Inscripción de MDM de dispositivos Windows
En el mundo de la nube actual, los departamentos de TI empresariales desean cada vez más permitir que los usuarios usen sus propios dispositivos, o incluso elegir y comprar dispositivos corporativos. La conexión de los dispositivos al trabajo facilita el acceso a los recursos de la organización, como las aplicaciones, la red corporativa y el correo electrónico.
Nota
Al conectar el dispositivo mediante la inscripción de administración de dispositivos móviles (MDM), su organización puede aplicar determinadas directivas en el dispositivo.
Conexión de dispositivos Windows de propiedad corporativa
Puede conectar dispositivos corporativos para que funcionen uniendo el dispositivo a un dominio de Active Directory o a un dominio de Microsoft Entra. Windows no requiere una cuenta microsoft personal en dispositivos unidos a Microsoft Entra ID o a un dominio de Active Directory local.
Nota
Para los dispositivos unidos a Active Directory local, consulte Inscripción de directivas de grupo.
Conexión del dispositivo a un dominio de Microsoft Entra (unirse a Microsoft Entra ID)
Todos los dispositivos Windows se pueden conectar a un dominio de Microsoft Entra. Estos dispositivos se pueden conectar durante OOBE. Además, los dispositivos de escritorio se pueden conectar a un dominio de Microsoft Entra mediante la aplicación Configuración.
Experiencia rápida
Para unirse a un dominio:
Seleccione Mi trabajo o escuela lo posee y, a continuación, seleccione Siguiente.
Seleccione Unirse a Microsoft Entra ID y, a continuación, seleccione Siguiente.
Escriba el nombre de usuario de Microsoft Entra. Este nombre de usuario es la dirección de correo electrónico que usa para iniciar sesión en Microsoft Office 365 y servicios similares.
Si el inquilino es solo en la nube, sincronización de hash de contraseña o inquilino de autenticación de paso a través, esta página cambia para mostrar la personalización de marca de la organización y puede escribir la contraseña directamente en esta página. Si el inquilino forma parte de un dominio federado, se le redirigirá al servidor de federación local de la organización, como Servicios de federación de Active Directory (AD FS) para la autenticación.
En función de la directiva de TI, también se le pedirá que proporcione un segundo factor de autenticación en este momento.
Si el inquilino de Microsoft Entra tiene configurada la inscripción automática, el dispositivo también se inscribirá en MDM durante este flujo. Para obtener más información, consulte estos pasos. Si el inquilino no está configurado para la inscripción automática, debe pasar por el flujo de inscripción una segunda vez para conectar el dispositivo a MDM. Después de completar el flujo, el dispositivo se conectará al dominio Microsoft Entra de la organización.
Uso de la aplicación Configuración
Para crear una cuenta local y conectar el dispositivo:
Inicie la aplicación Configuración.
A continuación, vaya a Cuentas.
Vaya a Acceso al trabajo o a la escuela.
Seleccione Conectar.
En Acciones alternativas, seleccione Unir este dispositivo a Microsoft Entra ID.
Escriba el nombre de usuario de Microsoft Entra. Este nombre de usuario es la dirección de correo electrónico que usa para iniciar sesión en Office 365 y servicios similares.
Si el inquilino es solo en la nube, sincronización de hash de contraseña o inquilino de autenticación de paso a través, esta página cambia para mostrar la personalización de marca de la organización y puede escribir la contraseña directamente en esta página. Si el inquilino forma parte de un dominio federado, se le redirigirá al servidor de federación local de la organización, como AD FS, para la autenticación.
En función de la directiva de TI, también se le pedirá que proporcione un segundo factor de autenticación en este momento.
Si el inquilino de Microsoft Entra tiene configurada la inscripción automática, el dispositivo también se inscribirá en MDM durante este flujo. Para obtener más información, consulta esta entrada de blog. Si el inquilino no está configurado para la inscripción automática, debe pasar por el flujo de inscripción una segunda vez para conectar el dispositivo a MDM.
Después de llegar al final del flujo, el dispositivo debe estar conectado al dominio Microsoft Entra de la organización. Ahora puede cerrar la sesión de su cuenta actual e iniciar sesión con su nombre de usuario de Microsoft Entra.
Ayuda para conectarse a un dominio de Microsoft Entra
Hay algunas instancias en las que el dispositivo no se puede conectar a un dominio de Microsoft Entra.
Problema de conexión | Descripción |
---|---|
El dispositivo está conectado a un dominio de Microsoft Entra. | El dispositivo solo se puede conectar a un único dominio de Microsoft Entra a la vez. |
El dispositivo ya está conectado a un dominio de Active Directory. | El dispositivo puede estar conectado a un dominio de Microsoft Entra o a un dominio de Active Directory. No se puede conectar a ambos simultáneamente. |
El dispositivo ya tiene un usuario conectado a una cuenta profesional. | Puede conectarse a un dominio de Microsoft Entra o conectarse a una cuenta profesional o educativa. No se puede conectar a ambos simultáneamente. |
Ha iniciado sesión como usuario estándar. | El dispositivo solo se puede conectar a un dominio de Microsoft Entra si ha iniciado sesión como usuario administrativo. Debe cambiar a una cuenta de administrador para continuar. |
El dispositivo ya está administrado por MDM. | El flujo conectarse a Microsoft Entra ID intenta inscribir el dispositivo en MDM si el inquilino de Microsoft Entra tiene un punto de conexión MDM preconfigurado. El dispositivo debe estar sin inscribir desde MDM para poder conectarse a Microsoft Entra ID en este caso. |
El dispositivo ejecuta home edition. | Esta característica no está disponible en la edición Windows Home, por lo que no puede conectarse a un dominio de Microsoft Entra. Debe actualizar a la edición Pro, Enterprise o Education para continuar. |
Conexión de dispositivos de propiedad personal
Los dispositivos de propiedad personal, también conocidos como bring your own device (BYOD), se pueden conectar a una cuenta profesional o educativa, o a MDM. Los dispositivos Windows no requieren una cuenta microsoft personal en los dispositivos para conectarse al trabajo o a la escuela.
Todos los dispositivos Windows se pueden conectar a una cuenta profesional o educativa. Puedes conectarte a una cuenta profesional o educativa a través de la aplicación Configuración o a través de cualquiera de las numerosas aplicaciones de la Plataforma universal de Windows (UWP), como las aplicaciones universales de Office.
Registro del dispositivo en Microsoft Entra ID e inscripción en MDM
Para crear una cuenta local y conectar el dispositivo:
Inicie la aplicación Configuración y, a continuación, seleccione Cuentasdeconfiguración>de inicio>de cuentas>.
Vaya a Acceso al trabajo o a la escuela.
Seleccione Conectar.
Escriba el nombre de usuario de Microsoft Entra. Este nombre de usuario es la dirección de correo electrónico que usa para iniciar sesión en Office 365 y servicios similares.
Si el inquilino es solo en la nube, sincronización de hash de contraseña o inquilino de autenticación de paso a través, esta página cambia para mostrar la personalización de marca de la organización y puede escribir la contraseña directamente en la página. Si el inquilino forma parte de un dominio federado, se le redirigirá al servidor de federación local de la organización, como AD FS, para la autenticación.
En función de la directiva de TI, también se le pedirá que proporcione un segundo factor de autenticación en este momento.
Si el inquilino de Microsoft Entra tiene configurada la inscripción automática, el dispositivo también se inscribirá en MDM durante este flujo. Para obtener más información, consulta esta entrada de blog. Si el inquilino no está configurado para la inscripción automática, debe pasar por el flujo de inscripción una segunda vez para conectar el dispositivo a MDM.
Puede ver la página de estado que muestra el progreso del dispositivo que se está configurando.
Después de completar el flujo, su cuenta Microsoft se conectará a su cuenta profesional o educativa.
Ayuda con la conexión de dispositivos de propiedad personal
Hay algunas instancias en las que es posible que el dispositivo no pueda conectarse al trabajo.
Mensaje de error | Descripción |
---|---|
El dispositivo ya está conectado a la nube de la organización. | El dispositivo ya está conectado a Microsoft Entra ID, a una cuenta profesional o educativa o a un dominio de AD. |
No hemos encontrado su identidad en la nube de su organización. | El nombre de usuario especificado no se encontró en el inquilino de Microsoft Entra. |
Una organización ya está administrando el dispositivo. | El dispositivo ya está administrado por MDM o Microsoft Configuration Manager. |
No tiene los privilegios adecuados para realizar esta operación. Hable con el administrador. | No puede inscribir el dispositivo en MDM como usuario estándar. Debe estar en una cuenta de administrador. |
No se pudo detectar automáticamente un punto de conexión de administración que coincida con el nombre de usuario especificado. Compruebe su nombre de usuario e inténtelo de nuevo. Si conoce la dirección URL del punto de conexión de administración, introdúzcala. | Debe proporcionar la dirección URL del servidor para su MDM o comprobar la ortografía del nombre de usuario que especificó. |
Inscribirse solo en la administración de dispositivos
Todos los dispositivos Windows se pueden conectar a MDM. Puede conectarse a una MDM a través de la aplicación Configuración. Para crear una cuenta local y conectar el dispositivo:
Inicie la aplicación Configuración.
A continuación, vaya a Cuentas.
Vaya a Acceso al trabajo o a la escuela.
Seleccione el vínculo Inscribir solo en la administración de dispositivos .
Escriba la dirección de correo electrónico del trabajo.
Si el dispositivo encuentra un punto de conexión que solo admite la autenticación local, esta página cambia y le pide la contraseña. Si el dispositivo encuentra un punto de conexión MDM que admite la autenticación federada, se le presenta una nueva ventana que le pide más información de autenticación.
En función de la directiva de TI, también se le pedirá que proporcione un segundo factor de autenticación en este momento. Puede ver el progreso de la inscripción en pantalla.
Después de completar el flujo, el dispositivo se conecta a la MDM de la organización.
Conexión del dispositivo Windows para que funcione mediante un vínculo profundo
Es posible que los dispositivos Windows estén conectados para que funcionen mediante un vínculo profundo. Los usuarios pueden seleccionar o abrir un vínculo en un formato determinado desde cualquier lugar de Windows y dirigirse a la nueva experiencia de inscripción.
El vínculo profundo que se usa para conectar el dispositivo al trabajo usa el siguiente formato.
ms-device-enrollment:?mode={mode_name}:
Parámetro | Descripción | Valor admitido para Windows |
---|---|---|
mode | Describe qué modo se ejecuta en la aplicación de inscripción. | Administración de dispositivos móviles (MDM), Agregar cuenta profesional (AWA) y Microsoft Entra unidos. |
nombre de usuario | Especifica la dirección de correo electrónico o UPN del usuario que debe inscribirse en MDM. | string |
servername | Especifica la dirección URL del servidor MDM que se usa para inscribir el dispositivo. | string |
accesstoken | Parámetro personalizado para que los servidores MDM los usen como consideren oportuno. Normalmente, el valor de este parámetro se puede usar como token para validar la solicitud de inscripción. | string |
deviceidentifier | Parámetro personalizado para que los servidores MDM los usen como consideren oportuno. Normalmente, el valor de este parámetro se puede usar para pasar un identificador de dispositivo único. | GUID |
tenantidentifier | Parámetro personalizado para que los servidores MDM los usen como consideren oportuno. Normalmente, el valor de este parámetro se puede usar para identificar a qué inquilino pertenece el dispositivo o usuario. | GUID o cadena |
propiedad | Parámetro personalizado para que los servidores MDM los usen como consideren oportuno. Normalmente, el valor de este parámetro se puede usar para determinar si el dispositivo es BYOD o Corp Owned. | 1, 2 o 3. Cuando "1" significa que la propiedad es desconocida, "2" significa que el dispositivo es propiedad personal y "3" significa que el dispositivo es de propiedad corporativa. |
Conexión a MDM mediante un vínculo profundo
Nota
Los vínculos profundos solo funcionan con exploradores Internet Explorer o Microsoft Edge. Ejemplos de URI que se pueden usar para conectarse a MDM mediante un vínculo profundo:
- ms-device-enrollment:?mode=mdm
-
ms-device-enrollment:?mode=mdm&username=
someone@example.com
&servername=https://example.server.com
Para conectar los dispositivos a MDM mediante vínculos profundos:
Cree un vínculo para iniciar la aplicación de inscripción integrada mediante el URI ms-device-enrollment:?mode=mdm y el texto para mostrar fácil de usar, como Haga clic aquí para conectar Windows para que funcione:
Este vínculo inicia el flujo equivalente a la opción Inscribir en la administración de dispositivos.
Los administradores de TI pueden agregar este vínculo a un correo electrónico de bienvenida que los usuarios pueden seleccionar para inscribirse en MDM.
Nota
Asegúrese de que los filtros de correo electrónico no bloqueen vínculos profundos.
Los administradores de TI también pueden agregar este vínculo a una página web interna a la que los usuarios hacen referencia a las instrucciones de inscripción.
Después de seleccionar el vínculo o ejecutarlo, Windows inicia la aplicación de inscripción en un modo especial que solo permite inscripciones mdm (similar a la opción Inscribir en la administración de dispositivos).
Escriba la dirección de correo electrónico del trabajo.
Si el dispositivo encuentra un punto de conexión que solo admite la autenticación local, esta página cambia y le pide la contraseña. Si el dispositivo encuentra un punto de conexión MDM que admite la autenticación federada, se le presenta una nueva ventana que le pide más información de autenticación. En función de la directiva de TI, también se le pedirá que proporcione un segundo factor de autenticación en este momento.
Después de completar el flujo, el dispositivo se conectará a la MDM de la organización.
Administración de conexiones
Para administrar las conexiones profesionales o educativas, seleccione Configuración>Cuentas>Acceso al trabajo o a la escuela. Las conexiones se muestran en esta página y al seleccionar una se expanden las opciones para esa conexión.
Información
El botón Información se puede encontrar en las conexiones profesionales o educativas que implican MDM. Este botón se incluye en los siguientes escenarios:
- Conexión del dispositivo a un dominio de Microsoft Entra que tiene configurada la inscripción automática en MDM.
- Conexión del dispositivo a una cuenta profesional o educativa que tenga configurada la inscripción automática en MDM.
- Conexión del dispositivo a MDM.
Al seleccionar el botón Información , se abre una nueva página en la aplicación Configuración que proporciona detalles sobre la conexión MDM. Puede ver la información de soporte técnico de su organización (si está configurada) en esta página. También puede iniciar una sesión de sincronización que obliga al dispositivo a comunicarse con el servidor MDM y capturar las actualizaciones de las directivas si es necesario.
Al seleccionar el botón Información se muestra una lista de directivas y aplicaciones de línea de negocio instaladas por su organización. Esta es una captura de pantalla de ejemplo.
Desconectar
El botón Desconectar se puede encontrar en todas las conexiones de trabajo. Por lo general, al seleccionar el botón Desconectar se quita la conexión del dispositivo. Hay algunas excepciones a esta funcionalidad:
- Los dispositivos que aplican la directiva AllowManualMDMUnenrollment no permiten a los usuarios quitar las inscripciones de MDM. Estas conexiones deben quitarse mediante un comando de anulación de inscripción iniciado por el servidor.
- En los dispositivos móviles, no se puede desconectar de Microsoft Entra ID. Estas conexiones solo se pueden quitar limpiando el dispositivo.
Advertencia
La desconexión puede dar lugar a la pérdida de datos en el dispositivo.
Recopilación de registros de diagnóstico
Para recopilar registros de diagnóstico en torno a las conexiones de trabajo, vaya a Configuración>Cuentas>Acceso al trabajo o a la escuela y, a continuación, seleccione el vínculo Exportar los registros de administración en Configuración relacionada. A continuación, seleccione Exportar y siga la ruta de acceso mostrada para recuperar los archivos de registro de administración.
Para obtener el informe de diagnóstico avanzado, vaya a Configuración>Cuentas>Acceso al trabajo o a la escuela y seleccione el botón Información . En la parte inferior de la página Configuración, verá el botón para crear un informe.
Para obtener más información, consulte Recopilación de registros mdm.