El dia de hoy vamos a configurar Hybrid Azure AD-joined usando Microsoft Intune y Autopilot, para ello debemos primeramente crear una unidad organizativa en donde daremos control a nuestros dispositivos que se unan a través de este metodo.
Partiendo del supuesto que tenemos nuestro equipo en dominio local y con documentos de usuario.
Antes de empezar debemos ya tener configurado las siguietes caracteristicas:
- Auto MDM enrollment
- Intune Connector for Active directory
Ahora, debemos asegurarnos de que la máquina en la que está instalado el conector Intune pueda crear objetos de computadora en Active Directory. Iniciamos sesión en el controlador de dominio y ejecutamos DSA.msc. Creamos una nueva unidad organizativa que incluya todos los dispositivos unidos con Hybrid Devices y hacemos clic en «delegar control»
Aparecerá un nuevo wizard en donde agregaremos el objeto computadora y hacemos referencia a donde esta nuestro conector de AAD, en este caso mi controlador de dominio.
Ahora damos clic en Custom Task para delegar el control.
Seleccionamos Computer Objects como se muestra a continuación.
Seleccionamos Full Control y listo.
Ahora dentro del portal de Intune vamos a crear un grupo de seguridad como Dynamic Devices. con la siguiente sintaxis, esto realmente me dio dolor de cabeza hasta que vi una publicación de mi colega Martin Bengtsson [MVP]
Esta regla la estaba poniendo solamente para todos los dispositivos por lo que al resetear mi equipo ya no encontraba el nombre del equipo original.
device.devicePhysicalIDs -any _ -contains "[ZTDId]"
Esta configuración le he agregado la siguiente información
(device.devicePhysicalIDs -any _ -contains "[ZTDId]") or (device.displayName -startsWith "HW10-") or (device.enrollmentProfileName -eq "Hybrid Autopilot")
por lo que le colocamos el nombre del perfil y la nomenclatura que hemos configurado para este caso HW10- en el perfil de domain joined
Este grupo incluirá todos los dispositivos cargados en el portal Intune Autopilot para que podamos implementar el perfil de inscripción de Autopilot y el perfil de unión de dominio en un momento posterior.
Ahora vamos a utilizar Autopilot obteniendo el Hardware-Hash con el siguiente comando de Powershell.
md c:\\HWID Set-Location c:\\HWID Set-ExecutionPolicy -Scope Process -ExecutionPolicy Unrestricted Install-Script -Name Get-WindowsAutoPilotInfo Get-WindowsAutoPilotInfo.ps1 -OutputFile Latitude5480.csv
El resultado lo podemos ver con el archivo generado.
Importamos el archivo .csv al portal del piloto automático de Intune:
El grupo de dispositivos que creamos anteriormente se completará automáticamente con los dispositivos sincronizados
Ahora ya tenemos de forma automatica el dispositivo en el grupo creado
Ahora creamos un Autopilot Deployment Profile en donde asignaremos al grupo creado.
Esperamos hasta que el dispositivo aparezca debajo del perfil de inscripción para que podamos confirmar que el dispositivo está asignado al perfil
Ahora creamos un perfil de union a dominio.
El perfil de unión de dominio incluirá parámetros como el nombre de dominio y la definición de la unidad organizativa que se creó para los dispositivos de piloto automático. Durante el proceso de inscripción, la información incluida en el perfil de unión de dominio se exportará a un archivo BLOB y será procesada por el conector Intune. El conector Intune agregará el dispositivo al dominio de Active Directory local basado en la información almacenada en el archivo BLOB
Asignamos el perfil al grupo y listo, podemos ver en AAD devices como toma el nombre con los parametros que hemos colocado.
Ahora vamos a configurar Hybrid Azure Active Directory Joined
Para ello debemos asegurarnos que tengamos los Endpoints que necesita Microsoft para la correcta configuración esto lo podemos checar ejecutando el siguiente script.
Mas información en esta pagina
https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-managed-domains
Ahora podemos encender nuestro dispositivo, el proceso de inscripción paso a paso. El perfil del piloto automático solo se aplicará si el dispositivo está en estado «listo para usar». Si el dispositivo ya está en uso y deseamos inscribirlo en Intune con Autopilot, la forma en como funciono despues de muchos intentos fue no resetear, el camino mas adecuado despues de comprobar que el equipo estaba en orden mandar a llamar sysprep.
Iniciamos sysprep con el siguiente comando
C:\windows\system32\sysprep\sysprep.exe /oobe /reboot
Como hemos configurado el idioma podemos escoger el predeterminado o el que hemos agregado.
En el portal de Microsoft Intune podremos ver el nombre con el perfil creado
En nuestro Directorio activo se ha agregado el equipo correctamente.
En este punto es necesario esperar a que el proceso termine ya que el blob de Intune estara configurando el equipo con las nuevas politicas de AAD
Importante: NO deshabilitar ESP, tampoco oprimir la opcion de continuar de todas maneras
En el servidor Intune Connector, podemos ver las siguientes entradas en los registros de eventos (Registros de aplicaciones y servicios -> Servicio ODJ Connector) que indica que el conector recibió la información de unión de dominio (a través de un archivo blob) con éxito de Intune:
Nota. este es otro dispositivo el cual testeo para completar el post
Importante: NO deshabilitar ESP, tampoco oprimir la opcion de continuar de todas maneras
Una vez que finalice la preparación del dispositivo y la configuración del dispositivo, veremos a continuación la pantalla que nos pide que iniciemos sesión. Usamos la misma cuenta que se usó para iniciar sesión antes, pero esta vez en formato dominio\nombre de usuario
El equipo toma las politicas de AAD y AD sin perder ninguna configuración
algunas politicas aplicadas desde Microsoft Intune
Sin mas por el momento me desdipo enviandoles un gran saludo a todos mis lectores, estamos con nuevos post.
