Preparación de los dispositivos detectados para la inscripción push

Antes de comenzar la inscripción push para los dispositivos Windows detectados, es necesario habilitar los derechos de administrador en los dispositivos y modificar algunas opciones de firewall.
Estas tareas son necesarias solamente para inscribir a los dispositivos remotamente usando el método de inscripción remota. Después puede revertir estos cambios, pero es necesario aplicarlos nuevamente para realizar otra inscripción remota.
Tareas para preparar los dispositivos no administrados con Windows para la inscripción remota
Paso
Acción
Paso 1
Habilite los derechos de administrador en los dispositivos no administrados.
El control de cuenta de usuario de Windows (UAC) bloquea en las cuentas administrativas locales el acceso remoto a recursos compartidos administrativos remotos, tales como C$ y Admin$. Este recurso compartido está deshabilitado en todos los sistemas operativos Windows donde están instaladas las últimas actualizaciones.
Para habilitar los recursos compartidos administrativos (
nombredispositivo
\admin$) en los dispositivos no administrados con Windows, es necesario crear un valor en el registro.
Si el dispositivo no administrado es parte de un dominio de Active Directory, deberá usar las credenciales de cuenta de administrador de dominio para una inscripción remota. De lo contrario, tenga las credenciales de administrador disponibles para cada dispositivo no administrado que desee inscribir.
Paso 2
Modifique la configuración del firewall para permitir la comunicación entre los componentes.
Para inscribir el dispositivo de forma remota y habilitar la comunicación entre los componentes, es necesario configurar las exclusiones de firewall para los siguientes puertos:
Puertos de comunicación
Protocolo y número de puerto
Usado para
Proceso de escucha
TCP/IP: 445
Inicio de sesión de red
Sistema
TCP/IP: 139
UDP: 137, 138
Uso compartido de archivos
Sistema
TCP/IP: 135
Servicio de administración remota de tareas
Svchost.exe
Rango de IP/TCP: 49154-65535
Servicio de administración remota de tareas
Services.exe
Es posible reducir este intervalo de puertos si no desea abrir una amplia gama de puertos TCP/IP. Sin embargo, también debe limitar el número predeterminado de puertos de llamada a procedimiento remoto (RPC) y agregar tres valores del registro en la política de GPO de Active Directory.
Es posible encontrar más información sobre los valores de registro en el siguiente artículo de Microsoft:
Si los dispositivos no administrados forman parte de un dominio de Active Directory, es posible usar un GPO de Active Directory para realizar los pasos de preparación descritos anteriormente.
  1. Para preparar los dispositivos detectados para la inscripción push usando un GPO de Active Directory
  2. Configure las claves de registro:
    1. En el Editor de objetos de política de grupo, vaya a
      Preferencias > Configuración de Windows > Registro
      .
    2. Agregue un nuevo elemento del registro.
      Para habilitar los recursos compartidos administrativos (
      nombredispositivo
      \admin$) en los dispositivos no administrados con Windows, es necesario crear un valor en el registro.
      • Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
      • Valor: LocalAccountTokenFilterPolicy, value 1, type DWORD32
      Para obtener más información acerca de cómo configurar una clave de registro en una política de GPO, consulte el siguiente artículo de Microsoft:
  3. Cree excepciones de firewall:
    1. En el Editor de objetos de política de grupo, vaya a
      Configuración de seguridad > Firewall de Windows con la seguridad avanzada
      .
    2. Cree reglas de exclusión de firewall para los puertos que se detallan en la tabla.
      Para obtener más información sobre cómo crear las excepciones de firewall en una política de GPO, consulte el siguiente artículo de Microsoft: