Inscripción automática de un dispositivo Windows mediante la directiva de grupo
Puede usar una directiva de grupo para desencadenar la inscripción automática en Mobile Device Management (MDM) para dispositivos unidos a un dominio de Active Directory (AD).
La directiva de grupo creada en ad local desencadena la inscripción en Intune sin ninguna interacción del usuario. Este mecanismo de causa y efecto significa que puede inscribir automáticamente en masa un gran número de dispositivos corporativos unidos a un dominio en Microsoft Intune. El proceso de inscripción se inicia en segundo plano una vez que inicia sesión en el dispositivo con su cuenta de Microsoft Entra.
Requisitos:
- El dispositivo unido a Active Directory debe ejecutar una versión compatible de Windows.
- La empresa ha configurado un servicio de administración de dispositivos móviles (MDM).
- El active directory local debe integrarse con el identificador de Microsoft Entra (a través de Microsoft Entra Connect).
- Configuración del punto de conexión de servicio (SCP). Para obtener más información, consulte configuración del SCP mediante Microsoft Entra Connect. Para entornos que no publican datos SCP en AD, consulte Implementación de destino de unión híbrida de Microsoft Entra.
- El dispositivo no debe inscribirse ya en Intune mediante los agentes clásicos (los dispositivos administrados mediante agentes no pueden inscribirse con
error 0x80180026). - El requisito de versión mínima de Windows Server se basa en el requisito de unión híbrida de Microsoft Entra. Para obtener más información, consulte Planeamiento de la implementación de la unión híbrida de Microsoft Entra.
Sugerencia
Para obtener más información, consulta los temas siguientes:
La inscripción automática se basa en la presencia de un servicio MDM y el registro de Microsoft Entra para el equipo. Una vez que la empresa ha registrado su AD con Microsoft Entra ID, un equipo Windows unido a un dominio se registra automáticamente en Microsoft Entra.
Nota
En Windows 10, versión 1709, el protocolo de inscripción se actualizó para comprobar si el dispositivo está unido a un dominio. Para obtener más información, consulte [MS-MDE2]: Protocolo de inscripción de dispositivos móviles versión 2. Para obtener ejemplos, consulte la sección 4.3.1 RequestSecurityToken de la documentación del protocolo MS-MDE2.
Cuando la directiva de grupo de inscripción automática está habilitada, se crea una tarea en segundo plano que inicia la inscripción de MDM. La tarea usa la configuración del servicio MDM existente de la información de Microsoft Entra del usuario. Si se requiere la autenticación multifactor, se pide al usuario que complete la autenticación. Una vez configurada la inscripción, el usuario puede comprobar el estado en la página Configuración.
- A partir de Windows 10, versión 1709, cuando se configura la misma directiva en la directiva de grupo y MDM, la directiva de directiva de grupo tiene prioridad sobre MDM.
- A partir de Windows 10, versión 1803, una nueva configuración permite cambiar la prioridad a MDM. Para obtener más información, consulte Directiva de grupo de Windows frente a Directiva MDM de Intune ¿quién gana?.
Para que esta directiva funcione, debe comprobar que el proveedor de servicios MDM permite la inscripción de MDM iniciada por directiva de grupo para dispositivos unidos a un dominio.
Configuración de la inscripción automática para un grupo de dispositivos
Para configurar la inscripción automática mediante una directiva de grupo, siga estos pasos:
- Cree un objeto de directiva de grupo (GPO) y habilite la directiva de grupo Configuración> del equipoPlantillas> administrativasComponentes> de WindowsMDM>Habilite la inscripción de MDM automática con las credenciales predeterminadas de Microsoft Entra.
- Cree un grupo de seguridad para los equipos.
- Vincule el GPO.
- Filtre mediante grupos de seguridad.
Si no ve la directiva, obtenga la versión más reciente de ADMX para su versión de Windows. Para corregir el problema, use los procedimientos siguientes. La versión más reciente de MDM.admx es compatible con versiones anteriores.
Descargue las plantillas administrativas para la versión deseada:
Instale el paquete en el controlador de dominio.
Vaya a
C:\Program Files (x86)\Microsoft Group Policyy busque el subdirectorio adecuado en función de la versión instalada.Copie la carpeta PolicyDefinitions en
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions.Si esta carpeta no existe, copie los archivos en el almacén de directivas central del dominio.
Espere a que se complete la replicación DFSR de SYSVOL para que la directiva esté disponible.
Configuración de la directiva de grupo de inscripción automática para un único equipo
Este procedimiento solo tiene fines ilustrativos para mostrar cómo funciona la nueva directiva de inscripción automática. No se recomienda para el entorno de producción de la empresa.
Ejecuta
GPEdit.msc. Elija Inicio y, a continuación, en el cuadro de texto, escribagpedit.En Mejor coincidencia, seleccione Editar directiva de grupo para iniciarla.
En Directiva de equipo local, seleccione Plantillas> administrativasComponentes> de WindowsMDM.
Haga doble clic en Habilitar la inscripción automática de MDM con las credenciales predeterminadas de Microsoft Entra. Seleccione Habilitar, seleccione Credencial de usuario en la lista desplegable Seleccionar tipo de credencial para usar y, a continuación, seleccione Aceptar.
Nota
En Windows 10, versión 1903 y posteriores, el archivo MDM.admx se actualizó para incluir la opción Device Credential para seleccionar qué credencial se usa para inscribir el dispositivo. El comportamiento predeterminado de las versiones anteriores es revertir a Credenciales de usuario.
La credencial de dispositivo solo se admite para la inscripción de Microsoft Intune en escenarios con administración conjunta o grupos de hosts de varias sesiones de Azure Virtual Desktop porque la suscripción de Intune está centrada en el usuario. Las credenciales de usuario son compatibles con los grupos de hosts personales de Azure Virtual Desktop.
Cuando se produce una actualización de directiva de grupo en el cliente, se crea una tarea y se programa para ejecutarse cada cinco minutos durante un día. La tarea se denomina Programación creada por el cliente de inscripción para inscribirse automáticamente en MDM desde Microsoft Entra ID. Para ver la tarea programada, inicie la aplicación Programador de tareas.
Si se requiere la autenticación en dos fases, se le pedirá que complete el proceso. Esta es una captura de pantalla de ejemplo.
Sugerencia
Puede evitar este comportamiento mediante directivas de acceso condicional en Microsoft Entra ID. Para más información, lea ¿Qué es el acceso condicional?.
Comprobación de la inscripción
Para comprobar que la inscripción se ha realizado correctamente en MDM, vaya aConfiguración>de inicio>Cuentas>acceso a la escuela o trabajo y, a continuación, seleccione la cuenta de dominio. Seleccione Información para ver la información de inscripción de MDM.
Nota
Si no ve el botón Información o la información de inscripción, es posible que se haya producido un error en la inscripción. Compruebe el estado en la aplicación Programador de tareas y consulte Diagnóstico de la inscripción de MDM.
Aplicación programador de tareas
Seleccione Inicio y, a continuación, en el cuadro de texto, escriba task scheduler. En Mejor coincidencia, seleccione Programador de tareas para iniciarlo.
En Biblioteca del programador de tareas, abra Microsoft > Windows y, a continuación, seleccione EnterpriseMgmt.
Para ver el resultado de la tarea, mueva la barra de desplazamiento para ver el resultado de la última ejecución. Puede ver los registros en la pestaña Historial .
El mensaje 0x80180026 es un mensaje de error (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED), que puede deberse a la habilitación de la directiva Deshabilitar inscripción de MDM .
Nota
La consola GPEdit no refleja el estado de las directivas establecidas por su organización en el dispositivo. Solo lo usa el usuario para establecer directivas.