Cómo automatizar la inscripción de dispositivos de Active Directory en Intune con la política de grupo
Conseguir que los dispositivos locales de Active Directory se inscriban automáticamente en Intune parece sencillo, pero resulta extraño que Windows a veces se niegue a hacerlo de inmediato. Esta guía explica el proceso, principalmente para evitar las típicas dificultades cuando las máquinas no se inscriben automáticamente como deberían. Si todo está configurado correctamente, los usuarios deberían iniciar sesión con sus cuentas de Microsoft 365 y su dispositivo se registrará prácticamente automáticamente en Intune, lo que les ofrece un control centralizado sin complicaciones. Pero seamos sinceros: la paciencia ayuda, y a veces hay que poner manos a la obra con la directiva de grupo o las plantillas de ADM para corregir errores o configuraciones incorrectas.
Cómo inscribir automáticamente dispositivos Windows de Active Directory (AD) en Intune
Requisito: Su AD local debe estar sincronizado con Microsoft Entra ID mediante Microsoft Entra Connect (también conocido como Azure AD Connect).Si esto no funciona, este proceso no se iniciará automáticamente.
Habilitar la inscripción automática de MDM mediante credenciales predeterminadas de Azure en la directiva de grupo
Por qué esto ayuda: Indica explícitamente a Windows que inscriba automáticamente los dispositivos en Intune usando las credenciales asociadas a su usuario de Azure AD. Normalmente, si esta política no está habilitada, los dispositivos permanecen sin inscribir o los usuarios deben inscribirse manualmente, lo cual no es ideal para configuraciones grandes. Al configurar esto, sus dispositivos comenzarán a inscribirse sin problemas una vez que se aplique la política, siempre que la sincronización y los permisos estén configurados correctamente.
Cuándo probar esto: si los usuarios inician sesión con sus credenciales de Microsoft 365 pero sus dispositivos no aparecen en Intune, o si no ve ninguna inscripción automática incluso después del inicio de sesión del usuario.
- Vaya al Administrador del servidor, luego a Herramientas y elija Administración de políticas de grupo.
- Crea una nueva GPO y vincúlala a tu dominio o a la unidad organizativa específica con tus usuarios/dispositivos. Asegúrate de que estés apuntando al ámbito correcto; de lo contrario, no se aplicará.
- Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > MDM.
- Busca la opción » Habilitar inscripción automática en MDM con credenciales predeterminadas de Azure AD». Si no está ahí, no te preocupes: consulta a continuación cómo agregarla.
- Configúrelo en Habilitado y seleccione Credencial de usuario como tipo de credencial, luego presione Aplicar y Aceptar.
- Ejecútalo
gpupdate /forceen el Símbolo del sistema (Administrador) para aplicar los cambios inmediatamente. Sin embargo, en algunas configuraciones, puede tardar un poco en aplicarse.
Abra Administración de políticas de grupo y cree una nueva GPO
Edite el nuevo GPO para establecer la política correcta
Aplicar la política
¿Qué sucede si la política «Habilitar inscripción automática en MDM usando credenciales predeterminadas de Azure» no está disponible?
Dado que las actualizaciones de Windows y las plantillas ADMX difieren, a veces falta esa configuración. No se preocupe, esto es lo que debe hacer:
- Comprueba qué versión de Windows se ejecuta en tus equipos unidos al dominio. Luego, descarga las plantillas administrativas correspondientes de Microsoft:
- Windows 11, versión 25H2
- Windows 11, versión 24H2
- Windows 11, versión 23H2
- Windows 11, versión 22H2
- Windows 10, versión 22H2
Método 1: Obtenga las plantillas ADMX adecuadas
- Descargue el paquete correcto y luego instálelo en su DC.
- Después de la instalación, busque la carpeta donde se encuentran los archivos ADMX, algo como:
C:\Program Files (x86)\Microsoft Group Policy\Windows 11 October 2023 Update (23H2)\- Copie la
PolicyDefinitionscarpeta completa desde esa ubicación al recurso compartido SYSVOL: - \\
\SYSVOL\ .local\Políticas\ - Espere unos segundos para que la replicación DFSR se sincronice en los controladores de dominio.
- Luego regrese a Administración de políticas de grupo y cree o edite su GPO para habilitar esa configuración.
Método 2: Instale las plantillas ADMX en su controlador de dominio
Próximo paso: Habilitar la inscripción automática en Intune
Una vez que su política esté implementada, diríjase al Centro de administración de Intune.
- Vaya a Dispositivos > Windows > Inscripción > Inscripción automática.
- Establezca el ámbito de usuario de MDM en Todos para que todos los dispositivos intenten registrarse. Además, active la Protección de información de Windows (WIP) para todos.
- Haga clic en Guardar. Espere un retraso, pero una vez que los usuarios inicien sesión o las máquinas actualicen las políticas, la inscripción automática debería activarse. Normalmente, ese es el plan.
Compruebe si los dispositivos se están registrando correctamente
Una vez configurado todo, espere unos minutos, idealmente después de la próxima sincronización de Azure AD. Cuando los usuarios inicien sesión con sus cuentas de trabajo, sus equipos Windows deberían empezar a registrarse en Intune automáticamente. Puede comprobarlo visitando Dispositivos Intune y buscando nuevas entradas.
Consejos adicionales para el registro manual o la reparación de dispositivos bloqueados
- Para agregar un dispositivo manualmente, vaya a Configuración > Cuentas > Acceder al trabajo o la escuela, luego haga clic en Agregar una cuenta de trabajo o escuela e inicie sesión.
- Si un dispositivo fue registrado previamente pero no aparece como unido de forma híbrida, intente ejecutarlo
dsregcmd.exe /leaveen el símbolo del sistema elevado, luego reinicie e inicie sesión nuevamente.
Eso cubre lo esencial. Sinceramente, en algunas configuraciones, la integración tarda un poco más, pero una vez que todo está arreglado, los dispositivos tienden a registrarse automáticamente. No sé por qué funciona a veces, pero con las plantillas y políticas adecuadas, es menos arriesgado.
Resumen
- Asegúrese de que AD esté sincronizado con Entra ID a través de Entra Connect.
- Cree y vincule un GPO para habilitar la inscripción automática a MDM.
- Si es necesario, descargue e instale las plantillas ADMX que coincidan con su versión de Windows.
- Implemente la política Habilitar inscripción automática en MDM y ejecute
gpupdate /force. - Configure la inscripción automática en Intune y verifique el estado del dispositivo después de la sincronización.
Resumen
Con suerte, esto ayudará a aclarar los problemas de la inscripción automática. A veces solo es cuestión de definir las políticas, esperar las sincronizaciones o forzar la configuración. Una vez que todo funciona, la gestión de dispositivos se vuelve mucho más sencilla. Y sí, puede parecer un poco complicado, pero al menos se puede hacer.