Introducción a Windows Hello para empresas

Windows Hello para empresas reemplaza las contraseñas por una autenticación segura en dos fases en los dispositivos. Esta autenticación consta de un tipo de credencial de usuario que está asociada a un dispositivo y usa un PIN o biométrico.

Nota

Cuando Windows 10 se lanzó por primera vez, incluía Microsoft Passport y Windows Hello, que funcionaban conjuntamente para brindar autenticación multifactor. Para simplificar la implementación y mejorar la compatibilidad, Microsoft ha reunido estas tecnologías en sola solución llamada Windows Hello. Los clientes que ya hayan implementado estas tecnologías no sufrirán ningún cambio en la funcionalidad. A los clientes que todavía no hayan evaluado Windows Hello les resultará más fácil de implementar, gracias a la simplificación de las directivas, la documentación y la semántica.

Windows Hello soluciona estos problemas de las contraseñas:

  • Las contraseñas seguras resultan difíciles de recordar, por lo que los usuarios suelen reutilizarlas en varios sitios.
  • Las infracciones en el servidor pueden dejar expuestas las credenciales de red simétricas (contraseñas).
  • Las contraseñas están sujetas a ataques de reproducción.
  • Los usuarios pueden dejarlas, sin querer, expuestas a ataques de suplantación de identidad (phishing).

Windows Hello permite a los usuarios autenticarse en:

  • Una cuenta de Microsoft.
  • Una cuenta de Active Directory.
  • Una cuenta de Microsoft Entra.
  • Servicios de proveedor de identidades o servicios de usuario de confianza que admiten la autenticación fast id. en línea (FIDO) v2.0 .

Después de una comprobación inicial en dos pasos del usuario durante la inscripción, Windows Hello se configura en el dispositivo del usuario y Windows pide al usuario configure un gesto, que puede ser biométrico (como una huella dactilar) o un PIN. El usuario proporciona el gesto para verificar su identidad. Windows, a continuación, usa Windows Hello para autenticar usuarios.

Como administrador de una empresa o una organización educativa, puedes crear directivas para administrar el uso de Windows Hello para empresas en los dispositivos Windows°10 que se conectan a tu organización.

Inicio de sesión biométrico

Windows Hello ofrece una confiable autenticación biométrica completamente integrada basada en el reconocimiento de rostros o la coincidencia de huella digital. Windows Hello usa una combinación de cámaras de infrarrojos (IR) y software especiales para aumentar la precisión y proteger contra la suplantación de identidad. Los proveedores principales de hardware están ofreciendo dispositivos con cámaras compatibles con Windows Hello integradas. El hardware del lector de huellas digitales se puede usar o agregar a dispositivos que no lo tienen actualmente. En los dispositivos que admiten Windows Hello, un gesto biométrico sencillo desbloquea las credenciales de los usuarios.

  • Reconocimiento facial. Este tipo de reconocimiento biométrico usa cámaras especiales que admiten la iluminación de infrarrojos, lo que permite distinguir de manera confiable entre una foto o digitalización y una persona real. Varios proveedores están ofreciendo cámaras externas que incorporan esta tecnología y los fabricantes de portátiles más importantes también las están incorporando en sus dispositivos.
  • Reconocimiento de huellas digitales. Este tipo de reconocimiento biométrico usa un sensor de huella digital capacitivo para analizar tu huella digital. Los lectores de huellas digitales han estado disponibles para equipos Windows durante años, pero la generación actual de sensores es más confiable y menos propensa a errores. La mayoría de los lectores de huellas digitales existentes funcionan con Windows 10 y Windows 11, ya sean externos o integrados en portátiles o teclados USB.
  • Reconocimiento iris. Este tipo de reconocimiento biométrico usa cámaras para realizar el examen del iris. HoloLens 2 es el primer dispositivo de Microsoft en presentar un escáner Iris. Estos escáneres de iris son iguales en todos los dispositivos HoloLens 2.

Windows almacena los datos biométricos que se usan para implementar Windows Hello de forma segura solo en el dispositivo local. Los datos biométricos no se mueven y nunca se envían a dispositivos o servidores externos. Dado que Windows Hello solo almacena datos de identificación biométrica en el dispositivo, no hay un único punto de recopilación que un atacante pueda poner en peligro para robar datos biométricos. Para obtener más información sobre la autenticación biométrica con Windows Hello para empresas, consulte Windows Hello biometría en la empresa.

La diferencia entre Windows Hello y Windows Hello para empresas

  • Las personas pueden crear un PIN o un gesto biométrico en sus dispositivos personales para iniciar sesión cómodamente. Este uso de Windows Hello es único para el dispositivo en el que está configurado, pero puede usar un hash de contraseña en función del tipo de cuenta de un individuo. Esta configuración se conoce como Windows Hello PIN de conveniencia y no está respaldada por la autenticación asimétrica (clave pública/privada) ni la autenticación basada en certificados.

  • Windows Hello para empresas, que se configura mediante la directiva de grupo o la directiva de administración de dispositivos móviles (MDM), siempre usa la autenticación basada en claves o basada en certificados. Este comportamiento hace que sea más seguro que Windows Hello PIN de conveniencia.

Ventajas de Windows Hello

Las noticias de robos de identidad y piratería a gran escala ocupan grandes titulares con frecuencia. Nadie quiere recibir la noticia de que su nombre de usuario y su contraseña han quedado expuestos.

Quizá te preguntes cómo vas a proteger mejor un dispositivo con un PIN que con una contraseña. Las contraseñas son secretos compartidos; se escriben en un dispositivo y se transmiten a través de la red al servidor. Cualquier usuario, en cualquier lugar, puede usar un nombre de cuenta interceptado y una contraseña. Además, como se guardan en el servidor, una infracción del servidor puede revelar las credenciales almacenadas.

En Windows 10 y versiones posteriores, Windows Hello reemplaza las contraseñas. Cuando un proveedor de identidades admite claves, el proceso de aprovisionamiento de Windows Hello crea un par de claves criptográficas enlazadas al módulo de plataforma segura (TPM), si un dispositivo tiene un TPM 2.0 o en software. Solo se permite acceder a estas claves y obtener una firma para validar la posesión del usuario de la clave privada con el PIN o con el gesto biométrico. La verificación en dos pasos que tiene lugar durante la inscripción en Windows Hello crea una relación de confianza entre el proveedor de identidad y el usuario cuando la parte pública del par de claves pública y privada se envía a un proveedor de identidad y se asocia a una cuenta de usuario. Cuando un usuario escribe el gesto en el dispositivo, el proveedor de identidades sabe que se trata de una identidad verificada, debido a la combinación de Windows Hello claves y gestos. A continuación, proporciona un token de autenticación que permite a Windows acceder a recursos y servicios.

Nota

Windows Hello como un inicio de sesión práctico usa la autenticación normal de nombre de usuario y contraseña, sin que el usuario escriba la contraseña.

Cómo funciona la autenticación en Windows Hello.

Imagina que, mientras sacas dinero de un cajero, alguien mira por encima del hombro para ver el PIN que escribes. Aunque sepa el PIN, no puede acceder a tu cuenta porque no tiene la tarjeta. Del mismo modo, aunque un atacante se entere del PIN de tu dispositivo, no puede obtener acceso a tu cuenta porque el PIN es local y específico de ese dispositivo, así que no permite la autenticación de ningún tipo desde otro dispositivo.

Windows Hello protege las identidades y las credenciales de los usuarios. Dado que el usuario no escribe una contraseña (excepto durante el aprovisionamiento), se evitan ataques de fuerza bruta y de suplantación de identidad. También evita infracciones en el servidor porque las credenciales de Windows Hello son un par de claves asimétricas, lo que impide ataques de reproducción cuando estas claves están protegidas mediante TPM.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten Windows Hello para empresas:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

Windows Hello para empresas derechos de licencia se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Cómo funciona Windows Hello para empresas: puntos clave

  • Las credenciales de Windows Hello se basan en un certificado o un par de claves asimétricas. Las credenciales de Windows Hello se pueden enlazar con el dispositivo y el token que se obtiene con la credencial también se enlaza al dispositivo.

  • Un proveedor de identidades valida la identidad de usuario y asigna la clave pública Windows Hello a una cuenta de usuario durante el paso de registro. Los proveedores de ejemplo son Active Directory, Microsoft Entra id. o una cuenta de Microsoft.

  • Las claves se pueden generar en el hardware (TPM 1.2 o 2.0 para empresas y TPM 2.0 para consumidores) o en el software, en función de la directiva. Para garantizar que las claves se generan en hardware, debe establecer la directiva.

  • La autenticación es la autenticación en dos fases con la combinación de una clave o certificado vinculado a un dispositivo y algo que la persona conoce (un PIN) o algo que la persona es (biometría). El gesto de Windows Hello no se mueve entre dispositivos y no se comparte con el servidor. Las plantillas de biometría se almacenan localmente en un dispositivo. El PIN nunca se almacena ni se comparte.

  • La clave privada nunca sale de un dispositivo cuando se usa TPM. El servidor de autenticación tiene una clave pública que se asigna a la cuenta de usuario durante el proceso de registro.

  • La entrada de PIN y el gesto biométrico desencadenan Windows 10 y versiones posteriores para usar la clave privada para firmar criptográficamente los datos que se envían al proveedor de identidades. El proveedor de identidad comprueba la identidad del usuario y lo autentica.

  • Las cuentas personales (cuenta Microsoft) y corporativas (Active Directory o identificador de Microsoft Entra) usan un único contenedor para las claves. Todas las claves están separadas por dominios de proveedores de identidad para garantizar la privacidad del usuario.

  • Las claves privadas de certificados pueden estar protegidas por el contenedor y el gesto de Windows Hello.

Para obtener más información, consulta Cómo funciona Windows Hello para empresas.

Comparación de la autenticación basada en claves y la basada en certificados

Windows Hello para empresas puede usar tanto claves (de hardware o de software) como certificados de hardware o de software. Las empresas que tienen una infraestructura de clave pública (PKI) para emitir y administrar certificados de usuario final pueden seguir usando PKI en combinación con Windows Hello para empresas. Las empresas que no usan PKI o quieren reducir el esfuerzo asociado a la administración de certificados de usuario pueden confiar en las credenciales basadas en claves para Windows Hello. Esta funcionalidad sigue usando certificados en los controladores de dominio como raíz de confianza. A partir de Windows 10 versión 21H2, hay una característica denominada confianza de Kerberos en la nube para implementaciones híbridas, que usa Microsoft Entra id. como raíz de confianza. La confianza de Kerberos en la nube usa credenciales basadas en claves para Windows Hello, pero no requiere certificados en el controlador de dominio.

Windows Hello para empresas con una clave, incluida la confianza de Kerberos en la nube, no admite las credenciales proporcionadas para RDP. RDP no admite la autenticación con una clave o un certificado autofirmado. RDP con Windows Hello para empresas se admite con implementaciones basadas en certificados como una credencial proporcionada. Windows Hello para empresas con una credencial de clave se puede usar con Credential Guard remoto.

Obtén más información

Implementación de una autenticación de usuario segura con Windows Hello para empresas

Implementación de Windows Hello para empresas de Microsoft

Windows Hello para empresas: Autenticación: en este vídeo, obtenga información sobre Windows Hello para empresas y cómo se usa para iniciar sesión y acceder a los recursos.

Autenticación facial de Windows Hello