Implementar configuraciones de unión de dominio para Windows

La unión de dominio de Windows permite a los usuarios conectarse de forma remota a un dominio de trabajo con sus credenciales de Active Directory o con las credenciales del dispositivo local. Utilice Workspace ONE UEM para implementar sus configuraciones de unión de dominio para las uniones de dominio híbridas y locales y los grupos de trabajo para sus dispositivos Windows (escritorio de Windows).

Integración con Microsoft Autopilot (unión de dominio híbrida)

Si administra usuarios en la nube y a nivel local, puede usar Workspace ONE UEM para asignar las configuraciones de unión de dominio híbridas a dispositivos Windows a través de Windows Autopilot + OOBE (configuración rápida).

Cómo utilizar un perfil de Windows Autopilot para las inscripciones OOBE

Windows Autopilot le permite configurar un perfil que especifique el tipo de unión de dominio para los dispositivos que atraviesan el proceso de OOBE. Debe configurar y asignar un perfil de Autopilot a través de la opción de unión de dominio híbrida en Azure. Los dispositivos asignados a este perfil pasarán a través del proceso de OOBE y se unirán a Azure AD híbrido.

Importante: Si no asigna un perfil de Autopilot con la especificación de unión híbrida en Azure, los dispositivos Windows pasarán por el proceso de OOBE y de unión a Azure AD. Una vez que los dispositivos están unidos a Azure AD, no se podrá iniciar una unión de dominio híbrida sin restablecer los dispositivos por completo.

Para obtener más información sobre Autopilot, consulte los temas de Microsoft | Docs, Configurar perfiles de Autopilot.

  • Si los usuarios utilizan un cliente de VPN de terceros para acceder a los recursos (por ejemplo, aquellos usuarios que trabajan desde casa), configure el elemento de menú del perfil de Autopilot Omitir comprobación de conectividad de AD (vista previa) en .
  • Si los usuarios no utilizan un cliente de VPN de terceros para acceder a los recursos (por ejemplo, aquellos usuarios que se encuentran en la red corporativa), configure el elemento de menú del perfil de Autopilot Omitir comprobación de conectividad de AD (vista previa) en No.

Requisitos para implementar la configuración de unión de dominio

Antes de implementar la configuración de unión de dominio, compruebe que completó los siguientes requisitos:

  • Inscripción automática de Windows: Configure la inscripción automática en Azure con Workspace ONE UEM como el sistema de Administración de dispositivos móviles (MDM). Consulte Configurar Workspace ONE UEM para usar Azure AD como servicio de identidad para obtener más detalles.
  • Workspace ONE UEM: Deshabilite la página de seguimiento de estado de OOBE.
    1. En Workspace ONE UEM, vaya a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > General > Inscripción.
    2. Seleccione la pestaña Indicaciones opcionales.
    3. Vaya a la sección Windows y deshabilite la opción Habilitar la página de seguimiento de estado de OOBE.
  • Suscripción de Microsoft: Utilice una de las suscripciones de Microsoft que admitan licencias de Windows Autopilot. Consulte al artículo en Microsoft | Docs titulado Requisitos de licencia de Windows Autopilot.
  • Perfil de Windows Autopilot: Configure este perfil en Azure para que a los dispositivos Windows se les asigne la opción de unión de dominio híbrida. Para obtener más información, consulte los temas de Microsoft | Docs, Configurar perfiles de Autopilot.
  • Registrar dispositivos con el perfil de Autopilot: Para obtener más información sobre cómo configurar los dispositivos de Autopilot, consulte el artículo de Microsoft | Docs titulado Registrar manualmente dispositivos con Windows Autopilot.
  • AirWatch Cloud Connector (ACC): Use ACC para habilitar la unión de dominio de la versión local de Active Directory en Workspace ONE UEM.
  • Usuarios y equipos de Active Directory (ADUC): Necesita el complemento de MMC denominado ADUC para configurar la unión de dominio local a través de Workspace ONE UEM.
  • Confirme que la inscripción automática de Windows con Azure en Workspace ONE UEM esté configurada.
  • Confirme que el perfil de Autopilot en Azure para que los dispositivos se unan a Azure AD como Unido a Azure AD híbrido esté configurado y asignado.
  • Confirme que registró sus dispositivos Windows en Azure y asignó el perfil de Autopilot de unión híbrida correspondiente.
  • Confirme que tiene dominios y unidades organizativas en Active Directory.
  • Confirme que configuró los servicios de directorio en Workspace ONE UEM Console, si utiliza Active Directory.
  • Confirme que configuró y asignó una configuración de unión de dominio en Workspace ONE UEM Console.

Orden de las tareas

  1. En Azure, configure los dispositivos de Autopilot según lo indicado en Microsoft | Docs. En la actualidad, este proceso incluye los siguientes pasos.

    1. Registre sus dispositivos de Autopilot.
    2. Cree un grupo de dispositivos.
    3. Cree y asigne un perfil de implementación de Autopilot.
  2. Configure la unión de dominio local en ADUC, ACC y Workspace ONE UEM.
    1. En ADUC, configure una cuenta de usuario con permisos de delegado de Windows Server, cree una tarea de delegado personalizada y configure los permisos.
    2. En ACC, actualice el servicio de AirWatch Cloud Connector para iniciar sesión con la cuenta de usuario creada en ADUC y agregue permisos de escritura a la carpeta de ACC.
    3. En Workspace ONE UEM, cree una configuración de unión de dominio para el Active Directory local.
    4. En Workspace ONE UEM, especifique la información de la unidad organizativa mediante la creación e implementación de una o varias asignaciones para la configuración de la unión de dominio.

Configurar dispositivos de Autopilot

En Azure, configure los dispositivos de Autopilot según lo indicado en la documentación de Microsoft. En la actualidad, este proceso incluye los siguientes pasos.

  1. Cree un grupo de dispositivos.
  2. Registre sus dispositivos de Autopilot.
  3. Cree y asigne un perfil de implementación de Autopilot.

Configurar la unión de dominio local

Los siguientes pasos describen cómo configurar y asignar una configuración de unión de dominio en Workspace ONE UEM. Estos pasos permiten a un dispositivo unirse a un dominio local durante la inscripción en Workspace ONE. Cuando se configuran junto con un perfil de Autopilot de unión híbrida, los dispositivos pasan a través del proceso de OOBE para unirse a Azure AD como unido a Azure AD híbrido. Si cumple todos los requisitos y los supuestos para la unión de dominio híbrida, los habrá cumplido todos para la unión de dominio local, de modo que podrá pasar al proceso de configuración, comenzando por el Paso uno: Configure ADUC en la sección Unión de dominio local.

Requisitos adicionales de unión a dominio local

Si utiliza Active Directory para administrar usuarios, puede usar Workspace ONE UEM para asignar las configuraciones de la unión de dominio local. Antes de comenzar, confirme que se completaron los siguientes requisitos:

  • AirWatch Cloud Connector (ACC): Use ACC para configurar la unión de dominio de la versión local de Active Directory.
  • Usuarios y equipos de Active Directory (ADUC): Necesita el complemento de MMC denominado ADUC para configurar la unión de dominio local. Este complemento forma parte de las herramientas de administración de servidores remotos (RSAT). Consulte Microsoft | Docs para obtener la documentación más reciente sobre Windows Server.
  • Dispone de dominios y unidades organizativas configuradas en su dominio de Azure.
  • Ha configurado los servicios de directorio en Workspace ONE UEM Console si utiliza Active Directory. Para obtener más información sobre cómo configurar los servicios de directorio, consulte Integración de Workspace ONE UEM con sus servicios de directorio

Orden de las tareas

  1. En ADUC, configure una cuenta de usuario con permisos de delegado de Windows Server, cree una tarea de delegado personalizada y configure los permisos.
  2. En ACC, actualice el inicio de sesión con la cuenta de usuario creada en ADUC y agregue permisos de escritura. Asegúrese de que el usuario también tenga privilegios de administrador local en el servidor de ACC de modo que pueda iniciar correctamente el servicio.
  3. En Workspace ONE UEM, cree una configuración de unión de dominio para el Active Directory local.
  4. En Workspace ONE UEM, especifique la información de la unidad organizativa mediante la creación e implementación de una o varias asignaciones para la configuración de la unión de dominio.

Configurar usuarios y equipos de Active Directory (ADUC)

En ADUC, seleccione el usuario con permisos de delegado de Windows Server, cree una tarea de delegado personalizada y configure los permisos.

  1. Haga clic con el botón secundario en el contenedor o la carpeta donde desea agregar dispositivos y seleccione Delegar control. Esta selección muestra el Asistente de delegación de control.
  2. Seleccione Siguiente en el Asistente de control de delegación.
  3. En la ventana Usuarios o grupos, seleccione el usuario con permisos de delegado de Windows Server en la lista, seleccione Agregar y, a continuación, seleccione Siguiente. Si esta cuenta de usuario no es miembro del grupo Administradores de dominio, aumente el límite de creación de la cuenta del equipo (ms-ds-machine-account-quota) a partir del valor predeterminado de 10 para evitar errores después de unir 10 dispositivos al dominio.

  4. En la ventana Tareas para delegar, seleccione Crear una tarea personalizada para delegar y, a continuación, seleccione Siguiente.

    La ventana Tareas para delegar se muestra con la opción Crear una tarea personalizada seleccionada y el botón Siguiente seleccionado

  5. En la ventana Tipo de objeto de Active Directory, seleccione los elementos de menú Solo los siguientes objetos de la carpeta:, Objetos de equipo, y Crear objetos seleccionados en esta carpeta y, a continuación, seleccione Siguiente.

    La ventana Delegación de control muestra la opción Solo los siguientes objetos de la carpeta seleccionada, con las opciones Objetos de equipo y Crear objetos seleccionados en esta carpeta marcadas. A continuación, se selecciona Siguiente

  6. En la ventana Permisos, seleccione General, Creación/eliminación de objetos secundarios específicos, Escribir y Crear todos los objetos secundarios y, a continuación, seleccione Siguiente.

    La ventana Delegación de control muestra la sección Permisos con las selecciones General, Creación/Eliminación, Escribir y Crear todos los objetos secundarios seleccionadas antes de seleccionar Siguiente

Configurar AirWatch Cloud Connector (ACC)

Actualice el inicio de sesión y agregue permisos de escritura para ACC al usuario que ha sido editado en ADUC para delegar una tarea personalizada.

  1. Cambie Iniciar sesión como para ACC según el usuario configurado con permisos de delegado de Windows Server.
    Aviso: Asegúrese de que el usuario también tenga privilegios de administrador local en el servidor de ACC de modo que pueda iniciar correctamente el servicio.
  2. En el área Ajustes de seguridad avanzados de ACC, otorgue a los usuarios permisos de ESCRITURA para la carpeta ACC en <Drive>:\VMware\AirWatch\CloudConnector.

Crear una unión de dominio local

Implemente una configuración de unión de dominio en Workspace ONE UEM en los dispositivos Windows inscritos que utilizan credenciales de Active Directory para acceder a los recursos.

  1. En Workspace ONE UEM Console, desplácese a Grupos y ajustes > Configuraciones y seleccione Unión de dominio en la lista.
  2. Seleccione Agregar.
  3. Escriba una entrada significativa en el campo Nombre con el fin de poder reconocer la unión de dominio. Por ejemplo, si los usuarios y los equipos de Active Directory siguen un patrón geográfico, puede escribir Acme - South America. Esta entrada no tiene que coincidir con ningún ajuste de Active Directory, pero el uso de patrones similares en ambos sistemas puede ayudarle a organizar los dispositivos en las uniones de dominio.
  4. Seleccione Active Directory local para el Tipo de unión de dominio.
  5. Consulte el Nombre de dominio. La página de configuración de la unión de dominio introduce el nombre del Servidor configurado en la página Servicios de directorio. La configuración de los servicios de directorio de Workspace ONE UEM permite la existencia de un servidor para los servicios de directorio, por lo que este campo se completará de forma automática. Busque los ajustes de los servicios de directorios en Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > Servicios de directorio.
    Aviso: Si desea cambiar la entrada Servidor en la página Servicios de directorio, debe Deshabilitar el elemento de menú SRV de DNS.
  6. Seleccione el Nombre descriptivo de dominio. La página de configuración de la unión de dominio ofrece una lista de los nombres descriptivos disponibles que se agregan a la lista de dominios para el servidor de servicios de directorio en la página Servicios de directorio. Busque los servicios de directorio en Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > Servicios de directorio.
  7. Introduzca el formato de nombre de máquina que prefiera en el campo Formato de nombre de máquina. Use un formato compatible para el nombre de la máquina. La información sobre herramientas especifica los formatos aceptados. Workspace ONE UEM utiliza un máximo de 15 caracteres con los formatos %SERIAL% o %RAND:[#]%.
  8. Guarde la configuración de la unión de dominio para asignarla más tarde o seleccione ahora Guardar y asignar.

Asignar una configuración de unión de dominio

A continuación, se muestran los pasos para asignar la configuración de unión de dominio:

  1. En Workspace ONE UEM Console, desplácese hasta una página de asignación seleccionando Asignar en la vista de lista de la unión de dominio en Grupos y ajustes > Configuraciones y seleccione Unión de dominio. Esta ventana de configuración se muestra si selecciona Guardar y asignar la configuración de unión de dominio.
  2. Seleccione el nombre de la configuración de la unión de dominio a menos que la entrada se haya rellenado previamente.

  3. Agregue un Nombre de asignación que tenga significado para usted y que le ayude a identificar la asignación. No es necesario que la entrada coincida con ninguno de los ajustes de Active Directory.

  4. Busque las unidades organizativas configuradas en los ajustes de ADUC y seleccione una sola unidad organizativa.

  5. Busque y seleccione los grupos inteligentes que están configurados en Workspace ONE UEM. Puede asignar un grupo inteligente a una unidad organizativa, pero no más. Si intenta seleccionar un grupo inteligente que ya tenga asignada una unidad organizativa, la consola mostrará un mensaje de error con información para que pueda solucionar los problemas y decidir qué grupos inteligentes usar para que se adapten a su escenario de implementación actual.

  6. Cree y guarde su asignación.

Aviso: La configuración de unión de dominio de un dispositivo se evalúa y se aplica durante el proceso de inscripción. Una vez que un dispositivo haya recibido una configuración de unión de dominio, no podrá actualizarlo cambiando los grupos inteligentes asignados en Workspace ONE UEM. Workspace ONE UEM solo envía una configuración de unión de dominio al dispositivo una vez después de la inscripción.

Contenedor de equipos en Active Directory (AD) y conflictos de UO/grupos inteligentes

Puede agregar varias asignaciones a las configuraciones de la unión de dominio, pero tenga en cuenta la flexibilidad de los grupos inteligentes. Dado que los grupos inteligentes son flexibles, es posible que tenga un mismo dispositivo en varias asignaciones para una configuración de unión de dominio. Este escenario significa que el dispositivo también está asignado a varias unidades organizativas, lo cual no está permitido. Cuando la consola identifica que un dispositivo se encuentra en varias asignaciones para una configuración de unión de dominio, coloca dicho dispositivo en el contenedor Equipos en Active Directory. Puede acceder a ADUC y colocar el dispositivo en la unidad organizativa deseada. El dispositivo recibe la configuración de unión de dominio que coincide con la asignación de la unidad organizativa.

Configurar una unión de grupo de trabajo en Workspace ONE UEM.

Si tiene usuarios que utilizan una cuenta local para acceder a sus dispositivos Windows y recursos, tendrá que configurar una unión de grupo de trabajo en Workspace ONE UEM. En primer lugar, en Workspace ONE UEM, cree una configuración de unión de dominio para la unión de grupo de trabajo. A continuación, en Workspace ONE UEM, especifique el nombre del grupo de trabajo, el formato del nombre de la máquina y la configuración del usuario local, y asigne la configuración a un grupo inteligente.

Crear una unión de dominio para grupos de trabajo en Workspace ONE UEM

Realice los siguientes pasos para implementar una configuración de unión de dominio en Workspace ONE UEM según los dispositivos del escritorio de Windows inscritos que utilizan cuentas locales para acceder a los recursos:

  1. En Workspace ONE UEM Console, desplácese a Grupos y ajustes > Configuraciones y seleccione Unión de dominio en la lista.
  2. Seleccione Agregar.
  3. Escriba una entrada significativa en el campo Nombre con el fin de poder reconocer la unión de dominio. Por ejemplo, si los usuarios y los equipos de Active Directory siguen un patrón geográfico, puede escribir Acme - South America. Esta entrada no tiene que coincidir con ningún ajuste de Active Directory, pero el uso de patrones similares en ambos sistemas puede ayudarle a organizar los dispositivos en las uniones de dominio.
  4. Seleccione Grupo de trabajo para el Tipo de unión de dominio.
  5. Introduzca un nombre para el Grupo de trabajo. La entrada es para ayudarle a organizar e identificar el grupo de trabajo en Workspace ONE UEM Console.
  6. Introduzca el formato de nombre de máquina en el campo Formato de nombre de máquina. Use un formato compatible para el nombre de la máquina. El cuadro de información sobre herramientas especifica los formatos admitidos en la interfaz de usuario. Utilice exactamente 15 caracteres en el formato %SERIAL% o %RAND:[#]%.
  7. Si desea crear el usuario local para la unión de dominio en ese momento, habilite Crear usuario local.
  8. Si desea conceder permisos de administrador al usuario local, habilite la opción Hacer administrador. Los administradores tienen permisos que incluyen la capacidad de eliminar la inscripción de los dispositivos o pueden desinstalar las aplicaciones del sistema.
  9. Introduzca un Nombre de usuario local y una Contraseña de usuario local que el usuario del dispositivo debe introducir para acceder al dispositivo con esta configuración de unión de dominio. Asigne el nombre de usuario y la contraseña a los usuarios.
  10. Guarde la configuración de la unión de dominio para asignarla más tarde o seleccione Guardar y asignar para asignarla ahora.

Asignar una configuración de unión de dominio

  1. En Workspace ONE UEM Console, desplácese a una página de asignación seleccionando Asignar en la vista de lista de uniones de dominio en Grupos y ajustes > Configuraciones y seleccione Unión de dominio. Esta ventana de configuración se muestra si selecciona Guardar y asignar la configuración de unión de dominio.
  2. Seleccione el nombre de la configuración de la unión de dominio a menos que la entrada se haya rellenado previamente.
  3. Agregue un Nombre de asignación que tenga significado para usted y que le ayude a identificar la asignación. No es necesario que la entrada coincida con ninguno de los ajustes de Active Directory.
  4. Busque y seleccione los grupos inteligentes que están configurados en Workspace ONE UEM. Puede asignar un grupo inteligente a una sola configuración de grupo de trabajo. Si intenta seleccionar un grupo inteligente que ya tenga asignada una configuración de grupo de trabajo, Console mostrará un mensaje de error con información para que pueda solucionar los problemas y decidir qué grupos inteligentes usar para que se adapten a su escenario de implementación actual.
  5. Cree y guarde su asignación.
check-circle-line exclamation-circle-line close-line
Scroll to top icon