Tutorial: Habilitar la administración conjunta para clientes existentes de Configuration Manager

  • Artículo
  • 13 minutos para leer

Gracias a la administración conjunta, puede mantener sus procesos bien establecidos para usar Configuration Manager para administrar los equipos de su organización. Al mismo tiempo, está invirtiendo en la nube al usar Intune para obtener seguridad y aprovisionamiento modernos.

En este tutorial, configura la administración en conjunto de los dispositivos Windows 10 o posteriores que ya están inscritos en Configuration Manager. Este tutorial comienza con la premisa de que ya usa Configuration Manager para administrar los dispositivos Windows 10 dispositivos posteriores.

Use este tutorial cuando:

  • Tiene un Active Directory local al que puede conectarse Azure Active Directory (Azure AD) en una configuración Azure AD híbrida.

    Si no puede implementar un Azure Active Directory híbrido (AD) que une su AD local con Azure AD, se recomienda seguir nuestro tutorial complementario, Habilitar la administraciónen conjunto para nuevos dispositivos Windows 10 basados en Internet o posteriores.

  • Tiene clientes de Configuration Manager existentes que desea adjuntar en la nube.

En este tutorial, hará lo siguiente:

  • Revisar los requisitos previos de Azure y su entorno local
  • Configurar la unión híbrida de Azure AD
  • Configurar los agentes cliente del Administrador de configuración para registrarse con Azure AD
  • Configurar Intune para inscribir dispositivos automáticamente
  • Habilitar la administración conjunta en el Administrador de configuración

Requisitos previos

Entorno y servicios de Azure

  • Suscripción a Azure (versión de prueba gratuita)
  • Azure Active Directory Premium
  • Suscripción a Microsoft Intune
    • Una suscripción Enterprise Mobility + Security (EMS) incluye tanto Azure Active Directory Premium como Microsoft Intune. Suscripción a EMS (prueba gratuita).

Si aún no está presente en el entorno, durante este tutorial:

  • Configure Azure AD Conectar entre su active directory local y el espacio empresarial Azure Active Directory (AD).

Sugerencia

Ya no es necesario comprar y asignar licencias individuales de Intune o EMS a los usuarios. Para obtener más información, consulte las Preguntas frecuentes sobre productos y licencias.

Infraestructura local

  • Una versión compatible de la rama actual de Configuration Manager
  • La entidad de administración de dispositivos móviles (MDM) debe establecerse en Intune.

Permissions

A lo largo de este tutorial, use los siguientes permisos para completar tareas:

  • Una cuenta que es un administrador de dominio en la infraestructura local
  • Una cuenta que es un administrador completo para todos los ámbitos de Configuration Manager
  • Una cuenta que es un administrador global en Azure Active Directory (Azure AD)
    • Asegúrate de asignar una licencia de Intune a la cuenta que usas para iniciar sesión en el inquilino. De lo contrario, se produce un error de inicio de sesión con el mensaje de error Se produjo un error no anticipado.

Configurar la unión híbrida de Azure AD

Al configurar una Azure AD híbrida, realmente configuras la integración de un AD local con Azure AD mediante Azure AD Conectar y Servicios federados de Active Directory (ADFS). Con una configuración correcta, los trabajadores pueden iniciar sesión sin problemas en sistemas externos con sus credenciales de AD locales.

Importante

En este tutorial se detalla un proceso sin formato para configurar Azure AD para un dominio administrado. Se recomienda familiarizarse con el proceso y no confiar en este tutorial como guía para comprender e implementar aplicaciones híbridas Azure AD.

Para obtener más información acerca de los Azure AD híbridos, comience con los siguientes artículos en la Azure Active Directory documentación:

Configurar Azure AD Conectar

El Azure AD híbrido requiere la configuración de Azure AD Conectar para mantener las cuentas de equipo en su Active Directory local (AD) y el objeto de dispositivo en Azure AD sincronizado.

A partir de la versión 1.1.819.0, Azure AD Conectar le proporciona un asistente para configurar la combinación Azure AD híbrida. El uso de ese asistente simplifica el proceso de configuración.

Para configurar Azure AD Conectar, necesita credenciales de un administrador global para Azure AD. El siguiente procedimiento no debe considerarse autoritativo para la configuración de Azure AD Conectar, pero se proporciona aquí para ayudar a simplificar la configuración de la administración en conjunto entre Intune y Configuration Manager. Para obtener el contenido autoritativo de este procedimiento y los procedimientos relacionados para la configuración de Azure AD, vea Configure hybrid Azure AD join for managed domains en la Azure AD documentación.

Configurar una unión Azure AD híbrida mediante Azure AD Conectar

  1. Obtener e instalar la versión más reciente de Azure AD Conectar (1.1.819.0 o posterior).

  2. Inicie Azure AD Conectar y, a continuación, seleccione Configurar.

  3. En la página Tareas adicionales, seleccione Configurar opciones de dispositivo y, a continuación, seleccione Siguiente.

  4. En la página Información general, seleccione Siguiente.

  5. En la Conectar para Azure AD, escriba las credenciales de un administrador global para Azure AD.

  6. En la página Opciones de dispositivo, seleccione Configurar la combinación Azure AD y, a continuación, seleccione Siguiente.

  7. En la página Sistemas operativos de dispositivos, seleccione los sistemas operativos que usan los dispositivos en su entorno de Active Directory y, a continuación, seleccione Siguiente.

    Puedes seleccionar la opción para admitir Windows dispositivos unidos a un dominio de nivel inferior, pero ten en cuenta que la administración de los dispositivos solo es compatible con Windows 10 o posterior.

  8. En la página SCP, para cada bosque local, Azure AD Conectar configurar el punto de conexión de servicio (SCP), siga estos pasos y, a continuación, seleccione Siguiente:

    1. Seleccione el bosque.
    2. Seleccione el servicio de autenticación. Si tienes un dominio federado, selecciona servidor de AD FS a menos que tu organización tenga clientes Windows 10 o posteriores y haya configurado la sincronización de equipos o dispositivos o su organización esté usando SeamlessSSO.
    3. Haga clic en Agregar para especificar las credenciales de administrador de empresa.

  9. Si tiene un dominio administrado, omita este paso.

    En la página Configuración de federación, escriba las credenciales del administrador de AD FS y, a continuación, seleccione Siguiente.

  10. En la página Listo para configurar, seleccione Configurar.

  11. En la página Configuración completada, seleccione Salir.

Si experimentas problemas con la finalización de la Azure AD híbrida para dispositivos de Windows unidos a un dominio, consulta Solución de problemas de Azure AD unirse para Windows dispositivos actuales.

Configurar el Configuración cliente para dirigir a los clientes a que se registren con Azure AD

Use client Configuración para configurar los clientes de Configuration Manager para que se registren automáticamente con Azure AD.

  1. Abra la consola de Configuration Manager Información general del Configuración y, a continuación, > > > edite el valor predeterminado Configuración.

  2. Seleccione Servicios en la nube.

  3. En la página Configuración Configuración, establezca Registrar automáticamente nuevos dispositivos unidos Windows 10 dominio con Azure Active Directory en = .

  4. Seleccione Aceptar para guardar esta configuración.

Configurar la inscripción automática de dispositivos en Intune

A continuación, configuraremos la inscripción automática de dispositivos con Intune. Con la inscripción automática, los dispositivos que administras con Configuration Manager se inscriben automáticamente con Intune.

La inscripción automática también permite a los usuarios inscribir sus Windows 10 dispositivos posteriores o posteriores en Intune. Los dispositivos se inscriben cuando un usuario agrega su cuenta de trabajo a su dispositivo de propiedad personal o cuando un dispositivo de propiedad corporativa se une a Azure Active Directory.

  1. Inicie sesión en Azure Portal y seleccione Azure Active Directory > Mobility (MDM y MAM) > Microsoft Intune.

  2. Configurar el ámbito de usuario MDM. Especifique una de las siguientes opciones para configurar los dispositivos de los usuarios que administra Microsoft Intune y aceptar los valores predeterminados para los valores de dirección URL.

    • Algunos: seleccione los grupos que pueden inscribir automáticamente sus dispositivos Windows 10 o posteriores

    • All: todos los usuarios pueden inscribir automáticamente sus Windows 10 dispositivos posteriores o posteriores

    • Ninguno: deshabilitar la inscripción automática de MDM

    Importante

    Si tanto el ámbito de usuario MAM como la inscripción automática de MDM (ámbito de usuario MDM) están habilitadas para un grupo, solo se habilita MAM. Solo se agrega administración de aplicaciones móviles (MAM) para los usuarios de ese grupo cuando se unen al dispositivo personal. Los dispositivos no están inscritos automáticamente en MDM.

    Cuando Configuration Manager está configurado para inscribir dispositivos en Intune, no es necesario cambiar el ámbito de usuario MDM para la inscripción de tokens de dispositivo. Configuration Manager usa las direcciones URL de MDM que almacena en la base de datos del sitio.

  3. Seleccione Guardar para completar la configuración de la inscripción automática.

  4. Vuelva a Mobility (MDM y MAM) y, a continuación, seleccione Microsoft Intune Enrollment.

    Nota

    Es posible que algunos inquilinos no tengan estas opciones para configurar.

    Microsoft Intune es cómo configurar la aplicación MDM para Azure AD. Microsoft Intune enrollment es una aplicación Azure AD específica que se crea al aplicar directivas de autenticación multifactor para la inscripción de iOS y Android. Para obtener más información, consulta Requerir autenticación multifactor para las inscripciones de dispositivos de Intune.

  5. Para el ámbito de usuario MDM, seleccione Todo y, a continuación, Guardar.

Habilitar la administración conjunta en el Administrador de configuración

Con la Azure AD de configuración híbrida y las configuraciones de cliente de Configuration Manager en su lugar, está listo para voltear el conmutador y habilitar la administración en conjunto de los dispositivos Windows 10 o posteriores. La frase Grupo piloto se usa en todos los cuadros de diálogo de configuración y característica de administración conjunto. Un grupo piloto es una colección que contiene un subconjunto de los dispositivos de Configuration Manager. Usa un grupo piloto para las pruebas iniciales y agrega dispositivos según sea necesario hasta que estés listo para mover las cargas de trabajo de todos los dispositivos de Configuration Manager. No hay un límite de tiempo sobre cuánto tiempo se puede usar un grupo piloto para cargas de trabajo. Un grupo piloto se puede usar indefinidamente si no desea mover la carga de trabajo a todos los dispositivos de Configuration Manager.

Cuando habilite la co-administración, asignará una colección como un grupo piloto. Se trata de un grupo que contiene un número reducido de clientes para probar las configuraciones de administración en conjunto. Se recomienda crear una colección adecuada antes de iniciar el procedimiento. A continuación, puede seleccionar esa colección sin salir del procedimiento para hacerlo. Es posible que necesite varias colecciones ya que puede asignar un grupo Piloto diferente para cada carga de trabajo.

Habilitar la co-administración para las versiones 2111 y posteriores

A partir de la versión 2111 de Configuration Manager, la experiencia de incorporación de co-administración cambió. El asistente para adjuntar la nube facilita la habilitación de la administración en colaboración y otras características de la nube. Puede elegir un conjunto simplificado de valores predeterminados recomendados o personalizar las características de conexión en la nube. También hay una nueva colección de dispositivos integrada para la administración en co-administración de dispositivos elegibles para ayudarte a identificar clientes. Para obtener más información sobre cómo habilitar la administración en colaboración, vea Enable cloud attach.

Nota

Con el nuevo asistente, no se mueven las cargas de trabajo al mismo tiempo que se habilita la administración en colaboración. Para mover cargas de trabajo, editará las propiedades de administración mixta después de habilitar la conexión en la nube.

Habilitar la co-administración para las versiones 2107 y versiones anteriores

Al habilitar la administración en colaboración, puede usar Azure Public Cloud, Azure US Government Cloud o Microsoft Azure China 21Vianet (agregado en la versión 2006). Para habilitar la administración en colaboración, siga las instrucciones siguientes:

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Servicios en la nube y seleccione el nodo Cloud Attach. Seleccione Configurar la conexión en la nube en la cinta de opciones para abrir el Asistente para configuración de conexión en la nube.

    • Para la versión 2103 y versiones anteriores, expanda Servicios en la nube y seleccione el nodo Administración en colaboración. Seleccione Configurar la administración en la cinta de opciones para abrir el Asistente para la configuración de administración en colaboración.

  2. En la página de incorporación del asistente, configure el entorno de Azure que se usará. Elija uno de los siguientes entornos:

    • Nube pública de Azure
    • Azure US Government Cloud.
    • Azure China Cloud (agregado en la versión 2006)
      • Actualice el cliente de Configuration Manager a la versión más reciente de los dispositivos antes de incorporarlo a Azure China Cloud.

    Al seleccionar Azure China Cloud o Azure US Government Cloud, se deshabilita la Upload a Microsoft Endpoint Manager centro de administración para adjuntar inquilinos.

  3. Seleccione Iniciar sesión. Inicie sesión como administrador Azure AD global y, a continuación, seleccione Siguiente. Inicie sesión esta vez con los fines de este asistente. Las credenciales no se almacenan ni se reutilizan en otro lugar.

  4. En la página Habilitación, elija la siguiente configuración:

    • Inscripción automática en Intune: habilita la inscripción automática de clientes en Intune para clientes de Configuration Manager existentes. Esta opción le permite habilitar la co-administración en un subconjunto de clientes para probar inicialmente la co-administración y la implementación de la co-administración mediante un enfoque por fases. Si un dispositivo no está inscrito por el usuario, en la siguiente evaluación de la directiva, se volverá a inscribir.

      • Piloto: solo los clientes de Configuration Manager que son miembros de la colección inscripción automática de Intune se inscriben automáticamente en Intune.
      • All: habilite la inscripción automática para todos Windows 10 versión 1709 o posterior, los clientes.
      • Ninguno: deshabilitar la inscripción automática para todos los clientes.

    • Inscripción automática de Intune: esta colección debe contener todos los clientes que desee incorporar en la administración en conjunto. Es esencialmente un superconjunto de todas las demás colecciones provisionales.

    Especificar la colección de inscripción automática de Intune

    La inscripción automática no es inmediata para todos los clientes. Este comportamiento ayuda a que la inscripción escala mejor para entornos grandes. Configuration Manager aleatoriza la inscripción en función del número de clientes. Por ejemplo, si el entorno tiene 100.000 clientes, al habilitar esta configuración, la inscripción se produce durante varios días.

    • Un nuevo dispositivo administrado ahora se inscribe automáticamente en el servicio Microsoft Intune basado en su token de dispositivo Azure Active Directory (Azure AD). No es necesario esperar a que un usuario inicie sesión en el dispositivo para que se inicie la inscripción automática. Este cambio ayuda a reducir el número de dispositivos con el estado de inscripción Pendiente de inicio de sesión del usuario. Para admitir este comportamiento, el dispositivo debe ejecutarse Windows 10 versión 1803 o posterior. Para obtener más información, vea Co-management enrollment status.
    • Si ya tienes dispositivos inscritos a la administración en colaboración, los nuevos dispositivos ahora se inscriben inmediatamente una vez que cumplan los requisitos previos.

  5. Para dispositivos basados en Internet que ya están inscritos en Intune, copie y guarde la línea de comandos en la página Habilitar. Usará esta línea de comandos para instalar el cliente de Configuration Manager como una aplicación en Intune para dispositivos basados en Internet. Si no guarda esta línea de comandos ahora, puede revisar la configuración de administración en cualquier momento para obtener esta línea de comandos.

    Sugerencia

    La línea de comandos solo muestra si ha cumplido todos los requisitos previos, como configurar una puerta de enlace de administración de nube.

  6. En la página Cargas de trabajo, para cada carga de trabajo, elija qué grupo de dispositivos se moverá para la administración con Intune. Para obtener más información, vea Workloads. Si solo desea habilitar la administración en colaboración, no es necesario cambiar las cargas de trabajo ahora. Puede cambiar las cargas de trabajo más adelante. Para obtener más información, vea How to switch workloads.

    • Intune piloto: cambia la carga de trabajo asociada solo para los dispositivos de las colecciones piloto que se especificarán en la página Almacenamiento provisional. Cada carga de trabajo puede tener una colección piloto diferente.
    • Intune: cambia la carga de trabajo asociada para todos los dispositivos Windows 10 o posteriores.

    Importante

    Antes de cambiar las cargas de trabajo, asegúrese de configurar e implementar correctamente la carga de trabajo correspondiente en Intune. Asegúrese de que una de las herramientas de administración de los dispositivos siempre administra las cargas de trabajo.

  7. En la página Staging, especifique la colección piloto para cada una de las cargas de trabajo que se establecen en Pilot Intune.

    Asistente para la configuración de administración en conjunto, página Almacenamiento provisional, especificar colecciones piloto

  8. Para habilitar la administración en conjunto, complete el asistente.

Siguientes pasos