Compartir a través de


PassportForWork CSP

Logotipo de Windows Insider.

Importante

Este CSP contiene algunas configuraciones que están en desarrollo y que solo se aplican a las compilaciones de Windows Insider Preview. Esta configuración está sujeta a cambios y puede tener dependencias en otras características o servicios en versión preliminar.

El proveedor de servicios de configuración PassportForWork se usa para aprovisionar Windows Hello para empresas (anteriormente Microsoft Passport for Work). Permite iniciar sesión en Windows con su cuenta de Active Directory o Microsoft Entra y reemplazar contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales.

Importante

A partir de Windows 10, versión 1607, todos los dispositivos solo tienen un PIN asociado a Windows Hello para empresas. Esto significa que cualquier PIN en un dispositivo estará sujeto a las directivas especificadas en el PassportForWork CSP. Los valores especificados tienen prioridad sobre las reglas de complejidad establecidas mediante Exchange ActiveSync (EAS) o el DeviceLock CSP.

En la lista siguiente se muestran los nodos del proveedor de servicios de configuración de PassportForWork:

Device/{TenantId}

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}

Esta directiva especifica el identificador de inquilino en el formato de un identificador único global (GUID) sin llaves{ }, que se usará como parte de Windows Hello para empresas aprovisionamiento y administración.

Para obtener el GUID, use el cmdlet de PowerShell Get-AzureAccount. Para obtener más información, consulte Obtención del identificador de inquilino de Windows Azure Active Directory en Windows PowerShell.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Agregar, eliminar, obtener
Nomenclatura dinámica de nodos UniqueName: identificador único global (GUID), sin llaves ( { , } ), que se usa como parte de Windows Hello para empresas aprovisionamiento y administración. Para obtener un GUID, use el cmdlet de PowerShell Get-AzureAccount. Para obtener más información, vea https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

Device/{TenantId}/Policies

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Nodo raíz para directivas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Agregar, eliminar, obtener

Device/{TenantId}/Policies/DisablePostLogonCredentialCaching

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonCredentialCaching

Deshabilite el almacenamiento en caché de la credencial de Windows Hello para empresas después del inicio de sesión.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Almacenamiento en caché de credenciales habilitado.
true Almacenamiento en caché de credenciales deshabilitado.

Device/{TenantId}/Policies/DisablePostLogonProvisioning

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning

No inicie Windows Hello aprovisionamiento después del inicio de sesión.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Aprovisionamiento habilitado.
true Aprovisionamiento deshabilitado.

Device/{TenantId}/Policies/EnablePinRecovery

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Si el usuario olvida su PIN, se puede cambiar a un nuevo PIN mediante el servicio de recuperación de PIN Windows Hello para empresas. Este servicio en la nube cifra un secreto de recuperación que se almacena localmente en el cliente, pero que solo el servicio en la nube puede descifrar.

  • Si habilita esta configuración de directiva, el secreto de recuperación del PIN se almacenará en el dispositivo y el usuario podrá cambiar a un nuevo PIN en caso de que se olvide su PIN.

  • Si deshabilita o no establece esta configuración de directiva, el secreto de recuperación del PIN no se creará ni almacenará. Si se olvida el PIN del usuario, la única manera de obtener un nuevo PIN es eliminar el PIN existente y crear uno nuevo, lo que requerirá que el usuario vuelva a registrarse con los servicios a los que el PIN anterior proporcionó acceso.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Habilite Windows Hello aprovisionamiento si los usuarios inician sesión en sus dispositivos con claves de seguridad FIDO2.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/{TenantId}/Policies/ExcludeSecurityDevices

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices

Nodo raíz para dispositivos de seguridad excluidos.

Nota

No se admite en Windows Holographic y Windows Holographic for Business.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Agregar, eliminar, obtener
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12

Algunos módulos de plataforma segura (TPMs) solo son compatibles con la revisión 1.2 anterior de la especificación de TPM definida por el grupo de computación de confianza (TCG).

  • Si habilita esta configuración de directiva, los módulos de revisión de TPM 1.2 no podrán usarse con Windows Hello para empresas.

  • Si deshabilita o no establece esta configuración de directiva, los módulos de revisión de TPM 1.2 se podrán usar con Windows Hello para empresas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/{TenantId}/Policies/PINComplexity

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Nodo raíz para directivas de PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Agregar, eliminar, obtener
Device/{TenantId}/Policies/PINComplexity/Digits
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Use esta configuración de directiva para configurar el uso de dígitos en el PIN de Windows Hello para empresas.

Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos un dígito en su PIN.

Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen dígitos en su PIN.

Si no configura esta configuración de directiva, Windows Hello para empresas requiere que los usuarios usen dígitos en su PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permite el uso de dígitos en el PIN.
1 Requiere el uso de al menos un dígito en el PIN.
2 No permite el uso de dígitos en el PIN.
Device/{TenantId}/Policies/PINComplexity/Expiration
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Esta directiva especifica cuándo expira el PIN (en días). Los valores válidos son de 0 a 730 inclusive. Si esta directiva se establece en 0, los PIN no expiran.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-730]
Valor predeterminado 0
Device/{TenantId}/Policies/PINComplexity/History
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Esta directiva especifica el número de PIN anteriores que se pueden almacenar en el historial que no se pueden usar. Los valores válidos son de 0 a 50 inclusive. Si esta directiva se establece en 0, no se requiere el almacenamiento de PIN anteriores. El historial de PIN no se conserva mediante el restablecimiento del PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-50]
Valor predeterminado 0
Device/{TenantId}/Policies/PINComplexity/LowercaseLetters
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Use esta configuración de directiva para configurar el uso de letras minúsculas en el PIN de Windows Hello para empresas.

Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos una letra minúscula en su PIN.

Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen letras minúsculas en su PIN.

Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar letras minúsculas en su PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permite el uso de letras minúsculas en EL PIN.
1 Requiere el uso de al menos una letra minúscula en el PIN.
2 No permite el uso de letras minúsculas en el PIN.
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

La longitud máxima del PIN configura el número máximo de caracteres permitido para el PIN. El número más grande que puede configurar para esta configuración de directiva es 127. El número más bajo que puede configurar debe ser mayor que el número configurado en la configuración de directiva Longitud mínima del PIN o el número 4, lo que sea mayor.

  • Si configura esta configuración de directiva, la longitud del PIN debe ser menor o igual que este número.

  • Si no configura esta configuración de directiva, la longitud del PIN debe ser menor o igual que 127.

Nota

Si no se cumplen las condiciones especificadas anteriormente para la longitud máxima del PIN, se usarán valores predeterminados para las longitudes máxima y mínima del PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [4-127]
Valor predeterminado 127
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

La longitud mínima del PIN configura el número mínimo de caracteres necesarios para el PIN. El número más bajo que puede configurar para esta configuración de directiva es 4. El número más grande que puede configurar debe ser menor que el número configurado en la configuración de directiva Longitud máxima del PIN o el número 127, el que sea el más bajo.

  • Si configura esta configuración de directiva, la longitud del PIN debe ser mayor o igual que este número.

  • Si no configura esta configuración de directiva, la longitud del PIN debe ser mayor o igual que 4.

Nota

Si no se cumplen las condiciones especificadas anteriormente para la longitud mínima del PIN, se usarán valores predeterminados para las longitudes máxima y mínima del PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [4-127]
Valor predeterminado 4
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Use esta configuración de directiva para configurar el uso de caracteres especiales en el gesto de PIN de Windows Hello para empresas. Los caracteres especiales válidos para Windows Hello para empresas gestos de PIN incluyen: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos un carácter especial en su PIN.

Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen caracteres especiales en su PIN.

Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar caracteres especiales en su PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permite el uso de caracteres especiales en el PIN.
1 Requiere el uso de al menos un carácter especial en el PIN.
2 No permite el uso de caracteres especiales en el PIN.
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Use esta configuración de directiva para configurar el uso de letras mayúsculas en el PIN de Windows Hello para empresas.

Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos una letra mayúscula en su PIN.

Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen letras mayúsculas en su PIN.

Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar letras mayúsculas en su PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permite el uso de letras mayúsculas en el PIN.
1 Requiere el uso de al menos una letra mayúscula en EL PIN.
2 No permite el uso de letras mayúsculas en el PIN.

Device/{TenantId}/Policies/Remote

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote

Nodo raíz para directivas de inicio de sesión de teléfono.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Agregar, eliminar, obtener
Device/{TenantId}/Policies/Remote/UseRemotePassport
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport

Boolean que especifica si se puede usar el inicio de sesión de teléfono con un dispositivo. El inicio de sesión en el teléfono proporciona la posibilidad de que un dispositivo portátil y registrado pueda usarse como dispositivo complementario para la autenticación de escritorio.

El valor predeterminado es false.

  • Si habilita esta configuración, un dispositivo de escritorio permitirá que un dispositivo complementario registrado se use como factor de autenticación.

  • Si deshabilita esta configuración, no se puede usar un dispositivo complementario en escenarios de autenticación de escritorio.

Nota

No se admite en Windows Holographic y Windows Holographic for Business antes de Windows 10 versión 1903 (actualización de mayo de 2019).

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/{TenantId}/Policies/RequireSecurityDevice

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Un módulo de plataforma segura (TPM) proporciona ventajas de seguridad adicionales sobre el software porque los datos almacenados en él no se pueden usar en otros dispositivos.

  • Si habilita esta configuración de directiva, solo los dispositivos con un aprovisionamiento de TPM utilizable Windows Hello para empresas.

  • Si deshabilita o no configura esta configuración de directiva, el TPM sigue siendo el preferido, pero todos los dispositivos aprovisionan Windows Hello para empresas mediante software si el TPM no es funcional o no está disponible.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/{TenantId}/Policies/UseCertificateForOnPremAuth

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth

Windows Hello para empresas puede usar certificados para autenticarse en recursos locales.

  • Si habilita esta configuración de directiva, Windows Hello para empresas esperará hasta que el dispositivo haya recibido una carga de certificado del servidor de administración de dispositivos móviles antes de aprovisionar un PIN.

  • Si deshabilita o no configura esta configuración de directiva, el PIN se aprovisionará cuando el usuario inicie sesión, sin esperar una carga de certificado.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 21H2 [10.0.19044.1566] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.527] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Valor booleano que permite a Windows Hello para empresas usar Microsoft Entra Kerberos para autenticarse en recursos locales.

  • Si habilita esta configuración de directiva, Windows Hello para empresas usará un vale de Kerberos Microsoft Entra para autenticarse en los recursos locales. El vale de Kerberos de Microsoft Entra se devuelve al cliente después de una autenticación correcta para Microsoft Entra ID si Microsoft Entra Kerberos está habilitado para el inquilino y el dominio.

  • Si deshabilita o no establece esta configuración de directiva, Windows Hello para empresas usará una clave o un certificado para autenticarse en los recursos locales.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
  • Si habilita esta configuración de directiva, las aplicaciones usan certificados de Windows Hello para empresas como certificados de tarjeta inteligente. Los factores biométricos no están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado. Esta configuración de directiva está diseñada para permitir la compatibilidad con aplicaciones que se basan exclusivamente en certificados de tarjeta inteligente.

  • Si deshabilita o no establece esta configuración de directiva, las aplicaciones no usan certificados Windows Hello para empresas como certificados de tarjeta inteligente y los factores biométricos están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado.

Windows requiere que un usuario bloquee y desbloquee su sesión después de cambiar esta configuración si el usuario ha iniciado sesión actualmente.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/{TenantId}/Policies/UsePassportForWork

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello para empresas es un método alternativo para iniciar sesión en Windows mediante Active Directory o Microsoft Entra cuenta que puede reemplazar contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales.

  • Si habilita o no establece esta configuración de directiva, el dispositivo aprovisiona Windows Hello para empresas para todos los usuarios.

  • Si deshabilita esta configuración de directiva, el dispositivo no aprovisiona Windows Hello para empresas para ningún usuario.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Verdadero

Valores permitidos:

Valor Descripción
false Deshabilitado.
true (valor predeterminado) Habilitada.

Dispositivo o biometría

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/Biometrics

Nodo raíz para directivas de biometría.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Obtener

Device/Biometrics/EnableESSwithSupportedPeripherals

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals

La seguridad de inicio de sesión mejorada (ESS) aísla tanto los datos de plantilla biométrica como las operaciones de coincidencia con el hardware de confianza o las regiones de memoria especificadas, lo que significa que el resto del sistema operativo no puede acceder a ellos ni manipularlos. Dado que el canal de comunicación entre los sensores y el algoritmo también está protegido, es imposible que el malware inserte o reproduzca datos con el fin de simular un inicio de sesión de usuario o bloquear a un usuario fuera de su máquina.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1

Valores permitidos:

Valor Descripción
0 ESS se habilitará en sistemas con software y hardware compatibles, siguiendo el comportamiento predeterminado existente en Windows. Se permitirán operaciones de autenticación de dispositivos periféricos Windows Hello compatibles, sujetos a las limitaciones actuales de las características. Además, con esta configuración, ESS se habilitará en dispositivos con una combinación de dispositivos biométricos, como una FPR compatible con ESS y una cámara no compatible con ESS. (no recomendado).
1 (valor predeterminado) ESS se habilitará en sistemas con software y hardware compatibles, siguiendo el comportamiento predeterminado existente en Windows. Las operaciones de autenticación de cualquier dispositivo biométrico periférico se bloquearán y no estarán disponibles para Windows Hello. (valor predeterminado y recomendado para la seguridad más alta).

Asignación de directivas de grupo:

Nombre Valor
Nombre Habilitación de ESS con periféricos admitidos
Ruta de acceso Passport > AT > WindowsComponents > MSPassportForWorkCategory

Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Esta configuración determina si se requiere una protección contra la suplantación mejorada para Windows Hello autenticación facial.

  • Si habilita esta configuración, Windows requiere que todos los usuarios de los dispositivos administrados usen la protección contra la suplantación de identidad mejorada para Windows Hello autenticación facial. Esto deshabilita Windows Hello autenticación facial en dispositivos que no admiten la protección contra la suplantación mejorada.

  • Si deshabilitas o no configuras esta configuración, Windows no requiere una protección contra la suplantación mejorada para la autenticación facial Windows Hello.

Tenga en cuenta que la protección contra la suplantación mejorada para Windows Hello autenticación facial no es necesaria en dispositivos no administrados.

Nota

No se admite en Windows Holographic y Windows Holographic for Business antes de Windows 10 versión 1903 (actualización de mayo de 2019).

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/Biometrics/UseBiometrics

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics

Windows Hello para empresas permite a los usuarios usar gestos biométricos, como la cara y las huellas digitales, como alternativa al gesto de PIN. Sin embargo, los usuarios deben configurar un PIN para usarlo en caso de errores.

  • Si habilita o no establece esta configuración de directiva, Windows Hello para empresas permite el uso de gestos biométricos.

  • Si deshabilita esta configuración de directiva, Windows Hello para empresas impide el uso de gestos biométricos.

Nota

Deshabilitar esta directiva impide el uso de gestos biométricos en el dispositivo para todos los tipos de cuenta.

Nota

No se admite en Windows Holographic y Windows Holographic for Business antes de Windows 10 versión 1903 (actualización de mayo de 2019).

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/DeviceUnlock

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

Desbloqueo del dispositivo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Obtener

Device/DeviceUnlock/GroupA

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA

Contiene una lista de proveedores por GUID que se deben tener en cuenta para el primer paso de autenticación.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Expresión regular: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/GroupB

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB

Contiene una lista de proveedores por GUID que se deben tener en cuenta para el segundo paso de autenticación.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Expresión regular: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/Plugins

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins

Lista de complementos que el proveedor pasivo supervisa para detectar la presencia del usuario.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Device/DynamicLock

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/DynamicLock

Bloqueo dinámico.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Obtener

Device/DynamicLock/DynamicLock

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock

Habilita o deshabilita el bloqueo dinámico.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

Device/DynamicLock/Plugins

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins

Lista de complementos que el proveedor pasivo supervisa para detectar la ausencia del usuario.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Device/SecurityKey

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1903 [10.0.18362] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/SecurityKey

Clave de seguridad.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Obtener

Device/SecurityKey/UseSecurityKeyForSignin

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1903 [10.0.18362] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin

Use la clave de seguridad para el inicio de sesión. 0 está deshabilitado. 1 está habilitado. Si no configura esta configuración de directiva, el valor predeterminado está deshabilitado.

Permite a los usuarios iniciar sesión en su dispositivo con una clave de seguridad FIDO2 compatible con la implementación de Microsoft.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitado.
1 Habilitado.

Device/UseBiometrics

Nota

Esta directiva está en desuso y puede quitarse en una versión futura.

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./Device/Vendor/MSFT/PassportForWork/UseBiometrics

ESTE NODO ESTÁ EN DESUSO Y SE QUITARÁ EN UNA VERSIÓN FUTURA. USE BIOMETRÍA/UseBiometría NODE EN SU LUGAR.

Windows Hello para empresas permite a los usuarios usar gestos biométricos, como la cara y las huellas digitales, como alternativa al gesto de PIN. Sin embargo, los usuarios deben configurar un PIN para usarlo en caso de errores.

  • Si habilita o no establece esta configuración de directiva, Windows Hello para empresas permite el uso de gestos biométricos.

  • Si deshabilita esta configuración de directiva, Windows Hello para empresas impide el uso de gestos biométricos.

Nota

Deshabilitar esta directiva impide el uso de gestos biométricos en el dispositivo para todos los tipos de cuenta.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

User/{TenantId}

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}

Esta directiva especifica el identificador de inquilino en el formato de un identificador único global (GUID) sin llaves{ }, que se usará como parte de Windows Hello para empresas aprovisionamiento y administración.

Para obtener el GUID, use el cmdlet de PowerShell Get-AzureAccount. Para obtener más información, consulte Obtención del identificador de inquilino de Windows Azure Active Directory en Windows PowerShell.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Agregar, eliminar, obtener
Nomenclatura dinámica de nodos UniqueName: identificador único global (GUID), sin llaves ( { , } ), que se usa como parte de Windows Hello para empresas aprovisionamiento y administración. Para obtener un GUID, use el cmdlet de PowerShell Get-AzureAccount. Para obtener más información, vea https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

User/{TenantId}/Policies

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Nodo raíz para directivas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Agregar, eliminar, obtener

User/{TenantId}/Policies/EnablePinRecovery

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Si el usuario olvida su PIN, se puede cambiar a un nuevo PIN mediante el servicio de recuperación de PIN Windows Hello para empresas. Este servicio en la nube cifra un secreto de recuperación que se almacena localmente en el cliente, pero que solo el servicio en la nube puede descifrar.

  • Si habilita esta configuración de directiva, el secreto de recuperación del PIN se almacenará en el dispositivo y el usuario podrá cambiar a un nuevo PIN en caso de que se olvide su PIN.

  • Si deshabilita o no establece esta configuración de directiva, el secreto de recuperación del PIN no se creará ni almacenará. Si se olvida el PIN del usuario, la única manera de obtener un nuevo PIN es eliminar el PIN existente y crear uno nuevo, lo que requerirá que el usuario vuelva a registrarse con los servicios a los que el PIN anterior proporcionó acceso.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

User/{TenantId}/Policies/PINComplexity

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Nodo raíz para directivas de PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Agregar, eliminar, obtener
User/{TenantId}/Policies/PINComplexity/Digits
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Use esta configuración de directiva para configurar el uso de dígitos en el PIN de Windows Hello para empresas.

Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos un dígito en su PIN.

Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen dígitos en su PIN.

Si no configura esta configuración de directiva, Windows Hello para empresas requiere que los usuarios usen dígitos en su PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permite el uso de dígitos en el PIN.
1 Requiere el uso de al menos un dígito en el PIN.
2 No permite el uso de dígitos en el PIN.
User/{TenantId}/Policies/PINComplexity/Expiration
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Esta directiva especifica cuándo expira el PIN (en días). Los valores válidos son de 0 a 730 inclusive. Si esta directiva se establece en 0, los PIN no expiran.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-730]
Valor predeterminado 0
User/{TenantId}/Policies/PINComplexity/History
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Esta directiva especifica el número de PIN anteriores que se pueden almacenar en el historial que no se pueden usar. Los valores válidos son de 0 a 50 inclusive. Si esta directiva se establece en 0, no se requiere el almacenamiento de PIN anteriores. El historial de PIN no se conserva mediante el restablecimiento del PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-50]
Valor predeterminado 0
User/{TenantId}/Policies/PINComplexity/LowercaseLetters
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Use esta configuración de directiva para configurar el uso de letras minúsculas en el PIN de Windows Hello para empresas.

Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos una letra minúscula en su PIN.

Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen letras minúsculas en su PIN.

Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar letras minúsculas en su PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permite el uso de letras minúsculas en EL PIN.
1 Requiere el uso de al menos una letra minúscula en el PIN.
2 No permite el uso de letras minúsculas en el PIN.
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

La longitud máxima del PIN configura el número máximo de caracteres permitido para el PIN. El número más grande que puede configurar para esta configuración de directiva es 127. El número más bajo que puede configurar debe ser mayor que el número configurado en la configuración de directiva Longitud mínima del PIN o el número 4, lo que sea mayor.

  • Si configura esta configuración de directiva, la longitud del PIN debe ser menor o igual que este número.

  • Si no configura esta configuración de directiva, la longitud del PIN debe ser menor o igual que 127.

Nota

Si no se cumplen las condiciones especificadas anteriormente para la longitud máxima del PIN, se usarán valores predeterminados para las longitudes máxima y mínima del PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [4-127]
Valor predeterminado 127
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

La longitud mínima del PIN configura el número mínimo de caracteres necesarios para el PIN. El número más bajo que puede configurar para esta configuración de directiva es 4. El número más grande que puede configurar debe ser menor que el número configurado en la configuración de directiva Longitud máxima del PIN o el número 127, el que sea el más bajo.

  • Si configura esta configuración de directiva, la longitud del PIN debe ser mayor o igual que este número.

  • Si no configura esta configuración de directiva, la longitud del PIN debe ser mayor o igual que 4.

Nota

Si no se cumplen las condiciones especificadas anteriormente para la longitud mínima del PIN, se usarán valores predeterminados para las longitudes máxima y mínima del PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [4-127]
Valor predeterminado 4
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Use esta configuración de directiva para configurar el uso de caracteres especiales en el gesto de PIN de Windows Hello para empresas. Los caracteres especiales válidos para Windows Hello para empresas gestos de PIN incluyen: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos un carácter especial en su PIN.

Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen caracteres especiales en su PIN.

Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar caracteres especiales en su PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permite el uso de caracteres especiales en el PIN.
1 Requiere el uso de al menos un carácter especial en el PIN.
2 No permite el uso de caracteres especiales en el PIN.
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Use esta configuración de directiva para configurar el uso de letras mayúsculas en el PIN de Windows Hello para empresas.

Un valor de 1 corresponde a "Requerido". Si configura esta configuración de directiva en 1, Windows Hello para empresas requiere que los usuarios incluyan al menos una letra mayúscula en su PIN.

Un valor de 2 corresponde a "No permitir". Si configura esta configuración de directiva en 2, Windows Hello para empresas impide que los usuarios usen letras mayúsculas en su PIN.

Si no configura esta configuración de directiva, Windows Hello para empresas no permite a los usuarios usar letras mayúsculas en su PIN.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Permite el uso de letras mayúsculas en el PIN.
1 Requiere el uso de al menos una letra mayúscula en EL PIN.
2 No permite el uso de letras mayúsculas en el PIN.

User/{TenantId}/Policies/RequireSecurityDevice

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Un módulo de plataforma segura (TPM) proporciona ventajas de seguridad adicionales sobre el software porque los datos almacenados en él no se pueden usar en otros dispositivos.

  • Si habilita esta configuración de directiva, solo los dispositivos con un aprovisionamiento de TPM utilizable Windows Hello para empresas.

  • Si deshabilita o no configura esta configuración de directiva, el TPM sigue siendo el preferido, pero todos los dispositivos aprovisionan Windows Hello para empresas mediante software si el TPM no es funcional o no está disponible.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) Deshabilitado.
true Habilitada.

User/{TenantId}/Policies/UsePassportForWork

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
✅ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1511 [10.0.10586] y versiones posteriores
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello para empresas es un método alternativo para iniciar sesión en Windows mediante Active Directory o Microsoft Entra cuenta que puede reemplazar contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales.

  • Si habilita o no establece esta configuración de directiva, el dispositivo aprovisiona Windows Hello para empresas para todos los usuarios.

  • Si deshabilita esta configuración de directiva, el dispositivo no aprovisiona Windows Hello para empresas para ningún usuario.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Verdadero

Valores permitidos:

Valor Descripción
false Deshabilitado.
true (valor predeterminado) Habilitada.

Ejemplos

Este es un ejemplo para establecer Windows Hello para empresas y establecer las directivas de PIN. También activa el uso de la biometría y tpm.

<SyncML xmlns="SYNCML:SYNCML1.2">
          <SyncBody>
            <Add>
              <CmdID>2</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
                  </LocURI>
                </Target>
              </Item>
            </Add>
            <Add>
              <CmdID>3</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>4</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>5</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>8</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>6</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>16</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>7</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>8</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>9</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>2</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>10</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>11</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>20</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>12</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>70</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>13</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>14</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>15</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>16</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Final/>
          </SyncBody>
        </SyncML>

Referencia de proveedor de servicios de configuración