Implantar dispositivos híbridos unidos a Azure AD mediante Intune y Windows Autopilot

Se aplica a

  • Windows 11
  • Windows 10

Puede usar Intune y Windows Autopilot para configurar dispositivos híbridos unidos a Azure Active Directory (Azure AD). Para ello, siga los pasos de este artículo. Para obtener más información sobre la unión híbrida de Azure AD, consulte Comprensión de la unión y co administración de Azure AD híbrido.

Requisitos previos

Configure correctamente los dispositivos unidos a Azure AD híbrido. Asegúrese de comprobar el registro del dispositivo mediante el cmdlet Get-MsolDevice.

El dispositivo a inscribir debe seguir estos requisitos:

  • Usar Windows 11 o Windows 10 versión 1809 o posterior.
  • Tener acceso a Internet siguiendo los requisitos de red de Windows Autopilot .
  • Tener acceso a un controlador de dominio de Active Directory. El dispositivo debe estar conectado a la red de la organización para que pueda:
    • Resolver los registros DNS para el dominio AD y el controlador de dominio AD.
    • Comunicarse con el controlador de dominio para autenticar al usuario.
  • Se ha hecho ping correctamente al controlador de dominio del dominio al que está intentando unirse.
  • Si se usa Proxy, la opción de configuración de WPAD Proxy debe estar activada y configurada.
  • Realizar la configuración rápida (OOBE).
  • Usar un tipo de autorización que Azure Active Directory admita en OOBE.

Configurar la inscripción automática para Windows

  1. Inicie sesión en Azure, en el panel izquierdo, seleccione Azure Active Directory > Mobility (MDM y MAM) > Microsoft Intune.

  2. Asegúrese de que los usuarios que implementan dispositivos unidos a Azure AD mediante Intune y Windows son miembros de un grupo incluido en el ámbito de usuarios de MDM.

    El panel de configuración de Mobility (MDM y MAM).

  3. Use los valores predeterminados de los cuadros URL de las condiciones de uso de MDM, Dirección URL de descubrimiento de MDM y Dirección URL de cumplimiento de MDM, y después haga clic en Guardar.

Aumentar el límite de cuentas informáticas en la Unidad Organizativa

El conector de Intune para Active Directory crea equipos inscritos con Autopilot en el dominio local de Active Directory. El equipo que hospeda Intune Connector debe tener los derechos para crear los objetos informáticos dentro del dominio.

En algunos dominios, los ordenadores no tienen derecho a crear equipos. Además, los dominios tienen un límite incorporado (por defecto de 10) que se aplica a todos los usuarios y equipos a los que no se les delegan derechos para crear objetos informáticos. Los derechos deben delegarse en los equipos que hospedan el Conector Intune en la unidad organizativa donde se crean los dispositivos híbridos unidos a Azure AD.

La unidad organizativa a la que se conceden los derechos para crear equipos debe coincidir con:

  • la unidad organizativa especificada en el perfil Unión a dominio.
  • Si no se ha seleccionado ningún perfil, el nombre de dominio del equipo para el dominio.
  1. Abra Usuarios y equipos de Active Directory (DSA.msc).

  2. Haga clic con el botón derecho del ratón en la unidad organizativa que se usará para crear equipos híbridos unidos a Azure AD > Delegar el control.

    El comando de Delegar el control.

  3. En el asistente Delegación de control, seleccione Siguiente > Agregar > Tipos de objeto.

  4. En el panel Tipos de objetos, seleccione la opción Equipos > OK.

    El panel Tipos de objeto.

  5. En el panel Seleccionar usuarios, equipos o grupos, en la casilla Introduzca los nombres de los objetos a seleccionar, introduzca el nombre del equipo en el que está instalado Connector.

    El panel Seleccionar usuarios, equipos o grupos.

  6. Seleccione Comprobar nombres para validar la entrada > Aceptar > Siguiente.

  7. Seleccione Crear una tarea personalizada para delegar > Siguiente.

  8. Seleccione Sólo los siguientes objetos en la carpeta > Objetos de equipo.

  9. Seleccione Crear objetos seleccionados en esta carpeta y Eliminar objetos seleccionados en esta carpeta.

    El panel de tipos de objetos de Active Directory.

  10. Seleccione Siguiente.

  11. En Permisos, active la casilla Control total. Esta acción selecciona todas las otras opciones.

    El panel Permisos.

  12. Seleccione Siguiente > Finalizar.

Instalación del conector de Intune

El conector de Intune para Active Directory se debe instalar en un equipo que ejecute Windows Server 2016 o una versión posterior. El equipo también debe tener acceso a Internet y a su Active Directory. Para aumentar la escalabilidad y disponibilidad, puede instalar varios conectores en el entorno. Recomendamos instalar el conector en un servidor que no esté ejecutando ningún otro conector de Intune. Cada conector debe ser capaz de crear objetos informáticos en cualquier dominio al que desea brindar soporte técnico.

Nota

Si su organización tiene varios dominios e instala varios conectores de Intune, debe usar una cuenta de servicio que sea capaz de crear objetos informáticos en todos los dominios, incluso si planea implementar la unión híbrida de Azure AD sólo para un dominio específico. Si se trata de dominios que no son de confianza, debe desinstalar los conectores de los dominios en los que no desea usar Windows Autopilot. De lo contrario, con múltiples conectores en varios dominios, todos los conectores deben ser capaces de crear objetos informáticos en todos los dominios.

El conector de Intune requiere los mismos puntos de conexión que Intune.

  1. Desactivación de la configuración de seguridad mejorada de Internet Explorer. De manera predeterminada, Windows Server tiene activada la configuración de seguridad mejorada de Internet Explorer. Si no puede iniciar sesión en Intune Connector para Active Directory, desactive la configuración de seguridad mejorada de IE para el administrador. Procedimiento para desactivar la configuración de seguridad mejorada de Internet Explorer.
  2. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > Windows > Inscripción de Windows > Conector de Intune para Active Directory > Agregar.
  3. Siga las instrucciones para descargar el conector.
  4. Abra el archivo de instalación del conector que ha descargado, ODJConnectorBootstrapper.exe, para instalar el conector.
  5. Al final del programa de instalación, haga clic en Configurar.
  6. Seleccione Iniciar sesión.
  7. Escriba las credenciales del rol de administrador global o administrador de Intune. La cuenta de usuario debe tener una licencia de Intune asignada.
  8. Vaya a Dispositivos > Windows > Inscripción de Windows > Conector de Intune para Active Directory y confirme que el estado de la conexión es Activo.

Nota

El rol de administrador global es un requisito temporal en el momento de la instalación.

Nota

Después de iniciar sesión en el conector, es posible que tarde un par de minutos en aparecer en el Centro de administración de Microsoft Endpoint Manager. Solo aparece si se puede comunicar correctamente con el servicio Intune.

Nota

Los conectores de Intune inactivos seguirán apareciendo en la hoja de conectores de Intune y se limpiarán automáticamente después de 30 días.

Establecer la configuración del proxy web

Si tiene un proxy web en el entorno de red, asegúrese de que el conector de Intune para Active Directory funcione correctamente; para ello, vea Trabajo con servidores proxy locales existentes.

Crear un grupo de dispositivos

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Grupos > Nuevo grupo.

  2. En el panel Grupo, elija las siguientes opciones:

    1. Para Tipo de grupo, seleccione Seguridad.
    2. Introduzca un Nombre de grupo y una Descripción del grupo.
    3. Seleccione un Tipo de pertenencia.
  3. Si ha seleccionado Dispositivos dinámicos para el tipo de afiliación, en el panel Grupo, seleccione Miembros de dispositivos dinámicos.

  4. Seleccione Editar en el cuadro Sintaxis de regla y escriba una de las siguientes líneas de código:

    • Para crear un grupo que incluya todos los dispositivos Autopilot, introduzca (device.devicePhysicalIDs -any _ -contains "[ZTDId]").
    • El campo Etiqueta de grupo de Intune se asigna al atributo OrderID en los dispositivos de Azure AD. Si desea crear un grupo que incluya todos sus dispositivos de Autopilot con una etiqueta de grupo específica (OrderID), escriba: (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
    • Para crear un grupo que incluya todos los dispositivos Autopilot con un identificador de pedido de compra específico, escriba (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").
  5. Seleccione Guardar > Crear.

Registro de los dispositivos Autopilot

Seleccione una de las formas siguientes de inscribir los dispositivos Autopilot.

Registro de dispositivos Autopilot ya inscritos

  1. Crear un perfil de implementación de Autopilot con Convertir todos los dispositivos de destino a Autopilot establecido en .
  2. Asigne el perfil a un grupo que contenga los miembros que quiere registrar de forma automática en Autopilot.

Para más información, consulte Crear un perfil de implementación de Autopilot.

Registro de dispositivos Autopilot no inscritos

Si los dispositivos aún no están inscritos, puede registrarlos manualmente. Para obtener más información, consulte Registro manual.

Registro de dispositivos de un OEM

Si va a comprar nuevos dispositivos, algunos OEM pueden encargarse de registrar los dispositivos. Para obtener más información, consulte registro OEM.

Antes de que se inscriban en Intune, los dispositivos registrados e Autopilot se muestran en tres lugares (con nombres establecidos con sus números de serie):

  • El panel Dispositivos Autopilot de Intune en Azure Portal. Seleccione Inscripción de dispositivos > Inscripción de Windows > Dispositivos.
  • El panel Dispositivos de Azure AD de Intune en Azure Portal. Seleccione Dispositivos > Dispositivos de Azure AD.
  • El panel Todos los dispositivos de Azure AD en Azure Active Directory en Azure Portal al seleccionar Dispositivos > Todos los dispositivos.

Después de inscribir los dispositivos Autopilot, se muestran en cuatro lugares:

  • El panel Dispositivos Autopilot de Intune en Azure Portal. Seleccione Inscripción de dispositivos > Inscripción de Windows > Dispositivos.
  • El panel Dispositivos de Azure AD de Intune en Azure Portal. Seleccione Dispositivos > Dispositivos de Azure AD.
  • El panel Todos los dispositivos de Azure AD en Azure Active Directory en Azure Portal. Seleccione Dispositivos > Todos los dispositivos.
  • El panel Todos los dispositivos de Intune en Azure Portal. Seleccione Dispositivos > Todos los dispositivos.

Una vez que se hayan inscrito los dispositivos Autopilot, sus nombres se convierten en el nombre de host del dispositivo. De forma predeterminada, el nombre de host comienza con DESKTOP-. Un objeto de dispositivo se crea previamente en Azure AD una vez que se registra un dispositivo en Autopilot. Cuando un dispositivo pasa por una implementación de Azure AD híbrida, por diseño, se crea otro objeto de dispositivo que da como resultado entradas duplicadas.

VPN BYO compatibles

Esta es una lista de clientes VPN que se sabe que han sido probados y validados:

Clientes compatibles:

  • Cliente VPN Windows integrado
  • Cisco AnyConnect (cliente Win32)
  • Pulse Secure (cliente Win32)
  • GlobalProtect (cliente Win32)
  • Punto de control (cliente Win32)
  • Citrix NetScaler (cliente Win32)
  • SonicWall (cliente de Win32)
  • FortiClient VPN (cliente Win32)

Clientes no admitidos:

  • Complementos VPN basados en UWP
  • Cualquier cosa que requiera un certificado de usuario
  • DirectAccess

Creación y asignación de un perfil de implementación de Autopilot

Los perfiles de implementación de Autopilot sirven para configurar los dispositivos Autopilot.

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > Windows > Inscripción de Windows > Perfiles de implementación > Crear perfil.
  2. En la página de los Datos básicos, escriba un Nombre y, opcionalmente, una Descripción.
  3. Si desea que todos los dispositivos de los grupos asignados se conviertan automáticamente en Autopilot, establezca Convertir todos los dispositivos dirigidos en Autopilot en . Todos los dispositivos propiedad de la empresa que no sean Autopilot en grupos asignados se registrarán con el servicio de implementación de Autopilot. Los dispositivos de propiedad personal no se convertirán a Autopilot. Permita un plazo de 48 horas para que se procese el registro. Cuando se anule la inscripción del dispositivo y este se restablezca, Autopilot lo inscribirá. Una vez registrado un dispositivo de este modo, si deshabilita esta opción o quitar la asignación de perfil, el dispositivo no se quitará desde el servicio de implementación de Autopilot, Deberá quitar el dispositivo directamente.
  4. Seleccione Siguiente.
  5. En la página Configuración rápida (OOBE), para Modo de implementación, seleccione Controlado por el usuario.
  6. En el cuadro Unirse a Azure AD como, seleccione Unidos a Azure AD híbrido.
  7. Si va a implementar dispositivos fuera de la red de la organización usando la compatibilidad con VPN, establezca la opción Omitir comprobación de conectividad de dominio en . Para obtener más información, consulte Modo dirigido por el usuario para la unión híbrida de Azure Active Directory con compatibilidad de VPN.
  8. Configure las opciones restantes en la página Configuración rápida (OOBE), según sea necesario.
  9. Seleccione Siguiente.
  10. En la página de Etiquetas de ámbito, seleccione las Etiquetas de ámbito para este perfil.
  11. Seleccione Siguiente.
  12. En la página Asignaciones, seleccione Seleccionar grupos para incluir > busque y seleccione el grupo de dispositivos > Seleccionar.
  13. Seleccione Siguiente > Crear.

El estado del perfil del dispositivo tarda unos 15 minutos en cambiar de No asignado a Asignado y, finalmente, a Asignado.

(Opcional) Activación de la página de estado de inscripción

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > Windows > Inscripción de Windows > Página de estado de la inscripción.
  2. En el panel Página de estado de inscripción, seleccione Predeterminado > Configuración.
  3. En el cuadro Mostrar el progreso de la instalación de la aplicación y el perfil, haga clic en .
  4. Configure las demás opciones según sea necesario.
  5. Seleccione Guardar.

Creación y asignación de un perfil Unión a un dominio

  1. En el Centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos > Perfiles de configuración > Crear perfil.

  2. Escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el nuevo perfil.
    • Descripción: escriba una descripción para el perfil.
    • Plataforma: seleccione Windows 10 y posteriores.
    • Tipo de perfil: Seleccione Plantillas, elija el nombre de la plantilla Combinación de dominio y seleccione Crear.
  3. Escriba el nombre y la descripción y seleccione Siguiente.

  4. Proporcione un prefijo de nombre de equipo y un nombre de dominio.

  5. (Opcional) Proporcione una unidad organizativa (OU) en Formato de DN. Sus opciones incluyen:

    • Proporcionar una unidad organizativa en la que haya delegado el control en el dispositivo de Windows 2016 que ejecuta el conector de Intune.
    • Proporcionar una unidad organizativa en la que haya delegado el control a los equipos raíz de Active Directory local.
    • Si deja este valor en blanco, el objeto de equipo se creará en el contenedor predeterminado de Active Directory (CN=Computers si nunca lo ha cambiado).

    Estos son algunos ejemplos válidos:

    • OU=Sub OU,OU=TopLevel OU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Estos son algunos ejemplos que no son válidos:

    • CN=Ordenadores,DC=contoso,DC=com (no puede especificar un contenedor, en su lugar deje el valor en blanco para utilizar el valor predeterminado del dominio)
    • OU=Mine (debe especificar el dominio mediante los DC=atributos)

    Nota

    No utilice comillas alrededor del valor de Unidad organizativa.

  6. Haga clic en Aceptar > Crear. El perfil se crea y se muestra en la lista.

  7. Asignar un perfil de dispositivo al mismo grupo utilizado en el paso Crear un grupo de dispositivos. Se pueden usar diferentes grupos si es necesario unir dispositivos a diferentes dominios u OU.

Nota

Las funcionalidades de nomenclatura de Windows Autopilot para la unión a Azure AD híbrido no son compatibles con variables como %SERIAL% y solo admiten prefijos para el nombre del equipo.

Siguientes pasos

Después de configurar Windows Autopilot, infórmese sobre cómo administrar esos dispositivos. Para más información, vea ¿Qué es la administración de dispositivos de Microsoft Intune?.