¿Qué es la unión a Microsoft Entra?
Ahora tiene una mejor comprensión de la identidad del dispositivo y el acceso condicional. Quiere investigar la unión a Microsoft Entra y cómo se podría usar para mejorar la administración de dispositivos tanto en Azure como en la instancia local de Active Directory Domain Services.
En esta unidad, obtendrá información sobre la unión a Microsoft Entra y cómo usarla para la administración de la infraestructura y los dispositivos.
Conceptos básicos de la unión a Microsoft Entra
Con la unión a Microsoft Entra, puede unir dispositivos a la organización de Microsoft Entra, sin necesidad de sincronizarlos con una instancia de Active Directory local. La unión a Microsoft Entra es más adecuada para las organizaciones que se basan principalmente en la nube, aunque puede funcionar en una nube híbrida y en un entorno local.
Dispositivos compatibles
La unión a Microsoft Entra funciona con dispositivos Windows 10, Windows 11 o Windows Server 2019. No se admite la instalación Server Core de Windows Server 2019. Si usa un sistema operativo Windows anterior, tendrá que actualizar a Windows 10, Windows 11 o Windows Server 2019.
Infraestructura de identidades
Decida cuál es el modelo de infraestructura de identidades que mejor se adapta a las necesidades de la organización:
- Entorno administrado: este entorno usa la autenticación de paso a través o la sincronización de hash de contraseñas para proporcionar un inicio de sesión único (SSO) a los dispositivos.
- Entornos federados: estos entornos requieren el uso de un proveedor de identidades. Ese proveedor debe admitir los protocolos WS-Trust y WS-Fed para que la unión a Microsoft Entra funcione de forma nativa con los dispositivos Windows. WS-Fed es obligatorio para unir un dispositivo a Microsoft Entra ID. WS-Trust es necesario para iniciar sesión en un dispositivo unido a Microsoft Entra.
- Tarjetas inteligentes y autenticación basada en certificados: estos métodos no son formas válidas de unir dispositivos a Microsoft Entra ID. Sin embargo, si configuró Servicios de federación de Active Directory (AD FS), puede usar tarjetas inteligentes para iniciar sesión en dispositivos unidos a Microsoft Entra. Se recomienda usar un servicio como Windows Hello para empresas, que admite la autenticación sin contraseña en dispositivos Windows 10 y Windows 11.
- Configuración manual de usuarios: si crea usuarios en la instancia local de Active Directory, debe sincronizar las cuentas con Microsoft Entra ID mediante Microsoft Entra Connect. Si crea usuarios en Microsoft Entra ID, no se necesita ninguna configuración adicional.
Administración de dispositivos
La unión a Microsoft Entra usa la plataforma de administración de dispositivos móviles (MDM) para administrar los dispositivos conectados a Microsoft Entra ID. MDM proporciona un medio para aplicar configuraciones exigidas por la organización, como la necesidad de cifrar el almacenamiento, la complejidad de las contraseñas y las instalaciones y actualizaciones de software.
Las versiones más recientes de Windows 10 y Windows 11 tienen un cliente MDM integrado que funciona con todos los sistemas MDM compatibles.
Existen dos enfoques para administrar los dispositivos unidos a Microsoft Entra:
Solo MDM: todos los dispositivos unidos se administran exclusivamente a través de un proveedor de MDM, como Intune. Si en la organización se usan directivas de grupo, debe revisar la directiva de MDM para obtener soporte técnico.
Administración conjunta: todos los dispositivos unidos usan una combinación de un agente de System Center Configuration Manager instalado localmente y el proveedor de MDM. Microsoft Intune proporciona funciones de administración conjunta a través de Configuration Manager. Puede usar Configuration Manager para administrar el dispositivo mientras MDM entrega directivas de administración de usuarios.
Se recomienda usar el enfoque "Solo MDM" para administrar todos los dispositivos unidos a Microsoft Entra.
Consideraciones sobre los recursos y el acceso a las aplicaciones
Para obtener la mejor experiencia del usuario y mejorar el acceso a la aplicación, considere la posibilidad de mover todas las aplicaciones y los recursos a Azure. Aunque pueda ser posible en algunos casos, no siempre resulta práctico. En esta sección, se explorarán las opciones de acceso para las aplicaciones y los recursos:
Aplicaciones basadas en la nube: las aplicaciones migradas y todas las aplicaciones nuevas se agregarán a la galería de aplicaciones de Microsoft Entra. Los usuarios unidos a Microsoft Entra pueden emplear el inicio de sesión único para acceder a esas aplicaciones. El inicio de sesión único se admite en la mayoría de los exploradores. La unión a Microsoft Entra proporciona compatibilidad con SSO para el acceso del dispositivo a las aplicaciones que todavía usan Win32.
Aplicaciones web locales: todavía puede acceder a cualquier software personalizado que esté hospedado en el entorno local mediante la unión a Microsoft Entra. Para acceder a esas aplicaciones, cada usuario tiene que agregar la aplicación a sus sitios de confianza o a la zona de intranet, en función de dónde exista la aplicación. Esta acción permite que la aplicación use la autenticación integrada de Windows sin pedir al usuario que se autentique.
Otros dispositivos: esta opción incluye las aplicaciones existentes a través de protocolos anteriores y recursos compartidos de red locales. Ambos están disponibles para dispositivos unidos a Microsoft Entra mediante SSO, siempre que el dispositivo esté conectado al controlador de dominio.
Recursos de impresora: estos recursos no estarán disponibles de forma automática a través de la unión a Microsoft Entra. Aun así, los usuarios se pueden conectar directamente a una impresora mediante su ruta de acceso UNC.
Opciones de aprovisionamiento
Al implementar la unión a Microsoft Entra, dispone de tres opciones para que los dispositivos se aprovisionen y se unan a Microsoft Entra ID:
Autoservicio: requiere que los usuarios configuren manualmente el dispositivo durante la configuración rápida (OOBE) de Windows para los nuevos dispositivos, o bien mediante la configuración de Windows para dispositivos anteriores. Autoservicio es más adecuado para los usuarios que tienen conocimientos técnicos sólidos.
Windows Autopilot: permite realizar la configuración previa de dispositivos Windows, incluida la unión automática del dispositivo a la instancia de Active Directory de la organización, la inscripción automática de MDM y la creación de contenido OOBE de cliente. Este enfoque simplifica la administración y la implementación de los dispositivos en toda la organización. Puede aprovisionar e implementar los dispositivos Windows. El usuario completa la OOBE como si fuera un usuario nuevo.
Inscripción masiva: permite configurar un paquete de aprovisionamiento que se aplica a un gran número de dispositivos Windows nuevos al mismo tiempo.
En la tabla siguiente se muestran las características clave de cada enfoque:
| Característica | Autoservicio | Windows Autopilot | Inscripción masiva |
|---|---|---|---|
| Interacción del usuario durante la instalación | Sí | Sí | No |
| Participación de TI | No | Sí | Sí |
| Flujos aplicables | OOBE y configuración | Solo OOBE | Solo OOBE |
| Derechos de administrador local para el usuario primario | Sí | Configurable | No |
| Requiere compatibilidad con OEM | No | Sí | No |
Configuración de dispositivos
En Azure Portal, puede controlar cómo se unen los dispositivos nuevos a la organización. Vaya a Microsoft Entra ID>Dispositivos>Configuración de dispositivos. Desde allí, puede configurar las siguientes características y activar la unión a Microsoft Entra.
| Campo | Descripción |
|---|---|
| Los usuarios pueden unir dispositivos a Microsoft Entra ID | Todos permite que cualquier usuario una su dispositivo. Seleccionados permite agregar usuarios específicos que pueden unir dispositivos. Ninguno impide que los usuarios unan sus dispositivos. |
| Administradores locales adicionales en dispositivos unidos a Microsoft Entra | Permite especificar otros usuarios para incluirlos como administradores locales en todos los dispositivos unidos. Esta opción está habilitada de forma predeterminada. Microsoft Entra ID agrega los roles de administrador global y de administrador de dispositivos como administradores locales en los dispositivos. |
| Los usuarios pueden registrar sus dispositivos con Microsoft Entra ID | Permite a los usuarios registrar sus dispositivos con la unión a Microsoft Entra. Si usa Microsoft Intune o la administración de dispositivos móviles para Microsoft 365, el registro de dispositivos es obligatorio. Si alguno de estos servicios está configurado en la organización de Microsoft Entra, se selecciona Todos y esta opción se deshabilita. |
| Requerimiento de autenticación multifactor para combinar dispositivos | Permite aplicar la autenticación multifactor de Microsoft Entra cuando el dispositivo se une a Microsoft Entra ID. Para los usuarios que unen dispositivos a Microsoft Entra ID mediante la autenticación multifactor, el propio dispositivo se convierte en un segundo factor. |
| Número máximo de dispositivos por usuario | Permite especificar el número máximo de dispositivos que un usuario puede tener en Microsoft Entra ID. Si un usuario alcanza este máximo, tendrá que quitar un dispositivo para agregar uno nuevo. |
En el escenario de ejemplo, se puede agregar un grupo piloto de usuarios para probar la unión a AD. En ese caso, elija Los usuarios pueden inscribir dispositivos en Microsoft Entra ID>Seleccionados y, después, agregue miembros del grupo piloto. Cuando quiera implementar la unión de Microsoft Entra a toda su organización de Microsoft Entra, seleccione Todo.
Configuración de movilidad
Es posible que tenga que agregar un proveedor de MDM para poder configurar las opciones de movilidad. Para agregar el proveedor de MDM, vaya a Microsoft Entra ID>Movilidad (MDM y MAM)>Agregar aplicación.
Cuando haya agregado el proveedor de MDM, puede configurar las opciones de movilidad siguientes:
| Valor de movilidad | descripción |
|---|---|
| Ámbito de usuario de MDM | Seleccione Ninguno, Algunos o Todos. Si el usuario está en el ámbito de MDM y tiene una suscripción de Microsoft Entra ID P1 o P2, la inscripción de MDM se automatiza junto con la unión a Microsoft Entra. Todos los usuarios dentro del ámbito deben tener una licencia adecuada para la MDM. En caso contrario, se produce un error en la inscripción de MDM y la unión a Microsoft Entra se revierte. Si el usuario no está en el ámbito de MDM, la unión a Microsoft Entra finaliza sin ninguna inscripción de MDM. El dispositivo es un dispositivo no administrado. |
| Direcciones URL de MDM | Las tres direcciones URL relacionadas con la configuración de MDM son Dirección URL de condiciones de uso de MDM, Dirección URL de descubrimiento de MDM y Dirección URL de cumplimiento de MDM. Cada dirección URL tiene un valor predeterminado predefinido. Si estos campos están vacíos, póngase en contacto con el proveedor de MDM para obtener más información. |
| Valores de MAM | La administración de aplicaciones móviles (MAM) no se aplica a la unión a Microsoft Entra. |
Recuerde que tiene que restringir el acceso a los recursos de la organización solo a los dispositivos que la organización administre y que el sistema MDM considere conformes. En el escenario de ejemplo, la intención es agregar el proveedor de MDM de la organización y seleccionar Ámbito de usuario de MDM>Todos.
Experiencia del usuario al unir un dispositivo Windows 10 o Windows 11
Ha asignado un dispositivo nuevo a un empleado con conocimientos técnicos. Usará el enfoque de autoservicio para unir el dispositivo a la organización de Active Directory, que usa la autenticación multifactor. En los pasos siguientes se muestra el aspecto que tiene el flujo de trabajo:
Después de iniciar el dispositivo, el empleado sigue las indicaciones para configurarlo, lo que incluye personalizar su región y seleccionar un idioma.
El empleado acepta los Términos de licencia del software de Microsoft.
El empleado selecciona la conexión de red para conectarse a la nube.
Cuando se le pregunte ¿A quién pertenece el equipo?, el empleado debe seleccionar Este dispositivo pertenece a mi organización.
El empleado inicia sesión con las credenciales proporcionadas por la organización.
Se le solicita un desafío de autenticación multifactor.
Microsoft Entra ID comprueba los valores de configuración para ver si el dispositivo se debe inscribir en MDM.
Cuando la comprobación de la configuración se realiza correctamente, el dispositivo se registra con la instancia de Microsoft Entra de la organización. Si se usa MDM, el dispositivo se inscribe y se administra.