La unión a Microsoft Entra híbrido se implementa de forma selectiva

  • Artículo

Puede validar su planificación y los requisitos previos para los dispositivos de unión a Microsoft Entra híbrido mediante una implementación específica antes de habilitarla en toda la organización. En este artículo se explica cómo realizar una implementación específica de la unión a Microsoft Entra híbrido.

Precaución

Tenga cuidado al modificar valores en Active Directory. Realizar cambios en un entorno establecido podría tener consecuencias imprevistas.

Implementación selectiva de la unión a Microsoft Entra híbrido en dispositivos Windows actuales

Para los dispositivos que ejecutan Windows 10, la versión mínima admitida es Windows 10 (versión 1607) para realizar la unión híbrida. Como procedimiento recomendado, actualice a la versión más reciente de Windows 10 u 11. Si necesita compatibilidad con sistemas operativos anteriores, consulte la sección Compatibilidad con dispositivos de nivel inferior.

Para realizar una implementación específica de la unión a Microsoft Entra híbrido en dispositivos Windows actuales, es necesario:

  1. Borre la entrada punto de conexión de servicio (SCP) de Windows Server Active Directory si existe.
  2. Configurar el Registro del cliente de SCP en los equipos unidos a un dominio con un objeto de directiva de grupo (GPO).
  3. Si utiliza Servicios de federación de Active Directory (AD FS), también debe configurar el Registro del cliente de SCP en el servidor de AD FS mediante un GPO.
  4. También podría ser necesario personalizar las opciones de sincronización en Microsoft Entra Connect para habilitar la sincronización de dispositivos.

Sugerencia

El SCP se puede configurar localmente en el Registro del dispositivo en determinadas situaciones. Si el dispositivo encuentra un valor en el Registro, usa esa configuración; de lo contrario, consulta el directorio del SCP e intenta unirse a híbridos.

Borrar el SCP de Microsoft Windows Server Active Directory

Use el Editor de interfaces de Active Directory Services (ADSI Edit) para modificar los objetos SCP en Microsoft Windows Server Active Directory.

  1. Inicie la aplicación de escritorio ADSI Edit desde una estación de trabajo administrativa o un controlador de dominio como administrador de Enterprise.
  2. Conéctese al contexto de nomenclatura de configuración del dominio.
  3. Vaya a CN = Configuración, DC = contoso, DC = com>CN = Servicios>CN = Configuración del registro del dispositivo.
  4. Haga clic con el botón derecho en el objeto hoja CN=62a0ff2e-97b9-4513-943f-0d221bd30080 y seleccione Propiedades.
    1. Seleccione palabras clave en la ventana del Editor de atributos y seleccione Editar.
    2. Seleccione los valores de azureADId y azureADName (de uno en uno) y seleccione Quitar.
  5. Cierre ADSI Edit.

Configuración del registro del cliente de SCP

Use el ejemplo siguiente para crear un objeto de directiva de grupo (GPO) y configurar una entrada de SCP en el registro de los dispositivos para implementar una configuración del registro.

  1. Abra una consola de administración de directivas de grupo y cree un nuevo objeto de directiva de grupo en el dominio.
    1. Asigne un nombre al GPO recién creado (por ejemplo, ClientSideSCP).
  2. Edite el GPO y busque la ruta de acceso siguiente: Configuración del equipo>Preferencias>Configuración de Windows>Registro.
  3. Haga clic con el botón derecho en el Registro y seleccione Nuevo>Elemento del registro.
    1. En la pestaña General, configure lo siguiente:
      1. Acción: Actualizar.
      2. Subárbol: HKEY_LOCAL_MACHINE.
      3. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nombre del valor: TenantId.
      5. Tipo de valor: REG_SZ.
      6. Datos de valor: el identificador único global (GUID) o Id. de inquilino de su inquilino Microsoft Entra, que se puede encontrar en Identidad>Descripción>Propiedades>Id. de inquilino.
    2. Seleccione Aceptar.
  4. Haga clic con el botón derecho en el Registro y seleccione Nuevo>Elemento del registro.
    1. En la pestaña General, configure lo siguiente:
      1. Acción: Actualizar.
      2. Subárbol: HKEY_LOCAL_MACHINE.
      3. Ruta de acceso de la clave: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nombre del valor: TenantName.
      5. Tipo de valor: REG_SZ.
      6. Datos del valor: el nombre de dominio comprobado si usa un entorno federado como AD FS. El nombre de dominio comprobado o el nombre de dominio de onmicrosoft.com, por ejemplo, contoso.onmicrosoft.com si usa un entorno administrado.
    2. Seleccione Aceptar.
  5. Cierre el editor para el GPO recién creado.
  6. Vincule el GPO recién creado a la unidad organizativa (OU) correcta que contiene equipos unidos a un dominio que pertenecen a la población de lanzamiento controlado.

Configuración de AD FS

Si su Microsoft Entra ID está federado con AD FS, primero necesita configurar SCP del lado del cliente usando las instrucciones mencionadas anteriormente vinculando el GPO a sus servidores AD FS. El objeto SCP define el origen de autoridad de los objetos del dispositivo. Puede ser local o Microsoft Entra ID. Cuando se configura SCP del lado del cliente para AD FS, el origen de los objetos de dispositivo se establece como Microsoft Entra ID.

Nota:

Si no pudo configurar SCP en el cliente en los servidores de AD FS, el origen de las identidades de los dispositivos se considerará local. AD FS comenzará a eliminar los objetos de dispositivo del directorio local después del período estipulado definido en el atributo "MaximumInactiveDays" del registro de dispositivos de AD FS. Los objetos del registro de dispositivos de AD FS se pueden encontrar con el cmdlet Get-AdfsDeviceRegistration.

Compatibilidad con dispositivos de nivel inferior

Para registrar dispositivos de nivel inferior de Windows, las organizaciones deben instalar Microsoft Workplace Join para equipos sin Windows 10 que se encuentra disponible en el Centro de descarga de Microsoft.

El paquete se puede implementar mediante un sistema de distribución de software como Microsoft Configuration Manager. El paquete admite las opciones de instalación silenciosa estándar mediante el parámetro quiet. La rama actual de Configuration Manager ofrece ventajas adicionales sobre las versiones anteriores, como la posibilidad de realizar el seguimiento de los registros completados.

El instalador crea una tarea programada en el sistema que se ejecuta en el contexto del usuario. La tarea se desencadena cuando el usuario inicia sesión en Windows. La tarea une silenciosamente el dispositivo con Microsoft Entra ID con las credenciales de usuario después de autenticarse con Microsoft Entra ID.

Para controlar el registro de dispositivos, debe implementar el paquete de Windows Installer en el grupo seleccionado de dispositivos Windows de nivel inferior.

Nota:

Si no se configura un SCP en Windows Server Active Directory de Microsoft, debe seguir el mismo enfoque tal como se describe en Configuración del registro del cliente de SCP en los equipos unidos a un dominio con un objeto de directiva de grupo (GPO).

¿Por qué un dispositivo puede estar en un estado pendiente?

Cuando configura una tarea de unión a Microsoft Entra híbrido en Microsoft Entra Connect Sync para sus dispositivos locales, la tarea sincroniza los objetos del dispositivo con Microsoft Entra ID y establece temporalmente el estado registrado de los dispositivos en "pendiente" antes de que el dispositivo complete el registro del dispositivo. Este estado pendiente se debe a que el dispositivo debe añadirse al directorio de Microsoft Entra antes de que pueda registrarse. Para obtener más información sobre el proceso de registro de dispositivos, consulte Funcionamiento: Registro de dispositivos.

Después de la validación

Después de verificar que todo funciona como se espera, puede registrar automáticamente el resto de sus dispositivos Windows actuales y de nivel inferior con Microsoft Entra ID. Automatice la unión a Microsoft Entra híbrido configurando el SCP mediante Microsoft Entra Connect.

Contenido relacionado