Habilitar dispositivos de Windows 10 unidos a un dominio para que los pueda administrar Microsoft 365 Empresa Premium

  • Artículo
  • 2 minutos para leer

Si su organización usa Windows Server Active Directory local, puede configurar Microsoft 365 Empresa Premium para proteger los dispositivos Windows 10, al mismo tiempo que mantiene el acceso a los recursos locales que requieren autenticación local. Para configurar esta protección, puede implementar dispositivos híbridos unidos a Azure AD. Estos dispositivos se unen a su Active Directory local y a su Azure Active Directory.

Watch: Configure Hybrid Azure Active Directory join

En este vídeo se describen los pasos para configurar esto para el escenario más común, que también se detalla en los pasos siguientes.

Antes de empezar

  • Sincronizar usuarios con Azure AD con Azure AD Conectar.
  • Complete la sincronización Conectar unidad organizativa (OU) de Azure AD.
  • Asegúrese de que todos los usuarios de dominio que sincronice tengan licencias para Microsoft 365 Empresa Premium.

Consulta Sincronizar usuarios de dominio con Microsoft para ver los pasos.

1. Comprobar la entidad MDM en Intune

Vaya a Endpoint Manager y, en la página Microsoft Intune, seleccione Inscripción de dispositivos y, a continuación, en la página Información general, asegúrese de que la entidad de MDM es Intune.

  • Si la entidad MDM es None, haz clic en la entidad MDM para establecerla en Intune.
  • Si la entidad MDM es Microsoft Office 365, ve a Dispositivos Inscribir dispositivos y usa el cuadro de diálogo Agregar entidad mdma a la derecha para agregar la autoridad MDM de Intune (el cuadro de diálogo Agregar entidad mdma solo está disponible si la entidad mdma está establecida en > Microsoft Office 365).

2. Comprobar que Azure AD está habilitado para unir equipos

  • Vaya al Centro de administración en y seleccione Azure Active Directory (seleccione Mostrar todo si Azure Active Directory no está visible) en la lista https://admin.microsoft.com Centros de administración.
  • En el Azure Active Directory de administración, vaya a Azure Active Directory , elija Dispositivos y, a continuación, Configuración del dispositivo.
  • Comprobar que los usuarios pueden unir dispositivos a Azure AD está habilitado
    1. Para habilitar todos los usuarios, establezca en Todos.
    2. Para habilitar usuarios específicos, establezca en Seleccionado para habilitar un grupo específico de usuarios.
      • Agregue los usuarios de dominio deseados sincronizados en Azure AD a un grupo de seguridad.
      • Elige Seleccionar grupos para habilitar el ámbito de usuario MDM para ese grupo de seguridad.

3. Comprobar que Azure AD está habilitado para MDM

  • Vaya al Centro de administración en https://admin.microsoft.com y seleccione Administradores de puntos de conexión t (seleccione Mostrar todo si Endpoint Manager no está visible)

  • En el Centro Microsoft Endpoint Manager administración, vaya a Dispositivos > Windows > Windows Inscripción > automática.

  • Compruebe que el ámbito de usuario MDM está habilitado.

    1. Para inscribir todos los equipos, establezca en Todos para inscribir automáticamente todos los equipos de usuario unidos a Azure AD y los equipos nuevos cuando los usuarios agreguen una cuenta de trabajo a Windows.
    2. Se establece en Algunos para inscribir los equipos de un grupo específico de usuarios.
      • Agregue los usuarios de dominio deseados sincronizados en Azure AD a un grupo de seguridad.
      • Elige Seleccionar grupos para habilitar el ámbito de usuario MDM para ese grupo de seguridad.

4. Crear los recursos necesarios

La realización de las tareas necesarias para configurar la combinación híbrida de Azure AD se ha simplificado mediante el uso del cmdlet Initialize-SecMgmtHybirdDeviceEnrollment que se encuentra en el módulo De PowerShell de SecMgmt. Al invocar este cmdlet, creará y configurará el punto de conexión de servicio y la directiva de grupo necesarios.

Puede instalar este módulo invocando lo siguiente desde una instancia de PowerShell:

Install-Module SecMgmt

Importante

Se recomienda instalar este módulo en el servidor Windows que ejecuta Azure AD Conectar.

Para crear el punto de conexión de servicio y la directiva de grupo necesarios, invocará el cmdlet Initialize-SecMgmtHybirdDeviceEnrollment. Necesitará sus credenciales de Microsoft 365 Empresa Premium de administración global al realizar esta tarea. Cuando esté listo para crear los recursos, invoque lo siguiente:

PS C:\> Connect-SecMgmtAccount
PS C:\> Initialize-SecMgmtHybirdDeviceEnrollment -GroupPolicyDisplayName 'Device Management'

El primer comando establecerá una conexión con la nube de Microsoft y, cuando se le solicite, especifique sus Microsoft 365 Empresa Premium de administración global.

  1. En la Consola de administración de directivas de grupo (GPMC), haga clic con el botón secundario en la ubicación donde desea vincular la directiva y seleccione Vincular un GPO existente... en el menú contextual.
  2. Seleccione la directiva creada en el paso anterior y, a continuación, haga clic en Aceptar.

Obtener las plantillas administrativas más recientes

Si no ve la directiva Habilitar la inscripción automática de MDM con credenciales predeterminadas de Azure AD, puede deberse a que no tiene el ADMX instalado para Windows 10, versión 1803 o posterior. Para solucionar el problema, siga estos pasos (Nota: la mdm.admx más reciente es compatible con versiones anteriores):

  1. Descargar: Plantillas administrativas (.admx) para Windows 10 actualización de octubre de 2020 (20H2).
  2. Instale el paquete en un controlador de dominio.
  3. Navegue, según la versión de plantillas administrativas a la carpeta: C:\Program Files (x86)\Microsoft Group Policy\Windows 10 October 2020 Update (20H2).
  4. Cambie el nombre de la carpeta Definiciones de directiva de la ruta de acceso anterior a PolicyDefinitions.
  5. Copie la carpeta PolicyDefinitions en el recurso compartido SYSVOL, ubicado de forma predeterminada en C:\Windows\SYSVOL\domain\Policies.
    • Si planea usar un almacén de directivas central para todo el dominio, agregue allí el contenido de PolicyDefinitions.
  6. En caso de que tenga varios controladores de dominio, espere a que SYSVOL se replique para que las directivas estén disponibles. Este procedimiento también funcionará para cualquier versión futura de las plantillas administrativas.

En este punto, debería poder ver la directiva Habilitar la inscripción automática de MDM con las credenciales predeterminadas de Azure AD disponibles.

Contenido relacionado

Sincronizar usuarios de dominio Microsoft 365 (artículo)
Crear un grupo en el Centro de administración (artículo)
Tutorial: Configurar la combinación Azure Active Directory híbrida para dominios administrados (artículo)