Configuración de la inscripción de dispositivos WindowsSet up enrollment for Windows devices

Este artículo ayuda a los administradores de TI a simplificar la inscripción de Windows para sus usuarios.This article helps IT administrators simplify Windows enrollment for their users. Una vez que haya configurado Intune, los usuarios inscriben los dispositivos Windows iniciando sesión con su cuenta profesional o educativa.Once you've set up Intune, users enroll Windows devices by signing in with their work or school account.

Como administrador de Intune, puede simplificar la inscripción de las siguientes maneras:As an Intune admin, you can simplify enrollment in the following ways:

Hay dos factores que determinan cómo puede simplificar la inscripción de dispositivos Windows:Two factors determine how you can simplify Windows device enrollment:

  • ¿Usa Azure Active Directory Premium?Do you use Azure Active Directory Premium?
    Azure AD Premium se incluye con Enterprise Mobility + Security y otros planes de licencias.Azure AD Premium is included with Enterprise Mobility + Security and other licensing plans.
  • ¿A qué versiones de los clientes de Windows se inscribirán los usuarios?What versions of Windows clients will users enroll?
    Los dispositivos Windows 10 pueden inscribirse automáticamente al agregar una cuenta profesional o educativa.Windows 10 devices can automatically enroll by adding a work or school account. Las versiones anteriores deben inscribirse mediante la aplicación de Portal de empresa.Earlier versions must enroll using the Company Portal app.
Azure AD PremiumAzure AD Premium Otro ADOther AD
Windows 10Windows 10 Inscripción automáticaAutomatic enrollment Inscripción de usuariosUser enrollment
Versiones anteriores de WindowsEarlier Windows versions Inscripción de usuariosUser enrollment Inscripción de usuariosUser enrollment

Las organizaciones que pueden usar la inscripción automática también pueden configurar los dispositivos de inscripción masiva mediante la aplicación Diseñador de configuración de Windows.Organizations that can use automatic enrollment can also configure bulk enroll devices by using the Windows Configuration Designer app.

Requisitos previos para la inscripción de dispositivosDevice enrollment prerequisites

Para que un administrador pueda inscribir dispositivos en Intune para su administración, ya se deben haber asignado licencias a la cuenta del administrador.Before an administrator can enroll devices to Intune for management, licenses should have already been assigned to the administrator's account. Más información sobre la asignación de licencias para la inscripción de dispositivosRead about assigning licenses for device enrollment

Compatibilidad con varios usuariosMulti-user support

Intune admite varios usuarios en dispositivos que:Intune supports multiple users on devices that both:

  • Ejecuten la actualización Windows 10 Creators Updaterun the Windows 10 Creator's update
  • Estén unidos a un dominio de Azure Active Directory.are Azure Active Directory domain-joined.

Cuando los usuarios estándar inician sesión con sus credenciales de Azure AD, reciben aplicaciones y directivas asignadas a su nombre de usuario.When standard users sign in with their Azure AD credentials, they receive apps and policies assigned to their user name. Solo el usuario primario del dispositivo puede usar el Portal de empresa en escenarios de autoservicio, como la instalación de aplicaciones y la realización de acciones de dispositivo (quitar, restablecer).Only the device’s Primary user can use the Company Portal for self-service scenarios like installing apps and performing device actions (Remove, Reset). En el caso de dispositivos compartidos de Windows 10 que no tienen asignado un usuario primario, puede seguir utilizándose el Portal de empresa para instalar aplicaciones disponibles.For shared Windows 10 devices that do not have a primary user assigned, the Company Portal can still be used to install Available apps.

Habilitar la inscripción automática de Windows 10Enable Windows 10 automatic enrollment

La inscripción automática permite a los usuarios inscribir sus dispositivos Windows 10 en Intune.Automatic enrollment lets users enroll their Windows 10 devices in Intune. Para inscribirse, los usuarios deben agregar su cuenta profesional a los dispositivos personales o conectar dispositivos corporativos a Azure Active Directory.To enroll, users add their work account to their personally owned devices or join corporate-owned devices to Azure Active Directory. En segundo plano, el dispositivo se registra y se une a Azure Active Directory.In the background, the device registers and joins Azure Active Directory. Una vez se registra un dispositivo, este se administra con Intune.Once registered, the device is managed with Intune.

Requisitos previosPrerequisites

Configurar la inscripción de MDM automáticaConfigure automatic MDM enrollment

  1. Inicie sesión en Azure Portal y seleccione Azure Active Directory.Sign in to the Azure portal, and select Azure Active Directory.

    Captura de pantalla de Azure Portal

  2. Seleccione Movilidad (MDM y MAM) .Select Mobility (MDM and MAM).

    Captura de pantalla de Azure Portal

  3. Seleccione Microsoft Intune.Select Microsoft Intune.

    Captura de pantalla de Azure Portal

  4. Configure Ámbito de usuario de MDM.Configure MDM User scope. Especifique qué dispositivos de los usuarios deben administrarse mediante Microsoft Intune.Specify which users’ devices should be managed by Microsoft Intune. Estos dispositivos Windows 10 pueden inscribirse automáticamente para la administración con Microsoft Intune.These Windows 10 devices can automatically enroll for management with Microsoft Intune.

    • Ninguno: inscripción automática de MDM deshabilitadaNone - MDM automatic enrollment disabled

    • Algunos : seleccione los Grupos que pueden inscribir automáticamente sus dispositivos Windows 10Some - Select the Groups that can automatically enroll their Windows 10 devices

    • Todos: todos los usuarios pueden inscribir automáticamente sus dispositivos Windows 10All - All users can automatically enroll their Windows 10 devices

      Importante

      En el caso de los dispositivos BYOD, el ámbito de usuario MAM tiene prioridad si el ámbito de usuario MAM y el ámbito de usuario MDM (inscripción automática de MDM) están habilitados para todos los usuarios (o los mismos grupos de usuarios).For BYOD devices, the MAM user scope takes precedence if both MAM user scope and MDM user scope (automatic MDM enrollment) are enabled for all users (or the same groups of users). El dispositivo usará las directivas de Windows Information Protection (WIP) (si las ha configurado) en lugar de inscribirse en MDM.The device will use Windows Information Protection (WIP) Policies (if you configured them) rather than being MDM enrolled.

      En el caso de los dispositivos corporativos, el ámbito de usuario MDM tiene prioridad si ambos ámbitos están habilitados.For corporate devices, the MDM user scope takes precedence if both scopes are enabled. Los dispositivos se inscriben en MDM.The devices get MDM enrolled.

    Nota

    El ámbito de usuario de MDM debe establecerse en un grupo de Azure AD que contenga objetos de usuario.MDM user scope must be set to an Azure AD group that contains user objects.

    Captura de pantalla de Azure Portal

  5. Utilice los valores predeterminados para las direcciones URL siguientes:Use the default values for the following URLs:

    • URL de los términos de uso de MDMMDM Terms of use URL
    • URL de detección de MDMMDM Discovery URL
    • URL de cumplimiento de MDMMDM Compliance URL
  6. Seleccione Guardar.Select Save.

De manera predeterminada, la autenticación en dos fases no está habilitada para el servicio.By default, two-factor authentication is not enabled for the service. En cambio, se recomienda la autenticación en dos fases al registrar un dispositivo.However, two-factor authentication is recommended when registering a device. Para habilitar la autenticación en dos fases, configure un proveedor de autenticación en dos fases en Azure AD, así como las cuentas de usuario para la autenticación multifactor.To enable two-factor authentication, configure a two-factor authentication provider in Azure AD and configure your user accounts for multi-factor authentication. Vea Introducción a Servidor Azure Multi-Factor Authentication.See Getting started with the Azure Multi-Factor Authentication Server.

Simplificación de la inscripción de Windows sin Azure AD PremiumSimplify Windows enrollment without Azure AD Premium

Para simplificar la inscripción, cree un alias de servidor de nombres de dominio (DNS, tipo de registro CNAME) que redirija las solicitudes de inscripción a los servidores de Intune.To simplify enrollment, create a domain name server (DNS) alias (CNAME record type) that redirects enrollment requests to Intune servers. De lo contrario, los usuarios que intenten conectarse a Intune deberán escribir el nombre del servidor de Intune durante la inscripción.Otherwise, users trying to connect to Intune must enter the Intune server name during enrollment.

Paso 1: Creación de CNAME (opcional)Step 1: Create CNAME (optional)
Cree registros de recursos DNS CNAME para el dominio de su empresa.Create CNAME DNS resource records for your company’s domain. Por ejemplo, si el sitio web de la empresa es contoso.com, debe crear un registro CNAME en DNS que redirija EnterpriseEnrollment.contoso.com a EnterpriseEnrollment-s.manage.microsoft.com.For example, if your company’s website is contoso.com, you would create a CNAME in DNS that redirects EnterpriseEnrollment.contoso.com to enterpriseenrollment-s.manage.microsoft.com.

Aunque la creación de entradas DNS CNAME es opcional, los registros CNAME facilitan la inscripción para los usuarios.Although creating CNAME DNS entries is optional, CNAME records make enrollment easier for users. Si no se encuentra ningún registro CNAME de inscripción, se pedirá a los usuarios que escriban de forma manual el nombre del servidor MDM (enrollment.manage.microsoft.com).If no enrollment CNAME record is found, users are prompted to manually enter the MDM server name, enrollment.manage.microsoft.com.

TipoType Nombre de hostHost name Apunta aPoints to TTLTTL
CNAMECNAME EnterpriseEnrollment.company_domain.comEnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 hora1 hour
CNAMECNAME EnterpriseRegistration.company_domain.comEnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 hora1 hour

Si la compañía usa más de un sufijo UPN, debe crear un CNAME para cada nombre de dominio y apuntar todos a EnterpriseEnrollment-s.manage.microsoft.com.If the company uses more than one UPN suffix, you need to create one CNAME for each domain name and point each one to EnterpriseEnrollment-s.manage.microsoft.com. Por ejemplo, los usuarios de Contoso usan los siguientes formatos como su correo electrónico o UPN:For example, users at Contoso use the following formats as their email/UPN:

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

El administrador de DNS de Contoso debe crear los CNAME siguientes:The Contoso DNS admin should create the following CNAMEs:

TipoType Nombre de hostHost name Apunta aPoints to TTLTTL
CNAMECNAME EnterpriseEnrollment.contoso.comEnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 hora1 hour
CNAMECNAME EnterpriseEnrollment.us.contoso.comEnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 hora1 hour
CNAMECNAME EnterpriseEnrollment.eu.contoso.comEnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 hora1 hour

EnterpriseEnrollment-s.manage.microsoft.com: admite un redireccionamiento al servicio Intune con reconocimiento de dominio del nombre de dominio del correo electrónico.EnterpriseEnrollment-s.manage.microsoft.com – Supports a redirect to the Intune service with domain recognition from the email’s domain name

Los cambios en los registros DNS pueden tardar hasta 72 horas en propagarse.Changes to DNS records might take up to 72 hours to propagate. No se puede comprobar el cambio de DNS en Intune hasta que el registro DNS se propague.You can't verify the DNS change in Intune until the DNS record propagates.

EnterpriseEnrollment-s.manage.microsoft.com es el FQDN preferido para la inscripción, pero hay otros dos puntos de conexión que han usado los clientes en el pasado y que se admiten.EnterpriseEnrollment-s.manage.microsoft.com is the preferred FQDN for enrollment, but there are two other endpoints that have been used by customers in the past and are supported. EnterpriseEnrollment.manage.microsoft.com (sin -s) y manage.microsoft.com funcionan como el destino del servidor de detección automática, pero el usuario tendrá que pulsar Aceptar en un mensaje de confirmación.EnterpriseEnrollment.manage.microsoft.com (without the -s) and manage.microsoft.com both work as the target for the auto-discovery server, but the user will have to touch OK on a confirmation message. Si apunta a EnterpriseEnrollment-s.manage.microsoft.com, el usuario no tendrá que seguir el paso de confirmación adicional, por lo que esta es la configuración recomendada.If you point to EnterpriseEnrollment-s.manage.microsoft.com, the user won’t have to do the additional confirmation step, so this is the recommended configuration

No se admiten métodos alternativos de redireccionamientoAlternate Methods of Redirection Are Not Supported

No se admite el uso de un método que no sea la configuración de CNAME.Using a method other than the CNAME configuration is not supported. Por ejemplo, no se admite el uso de un servidor proxy para redirigir enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc a enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc o manage.microsoft.com/EnrollmentServer/Discovery.svc.For example, using a proxy server to redirect enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc to either enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc or manage.microsoft.com/EnrollmentServer/Discovery.svc is not supported.

Paso 2: Comprobación de CNAME (opcional)Step 2: Verify CNAME (optional)

  1. En el Centro de administración del Administrador de puntos de conexión de Microsoft, elija Dispositivos > Windows > Inscripción de Windows > Validación de CNAME.In the Microsoft Endpoint Manager Admin Center, choose Devices > Windows > Windows enrollment > CNAME Validation.
  2. En el cuadro Dominio, escriba el sitio web de empresa y, a continuación, haga clic en Probar.In the Domain box, enter the company website and then choose Test.

Indicar a los usuarios cómo inscribir dispositivos WindowsTell users how to enroll Windows devices

Indique a los usuarios cómo inscribir sus dispositivos Windows y qué esperar cuando se hayan incorporado a la administración.Tell your users how to enroll their Windows devices and what to expect after they're brought into management.

Nota

Los usuarios finales deben tener acceso al sitio web Portal de empresa a través de Microsoft Edge para ver las aplicaciones de Windows que haya asignado para versiones específicas de Windows.End users must access the Company Portal website through Microsoft Edge to view Windows apps that you've assigned for specific versions of Windows. Otros exploradores (incluidos Google Chrome, Mozilla Firefox e Internet Explorer) no admiten este tipo de filtrado.Other browsers, including Google Chrome, Mozilla Firefox, and Internet Explorer do not support this type of filtering.

Para instrucciones sobre inscripción del usuario final, consulte Inscriba el dispositivo Windows en Intune.For end-user enrollment instructions, see Enroll your Windows device in Intune. También puede indicar a los usuarios que revisen ¿Qué información puede ver mi administrador de TI cuando inscribo mi dispositivo en Intune?.You can also tell users to review What can my IT admin see on my device.

Importante

Si no tiene habilitada la inscripción de MDM automática, pero tiene dispositivos Windows 10 unidos a Azure AD, verá dos registros en la consola de Intune tras la inscripción.If you do not have Auto-MDM enrollment enabled, but you have Windows 10 devices that have been joined to Azure AD, two records will be visible in the Intune console after enrollment. Esto se puede evitar; para ello, asegúrese de que los usuarios con dispositivos unidos a Azure AD se dirigen a Cuentas > Obtener acceso a trabajo o escuela y usan Conectar para conectarse con la misma cuenta.You can stop this by making sure that users with Azure AD joined devices go to Accounts > Access work or school and Connect using the same account.

Para más información sobre las tareas del usuario final, consulte Cómo presentar Microsoft Intune a los usuarios finales.For more information about end-user tasks, see Resources about the end-user experience with Microsoft Intune.

CNAME de registro e inscripciónRegistration and Enrollment CNAMEs

Azure Active Directory tiene un CNAME diferente que usa para el registro de dispositivos iOS, Android y Windows.Azure Active Directory has a different CNAME that it uses for device registration for iOS, Android, and Windows devices. El acceso condicional de Intune requiere el registro de dispositivos, en una acción denominada también "unirse al área de trabajo".Intune conditional access requires devices to be registered, also called "workplace joined". Si piensa usar el acceso condicional, también debe configurar el CNAME EnterpriseRegistration para cada nombre de empresa que tenga.If you plan to use conditional access, you should also configure the EnterpriseRegistration CNAME for each company name you have.

TipoType Nombre de hostHost name Apunta aPoints to TTLTTL
NOMBRENAME EnterpriseRegistration.EnterpriseRegistration. company_domain.comcompany_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 hora1 hour

Para obtener más información sobre el registro de dispositivos, consulte Administración de identidades de dispositivos con Azure Portal.For more information about device registration, see Manage device identities using the Azure portal

Inscripción automática y registro de dispositivos Windows 10Windows 10 auto enrollment and device registration

Esta sección se aplica a los clientes de la nube de la administración pública de Estados Unidos.This section applies to US government cloud customers.

Aunque la creación de entradas DNS CNAME es opcional, los registros CNAME facilitan la inscripción para los usuarios.Although creating CNAME DNS entries is optional, CNAME records make enrollment easier for users. Si no se encuentra ningún registro CNAME de inscripción, se pedirá a los usuarios que escriban de forma manual el nombre del servidor MDM (enrollment.manage.microsoft.us).If no enrollment CNAME record is found, users are prompted to manually enter the MDM server name, enrollment.manage.microsoft.us.

TipoType Nombre de hostHost name Apunta aPoints to TTLTTL
CNAMECNAME EnterpriseEnrollment.company_domain.comEnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.usEnterpriseEnrollment-s.manage.microsoft.us 1 hora1 hour
CNAMECNAME EnterpriseRegistration.company_domain.comEnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 hora1 hour

Pasos siguientesNext steps