Tutorial: Habilitar la administración conjunta para clientes existentes de Configuration Manager
Gracias a la administración conjunta, puede mantener sus procesos bien establecidos para usar Configuration Manager para administrar los equipos de su organización. Al mismo tiempo, está invirtiendo en la nube al usar Intune para obtener seguridad y aprovisionamiento modernos.
En este tutorial, configurará la administración conjunta de los dispositivos Windows 10 o posteriores que ya están inscritos en Configuration Manager. Este tutorial comienza con la premisa de que ya usa Configuration Manager para administrar los dispositivos Windows 10 o posteriores.
Use este tutorial cuando:
Tiene una instancia de Active Directory local que puede conectarse a Microsoft Entra ID en una configuración híbrida de Microsoft Entra.
Si no puedes implementar un id. de Microsoft Entra híbrido que une tu AD local con Microsoft Entra ID, te recomendamos que sigas nuestro tutorial complementario Habilitación de la administración conjunta para nuevos dispositivos Windows 10 o posteriores basados en Internet.
Tiene clientes de Configuration Manager existentes que desea asociar a la nube.
En este tutorial:
- Revisión de los requisitos previos para Azure y el entorno local
- Configuración del id. de Microsoft Entra híbrido
- Configuración de agentes de cliente de Configuration Manager para registrarse con el identificador de Microsoft Entra
- Configurar Intune para inscribir dispositivos automáticamente
- Habilitar la administración conjunta en el Administrador de configuración
Requisitos previos
Entorno y servicios de Azure
Suscripción a Azure (versión de prueba gratuita)
Microsoft Entra ID P1 o P2
Suscripción a Microsoft Intune
Sugerencia
Una suscripción de Enterprise Mobility + Security (EMS) incluye Microsoft Entra ID P1 o P2 y Microsoft Intune. Suscripción a EMS (evaluación gratuita).
Si aún no está presente en su entorno, durante este tutorial configurará Microsoft Entra Connect entre su instancia local de Active Directory y el inquilino de Microsoft Entra.
Nota:
Los dispositivos que solo están registrados con el identificador de Microsoft Entra no son compatibles con la administración conjunta. Esta configuración a veces se conoce como unida al área de trabajo. Deben estar unidos a Microsoft Entra ID o a Microsoft Entra híbrido unido. Para obtener más información, consulte Control de dispositivos con estado registrado de Microsoft Entra.
Infraestructura local
- Una versión compatible de la rama actual de Configuration Manager
- La entidad de administración de dispositivos móviles (MDM) debe establecerse en Intune.
Permissions
A lo largo de este tutorial, use los siguientes permisos para completar tareas:
- Una cuenta que sea administrador de dominio en la infraestructura local
- Una cuenta que es un administrador completo para todos los ámbitos de Configuration Manager
- Una cuenta que es un administrador global en microsoft entra id.
- Asegúrese de que ha asignado una licencia de Intune a la cuenta que usa para iniciar sesión en el inquilino. De lo contrario, se produce un error en el inicio de sesión con el mensaje de error Se produjo un error imprevisto.
Configuración del id. de Microsoft Entra híbrido
Al configurar un id. de Microsoft Entra híbrido, realmente está configurando la integración de un AD local con Microsoft Entra ID mediante Microsoft Entra Connect y Servicios federados de Active Directory (ADFS). Con una configuración correcta, los trabajadores pueden iniciar sesión sin problemas en sistemas externos mediante sus credenciales de AD locales.
Importante
En este tutorial se detalla un proceso sin sistema operativo para configurar el identificador híbrido de Microsoft Entra para un dominio administrado. Se recomienda estar familiarizado con el proceso y no confiar en este tutorial como guía para comprender e implementar el identificador híbrido de Microsoft Entra.
Para obtener más información sobre el id. de Microsoft Entra híbrido, comience con los siguientes artículos en la documentación de Microsoft Entra:
Configuración de Microsoft Entra Connect
El id. de Microsoft Entra híbrido requiere la configuración de Microsoft Entra Connect para mantener sincronizadas las cuentas de equipo de Active Directory (AD) local y el objeto de dispositivo de Microsoft Entra ID.
A partir de la versión 1.1.819.0, Microsoft Entra Connect proporciona un asistente para configurar la unión híbrida de Microsoft Entra. El uso de ese asistente simplifica el proceso de configuración.
Para configurar Microsoft Entra Connect, necesita credenciales de un administrador global para el identificador de Microsoft Entra. El procedimiento siguiente no debe considerarse autoritativo para la configuración de Microsoft Entra Connect, pero se proporciona aquí para ayudar a simplificar la configuración de la administración conjunta entre Intune y Configuration Manager. Para ver el contenido autoritativo sobre este y los procedimientos relacionados para la configuración de Microsoft Entra ID, consulte Configuración de la unión híbrida de Microsoft Entra para dominios administrados en la documentación de Microsoft Entra.
Configuración de una unión híbrida de Microsoft Entra mediante Microsoft Entra Connect
Obtenga e instale la versión más reciente de Microsoft Entra Connect (1.1.819.0 o posterior).
Inicie Microsoft Entra Connect y seleccione Configurar.
En la página Tareas adicionales , seleccione Configurar opciones de dispositivo y, a continuación, seleccione Siguiente.
En la página Información general , seleccione Siguiente.
En la página Conectarse a Microsoft Entra ID , escriba las credenciales de un administrador global para Microsoft Entra ID.
En la página Opciones de dispositivo , seleccione Configurar la unión híbrida de Microsoft Entra y, a continuación, seleccione Siguiente.
En la página Sistemas operativos de dispositivo, seleccione los sistemas operativos usados por los dispositivos en el entorno de Active Directory y, a continuación, seleccione Siguiente.
Puedes seleccionar la opción para admitir dispositivos unidos a un dominio de nivel inferior de Windows, pero ten en cuenta que la administración conjunta de dispositivos solo es compatible con Windows 10 o posterior.
En la página SCP , para cada bosque local, quiere que Microsoft Entra Connect configure el punto de conexión de servicio (SCP), siga estos pasos y, a continuación, seleccione Siguiente:
- Seleccione el bosque.
- Seleccione el servicio de autenticación. Si tiene un dominio federado, seleccione servidor de AD FS a menos que su organización tenga exclusivamente clientes de Windows 10 o versiones posteriores y haya configurado la sincronización de equipos o dispositivos o que su organización use SeamlessSSO.
- Haga clic en Agregar para escribir las credenciales de administrador de empresa.
Si tiene un dominio administrado, omita este paso.
En la página Configuración de federación , escriba las credenciales del administrador de AD FS y, a continuación, seleccione Siguiente.
En la página Listo para configurar , seleccione Configurar.
En la página Configuración completa , seleccione Salir.
Si experimenta problemas con la finalización de la unión híbrida de Microsoft Entra para dispositivos Windows unidos a un dominio, consulte Solución de problemas de unión híbrida de Microsoft Entra para dispositivos windows actuales.
Configuración de la configuración de cliente para dirigir a los clientes para que se registren con el identificador de Microsoft Entra
Use La configuración de cliente para configurar los clientes de Configuration Manager para que se registren automáticamente con el identificador de Microsoft Entra.
Abra la configuración declientede>administración> de la consola> de Configuration Manager y, a continuación, edite la configuración de cliente predeterminada.
Seleccione Cloud Services.
En la página Configuración predeterminada , establezca Registro automático de nuevos dispositivos unidos a un dominio de Windows 10 con Microsoft Entra ID en = Sí.
Seleccione Aceptar para guardar esta configuración.
Configuración de la inscripción automática de dispositivos en Intune
A continuación, configuraremos la inscripción automática de dispositivos con Intune. Con la inscripción automática, los dispositivos que administra con Configuration Manager se inscriben automáticamente con Intune.
La inscripción automática también permite a los usuarios inscribir sus dispositivos Windows 10 o posteriores en Intune. Los dispositivos se inscriben cuando un usuario agrega su cuenta profesional a su dispositivo de propiedad personal o cuando un dispositivo de propiedad corporativa se une a Microsoft Entra ID.
Inicie sesión en Azure Portal y seleccione Microsoft Entra ID>Mobility (MDM y MAM)>Microsoft Intune.
Configuración del ámbito de usuario mdm. Especifique una de las siguientes opciones para configurar los dispositivos de los usuarios administrados por Microsoft Intune y aceptar los valores predeterminados de la dirección URL.
Algunos: seleccione los grupos que pueden inscribir automáticamente sus dispositivos Windows 10 o posteriores.
Todos: todos los usuarios pueden inscribir automáticamente sus dispositivos Windows 10 o posteriores
Ninguno: deshabilitar la inscripción automática de MDM
Importante
Si tanto el ámbito de usuario mam como la inscripción automática de MDM (ámbito de usuario MDM) están habilitados para un grupo, solo MAM está habilitado. Solo se agrega Administración de aplicaciones móviles (MAM) para los usuarios de ese grupo cuando se unen a un dispositivo personal. Los dispositivos no se inscriben automáticamente en MDM.
Cuando Configuration Manager está configurado para inscribir dispositivos en Intune, todavía tiene que cambiar el ámbito de usuario mdm para la inscripción de tokens de dispositivo. Configuration Manager usa las direcciones URL de MDM que almacena en la base de datos del sitio para comprobar que el cliente pertenece al inquilino de Intune esperado.
Seleccione Guardar para completar la configuración de la inscripción automática.
Vuelva a Mobility (MDM y MAM) y seleccione Inscripción de Microsoft Intune.
Nota:
Es posible que algunos inquilinos no tengan estas opciones para configurar.
Microsoft Intune es la forma en que configura la aplicación MDM para el identificador de Microsoft Entra. La inscripción de Microsoft Intune es una aplicación específica de Microsoft Entra que se crea al aplicar directivas de autenticación multifactor para la inscripción de iOS y Android. Para obtener más información, vea Requerir la autenticación multifactor para las inscripciones de dispositivos de Intune.
En Ámbito de usuario mdm, seleccione Todo y, a continuación, Guardar.
Habilitar la administración conjunta en el Administrador de configuración
Con la configuración híbrida de Microsoft Entra y las configuraciones de cliente de Configuration Manager en su lugar, está listo para voltear el conmutador y habilitar la administración conjunta de los dispositivos Windows 10 o posteriores. La frase Grupo piloto se usa en los cuadros de diálogo de configuración y característica de administración conjunta. Un grupo piloto es una colección que contiene un subconjunto de los dispositivos de Configuration Manager. Use un grupo piloto para las pruebas iniciales, agregando dispositivos según sea necesario, hasta que esté listo para mover las cargas de trabajo de todos los dispositivos de Configuration Manager. No hay un límite de tiempo en cuanto a cuánto tiempo se puede usar un grupo piloto para cargas de trabajo. Un grupo piloto se puede usar indefinidamente si no desea mover la carga de trabajo a todos los dispositivos de Configuration Manager.
Cuando habilite la administración conjunta, asignará una colección como grupo piloto. Se trata de un grupo que contiene un pequeño número de clientes para probar las configuraciones de administración conjunta. Se recomienda crear una colección adecuada antes de iniciar el procedimiento. A continuación, puede seleccionar esa colección sin salir del procedimiento para hacerlo. Es posible que necesite varias colecciones, ya que puede asignar un grupo piloto diferente para cada carga de trabajo.
Nota:
Dado que los dispositivos están inscritos en el servicio Microsoft Intune en función de su token de dispositivo Microsoft Entra y no de usuario, solo se aplicará la restricción de inscripción predeterminada de Intune a la inscripción.
Habilitación de la administración conjunta para las versiones 2111 y posteriores
A partir de la versión 2111 de Configuration Manager, la experiencia de incorporación de administración conjunta cambió. El Asistente para configuración de conexión a la nube facilita la administración conjunta y otras características en la nube. Puede elegir un conjunto simplificado de valores predeterminados recomendados o personalizar las características de conexión en la nube. También hay una nueva colección de dispositivos integrada para la administración conjunta de dispositivos aptos para ayudarle a identificar clientes. Para obtener más información sobre cómo habilitar la administración conjunta, consulte Habilitación de la asociación en la nube.
Nota:
Con el nuevo asistente, no se mueven las cargas de trabajo al mismo tiempo que se habilita la administración conjunta. Para mover cargas de trabajo, editará las propiedades de administración conjunta después de habilitar la asociación en la nube.
Habilitación de la administración conjunta para las versiones 2107 y anteriores
Al habilitar la administración conjunta, puede usar la nube pública de Azure, la nube de Azure Government o la nube de Azure China 21Vianet (agregada en la versión 2006). Para habilitar la administración conjunta, siga estas instrucciones:
En la consola de Configuration Manager, vaya al área de trabajo Administración , expanda Cloud Services y seleccione el nodo Conexión a la nube . Seleccione Configurar cloud attach en la cinta de opciones para abrir el Asistente para la configuración de conexión a la nube.
En la versión 2103 y versiones anteriores, expanda Cloud Services y seleccione el nodo Administración conjunta . Seleccione Configurar administración conjunta en la cinta de opciones para abrir el Asistente para configuración de administración conjunta.
En la página de incorporación del asistente, para el entorno de Azure, elija uno de los siguientes entornos:
Nube pública de Azure
Nube de Azure Government
Nube de Azure China (agregada en la versión 2006)
Nota:
Actualice el cliente de Configuration Manager a la versión más reciente de los dispositivos antes de incorporarlo a la nube de Azure China.
Al seleccionar la nube de Azure China o la nube de Azure Government, la opción Cargar en el Centro de administración de Microsoft Endpoint Manager para la asociación de inquilinos está deshabilitada.
Seleccione Iniciar sesión. Inicie sesión como administrador global de Microsoft Entra y seleccione Siguiente. Inicie sesión una vez para los fines de este asistente. Las credenciales no se almacenan ni reutilizan en otro lugar.
En la página Habilitación , elija la siguiente configuración:
Inscripción automática en Intune: habilita la inscripción automática de clientes en Intune para los clientes existentes de Configuration Manager. Esta opción permite habilitar la administración conjunta en un subconjunto de clientes para probar inicialmente la administración conjunta y, a continuación, implementar la administración conjunta mediante un enfoque por fases. Si el usuario anula la inscripción de un dispositivo, el dispositivo se volverá a inscribir en la siguiente evaluación de la directiva.
- Piloto: solo los clientes de Configuration Manager que son miembros de la colección de inscripción automática de Intune se inscriben automáticamente en Intune.
- Todo: habilite la inscripción automática para todos los clientes que ejecutan Windows 10, versión 1709 o posterior.
- Ninguno: deshabilite la inscripción automática para todos los clientes.
Inscripción automática de Intune: esta colección debe contener todos los clientes que quiera incorporar a la administración conjunta. Básicamente es un superconjunto de todas las demás colecciones de almacenamiento provisional.
La inscripción automática no es inmediata para todos los clientes. Este comportamiento ayuda a que la inscripción se escale mejor para entornos grandes. Configuration Manager aleatoriza la inscripción en función del número de clientes. Por ejemplo, si el entorno tiene 100 000 clientes, al habilitar esta configuración, la inscripción se produce durante varios días.
Ahora, un nuevo dispositivo administrado conjuntamente se inscribe automáticamente en el servicio Microsoft Intune en función de su token de dispositivo Microsoft Entra. No es necesario esperar a que un usuario inicie sesión en el dispositivo para que se inicie la inscripción automática. Este cambio ayuda a reducir el número de dispositivos con el estado de inscripción Pendiente de inicio de sesión del usuario. Para admitir este comportamiento, el dispositivo debe ejecutar Windows 10, versión 1803 o posterior. Para obtener más información, vea Estado de inscripción de administración conjunta.
Si ya tiene dispositivos inscritos en la administración conjunta, los nuevos dispositivos se inscribirán inmediatamente después de cumplir los requisitos previos.
Para los dispositivos basados en Internet que ya están inscritos en Intune, copie y guarde el comando en la página Habilitación . Usará este comando para instalar el cliente de Configuration Manager como una aplicación en Intune para dispositivos basados en Internet. Si no guarda este comando ahora, puede revisar la configuración de administración conjunta en cualquier momento para obtener este comando.
Sugerencia
El comando solo aparece si ha cumplido todos los requisitos previos, como la configuración de una puerta de enlace de administración en la nube.
En la página Cargas de trabajo , para cada carga de trabajo, elija qué grupo de dispositivos se va a mover para la administración con Intune. Para obtener más información, consulte Cargas de trabajo.
Si solo quiere habilitar la administración conjunta, no es necesario cambiar las cargas de trabajo ahora. Puede cambiar las cargas de trabajo más adelante. Para obtener más información, consulte Cómo cambiar las cargas de trabajo.
- Intune piloto: cambia la carga de trabajo asociada solo para los dispositivos de las colecciones piloto que especificará en la página Ensayo . Cada carga de trabajo puede tener una colección piloto diferente.
- Intune: cambia la carga de trabajo asociada para todos los dispositivos administrados conjuntamente con Windows 10 o versiones posteriores.
Importante
Antes de cambiar las cargas de trabajo, asegúrese de configurar e implementar correctamente la carga de trabajo correspondiente en Intune. Asegúrese de que una de las herramientas de administración de los dispositivos administra siempre las cargas de trabajo.
En la página Ensayo , especifique la colección piloto para cada una de las cargas de trabajo establecidas en Intune piloto.
Para habilitar la administración conjunta, complete el asistente.
Siguientes pasos
- Revisión del estado de los dispositivos administrados conjuntamente con el panel de administración conjunta
- Empezar a obtener el valor inmediato de la administración conjunta
- Uso del acceso condicional y las reglas de cumplimiento de Intune para administrar el acceso de los usuarios a los recursos corporativos