Qué es Hybrid Azure AD Join y cómo funciona en entornos híbridos

Cuando una empresa ya tiene montado un entorno de Active Directory (AD) on-premises y empieza a dar el salto a la nube con Microsoft 365 y Microsoft Entra ID (antes Azure AD), rápidamente aparece la gran duda: ¿cómo integro mis equipos Windows con la nube sin perder lo que ya tengo montado en local? Aquí tienes una guía para unir equipos a Azure AD y Microsoft Entra ID.

En lugar de tener que elegir entre un modelo totalmente local o totalmente en la nube, la unión híbrida permite que un mismo dispositivo esté unido al dominio tradicional de Windows Server AD y, al mismo tiempo, registrado en Microsoft Entra ID. Esto aporta lo mejor de ambos mundos: directivas de grupo, Kerberos y aplicaciones on-premises, junto con SSO a servicios cloud, acceso condicional y funcionalidades modernas como Windows Hello para empresas.

Qué es exactamente Hybrid Azure AD Join

La unión híbrida a Microsoft Entra (Hybrid Azure AD Join) es un modelo en el que los dispositivos Windows están unidos simultáneamente a un dominio de Windows Server Active Directory local y a Microsoft Entra ID. El mismo equipo forma parte del dominio on-premises y, además, se registra como dispositivo en la nube.

En la práctica, hablamos de dispositivos que siguen siendo «domain joined» clásicos, con cuenta de equipo en AD, pero que además se inscriben en Entra ID de forma automática. El inicio de sesión lo sigue realizando una cuenta corporativa de dominio, no un usuario nativo de la nube, lo que mantiene intacto el modelo de autenticación tradicional.

Este enfoque está pensado para organizaciones que ya cuentan con infraestructura de Windows Server AD y necesitan aprovechar las capacidades de la nube (SSO a Microsoft 365, acceso condicional, gestión moderna, etc.) sin desmontar su entorno local. Es especialmente útil cuando se quiere avanzar hacia la nube pero aún se mantienen muchas dependencias on-premises.

Hay un punto crucial: los dispositivos híbridos necesitan tener línea de visión periódica hacia los controladores de dominio. Sin esa conectividad al dominio local, con el tiempo los equipos pueden volverse inservibles desde el punto de vista del inicio de sesión de usuario, porque siguen dependiendo de la seguridad de AD y de la política de contraseñas local.

Características clave del dispositivo Hybrid Azure AD Join

Un dispositivo unido de forma híbrida a Microsoft Entra se caracteriza por estar vinculado tanto a Windows Server Active Directory como a Microsoft Entra ID. Para iniciar sesión, se exige una cuenta organizativa (de dominio), de modo que el usuario sigue entrando con sus credenciales de siempre, integradas en AD DS.

El público objetivo de este tipo de unión son las organizaciones con entornos híbridos, que conservan su infraestructura de AD on-premises pero que, al mismo tiempo, quieren utilizar servicios cloud integrados con Entra ID. Esta unión se aplica a todos los usuarios de la organización en los equipos compatibles que se hayan configurado para ello.

En cuanto a la propiedad, estos dispositivos se consideran equipos de la organización, no BYOD. Esto resulta vital cuando se definen políticas de acceso condicional que distinguen entre dispositivos corporativos y personales, ya que Hybrid Azure AD Join es uno de los mecanismos más claros para identificar que un Windows es realmente corporativo.

En la parte de sistemas operativos, la unión híbrida está soportada en Windows 11 y Windows 10 (excepto ediciones Home) y en Windows Server 2016, 2019 y 2022. No está orientada a equipos domésticos, sino a entornos profesionales gestionados desde TI.

Métodos de aprovisionamiento y unión de los dispositivos

La puesta en marcha de dispositivos híbridos puede hacerse de varias formas, según el tipo de despliegue de la organización. Una de las opciones más habituales es que el equipo sea unido a un dominio por el departamento de TI (método tradicional) y, a continuación, se configure la unión automática a Microsoft Entra a través de Microsoft Entra Connect o mediante una configuración con AD FS.

Otra alternativa, más moderna, es usar Windows Autopilot para unir el dispositivo al dominio en el proceso de aprovisionamiento inicial. Tras esa unión al dominio, Autopilot puede desencadenar automáticamente el registro del equipo en Entra ID como híbrido, de nuevo con la ayuda de Entra Connect o de un entorno federado como AD FS.

En escenarios avanzados, como Citrix DaaS, la plataforma puede gestionar el proceso de unión híbrida por sí misma siempre que tenga permisos apropiados (por ejemplo, permiso de escritura en el atributo userCertificate en el dominio). En estos casos, la creación de máquinas unidas de forma híbrida a Microsoft Entra se integra con tecnologías de aprovisionamiento como Machine Creation Services (MCS), tanto en despliegues persistentes como no persistentes.

Hay que tener en cuenta que, en algunos despliegues especiales (por ejemplo, Autopilot usando claves de Cloud-Device-Join en lugar de SCP), el momento exacto en el que se aplican esas claves es crítico. Si se aplican demasiado tarde en el proceso de aprovisionamiento, el equipo puede terminar siendo únicamente Entra Joined en lugar de Hybrid Joined, generando errores como el clásico “Joining the organization’s network (0x800705b4)”.

Opciones de inicio de sesión, administración y principales funcionalidades

En un equipo Hybrid Azure AD Joined, los usuarios se autentican con sus cuentas organizativas de dominio usando bien una contraseña tradicional, bien opciones sin contraseña como Windows Hello para empresas o claves de seguridad FIDO2. El usuario obtiene tanto su ticket Kerberos local como un token de usuario de Azure AD.

En cuanto a la administración, se puede seguir utilizando la Directiva de grupo (GPO) para controlar la configuración de los equipos, algo esencial si ya existe una inversión importante en plantillas y políticas. Además, es posible combinar Configuration Manager (SCCM) con Microsoft Intune en un modelo de administración conjunta, aprovechando capacidades modernas como la gestión de aplicaciones, el cumplimiento y la protección de datos.

Entre las funcionalidades más potentes de la unión híbrida están el inicio de sesión único (SSO) hacia recursos en la nube y hacia recursos locales. El usuario recibe, por un lado, un ticket Kerberos para acceder a recursos on-premises y, por otro, un token de Azure AD (Primary Refresh Token o PRT) para acceder a Exchange Online, Teams, SharePoint Online y aplicaciones SaaS integradas.

Además, la unión híbrida permite aplicar acceso condicional basado en dispositivo, de modo que se pueden crear reglas que exijan, por ejemplo, que el equipo sea corporativo y compatible para poder acceder a datos sensibles en Microsoft 365. También se habilitan funcionalidades como el restablecimiento de contraseña de autoservicio (SSPR) y el restablecimiento del PIN de Windows Hello directamente desde la pantalla de bloqueo, siempre que el entorno cumpla los requisitos de UPN y sincronización.

Cuándo tiene sentido usar dispositivos Hybrid Azure AD Join

La unión híbrida es especialmente adecuada cuando la organización quiere seguir usando Directiva de grupo para la configuración de los equipos. Si las GPO siguen siendo el eje de la seguridad, la configuración del navegador, el endurecimiento del sistema, etc., Hybrid Azure AD Join encaja como un guante.

También es muy útil cuando se desea seguir aprovechando las soluciones existentes de creación de imágenes (imaging tradicional) para desplegar y configurar dispositivos. Muchas empresas tienen procesos maduros basados en imágenes maestras, scripts y herramientas tipo MDT o SCCM, y no quieren cambiarlos de la noche a la mañana.

Otro escenario típico es cuando se tienen aplicaciones Win32 instaladas en los equipos que dependen de la autenticación de máquina en Active Directory. Estas aplicaciones a menudo requieren que el dispositivo sea un equipo de dominio clásico, con SPNs, LDAP, Kerberos y la confianza propia del entorno on-premises.

En el extremo contrario, si la organización pretende reducir al máximo la dependencia del entorno on-premises y no quiere mantener la exigencia de conectividad frecuente a los controladores de dominio, puede que un modelo puramente Azure AD Joined + Intune sea más apropiado que un Hybrid Join.

Requisitos previos, conectividad y versiones soportadas

Para implementar Hybrid Azure AD Join se necesitan algunos prerrequisitos básicos. En primer lugar, es necesario contar con Microsoft Entra Connect (Azure AD Connect) en una versión compatible, habitualmente la 1.1.819.0 o posterior, configurado para sincronizar los atributos de dispositivo por defecto y las unidades organizativas (OU) que contienen los objetos de equipo que se quieren registrar.

También se requieren credenciales de administrador de identidades híbridas en el inquilino de Microsoft Entra y credenciales de administrador de empresa en cada bosque de Active Directory Domain Services implicado. En entornos federados, se añade la necesidad de un AD FS al menos en Windows Server 2012 R2, con los puntos de conexión WS-Trust activados.

En el plano de red, los equipos deben tener acceso a una serie de puntos de conexión de Microsoft, como enterpriseregistration.windows.net, login.microsoftonline.com, device.login.microsoftonline.com y, si se usa SSO de conexión directa, autologon.microsoftazuread-sso.com. En entornos de Azure Government se usan dominios específicos (.us) para estas mismas funciones.

Si la organización usa un proxy de salida, es importante que los equipos Windows puedan autenticar correctamente en ese proxy bajo el contexto de equipo, ya que el registro de dispositivo se ejecuta con la cuenta del sistema. Se puede recurrir a WPAD o configurar el proxy WinHTTP mediante GPO a partir de Windows 10 1709 para facilitar este proceso.

Compatibilidad, escenarios no soportados y consideraciones de imagen

Aunque Hybrid Azure AD Join soporta un amplio abanico de versiones de Windows, existen escenarios explícitamente no soportados. Por ejemplo, no es compatible con Windows Server que actúa como controlador de dominio (DC). Tampoco funciona con Server Core para el registro de dispositivos, ni con la Herramienta de migración de estado de usuario (USMT) aplicada directamente al proceso de registro.

En cuanto a la creación de imágenes, hay recomendaciones importantes: si se usa Sysprep con una imagen anterior a Windows 10 1809, hay que asegurarse de que esa imagen no provenga de un dispositivo que ya estuviera registrado en Entra ID como híbrido, para evitar duplicidades y estados corruptos de dispositivo.

Algo parecido ocurre si se utilizan instantáneas de máquinas virtuales para desplegar más VMs: la snapshot no debe proceder de una VM ya registrada en Entra como híbrida. De lo contrario, cada VM clonada heredará un estado de registro que no le corresponde, lo que causa múltiples problemas de identidad de dispositivo.

En entornos con tecnologías como Unified Write Filter u otras soluciones que limpian el disco en cada reinicio, estas deben aplicarse únicamente después de completar la unión híbrida. Si se habilitan antes de que el proceso de Hybrid Join finalice, el equipo puede quedar desregistrado en cada arranque, porque los cambios del registro de dispositivo nunca llegan a persistir.

Estados de dispositivo, doble registro y limpieza

Puede ocurrir que equipos Windows 10 o superiores, unidos a un dominio, estén ya registrados en Microsoft Entra ID de forma independiente antes de habilitar la unión híbrida. En ese escenario se puede generar un estado dual, donde el mismo dispositivo aparezca como Hybrid Azure AD Joined y, a la vez, como Azure AD Registered para determinados usuarios.

Para minimizar este problema, se recomienda actualizar a Windows 10 1803 (con KB4489894) o superior. A partir de estas versiones, el propio sistema se encarga de limpiar el estado doble: una vez que el equipo completa el Hybrid Join y el mismo usuario inicia sesión, el registro previo como Azure AD Registered para ese usuario se elimina automáticamente.

En versiones anteriores a 1803, la limpieza debe hacerse de forma manual, retirando el estado registrado de Entra antes de activar el Hybrid Join. A partir de 1803, Windows también anula la inscripción en Intune u otros MDM si esa inscripción dependía directamente del registro de Entra producido por el estado «Registered».

Conviene tener claro que este proceso automático solo afecta a cuentas de dominio. Las cuentas locales que tuvieran un registro de Entra seguirán manteniéndolo, ya que no son consideradas dentro del mismo flujo de limpieza. Además, si se quiere evitar por completo que un equipo de dominio se registre como Azure AD Registered, se puede usar la clave de registro BlockAADWorkplaceJoin en HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin con valor dword 1.

Un único bosque y varios inquilinos de Microsoft Entra

En organizaciones con un único bosque de Active Directory pero múltiples inquilinos de Microsoft Entra, la unión híbrida se complica. Para registrar los dispositivos de forma adecuada en cada tenant, es necesario configurar el Service Connection Point (SCP) a nivel de dispositivo y no en el propio bosque de AD, de manera que cada equipo sepa a qué inquilino debe apuntar.

Este tipo de escenarios multiinquilino exige una planificación cuidadosa, ya que ciertas funcionalidades de Microsoft Entra pueden no funcionar como se espera cuando se intentan combinar varios tenants con un único bosque on-premises. Es recomendable seguir guías específicas de implementación dirigida para Hybrid Azure AD Join en entornos multiinquilino.

TPM, UPN y otros detalles técnicos importantes

La unión híbrida también tiene dependencias y matices relacionados con TPM y FIPS. Hybrid Azure AD Join es compatible con TPM 2.0 que cumpla con FIPS, pero no con TPM 1.2 en modo FIPS. Si los dispositivos usan TPM 1.2 compatible con FIPS, deberá deshabilitarse ese modo antes de continuar, algo que depende del fabricante del hardware, ya que Microsoft no proporciona herramientas específicas para ello.

Desde Windows 10 versión 1903, el sistema deja de usar TPM 1.2 para la unión híbrida y trata esos equipos como si no tuvieran TPM, lo que impacta en algunas funcionalidades relacionadas con claves y seguridad avanzada.

Otro aspecto crítico es el manejo de los UPN de los usuarios en AD. Un UPN enrutable es aquel cuyo dominio puede validarse en Internet y se añade como dominio comprobado en el inquilino de Microsoft Entra (por ejemplo, contoso.org en AD local y contoso.com como principal en Entra, ambos verificados). Un UPN no enrutable suele usar sufijos como .local, válidos solo dentro de la red interna.

La compatibilidad de Hybrid Azure AD Join con UPN enrutable o no enrutable depende de si el entorno es federado o administrado y de la versión de Windows 10. En líneas generales: en entornos federados, se soportan UPN enrutable y no enrutable a partir de ciertas versiones (1703/1803), mientras que en entornos administrados solo se soportan UPN enrutables. Los UPN no enrutables en dominios administrados no están soportados para la unión híbrida.

Dominios administrados, entornos federados y WS-Trust

Hybrid Azure AD Join se puede desplegar tanto en dominios administrados como en entornos federados. En un dominio administrado se utiliza sincronización de hash de contraseñas (PHS) o autenticación de paso a través (PTA) junto con SSO transparente, sin necesidad de mantener un servidor de federación para la autenticación.

En estos casos, Microsoft Entra Connect ofrece un asistente de configuración que simplifica gran parte del trabajo. Basta con seleccionar la opción de configurar la unión híbrida, elegir los sistemas operativos soportados, definir las OU que se sincronizarán y dejar que la herramienta cree el Service Connection Point (SCP) en los bosques correspondientes.

En un entorno federado, el proveedor de identidad (normalmente AD FS) debe soportar el protocolo WS-Trust, ya que es el que utilizan los dispositivos Windows para autenticarse frente al servicio de Microsoft Entra durante el proceso de registro. Es imprescindible habilitar puntos de conexión WS-Trust como /adfs/services/trust/2005/windowstransport, /13/windowstransport, /2005/usernamemixed, /13/usernamemixed, /2005/certificatemixed y /13/certificatemixed.

Cuando se configura Hybrid Azure AD Join en entornos federados mediante Entra Connect, se especifica el servidor de AD FS como servicio de autenticación, se configuran las credenciales de administración y se habilitan las notificaciones necesarias. En versiones recientes de Windows 10 (1803 en adelante), si la unión híbrida instantánea a través del servicio de federación falla, se recurre a la sincronización de objetos de equipo mediante Entra Connect para completar el registro.

Proceso interno de Hybrid Azure AD Join y comprobación del estado

El flujo interno de un Hybrid Azure AD Join típico pasa por varias etapas. Primero, el dispositivo se une al dominio de Active Directory. Después, al detectar el SCP, el equipo genera un certificado autofirmado y lo almacena en el atributo userCertificate del objeto de equipo en AD.

A continuación, Microsoft Entra Connect sincroniza ese objeto de equipo y su atributo userCertificate hacia Entra ID. Con ello se crea un objeto de dispositivo en la nube, que inicialmente se muestra con un estado de registro pendiente. En este punto aún no se ha completado el Hybrid Join, pero la parte de sincronización ya está lista.

Para culminar el proceso, un usuario debe iniciar sesión en el equipo utilizando una cuenta de dominio que esté sincronizada con Entra ID. Durante ese inicio de sesión, mientras el equipo tiene línea de visión a los controladores de dominio, se ejecuta una tarea programada (como Automatic-Device-Join) que intenta completar el registro en la nube.

Si todo va bien, Entra ID emite un nuevo certificado para el dispositivo, que se almacena junto al certificado autofirmado original. El estado del dispositivo en el portal de Entra ID pasa de «pending» a una fecha y hora de registro completado. Desde ese momento, el equipo se considera plenamente Hybrid Azure AD Joined y los usuarios obtienen un Primary Refresh Token (PRT) para autenticarse frente a aplicaciones y servicios de la nube.

Herramientas de diagnóstico y resolución de problemas

Para verificar el estado de un dispositivo Hybrid Azure AD Joined, una de las herramientas más útiles es el comando dsregcmd. Ejecutando dsregcmd /status en una consola con privilegios, se pueden comprobar valores como AzureAdJoined (si el equipo está unido a Entra), DomainJoined (si está unido a AD) y AzurePrt (si el usuario actual dispone de PRT).

Si AzureAdJoined no está en «YES», o el PRT no se ha emitido, conviene revisar primero si el objeto de equipo existe en Entra ID y si su estado está en pendiente o completado. Si el objeto no aparece, probablemente Entra Connect no haya sincronizado bien el atributo userCertificate o el equipo no haya detectado el SCP correctamente.

Si el objeto aparece en la nube pero se queda eternamente en estado pendiente, suele indicar que ningún usuario ha iniciado sesión con el equipo conectado al dominio, o que la tarea automática de registro no se está ejecutando. En ese caso, se puede forzar manualmente el proceso con dsregcmd /join o ejecutando la tarea desde el Programador de tareas.

Otra vía de análisis son los registros de eventos en Event Viewer, especialmente en las rutas Application and Services > Microsoft > Windows > Workplace Join > Admin y User Device Registration > Admin. Los errores aquí suelen dar pistas claras sobre problemas de conectividad, autenticación o certificados.

Además, Microsoft ofrece el Device Registration Troubleshooter Tool (DSRegTool), un script de PowerShell pensado para revisar la configuración y el estado de registro de los dispositivos. Ejecutado con permisos de administrador, este script realiza comprobaciones automáticas y puede ahorrar mucho tiempo a la hora de localizar cuellos de botella en el proceso de Hybrid Join.

Todo este entramado de requisitos, pasos y herramientas convierte a Hybrid Azure AD Join en una solución muy flexible pero también exigente a nivel de diseño. Cuando se planifica bien -incluyendo pruebas dirigidas con grupos piloto representativos, revisión de UPN, SCP, OU y proxy, y una estrategia clara para la limpieza de estados duales- se obtiene un modelo de identidad de dispositivo robusto que mantiene las ventajas del dominio clásico a la vez que abre la puerta a las capacidades modernas de Microsoft Entra ID.

Habilitar la unión híbrida de Microsoft Entra no solo resuelve el encaje entre equipos de dominio y servicios cloud, sino que se convierte en la base para un modelo de seguridad moderno donde los dispositivos corporativos se identifican con precisión, se benefician de SSO completo y pueden someterse a acceso condicional, sin obligar a la empresa a renunciar de golpe a sus inversiones en Active Directory ni a su forma tradicional de gestionar Windows.