Planeamiento de la implementación de dispositivos de Microsoft Entra
Este artículo le ayuda a evaluar los métodos para integrar el dispositivo con el identificador de Microsoft Entra, elegir el plan de implementación y proporcionar vínculos clave a las herramientas de administración de dispositivos compatibles.
El panorama de los dispositivos de tus usuarios se expande constantemente. Las organizaciones pueden proporcionar escritorios, portátiles, teléfonos, tabletas y otros dispositivos. Los usuarios pueden traer su propio conjunto de dispositivos y acceder a la información desde ubicaciones variadas. En este entorno, el trabajo como administrador es mantener los recursos de la organización seguros en todos los dispositivos.
Microsoft Entra ID permite a su organización cumplir estos objetivos con la administración de identidades de dispositivos. Ahora puede registrar sus dispositivos en Microsoft Entra ID y controlarlos desde una ubicación central en el Centro de administración de Microsoft Entra. Este proceso proporciona una experiencia unificada, una seguridad mejorada y reduce el tiempo necesario para configurar un nuevo dispositivo.
Hay varios métodos para integrar los dispositivos en microsoft Entra ID. Estos métodos pueden funcionar por separado o juntos en función del sistema operativo y sus requisitos:
- Puede registrar dispositivos en Microsoft Entra ID.
- Unir dispositivos a Microsoft Entra ID (solo en la nube).
- Establecer una unión híbrida de los dispositivos a Microsoft Entra, de forma que están unidos a un dominio de la instancia local de Active Directory y a Microsoft Entra ID.
Aprender
Antes de empezar, asegúrese de que está familiarizado con la administración de identidades de dispositivos.
Beneficios
Las principales ventajas de proporcionar a los dispositivos una identidad de Microsoft Entra:
Aumentar la productividad: los usuarios pueden realizar inicio de sesión sin interrupciones (SSO) en los recursos locales y en la nube, permitiendo así la productividad sin importar dónde se encuentren.
Aumentar la seguridad: aplique directivas de acceso condicional a los recursos en función de la identidad del dispositivo o usuario. Unir un dispositivo a Microsoft Entra ID es un requisito previo para aumentar la seguridad con una estrategia sin contraseña.
Mejorar la experiencia del usuario: proporcione a los usuarios un acceso sencillo a los recursos basados en la nube de su organización desde dispositivos personales y corporativos. Los administradores pueden habilitar Enterprise State Roaming para una experiencia unificada en todos los dispositivos Windows.
Simplificar la implementación y administración: simplifique el proceso de incorporación de dispositivos a Microsoft Entra ID con Windows Autopilot, el aprovisionamiento masivo o la experiencia de configuración rápida (OOBE) de autoservicio. Administra dispositivos con herramientas de administración de dispositivos móviles (MDM) como Microsoft Intune, y sus identidades en el Centro de administración de Microsoft Entra .
Planear el proyecto de implementación
Tenga en cuenta las necesidades de la organización mientras determina la estrategia para esta implementación en su entorno.
Participación de las partes interesadas adecuadas
Cuando se produce un error en los proyectos tecnológicos, normalmente se deben a expectativas no coincidentes en el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrate de que estás involucrando a las partes interesadas adecuadas, y que los roles de estas partes en el proyecto están bien comprendidos.
Para este plan, agregue las siguientes partes interesadas a la lista:
| Rol | Descripción |
|---|---|
| Administrador de dispositivos | Un representante del equipo de dispositivos que puede comprobar que el plan cumple los requisitos de dispositivo de su organización. |
| Administrador de red | Un representante del equipo de red que puede asegurarse de cumplir los requisitos de red. |
| Equipo de administración de dispositivos | Equipo que administra el inventario de dispositivos. |
| Equipos de administración específicos del sistema operativo | Teams que admiten y administran versiones específicas del sistema operativo. Por ejemplo, podría haber un equipo centrado en Mac o iOS. |
Planear comunicaciones
La comunicación es fundamental para el éxito de cualquier nuevo servicio. Comunique de forma proactiva a los usuarios cómo cambia su experiencia, cuándo cambia y cómo obtener soporte técnico si experimentan problemas.
Planeamiento de un piloto
Se recomienda que la configuración inicial del método de integración esté en un entorno de prueba o con un pequeño grupo de dispositivos de prueba. Consulte Procedimientos recomendados para un piloto.
Es posible que quiera llevar a cabo una implementación dirigida de unión híbrida a Microsoft Entra antes de habilitarla en toda la organización.
Advertencia
Las organizaciones deben incluir un ejemplo de usuarios de distintos roles y perfiles en su grupo piloto. Un lanzamiento dirigido ayudará a identificar los problemas que puede que el plan no haya solucionado antes de habilitar toda la organización.
Elección de los métodos de integración
Su organización puede usar varios métodos de integración de dispositivos en un único inquilino de Microsoft Entra. El objetivo es elegir uno o varios métodos adecuados para administrar los dispositivos de forma segura en microsoft Entra ID. Hay muchos parámetros que impulsan esta decisión, como la propiedad, los tipos de dispositivo, la audiencia principal y la infraestructura de la organización.
La siguiente información puede ayudarle a decidir qué métodos de integración usar.
Árbol de decisión para la integración de dispositivos
Use este árbol para determinar las opciones de los dispositivos propiedad de la organización.
Nota
Los escenarios personales o de dispositivo propio (BYOD) no se muestran en este diagrama. Siempre dan como resultado el registro de Microsoft Entra.
Matriz de comparación
Los dispositivos iOS y Android solo están registrados en Microsoft Entra. En la tabla siguiente se presentan consideraciones de alto nivel para los dispositivos cliente windows. Úselo como información general y, a continuación, explore los diferentes métodos de integración en detalle.
| Consideración | Microsoft Entra registrado | Microsoft Entra se unió | Unido a Microsoft Entra híbrido |
|---|---|---|---|
| sistemas operativos cliente | |||
| Dispositivos Windows 11 o Windows 10 |  |
|
|
| Escritorio linux: Ubuntu 20.04/22.04/24.04, RHEL 8/9 | |
||
| Opciones de inicio de sesión | |||
| Credenciales locales de usuario final | |
||
| Contraseña | |
|
|
| PIN del dispositivo | |
||
| Windows Hello | |
||
| Windows Hello para empresas | |
|
|
| Claves de seguridad FIDO 2.0 | |
|
|
| Aplicación Microsoft Authenticator (sin contraseña) | |
|
|
| Capacidades clave | |||
| Inicio de sesión único en recursos en la nube | |
|
|
| Inicio de sesión único en recursos locales | |
|
|
| Acceso condicional (Requerir que los dispositivos estén marcados como compatibles) (Debe administrarse mediante MDM) |
|
|
|
| Acceso condicional (Requiere dispositivos de unión híbrida a Microsoft Entra) |
|
||
| Autoservicio de restablecimiento de contraseña desde la pantalla de inicio de sesión de Windows | |
|
|
| Restablecimiento del PIN de Windows Hello | |
|
Registro en Microsoft Entra
A menudo, los dispositivos registrados se administran con Microsoft Intune. Los dispositivos se inscriben en Intune de varias maneras, en función del sistema operativo.
Los dispositivos registrados en Microsoft Entra permiten que los dispositivos BYOD (Bring Your Own Device) y los dispositivos propiedad de la empresa usen el inicio de sesión único en los recursos en la nube. El acceso a los recursos se basa en las directivas de acceso condicional de Microsoft Entra que se aplican al dispositivo y al usuario.
Registro de dispositivos
A menudo, los dispositivos registrados se administran con Microsoft Intune. Los dispositivos se inscriben en Intune de varias maneras, en función del sistema operativo.
Los usuarios instalan la aplicación Portal de empresa para registrar BYOD y dispositivos móviles corporativos.
Si registrar los dispositivos es la mejor opción para su organización, consulte los siguientes recursos:
- Esta introducción a los dispositivos registrados en Microsoft Entra.
- Esta documentación para el usuario final sobre cómo registrar un dispositivo personal en la red de la organización.
Unión a Microsoft Entra
La unión a Microsoft Entra le permite realizar la transición hacia un modelo primero en la nube con Windows. Proporciona una gran base si planea modernizar la administración de dispositivos y reducir los costos de TI relacionados con los dispositivos. La unión a Microsoft Entra solo funciona con dispositivos Windows 10 o versiones más recientes. Tenga en cuenta que es la primera opción para los nuevos dispositivos.
Los dispositivos unidos a Microsoft Entra pueden usar el inicio de sesión único en los recursos locales cuando se encuentran en la red de la organización y pueden autenticarse en servidores locales, como el de archivos o impresión, y en otras aplicaciones.
Si esta opción es la mejor para su organización, consulte los siguientes recursos:
- Esta introducción a los dispositivos unidos a Microsoft Entra.
- Familiarícese con el plan de implementación de unión a Microsoft Entra.
Aprovisionamiento de dispositivos unidos a Microsoft Entra
Para aprovisionar dispositivos con el fin de unirlos a Microsoft Entra, tiene los siguientes enfoques:
- Autoservicio: experiencia de primera ejecución de Windows 10
Si tiene Windows 10 Professional o Windows 10 Enterprise instalado en un dispositivo, la experiencia tiene como valor predeterminado el proceso de configuración de los dispositivos propiedad de la empresa.
- Configuración rápida (OOBE) de Windows o desde la Configuración de Windows
- Windows Autopilot
- Inscripción masiva
Elija el procedimiento de implementación después de una comparación cuidadosa de estos enfoques.
Puede determinar que la unión a Microsoft Entra es la mejor solución para un dispositivo que esté en un estado diferente. En la tabla siguiente se muestra cómo cambiar el estado de un dispositivo.
| Estado actual del dispositivo | Estado del dispositivo deseado | Procedimientos |
|---|---|---|
| Unido a dominio local | Microsoft Entra se unió | Desvincule el dispositivo del dominio local antes de unirse a Microsoft Entra ID. |
| Unido a Microsoft Entra híbrido | Microsoft Entra se unió | Desvincula el dispositivo del dominio del entorno local y de Microsoft Entra ID antes de volver a unirse a Microsoft Entra ID. |
| Microsoft Entra registrado | Microsoft Entra se ha unido | Anule el registro del dispositivo antes de unirse a Microsoft Entra ID. |
Unión híbrida de Microsoft Entra
Si tiene un entorno de Active Directory local y quiere unir los equipos unidos a un dominio existente a Microsoft Entra ID, puede realizar esta tarea con la unión híbrida de Microsoft Entra. Admite una amplia gama de dispositivos Windows.
La mayoría de las organizaciones ya tienen dispositivos unidos a un dominio y los administran a través de la directiva de grupo o System Center Configuration Manager (SCCM). En ese caso, se recomienda configurar la unión híbrida de Microsoft Entra para empezar a obtener beneficios al usar las inversiones ya realizadas.
Si la unión híbrida de Microsoft Entra es la mejor opción para su organización, consulte los siguientes recursos:
- Esta introducción a los dispositivos de unión híbrida a Microsoft Entra.
- Familiarícese con el plan de implementación de unión híbrida a Microsoft Entra.
Aprovisionamiento de la unión híbrida a Microsoft Entra en los dispositivos
Revise la infraestructura de identidad. Microsoft Entra Connect proporciona un asistente para configurar la unión híbrida de Microsoft Entra para:
Si instalar la versión necesaria de Microsoft Entra Connect no es una opción para usted, consulte cómo configurar manualmente la unión híbrida de Microsoft Entra.
Nota
El dispositivo Windows 10 o más reciente, asociado a un dominio local, intenta unirse automáticamente a Microsoft Entra ID para convertirse en un dispositivo híbrido unido a Microsoft Entra de forma predeterminada. Esto solo se realizará correctamente si ha configurado el entorno adecuado.
Puede determinar que la unión híbrida de Microsoft Entra es la mejor solución para un dispositivo que se encuentra en un estado diferente. En la tabla siguiente se muestra cómo cambiar el estado de un dispositivo.
| Estado actual del dispositivo | Estado del dispositivo deseado | Procedimientos |
|---|---|---|
| Unido a dominio local | Unido a Microsoft Entra híbrido | Use Microsoft Entra Connect o AD FS para unirse a Azure. |
| Grupo de trabajo local integrado o nuevo | Unido a Microsoft Entra híbrido | Admitido con Windows Autopilot. De lo contrario, el dispositivo debe estar unido a un dominio local antes de establecer una unión híbrida a Microsoft Entra. |
| Microsoft Entra se unió | Unido a Microsoft Entra híbrido | Sepárelo de Microsoft Entra ID para ponerlo en el grupo de trabajo local o en un estado nuevo. |
| Microsoft Entra registrado | Unido a Microsoft Entra híbrido | Depende de la versión de Windows. Consulte estas consideraciones. |
Administrar los dispositivos
Una vez que haya registrado o unido los dispositivos a Microsoft Entra ID, use el Centro de administración de Microsoft Entra como un lugar central para administrar las identidades de los dispositivos. La página Dispositivos de Microsoft Entra le permite:
- Configure la configuración del dispositivo.
- Debe ser un administrador local para administrar dispositivos Windows. Microsoft Entra ID actualiza esta pertenencia para los dispositivos unidos a Microsoft Entra y agrega automáticamente a los usuarios que tienen el rol de administrador de dispositivos como administradores a todos los dispositivos unidos.
Para mantener el entorno limpio, no olvide administrar los dispositivos obsoletos y centre sus recursos en la administración de los dispositivos actuales.
Herramientas de administración de dispositivos compatibles
Los administradores pueden proteger y controlar aún más los dispositivos registrados y unidos mediante otras herramientas de administración de dispositivos. Estas herramientas proporcionan una manera de aplicar configuraciones como requerir que el almacenamiento se cifre, la complejidad de contraseñas, las instalaciones de software y las actualizaciones de software.
Revise las plataformas admitidas y no admitidas para dispositivos integrados:
| Herramientas de administración de dispositivos | Microsoft Entra registrado | Microsoft Entra se unió | Unido a Microsoft Entra híbrido |
|---|---|---|---|
| Administración de Dispositivos Móviles (MDM) Ejemplo: Microsoft Intune |
|
|
|
| Administración conjunta con Microsoft Intune y Microsoft Configuration Manager (Windows 10 o posterior) |
|
|
|
| Directiva de grupo (Solo Windows) |
|
Para los dispositivos iOS o Android registrados, es recomendable usar la administración de aplicaciones móviles (MAM) de Microsoft Intune con o sin administración de dispositivos.
Los administradores también pueden implementar plataformas de infraestructura de escritorio virtual (VDI) para hospedar los sistemas operativos Windows en sus organizaciones con el fin de centralizar y consolidar los recursos y así simplificar la administración y reducir los costos.