Microsoft Entra unido frente a Microsoft Entra híbrido unido a puntos de conexión nativos en la nube

Sugerencia

Al leer sobre los puntos de conexión nativos de la nube, verá los términos siguientes:

  • Punto de conexión: un punto de conexión es un dispositivo, como un teléfono móvil, una tableta, un portátil o un equipo de escritorio. "Puntos de conexión" y "dispositivos" se usan indistintamente.
  • Puntos de conexión administrados: puntos de conexión que reciben directivas de la organización mediante una solución MDM u objetos directiva de grupo. Estos dispositivos suelen ser propiedad de la organización, pero también pueden ser dispositivos BYOD o de propiedad personal.
  • Puntos de conexión nativos en la nube: puntos de conexión que están unidos a Microsoft Entra. No están unidos a AD local.
  • Carga de trabajo: cualquier programa, servicio o proceso.

Muchos servicios críticos y valiosos, incluido el acceso condicional y el inicio de sesión único de Microsoft Entra, requieren que los puntos de conexión tengan una identidad en la nube. En el caso de los puntos de conexión de Windows propiedad de la organización, se crea una identidad en la nube cuando el dispositivo está unido a Microsoft Entra o unido a Microsoft Entra híbrido.

Al pasar a puntos de conexión nativos de la nube, debe comprender las diferencias entre los dispositivos unidos a Microsoft Entra y los dispositivos híbridos unidos a Microsoft Entra:

  • Microsoft Entra unido: los dispositivos se unen a Microsoft Entra. No están unidos a AD local.

    Para obtener información más específica, vaya a Dispositivos unidos a Microsoft Entra (abre otro sitio web de Microsoft).

  • Unido a Microsoft Entra híbrido: los dispositivos se registran en Microsoft Entra y se unen a un dominio de AD local.

    Para obtener información más específica, vaya a Dispositivos unidos a Microsoft Entra híbrido (abre otro sitio web de Microsoft).

Esta característica se aplica a:

  • Puntos de conexión nativos en la nube de Windows

En este artículo se describen algunas de las diferencias entre los dispositivos unidos a Microsoft Entra y los dispositivos híbridos unidos a Microsoft Entra. Para obtener información general sobre los puntos de conexión nativos en la nube y sus ventajas, vaya a Qué son los puntos de conexión nativos de la nube.

Microsoft Entra unido

Cuando un punto de conexión, como un dispositivo Windows 10/11 está unido a Microsoft Entra, establece una confianza con Microsoft Entra y tiene una identidad (device-id) en Microsoft Entra. La organización administra y controla el punto de conexión.

El punto de conexión está unido a Microsoft Entra. No está unido a un dominio de AD local.

Para unir puntos de conexión de Windows a Microsoft Entra, tiene algunas opciones:

  • Use Windows Autopilot. Windows Autopilot guía a los usuarios a través de la configuración rápida (OOBE) de Windows. Cuando los usuarios escriben su cuenta profesional o educativa, el punto de conexión se une a Microsoft Entra.

    Todos los dispositivos registrados con Windows Autopilot se consideran automáticamente dispositivos propiedad de la organización. Windows Autopilot es uno de los enfoques más adoptados para conseguir que los dispositivos de la organización se unan a Microsoft Entra y se administren mediante TI.

  • Usar la configuración rápida (OOBE) de Windows. Cuando los usuarios escriben su cuenta profesional o educativa en el dispositivo, el punto de conexión se une automáticamente a Microsoft Entra.

  • Use la aplicación Configuración. En el dispositivo, los usuarios finales abren la aplicación Configuración (Cuentas>Acceso profesional o educativo>Conectar), y usan su cuenta profesional o educativa.

  • Use un paquete de aprovisionamiento de Windows. Para obtener más información, vaya a:

Ventajas de TI de la organización

  • Con el acceso condicional, puede permitir o restringir el acceso a los recursos de la organización que cumplan o no cumplan sus requisitos.
  • La configuración y los datos de trabajo se mueven a través de nubes compatibles con la empresa. No se usan cuentas personales de Microsoft, como Hotmail, y se pueden bloquear.
  • Con Windows Hello para empresas, puede reducir el riesgo de robo de credenciales.

Ventajas para el usuario final

  • Para autenticar a los usuarios finales con Microsoft Entra y el punto de conexión de Windows, los usuarios necesitan una cuenta profesional o educativa. No se usan cuentas personales.

  • Obtenga el inicio de sesión único (SSO) para Microsoft 365 y aplicaciones SaaS con conexión a Internet.

  • Use la comodidad y la seguridad de Windows Hello para empresas para iniciar sesión en su punto de conexión de Windows.

    Cuando inician sesión con Windows Hello para empresas, los usuarios usan automáticamente SSO en muchas de sus aplicaciones y recursos locales y en línea.

  • La configuración del sistema operativo recorre todos los dispositivos unidos a Microsoft Entra.

    Importante

    Los usuarios finales que trabajan de forma remota en dispositivos unidos a Microsoft Entra no necesitan una VPN para iniciar sesión cuando las credenciales almacenadas en caché expiran en el dispositivo. En los dispositivos híbridos unidos a Microsoft Entra, necesitan una VPN para iniciar sesión cuando expiren las credenciales almacenadas en caché.

Recursos unidos a Microsoft Entra

Unido a Microsoft Entra híbrido

Los dispositivos unidos a Microsoft Entra híbrido se unen al dominio de AD local y se registran con Microsoft Entra. Estos dispositivos requieren una línea de visión de red a los controladores de dominio (DC) locales para el inicio de sesión inicial y para la administración de dispositivos.

Si los dispositivos no se pueden conectar al DC, es posible que los usuarios no puedan iniciar sesión y que no reciban actualizaciones de directivas.

Muchas organizaciones con dispositivos unidos a un dominio existente desean las ventajas y características de Microsoft Entra y la administración de puntos de conexión. Si los dispositivos aún no pueden ser totalmente nativos de la nube, puede registrar estos dispositivos existentes en Microsoft Entra. Al registrar dispositivos existentes en Microsoft Entra, se crea una identidad de dispositivo y los dispositivos están unidos a Microsoft Entra híbrido. No se consideran puntos de conexión nativos de la nube.

Si su organización está lista y quiere ser nativa de la nube, Microsoft Entra unido (en este artículo) es la opción correcta. Es necesario restablecer los dispositivos existentes. Para obtener información e instrucciones más específicas, vaya a la Guía de planeación de alto nivel.

Recursos unidos a Microsoft Entra híbrido

Para obtener información sobre cómo registrar los dispositivos unidos a un dominio existente en Microsoft Entra, vaya a Configuración de la unión a Microsoft Entra híbrida. La configuración de la unión a Microsoft Entra híbrida incluye información para dominios administrados y dominios federados.

Qué opción es la adecuada para su organización

La opción correcta depende del entorno, los puntos de conexión y los objetivos de la organización. Al tomar esta decisión, tenga en cuenta el impacto futuro y a largo plazo.

Considere los escenarios siguientes:

Escenario Unión a Microsoft Entra o unión a Microsoft Entra híbrida
Va a aprovisionar nuevos puntos de conexión de Windows ✔️ Unión a Microsoft Entra

Si tiene dispositivos Windows nuevos, renovados o actualizados que va a aprovisionar e inscribir, se recomienda unirse a Microsoft Entra. Windows 10/11 tiene características modernas integradas en el sistema operativo, incluida la administración moderna, la autenticación moderna y mucho más. Microsoft Entra Join debe ser la opción predeterminada para los puntos de conexión nuevos y restablecer.

❌ Unión a Microsoft Entra híbrida

Puede usar Microsoft Entra Join híbrido para nuevos puntos de conexión, pero normalmente no se recomienda. Cuando se une con Microsoft Entra Join híbrido, es posible que no pueda usar las características modernas integradas en Windows 10/11.
Ya tiene puntos de conexión de Windows ya aprovisionados anteriormente que están unidos a Microsoft Entra híbrido o AD ✔️ Unión a Microsoft Entra híbrida

Si tiene puntos de conexión existentes que están unidos a un dominio de AD local (incluido Microsoft Entra híbrido unido), se recomienda la unión a Microsoft Entra híbrida. Los dispositivos obtienen una identidad en la nube y pueden usar servicios en la nube que requieren una identidad en la nube. Para los usuarios finales con puntos de conexión existentes, esta opción tiene un impacto mínimo.

❌ Unión a Microsoft Entra

Los dispositivos existentes unidos a un dominio de AD local (incluido Microsoft Entra híbrido unido) deben restablecerse para que se unan a Microsoft Entra. Si no se pueden restablecer, no hay ninguna ruta de acceso de Microsoft admitida a Microsoft Entra unirse a ellas.

Preguntas, respuestas y escenarios comunes

Esta sección responde a preguntas comunes sobre los dispositivos unidos a Microsoft Entra e híbridos unidos a Microsoft Entra.

¿Debe unirse a Microsoft Entra híbrido ser un estado objetivo a largo plazo o final para los dispositivos?

No, Hybrid Microsoft Entra Join no debe ser a largo plazo ni el objetivo final de ninguna organización.

Cuando no está restringido o limitado (por motivos técnicos, políticos o normativos), su organización debe moverse o planear el traslado a Microsoft Entra unido para los puntos de conexión de Windows.

¿Qué estrategia debe adoptar una organización para mover los dispositivos híbridos existentes de Microsoft Entra Join a Microsoft Entra Join?

La estrategia depende de muchos factores, muchos de los que son específicos de su organización.

En general, Microsoft recomienda esperar un evento complementario. Por ejemplo, puede pasar a Microsoft Entra Join durante un escenario de actualización de hardware, actualización del sistema operativo o solución de problemas de dispositivos cuando hay una nueva instancia (o restablecer) de Windows. Con este enfoque, se minimiza la interrupción del usuario y se simplifica el proceso de conversión a Microsoft Entra Join. Recuerde que no hay ningún proceso o ruta de acceso compatible con Microsoft para convertir un dispositivo existente de Microsoft Entra Join híbrido a Microsoft Entra Join sin un restablecimiento de Windows.

En los dispositivos unidos híbridos de Microsoft Entra, debe realizar un borrado completo del dispositivo, ya que el restablecimiento de Windows Autopilot no admite dispositivos unidos a Microsoft Entra híbrido.

Para pasar a Microsoft Entra Join, puede restablecer proactivamente los dispositivos existentes. Este enfoque puede ser más perjudicial para los usuarios y requiere más planeamiento & pruebas. Pero puede usar este enfoque si tiene algunos dispositivos o si tiene un caso empresarial sólido para pasar a Microsoft Entra Join.

Hay un bloqueador que impide que mi organización se mueva a Microsoft Entra Join

Es posible que haya bloqueadores y desafíos fuera del control de Microsoft que puedan impedir que su organización se mueva completamente a Microsoft Entra Join. También puede haber bloqueadores desconocidos específicos de su organización y su configuración o expectativas. Estos bloqueadores pueden ser técnicos o ocurrir por otras razones no técnicas.

Recuerde que pasar a Microsoft Entra Join no es una propuesta de todo o nada. Mover dispositivos a Microsoft Entra Join requiere tiempo, incluso con o sin bloqueadores o inhibidores.

Si identifica un posible bloqueador que le impide usar Microsoft Entra Join, determine el ámbito, el impacto y la solución. La guía de planeamiento de alto nivel para pasar a puntos de conexión nativos de la nube puede ayudar.

¿Pueden coexistir los puntos de conexión de Microsoft Entra Join e Hybrid Microsoft Entra Join en el mismo entorno?

Sí, los puntos de conexión de Microsoft Entra Join e Hybrid Microsoft Entra Join pueden coexistir en el mismo entorno. No son mutuamente excluyentes.

Tener un entorno mixto aumenta los costos de complejidad, mantenimiento y soporte técnico. Pero puede usar Microsoft Entra Join híbrido hasta que se reemplacen o restablezcan esos puntos de conexión. Recuerde que La unión a Microsoft Entra híbrida no debe ser el objetivo final de su organización para el estado del punto de conexión de Windows.

¿Pueden los usuarios de los sistemas Microsoft Entra Join acceder a los recursos locales?

Sí, los usuarios de los sistemas Microsoft Entra Join pueden acceder a los recursos locales.

Los puntos de conexión de Microsoft Entra Join pueden acceder a recursos locales y pueden usar el inicio de sesión único (SSO). Para obtener información más específica, vaya a Puntos de conexión nativos de nube y recursos locales.

¿Qué estados de unión de dispositivos puede administrar Intune?

Microsoft Intune, que es una solución 100 % en la nube, puede administrar dispositivos cliente Windows que son Microsoft Entra Join o Microsoft Entra Join híbrido. Intune tiene muchas características y configuraciones integradas que pueden administrar la configuración, controlar las características del dispositivo, ayudar a proteger los puntos de conexión y mucho más.

La Guía de planeación de alto nivel para migrar a puntos de conexión nativos de nube: características de Intune que debe conocer enumera algunas de estas características. Qué es Intune también es un buen recurso.

En los puntos de conexión híbridos de Microsoft Entra Join, puede usar objetos de directivas de grupo (GPO) locales o Intune para controlar la configuración de directivas. También es posible usar una combinación de GPO e Intune, pero esta combinación agrega sobrecarga administrativa y complejidad. Si habilita la administración conjunta (Intune (nube) + Configuration Manager (local), puede usar algunas características de Microsoft Entra, como el acceso condicional.

Para obtener instrucciones, vaya a Guía de implementación: configurar o mover a Microsoft Intune.

¿Qué estados de unión a dispositivos son necesarios para el cumplimiento del dispositivo o el acceso condicional?

Tanto los puntos de conexión híbridos de Microsoft Entra Join como los de Microsoft Entra Join admiten directivas de cumplimiento y acceso condicional cuando se administran mediante Intune o se administran conjuntamente mediante Intune y Configuration Manager.

¿Hay limitaciones para Hybrid Microsoft Entra Join?

Sí, hay limitaciones para Hybrid Microsoft Entra Join.

Estas limitaciones suelen ser las mismas con los dispositivos solo unidos a un dominio local. En concreto, los puntos de conexión híbridos de Microsoft Entra Join requieren una línea de visión al controlador de dominio de AD local para el inicio de sesión inicial y cambiar las contraseñas. Si el dominio está inactivo o no está disponible, se podría impedir que los usuarios inicien sesión en sus puntos de conexión. Si su organización se está alejando de tener un dominio local, también debe alejarse de La unión a Microsoft Entra híbrida para los dispositivos.

Si usa la autenticación sin contraseña, los usuarios necesitan acceso a Internet y una línea de visión para los controladores de dominio (DC). Para autenticarse, los puntos de conexión híbridos de Microsoft Entra Join pueden usar Kerberos y NTLM.

¿Microsoft Entra Join híbrido se considera nativo de la nube?

No, Microsoft Entra Join híbrido no se considera nativo de la nube.

La solución en la nube es unir los puntos de conexión a Microsoft Entra. Los puntos de conexión y sus identidades se crean y almacenan en Microsoft Entra. Intune administra los puntos de conexión con la configuración y las directivas. Estos servicios funcionan con otros servicios en la nube, como Microsoft 365, Microsoft Defender XDR y mucho más.

Siga las instrucciones sobre puntos de conexión nativos de la nube

  1. Información general: ¿qué son los puntos de conexión nativos de la nube?
  2. Tutorial: Introducción a los puntos de conexión de Windows nativos en la nube
  3. 🡺 Concepto: Microsoft Entra unido frente a Microsoft Entra híbrido unido (estás aquí)
  4. Concepto: puntos de conexión nativos en la nube y recursos locales
  5. Guía de planeación de alto nivel
  6. Problemas conocidos e información importante