Configuración de Windows Hello para empresas en dispositivos cuando se inscriben con Intune

Con Microsoft Intune, puede crear una directiva para todo el inquilino que configure el uso de Windows Hello para empresas en dispositivos Windows 10 o Windows 11 en el momento en que esos dispositivos se inscriban en Intune. Esta directiva está destinada a toda la organización y admite la experiencia integrada (OOBE) de Windows Autopilot.

En el caso de los dispositivos Windows 10/11, el uso de Windows Hello para empresas reemplaza el uso de contraseñas por la autenticación segura en dos fases en los dispositivos. Esta autenticación consiste en una credencial de usuario que está vinculada a un dispositivo y usa un PIN o dato biométrico.

Después de la inscripción de dispositivos, o cuando decide no usar la directiva de inscripción en todo el inquilino, Intune admite los métodos siguientes para administrar Windows Hello en grupos discretos de dispositivos:

• Directiva de protección de cuentas de seguridad de puntos de conexión: para administrar Windows Hello en los dispositivos después de inscribirse en Intune, use el perfil de protección de cuentas de Intune, que forma parte de la directiva de protección de cuentas de seguridad de puntos de conexión.

• Líneas de base de seguridad: algunas opciones de configuración para Windows Hello se pueden administrar mediante líneas base de seguridad, como las líneas base de Seguridad de Microsoft Defender para punto de conexión o Línea de base de seguridad para Windows 10 y versiones posteriores.

• Catálogo de configuración: la configuración de los perfiles de protección de cuentas de seguridad de punto de conexión está disponible en el catálogo de configuración de Intune.

Importante

Antes de la actualización de aniversario (versión 1607 de Windows), podría establecer dos PIN diferentes que se podrían usar para autenticarse en los recursos:

• El PIN de dispositivo se usaba para desbloquear el dispositivo y conectarse a recursos de nube.
• El PIN de trabajo se usó para acceder a los recursos de Microsoft Entra en el dispositivo personal de un usuario (BYOD).

En la Actualización de aniversario, estos dos PIN se combinaron en un solo PIN de dispositivo. Las directivas de configuración de Intune que se establezcan para controlar el PIN de dispositivo y las directivas de Windows Hello para empresas que se configuren serán las que establecerán ahora este nuevo valor de PIN. Si ha establecido ambos tipos de directivas para controlar el PIN, se aplica la directiva de Windows Hello para empresas. Para garantizar que se resuelven los conflictos de directivas y que la directiva de PIN se aplica correctamente, actualice su directiva de Windows Hello para empresas de modo que coincida con las opciones de configuración de la directiva de configuración y pídales a los usuarios que sincronicen sus dispositivos en la aplicación Portal de empresa.

Control de acceso basado en roles

Debe ser administrador de servicios de Intune para crear o editar una directiva de Windows Hello para empresas en la inscripción de Windows. Todos los demás roles de Intune tienen acceso de solo lectura. Para obtener más información sobre el control de acceso basado en rol (RBAC), consulte RBAC con Microsoft Intune.

Creación de una directiva de Windows Hello para empresas para la inscripción de dispositivos

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Vaya a Inscripción de dispositivos>.

3. En la pestaña Windows , en Opciones de inscripción, seleccione Windows Hello para empresas. Espere mientras se abre el panel Windows Hello para empresas.

4. En Configurar Windows Hello para empresas, seleccione entre las opciones siguientes:

   • Habilitado. Seleccione esta opción si quiere configurar Windows Hello para empresas. Cuando se selecciona Habilitado, los otros valores de configuración de Windows Hello se vuelven visibles y se pueden configurar para los dispositivos.

   • Deshabilitado. Si no quiere habilitar Windows Hello para empresas durante la inscripción de los dispositivos, seleccione esta opción. Cuando está deshabilitada, los usuarios no pueden aprovisionar Windows Hello para empresas. Cuando está establecido en Deshabilitado, las opciones pueden configurarse igualmente para Windows Hello para empresas, aunque la directiva no habilite Windows Hello para empresas.

   • No configurado. Seleccione esta opción si no quiere usar Intune para controlar la configuración de Windows Hello para empresas. Cualquier configuración existente de Windows Hello para empresas en dispositivos Windows 10/11 no cambia. Las demás configuraciones del panel no están disponibles.

5. Si ha seleccionado Habilitado en el paso anterior, configure las opciones necesarias que se aplican a todos los dispositivos inscritos Windows 10/11. Después de configurar estos valores, seleccione Guardar.

   • Usar un Módulo de plataforma segura (TPM):

     Un chip TPM proporciona otra capa de seguridad de datos. Elija uno de los siguientes valores:

     • Requerido (valor predeterminado). Solo los dispositivos que tengan un TPM accesible pueden aprovisionar Windows Hello para empresas.
     • Preferido. Los dispositivos intentan primero usar un TPM. Si esta opción no está disponible, pueden usar el cifrado de software.

   • Longitud mínima de PIN y Longitud máxima de PIN:

     Configura los dispositivos para que usen las longitudes de PIN mínima y máxima que se especifican, lo cual garantiza un inicio de sesión seguro. La longitud predeterminada del PIN es de seis caracteres, pero se puede aplicar una longitud mínima de cuatro. La longitud de PIN máxima es de 127 caracteres.

   • Letras minúsculas en el PIN, Letras mayúsculas en el PIN y Caracteres especiales en el PIN.

     Si quiere aplicar un PIN más seguro, puede requerir el uso de letras mayúsculas, minúsculas y caracteres especiales. Para cada una, seleccione entre:

     • Permitido: los usuarios pueden usar el tipo de carácter en su PIN, pero no es obligatorio.

     • Obligatorio: los usuarios deben incluir al menos uno de los tipos de caracteres en su PIN. Por ejemplo, una práctica habitual consiste en obligar a usar como mínimo una mayúscula y un carácter especial.

     • No permitido (valor predeterminado): los usuarios no deben usar estos tipos de caracteres en su PIN. (Este es también el comportamiento si no se configura esta opción).

       Los caracteres especiales incluyen: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

   • Expiración del PIN (días):

     Se recomienda especificar un período de expiración del PIN para que, transcurrido ese período, se deba cambiar. El valor predeterminado es 41 días.

   • Recordar historial de PIN:

     Restringe la reutilización de los PIN usados anteriormente. De forma predeterminada, no se pueden volver a usar los últimos cinco PIN.

   • Permitir autenticación biométrica:

     Habilita la autenticación biométrica, es decir, el reconocimiento facial o la huella digital, como alternativa al PIN de Windows Hello para empresas. Los usuarios deberán configurar un PIN de trabajo igualmente en caso de error en la autenticación biométrica. Elija entre:

     • Sí. Windows Hello para empresas permite la autenticación biométrica.
     • No. Windows Hello para empresas impide la autenticación biométrica (en todos los tipos de cuenta).

   • Usar tecnología mejorada contra la suplantación de identidad cuando esté disponible:

     configura si se usan las características de protección contra la suplantación de identidad de Windows Hello en los dispositivos que las admitan. Por ejemplo, la detección de una fotografía de una cara en lugar de un rostro real.

     Cuando esta opción se establece en Sí, Windows exige que todos los usuarios usen tecnología contra la suplantación de identidad para características faciales cuando se admitan.

   • Permitir inicio de sesión por teléfono:

     Si esta opción se establece en Sí, los usuarios pueden usar un pasaporte remoto para actuar como dispositivo complementario portátil para la autenticación de equipos de escritorio. El equipo de escritorio debe estar unido a Microsoft Entra y el dispositivo complementario debe configurarse con un PIN de Windows Hello para empresas.

   • Habilitación de la seguridad de inicio de sesión mejorada:

     Configure la seguridad de inicio de sesión mejorada de Windows Hello en dispositivos con hardware compatible. Las opciones son:

     • La seguridad de inicio de sesión mejorada se habilitará en sistemas con hardware compatible (valor predeterminado): los usuarios del dispositivo no pueden usar periféricos externos para iniciar sesión en su dispositivo con Windows Hello.
     • La seguridad de inicio de sesión mejorada se deshabilitará en todos los sistemas: los usuarios del dispositivo pueden usar periféricos externos compatibles con Windows Hello para iniciar sesión en su dispositivo.

   • Usar claves de seguridad para el inicio de sesión:

     Cuando se establece en Habilitado, esta configuración proporciona la capacidad para activar o desactivar de forma remota las claves de seguridad de Windows Hello para todos los equipos de la organización de un cliente.

Compatibilidad con Windows Holographic for Business

Windows Holographic for Business es compatible con las siguientes opciones de configuración de Windows Hello para empresas:

• Usar un Módulo de plataforma segura (TPM)
• Longitud mínima del NIP
• Longitud máxima del PIN
• Minúsculas en el PIN
• Mayúsculas en el PIN
• Caracteres especiales en el PIN
• Expiración del PIN (días)
• Recordar historial de PIN

Siguientes pasos

Obtenga más información sobre Windows Hello de los siguientes temas en la documentación de Windows:

• Planeamiento de una implementación de Windows Hello para empresas
• Introducción a los requisitos previos de implementación de Windows Hello para empresas