Tutorial: Habilitar la administración conjunta para clientes existentes de Configuration Manager

Gracias a la administración conjunta, puede mantener sus procesos bien establecidos para usar Configuration Manager para administrar los equipos de su organización. Al mismo tiempo, está invirtiendo en la nube al usar Intune para obtener seguridad y aprovisionamiento modernos.

En este tutorial, configurará la administración conjunta de los dispositivos Windows 10 o posteriores que ya están inscritos en Configuration Manager. Este tutorial comienza con la premisa de que ya usa Configuration Manager para administrar los dispositivos Windows 10 o posteriores.

Use este tutorial cuando:

En este tutorial:

  • Revisión de los requisitos previos para Azure y el entorno local
  • Configuración del identificador de Microsoft Entra híbrido
  • Configuración de Configuration Manager agentes cliente para registrarse con Microsoft Entra id.
  • Configurar Intune para inscribir dispositivos automáticamente
  • Habilitar la administración conjunta en el Administrador de configuración

Requisitos previos

Entorno y servicios de Azure

  • Suscripción a Azure (versión de prueba gratuita)

  • Microsoft Entra id. P1 o P2

  • Suscripción a Microsoft Intune

    Sugerencia

    Una suscripción Enterprise Mobility + Security (EMS) incluye Microsoft Entra id. P1 o P2 y Microsoft Intune. Suscripción a EMS (evaluación gratuita).

Si aún no está presente en el entorno, durante este tutorial configurará Microsoft Entra Conectar entre el Active Directory local y el inquilino de Microsoft Entra.

Nota:

Los dispositivos que solo están registrados con Microsoft Entra identificador no son compatibles con la administración conjunta. Esta configuración a veces se conoce como unida al área de trabajo. Deben estar unidos a Microsoft Entra id. o Microsoft Entra híbrido unido. Para obtener más información, consulte Control de dispositivos con Microsoft Entra estado registrado.

Infraestructura local

  • Una versión compatible de Configuration Manager rama actual
  • La entidad de administración de dispositivos móviles (MDM) debe establecerse en Intune.

Permissions

A lo largo de este tutorial, use los siguientes permisos para completar tareas:

  • Una cuenta que sea administrador de dominio en la infraestructura local
  • Una cuenta que sea un administrador completo para todos los ámbitos de Configuration Manager
  • Una cuenta que es un administrador global en Microsoft Entra id.
    • Asegúrese de que ha asignado una licencia de Intune a la cuenta que usa para iniciar sesión en el inquilino. De lo contrario, se produce un error en el inicio de sesión con el mensaje de error Se produjo un error imprevisto.

Configuración del identificador de Microsoft Entra híbrido

Al configurar un identificador de Microsoft Entra híbrido, realmente está configurando la integración de un AD local con Microsoft Entra id. mediante Microsoft Entra Connect y Servicios federados de Active Directory (ADFS). Con una configuración correcta, los trabajadores pueden iniciar sesión sin problemas en sistemas externos mediante sus credenciales de AD locales.

Importante

En este tutorial se detalla un proceso sin sistema operativo para configurar el identificador de Microsoft Entra híbrido para un dominio administrado. Se recomienda estar familiarizado con el proceso y no confiar en este tutorial como guía para comprender e implementar el identificador de Microsoft Entra híbrido.

Para obtener más información sobre el identificador de Microsoft Entra híbrido, comience con los siguientes artículos en la documentación de Microsoft Entra:

Configuración de Microsoft Entra Connect

El identificador de Microsoft Entra híbrido requiere la configuración de Microsoft Entra Connect para mantener sincronizadas las cuentas de equipo en el Active Directory local (AD) y el objeto de dispositivo en Microsoft Entra id.

A partir de la versión 1.1.819.0, Microsoft Entra Connect proporciona un asistente para configurar Microsoft Entra unión híbrida. El uso de ese asistente simplifica el proceso de configuración.

Para configurar Microsoft Entra Connect, necesita credenciales de un administrador global para Microsoft Entra identificador. El procedimiento siguiente no debe considerarse autoritativo para la configuración de Microsoft Entra Connect, pero se proporciona aquí para ayudar a simplificar la configuración de la administración conjunta entre Intune y Configuration Manager. Para ver el contenido autoritativo sobre este y los procedimientos relacionados para configurar el identificador de Microsoft Entra, consulte Configuración de Microsoft Entra unión híbrida para dominios administrados en la documentación de Microsoft Entra.

Configuración de una unión híbrida Microsoft Entra mediante Microsoft Entra Connect

  1. Obtenga e instale la versión más reciente de Microsoft Entra Connect (1.1.819.0 o posterior).

  2. Inicie Microsoft Entra Conectar y, a continuación, seleccione Configurar.

  3. En la página Tareas adicionales , seleccione Configurar opciones de dispositivo y, a continuación, seleccione Siguiente.

  4. En la página Información general , seleccione Siguiente.

  5. En la página Conectar con Microsoft Entra id., escriba las credenciales de un administrador global para Microsoft Entra id.

  6. En la página Opciones del dispositivo, seleccione Configurar Microsoft Entra unión híbrida y, a continuación, seleccione Siguiente.

  7. En la página Sistemas operativos de dispositivo, seleccione los sistemas operativos usados por los dispositivos en el entorno de Active Directory y, a continuación, seleccione Siguiente.

    Puede seleccionar la opción para admitir dispositivos unidos a un dominio de nivel inferior de Windows, pero tenga en cuenta que la administración conjunta de dispositivos solo se admite para Windows 10 o posterior.

  8. En la página SCP, para cada bosque local que desee Microsoft Entra Conectar para configurar el punto de conexión de servicio (SCP), siga estos pasos y, a continuación, seleccione Siguiente:

    1. Seleccione el bosque.
    2. Seleccione el servicio de autenticación. Si tiene un dominio federado, seleccione servidor de AD FS a menos que su organización tenga exclusivamente Windows 10 o clientes posteriores y haya configurado la sincronización de equipos o dispositivos o que su organización use SeamlessSSO.
    3. Haga clic en Agregar para escribir las credenciales de administrador de empresa.
  9. Si tiene un dominio administrado, omita este paso.

    En la página Configuración de federación , escriba las credenciales del administrador de AD FS y, a continuación, seleccione Siguiente.

  10. En la página Listo para configurar , seleccione Configurar.

  11. En la página Configuración completa , seleccione Salir.

Si experimenta problemas al completar Microsoft Entra unión híbrida para dispositivos Windows unidos a un dominio, consulte Solución de problemas de Microsoft Entra unión híbrida para dispositivos windows actuales.

Configuración del cliente para que los clientes se registren con Microsoft Entra id.

Use La configuración de cliente para configurar Configuration Manager clientes para que se registren automáticamente con Microsoft Entra id.

  1. Abra la consola de Configuration ManagerConfiguración de clientede información general> dela> consola > y, a continuación, edite la configuración de cliente predeterminada.

  2. Seleccione Cloud Services.

  3. En la página Configuración predeterminada, establezca Registro automático de nuevos dispositivos unidos a Windows 10 dominio con Microsoft Entra id. en = .

  4. Seleccione Aceptar para guardar esta configuración.

Configuración de la inscripción automática de dispositivos en Intune

A continuación, configuraremos la inscripción automática de dispositivos con Intune. Con la inscripción automática, los dispositivos que administra con Configuration Manager se inscriben automáticamente con Intune.

La inscripción automática también permite a los usuarios inscribir sus dispositivos Windows 10 o posteriores en Intune. Los dispositivos se inscriben cuando un usuario agrega su cuenta profesional a su dispositivo de propiedad personal o cuando un dispositivo de propiedad corporativa se une a Microsoft Entra identificador.

  1. Inicie sesión en el Azure Portal y seleccione Microsoft Entra id>.mobility (MDM y MAM)>Microsoft Intune.

  2. Configuración del ámbito de usuario mdm. Especifique una de las siguientes opciones para configurar qué dispositivos de los usuarios se administran mediante Microsoft Intune y aceptar los valores predeterminados para los valores de dirección URL.

    • Algunos: seleccione los grupos que pueden inscribir automáticamente sus dispositivos Windows 10 o posteriores.

    • Todos: todos los usuarios pueden inscribir automáticamente sus dispositivos Windows 10 o posteriores

    • Ninguno: deshabilitar la inscripción automática de MDM

    Importante

    Si tanto el ámbito de usuario mam como la inscripción automática de MDM (ámbito de usuario MDM) están habilitados para un grupo, solo MAM está habilitado. Solo se agrega Administración de aplicaciones móviles (MAM) para los usuarios de ese grupo cuando se unen a un dispositivo personal. Los dispositivos no se inscriben automáticamente en MDM.

    Cuando se establece Configuration Manager para inscribir dispositivos en Intune, no es necesario cambiar el ámbito de usuario mdm para la inscripción de tokens de dispositivo. Configuration Manager usa las direcciones URL de MDM que almacena en la base de datos del sitio.

  3. Seleccione Guardar para completar la configuración de la inscripción automática.

  4. Vuelva a Mobility (MDM y MAM) y, a continuación, seleccione Microsoft Intune Inscripción.

    Nota:

    Es posible que algunos inquilinos no tengan estas opciones para configurar.

    Microsoft Intune es cómo configurar la aplicación MDM para el identificador de Microsoft Entra. Microsoft Intune Enrollment es una aplicación de Microsoft Entra específica que se crea al aplicar directivas de autenticación multifactor para la inscripción de iOS y Android. Para obtener más información, vea Requerir la autenticación multifactor para las inscripciones de dispositivos de Intune.

  5. En Ámbito de usuario mdm, seleccione Todo y, a continuación, Guardar.

Habilitar la administración conjunta en el Administrador de configuración

Con la configuración híbrida de Microsoft Entra y Configuration Manager configuraciones de cliente en su lugar, está listo para voltear el conmutador y habilitar la administración conjunta de los dispositivos Windows 10 o posteriores. La frase Grupo piloto se usa en los cuadros de diálogo de configuración y característica de administración conjunta. Un grupo piloto es una colección que contiene un subconjunto de los dispositivos Configuration Manager. Use un grupo piloto para las pruebas iniciales, agregando dispositivos según sea necesario, hasta que esté listo para mover las cargas de trabajo de todos los dispositivos Configuration Manager. No hay un límite de tiempo en cuanto a cuánto tiempo se puede usar un grupo piloto para cargas de trabajo. Un grupo piloto se puede usar indefinidamente si no desea mover la carga de trabajo a todos los dispositivos Configuration Manager.

Cuando habilite la administración conjunta, asignará una colección como grupo piloto. Se trata de un grupo que contiene un pequeño número de clientes para probar las configuraciones de administración conjunta. Se recomienda crear una colección adecuada antes de iniciar el procedimiento. A continuación, puede seleccionar esa colección sin salir del procedimiento para hacerlo. Es posible que necesite varias colecciones, ya que puede asignar un grupo piloto diferente para cada carga de trabajo.

Nota:

Dado que los dispositivos están inscritos en el servicio de Microsoft Intune en función de su token de dispositivo Microsoft Entra y no de usuario, solo se aplicará la restricción de inscripción predeterminada de Intune a la inscripción.

Habilitación de la administración conjunta para las versiones 2111 y posteriores

A partir de Configuration Manager versión 2111, la experiencia de incorporación de administración conjunta cambió. El Asistente para configuración de conexión a la nube facilita la administración conjunta y otras características en la nube. Puede elegir un conjunto simplificado de valores predeterminados recomendados o personalizar las características de conexión en la nube. También hay una nueva colección de dispositivos integrada para la administración conjunta de dispositivos aptos para ayudarle a identificar clientes. Para obtener más información sobre cómo habilitar la administración conjunta, consulte Habilitación de la asociación en la nube.

Nota:

Con el nuevo asistente, no se mueven las cargas de trabajo al mismo tiempo que se habilita la administración conjunta. Para mover cargas de trabajo, editará las propiedades de administración conjunta después de habilitar la asociación en la nube.

Habilitación de la administración conjunta para las versiones 2107 y anteriores

Al habilitar la administración conjunta, puede usar la nube pública de Azure, la nube Azure Government o la nube de Azure China 21Vianet (agregada en la versión 2006). Para habilitar la administración conjunta, siga estas instrucciones:

  1. En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Cloud Services y seleccione el nodo Conexión a la nube. Seleccione Configurar cloud attach en la cinta de opciones para abrir el Asistente para la configuración de conexión a la nube.

    En la versión 2103 y versiones anteriores, expanda Cloud Services y seleccione el nodo Administración conjunta. Seleccione Configurar administración conjunta en la cinta de opciones para abrir el Asistente para configuración de administración conjunta.

  2. En la página de incorporación del asistente, para el entorno de Azure, elija uno de los siguientes entornos:

    • Nube pública de Azure

    • Azure Government nube

    • Nube de Azure China (agregada en la versión 2006)

      Nota:

      Actualice el cliente de Configuration Manager a la versión más reciente de los dispositivos antes de incorporarlo a la nube de Azure China.

    Al seleccionar la nube de Azure China o Azure Government nube, la opción Cargar en el Centro de administración de Microsoft Endpoint Manager para la asociación de inquilinos está deshabilitada.

  3. Seleccione Iniciar sesión. Inicie sesión como Microsoft Entra administrador global y, a continuación, seleccione Siguiente. Inicie sesión una vez para los fines de este asistente. Las credenciales no se almacenan ni reutilizan en otro lugar.

  4. En la página Habilitación , elija la siguiente configuración:

    • Inscripción automática en Intune: permite la inscripción automática de clientes en Intune para clientes Configuration Manager existentes. Esta opción permite habilitar la administración conjunta en un subconjunto de clientes para probar inicialmente la administración conjunta y, a continuación, implementar la administración conjunta mediante un enfoque por fases. Si el usuario anula la inscripción de un dispositivo, el dispositivo se volverá a inscribir en la siguiente evaluación de la directiva.

      • Piloto: solo los clientes Configuration Manager que son miembros de la colección de inscripción automática de Intune se inscriben automáticamente en Intune.
      • Todos: habilite la inscripción automática para todos los clientes que ejecutan Windows 10 versión 1709 o posterior.
      • Ninguno: deshabilite la inscripción automática para todos los clientes.
    • Inscripción automática de Intune: esta colección debe contener todos los clientes que quiera incorporar a la administración conjunta. Básicamente es un superconjunto de todas las demás colecciones de almacenamiento provisional.

    Captura de pantalla de la página del asistente para habilitar la inscripción automática en Intune.

    La inscripción automática no es inmediata para todos los clientes. Este comportamiento ayuda a que la inscripción se escale mejor para entornos grandes. Configuration Manager aleatoriza la inscripción en función del número de clientes. Por ejemplo, si el entorno tiene 100 000 clientes, al habilitar esta configuración, la inscripción se produce durante varios días.

    Ahora, un nuevo dispositivo administrado conjuntamente se inscribe automáticamente en el servicio de Microsoft Intune en función de su token de dispositivo Microsoft Entra. No es necesario esperar a que un usuario inicie sesión en el dispositivo para que se inicie la inscripción automática. Este cambio ayuda a reducir el número de dispositivos con el estado de inscripción Pendiente de inicio de sesión del usuario.Para admitir este comportamiento, el dispositivo debe ejecutar Windows 10 versión 1803 o posterior. Para obtener más información, vea Estado de inscripción de administración conjunta.

    Si ya tiene dispositivos inscritos en la administración conjunta, los nuevos dispositivos se inscribirán inmediatamente después de cumplir los requisitos previos.

  5. Para los dispositivos basados en Internet que ya están inscritos en Intune, copie y guarde el comando en la página Habilitación . Usará este comando para instalar el cliente de Configuration Manager como una aplicación en Intune para dispositivos basados en Internet. Si no guarda este comando ahora, puede revisar la configuración de administración conjunta en cualquier momento para obtener este comando.

    Sugerencia

    El comando solo aparece si ha cumplido todos los requisitos previos, como la configuración de una puerta de enlace de administración en la nube.

  6. En la página Cargas de trabajo , para cada carga de trabajo, elija qué grupo de dispositivos se va a mover para la administración con Intune. Para obtener más información, consulte Cargas de trabajo.

    Si solo quiere habilitar la administración conjunta, no es necesario cambiar las cargas de trabajo ahora. Puede cambiar las cargas de trabajo más adelante. Para obtener más información, consulte Cómo cambiar las cargas de trabajo.

    • Intune piloto: cambia la carga de trabajo asociada solo para los dispositivos de las colecciones piloto que especificará en la página Ensayo . Cada carga de trabajo puede tener una colección piloto diferente.
    • Intune: cambia la carga de trabajo asociada para todos los dispositivos administrados conjuntamente Windows 10 o posteriores.

    Importante

    Antes de cambiar las cargas de trabajo, asegúrese de configurar e implementar correctamente la carga de trabajo correspondiente en Intune. Asegúrese de que una de las herramientas de administración de los dispositivos administra siempre las cargas de trabajo.

  7. En la página Ensayo , especifique la colección piloto para cada una de las cargas de trabajo establecidas en Intune piloto.

    Captura de pantalla de la página Almacenamiento provisional del Asistente para configuración de administración conjunta, con opciones para especificar colecciones piloto.

  8. Para habilitar la administración conjunta, complete el asistente.

Siguientes pasos