Microsoft Entra unidos frente a Microsoft Entra híbridos unidos en puntos de conexión nativos de la nube

Artículo
03/06/2024

Sugerencia

Al leer sobre los puntos de conexión nativos en la nube, verá los siguientes términos:

Punto de conexión: un punto de conexión es un dispositivo, como un teléfono móvil, una tableta, un portátil o un equipo de escritorio. "Puntos de conexión" y "dispositivos" se usan indistintamente.
Puntos de conexión administrados: puntos de conexión que reciben directivas de la organización mediante una solución MDM u objetos directiva de grupo. Estos dispositivos suelen ser propiedad de la organización, pero también pueden ser dispositivos BYOD o de propiedad personal.
Puntos de conexión nativos en la nube: puntos de conexión unidos a Azure AD. No están unidos a AD local.
Carga de trabajo: cualquier programa, servicio o proceso.

Muchos servicios críticos y valiosos, incluido el acceso condicional y Microsoft Entra inicio de sesión único, requieren que los puntos de conexión tengan una identidad en la nube. En el caso de los puntos de conexión de Windows propiedad de la organización, se crea una identidad en la nube cuando el dispositivo está Microsoft Entra unido o híbrido Microsoft Entra unido.

Al pasar a puntos de conexión nativos de la nube, debe comprender las diferencias entre los dispositivos unidos a Microsoft Entra e híbridos Microsoft Entra unidos:

Microsoft Entra unidos: los dispositivos se unen a Microsoft Entra. No están unidos a AD local.

Para obtener información más específica, vaya a Microsoft Entra dispositivos unidos (abre otro sitio web de Microsoft).
Unido a Microsoft Entra híbridos: los dispositivos se registran en Microsoft Entra y se unen a un dominio de AD local.

Para obtener información más específica, vaya a Dispositivos híbridos unidos a Microsoft Entra (abre otro sitio web de Microsoft).

Esta característica se aplica a:

Puntos de conexión nativos en la nube de Windows

En este artículo se describen algunas de las diferencias entre los dispositivos unidos a Microsoft Entra e híbridos Microsoft Entra unidos. Para obtener información general sobre los puntos de conexión nativos en la nube y sus ventajas, vaya a Qué son los puntos de conexión nativos de la nube.

Microsoft Entra unidos

Cuando un punto de conexión, como un dispositivo Windows 10/11 está Microsoft Entra unido, establece una confianza con Microsoft Entra y tiene una identidad (device-id) en Microsoft Entra. La organización administra y controla el punto de conexión.

El punto de conexión se une a Microsoft Entra. No está unido a un dominio de AD local.

Para unir puntos de conexión de Windows a Microsoft Entra, tiene algunas opciones:

Use Windows Autopilot. Windows Autopilot guía a los usuarios a través de la configuración rápida (OOBE) de Windows. Cuando los usuarios escriben su cuenta profesional o educativa, el punto de conexión se une a Microsoft Entra.

Todos los dispositivos registrados con Windows Autopilot se consideran automáticamente dispositivos propiedad de la organización. Windows Autopilot es uno de los enfoques más adoptados para que los dispositivos de la organización se unan a Microsoft Entra y se administren mediante TI.
Usar la configuración rápida (OOBE) de Windows. Cuando los usuarios escriben su cuenta profesional o educativa en el dispositivo, el punto de conexión se une automáticamente Microsoft Entra.
Use la aplicación Configuración. En el dispositivo, los usuarios finales abren la aplicación Configuración (Cuentas>Acceso profesional o educativo>Conectar), y usan su cuenta profesional o educativa.
Use un paquete de aprovisionamiento de Windows. Para obtener más información, vaya a:
- Paquetes de aprovisionamiento para Windows
- Unión masiva de un dispositivo Windows a Microsoft Entra y Microsoft Intune mediante un paquete de aprovisionamiento: Microsoft Tech Community entrada de blog

Ventajas de TI de la organización

Con el acceso condicional, puede permitir o restringir el acceso a los recursos de la organización que cumplan o no cumplan sus requisitos.
La configuración y los datos de trabajo se mueven a través de nubes compatibles con la empresa. No se usan cuentas personales de Microsoft, como Hotmail, y se pueden bloquear.
Con Windows Hello para empresas, puede reducir el riesgo de robo de credenciales.

Ventajas para el usuario final

Para autenticar a los usuarios finales con Microsoft Entra y el punto de conexión de Windows, los usuarios necesitan una cuenta profesional o educativa. No se usan cuentas personales.
Obtenga el inicio de sesión único (SSO) para Microsoft 365 y aplicaciones SaaS con conexión a Internet.
Use la comodidad y la seguridad de Windows Hello para empresas para iniciar sesión en su punto de conexión de Windows.

Cuando inician sesión con Windows Hello para empresas, los usuarios usan automáticamente SSO en muchas de sus aplicaciones y recursos locales y en línea.
La configuración del sistema operativo se desplaza por todos los dispositivos unidos a Microsoft Entra.

Importante

Los usuarios finales que trabajan de forma remota en Microsoft Entra dispositivos unidos no necesitan una VPN para iniciar sesión cuando las credenciales almacenadas en caché expiran en el dispositivo. En los dispositivos híbridos Microsoft Entra unidos, necesitan una VPN para iniciar sesión cuando expiren las credenciales almacenadas en caché.

Microsoft Entra recursos unidos

Unidos a Microsoft Entra híbridos

Los dispositivos unidos a Microsoft Entra híbridos se unen al dominio de AD local y se registran con Microsoft Entra. Estos dispositivos requieren una línea de visión de red a los controladores de dominio (DC) locales para el inicio de sesión inicial y para la administración de dispositivos.

Si los dispositivos no se pueden conectar al DC, es posible que los usuarios no puedan iniciar sesión y que no reciban actualizaciones de directivas.

Muchas organizaciones con dispositivos unidos a un dominio existente desean las ventajas y características de Microsoft Entra y la administración de puntos de conexión. Si los dispositivos aún no pueden ser totalmente nativos de la nube, puede registrar estos dispositivos existentes con Microsoft Entra. Al registrar los dispositivos existentes en Microsoft Entra, se crea una identidad de dispositivo y los dispositivos se unen Microsoft Entra híbridos. No se consideran puntos de conexión nativos de la nube.

Si su organización está lista y quiere ser nativa de la nube, Microsoft Entra unirse (en este artículo) es la opción correcta. Es necesario restablecer los dispositivos existentes. Para obtener información e instrucciones más específicas, vaya a la Guía de planeación de alto nivel.

Recursos unidos a Microsoft Entra híbridos

Para obtener información sobre cómo registrar los dispositivos unidos a un dominio existente para Microsoft Entra, vaya a Configuración de la unión Microsoft Entra híbrida. La configuración de Microsoft Entra unión híbrida incluye información para dominios administrados y dominios federados.

Qué opción es la adecuada para su organización

La opción correcta depende del entorno, los puntos de conexión y los objetivos de la organización. Al tomar esta decisión, tenga en cuenta el impacto futuro y a largo plazo.

Considere los escenarios siguientes:

Escenario	combinación de Microsoft Entra o unión Microsoft Entra híbrida
Va a aprovisionar nuevos puntos de conexión de Windows	✔️ Microsoft Entra unirse Si tiene dispositivos Windows nuevos, renovados o actualizados que va a aprovisionar e inscribir, se recomienda Microsoft Entra unión. Windows 10/11 tiene características modernas integradas en el sistema operativo, incluida la administración moderna, la autenticación moderna y mucho más. Microsoft Entra Join debe ser la opción predeterminada para los puntos de conexión nuevos y restablecer. ❌Unión Microsoft Entra híbrida Puede usar Hybrid Microsoft Entra Join para nuevos puntos de conexión, pero normalmente no se recomienda. Cuando se une con Hybrid Microsoft Entra Join, es posible que no pueda usar las características modernas integradas en Windows 10/11.
Ya tiene puntos de conexión de Windows aprovisionados previamente que son híbridos Microsoft Entra o unidos a AD	✔️ Unión Microsoft Entra híbrida Si tiene puntos de conexión existentes que están unidos a un dominio de AD local (incluidos los Microsoft Entra híbridos unidos), se recomienda la unión Microsoft Entra híbrida. Los dispositivos obtienen una identidad en la nube y pueden usar servicios en la nube que requieren una identidad en la nube. Para los usuarios finales con puntos de conexión existentes, esta opción tiene un impacto mínimo. ❌Microsoft Entra unirse Los dispositivos existentes unidos a un dominio de AD local (incluidos los Microsoft Entra híbridos unidos) deben restablecerse para que se unan a Microsoft Entra. Si no se pueden restablecer, no hay ninguna ruta de acceso de Microsoft compatible para Microsoft Entra unirse a ellas.

Escenario

combinación de Microsoft Entra o unión Microsoft Entra híbrida

Va a aprovisionar nuevos puntos de conexión de Windows

✔️ Microsoft Entra unirse

Si tiene dispositivos Windows nuevos, renovados o actualizados que va a aprovisionar e inscribir, se recomienda Microsoft Entra unión. Windows 10/11 tiene características modernas integradas en el sistema operativo, incluida la administración moderna, la autenticación moderna y mucho más. Microsoft Entra Join debe ser la opción predeterminada para los puntos de conexión nuevos y restablecer.

❌Unión Microsoft Entra híbrida

Puede usar Hybrid Microsoft Entra Join para nuevos puntos de conexión, pero normalmente no se recomienda. Cuando se une con Hybrid Microsoft Entra Join, es posible que no pueda usar las características modernas integradas en Windows 10/11.

Ya tiene puntos de conexión de Windows aprovisionados previamente que son híbridos Microsoft Entra o unidos a AD

✔️ Unión Microsoft Entra híbrida

Si tiene puntos de conexión existentes que están unidos a un dominio de AD local (incluidos los Microsoft Entra híbridos unidos), se recomienda la unión Microsoft Entra híbrida. Los dispositivos obtienen una identidad en la nube y pueden usar servicios en la nube que requieren una identidad en la nube. Para los usuarios finales con puntos de conexión existentes, esta opción tiene un impacto mínimo.

❌Microsoft Entra unirse

Los dispositivos existentes unidos a un dominio de AD local (incluidos los Microsoft Entra híbridos unidos) deben restablecerse para que se unan a Microsoft Entra. Si no se pueden restablecer, no hay ninguna ruta de acceso de Microsoft compatible para Microsoft Entra unirse a ellas.

Preguntas, respuestas y escenarios comunes

En esta sección se responden preguntas comunes sobre Microsoft Entra dispositivos unidos e híbridos Microsoft Entra unidos.

¿Deben unirse Microsoft Entra híbridos a un estado de objetivo a largo plazo o final para los dispositivos?

No, Hybrid Microsoft Entra Join no debe ser a largo plazo ni el objetivo final de ninguna organización.

Cuando no está restringido o limitado (por motivos técnicos, políticos o normativos), su organización debe moverse o planear el traslado a Microsoft Entra unidos para los puntos de conexión de Windows.

¿Qué estrategia debe adoptar una organización para mover los dispositivos híbridos Microsoft Entra join existentes a Microsoft Entra Join?

La estrategia depende de muchos factores, muchos de los que son específicos de su organización.

En general, Microsoft recomienda esperar un evento complementario. Por ejemplo, puede pasar a Microsoft Entra unirse durante un escenario de actualización de hardware, actualización del sistema operativo o solución de problemas de dispositivos cuando hay una nueva instancia (o restablecer) de Windows. Con este enfoque, se minimiza la interrupción del usuario y se simplifica el proceso de conversión para Microsoft Entra Unirse. Recuerde que no hay ningún proceso o ruta de acceso compatible con Microsoft para convertir un dispositivo existente de Hybrid Microsoft Entra Join a Microsoft Entra Join sin un restablecimiento de Windows.

En Microsoft Entra dispositivos unidos a dispositivos híbridos, debe realizar un borrado completo del dispositivo, ya que el restablecimiento de Windows Autopilot no admite Microsoft Entra dispositivos unidos a híbridos.

Para pasar a Microsoft Entra Join, puede restablecer proactivamente los dispositivos existentes. Este enfoque puede ser más perjudicial para los usuarios y requiere más planeamiento & pruebas. Pero puede usar este enfoque si tiene algunos dispositivos o si tiene un caso empresarial sólido para pasar a Microsoft Entra Unirse.

Hay un bloqueador que impide que mi organización se mueva a Microsoft Entra Unirse

Es posible que haya bloqueadores y desafíos fuera del control de Microsoft que puedan impedir que su organización se mueva completamente a Microsoft Entra Unirse. También puede haber bloqueadores desconocidos específicos de su organización y su configuración o expectativas. Estos bloqueadores pueden ser técnicos o ocurrir por otras razones no técnicas.

Recuerde que pasar a Microsoft Entra Join no es una propuesta de todo o nada. Mover dispositivos a Microsoft Entra Join requiere tiempo, incluso con o sin bloqueadores o inhibidores.

Si identifica un posible bloqueador que le impide usar Microsoft Entra Join, determine el ámbito, el impacto y la solución. La guía de planeamiento de alto nivel para pasar a puntos de conexión nativos de la nube puede ayudar.

¿Pueden coexistir Microsoft Entra puntos de conexión de unión e híbridos Microsoft Entra join en el mismo entorno?

Sí, Microsoft Entra los puntos de conexión join e Hybrid Microsoft Entra Join pueden coexistir en el mismo entorno. No son mutuamente excluyentes.

Tener un entorno mixto aumenta los costos de complejidad, mantenimiento y soporte técnico. Pero puede usar hybrid Microsoft Entra Join hasta que esos puntos de conexión se reemplacen o restablezcan. Recuerde que hybrid Microsoft Entra Join no debe ser el objetivo final de su organización para el estado del punto de conexión de Windows.

¿Pueden los usuarios de Microsoft Entra sistemas Join acceder a los recursos locales?

Sí, los usuarios de Microsoft Entra sistemas Join pueden acceder a los recursos locales.

Microsoft Entra los puntos de conexión de Join pueden acceder a recursos locales y pueden usar el inicio de sesión único (SSO). Para obtener información más específica, vaya a Puntos de conexión nativos de nube y recursos locales.

¿Qué estados de unión de dispositivos pueden Intune administrar?

Microsoft Intune, que es una solución 100 % en la nube, puede administrar dispositivos cliente de Windows que se Microsoft Entra Join o Hybrid Microsoft Entra Join. Intune tiene muchas características y configuraciones integradas que pueden administrar la configuración, controlar las características del dispositivo, ayudar a proteger los puntos de conexión y mucho más.

La Guía de planeación de alto nivel para migrar a puntos de conexión nativos de nube: características de Intune que debe conocer enumera algunas de estas características. Qué es Intune también es un buen recurso.

En los puntos de conexión híbridos Microsoft Entra join, puede usar objetos de directivas de grupo (GPO) locales o Intune para controlar la configuración de directivas. También es posible usar una combinación de GPO y Intune, pero esta combinación agrega sobrecarga administrativa y complejidad. Si habilita la administración conjunta (Intune (nube) + Configuration Manager (local)), puede usar algunas características Microsoft Entra, como el acceso condicional.

Para obtener instrucciones, vaya a Guía de implementación: configurar o mover a Microsoft Intune.

¿Qué estados de unión a dispositivos son necesarios para el cumplimiento del dispositivo o el acceso condicional?

Tanto los puntos de conexión híbridos Microsoft Entra Join como Microsoft Entra Join admiten directivas de cumplimiento y acceso condicional cuando se administran mediante Intune o se administran conjuntamente mediante Intune y Configuration Manager.

¿Existen limitaciones para la unión Microsoft Entra híbrida?

Sí, hay limitaciones para la unión Microsoft Entra híbrida.

Estas limitaciones suelen ser las mismas con los dispositivos solo unidos a un dominio local. En concreto, los puntos de conexión híbridos Microsoft Entra join requieren una línea de visión para el controlador de dominio de AD local para el inicio de sesión inicial y cambiar las contraseñas. Si el dominio está inactivo o no está disponible, se podría impedir que los usuarios inicien sesión en sus puntos de conexión. Si su organización está lejos de tener un dominio local, también debe alejarse de Hybrid Microsoft Entra Join para los dispositivos.

Si usa la autenticación sin contraseña, los usuarios necesitan acceso a Internet y una línea de visión para los controladores de dominio (DC). Para autenticarse, los puntos de conexión híbridos Microsoft Entra join pueden usar Kerberos y NTLM.

¿Hybrid Microsoft Entra Join se considera nativo de la nube?

No, Hybrid Microsoft Entra Join no se considera nativo de la nube.

La solución en la nube es Microsoft Entra Unir los puntos de conexión. Los puntos de conexión y sus identidades se crean y almacenan en Microsoft Entra. Intune administra los puntos de conexión con la configuración y las directivas. Estos servicios funcionan con otros servicios en la nube, como Microsoft 365, Microsoft Defender XDR, etc.

Siga las instrucciones sobre puntos de conexión nativos de la nube

Información general: ¿qué son los puntos de conexión nativos de la nube?
Tutorial: Introducción a los puntos de conexión de Windows nativos en la nube
🡺 Concepto: Microsoft Entra unidos frente a Microsoft Entra híbridos unidos (estás aquí)
Concepto: puntos de conexión nativos en la nube y recursos locales
Guía de planeación de alto nivel
Problemas conocidos e información importante