Compartir a través de

Implementar Microsoft Passport en la organización

  • Artículo

Puedes crear una directiva de grupo o de administración de dispositivos móviles (MDM) que implemente Microsoft Passport en los dispositivos que ejecutan Windows 10.

Importante  

La configuración de directiva de grupo Activar inicio de sesión con PIN no se aplica a Windows 10. Usa la configuración de directiva Microsoft Passport for Work para administrar los PIN.

 

Configuración de directiva de grupo para Passport

En la tabla siguiente, se enumeran los valores de configuración de directiva de grupo que puedes configurar para el uso de Passport en tu lugar de trabajo. Esta configuración de directiva está disponible en Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Microsoft Passport for Work.

DirectivaOpciones
Usar Microsoft Passport for Work

No configurado: los usuarios pueden aprovisionar Passport for Work, que cifra la contraseña de dominio.

Habilitado: el dispositivo aprovisiona Passport for Work con claves o certificados para todos los usuarios.

Deshabilitado: el dispositivo no aprovisiona Passport for Work para ningún usuario.

Usar un dispositivo de seguridad de hardware

No configurado: Passport for Work se aprovisionará con TPM si está disponible, pero, si no lo está, se aprovisionará mediante el software.

Habilitado: Passport for Work solo se aprovisionará con TPM.

Deshabilitado: Passport for Work se aprovisionará con TPM si está disponible, pero, si no lo está, se aprovisionará mediante el software.

Usar biometría

No configurado: se puede usar biometría como gesto en lugar del PIN.

Habilitado: se puede usar biometría como gesto en lugar del PIN.

Deshabilitado: solo se puede usar un PIN como gesto.

Complejidad del PINRequerir dígitos

No configurado: los usuarios deben incluir un dígito en su PIN.

Habilitado: los usuarios deben incluir un dígito en su PIN.

Deshabilitado: los usuarios no pueden usar dígitos en su PIN.

Requerir letras minúsculas

No configurado: los usuarios no pueden usar letras minúsculas en su PIN.

Habilitado: los usuarios deben incluir al menos una letra minúscula en su PIN.

Deshabilitado: los usuarios no pueden usar letras minúsculas en su PIN.

Longitud máxima del PIN

No configurado: la longitud del PIN debe ser menor o igual a 127.

Habilitado: la longitud del PIN debe ser menor o igual al número de caracteres que especifiques.

Deshabilitado: la longitud del PIN debe ser menor o igual a 127.

Longitud mínima del PIN

No configurado: la longitud del PIN debe ser superior o igual a 4.

Habilitado: la longitud del PIN debe ser superior o igual al número de caracteres que especifiques.

Deshabilitado: la longitud del PIN debe ser superior o igual a 4.

Expiración

No configurado: el PIN no expira.

Habilitado: se puede establecer el PIN para que expire después de cualquier número de días, entre 1 y 730, o se puede establecer para que nunca expire con la configuración de directiva definida en 0.

Deshabilitado: el PIN no expira.

Historial

No configurado: los PIN anteriores no se almacenan.

Habilitado: especificar el número de PIN anteriores que se pueden asociar a una cuenta de usuario que no se puede volver a usar.

Deshabilitado: los PIN anteriores no se almacenan.

Nota  El PIN actual se incluye en el historial de PIN.
 
Requerir caracteres especiales

No configurado: los usuarios no pueden incluir un carácter especial en su PIN.

Habilitado: los usuarios deben incluir al menos un carácter especial en su PIN.

Deshabilitado: los usuarios no pueden incluir un carácter especial en su PIN.

Requerir letras mayúsculas

No configurado: los usuarios no pueden incluir una letra mayúscula en su PIN.

Habilitado: los usuarios deben incluir al menos una letra mayúscula en su PIN.

Deshabilitado: los usuarios no pueden incluir una letra mayúscula en su PIN.

Remote Passport

Usar Remote Passport

Nota  Solo se aplica al escritorio. El inicio de sesión mediante el teléfono actualmente está limitado y solo lo pueden usar los participantes del Programa de adopción de tecnología (TAP).
 

No configurado: Remote Passport está deshabilitado.

Habilitado: los usuarios pueden usar un dispositivo portátil registrado como un dispositivo complementario para la autenticación de escritorio.

Deshabilitado: Remote Passport está deshabilitado.

 

Configuración de directiva MDM para Passport

En la tabla siguiente, se enumeran los valores de configuración de directiva MDM que puedes configurar para el uso de Passport en tu lugar de trabajo. Estos valores de configuración de directiva MDM usan el Proveedor de servicios de configuración (CSP) de PassportForWork.

DirectivaÁmbitoValor predeterminadoOpciones
UsePassportForWorkDispositivoVerdadero

Verdadero: se aprovisionará Passport para todos los usuarios del dispositivo.

Falso: los usuarios no podrán aprovisionar Passport.

Nota  Si Passport está habilitado y se cambia la directiva a Falso después, los usuarios que ya habían configurado Passport pueden seguir usándolo, pero no podrán configurar Passport en ningún otro dispositivo.
 
RequireSecurityDeviceDispositivoFalso

Verdadero: Passport solo se aprovisionará con TPM.

Falso: Passport se aprovisionará con TPM si está disponible, pero, si no lo está, se aprovisionará mediante el software.

Biometría

UseBiometrics

DispositivoFalso

Verdadero: se puede usar biometría como gesto en lugar del PIN para el inicio de sesión de dominio.

Falso: solo se puede usar un PIN como gesto para el inicio de sesión de dominio.

FacialFeaturesUser

EnhancedAntiSpoofing

DispositivoNo configurado

No configurado: los usuarios pueden elegir si quieren activar o no el anti-spoofing mejorado.

Verdadero: el anti-spoofing mejorado es necesario en dispositivos que lo admiten.

Falso: los usuarios no pueden activar el anti-spoofing mejorado.

PINComplexity
Dígitos Dispositivo o usuario2

1: no se permite el uso de números.

2: se requiere al menos un número.

Letras minúsculas Dispositivo o usuario1

1: no se permite el uso de minúsculas.

2: se requiere al menos una letra en minúscula.

Longitud máxima del PIN Dispositivo o usuario127

La longitud máxima que se puede establecer es 127. La longitud máxima no puede ser menor que el valor mínimo.

Longitud mínima del PINDispositivo o usuario4

La longitud mínima que se puede establecer es 4. La longitud mínima no puede ser mayor que el valor máximo.

Expiración Dispositivo o usuario0

El valor entero especifica el período de tiempo (en días) en el que se puede usar un PIN antes de que el sistema requiera que el usuario lo cambie. El número más alto que se puede configurar para esta configuración de directiva es 730. El número más bajo que se puede configurar para esta configuración de directiva es 0. Si esta directiva se establece en 0, el PIN del usuario no caduca nunca.

HistorialDispositivo o usuario0

Valor entero que especifica el número de PIN anteriores que pueden asociarse a una cuenta de usuario que no se puede volver a usar. El número más alto que se puede configurar para esta configuración de directiva es 50. El número más bajo que se puede configurar para esta configuración de directiva es 0. Si esta directiva se establece en 0, no se requiere el almacenamiento de PIN anteriores.

Caracteres especialesDispositivo o usuario1

1: no se permite el uso de caracteres especiales.

2: se requiere al menos un carácter especial.

MayúsculasDispositivo o usuario1

1: no se permite el uso de mayúsculas.

2: se requiere al menos una letra en mayúscula.

Remote

UseRemotePassport

Nota  Solo se aplica al escritorio. El inicio de sesión mediante el teléfono actualmente está limitado y solo lo pueden usar los participantes del Programa de adopción de tecnología (TAP).
 
Dispositivo o usuarioFalso

Verdadero: Remote Passport está habilitado.

Falso: Remote Passport está deshabilitado.

 

Nota  

Si la directiva no se configura de manera que requiera explícitamente letras o caracteres especiales, los usuarios solo podrán crear un PIN numérico.

 

Requisitos previos

Necesitarás este software para establecer directivas de Microsoft Passport en tu empresa.

Modo Microsoft Passport Azure AD Active Directory (AD) local (disponible con la versión de producción de Windows Server 2016 Technical Preview) Azure AD o AD híbrido (disponible con la versión de producción de Windows Server 2016 Technical Preview)
Autenticación basada en clave Suscripción a Azure AD
  • Servicios de federación de Active Directory (AD FS) (Windows Server 2016 Technical Preview)
  • Algunos controladores de dominio de Windows Server 2016 Technical Preview in situ
  • Microsoft System Center 2012 R2 Configuration Manager SP2
  • Suscripción a Azure AD
  • Azure AD Connect
  • Algunos controladores de dominio de Windows Server 2016 Technical Preview in situ
  • Una solución de administración, como el Administrador de configuración, directiva de grupo o MDM
  • Servicios de certificados de Active Directory (AD CS) sin Servicio de inscripción de dispositivos de red (NDES)
Autenticación basada en certificado
  • Suscripción a Azure AD
  • Solución de administración de dispositivos móviles (MDM) Intune o que no es de Microsoft
  • Infraestructura de PKI
  • AD FS (Windows Server 2016 Technical Preview)
  • Esquema de Servicios de dominio de Active Directory (AD DS) (Windows Server 2016 Technical Preview)
  • Infraestructura de PKI
  • Configuration Manager SP2, Intune o solución MDM que no es de Microsoft
  • Suscripción a Azure AD
  • Azure AD Connect
  • AD CS con NDES
  • Configuration Manager (rama actual) o Configuration Manager 2016 Technical Preview para la inscripción de certificado unido a un dominio, InTune para dispositivos no unidos a un dominio o un servicio no de Microsoft MDM que admite Passport for Work

 

Configuration Manager y MDM proporcionan la capacidad para administrar la directiva de Passport y para implementar y administrar los certificados protegidos con Passport.

Azure AD proporciona la capacidad para registrar los dispositivos en tu empresa y para aprovisionar Passport para las cuentas de la organización.

Active Directory proporciona la capacidad para autorizar usuarios y dispositivos mediante claves protegidas con Passport si los controladores de dominio ejecutan Windows 10 y el servicio de aprovisionamiento de Microsoft Passport es Windows 10 AD FS.

Passport para BYOD

Passport puede administrarse en los dispositivos personales que tus empleados usan para trabajar con MDM. En los dispositivos personales, los usuarios pueden crear un PIN personal de Passport para desbloquear el dispositivo y un PIN para el trabajo independiente para acceder a recursos del trabajo.

El PIN para el trabajo se administra con las mismas directivas de Passport que puedes usar para administrar Passport en los dispositivos que pertenecen a la organización. El PIN personal se administra por separado mediante una directiva de DeviceLock. La directiva de DeviceLock se puede usar para controlar los requisitos de longitud, complejidad, historial y expiración y se puede configurar mediante el Proveedor de servicios de configuración de la directiva.

Temas relacionados

Biométrica de Windows Hello en la empresa

Por qué un PIN es mejor que una contraseña

Administrar la verificación de identidad con Microsoft Passport

Preparar a los usuarios para usar Microsoft Passport

Microsoft Passport y cambios de contraseña

Errores de Microsoft Passport durante la creación de PIN

Id. de evento 300: Passport se creó correctamente