Implementar Hybrid Azure AD-joined usando Microsoft Intune y Autopilot

Implementar Hybrid Azure AD-joined usando Microsoft Intune y Autopilot

El dia de hoy vamos a configurar Hybrid Azure AD-joined usando Microsoft Intune y Autopilot, para ello debemos primeramente crear una unidad organizativa en donde daremos control a nuestros dispositivos que se unan a través de este metodo.

Partiendo del supuesto que tenemos nuestro equipo en dominio local y con documentos de usuario.

Antes de empezar debemos ya tener configurado las siguietes caracteristicas:

  • Auto MDM enrollment
  • Intune Connector for Active directory

Ahora, debemos asegurarnos de que la máquina en la que está instalado el conector Intune pueda crear objetos de computadora en Active Directory. Iniciamos sesión en el controlador de dominio y ejecutamos DSA.msc. Creamos una nueva unidad organizativa que incluya todos los dispositivos unidos con Hybrid Devices y hacemos clic en «delegar control»

Aparecerá un nuevo wizard en donde agregaremos el objeto computadora y hacemos referencia a donde esta nuestro conector de AAD, en este caso mi controlador de dominio.

Ahora damos clic en Custom Task para delegar el control.

Seleccionamos Computer Objects como se muestra a continuación.

Seleccionamos Full Control y listo.

Ahora dentro del portal de Intune vamos a crear un grupo de seguridad como Dynamic Devices. con la siguiente sintaxis, esto realmente me dio dolor de cabeza hasta que vi una publicación  de mi colega Martin Bengtsson [MVP]

Esta regla la estaba poniendo solamente para todos los dispositivos por lo que al resetear mi equipo ya no encontraba el nombre del equipo original.

device.devicePhysicalIDs -any _ -contains "[ZTDId]"

Esta configuración le he agregado la siguiente información

(device.devicePhysicalIDs -any _ -contains "[ZTDId]") or (device.displayName -startsWith "HW10-") or (device.enrollmentProfileName -eq "Hybrid Autopilot")

por lo que le colocamos el nombre del perfil y la nomenclatura que hemos configurado para este caso HW10- en el perfil de domain joined

Este grupo incluirá todos los dispositivos cargados en el portal Intune Autopilot para que podamos implementar el perfil de inscripción de Autopilot y el perfil de unión de dominio en un momento posterior.

Ahora vamos a utilizar Autopilot obteniendo el Hardware-Hash con el siguiente comando de Powershell.

md c:\\HWID
Set-Location  c:\\HWID 
Set-ExecutionPolicy  -Scope  Process  -ExecutionPolicy  Unrestricted
Install-Script  -Name  Get-WindowsAutoPilotInfo
Get-WindowsAutoPilotInfo.ps1  -OutputFile  Latitude5480.csv

El resultado lo podemos ver con el archivo generado.

Importamos el archivo .csv al portal del piloto automático de Intune:

El grupo de dispositivos que creamos anteriormente se completará automáticamente con los dispositivos sincronizados

Ahora ya tenemos de forma automatica el dispositivo en el grupo creado

Ahora creamos un Autopilot Deployment Profile en donde asignaremos al grupo creado.

Esperamos hasta que el dispositivo aparezca debajo del perfil de inscripción para que podamos confirmar que el dispositivo está asignado al perfil

Ahora creamos un perfil de union a dominio.

El perfil de unión de dominio incluirá parámetros como el nombre de dominio y la definición de la unidad organizativa que  se creó para los dispositivos de piloto automático. Durante el proceso de inscripción, la información incluida en el perfil de unión de dominio se exportará a un archivo BLOB y será procesada por el conector Intune. El conector Intune agregará el dispositivo al dominio de Active Directory local basado en la información almacenada en el archivo BLOB

Asignamos el perfil al grupo y listo, podemos ver en AAD devices como toma el nombre con los parametros que hemos colocado.

Ahora vamos a configurar Hybrid Azure Active Directory Joined

Para ello debemos asegurarnos que tengamos los Endpoints que necesita Microsoft para la correcta configuración esto lo podemos checar ejecutando el siguiente script.

Mas información en esta pagina

https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-managed-domains

Ahora podemos encender nuestro dispositivo, el proceso de inscripción paso a paso. El perfil del piloto automático solo se aplicará si el dispositivo está en estado «listo para usar». Si el dispositivo ya está en uso y deseamos inscribirlo en Intune con Autopilot, la forma en como funciono despues de muchos intentos fue no resetear, el camino mas adecuado despues de comprobar que el equipo estaba en orden mandar a llamar sysprep.

Iniciamos sysprep con el siguiente comando

C:\windows\system32\sysprep\sysprep.exe /oobe /reboot

Como hemos configurado el idioma podemos escoger el predeterminado o el que hemos agregado.

En el portal de Microsoft Intune podremos ver el nombre con el perfil creado

En nuestro Directorio activo se ha agregado el equipo correctamente.

En este punto es necesario esperar a que el proceso termine ya que el blob de Intune estara configurando el equipo con las nuevas politicas de AAD

Importante: NO deshabilitar ESP, tampoco oprimir la opcion de continuar de todas maneras

En el servidor Intune Connector, podemos ver las siguientes entradas en los registros de eventos (Registros de aplicaciones y servicios -> Servicio ODJ Connector) que indica que el conector recibió la información de unión de dominio (a través de un archivo blob) con éxito de Intune:

Nota. este es otro dispositivo el cual testeo para completar el post

Importante: NO deshabilitar ESP, tampoco oprimir la opcion de continuar de todas maneras

Una vez que finalice la preparación del dispositivo y la configuración del dispositivo, veremos a continuación la pantalla que nos pide que iniciemos sesión. Usamos la misma cuenta que se usó para iniciar sesión antes, pero esta vez en formato dominio\nombre de usuario

El equipo toma las politicas de AAD y AD sin perder ninguna configuración

algunas politicas aplicadas desde Microsoft Intune

Sin mas por el momento me desdipo enviandoles un gran saludo a todos mis lectores, estamos con nuevos post.

 

 

Tabla de contenidos

Categorías

Categorías