Inscripción automática de un dispositivo Windows mediante directiva de grupo
Puede usar una directiva de grupo para desencadenar la inscripción automática en Mobile Administración de dispositivos (MDM) para dispositivos unidos a un dominio de Active Directory (AD).
La directiva de grupo creada en ad local desencadena la inscripción en Intune sin ninguna interacción del usuario. Este mecanismo de causa y efecto significa que puede inscribir automáticamente en masa un gran número de dispositivos corporativos unidos a un dominio en Microsoft Intune. El proceso de inscripción se inicia en segundo plano una vez que inicia sesión en el dispositivo con la cuenta de Microsoft Entra.
Requisitos:
- El dispositivo unido a Active Directory debe ejecutar una versión compatible de Windows.
- La empresa ha configurado un servicio mobile Administración de dispositivos (MDM).
- El Active Directory local debe integrarse con Microsoft Entra ID (a través de Microsoft Entra Connect).
- Configuración del punto de conexión de servicio (SCP). Para obtener más información, consulte configuración del SCP mediante Microsoft Entra Connect. Para entornos que no publican datos SCP en AD, consulte Microsoft Entra implementación de destino de unión híbrida.
- El dispositivo no debe inscribirse ya en Intune mediante los agentes clásicos (los dispositivos administrados mediante agentes no pueden inscribirse con
error 0x80180026). - El requisito de versión de Windows Server mínimo se basa en el requisito de unión híbrida Microsoft Entra. Para obtener más información, vea How to plan your Microsoft Entra hybrid join implementation (Planeamiento de la implementación de la unión híbrida de Microsoft Entra).
Sugerencia
Para obtener más información, consulta los temas siguientes:
La inscripción automática se basa en la presencia de un servicio MDM y en el registro de Microsoft Entra para el equipo. Una vez que la empresa ha registrado su AD con Microsoft Entra ID, un equipo Windows unido a un dominio se Microsoft Entra registra automáticamente.
Nota
En Windows 10, versión 1709, se actualizó el protocolo de inscripción para comprobar si el dispositivo está unido a un dominio. Para obtener más información, consulte [MS-MDE2]: Protocolo de inscripción de dispositivos móviles versión 2. Para obtener ejemplos, consulte la sección 4.3.1 RequestSecurityToken de la documentación del protocolo MS-MDE2.
Cuando se habilita la directiva de grupo de inscripción automática, se crea una tarea en segundo plano que inicia la inscripción de MDM. La tarea usa la configuración del servicio MDM existente a partir de la información Microsoft Entra del usuario. Si se requiere la autenticación multifactor, se pide al usuario que complete la autenticación. Una vez configurada la inscripción, el usuario puede comprobar el estado en la página Configuración.
- A partir de Windows 10, versión 1709, cuando se configura la misma directiva en directiva de grupo y MDM, directiva de grupo directiva tiene prioridad sobre MDM.
- A partir de Windows 10, versión 1803, una nueva configuración le permite cambiar la prioridad a MDM. Para obtener más información, consulta Windows directiva de grupo frente a Intune directiva MDM who wins?.
Para que esta directiva funcione, debe comprobar que el proveedor de servicios MDM permite directiva de grupo inscripción de MDM iniciada para dispositivos unidos a un dominio.
Configuración de la inscripción automática para un grupo de dispositivos
Para configurar la inscripción automática mediante una directiva de grupo, siga estos pasos:
- Cree un objeto de directiva de grupo (GPO) y habilite el directiva de grupoPlantillas administrativas de>configuración> del equipoComponentes> de WindowsMDM>Habilite la inscripción automática de MDM con las credenciales de Microsoft Entra predeterminadas.
- Cree un grupo de seguridad para los equipos.
- Vincule el GPO.
- Filtre mediante grupos de seguridad.
Si no ve la directiva, obtenga la versión más reciente de ADMX para su versión de Windows. Para corregir el problema, use los procedimientos siguientes. La versión más reciente de MDM.admx es compatible con versiones anteriores.
Descargue las plantillas administrativas para la versión deseada:
Instale el paquete en el controlador de dominio.
Vaya a
C:\Program Files (x86)\Microsoft Group Policyy busque el subdirectorio adecuado en función de la versión instalada.Copie la carpeta PolicyDefinitions en
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions.Si esta carpeta no existe, copie los archivos en el almacén de directivas central del dominio.
Espere a que se complete la replicación DFSR de SYSVOL para que la directiva esté disponible.
Configuración de la directiva de grupo de inscripción automática para un único equipo
Este procedimiento solo tiene fines ilustrativos para mostrar cómo funciona la nueva directiva de inscripción automática. No se recomienda para el entorno de producción de la empresa.
Ejecuta
GPEdit.msc. Elija Inicio y, a continuación, en el cuadro de texto, escribagpedit.En Mejor coincidencia, seleccione Editar directiva de grupo para iniciarla.
En Directiva de equipo local, seleccione Plantillas> administrativasComponentes> de WindowsMDM.
Haga doble clic en Habilitar la inscripción automática de MDM con las credenciales de Microsoft Entra predeterminadas. Seleccione Habilitar, seleccione Credencial de usuario en la lista desplegable Seleccionar tipo de credencial para usar y, a continuación, seleccione Aceptar.
Nota
En Windows 10, versión 1903 y posteriores, el archivo MDM.admx se actualizó para incluir la opción Device Credential para seleccionar qué credencial se usa para inscribir el dispositivo. El comportamiento predeterminado de las versiones anteriores es revertir a Credenciales de usuario.
La credencial de dispositivo solo se admite para la inscripción de Microsoft Intune en escenarios con grupos de hosts de administración conjunta o de varias sesiones de Azure Virtual Desktop porque la suscripción Intune está centrada en el usuario. Las credenciales de usuario son compatibles con los grupos de hosts personales de Azure Virtual Desktop.
Cuando se produce una actualización de directiva de grupo en el cliente, se crea una tarea y se programa para ejecutarse cada cinco minutos durante un día. La tarea se denomina Programación creada por el cliente de inscripción para inscribirse automáticamente en MDM desde Microsoft Entra ID. Para ver la tarea programada, inicie la aplicación Programador de tareas.
Si se requiere la autenticación en dos fases, se le pedirá que complete el proceso. Esta es una captura de pantalla de ejemplo.
Sugerencia
Puede evitar este comportamiento mediante directivas de acceso condicional en Microsoft Entra ID. Para más información, lea ¿Qué es el acceso condicional?.
Comprobación de la inscripción
Para comprobar que la inscripción se ha realizado correctamente en MDM, vaya aConfiguración>de inicio>Cuentas>acceso a la escuela o trabajo y, a continuación, seleccione la cuenta de dominio. Seleccione Información para ver la información de inscripción de MDM.
Nota
Si no ve el botón Información o la información de inscripción, es posible que se haya producido un error en la inscripción. Compruebe el estado en la aplicación Programador de tareas y consulte Diagnóstico de la inscripción de MDM.
Aplicación programador de tareas
Seleccione Inicio y, a continuación, en el cuadro de texto, escriba task scheduler. En Mejor coincidencia, seleccione Programador de tareas para iniciarlo.
En Biblioteca del programador de tareas, abra Microsoft > Windows y, a continuación, seleccione EnterpriseMgmt.
Para ver el resultado de la tarea, mueva la barra de desplazamiento para ver el resultado de la última ejecución. Puede ver los registros en la pestaña Historial .
El mensaje 0x80180026 es un mensaje de error (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED), que puede deberse a la habilitación de la directiva Deshabilitar inscripción de MDM .
Nota
La consola GPEdit no refleja el estado de las directivas establecidas por su organización en el dispositivo. Solo lo usa el usuario para establecer directivas.