot de Intune en Azure Portal. Seleccione Inscripción de dispositivos>Inscripción de Windows>Dispositivos.
  • El panel dispositivos Microsoft Entra en Intune en el Azure Portal. Seleccione Dispositivos>Microsoft Entra Dispositivos.
  • El panel Microsoft Entra Todos los dispositivos de Microsoft Entra ID en el Azure Portal. Seleccione Dispositivos>Todos los dispositivos.
  • El panel Todos los dispositivos de Intune en Azure Portal. Seleccione Dispositivos>Todos los dispositivos.

Una vez que se hayan inscrito los dispositivos Autopilot, sus nombres se convierten en el nombre de host del dispositivo. De forma predeterminada, el nombre de host comienza con DESKTOP-.

Un objeto de dispositivo se precrea en Microsoft Entra ID una vez que se registra un dispositivo en Autopilot. Cuando un dispositivo pasa por una implementación híbrida Microsoft Entra, por diseño, se crea otro objeto de dispositivo que da como resultado entradas duplicadas.

VPN BYO

Los siguientes clientes VPN se prueban y validan:

Clientes VPN

  • Cliente VPN Windows integrado
  • Cisco AnyConnect (cliente Win32)
  • Pulse Secure (cliente Win32)
  • GlobalProtect (cliente Win32)
  • Punto de control (cliente Win32)
  • Citrix NetScaler (cliente Win32)
  • SonicWall (cliente de Win32)
  • FortiClient VPN (cliente Win32)

Nota:

Esta lista de clientes VPN no es una lista completa de todos los clientes VPN que funcionan con Autopilot. Póngase en contacto con el proveedor de VPN correspondiente en relación con la compatibilidad y compatibilidad con Autopilot o con respecto a cualquier problema con el uso de una solución VPN con Autopilot.

Clientes VPN no admitidos

Se sabe que las siguientes soluciones VPN no funcionan con Autopilot y, por lo tanto, no se admiten para su uso con Autopilot:

  • Complementos VPN basados en UWP
  • Cualquier cosa que requiera un certificado de usuario
  • DirectAccess

Nota:

Al usar VPN BYO, debe seleccionar para la opción Omitir la comprobación de conectividad de AD en el perfil de implementación de Windows Autopilot. Always-On VPN no deben requerir esta opción, ya que se conecta automáticamente.

Creación y asignación de un perfil de implementación de Autopilot

Los perfiles de implementación de Autopilot sirven para configurar los dispositivos Autopilot.

  1. En el centro de administración de Microsoft Intune, seleccione Dispositivos Windowsenrollment Deployment Profiles Create Profile (Dispositivos >windows>enrollment>Deployment Profiles>Create Profile).

  2. En la página de los Datos básicos, escriba un Nombre y, opcionalmente, una Descripción.

  3. Si desea que todos los dispositivos de los grupos asignados se registren automáticamente en Autopilot, establezca Convertir todos los dispositivos de destino en Autopilot en . Todos los dispositivos corporativos que no son autopilot en grupos asignados se registran en el servicio de implementación de Autopilot. Los dispositivos de propiedad personal no están registrados en Autopilot. Permita un plazo de 48 horas para que se procese el registro. Cuando el dispositivo se anula la inscripción y el restablecimiento, Autopilot lo inscribe de nuevo. Una vez registrado un dispositivo de esta manera, deshabilitar esta configuración o quitar la asignación de perfil no quitará el dispositivo del servicio de implementación de Autopilot. Deberá quitar el dispositivo directamente.

  4. Seleccione Siguiente.

  5. En la página Configuración rápida (OOBE), para Modo de implementación, seleccione Controlado por el usuario.

  6. En el cuadro Unirse a Microsoft Entra ID como, seleccione Microsoft Entra unido a híbridos.

  7. Si va a implementar dispositivos fuera de la red de la organización usando la compatibilidad con VPN, establezca la opción Omitir comprobación de conectividad de dominio en . Para obtener más información, consulte Modo controlado por el usuario para Microsoft Entra unión híbrida con compatibilidad con VPN.

  8. Configure las opciones restantes en la página Configuración rápida (OOBE), según sea necesario.

  9. Seleccione Siguiente.

  10. En la página de Etiquetas de ámbito, seleccione las Etiquetas de ámbito para este perfil.

  11. Seleccione Siguiente.

  12. En la página Asignaciones, seleccione Seleccionar grupos para incluir> la búsqueda y seleccione el grupo > de dispositivos Seleccionar.

  13. Seleccione Siguiente>Crear.

Nota:

Intune comprueba periódicamente si hay nuevos dispositivos en los grupos asignados y, a continuación, inicia el proceso de asignación de perfiles a esos dispositivos. Debido a varios factores diferentes implicados en el proceso de asignación de perfiles de Autopilot, un tiempo estimado para la asignación puede variar de un escenario a otro. Estos factores pueden incluir grupos de Microsoft Entra, reglas de pertenencia, hash de un dispositivo, servicio Intune y Autopilot y conexión a Internet. El tiempo de asignación varía en función de todos los factores y variables implicados en un escenario específico.

(Opcional) Activación de la página de estado de inscripción

  1. En el centro de administración de Microsoft Intune, seleccione DispositivosPáginade estado de inscripción> deWindowsdeWindows>>.

  2. En el panel Página de estado de inscripción, seleccione Predeterminado>Configuración.

  3. En el cuadro Mostrar el progreso de la instalación de la aplicación y el perfil, haga clic en .

  4. Configure las demás opciones según sea necesario.

  5. Seleccione Guardar.

Creación y asignación de un perfil Unión a un dominio

  1. En el centro de administración de Microsoft Intune, seleccione Perfilesde configuración de>dispositivos>Crear perfil.

  2. Escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el nuevo perfil.
    • Descripción: escriba una descripción para el perfil.
    • Plataforma: seleccione Windows 10 y posteriores.
    • Tipo de perfil: Seleccione Plantillas, elija el nombre de la plantilla Combinación de dominio y seleccione Crear.
  3. Escriba el nombre y la descripción y seleccione Siguiente.

  4. Proporcione un prefijo de nombre de equipo y un nombre de dominio.

  5. (Opcional) Proporcione una unidad organizativa (OU) en Formato de DN. Las opciones incluyen:

    • Proporcione una unidad organizativa en la que se delega el control en el dispositivo Windows 2016 que ejecuta Intune Connector.
    • Proporcione una unidad organizativa en la que el control se delega en los equipos raíz de la Active Directory local.
    • Si lo deja en blanco, el objeto de equipo se crea en el contenedor predeterminado de Active Directory (CN=Computers si nunca lo ha cambiado).

    Estos son algunos ejemplos válidos:

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Estos son algunos ejemplos que no son válidos:

    • CN=Computers,DC=contoso,DC=com (no puede especificar un contenedor; en su lugar, deje el valor en blanco para usar el valor predeterminado para el dominio).
    • OU=Mine (debe especificar el dominio a través de los DC= atributos)

    Nota:

    No utilice comillas alrededor del valor de Unidad organizativa.

  6. Haga clic en Aceptar>Crear. El perfil se crea y se muestra en la lista.

  7. Asignar un perfil de dispositivo al mismo grupo utilizado en el paso Crear un grupo de dispositivos. Se pueden usar diferentes grupos si es necesario unir dispositivos a diferentes dominios u OU.

Nota:

La funcionalidad de nomenclatura de Windows Autopilot para Microsoft Entra unión híbrida no admite variables como %SERIAL%. Solo admite prefijos para el nombre del equipo.

Desinstalación del conector de ODJ

El conector ODJ se instala localmente en un equipo a través de un archivo ejecutable. Si el conector ODJ necesita desinstalarse de un equipo, también debe realizarse localmente en el equipo. El conector de ODJ no se puede quitar a través del portal de Intune ni a través de una llamada a graph API.

Para desinstalar el conector ODJ del equipo, siga estos pasos:

  1. Inicie sesión en el equipo que hospeda el conector ODJ.
  2. Haga clic con el botón derecho en el menú Inicio y seleccione Configuración.
  3. En la ventana Configuración de Windows , seleccione Aplicaciones.
  4. En Aplicaciones & características, busque y seleccione Intune Connector para Active Directory.
  5. En Intune Connector para Active Directory, seleccione el botón Desinstalar y, a continuación, vuelva a seleccionar el botón Desinstalar .
  6. El conector ODJ continúa con la desinstalación.

Siguientes pasos

Después de configurar Windows Autopilot, infórmese sobre cómo administrar esos dispositivos. Para más información, vea ¿Qué es la administración de dispositivos de Microsoft Intune?.