Microsoft Entra Connect: habilitación de la escritura diferida de dispositivo

Nota

Se requiere una suscripción a Microsoft Entra ID P1 o P2 para la escritura diferida de dispositivos.

En la siguiente documentación se proporciona información sobre cómo habilitar la característica de escritura diferida de dispositivos en Microsoft Entra Connect. La funcionalidad de 'Device Writeback' se utiliza en los siguientes escenarios:

• Habilitar Windows Hello para empresas mediante la implementación de confianza de certificados híbridos
• Habilite el acceso condicional basado en dispositivos para aplicaciones protegido de ADFS (2012 R2 o superior) (confianzas para usuario de confianza).

Esto proporciona seguridad y garantía adicional de que solo se concede acceso a las aplicaciones a dispositivos de confianza. Para obtener más información sobre el acceso condicional, consulte Administración de riesgos con acceso condicional y Configuración del acceso condicional local mediante el registro de dispositivos de Microsoft Entra.

Importante

Los dispositivos deben encontrarse en el mismo bosque que los usuarios. Dado que los dispositivos deben registrarse en un único bosque, esta característica no admite actualmente una implementación con múltiples bosques de usuarios.

Solo se puede agregar un objeto de configuración de registro de dispositivos al bosque de Active Directory local. Esta característica no es compatible con una topología en la que Active Directory local se sincroniza con varios directorios de Microsoft Entra.

Parte 1: Instalación de Microsoft Entra Connect

Instale Microsoft Entra Connect mediante la configuración personalizada o rápida. Microsoft recomienda empezar con todos los usuarios y grupos sincronizados correctamente antes de habilitar la escritura diferida de dispositivos.

Parte 2: Habilitación de la reescritura de dispositivos en Microsoft Entra Connect

1. Vuelva a ejecutar el Asistente para la instalación. Seleccione Configurar opciones de dispositivo en la página Tareas adicionales y seleccione Siguiente.

   

   Nota

   Las nuevas opciones Configurar dispositivo solo están disponibles en la versión 1.1.819.0 y versiones posteriores.

2. En la página de opciones del dispositivo, seleccione Configurar la escritura diferida de dispositivo. La opción Deshabilitar la escritura diferida de dispositivo no está disponible hasta que se habilite la escritura diferida de dispositivo. Seleccione Siguiente para ir a la siguiente página del asistente.

3. En la página de escritura diferida, verá el dominio suministrado como el bosque de escritura diferida de dispositivos predeterminado.

4. La página Contenedor de dispositivos ofrece la opción de preparar Active Directory usando una de las dos opciones disponibles:

   a. Proporcionar credenciales de administrador de empresa: si se proporcionan las credenciales de administrador de empresa para el bosque donde deben volver a escribirse los dispositivos, Microsoft Entra Connect prepara el bosque automáticamente durante la configuración de la escritura diferida de dispositivos.

   b. Descargar el script de PowerShell: Microsoft Entra Connect genera automáticamente un script de PowerShell que puede preparar Active Directory para la escritura diferida de dispositivos. En caso de que las credenciales de administrador de empresa no se puedan proporcionar en Microsoft Entra Connect, se recomienda descargar el script de PowerShell. Proporcione el script de PowerShell descargado CreateDeviceContainer.ps1 al administrador de empresa del bosque donde se volverán a escribir los dispositivos.

   Las siguientes operaciones se realizan para preparar el bosque de Active Directory:

   • Si aún no existen, crea y configura nuevos contenedores y objetos en CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
   • Si aún no existen, crea y configura nuevos contenedores y objetos en CN=RegisteredDevices,[domain-dn]. Los objetos de dispositivo se crean en este contenedor.
   • Establece los permisos necesarios en la cuenta de Microsoft Entra Connector para administrar dispositivos en Active Directory.
   • Solo debe ejecutarse en un bosque, incluso si Microsoft Entra Connect se está instalando en varios bosques.

Comprobación de que los dispositivos están sincronizados con Active Directory

La reescritura de dispositivos debería funcionar ahora correctamente. Los objetos de dispositivo pueden tardar hasta 3 horas en escribirse en AD. Para comprobar que los dispositivos se están sincronizando correctamente, realice los pasos siguientes después de completar las reglas de sincronización:

1. Inicie el Centro de administración de Active Directory.

2. Expanda RegisteredDevices dentro del dominio que se está federando.

   

3. Los dispositivos registrados actuales se muestran allí.

   

Habilitar el acceso condicional

Hay instrucciones detalladas para habilitar este escenario en Configuración del acceso condicional local mediante el registro de dispositivos de Microsoft Entra.

Solución de problemas

La casilla de reescritura sigue deshabilitada

Si la casilla para la reescritura de dispositivos no se habilita a pesar de haber seguido los pasos anteriores, los siguientes pasos le guiarán por lo que el Asistente para la instalación comprueba antes de habilitar la casilla.

En primer lugar:

• El bosque donde están presentes los dispositivos debe tener actualizado el esquema de bosque al nivel de Windows 2012 R2 para que el objeto de dispositivo y los atributos asociados estén presentes.
• Si el asistente para la instalación ya se está ejecutando, no se detectan cambios. En este caso, complete el Asistente para la instalación y vuelva a ejecutarlo.
• Asegúrese de que la cuenta que proporcione en el script de inicialización es realmente el usuario correcto que usa el conector de Active Directory. Para comprobarlo, siga estos pasos:
  • En el menú Inicio, abra Servicio de sincronización.
  • Abra la pestaña Conectores.
  • Busque el conector con el tipo Active Directory Domain Services y selecciónelo.
  • En Acciones, seleccione Propiedades.
  • Vaya a Conexión al bosque de Active Directory. Compruebe que el dominio y el nombre de usuario especificados en esta pantalla coinciden con la cuenta proporcionada al script.

Compruebe la configuración en Active Directory:

• Compruebe que el servicio de registro de dispositivos se encuentra en la siguiente ubicación (CN=DeviceRegistrationService,CN=Servicios de registro de dispositivos,CN=Configuración de registro de dispositivos,CN=Servicios,CN=Configuración) en el contexto de nomenclatura de configuración.

Solución de problemas,

• Compruebe que solo hay un objeto de configuración buscando en el espacio de nombres de configuración. Si hay más de una, elimine el duplicado.

• En el objeto Servicio de registro de dispositivos, asegúrese de que el atributo msDS-DeviceLocation está presente y tiene un valor. Busque esta ubicación y asegúrese de que está presente con el objectType msDS-DeviceContainer.

• Compruebe que la cuenta usada por el conector de Active Directory tiene los permisos necesarios en el contenedor De dispositivos registrados que encontró el paso anterior. Estos son los permisos esperados en este contenedor:

• Compruebe que la cuenta de Active Directory tiene permisos en el objeto CN=Configuración de registro de dispositivos,CN=Services,CN=Configuration.

Información adicional

• Administración de riesgos con el acceso condicional
• Configuración del acceso condicional local mediante el registro de dispositivos de Microsoft Entra

Pasos siguientes

Más información sobre la integración de las identidades locales con Microsoft Entra ID.