Solución de problemas de administración conjunta: Inscripción automática de dispositivos administrados por Configuration Manager existentes en Intune

Este artículo le ayuda a comprender y solucionar problemas que pueden surgir al configurar la administración conjunta mediante la inscripción automática de dispositivos administrados por Configuration Manager en Intune.

En este escenario, puede seguir administrando dispositivos Windows 10 mediante Configuration Manager o puede mover de forma selectiva las cargas de trabajo a Microsoft Intune como desee. Para obtener más información sobre cómo configurar cargas de trabajo, consulte Sugerencia de soporte técnico: Configuración de cargas de trabajo en un entorno administrado conjuntamente.

Antes de comenzar

Antes de empezar a solucionar problemas, es importante recopilar información básica sobre el problema y asegurarse de seguir todos los pasos de configuración necesarios. Le ayuda a comprender mejor el problema y a reducir el tiempo para encontrar una resolución. Para ello, siga esta lista de comprobación de preguntas previas a la solución de problemas:

• ¿Tiene los permisos y roles necesarios para configurar la administración conjunta?
• ¿Qué opción de identidad híbrida de Microsoft Entra seleccionó?
• ¿Cuál es la entidad de MDM actual?
• ¿Ha instalado y configurado Microsoft Entra Connect?
• ¿Ha asignado una licencia de Microsoft Entra ID P1 o P2 al UPN que usó para la configuración?
• ¿Ha asignado licencias de Intune a los usuarios?
• ¿Configuró la unión híbrida de Microsoft Entra para dominios administrados o dominios federados?
• ¿Configuró la configuración del agente cliente de Configuration Manager para la unión híbrida a Microsoft Entra?
• ¿Configuró la inscripción automática en el inquilino de Intune?
• ¿Habilitó la administración conjunta en Configuration Manager?

La mayoría de los problemas se producen porque no se completaron uno o varios de estos pasos. Si encuentra que se omitió un paso o no se completó correctamente, compruebe los detalles de cada paso o consulte el siguiente tutorial: Habilitación de la administración conjunta para clientes de Configuration Manager existentes.

Use el siguiente archivo de registro en dispositivos Windows 10 para solucionar problemas de administración conjunta en el cliente:

%WinDir%\CCM\logs\CoManagementHandler.log

Solución de problemas de configuración híbrida de Microsoft Entra

Si tiene problemas que afectan a la identidad híbrida de Microsoft Entra o a Microsoft Entra Connect, consulte las siguientes guías de solución de problemas:

• Solución de problemas de instalación de Microsoft Entra Connect
• Solución de errores durante la sincronización de Microsoft Entra Connect
• Solución de problemas de sincronización de hash de contraseña con la sincronización de Microsoft Entra Connect
• Solucionar problemas de inicio de sesión único de conexión directa de Microsoft Entra
• Solución de problemas de autenticación transferida de Microsoft Entra
• Solución de problemas de inicio de sesión único con Servicios de federación de Active Directory (AD FS)

Si tiene problemas que afectan a la unión híbrida de Microsoft Entra para dominios administrados o dominios federados, consulte las siguientes guías de solución de problemas:

• Solucionar problemas de dispositivos híbridos unidos a Microsoft Entra
• Solución de problemas de dispositivos con el comando dsregcmd

Problemas comunes

Los clientes no recibieron la directiva del punto de administración de Configuration Manager para iniciar el proceso de registro con el identificador de Microsoft Entra e Intune

Este problema se produce debido a un problema en Configuration Manager y no en Intune. Puede usar los archivos de registro de cliente para solucionar estos problemas.

El cliente de Configuration Manager está instalado. Sin embargo, el dispositivo no se registra con el identificador de Entra de Microsoft y no se ven errores.

Este problema suele producirse porque la configuración del agente cliente de Configuration Manager no está configurada para dirigir a los clientes para que se registren.

Para corregir el problema, compruebe que sigue los pasos descritos en Configurar la configuración de cliente para dirigir a los clientes a registrarse con el identificador de Microsoft Entra.

El cliente de Configuration Manager está instalado y el dispositivo se registra correctamente con el identificador de Microsoft Entra. Sin embargo, el dispositivo no se inscribe automáticamente en Intune y no se ven errores.

Este problema suele producirse cuando la inscripción automática está mal configurada en el inquilino de Intune en Microsoft Entra ID>Mobility (MDM y MAM)>Microsoft Intune.

Para corregir el problema, siga los pasos descritos en Configuración de la inscripción automática de dispositivos en Intune.

No se puede encontrar el nodo de administración conjunta en Administración > de Cloud Services en la consola de Configuration Manager.

Este problema se produce si la versión de Configuration Manager es anterior a la versión 1906.

Para corregir el problema, actualice Configuration Manager a la versión 1906 o una versión posterior.

Los dispositivos unidos a dispositivos híbridos de Microsoft Entra no se pueden inscribir y generar 0x8018002a de error

Cuando se produce este problema, también observará los síntomas siguientes:

• El siguiente mensaje de error se registra en el registro de administración de aplicaciones y servicios>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>en el Visor de eventos:

  Inscripción automática de MDM: Error (código de error desconocido win32: 0x8018002a)

• El siguiente mensaje de error se registra en Registros de aplicaciones y servicios>: Registro operativo de Microsoft>Windows>Microsoft Entra ID>en el Visor de eventos:

  Error: 0xCAA2000C La solicitud requiere interacción del usuario.
  Código: interaction_required
  Descripción: AADSTS50076: debido a un cambio de configuración realizado por el administrador o porque se ha movido a una nueva ubicación, debe usar la autenticación multifactor para acceder.

Este problema se produce cuando se aplica la autenticación multifactor (MFA). Impide que el agente cliente de Configuration Manager inscriba el dispositivo mediante las credenciales de usuario que ha iniciado sesión.

Nota:

Hay una diferencia entre tener MFA habilitado y Aplicado. Para obtener más información sobre la diferencia, consulte Estados de usuario de autenticación multifactor de Microsoft Entra. Este escenario funciona con MFA habilitado pero no con MFA aplicado.

Para corregir el problema, use uno de los métodos siguientes:

• Establezca MFA en Habilitado pero no aplicado. Para obtener más información, consulte Configuración de la autenticación multifactor.
• Deshabilite temporalmente MFA durante la inscripción en direcciones IP de confianza.

Los dispositivos no se sincronizan después de la inscripción automática

A partir de la versión 1906 de Configuration Manager, un dispositivo administrado conjuntamente que ejecuta Windows 10 versión 1803 o una versión posterior se inscribe automáticamente en el servicio microsoft Intune en función de sus tokens de dispositivo de Microsoft Entra. Sin embargo, el dispositivo no se puede sincronizar y recibe el siguiente mensaje de error en Configuración>Cuentas>de acceso profesional o educativa:

La sincronización no se ha realizado correctamente porque no hemos podido comprobar las credenciales. Seleccione Sincronizar para iniciar sesión e inténtelo de nuevo.

Cuando se produce este problema, el siguiente mensaje de error se registra en Registros de aplicaciones y servicios>de Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin en el Visor de eventos:

Sesión MDM: No se pudo obtener el token de Microsoft Entra para la sesión de sincronización Token de usuario: (Código de error desconocido de Win32: 0xcaa2000c) Token de dispositivo: (función incorrecta).

El siguiente mensaje de error se registra en Registros de aplicaciones y servicios>: Registro operativo de Microsoft>Windows>Microsoft Entra ID>en el Visor de eventos:

Error: 0xCAA2000C La solicitud requiere interacción del usuario.
Código: interaction_required
Descripción: AADSTS50076: debido a un cambio de configuración realizado por el administrador o porque se ha movido a una nueva ubicación, debe usar la autenticación multifactor para acceder.

Este problema se produce cuando MFA está habilitado o aplicado, o las directivas de acceso condicional de Microsoft Entra que requieren MFA se aplican a todas las aplicaciones en la nube. Impide la asociación de usuarios con el dispositivo en el portal.

Para corregir el problema, use uno de los métodos siguientes:

• Si MFA está habilitado o aplicado:
  • Establezca MFA en Deshabilitado. Para obtener más información, consulte Desactivar MFA heredado por usuario.
  • Omitir MFA mediante direcciones IP de confianza.
• Si se usan directivas de acceso condicional de Microsoft Entra, excluya la aplicación microsoft Intune de las directivas que requieren MFA para permitir la sincronización de dispositivos mediante las credenciales de usuario.

Un dispositivo Windows 10 híbrido unido a Microsoft Entra no se puede inscribir en Intune con errores 0x800706D9 o 0x80180023

Cuando se produce este problema, normalmente verá el siguiente mensaje de error en Registros de aplicaciones y servicios de>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin en el Visor de eventos:

MDM Enroll: error en la configuración del cliente OMA-DM. RAWResult: (0x800706D9) Resultado: (código de error win32 desconocido: 0x80180023).
MDM Enroll: error de aprovisionamiento. Resultado: (Código de error win32 desconocido: 0x80180023).
Mdm Enroll: Failed (Unknown Win32 Error code: 0x80180023)
Inscripción automática de MDM: credencial de dispositivo (0x80180023), error (%2)
Cancelación de la inscripción de MDM: error al enviar alertas de anulación de inscripción en el servidor. Resultado: (Función incorrecta).
Cancelación de la inscripción de MDM: error al cambiar el tipo de inicio dmwappushservice a demand-start. Resultado: (El servicio especificado no existe como servicio instalado).

Este problema se produce si falta el dmwappushservice servicio en el dispositivo. Para comprobarlo, ejecute services.msc para buscar este servicio.

Siga estos pasos para solucionar este problema:

1. En un dispositivo en funcionamiento que ejecuta la misma versión de Windows 10 que el dispositivo afectado, exporte la siguiente clave del Registro:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice

2. Inicie sesión en el dispositivo afectado como administrador local, copie el archivo .reg en el dispositivo afectado y, a continuación, combinelo con el registro local.

3. Reinicie el dispositivo afectado.

4. Elimine el registro antiguo de Microsoft Entra y, a continuación, actualice la directiva de grupo.

5. Reinicie de nuevo el dispositivo afectado. El dispositivo debe poder registrarse con el identificador de Entra de Microsoft e inscribirse automáticamente en Intune.

Error de unión híbrida de Microsoft Entra en un dominio administrado con error 0x801c03f2

Cuando se ejecuta dsregcmd /status desde un símbolo del sistema en el dispositivo, puede ver que está unido a un dominio, pero no a Microsoft Entra híbrido. El siguiente mensaje de error se registra en Registro de aplicaciones y servicios del>registro de dispositivos de usuario de Microsoft>Windows>>en el Visor de eventos:

La respuesta del servidor fue: {"ErrorType":"DirectoryError","Message":"El certificado de usuario de clave pública no se encuentra en el objeto de dispositivo con id <DeviceID>".

Este problema se produce en una de las situaciones siguientes:

• Falta el objeto de dispositivo en el identificador de Microsoft Entra.
• El Usercertificate atributo no tiene el certificado de dispositivo en el Active Directory local ni en el identificador de Microsoft Entra.

Para que el registro de dispositivos Windows 10 funcione en un dominio administrado, el objeto de dispositivo debe sincronizarse primero. El proceso de registro funciona de la siguiente manera:

• El dispositivo Windows 10 se inicia por primera vez después de estar unido a un dominio local.
• Se desencadena el registro de dispositivos y se crea una solicitud de certificado.
• Cuando se crea la solicitud, la clave pública del certificado se publica en el AD local para el objeto de dispositivo. Esto actualiza el Usercertificate atributo en los objetos de dispositivo. Al mismo tiempo, la solicitud de registro de dispositivos firmada se envía a Microsoft Entra ID.
• Se produce un error en el registro porque el identificador de Entra de Microsoft no puede autenticar el objeto de dispositivo ni comprobar la solicitud firmada.
• La próxima vez que se ejecute el ciclo de sincronización, busca el objeto de dispositivo que tiene Usercertificate el atributo rellenado y sincroniza el objeto de dispositivo con el identificador de Microsoft Entra.
• La próxima vez que se desencadene el servicio de registro (se ejecuta cada hora), el dispositivo enviará una nueva solicitud firmada por la clave privada.
• Azure comprueba la firma en la solicitud mediante el certificado público que se recibió del dominio local durante el ciclo de sincronización. Si Microsoft Entra ID puede comprobar la firma en la solicitud, el registro del dispositivo se realiza correctamente.

Para solucionar el problema, siga estos pasos:

1. En AD local, asegúrese de que el Usercertificate atributo se rellena y tiene el certificado correcto.

2. Compruebe el objeto de dispositivo back-end y asegúrese de que el Usercertificate atributo existe y se rellena.

3. Si falta el certificado o alguien eliminó el certificado de AD local (que, a su vez, elimina el certificado de Microsoft Entra ID), se produce un error en el registro del dispositivo. Para corregir este problema, haga lo siguiente en el dispositivo cliente:

   1. Abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

      dsregcmd /leave
      

   2. Ejecute certlm.msc para abrir el almacén de certificados del equipo local.

   3. Asegúrese de que se elimina el certificado de equipo emitido por MS-Organization-Access .

   4. Reinicie el dispositivo cliente para desencadenar un registro de dispositivo nuevo.

   5. Una vez reiniciado el dispositivo, asegúrese de que la nueva clave pública del certificado se actualiza en el objeto de dispositivo de AD local. Si hay varios controladores de dominio, asegúrese de que el atributo se replica en todos los controladores de dominio.

   6. Desencadene una sincronización diferencial en el servidor de Microsoft Entra Connect.

   7. Una vez completada la sincronización, puede desencadenar el registro de dispositivos reiniciando el cliente, ejecutando el dsregcmd /debug comando o ejecutando la tarea programada Automatic-Device-Join en Workplace Join.

Se produce un error en el registro automático de dispositivos con 0x80280036

Cuando se produce este problema, se registra el siguiente mensaje de error en Registros de aplicaciones y servicios:>Registro de registro> de dispositivos de usuario de Microsoft>Windows>en el Visor de eventos:

Error de DeviceRegistrationApi::BeginJoin con código de error: 0x80280036

Descripción:
Error en la inicialización de la solicitud de combinación con código de salida: el TPM intenta ejecutar un comando solo disponible cuando está en modo FIPS.

Este problema se produce si el chip TPM del dispositivo cliente tiene habilitado el modo FIPS. El modo FIPS no se admite ni se recomienda para el registro de dispositivos de Azure. Para obtener más información, vea Why We're Not Recommending "FIPS Mode" Anymore.

Error de unión híbrida de Microsoft Entra con error 0x80090016

Se produce un error en el registro híbrido de Microsoft Entra de un dispositivo Windows 10 y recibe el siguiente mensaje de error:

Ha habido algún error. Confirme que está usando la información de inicio de sesión correcta y que su organización usa esta característica. Puede intentar hacerlo de nuevo o ponerse en contacto con el administrador del sistema con el código de error 0x80090016

El mensaje de error de 0x80090016 es Keyset no existe. Esto significa que el registro del dispositivo no pudo guardar la clave del dispositivo porque no se pudo acceder a las claves de TPM.

Este problema se produce si Windows no es el propietario del TPM. A partir de Windows 10, el sistema operativo se inicializa automáticamente y toma posesión del TPM. Sin embargo, si se produce un error en este proceso, Windows no será el propietario y dará lugar al problema.

Para corregir este problema, borre el TPM y reinicie el dispositivo cliente. Para borrar el TPM, siga estos pasos:

1. Abra la aplicación Seguridad de Windows.

2. Seleccione Seguridad del dispositivo.

3. Seleccione Detalles del procesador de seguridad.

4. Seleccione Solución de problemas del procesador de seguridad.

5. Haga clic en Borrar TPM.

   Importante

   Antes de borrar el TPM, tenga en cuenta lo siguiente:

   • Borrar TPM puede dar lugar a una pérdida de datos. Perderá todas las claves creadas asociadas con el TPM y los datos protegidos por esas claves, como una tarjeta inteligente virtual, un PIN de inicio de sesión o claves de BitLocker.
   • Si BitLocker está habilitado en el dispositivo, asegúrese de deshabilitar BitLocker antes de borrar el TPM.
   • Asegúrese de tener un método de copia de seguridad y recuperación para los datos protegidos o cifrados por el TPM.

6. Reinicie el dispositivo cuando se le solicite.

   Nota:

   Durante el reinicio, puede que la UEFI le pida que presione un botón para confirmar que desea borrar el TPM. Una vez completado el reinicio, el TPM se preparará automáticamente para su uso en Windows 10.

Una vez reiniciado el dispositivo, la unión híbrida de Microsoft Entra debe realizarse correctamente. Para comprobarlo, ejecute dsregcmd /status el comando en un símbolo del sistema. El resultado siguiente indica una combinación correcta:

AzureAdJoined : YES  
DomainName : \<on-prem Domain name>

Para obtener más información, consulte Solución de problemas del TPM.

Más información

Para obtener más información sobre cómo solucionar problemas de administración conjunta, consulte los siguientes artículos:

• Solución de problemas de administración conjunta: Arranque con aprovisionamiento moderno
• Solución de problemas de cargas de trabajo de administración conjunta

Para obtener más información sobre la administración conjunta de Intune y Configuration Manager, consulte los siguientes artículos:

• Introducción a la administración conjunta de Windows 10
• Introducción: Rutas de acceso a la administración conjunta
• Inicios rápidos para la administración conjunta
• Tutorial: Habilitación de la administración conjunta para clientes existentes de Configuration Manager