Inscribir un dispositivo de Windows 10 automáticamente con la directiva de grupo

A partir Windows 10, versión 1709, puedes usar una directiva de grupo para desencadenar la inscripción automática en MDM para dispositivos unidos a dominio de Active Directory (AD).

La inscripción en Intune se desencadena mediante una directiva de grupo creada en su AD local y se produce sin ninguna interacción del usuario. Esto significa que puede inscribir automáticamente un gran número de dispositivos corporativos unidos a un dominio en Microsoft Intune. El proceso de inscripción comienza en segundo plano una vez que inicie sesión en el dispositivo con su cuenta de Azure AD.

Requisitos:

  • Equipo unido a Active Directory que Windows 10 versión 1709 o posterior
  • La empresa ha configurado un servicio de administración de dispositivos móviles (MDM)
  • El Active Directory local debe estar integrado con Azure AD (a través de Azure AD Conectar)
  • El dispositivo no debe estar inscrito en Intune con los agentes clásicos (los dispositivos administrados con agentes no podrán inscribirse con error 0x80180026 )
  • El requisito Windows versión del servidor se basa en el requisito de unión híbrida de Azure AD. Consulte How to plan your hybrid Azure Active Directory join implementation para obtener más información.

La inscripción automática se basa en la presencia de un servicio MDM y el Azure Active Directory registro para el equipo. A partir de Windows 10, versión 1607, una vez que la empresa ha registrado su AD con Azure AD, un equipo de Windows unido a un dominio se registra automáticamente en Azure AD.

Nota

En Windows 10, versión 1709, el protocolo de inscripción se actualizó para comprobar si el dispositivo está unido a un dominio. Para obtener más información, vea [MS-MDE2]: Mobile Device Enrollment Protocol Version 2. Para obtener ejemplos, consulte la sección 4.3.1 RequestSecurityToken de la documentación del protocolo MS-MDE2.

Cuando la directiva de grupo de inscripción automática está habilitada, se crea una tarea en segundo plano que inicia la inscripción de MDM. La tarea usará la configuración del servicio MDM existente a partir Azure Active Directory información del usuario. Si se requiere la autenticación multifactor, el usuario recibirá un mensaje para completar la autenticación. Una vez configurada la inscripción, el usuario puede comprobar el estado en la Configuración página.

En Windows 10, versión 1709 o posterior, cuando se configura la misma directiva en GP y MDM, la directiva de GP gana (la directiva de GP tiene prioridad sobre MDM). Desde Windows 10, versión 1803, una nueva configuración te permite cambiar el ganador del conflicto de directivas a MDM. Para obtener información adicional, consulta Windows 10 de grupo frente a la directiva MDM de Intune que gana.

Para que esta directiva funcione, debes comprobar que el proveedor de servicios MDM permite la inscripción de MDM desencadenada por GP para dispositivos unidos a un dominio.

Comprobar los requisitos y la configuración de inscripción automática

Para asegurarse de que la característica de inscripción automática funciona según lo esperado, debe comprobar que los distintos requisitos y configuraciones están configurados correctamente. Los pasos siguientes muestran la configuración necesaria con el servicio de Intune:

  1. Compruebe que el usuario que va a inscribir el dispositivo tiene una licencia válida de Intune.

    Comprobación de licencia de Intune

  2. Compruebe que la inscripción automática está activada para los usuarios que van a inscribir los dispositivos en Intune. Para obtener más información, consulte Azure AD y Microsoft Intune: Inscripción automática de MDM en el nuevo Portal.

    Comprobación de activación de inscripción automática

    Importante

    Para dispositivos BYOD, el ámbito de usuario MAM tiene prioridad si el ámbito de usuario MAM y el ámbito de usuario MDM (inscripción automática de MDM) están habilitados para todos los usuarios (o los mismos grupos de usuarios). El dispositivo usará Windows de Protección de información (WIP) (si las configuró) en lugar de estar inscrito en MDM.

    Para los dispositivos corporativos, el ámbito de usuario MDM tiene prioridad si ambos ámbitos están habilitados. Los dispositivos se inscriben en MDM.

  3. Compruebe que la versión del sistema operativo del dispositivo Windows 10, versión 1709 o posterior.

  4. La inscripción automática en Intune a través de la directiva de grupo solo es válida para dispositivos unidos a Azure AD híbrido. Esto significa que el dispositivo debe unirse a Active Directory local y Azure Active Directory. Para comprobar que el dispositivo está unido a Azure AD híbrido, ejecute dsregcmd /status desde la línea de comandos.

    Puedes confirmar que el dispositivo está correctamente unido a híbrido si AzureAdJoined y DomainJoined están establecidos en .

    Resultado del estado del dispositivo de inscripción automática

    Además, compruebe que la sección Estado de SSO muestra AzureAdPrt como .

    Comprobación del prt de Azure AD de inscripción automática

    Esta información también se puede encontrar en la lista de dispositivos de Azure AD.

    Lista de dispositivos de Azure AD

  5. Comprobar que la dirección URL de detección de MDM durante la inscripción automática es https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc

    URL de detección de MDM

  6. Algunos inquilinos pueden tener tanto Microsoft Intune como Microsoft Intune inscripción en Mobility. Asegúrese de que la configuración de inscripción automática está configurada en Microsoft Intune en lugar de Microsoft Intune enrollment.

    Intune mdm de configuración de movilidad

  7. Compruebe que la directiva de grupo Habilitar la inscripción automática de MDM con la directiva de grupo predeterminada de credenciales de Azure AD ( Editor de directivas de grupo local > Configuración del equipo > Directivas > Plantillas administrativas > Windows Componentes >MDM) está implementada correctamente en todos los dispositivos que deben estar inscritos en Intune. Puede ponerse en contacto con los administradores de dominio para comprobar si la directiva de grupo se ha implementado correctamente.

  8. Compruebe que el dispositivo no está inscrito con el antiguo cliente de Intune usado en el Portal de Silverlight de Intune (este es el portal de Intune usado antes de Azure Portal).

  9. Compruebe que Azure AD permite al usuario de inicio de sesión inscribir dispositivos.

    Configuración del dispositivo de Azure AD

  10. Compruebe que Microsoft Intune permitir la inscripción de Windows dispositivos.

    Inscripción de Windows dispositivos

Configurar la directiva de grupo de inscripción automática para un solo equipo

Este procedimiento solo sirve de ilustración para mostrar cómo funciona la nueva directiva de inscripción automática. No se recomienda para el entorno de producción de la empresa. Para la implementación masiva, debe usar el proceso de consola de administración de directivas de grupo.

Requisitos:

  • EQUIPO unido a AD que Windows 10 versión 1709 o posterior
  • Enterprise ya tiene configurado el servicio MDM
  • Enterprise AD debe estar registrado en Azure AD
  1. Ejecutar GPEdit.msc

    Haga clic en Inicio y, a continuación, en el cuadro de texto escriba gpedit.

    Resultado de la búsqueda de aplicaciones de escritorio de GPEdit

  2. En Coincidencia recomendada, haga clic en Editar directiva de grupo para iniciarla.

  3. En Directiva de equipo local, haga clic en Plantillasadministrativas Windows > componentes > MDM.

    Directivas mdm

  4. Haz doble clic en Habilitar la inscripción automática de MDM con credenciales predeterminadas de Azure AD (anteriormente denominada Inscripción de MDM automática con token de AAD en Windows 10, versión 1709). Para los archivos ADMX Windows 10, versión 1903 y versiones posteriores, seleccione User Credential como el tipo de credencial seleccionado que se va a usar.

    Nota

    Device Credential Sin embargo, el tipo de credencial puede funcionar, pero Intune aún no lo admite. No se recomienda usar esta opción hasta que se admite.

    Directiva de inscripción automática de MDM

  5. Haga clic enHabilitar y seleccione Credencial de usuario en la lista desplegable Seleccionar tipo de credencial para usary, a continuación, haga clic en Aceptar.

    Nota

    En Windows 10, versión 1903, el archivo MDM.admx se actualizó para incluir una opción para seleccionar qué credencial se usa para inscribir el dispositivo. Device Credential es una nueva opción que solo tendrá efecto en los clientes que han instalado Windows 10 versión 1903 o posterior.

    El comportamiento predeterminado de las versiones anteriores es revertir a User Credential. Device Credential solo se admite para la Microsoft Intune en escenarios con Administración en colaboración o Azure Virtual Desktop.

    Cuando se produce una actualización de directiva de grupo en el cliente, se crea una tarea y se programa para ejecutarse cada 5 minutos durante un día. La tarea se denomina "Programación creada por el cliente de inscripción para inscribirse automáticamente en MDM desde AAD".

    Para ver la tarea programada, inicie la aplicación Programador de tareas.

    Si se requiere autenticación en dos fases, se le pedirá que complete el proceso. Esta es una captura de pantalla de ejemplo.

    Notificación de autenticación en dos fases

    Sugerencia

    Puede evitar este comportamiento mediante directivas de acceso condicional en Azure AD. Para obtener más información, lea ¿Qué es el acceso condicional?.

  6. Para comprobar que la inscripción se ha realizado correctamente en MDM, haz clic en > Configuración > Cuentas > accesoa la escuela o trabajo y, a continuación, selecciona tu cuenta de dominio.

  7. Haz clic en Información para ver la información de inscripción de MDM.

    Escuela de trabajo Configuración

    Si no ve el botón Información o la información de inscripción, es posible que la inscripción falle. Comprueba el estado en la aplicación Programador de tareas.

Aplicación Programador de tareas

  1. Haga clic en Inicioy, a continuación, en el cuadro de texto escriba programador de tareas.

    Resultado de la búsqueda del Programador de tareas

  2. En Coincidencia recomendada, haga clic en Programador de tareas para iniciarla.

  3. En la Biblioteca del programador detareas, abra Microsoft > Windows y, a continuación, haga clic en EnterpriseMgmt.

    Tarea programada de inscripción automática

    Para ver el resultado de la tarea, mueva la barra de desplazamiento a la derecha para ver el resultado de la última ejecución. Tenga en cuenta que 0x80180026 es un mensaje de error (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED). Puede ver los registros en la pestaña Historial.

    Si la inscripción del dispositivo está bloqueada, es posible que el administrador de TI haya habilitado la directiva Deshabilitar inscripción mdma.

    Nota

    La consola de GPEdit no refleja el estado de las directivas establecidas por el administrador de TI en el dispositivo. Solo lo usa el usuario para establecer directivas.

Configurar la inscripción automática para un grupo de dispositivos

Requisitos:

  • EQUIPO unido a AD que Windows 10 versión 1709 o posterior
  • Enterprise ya tiene configurado el servicio MDM (con Intune o un proveedor de servicios de terceros)
  • Enterprise AD debe estar integrado con Azure AD.
  • Asegúrese de que los equipos pertenecen al mismo grupo de equipos.

Importante

Si no ve la directiva, puede deberse a que no tiene instalado admx para Windows 10, versión 1803, versión 1809 o versión 1903. Para solucionar el problema, use los siguientes procedimientos. Ten en cuenta que la mdm.admx más reciente es compatible con versiones anteriores.

  1. Descargar:

  2. Instale el paquete en el controlador de dominio.

  3. Navegue, según la versión a la carpeta:

    • 1803 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 April 2018 Update (1803) v2

    • 1809 --> C:\Program Files (x86)\Microsoft Group Policy\Actualización de octubre de 2018 de Windows 10 (1809) v2

    • 1903 --> C:\Program Files (x86)\Microsoft Group Policy\Actualización de mayo de 2019 de Windows 10 (1903) v3

    • 1909 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2019 Update (1909)

    • 2004 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2020 Update (2004)

    • 20H2 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 October 2020 Update (20H2)

    • 21H1 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2021 Update (21H1)

  4. Cambie el nombre de la carpeta Definiciones de directiva extraída a PolicyDefinitions.

  5. Copie la carpeta PolicyDefinitions en \contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions.

    Si esta carpeta no existe, tenga en cuenta que va a cambiar a un almacén de directivas central para todo el dominio.

  6. Espere a que se complete la replicación de SYSVOL DFSR y, a continuación, reinicie el controlador de dominio para que la directiva esté disponible.

Este procedimiento también funcionará para cualquier versión futura.

  1. Crear un objeto de directiva de grupo ****(GPO) y habilitar las directivas de configuración del equipo de directiva de grupo Plantillas administrativas Windows Componentes MDM Habilitar la inscripción automática de MDM con credenciales predeterminadas > **** > **** > **** > **** > de Azure AD.

  2. Crear un grupo de seguridad para los equipos.

  3. Vincular el GPO.

  4. Filtrar mediante grupos de seguridad.

Solucionar problemas de inscripción automática de dispositivos

Investigue el archivo de registro si tiene problemas incluso después de realizar todos los pasos de comprobación obligatorios. El primer archivo de registro que se debe investigar es el registro de eventos en el dispositivo Windows 10 destino.

Para recopilar registros del Visor de eventos:

  1. Abre el Visor de eventos.

  2. Vaya a Registros de aplicaciones y servicios > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin.

    Sugerencia

    Para obtener instrucciones sobre cómo recopilar registros de eventos para Intune, consulta Recopilar vídeo de YouTubedel registro de eventos MDM .

  3. Busque el identificador de evento 75, que representa una inscripción automática correcta. Esta es una captura de pantalla de ejemplo que muestra la inscripción automática completada correctamente:

    Identificador de evento 75

    Si no encuentra el identificador de evento 75 en los registros, indica que la inscripción automática ha fallado. Esto puede suceder debido a los siguientes motivos:

    • Error en la inscripción. En este caso, busque el identificador de evento 76, que representa la inscripción automática con errores. Esta es una captura de pantalla de ejemplo que muestra que se ha fallado la inscripción automática:

      Identificador de evento 76

      Para solucionar problemas, compruebe el código de error que aparece en el evento. Consulta Solución de problemas Windows de inscripción de dispositivos en Microsoft Intune para obtener más información.

    • La inscripción automática no se desencadenó en absoluto. En este caso, no encontrará el identificador de evento 75 ni el identificador de evento 76. Para conocer la razón, debes comprender los mecanismos internos que ocurren en el dispositivo, tal como se describe en la siguiente sección.

      El proceso de inscripción automática se desencadena mediante una tarea (Microsoft > Windows > EnterpriseMgmt) dentro del programador de tareas. Esta tarea aparece si la directiva de grupo Habilitar la inscripción automática de MDM con credenciales predeterminadas de Azure AD ( Directivas de configuración del equipo > > Plantillas administrativas > Windows Componentes > MDM) se implementa correctamente en el equipo de destino, como se muestra en la siguiente captura de pantalla:

      Programador de tareas

    Nota

    Esta tarea no es visible para los usuarios estándar: ejecute Tareas programadas con credenciales administrativas para buscar la tarea.

    Esta tarea se ejecuta cada 5 minutos durante un día. Para confirmar si la tarea se ha hecho correctamente, compruebe los registros de eventos del programador de tareas: Registros de aplicaciones y servicios > Microsoft > Windows > Programador de tareas > Operativo. Busque una entrada en la que el programador de tareas creado por el cliente de inscripción para inscribirse automáticamente en MDM desde AAD se desencadene mediante el identificador de evento 107.

    Identificador de evento 107

    Cuando se completa la tarea, se registra un nuevo identificador de evento 102.

    Identificador de evento 102

    Tenga en cuenta que el registro del programador de tareas muestra el identificador de evento 102 (tarea completada) independientemente del éxito o error de inscripción automática. Esto significa que el registro del programador de tareas solo es útil para confirmar si la tarea de inscripción automática se desencadena o no. No indica el éxito o error de la inscripción automática.

    Si no puedes ver en el registro que se inicia la programación de tareas creada por el cliente de inscripción para inscribirse automáticamente en MDM desde AAD, posiblemente haya problemas con la directiva de grupo. Ejecute inmediatamente el comando gpupdate /force en el símbolo del sistema para aplicar el GPO. Si esto aún no ayuda, se requiere una solución de problemas adicional en Active Directory. Un error visto con frecuencia está relacionado con algunas entradas de inscripción obsoletas en el Registro en el dispositivo cliente de destino (HKLM > Software > Microsoft > Enrollments). Si se ha inscrito un dispositivo (puede ser cualquier solución MDM y no solo Intune), se ve parte de la información de inscripción agregada al Registro:

    Entradas de inscripción obsoletas

    De forma predeterminada, estas entradas se quitan cuando el dispositivo no está inscrito, pero de vez en cuando la clave del Registro permanece incluso después de la desinscripción. En este caso, no se puede iniciar la tarea de inscripción automática y el código de gpupdate /force error 2149056522 se muestra en el archivo de registro de eventos operativo > Programador de tareas de Microsoft > Windows > > con el identificador de evento 7016.

    Una solución a este problema es quitar la clave del Registro manualmente. Si no sabe qué clave del Registro quitar, vaya a la clave que muestra la mayoría de las entradas como la captura de pantalla anterior. Todas las demás teclas mostrarán menos entradas como se muestra en la siguiente captura de pantalla:

    Entradas eliminadas manualmente