Guía de planeación de alto nivel para mover a puntos de conexión nativos de nube

Sugerencia

Al leer sobre los puntos de conexión nativos en la nube, verá los siguientes términos:

• Punto de conexión: un punto de conexión es un dispositivo, como un teléfono móvil, una tableta, un portátil o un equipo de escritorio. "Puntos de conexión" y "dispositivos" se usan indistintamente.
• Puntos de conexión administrados: puntos de conexión que reciben directivas de la organización mediante una solución MDM u objetos directiva de grupo. Estos dispositivos suelen ser propiedad de la organización, pero también pueden ser dispositivos BYOD o de propiedad personal.
• Puntos de conexión nativos en la nube: puntos de conexión unidos a Azure AD. No están unidos a AD local.
• Carga de trabajo: cualquier programa, servicio o proceso.

Esta guía de planeamiento de alto nivel incluye ideas y sugerencias que debe tener en cuenta para su adopción y migración a puntos de conexión nativos de nube. Describe la administración de dispositivos, la revisión y la transición de las cargas de trabajo existentes, la realización de cambios en la organización, el uso de Windows Autopilot y mucho más.

Esta característica se aplica a:

• Puntos de conexión nativos en la nube de Windows

Mover los puntos de conexión de Windows a nativo de la nube tiene muchas ventajas, incluidas las ventajas a largo plazo. No es un proceso de la noche a la mañana y debe planearse para evitar problemas, interrupciones e impacto negativo a nivel de usuario.

Para obtener más información sobre las ventajas para la organización y los usuarios, vaya a ¿Qué son los puntos de conexión nativos de nube?

Para que se realice correctamente, tenga en cuenta las áreas clave que se describen en este artículo para la planeación y la implementación. Con el planeamiento, las comunicaciones y las actualizaciones de procesos adecuados, su organización puede llegar a ser nativa de nube.

Administración de dispositivos mediante un proveedor de MDM nativo en nube

La administración de los puntos de conexión, incluidos los puntos de conexión nativos de nube, es una tarea importante para todas las organizaciones. Con los puntos de conexión nativos de nube, las herramientas de administración que use deben administrar los puntos de conexión dondequiera que vayan.

Si actualmente no usa una solución de administración de dispositivos móviles (MDM) o quiere pasar a una solución de Microsoft, los siguientes artículos son buenos recursos:

• ¿Qué es Microsoft Intune?
• Introducción a Microsoft Intune

Con la Microsoft Intune familia de productos y servicios, tiene las siguientes opciones de administración de puntos de conexión:

• Microsoft Intune: Intune está 100 % basado en la nube y usa el centro de administración de Intune para administrar dispositivos, administrar aplicaciones en dispositivos, crear & implementar directivas, revisar los datos de informes, etc.

  Para obtener más información sobre el uso de Intune para administrar los puntos de conexión, vaya a:

  • Microsoft Intune administra identidades, administra aplicaciones y administra dispositivos de forma segura
  • Guía de implementación: Cómo configurar o pasar a Microsoft Intune
  • Guía de planeamiento de Microsoft Intune

• Microsoft Configuration Manager: Configuration Manager usa una infraestructura local y puede administrar servidores. Cuando se usa la administración conjunta, algunas cargas de trabajo usan Configuration Manager (local) y otras usan Microsoft Intune (nube).

  En el caso de los puntos de conexión nativos de nube, las soluciones de Configuration Manager deben usar una Puerta de enlace de administración en la nube (CMG) y la administración conjunta.

Revisión de las cargas de trabajo de punto de conexión y usuario

En un nivel alto, la implementación de puntos de conexión nativos en nube requiere estrategias modernas para la identidad, la distribución de software, la administración de dispositivos, las actualizaciones del sistema operativo y la administración de datos de usuario y configuración. Microsoft tiene soluciones que admiten estas áreas para los puntos de conexión nativos de nube.

Para empezar, revise cada carga de trabajo y determine cómo puede o admitir los puntos de conexión nativos de nube. Es posible que algunas cargas de trabajo ya admitan puntos de conexión nativos de nube. La compatibilidad nativa depende de la carga de trabajo específica, de cómo la organización implemente los servicios de carga de trabajo y de cómo los usuarios usen los servicios.

Para determinar si las cargas de trabajo admiten puntos de conexión nativos de nube, debe investigar y validar estos servicios.

Si un servicio o una solución no admite puntos de conexión nativos de nube, determine su impacto y su importancia en los usuarios y la organización. Cuando tenga esta información, puede determinar los pasos siguientes, que pueden incluir:

• Trabajar con el proveedor de servicios
• Actualizar a una nueva versión
• Usar un nuevo servicio
• Implementación de una solución alternativa para acceder a ese servicio y usarlo desde un punto de conexión nativo de nube
• Validación de los requisitos del servicio
• Aceptar que el servicio no es compatible con la nube nativa, lo que puede ser aceptable para los usuarios y la organización

En cualquier caso, debe planear la actualización de las cargas de trabajo para admitir puntos de conexión nativos de nube.

Las cargas de trabajo deben tener las siguientes características:

• Acceso seguro a aplicaciones y datos desde cualquier lugar donde se encuentren los usuarios. El acceso no requiere una conexión a una red corporativa o interna.
• Hospedadas en, hospedadas por o a través de un servicio en la nube.
• No requiere ni depende de un dispositivo específico.

Cargas de trabajo comunes y soluciones

Los puntos de conexión nativos de nube también incluyen los servicios y las cargas de trabajo que admiten los puntos de conexión.

Las siguientes cargas de trabajo son la configuración, las herramientas, los procesos y los servicios para permitir la productividad del usuario y la administración de puntos de conexión.

Las cargas de trabajo y detalles exactos, y el cómo actualizar las cargas de trabajo para los puntos de conexión nativos de nube pueden ser diferentes. Además, no es necesario realizar la transición de cada carga de trabajo. Sin embargo, debe tener en cuenta cada carga de trabajo, su impacto en la productividad del usuario y las capacidades de administración de dispositivos. La conversión de algunas cargas de trabajo para usar puntos de conexión nativos de la nube puede tardar más que otras. Las cargas de trabajo también pueden tener interdependencias entre sí.

• Identidad del dispositivo

  La identidad de un dispositivo la determinan los proveedores de identidades (IdP) que tienen conocimiento del dispositivo y una confianza de seguridad con el dispositivo. En el caso de los puntos de conexión de Windows, los idP más comunes son Active Directory local (AD) y Microsoft Entra ID. Por lo general, los puntos de conexión con identidades de uno de estos IdP se unen a uno de estos puntos de conexión o a ambos.

  • En el caso de los puntos de conexión nativos de la nube, Microsoft Entra combinación es la mejor opción para la identidad del dispositivo. No requiere conectividad con una red, un recurso o un servicio locales.
  • La unión a AD local y la unión Microsoft Entra híbrida requieren conectividad con un controlador de dominio local. Necesitan conectividad para el inicio de sesión inicial del usuario, para entregar directivas de grupo y cambiar contraseñas. Estas opciones no son adecuadas para puntos de conexión nativos de la nube.

  Nota:

  Microsoft Entra registro, a veces denominado unión al área de trabajo, es solo para escenarios de traiga su propio dispositivo (BYOD). No se debe usar para los puntos de conexión de Windows que sean propiedad de la organización. Es posible que algunas funciones no se admitan ni funcionen según lo esperado en Microsoft Entra puntos de conexión de Windows registrados.

• Aprovisionamiento de los puntos de conexión

  Para los puntos de conexión de unión Microsoft Entra recién implementados, use Windows Autopilot para preconfigurar dispositivos. Unirse a Microsoft Entra suele ser una tarea controlada por el usuario y Windows Autopilot está diseñado teniendo en cuenta a los usuarios. Windows Autopilot permite el aprovisionamiento mediante la nube desde cualquier lugar de Internet y por cualquier usuario.

  Para obtener más información, visite esta página:

  • Información general sobre Windows Autopilot
  • Escenarios y capacidades de Windows Autopilot

• Implementación de software y aplicaciones

  La mayoría de los usuarios necesitan y usan software y aplicaciones no incluidas con el sistema operativo principal. En muchos casos, el departamento de TI no conoce ni entiende los requisitos específicos de la aplicación. Sin embargo, la entrega y administración de estas aplicaciones sigue siendo responsabilidad del equipo de TI. Los usuarios deben poder solicitar e instalar las aplicaciones que necesitan para realizar su trabajo, independientemente del punto de conexión que usen o de dónde lo usen.

  • Para implementar software y aplicaciones, use un sistema basado en la nube, como Intune o Configuration Manager (con una CMG y administración conjunta).

  • Cree una línea base de aplicaciones que los puntos de conexión deben tener, como Microsoft Outlook y Teams. Para otras aplicaciones, permita que los usuarios instalen sus propias aplicaciones.

    En los puntos de conexión, puede usar la aplicación Portal de empresa como repositorio de aplicaciones. O bien, use un portal orientado al usuario que muestre las aplicaciones que se pueden instalar. Esta opción de autoservicio reduce el tiempo de aprovisionamiento de dispositivos nuevos y existentes. También reduce la carga de TI y no es necesario implementar aplicaciones que los usuarios no necesiten.

  Para obtener más información, visite esta página:

  • Implementación de aplicaciones de Windows 10/11 con Microsoft Intune
  • Introducción a la administración de aplicaciones en Configuration Manager
  • Repositorio de aplicaciones privadas en Windows 11

• Configuración de las opciones del dispositivo mediante directivas

  La administración de directivas y seguridad es fundamental en la administración de puntos de conexión. Las directivas de punto de conexión permiten a su organización aplicar una línea base de seguridad específica y una configuración estándar en los puntos de conexión administrados. Hay muchas opciones de configuración que puede administrar y controlar en los puntos de conexión. Cree directivas que solo configuren lo necesario en la línea base. NO cree directivas que controlen las preferencias comunes del usuario.

  • La aplicación de directivas tradicional mediante la directiva de grupo no es posible con puntos de conexión nativos de nube. En su lugar, puede usar Intune para crear directivas para configurar muchas opciones, incluidas las características integradas, como el catálogo de configuraciones y las plantillas administrativas.

    Análisis de directiva de grupo en Intune puede analizar GPO locales, ver si se admite esa misma configuración en la nube y crear una directiva con esa configuración.

  • Si tiene directivas existentes que emiten certificados, administran BitLocker y proporcionan protección de puntos de conexión, debe crear nuevas directivas en Intune o Configuration Manager (con una CMG y administración conjunta).

    Para obtener más información, visite esta página:

    • Utilizar certificados para autenticación en Microsoft Intune
    • Directiva de cifrado de disco para la seguridad de puntos de conexión en Intune
    • Agregar la configuración de Endpoint Protection en Intune
    • Certificados en Configuration Manager
    • Administración de BitLocker en Configuration Manager
    • Endpoint Protection en Configuration Manager

• Implementación de actualizaciones de seguridad, características y aplicaciones

  Muchas soluciones locales no pueden implementar actualizaciones en puntos de conexión nativos de nube ni implementarlas de forma eficaz. Desde una perspectiva de seguridad, esta carga de trabajo puede ser la más importante. Debe ser la primera carga de trabajo que realice la transición para admitir puntos de conexión de Windows nativos de nube.

  • Implemente las actualizaciones de Windows con un sistema basado en la nube, como Windows Update para empresas. Con Intune o Configuration Manager (con una CMG y administración conjunta), puede usar Windows Update para empresas para implementar actualizaciones de seguridad y actualizaciones de características.

    Para obtener más información, visite esta página:

    • Administrar las actualizaciones de software de Windows 10 y Windows 11 en Intune
    • Integración de Configure Manager con Windows Update para empresas
    • Decida cómo administrar las actualizaciones de Aplicaciones de Microsoft 365

  • Implemente las actualizaciones de aplicaciones de Microsoft 365 con las siguientes opciones:

    • Intune: cree una directiva que establezca el canal de actualización, quite otras versiones de la aplicación y mucho más.
    • Configuration Manager (con una CMG y una administración conjunta): administre las aplicaciones, incluidas las estadísticas de actualización, la copia, la retirada y mucho más.

    Para obtener más información, visite esta página:

    • Agregar aplicaciones de Microsoft 365 a dispositivos Windows 10/11 con Microsoft Intune
    • Tareas de administración para aplicaciones de Configuration Manager

• Administración de datos de usuario y configuración

  Los datos de usuario incluyen los siguientes elementos:

  • Documentos de usuario
  • Configuración de la aplicación de correo
  • Favoritos del explorador web
  • Datos específicos de la aplicación de línea de negocio (LOB)
  • Configuración específica de la aplicación de línea de negocio (LOB)

  Los usuarios deben crear y acceder a sus datos desde cualquier punto de conexión. Estos datos también deben protegerse y es posible que deban compartirse con otros usuarios.

  • Almacene los datos de usuario y la configuración en un proveedor de almacenamiento en la nube, como Microsoft OneDrive. Los proveedores de almacenamiento en la nube pueden controlar la sincronización de datos, el uso compartido, el acceso sin conexión, la resolución de conflictos, etc.

    Para obtener más información, vaya a Guía de OneDrive para empresas.

  Importante

  Algunas opciones de configuración de usuario, como las preferencias del sistema operativo o la configuración específica de la aplicación, se almacenan en el Registro. Es posible que el acceso a esta configuración desde cualquier lugar no sea realista y que se le prohíba sincronizar con distintos puntos de conexión.

  Es posible que esta configuración se pueda exportar y, a continuación, importarla en otro dispositivo. Por ejemplo, puede exportar la configuración de usuario desde Outlook, Word y otras aplicaciones de Office.

• Acceder a recursos locales

  Algunas organizaciones no pueden realizar la transición de algunas cargas de trabajo a soluciones nativas de la nube. La única opción podría ser acceder a los recursos o servicios locales existentes desde un punto de conexión nativo de la nube. Para estos escenarios, los usuarios necesitan acceso.

  Para estos servicios, recursos y aplicaciones locales, tenga en cuenta las siguientes tareas:

  • Autenticación y autorización: para acceder a los recursos locales desde puntos de conexión nativos de nube, los usuarios deben autenticarse y comprobar su identidad. Para obtener información más específica, vaya a Autenticación y acceso a recursos locales con un punto de conexión nativo de nube.

  • Conectividad: revise y evalúe las aplicaciones & recursos que solo residen en el entorno local. La conectividad y el acceso a estos recursos deben estar disponibles fuera del entorno local y sin conectividad directa, como una VPN. Esta tarea puede incluir el traslado a versiones SaaS de las aplicaciones mediante Microsoft Entra Application Proxy, Azure Virtual Desktop, Windows 365, SharePoint, OneDrive o Microsoft Teams.

  Nota:

  Microsoft Entra no admite el protocolo de autenticación Kerberos. AD local admite el protocolo de autenticación de Kerberos. En el planeamiento, puede obtener más información sobre Microsoft Entra Kerberos. Cuando se configura, los usuarios inician sesión en un punto de conexión nativo de la nube mediante su cuenta de Microsoft Entra y pueden acceder a aplicaciones o servicios locales que usan la autenticación Kerberos.

  Microsoft Entra Kerberos:

  • No se usa en las soluciones nativas de nube.
  • No resuelve ningún problema de conectividad para los recursos que requieren autenticación a través de Microsoft Entra.
  • No es la respuesta ni la solución para los requisitos de autenticación de dominio a través de Microsoft Entra.
  • No soluciona los desafíos de autenticación de la máquina que se muestran en Problemas conocidos e información importante.

  Para obtener un conocimiento más profundo de Microsoft Entra Kerberos y los escenarios que puede abordar, vaya a los blogs siguientes:

  • Por qué hemos creado Microsoft Entra Kerberos (abre un sitio web externo)
  • Profundización: Cómo funciona Microsoft Entra Kerberos (abre otro sitio web de Microsoft)
  • Funcionamiento de Microsoft Entra Kerberos (syfuhs.net) (abre un sitio web externo)

Transición de las cargas de trabajo en fases

La modernización de las cargas de trabajo y la adopción de puntos de conexión nativos de la nube requiere cambios en los procesos y procedimientos operativos. Por ejemplo:

• Los administradores deben comprender cómo los cambios en las cargas de trabajo existentes pueden cambiar sus procesos.
• El centro de asistencia telefónica debe comprender los nuevos escenarios que admitirán.

Al revisar los puntos de conexión y las cargas de trabajo, divida la transición en fases. En esta sección, se proporciona información general sobre algunas fases recomendadas que puede usar su organización. Estas fases se pueden repetir tantas veces como sea necesario.

✅ Fase 1: Obtener información sobre las cargas de trabajo

Esta fase es la fase de recopilación de información. Le ayuda a establecer el ámbito de lo que debe tener en cuenta para que su organización realice la transición a la nube. Implica definir exactamente qué servicios, productos y aplicaciones intervienen en cada carga de trabajo de su entorno.

En esta fase:

1. Haga un inventario de la información y los detalles de la carga de trabajo actual. Por ejemplo, conozca su estado actual, lo que proporcionan, a quién prestan servicio, quién los mantiene, si son críticos para la nube nativa y cómo se hospedan.

   Cuando tenga esta información, puede comprender y definir el objetivo final, que debe ser:

   • Admitir puntos de conexión nativos de nube
   • Conocer los servicios, productos y aplicaciones que usa cada carga de trabajo

   Debe coordinarse con los propietarios de los diferentes servicios, productos y aplicaciones. Deberá asegurarse de que los puntos de conexión nativos de nube admiten la productividad del usuario sin restricciones de conectividad o ubicación.

   Entre los ejemplos de servicios y aplicaciones comunes, se incluyen aplicaciones de línea de negocio (LOB), sitios web internos, recursos compartidos de archivos, requisitos de autenticación, mecanismos de actualización de aplicaciones y sistemas operativos, y configuración de aplicaciones. Básicamente, incluyen todo lo que los usuarios necesitan para realizar por completo su trabajo.

2. Compruebe el estado final de cada carga de trabajo. Identifique los bloqueadores conocidos que impiden llegar a este estado final o impiden la compatibilidad con puntos de conexión nativos de nube.

   Es posible que algunas cargas de trabajo y sus servicios y aplicaciones ya sean compatibles con la nube o estén habilitadas para esta. Algunas no. Llegar al estado final de cada carga de trabajo puede requerir una inversión de la organización & esfuerzo. Puede incluir la actualización de software, "elevación y desplazamiento" a una nueva plataforma, la migración a una nueva solución o la realización de cambios de configuración.

   Los pasos necesarios para cada carga de trabajo son diferentes con cada organización. Dependen de cómo los usuarios hospedan y acceden al servicio o la aplicación. Este estado final debe abordar el desafío principal de permitir que los usuarios realicen su trabajo en un punto de conexión nativo de nube, independientemente de la ubicación o la conectividad con la red interna.

   En función de cada estado final definido, puede detectar o definir que la habilitación en la nube de un servicio o aplicación es difícil o está bloqueada. Esta situación puede ocurrir por diferentes motivos, incluidas las limitaciones técnicas o financieras. Estas limitaciones deben ser claras y poder entenderse. Debe revisar su impacto y determinar cómo mover cada carga de trabajo para que sea nativa de la nube.

✅ Fase 2: Priorizar los bloqueadores

Después de identificar las cargas de trabajo clave y sus bloqueadores de estado final, haga lo siguiente:

1. Priorice cada bloqueador y evalúe cada bloqueador para la resolución.

   Es posible que no quiera o necesite abordar todos los bloqueadores. Por ejemplo, es posible que su organización tenga cargas de trabajo, o una parte de las cargas de trabajo, que no admitan los puntos de conexión nativos de la nube. Esta falta de soporte técnico puede o no ser significativa para su organización o usuarios. Usted y su organización pueden tomar esta decisión.

2. Para admitir pruebas y pruebas de concepto (POC), comience con un conjunto mínimo de cargas de trabajo. El objetivo es probar y validar un ejemplo de las cargas de trabajo.

   Como parte de la POC, identifique un conjunto de usuarios y dispositivos en un escenario piloto para ejecutar un escenario de producción real. Este paso ayuda a demostrar si el estado final permite la productividad del usuario.

   En muchas organizaciones, hay un rol o un grupo de negocios que es más fácil de migrar. Por ejemplo, puede dirigirse a los siguientes escenarios en su POC:

   • Equipo de ventas con gran movilidad cuyos requisitos principales son herramientas de productividad y una solución de gestión de la relación con el cliente en línea
   • Trabajadores del conocimiento que acceden principalmente al contenido que ya está en la nube y dependen en gran medida de las aplicaciones de Microsoft 365
   • Dispositivos de personal de primera línea que se desplazan con gran frecuencia o que están en entornos en los que no tienen acceso a la red de la organización

   Para estos grupos, revise sus cargas de trabajo. Determine cómo pueden pasar estas cargas de trabajo a la administración moderna, incluida la identidad, la distribución de software, la administración de dispositivos, etc.

   Para cada una de las áreas del piloto, el número de elementos o tareas debe ser bajo. Este piloto inicial le ayuda a crear los procesos y procedimientos necesarios para más grupos. También ayuda a crear su estrategia a largo plazo.

   Para obtener más instrucciones y sugerencias, vaya a la guía de planeamiento de Microsoft Intune. Se aplica a Intune, pero también incluye algunas instrucciones al usar grupos piloto y crear planes de implementación.

✅ Fase 3: Transición de las cargas de trabajo

En esta fase, está listo para implementar los cambios.

1. Mueva las cargas de trabajo desbloqueadas a las soluciones nativas de nube planeadas o al estado final. Idealmente, este paso se divide en elementos de trabajo más pequeños. El objetivo es continuar las operaciones empresariales con una interrupción mínima.

2. Después de que el primer conjunto de cargas de trabajo admita puntos de conexión nativos de nube, identifique más cargas de trabajo y continúe el proceso.

✅ Fase 4: Preparación de los usuarios

Los usuarios tienen diferentes experiencias para recibir, implementar y ser compatibles en sus dispositivos. Los administradores deben:

• Revise los procesos y la documentación existentes para identificar dónde están visibles los cambios para los usuarios.
• Actualizar la documentación.
• Crear una estrategia educativa para compartir los cambios y las ventajas que experimentarán los usuarios.

Transición de la organización en fases

Las fases siguientes son un enfoque de alto nivel para que las organizaciones muevan su entorno para admitir puntos de conexión de Windows nativos de nube. Estas fases son paralelas a los puntos de conexión de transición y las cargas de trabajo de usuario. Pueden depender de que ciertas cargas de trabajo se realicen en transición parcial o completa para admitir puntos de conexión de Windows nativos de nube.

✅ Fase 1: Definición de puntos de conexión, dependencias e hitos

Esta fase es el primer paso para que la migración de la organización sea totalmente nativa de la nube. Revise lo que tiene actualmente, defina criterios de éxito y empiece a planear cómo se agregarán los dispositivos a Microsoft Entra.

1. Definición de los puntos de conexión que requieren una identidad en la nube

   • Los puntos de conexión que usan el acceso a Internet requieren una identidad en la nube. Agregará estos puntos de conexión a Microsoft Entra.
   • Los puntos de conexión que no usan Internet o que solo se usan en el entorno local no deben tener una identidad en la nube. No migre estos escenarios para que sean nativos de nube.

2. Definición de dependencias

   Las cargas de trabajo, los usuarios y los dispositivos tienen dependencias técnicas y no técnicas. Para realizar la transición con un impacto mínimo en los usuarios y la organización, debe tener en cuenta estas dependencias.

   Por ejemplo, una dependencia puede ser:

   • Procesos empresariales y continuidad
   • Estándares de seguridad
   • Leyes y regulaciones locales
   • Conocimientos del usuario y uso de la carga de trabajo
   • Capital, costos operativos y presupuesto

   Para cada carga de trabajo, pregunte "¿Qué se ve afectado si cambiamos algo acerca de los servicios proporcionados por esta carga de trabajo?". Debe tener en cuenta los efectos de este cambio.

3. Definición de hitos y criterios de éxito para cada carga de trabajo

   Cada carga de trabajo tiene sus propios hitos y criterios de éxito. Se pueden basar en el uso de la carga de trabajo por parte de la organización y su aplicabilidad a determinados puntos de conexión y usuarios.

   Para comprender y definir el progreso de la transición, realice un seguimiento y supervise esta información.

4. Planear la implementación de Windows Autopilot

   • Determine cómo y cuándo se registrarán los dispositivos en su organización.
   • Determine y cree las etiquetas de grupo necesarias para dirigirse a las directivas de Windows Autopilot.
   • Cree el perfil de Windows Autopilot con sus opciones de configuración y apunte a los dispositivos que recibirán su perfil.

   Para obtener más información, visite esta página:

   • Información general sobre Windows Autopilot
   • Escenarios y capacidades de Windows Autopilot

✅ Fase 2: Habilitación de la identidad híbrida de la nube del punto de conexión (opcional)

Para ser totalmente nativo de la nube, Microsoft recomienda restablecer los puntos de conexión de Windows existentes como parte de un ciclo de actualización de hardware. Al restablecer, el punto de conexión se restaura de nuevo a la configuración de fábrica. Se eliminan todas las aplicaciones, la configuración y los datos personales del dispositivo.

Si no está listo para restablecer los puntos de conexión, puede habilitar la unión Microsoft Entra híbrida. Se crea una identidad en la nube para puntos de conexión híbridos Microsoft Entra de unión. Recuerde que la unión Microsoft Entra híbrida sigue necesitando conectividad local.

Recuerde que la unión Microsoft Entra híbrida es un paso de transición a la nube nativa y no es el objetivo final. El objetivo final es que todos los puntos de conexión existentes sean totalmente nativos de la nube.

Cuando los puntos de conexión son totalmente nativos de la nube, los datos de usuario se almacenan en un proveedor de almacenamiento en la nube, como OneDrive. Por lo tanto, cuando se restablece un punto de conexión, las aplicaciones de usuario, la configuración y los datos siguen siendo accesibles y pueden replicarse en un punto de conexión recién aprovisionado.

Para obtener más información, vaya a:

• Microsoft Entra unidos frente a Microsoft Entra híbridos unidos
• Configuración de una combinación de Microsoft Entra híbrida

Nota:

Microsoft no tiene una utilidad de migración para convertir los puntos de conexión existentes de Microsoft Entra híbridos o unidos a un dominio local a Microsoft Entra unidos. Microsoft recomienda que estos dispositivos se restablezcan y vuelvan a implementar como parte de una actualización de hardware.

✅ Fase 3: Conexión a la nube de Configuration Manager (opcional)

Si usa Configuration Manager, realice la conexión a la nube de su entorno a Microsoft Intune. Si no usa Configuration Manager, omita este paso.

Al conectarse a la nube, puede administrar de forma remota los puntos de conexión de cliente, administrar conjuntamente los puntos de conexión con Intune (nube) y Configuration Manager (local) y acceder al centro de administración de Intune.

Para obtener información más específica, vaya a Cloud attach your Configuration Manager environment (Conexión a la nube del entorno de Configuration Manager) y a Walk through the Microsoft Intune admin center (Guía del centro de administración de Microsoft Intune).

✅Fase 4: Create una prueba de concepto Microsoft Entra unida

Esta fase crítica puede comenzar en cualquier momento. Ayuda a identificar posibles problemas, problemas desconocidos y valida la funcionalidad general y las resoluciones de esos problemas. Al igual que con todos los POC, el objetivo es probar y validar la funcionalidad en un entorno empresarial real en lugar de en un entorno de laboratorio.

Entre los pasos importantes para esta fase se incluyen:

1. Implementar una configuración de línea base mínima mediante Intune

   Este paso es importante. No debería introducir puntos de conexión en la red ni en producción que:

   • No siga los estándares de seguridad de su organización
   • No estén configurados para que los usuarios realicen su trabajo.

   Esta configuración mínima no tiene y no debería tener todas las configuraciones posibles aplicadas. Recuerde que la intención es detectar más configuraciones necesarias para que los usuarios tengan éxito.

2. Configuración de Windows Autopilot para puntos de conexión unidos a Microsoft Entra

   El uso de Windows Autopilot para aprovisionar nuevos puntos de conexión y volver a aprovisionar los puntos de conexión existentes es la forma más rápida de introducir Microsoft Entra sistemas unidos a su organización. Es una parte importante de la POC.

3. Implementación de un POC para sistemas unidos a Microsoft Entra

   • Use una combinación de puntos de conexión que representen diferentes configuraciones y usuarios. Necesita la mayor validación posible de este nuevo estado del sistema.

   • Solo el uso de producción real por parte de los usuarios de producción reales validará completamente las cargas de trabajo y su funcionalidad. Mediante el uso natural y diario de los puntos de conexión de MICROSOFT ENTRA, los usuarios prueban y validan las cargas de trabajo de forma orgánica.

   • Cree listas de comprobación de escenarios y funcionalidad críticos para la empresa y proporcione estas listas a los usuarios participantes de la POC. Las listas de comprobación son específicas de cada organización y pueden cambiar a medida que las cargas de trabajo se pasan a cargas de trabajo descriptivas nativas de nube.

4. Validar funcionalidad

   La validación es un proceso repetitivo. Se basa en las cargas de trabajo y su configuración dentro de la organización.

   • Recopile comentarios de los usuarios sobre los puntos de conexión de POC, las cargas de trabajo y su funcionalidad. Estos comentarios deben ser de los usuarios que han usado los puntos de conexión nativos de la nube.

     Es posible que se detecten otros bloqueadores y cargas de trabajo o escenarios previamente desconocidos o no contemplados.

   • Use los hitos y los criterios de éxito establecidos previamente para cada carga de trabajo. Ayudarán a determinar el progreso y el ámbito de la POC.

✅Fase 5: Microsoft Entra unir los puntos de conexión de Windows existentes

Esta fase pasa el nuevo aprovisionamiento de puntos de conexión de Windows a Microsoft Entra unido. Una vez resueltos todos los bloqueadores y problemas, puede mover los dispositivos existentes para que sean totalmente nativos de nube. Tiene las siguientes opciones:

• Opción 1: reemplazar los dispositivos. Si los dispositivos han llegado al final de su vida útil o no son compatibles con la seguridad moderna, la mejor opción es sustituirlos. Los dispositivos modernos admiten características de seguridad nuevas y mejoradas, incluida la tecnología de Módulo de plataforma segura (TPM).

• Opción 2: restablecer los dispositivos Windows. Si los dispositivos existentes admiten las características de seguridad más recientes, puede restablecer los dispositivos. Durante la experiencia integrada (OOBE) o cuando los usuarios inician sesión, pueden unir los dispositivos a Microsoft Entra.

  Antes de restablecer un punto de conexión de Windows existente, asegúrese de:

  1. Eliminar el dispositivo en Intune.
  2. Eliminar el registro de dispositivos Windows Autopilot.
  3. Elimine el objeto de dispositivo Microsoft Entra existente.

  A continuación, restablezca el dispositivo y vuelva a aprovisionar el punto de conexión.

Cuando los dispositivos estén listos, únase a estos dispositivos para Microsoft Entra con la opción que mejor se adapte a su organización. Para obtener información más específica, vaya a Microsoft Entra dispositivos unidos y Cómo: Planear la implementación de Microsoft Entra unión.

Mover desde objetos de directiva de grupo (GPO)

Muchas organizaciones usan GPO para configurar y administrar sus puntos de conexión de Windows.

Con el tiempo, se complica debido a la falta de documentación, la falta de claridad en el propósito o los requisitos de la directiva, el uso de directivas heredadas o no funcionales y el uso de características complejas. Por ejemplo, puede haber directivas que incluyan filtros WMI, tengan estructuras de unidad organizativa complejas y usen el bloqueo de herencia, el bucle invertido o el filtrado de seguridad.

Administrar la configuración mediante Intune

Microsoft Intune tiene muchas opciones integradas que se pueden configurar e implementar en los puntos de conexión nativos de nube. Al migrar a Intune para la administración de directivas, tiene algunas opciones.

Estas opciones no siempre son mutuamente excluyentes. Puede migrar un subconjunto de directivas e iniciar nuevas para otros usuarios.

• Opción 1: Iniciar nuevo (recomendado): Intune tiene muchas opciones para configurar y administrar los puntos de conexión. Puede crear una directiva, agregarla y configurarla en la directiva y, a continuación, implementarla.

  Muchas directivas de grupo existentes incluyen directivas que podrían no aplicarse a los puntos de conexión nativos de nube. Empezar de cero permite que una organización valide y simplifique sus directivas aplicadas existentes, al tiempo que elimina las directivas heredadas, olvidadas o incluso perjudiciales. Intune tiene plantillas integradas que agrupan configuraciones comunes, como VPN, Wi-Fi, protección de puntos de conexión, etc.

• Opción 2: Migrar: esta opción implica levantar las directivas existentes y cambiarlas al motor de directivas de Intune. Puede ser engorroso y llevar mucho tiempo. Por ejemplo, puede tener muchas directivas de grupo existentes y habrá diferencias con la configuración local frente a la nube.

  Si elige esta opción, debe revisar y analizar las directivas de grupo existentes y determinar si siguen siendo necesarias o válidas en los puntos de conexión nativos de nube. Debe eliminar las directivas innecesarias, incluidas las directivas que pueden causar sobrecarga, degradar el rendimiento del sistema o la experiencia del usuario. No mueva las directivas de grupo a Intune hasta que sepa lo que hacen.

Características de Intune que debe conocer

Intune también tiene características integradas que pueden ayudarle a configurar los puntos de conexión nativos de nube:

• análisis de directiva de grupo: puede importar los GPO en el centro de administración de Microsoft Intune y ejecutar un análisis sobre las directivas. Puede ver las directivas que existen en Intune y las directivas que están en desuso.

  Si usa GPO, el uso de esta herramienta es un primer paso valioso.

  Para obtener más información, vaya a análisis de directiva de grupo en Intune.

• Configuración del catálogo: vea todas las opciones disponibles en Intune y cree, configure e implemente una directiva con esta configuración. Tareas que puede completar con el Catálogo de configuración en Intune también puede ser un buen recurso. Si crea GPO, el catálogo de configuración es una transición natural a la configuración de punto de conexión nativo de nube.

  Cuando se combina con directiva de grupo análisis, puede implementar las directivas que usó de forma local en los puntos de conexión nativos de la nube.

  Para obtener más información, vaya al catálogo Configuración en Intune.

• Plantillas administrativas: estas plantillas son similares a las plantillas ADMX que se usan en el entorno local y están integradas en Intune. No se descargan. Estas plantillas incluyen muchas opciones de configuración que controlan las características de Microsoft Edge, Internet Explorer, aplicaciones de Microsoft Office, escritorio remoto, OneDrive, contraseñas, PIN, etc.

  Si usa plantillas administrativas locales, usarlas en Intune es una transición natural.

  Para obtener más información, vaya a Plantillas administrativas en Intune.

  También puede ingerir un conjunto existente de directivas ADMX para aplicaciones Win32 y Puente de dispositivo de escritorio. Para obtener más información, visite esta página:

  • Descripción de las directivas ADMX: administración de clientes de Windows
  • Habilitación de directivas ADMX en MDM: administración de clientes de Windows
  • Ingesta de directivas ADMX de aplicaciones Win32 y Puente de dispositivo de escritorio: administración de clientes de Windows

  Nota:

  A partir de Windows 10, versión 1703, la compatibilidad con la configuración de directivas de Administración de dispositivos móviles (MDM) se ha ampliado para permitir el acceso al conjunto seleccionado de plantillas administrativas de directivas de grupo (directivas ADMX) para equipos Windows con el Proveedor de servicios de configuración de directivas (CSP). La configuración de directivas ADMX en el CSP de directivas es diferente de la forma habitual de configurar una directiva MDM tradicional.

• Líneas base de seguridad: una línea base de seguridad es un grupo de opciones preconfiguradas de Windows. Le ayudan a aplicar e implementar la configuración de seguridad granular recomendada por los equipos de seguridad. Al crear una línea base de seguridad, también puede personalizar cada línea base para aplicar solo la configuración que desee.

  Puede crear una línea base de seguridad para Windows, Microsoft Edge y mucho más. Si no está seguro de por dónde empezar o quiere que los expertos en seguridad le recomienden la configuración de seguridad, examine las líneas base de seguridad.

  Para obtener más información, vaya a Líneas base de seguridad en Intune.

Usar Windows Autopilot para aprovisionar puntos de conexión de Windows nuevos o existentes

Si compra puntos de conexión a un OEM o partner, debe usar Windows Autopilot.

Estas son algunas de las ventajas:

• Proceso de configuración de Windows integrado: presenta una experiencia de usuario final simplificada, guiada y de marca.

• Enviar puntos de conexión directamente a los usuarios finales: los proveedores y OEM pueden enviar puntos de conexión directamente a los usuarios. Los usuarios reciben los puntos de conexión, inician sesión con su cuenta de organización (user@contoso.com) y Windows Autopilot aprovisiona el punto de conexión de manera automática.

  Esta característica ayuda a limitar la sobrecarga y los costos relacionados con el envío y los procesos de TI internos de alta interacción.

  Para obtener mejores resultados, registre previamente los puntos de conexión con los OEM o proveedores. El registro previo ayuda a evitar los retrasos que pueden producirse al registrar manualmente los puntos de conexión.

• Los usuarios pueden restablecer los propios puntos de conexión existentes: si los usuarios tienen puntos de conexión de Windows existentes, pueden restablecer los propios dispositivos. Cuando se restablecen, se restauran los puntos de conexión a una línea base mínima y un estado administrado. No requiere una intervención de TI de alto costo ni acceso físico al punto de conexión.

Nota:

No se recomienda usar Windows Autopilot para Microsoft Entra unir puntos de conexión recién aprovisionados. Funciona, pero hay algunos desafíos. En los puntos de conexión recién aprovisionados, use Windows Autopilot para Microsoft Entra unión (no híbrido Microsoft Entra unión).

Para ayudar a determinar el método de combinación adecuado para su organización, vaya a Microsoft Entra unido frente a híbrido Microsoft Entra unido.

Para obtener más información sobre Windows Autopilot, vaya a:

• Introducción a Windows Autopilot
• Escenarios y características de Windows Autopilot
• Preguntas más frecuentes sobre Windows Autopilot

Siga las instrucciones de puntos de conexión nativos de nube

1. Información general: ¿qué son los puntos de conexión nativos de la nube?
2. Tutorial: Introducción a los puntos de conexión de Windows nativos en la nube
3. Concepto: Microsoft Entra unidos frente a Microsoft Entra híbridos unidos
4. Concepto: Puntos de conexión nativos de nube y recursos locales
5. 🡺 Guía de planeación de alto nivel (Usted está aquí)
6. Problemas conocidos e información importante