Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Pasos de unión híbrida Microsoft Entra controlada por el usuario de Windows Autopilot:
- Paso 2: Instalar el conector de Intune para Active Directory
- Paso 3: Aumentar el límite de la cuenta de equipo en la unidad organizativa (UO)
- Paso 4: Registro de dispositivos como dispositivos Windows Autopilot
- Paso 5: Creación de un grupo de dispositivos
- Paso 6: Configurar y asignar la página de estado de inscripción de Windows Autopilot (ESP)
- Paso 7: Creación y asignación de Microsoft Entra perfil de Windows Autopilot de unión híbrida
- Paso 8: Configurar y asignar un perfil de unión a un dominio
- Paso 9: Asignar un dispositivo Windows Autopilot a un usuario (opcional)
- Paso 10: Implementación del dispositivo
Para obtener información general sobre el flujo de trabajo de unión híbrida Microsoft Entra controlada por el usuario de Windows Autopilot, consulte Introducción a la unión híbrida Microsoft Entra controlada por el usuario de Windows Autopilot.
Nota:
Si el conector de Intune para Active Directory ya está instalado y configurado, omita este paso y pase al paso 3: Aumentar el límite de la cuenta de equipo en la unidad organizativa (OU).
Instalación del conector de Intune para Active Directory
El conector de Intune para Active Directory, también conocido como conector de unión a dominio sin conexión (ODJ), une equipos a un dominio local durante el proceso de Windows Autopilot. El conector crea objetos de equipo en una unidad organizativa (UO) especificada en Active Directory durante el proceso de unión al dominio.
Importante
Las versiones de Intune Connector para Active Directory anteriores a 6.2501.2000.5 están en desuso y ya no pueden procesar solicitudes de inscripción. Para obtener más información, consulte la entrada de blog Intune Connector for Active Directory with low-privileged account for Windows Autopilot Hybrid Microsoft Entra join deployments (Conector de Intune para Active Directory con una cuenta con privilegios bajos para implementaciones de unión a Windows Autopilot Hybrid Microsoft Entra).
Para actualizar el conector, debe:
- Desinstale manualmente el conector heredado. No hay una opción automática.
- Descargue e instale el conector actualizado (descrito en este artículo).
Sugerencia
Si usa varios dominios para inscribir dispositivos Autopilot:
- Necesitaría una instancia de conector independiente para cada dominio. Un conector solo puede procesar solicitudes de inscripción para el mismo dominio que el servidor en el que se instaló.
- Puede haber como máximo 1 conector por servidor (máquina virtual o física). Se pueden configurar servidores adicionales por dominio para la redundancia, cada uno con su propio conector instalado. En esa configuración, si se produce un error en un conector, las solicitudes irán a otro conector en otro servidor dentro del mismo dominio.
Seleccione la pestaña que corresponde a la versión del conector de Intune para Active Directory que se está instalando:
Conector actualizadoAntes de empezar
Antes de instalar, asegúrese de que se cumplen todos los requisitos del servidor Intune conector para Active Directory.
Microsoft recomienda (no es necesario) que el administrador que instala y configura el conector de Intune para Active Directory tenga los derechos de dominio enumerados en Intune Connector para los requisitos de Active Directory. Estos derechos permiten que el instalador de Intune Connector para Active Directory y el proceso de configuración establezcan permisos para la cuenta de servicio administrada (MSA) en el contenedor de equipos o unidades organizativas donde se crean objetos de equipo.
Si el administrador carece de estos permisos, otro administrador con los derechos adecuados debe aumentar el límite de la cuenta de equipo en la unidad organizativa (UO).
Desactivar la configuración de seguridad mejorada de Internet Explorer
A partir de la versión 6.2504.2001.8, el conector de Intune actualizado para Active Directory cambió a mediante WebView2, basado en Microsoft Edge, en lugar de WebBrowser, basado en Microsoft Internet Explorer. Este cambio significa que ya no es necesario desactivar la configuración de seguridad mejorada de Internet Explorer en Windows Server. Asegúrese de instalar la versión 6.2504.2001.8 o posterior de Intune Connector para Active Directory para evitar problemas con la configuración de seguridad mejorada de Internet Explorer.
Descarga del conector de Intune para Active Directory
En el servidor donde se instala el conector de Intune para Active Directory, inicie sesión en el centro de administración de Microsoft Intune.
En la pantalla Inicio , seleccione Dispositivos en el panel izquierdo.
En dispositivos | Pantalla de información general , en Por plataforma, seleccione Windows.
En Windows | En la pantalla Dispositivos Windows , en Incorporación de dispositivos, seleccione Inscripción.
En Windows | En La pantalla de inscripción de Windows, en Windows Autopilot, seleccione Intune Conector para Active Directory.
En la pantalla conector de Intune para Active Directory, seleccione Agregar.
En la ventana Agregar conector que se abre, en Configuración del conector de Intune para Active Directory, seleccione Descargar el conector de Intune local para Active Directory. El vínculo descarga un archivo denominado
ODJConnectorBootstrapper.exe.
Instalación del conector de Intune para Active Directory en el servidor
Importante
La instalación de Intune Connector for Active Directory debe realizarse con una cuenta que tenga los siguientes derechos de dominio:
- Obligatorio : cree objetos msDs-ManagedServiceAccount en el contenedor Cuentas de servicio administradas.
- Opcional: modificar permisos en unidades organizativas en Active Directory: si el administrador que instala el conector de Intune actualizado para Active Directory no tiene este derecho, un administrador que tenga estos derechos requiere pasos de configuración adicionales. Para obtener más información, consulte el paso o la sección Aumento del límite de la cuenta de equipo en la unidad organizativa.
Inicie sesión en el servidor donde se instala el conector de Intune para Active Directory con una cuenta con derechos de administrador local.
Si está instalado el conector de Intune heredado anterior para Active Directory, desinstálelo primero antes de instalar el conector de Intune actualizado para Active Directory. Para obtener más información, consulte Desinstalación del conector de Intune para Active Directory.
Importante
Al desinstalar el conector de Intune heredado anterior para Active Directory, asegúrese de ejecutar el instalador de Intune Connector para Active Directory heredado como parte del proceso de desinstalación. Si el instalador de Intune Connector for Active Directory heredado solicita desinstalarlo cuando se ejecute, seleccione esta opción para desinstalarlo. Este paso garantiza que el conector de Intune heredado anterior para Active Directory esté totalmente desinstalado. El instalador de Intune Connector for Active Directory heredado se puede descargar desde Intune Connector para Active Directory.
Sugerencia
En los dominios con un único conector de Intune para Active Directory, Microsoft recomienda instalar primero el conector de Intune actualizado para Active Directory en otro servidor. La instalación del conector de Intune actualizado para Active Directory en otro servidor debe realizarse antes de desinstalar el conector de Intune heredado para Active Directory en el servidor actual. La instalación del conector de Intune para Active Directory en otro primer lugar evita cualquier tiempo de inactividad mientras el conector de Intune para Active Directory se actualiza en el servidor actual.
Abra el
ODJConnectorBootstrapper.exearchivo que descargó para iniciar la instalación del conector de Intune para el programa de instalación de Active Directory.Recorra la instalación del conector de Intune para el programa de instalación de Active Directory.
Al final de la instalación, active la casilla Iniciar Intune Conector para Active Directory.
Nota:
Si Intune Conector para la instalación de Active Directory se cierra accidentalmente sin activar la casilla Iniciar conector de Intune para Active Directory, se puede volver a abrir la configuración del conector de Intune para Active Directory seleccionando Intune Conector para Active Directory>Intune Conector para Active Directory en el menú Inicio.
Inicio de sesión en el conector de Intune para Active Directory
En la ventana conector de Intune para Active Directory, en la pestaña Inscripción, seleccione Iniciar sesión.
En la pestaña Iniciar sesión, inicie sesión con las credenciales Microsoft Entra ID de un rol de administrador de Intune. La cuenta de usuario debe tener una licencia de Intune asignada. El proceso de inicio de sesión puede tardar unos minutos en completarse.
Nota:
La cuenta usada para inscribir el conector de Intune para Active Directory es solo un requisito temporal en el momento de la instalación. La cuenta no se usa en el futuro después de inscribir el servidor.
Una vez completado el proceso de inicio de sesión:
- Aparece la ventana de confirmación de Intune Connector for Active Directory correctamente inscrito. Seleccione Aceptar para cerrar la ventana.
-
Una cuenta de servicio administrada con el nombre "<>MSA_name" se configuró correctamente. Aparece la ventana de confirmación. El nombre de la MSA está en el formato
msaODJ#####donde ##### hay cinco caracteres aleatorios. Escriba el nombre de la MSA que se creó y, a continuación, seleccione Aceptar para cerrar la ventana. El nombre de la MSA podría ser necesario más adelante para configurar la MSA para permitir la creación de objetos de equipo en unidades organizativas.
La pestaña Inscripción muestra Intune Conector para Active Directory está inscrito. El botón Iniciar sesión está atenuado y configurar la cuenta de servicio administrada está habilitada.
Cierre la ventana conector de Intune para Active Directory.
Comprobación de que el conector de Intune para Active Directory está activo
Después de autenticarse, el conector de Intune para Active Directory finaliza la instalación. Una vez finalizada la instalación, compruebe que está activo en Intune siguiendo estos pasos:
Vaya al centro de administración de Microsoft Intune si sigue abierto. Si todavía se muestra la ventana Agregar conector , ciérrela.
Si el centro de administración de Microsoft Intune todavía no está abierto:
Inicie sesión en el Centro de administración de Microsoft Intune.
En la pantalla Inicio , seleccione Dispositivos en el panel izquierdo.
En dispositivos | Pantalla de información general , en Por plataforma, seleccione Windows.
En Windows | En la pantalla Dispositivos Windows , en Incorporación de dispositivos, seleccione Inscripción.
En Windows | En La pantalla de inscripción de Windows, en Windows Autopilot, seleccione Intune Conector para Active Directory.
En la página conector de Intune para Active Directory:
- Confirme que el servidor se muestra en Nombre del conector y se muestra como Activo en Estado
- Para el conector de Intune actualizado para Active Directory, asegúrese de que la versión es mayor o igual que 6.2501.2000.5.
Si no se muestra el servidor, seleccione Actualizar o desplácese fuera de la página y, a continuación, vuelva a la página conector de Intune para Active Directory.
Nota:
El servidor recién inscrito puede tardar varios minutos en aparecer en la página conector de Intune para Active Directory del centro de administración de Microsoft Intune. El servidor inscrito solo aparece si puede comunicarse correctamente con el servicio Intune.
Los conectores de Intune inactivos para Active Directory siguen apareciendo en la página conector de Intune para Active Directory y se limpiarán automáticamente después de 30 días.
Una vez instalado el conector de Intune para Active Directory, iniciará el registro en la Visor de eventos en la ruta de acceso Registros de aplicaciones y servicios>Microsoft>Intune>ODJConnectorService. En esta ruta de acceso, se pueden encontrar Administración y registros operativos.
Configurar la MSA para permitir la creación de objetos en unidades organizativas (opcional)
De forma predeterminada, las MSA solo tienen acceso para crear objetos de equipo en el contenedor Equipos . Los MSA no tienen acceso para crear objetos de equipo en unidades organizativas (OU). Para permitir que la MSA cree objetos en unidades organizativas, es necesario agregar las unidades organizativas al archivo XML que se encuentra en el ODJConnectorEnrollmentWizard.exe.config directorio donde ODJConnectorEnrollmentWizard se instaló el conector de Intune para Active Directory, normalmente C:\Program Files\Microsoft Intune\ODJConnector\.
Para configurar la MSA para permitir la creación de objetos en unidades organizativas, siga estos pasos:
En el servidor donde está instalado el conector de Intune para Active Directory, vaya al
ODJConnectorEnrollmentWizarddirectorio donde se instaló el conector de Intune para Active Directory, normalmenteC:\Program Files\Microsoft Intune\ODJConnector\.En el
ODJConnectorEnrollmentWizarddirectorio, abra el archivo XML existenteODJConnectorEnrollmentWizard.exe.configen un editor de texto, por ejemplo, bloc de notas.En el
add keyelemento delODJConnectorEnrollmentWizard.exe.configarchivo XML:- Junto a
value=, agregue las unidades organizativas deseadas en las que la MSA debe tener acceso para crear objetos de equipo. - El nombre de la unidad organizativa debe estar en el formato de nombre distintivo LDAP y, si procede, debe tener escape.
- Se admiten varias unidades organizativas separando cada unidad organizativa con un punto y coma (;).
- Asegúrese de conservar las comillas (") junto a
value=. Todos los valores de unidad organizativa deben estar entre un par de comillas. - No cambie el nombre del elemento
OrganizationalUnitsUsedForOfflineDomainJoinclave .
El ejemplo siguiente es una entrada XML de ejemplo con varias unidades organizativas en formato de nombre distintivo LDAP:
<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>Sugerencia
En el ejemplo, reemplace el texto rojo de ejemplo junto a
value=por las unidades organizativas de la organización en formato de nombre distintivo LDAP. Como se muestra en el ejemplo, asegúrese de que todas las entradas de unidad organizativa estén entre comillas (") y de que cada unidad organizativa esté separada con un punto y coma (;) .- Junto a
Una vez agregadas todas las unidades organizativas deseadas, guarde el
ODJConnectorEnrollmentWizard.exe.configarchivo XML.Como administrador que tiene los permisos adecuados para modificar los permisos de unidad organizativa, abra el conector de Intune para Active Directory; para ello, vaya a Intune Connector for Active Directory>Intune Connector for Active Directory desde el menú Inicio.
Importante
Si el administrador que instala y configura el conector de Intune para Active Directory no tiene permisos para modificar los permisos de unidad organizativa, en su lugar, un administrador que tenga permisos para modificar los permisos de la unidad organizativa deberá seguir la sección o los pasos para aumentar el límite de la cuenta de equipo en la unidad organizativa.
En la pestaña Inscripción de la ventana conector de Intune para Active Directory, seleccione Configurar cuenta de servicio administrada.
Aparece una ventana de confirmación de configuración correcta de una cuenta de servicio administrada con el nombre "<MSA_name>" . Seleccione Aceptar para cerrar la ventana.
Uso de una cuenta de servicio administrada personalizada (opcional)
Opcionalmente, puede configurar el conector para que use su propia cuenta de servicio administrada, en lugar de la MSA configurada automáticamente por el conector.
Requisitos de MSA
En esta sección se describen los requisitos de MSA.
La cuenta proporcionada debe ser una cuenta de servicio con cualquiera de las siguientes categorías de objetos en Active Directory:
CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=comCN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com
El valor de configuración de la cuenta de servicio debe tener el formato siguiente:
<msaAccountName@domain>La cuenta de servicio debe existir en el mismo dominio que el servidor del conector de ODJ.
La cuenta de servicio debe instalarse en el servidor que hospeda el conector de ODJ. Para obtener más información, consulte Install-ADServiceAccount.
- Si usa sMSA, la cuenta solo se puede vincular a una sola máquina.
- Si usa una gMSA, el servidor en el que va a instalar gMSA debe tener acceso a la contraseña.
La cuenta de servicio debe tener un permiso de inicio de sesión como servicio local que se pueda establecer directamente o a través de la pertenencia a grupos. Para obtener más información, vea Habilitar el inicio de sesión del servicio.
El permiso debe concederse manualmente para que las cuentas de servicio creen objetos de equipo para flujos híbridos de Autopilot. Para obtener más información, consulte Aumento del límite de la cuenta de equipo en la unidad organizativa (UO).
Cómo configurar
Actualice ODJConnectorEnrollmentWizard.exe.config. Su ubicación predeterminada es C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.
- En la sección appSettings del archivo, agregue la línea siguiente:
<add key="TenantConfiguredManagedServiceAccount" value="{accountname}" /> - Inicie sesión en el conector.
Deshabilitar actualizaciones de unidad organizativa
El uso de su propia MSA deshabilitará el conector para que no realice actualizaciones de unidad organizativa, independientemente de las configuradas en OrganizationalUnitsUsedForOfflineDomainJoin. Para evitar errores, deshabilite las actualizaciones de la unidad organizativa actualizando ODJConnectorEnrollmentWizard.exe.config. Su ubicación predeterminada es C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.
- En la sección appSettings del archivo, agregue la línea siguiente:
<add key="DisableOUUpdates" value="true" /> - Inicie sesión en el conector.