Configurar la inscripción de dispositivos Windows

Se aplica a

  • Windows 10
  • Windows 11

Este artículo ayuda a los administradores de TI a simplificar la inscripción de Windows para sus usuarios. Una vez que haya configurado Intune, los usuarios inscribirán los dispositivos Windows iniciando sesión con su cuenta profesional o educativa.

Como administrador de Intune, puede simplificar la inscripción de las siguientes maneras:

Hay dos factores que determinan cómo simplificar la inscripción de dispositivos Windows:

  • ¿Usa Azure Active Directory Premium? Azure AD Premium se incluye con Enterprise Mobility + Security y otros planes de licencias.
  • ¿A qué versiones de clientes Windows se inscribirán los usuarios? Los dispositivos que ejecuten Windows 11 o Windows 10 pueden inscribirse automáticamente agregando una cuenta laboral o educativa. Los dispositivos que ejecuten versiones anteriores deben inscribirse con la aplicación Portal de empresa.
Azure AD Premium Otro AD
Windows 10/11 Inscripción automática Inscripción de usuario
Versiones anteriores de Windows Inscripción de usuario Inscripción de usuario

Las organizaciones que usen la inscripción automática también pueden configurar la opción dispositivos de inscripción masiva mediante la aplicación Diseñador de configuración de Windows.

Requisitos previos para la inscripción de dispositivos

Para que un administrador pueda inscribir dispositivos en Intune y administrarlos, las licencias ya deben haberse asignado a la cuenta del administrador. Obtenga información sobre la asignación de licencias para la inscripción de dispositivos.

También puede permitir que los administradores sin licencia inicien sesión en MEM. Para obtener más información, vea Administradores sin licencia.

Compatibilidad con varios usuarios

Intune admite varios usuarios en dispositivos que:

  • Ejecuten Windows 11 o la actualización de Creator de Windows 10
  • ¿Azure Active Directory está unido a un dominio?

Cuando los usuarios estándar inician sesión con sus credenciales de Azure AD, reciben aplicaciones y directivas que se han asignado a su nombre de usuario. Solo el usuario primario del dispositivo puede usar Portal de empresa en casos de autoservicio como la instalación de aplicaciones y acciones de dispositivo (por ejemplo, quitar o restablecer). Para dispositivos Windows 10/11 compartidos que no tienen asignado un usuario primario, Portal de empresa se puede seguir usando para instalar aplicaciones disponibles.

Habilitar la inscripción automática de Windows

La inscripción automática permite a los usuarios inscribir sus dispositivos Windows en Intune. Para inscribir sus dispositivos, los usuarios agregan su cuenta profesional a sus propios dispositivos o unen dispositivos propiedad de la organización a Azure Active Directory. En segundo plano, el dispositivo se registra y se une a Azure Active Directory. Una vez registrado, el dispositivo se administra con Intune.

Requisitos previos

  • Suscripción a Azure Active Directory Premium (suscripción de prueba)
  • Suscripción a Microsoft Intune
  • Permisos de administrador global

Configurar la inscripción MDM automática

  1. Inicie sesión en Azure Portal y seleccione Azure Active Directory > Movilidad (MDM and MAM) > Microsoft Intune.

    Captura de pantalla que muestra las selecciones de Azure Portal.

  2. Configurar Ámbito de usuario de MDM. Especifique qué dispositivos de los usuarios deben administrarse mediante Microsoft Intune. Estos dispositivos Windows 10 podrán inscribirse automáticamente para que sean administrados con Microsoft Intune.

    • Ninguno: inscripción automática MDM deshabilitada

    • Algunos : seleccione los Grupos que pueden inscribir automáticamente sus dispositivos Windows 10

    • Todos: todos los usuarios pueden inscribir automáticamente sus dispositivos Windows 10

      Importante

      En el caso de los dispositivos Windows BYOD, el ámbito de usuario de MAM tiene prioridad si los ámbitos de usuario de MAM y MDM (inscripción automática de MDM) están habilitados para todos los usuarios (o los mismos grupos de usuarios). El dispositivo no se inscribirá en MDM y se aplicarán las directivas de Windows Information Protection (WIP), en el caso de que las haya configurado.

      Si la intención es habilitar la inscripción automática de dispositivos Windows BYOD en una MDM, establezca el ámbito de usuario de MDM en Todos (o bien en Algunos y especifique un grupo) y el ámbito de usuario de MAM en Ninguno (o bien en Algunos y especifique un grupo; asegúrese también de que los usuarios no sean miembros de un grupo de destino para los ámbitos de usuario de MDM y MAM).

      En el caso de los dispositivos corporativos, el ámbito de usuario de MDM tiene prioridad si los ámbitos de usuario de MDM y MAM están habilitados. El dispositivo se inscribirá de forma automática en la MDM configurada.

    Nota

    El ámbito de usuario de MDM debe establecerse en un grupo de Azure AD que contenga objetos de usuario.

    Captura de pantalla que muestra Azure Portal, donde puede configurar el ámbito de usuario de M D M.

  3. Utilice los valores predeterminados para las direcciones URL siguientes:

    • URL de los términos de uso de MDM
    • URL de detección de MDM
    • URL de cumplimiento de MDM
  4. Seleccione Guardar.

De manera predeterminada, la autenticación en dos fases no está habilitada para el servicio. Se recomienda la autenticación en dos fases al registrar un dispositivo. Para habilitar la autenticación en dos fases, configure un proveedor de autenticación en dos fases en Azure AD, así como las cuentas de usuario para la autenticación multifactor. Para obtener más información, consulte Introducción al Servidor de autenticación multifactor de Azure Active Directory.

Simplificar la inscripción de Windows sin Azure AD Premium

Para simplificar la inscripción, cree un alias de servidor de nombres de dominio (DNS, tipo de registro CNAME) que redirija las solicitudes de inscripción a los servidores de Intune. De lo contrario, los usuarios que intenten conectarse a Intune deberán escribir el nombre del servidor de Intune durante la inscripción.

Paso 1: crear CNAME (opcional)

Cree registros de recursos CNAME en DNS para el dominio de su empresa. Por ejemplo, si el sitio web de su empresa es contoso.com, debería crear un CNAME en DNS que redirija EnterpriseEnrollment.contoso.com a enterpriseenrollment-s.manage.microsoft.com.

Aunque la creación de entradas DNS CNAME es opcional, los registros CNAME facilitan la inscripción a los usuarios. Si no se encuentra ningún registro CNAME de inscripción, se pedirá a los usuarios que escriban de forma manual el nombre del servidor MDM (enrollment.manage.microsoft.com).

Tipo Nombre de host Points to TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.com 1 hora
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 hora

Si la compañía usa más de un sufijo UPN, debe crear un CNAME para cada nombre de dominio y que todos apunten a EnterpriseEnrollment-s.manage.microsoft.com. Por ejemplo, los usuarios de Contoso usan los siguientes formatos como correo electrónico o UPN:

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

El administrador de DNS de Contoso debe crear los CNAME siguientes:

Tipo Nombre de host Points to TTL
CNAME EnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 hora
CNAME EnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 hora
CNAME EnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 hora

EnterpriseEnrollment-s.manage.microsoft.com: admite un redireccionamiento al servicio Intune con reconocimiento de dominio del nombre de dominio del correo electrónico.

Los cambios en los registros DNS pueden tardar hasta 72 horas en propagarse. No se puede comprobar el cambio de DNS en Intune hasta que el registro DNS se propague.

Paso 2: comprobar CNAME (opcional)

  1. En el Centro de administración de Microsoft Endpoint Manager, elija Dispositivos > Windows > Inscripción de Windows > Validación de CNAME.
  2. En el cuadro Dominio, escriba el sitio web de empresa y, a continuación, haga clic en Probar.

Puntos de conexión adicionales que no se admiten

EnterpriseEnrollment-s.manage.microsoft.com es el FQDN preferido para la inscripción. Hay otros dos puntos de conexión que se han usado anteriormente y siguen funcionando. Sin embargo, ya no se admiten. EnterpriseEnrollment.manage.microsoft.com (sin -s) y manage.microsoft.com funcionan como el destino del servidor de detección automática, pero el usuario tendrá que pulsar Aceptar en un mensaje de confirmación. Si apunta a EnterpriseEnrollment-s.manage.microsoft.com, el usuario no tendrá que seguir otro paso de confirmación, por lo que esta es la configuración recomendada

No se admiten métodos de redireccionamiento alternativos

No se admite el uso de un método distinto de la configuración de CNAME. Por ejemplo, no se admite el uso de un servidor proxy para redirigir enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc a enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc o manage.microsoft.com/EnrollmentServer/Discovery.svc.

Indicar a los usuarios cómo inscribir dispositivos Windows

Indique a los usuarios cómo inscribir sus dispositivos Windows y qué esperar cuando se hayan incorporado.

Nota

Los usuarios finales deben tener acceso al sitio web Portal de empresa a través de Microsoft Edge para ver las aplicaciones de Windows que se hayan asignado para versiones específicas de Windows. Otros exploradores (incluidos Google Chrome, Mozilla Firefox e Internet Explorer) no admiten este tipo de filtrado.

Para obtener instrucciones de inscripción del usuario final, consulte Inscribir dispositivos Windows 10/11 e Inscribir dispositivos Windows 8.1 o Windows RT 8.1. También puede indicar a los usuarios que revisen ¿Qué información puede ver mi administrador de TI cuando inscribo mi dispositivo en Intune?.

Importante

Si no tiene habilitada la inscripción de MDM automática, pero tiene dispositivos Windows 10/11 que se han unido a Azure AD, aparecerán dos registros en la consola de Intune después de la inscripción. Esto se puede evitar si se asegura de que los usuarios con dispositivos unidos a Azure AD se dirigen a Cuentas > Obtener acceso a trabajo o escuela y usan Conectar mediante la misma cuenta.

Para más información sobre lo que debe hacer el usuario final, consulte Recursos sobre la experiencia de usuario final con Microsoft Intune.

CNAME de registro e inscripción

Azure Active Directory tiene un CNAME diferente que usa para el registro de dispositivos iOS/iPadOS, Android y Windows. El acceso condicional de Intune requiere el registro de dispositivos, que también se denomina "unirse al área de trabajo". Si piensa usar el acceso condicional, también debe configurar el CNAME EnterpriseRegistration para cada nombre de empresa que tenga.

Tipo Nombre de host Points to TTL
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 hora

Para obtener más información sobre el registro de dispositivos, consulte Administrar identidades de dispositivos con Azure Portal

Inscripción automática de Windows y registro de dispositivos

Esta sección se aplica a los clientes de la nube de la administración pública de los Estados Unidos en dispositivos que ejecutan Windows 10 o Windows 11.

Aunque la creación de entradas DNS CNAME es opcional, los registros CNAME facilitan la inscripción a los usuarios. Si no se encuentra ningún registro CNAME de inscripción, se pedirá a los usuarios que escriban de forma manual el nombre del servidor MDM (enrollment.manage.microsoft.us).

Tipo Nombre de host Points to TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.us 1 hora
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 hora

Pasos siguientes