Aprovisionamiento previo Microsoft Entra unión híbrida: instalación del conector de Intune
Windows Autopilot para la implementación aprovisionada previamente Microsoft Entra pasos de unión híbrida:
- Paso 2: Instalar el conector de Intune
- Paso 3: Aumentar el límite de la cuenta de equipo en la unidad organizativa (UO)
- Paso 4: Registro de dispositivos como dispositivos Windows Autopilot
- Paso 5: Creación de un grupo de dispositivos
- Paso 6: Configurar y asignar la página de estado de inscripción de Windows Autopilot (ESP)
- Paso 7: Creación y asignación de Microsoft Entra perfil de Windows Autopilot de unión híbrida
- Paso 8: Configurar y asignar un perfil de unión a un dominio
- Paso 9: Asignar un dispositivo Windows Autopilot a un usuario (opcional)
- Paso 10: Flujo de técnico
- Paso 11: Flujo de usuario
Para obtener información general sobre Windows Autopilot para la implementación aprovisionada previamente Microsoft Entra flujo de trabajo de unión híbrida, consulta Windows Autopilot para la implementación aprovisionada previamente Microsoft Entra información general sobre la unión híbrida.
Nota:
Si el conector de Intune ya está instalado y configurado, omita este paso y pase al paso 3: Aumentar el límite de la cuenta de equipo en la unidad organizativa (UO).
Instalación del conector de Intune para Active Directory
El propósito del conector de Intune para Active Directory, también conocido como conector de unión a dominios sin conexión (ODJ), es unir equipos a un dominio local durante el proceso de Windows Autopilot. El conector de Intune para Active Directory crea objetos de equipo en una unidad organizativa (OU) especificada en Active Directory durante el proceso de unión al dominio.
Importante
A partir de Intune 2501, Intune usa un conector de Intune actualizado para Active Directory que refuerza la seguridad y sigue los principios de privilegios mínimos mediante una cuenta de servicio administrada (MSA). Cuando se descarga el conector de Intune para Active Directory desde dentro de Intune, se descarga el conector de Intune actualizado para Active Directory. El conector de Intune heredado anterior para Active Directory todavía está disponible para su descarga en Intune Connector para Active Directory, pero Microsoft recomienda usar el instalador actualizado de Intune Connector for Active Directory en adelante. El conector de Intune heredado anterior para Active Directory seguirá funcionando en algún momento de mayo de 2025. Sin embargo, debe actualizarse al conector de Intune actualizado para Active Directory antes de ese momento para evitar la pérdida de funcionalidad. Para obtener más información, consulte Intune Connector for Active Directory with low-privileged account for Autopilot Hybrid Microsoft Entra join deployments (Conector de Intune para Active Directory con una cuenta con pocos privilegios para las implementaciones de unión a Autopilot Hybrid Microsoft Entra).
La actualización del conector de Intune para Active Directory a la versión actualizada no se realiza automáticamente. El conector de Intune heredado para Active Directory debe desinstalarse manualmente seguido del conector actualizado descargado e instalado manualmente. Las instrucciones para el proceso manual de desinstalación e instalación de Intune Connector for Active Directory se proporcionan en las secciones siguientes.
Seleccione la pestaña que corresponde a la versión del conector de Intune para Active Directory que se está instalando:
Conector actualizadoAntes de comenzar la instalación, asegúrese de que se cumplen todos los requisitos del servidor del conector de Intune.
Sugerencia
Es preferible, pero no necesario, que el administrador que instala y configura el conector de Intune para Active Directory tenga los derechos de dominio adecuados, como se documenta en Intune Connector para los requisitos de Active Directory. Este requisito permite que el instalador y el proceso de configuración de Intune Connector for Active Directory establezcan correctamente permisos para la MSA en el contenedor de equipos o unidades organizativas donde se crean objetos de equipo. Si el administrador no tiene estos permisos, un administrador que tenga los permisos adecuados debe seguir la sección Aumento del límite de la cuenta de equipo en la unidad organizativa.
Desactivar la configuración de seguridad mejorada de Internet Explorer
De manera predeterminada, Windows Server tiene activada la configuración de seguridad mejorada de Internet Explorer. La configuración de seguridad mejorada de Internet Explorer puede causar problemas al iniciar sesión en el conector de Intune para Active Directory. Dado que Internet Explorer está en desuso y en la mayoría de los casos, ni siquiera está instalado en Windows Server, Microsoft recomienda desactivar la configuración de seguridad mejorada de Internet Explorer. Para desactivar la configuración de seguridad mejorada de Internet Explorer:
Inicie sesión en el servidor donde se instala el conector de Intune para Active Directory con una cuenta con derechos de administrador local.
Abra Administrador del servidor.
En el panel izquierdo de Administrador del servidor, seleccione Servidor local.
En el panel PROPIEDADES derecho de Administrador del servidor, seleccione el vínculo Activado o Desactivado junto a Configuración de seguridad mejorada de IE.
En la ventana Configuración de seguridad mejorada de Internet Explorer , seleccione Desactivado en Administradores:y, a continuación, seleccione Aceptar.
Descarga del conector de Intune para Active Directory
En el servidor donde se instala el conector de Intune para Active Directory, inicie sesión en el centro de administración de Microsoft Intune.
En la pantalla Inicio , seleccione Dispositivos en el panel izquierdo.
En dispositivos | Pantalla de información general , en Por plataforma, seleccione Windows.
En Windows | En la pantalla Dispositivos Windows , en Incorporación de dispositivos, seleccione Inscripción.
En Windows | En La pantalla de inscripción de Windows, en Windows Autopilot, seleccione Intune Conector para Active Directory.
En la pantalla conector de Intune para Active Directory, seleccione Agregar.
En la ventana Agregar conector que se abre, en Configuración del conector de Intune para Active Directory, seleccione Descargar el conector de Intune local para Active Directory. El vínculo descarga un archivo denominado
ODJConnectorBootstrapper.exe.
Instalación del conector de Intune para Active Directory en el servidor
Importante
La instalación de Intune Connector for Active Directory debe realizarse con una cuenta que tenga los siguientes derechos de dominio:
- Obligatorio : cree objetos msDs-ManagedServiceAccount en el contenedor Cuentas de servicio administradas.
- Opcional: modificar permisos en unidades organizativas en Active Directory: si el administrador que instala el conector de Intune actualizado para Active Directory no tiene este derecho, un administrador que tenga estos derechos requiere pasos de configuración adicionales. Para obtener más información, consulte el paso o la sección Aumento del límite de la cuenta de equipo en la unidad organizativa.
Inicie sesión en el servidor donde se instala el conector de Intune para Active Directory con una cuenta con derechos de administrador local.
Si está instalado el conector de Intune heredado anterior para Active Directory, desinstálelo primero antes de instalar el conector de Intune actualizado para Active Directory. Para obtener más información, consulte Desinstalación del conector de Intune para Active Directory.
Importante
Al desinstalar el conector de Intune heredado anterior para Active Directory, asegúrese de ejecutar el instalador de Intune Connector para Active Directory heredado como parte del proceso de desinstalación. Si el instalador de Intune Connector for Active Directory heredado solicita desinstalarlo cuando se ejecute, seleccione esta opción para desinstalarlo. Este paso garantiza que el conector de Intune heredado anterior para Active Directory esté totalmente desinstalado. El instalador de Intune Connector for Active Directory heredado se puede descargar desde Intune Connector para Active Directory.
Sugerencia
En los dominios con un único conector de Intune para Active Directory, Microsoft recomienda instalar primero el conector de Intune actualizado para Active Directory en otro servidor. La instalación del conector de Intune actualizado para Active Directory en otro servidor debe realizarse antes de desinstalar el conector de Intune heredado para Active Directory en el servidor actual. La instalación del conector de Intune para Active Directory en otro primer lugar evita cualquier tiempo de inactividad mientras el conector de Intune para Active Directory se actualiza en el servidor actual.
Abra el
ODJConnectorBootstrapper.exearchivo que descargó para iniciar la instalación del conector de Intune para el programa de instalación de Active Directory.Recorra la instalación del conector de Intune para el programa de instalación de Active Directory.
Al final de la instalación, active la casilla Iniciar Intune Conector para Active Directory.
Nota:
Si Intune Conector para la instalación de Active Directory se cierra accidentalmente sin activar la casilla Iniciar conector de Intune para Active Directory, se puede volver a abrir la configuración del conector de Intune para Active Directory seleccionando Intune Conector para Active Directory>Intune Conector para Active Directory en el menú Inicio.
Inicio de sesión en el conector de Intune para Active Directory
En la ventana conector de Intune para Active Directory, en la pestaña Inscripción, seleccione Iniciar sesión.
En la pestaña Iniciar sesión, inicie sesión con las credenciales Microsoft Entra ID de un rol de administrador de Intune. La cuenta de usuario debe tener una licencia de Intune asignada. El proceso de inicio de sesión puede tardar unos minutos en completarse.
Nota:
La cuenta usada para inscribir el conector de Intune para Active Directory es solo un requisito temporal en el momento de la instalación. La cuenta no se usa en el futuro después de inscribir el servidor.
Una vez completado el proceso de inicio de sesión:
- Aparece la ventana de confirmación The Intune Connector for Active Directory successfully inrolledly (El conector de Intune para Active Directory se inscribió correctamente). Seleccione Aceptar para cerrar la ventana.
- Aparece una ventana de confirmación de configuración correcta de una cuenta de servicio administrada con el nombre "<MSA_name>" . El nombre de la MSA está en el formato
msaODJ#####donde ##### hay cinco caracteres aleatorios. Escriba el nombre de la MSA que se creó y, a continuación, seleccione Aceptar para cerrar la ventana. El nombre de la MSA podría ser necesario más adelante para configurar la MSA para permitir la creación de objetos de equipo en unidades organizativas.
La pestaña Inscripción muestra Intune Conector para Active Directory está inscrito. El botón Iniciar sesión está atenuado y configurar la cuenta de servicio administrada está habilitada.
Cierre la ventana conector de Intune para Active Directory.
Comprobación de que el conector de Intune para Active Directory está activo
Después de autenticarse, el conector de Intune para Active Directory finaliza la instalación. Una vez finalizada la instalación, compruebe que está activo en Intune siguiendo estos pasos:
Vaya al centro de administración de Microsoft Intune si sigue abierto. Si todavía se muestra la ventana Agregar conector , ciérrela.
Si el centro de administración de Microsoft Intune todavía no está abierto:
Inicie sesión en el Centro de administración de Microsoft Intune.
En la pantalla Inicio , seleccione Dispositivos en el panel izquierdo.
En dispositivos | Pantalla de información general , en Por plataforma, seleccione Windows.
En Windows | En la pantalla Dispositivos Windows , en Incorporación de dispositivos, seleccione Inscripción.
En Windows | En La pantalla de inscripción de Windows, en Windows Autopilot, seleccione Intune Conector para Active Directory.
En la página conector de Intune para Active Directory:
- Confirme que el servidor se muestra en Nombre del conector y se muestra como Activo en Estado
- Para el conector de Intune actualizado para Active Directory, asegúrese de que la versión es mayor que 6.2501.2000.5.
Si no se muestra el servidor, seleccione Actualizar o desplácese fuera de la página y, a continuación, vuelva a la página conector de Intune para Active Directory.
Nota:
El servidor recién inscrito puede tardar varios minutos en aparecer en la página conector de Intune para Active Directory del centro de administración de Microsoft Intune. El servidor inscrito solo aparece si puede comunicarse correctamente con el servicio Intune.
Los conectores de Intune inactivos para Active Directory siguen apareciendo en la página conector de Intune para Active Directory y se limpiarán automáticamente después de 30 días.
Una vez instalado el conector de Intune para Active Directory, iniciará el registro en la Visor de eventos en la ruta de acceso Registros de aplicaciones y servicios>Microsoft>Intune>ODJConnectorService. En esta ruta de acceso, se pueden encontrar Administración y registros operativos.
Configurar la MSA para permitir la creación de objetos en unidades organizativas (opcional)
De forma predeterminada, las MSA solo tienen acceso para crear objetos de equipo en el contenedor Equipos . Los MSA no tienen acceso para crear objetos de equipo en unidades organizativas (OU). Para permitir que la MSA cree objetos en unidades organizativas, es necesario agregar las unidades organizativas al archivo XML que se encuentra en el ODJConnectorEnrollmentWizard.exe.config directorio donde ODJConnectorEnrollmentWizard se instaló el conector de Intune para Active Directory, normalmente C:\Program Files\Microsoft Intune\ODJConnector\.
Para configurar la MSA para permitir la creación de objetos en unidades organizativas, siga estos pasos:
En el servidor donde está instalado el conector de Intune para Active Directory, vaya al
ODJConnectorEnrollmentWizarddirectorio donde se instaló el conector de Intune para Active Directory, normalmenteC:\Program Files\Microsoft Intune\ODJConnector\.En el
ODJConnectorEnrollmentWizarddirectorio, abra elODJConnectorEnrollmentWizard.exe.configarchivo XML en un editor de texto, por ejemplo, bloc de notas.En el
ODJConnectorEnrollmentWizard.exe.configarchivo XML, agregue las unidades organizativas deseadas en las que la MSA debe tener acceso para crear objetos de equipo. El nombre de la unidad organizativa debe ser el nombre distintivo y, si procede, debe tener escape. El ejemplo siguiente es una entrada XML de ejemplo con el nombre distintivo de la unidad organizativa:<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>Una vez agregadas todas las unidades organizativas deseadas, guarde el
ODJConnectorEnrollmentWizard.exe.configarchivo XML.Como administrador que tiene los permisos adecuados para modificar los permisos de unidad organizativa, abra el conector de Intune para Active Directory; para ello, vaya a Intune Connector for Active Directory>Intune Connector for Active Directory desde el menú Inicio.
Importante
Si el administrador que instala y configura el conector de Intune para Active Directory no tiene permisos para modificar los permisos de unidad organizativa, en su lugar, un administrador que tenga permisos para modificar los permisos de la unidad organizativa deberá seguir la sección o los pasos para aumentar el límite de la cuenta de equipo en la unidad organizativa.
En la pestaña Inscripción de la ventana conector de Intune para Active Directory, seleccione Configurar cuenta de servicio administrada.
Aparece una ventana de confirmación de configuración correcta de una cuenta de servicio administrada con el nombre "<MSA_name>" . Seleccione Aceptar para cerrar la ventana.