Configuración e inscripción en Windows Hello para empresas en un modelo de confianza de clave híbrida

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

En este artículo se describen las funcionalidades o escenarios de Windows Hello para empresas que se aplican a:

• Tipo de implementación:
• Tipo de confianza:.
• Tipo de combinación:a los que se une Microsoft Entra, mientras y Active Directory.

---

Una vez que se cumplen los requisitos previos y se valida la configuración de PKI, la implementación de Windows Hello para empresas consta de los pasos siguientes:

• Establecer la configuración de la directiva de Windows Hello para empresas
• Inscripción en Windows Hello para empresas

Establecer la configuración de la directiva de Windows Hello para empresas

Hay una configuración de directiva necesaria para habilitar Windows Hello para empresas en un modelo de confianza clave:

• Usar Windows Hello para empresas

Otra configuración de directiva opcional, pero recomendada, es la siguiente:

• Usar un dispositivo de seguridad de hardware

En las instrucciones siguientes se describe cómo configurar los dispositivos mediante Microsoft Intune o la directiva de grupo (GPO).

Intune/CSP

Nota

Revise el artículo Configuración de Windows Hello para empresas con Microsoft Intune para obtener información sobre las distintas opciones que ofrece Microsoft Intune para configurar Windows Hello para empresas.

Si la directiva de todo el inquilino de Intune está habilitada y configurada según sus necesidades, puede ir directamente a Inscribirse en Windows Hello para empresas.

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría	Nombre del valor de configuración	Valor
Windows Hello para empresas	Uso de Passport for Work	true
Windows Hello para empresas	Requerir dispositivo de seguridad	true

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con passportforwork CSP.

Configuración
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Tipo de dato:bool - Valor:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Tipo de dato:bool - Valor:True

GPO

Puede configurar la configuración de la directiva Usar Windows Hello para empresas en el nodo de equipo o usuario de un GPO:

• La implementación de la configuración de directiva de nodo de equipo da como resultado que todos los usuarios que inician sesión en los dispositivos de destino intenten una inscripción de Windows Hello para empresas
• La implementación de la configuración de directiva de nodo de usuario da como resultado que solo los usuarios de destino intenten una inscripción de Windows Hello para empresas.

Si se implementa la configuración de las directivas al usuario y al equipo, la configuración de las directivas del usuario tiene prioridad.

Para configurar un dispositivo con directiva de grupo, use el Editor de directivas de grupo local. Para configurar varios dispositivos unidos a Active Directory, cree o edite un objeto de directiva de grupo (GPO) y use la siguiente configuración:

Ruta de acceso de directiva de grupo	Configuración de directiva de grupo	Valor
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas or Configuración de usuario\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas	Usar Windows Hello para empresas	Habilitado
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas	Usar un dispositivo de seguridad de hardware	Habilitado

Las directivas de grupo se pueden vincular a dominios o unidades organizativas, filtrarse mediante grupos de seguridad o filtrarse mediante filtros WMI.

Sugerencia

La mejor manera de implementar el GPO de Windows Hello para empresas es usar el filtrado de grupos de seguridad. Solo los miembros del grupo de seguridad de destino aprovisionarán Windows Hello para empresas, lo que habilitará un lanzamiento por fases. Esta solución permite vincular el GPO al dominio, lo que garantiza que el GPO está limitado a todas las entidades de seguridad. El filtrado de grupos de seguridad garantiza que solo los miembros del grupo global reciban y apliquen el GPO, lo que da como resultado el aprovisionamiento de Windows Hello para empresas.

Si implementa la configuración de Windows Hello para empresas mediante la directiva de grupo y Intune, la configuración de directiva de grupo tiene prioridad y la configuración de Intune se omite. Para obtener más información sobre los conflictos de directivas, consulte Conflictos de directivas de varios orígenes de directiva.

Otras opciones de configuración de directiva se pueden configurar para controlar el comportamiento de Windows Hello para empresas. Para obtener más información, consulta Configuración de directivas de Windows Hello para empresas.

Inscripción en Windows Hello para empresas

El proceso de aprovisionamiento de Windows Hello para empresas comienza inmediatamente después de cargar el perfil de usuario y antes de que el usuario reciba su escritorio. Para que se inicie el proceso de aprovisionamiento, deben superarse todas las comprobaciones de requisitos previos.

Para determinar el estado de las comprobaciones de requisitos previos, consulte el registro de administrador registro de dispositivos de usuario en Registros de aplicaciones y servicios > de Microsoft > Windows.
Esta información también está disponible mediante el dsregcmd.exe /status comando desde una consola. Para obtener más información, vea dsregcmd.

Experiencia del usuario

Una vez que un usuario inicia sesión, comienza el proceso de inscripción de Windows Hello para empresas:

1. Si el dispositivo admite la autenticación biométrica, se pedirá al usuario que configure un gesto biométrico. Este gesto se puede usar para desbloquear el dispositivo y autenticarse en los recursos que requieren Windows Hello para empresas. El usuario puede omitir este paso si no quiere configurar un gesto biométrico.
2. Se pide al usuario que use Windows Hello con la cuenta de la organización. El usuario selecciona Aceptar
3. El flujo de aprovisionamiento continúa con la parte de autenticación multifactor de la inscripción. El aprovisionamiento informa al usuario de que está intentando ponerse en contacto activamente con el usuario a través de su forma configurada de MFA. El proceso de aprovisionamiento no continúa hasta que la autenticación se realiza correctamente, se produce un error o se agota el tiempo de espera. Una MFA con errores o tiempo de espera produce un error y pide al usuario que vuelva a intentarlo.
4. Después de realizar una MFA correcta, el flujo de aprovisionamiento solicita al usuario crear y validar un PIN. Este PIN debe observar las directivas de complejidad de PIN configuradas en el dispositivo.
5. El resto del aprovisionamiento incluye que Windows Hello para empresas solicite un par de claves asimétricas para el usuario, preferiblemente del TPM (o son obligatorias si están establecidas explícitamente en la directiva). Una vez adquirido el par de claves, Windows se comunica con el IdP para registrar la clave pública. Cuando se completa el registro de claves, el aprovisionamiento de Windows Hello para empresas informa al usuario de que puede usar su PIN para iniciar sesión. El usuario puede cerrar la aplicación de aprovisionamiento y acceder a su escritorio

Después de la inscripción, Microsoft Entra Connect sincroniza la clave del usuario de Microsoft Entra ID con Active Directory.

Importante

El tiempo mínimo necesario para sincronizar la clave pública del usuario desde el identificador de Microsoft Entra con el Active Directory local es de 30 minutos. El programador Microsoft Entra Connect controla el intervalo de sincronización. Esta latencia de sincronización retrasa la capacidad del usuario para autenticarse y usar recursos locales hasta que la clave pública del usuario se haya sincronizado con Active Directory. Una vez sincronizado, el usuario puede autenticarse y acceder a los recursos locales. Lea Microsoft Entra Connect Sync: Scheduler para ver y ajustar el ciclo de sincronización de su organización.

Diagramas de secuencia

Para comprender mejor los flujos de aprovisionamiento, revise los diagramas de secuencia siguientes en función de la unión al dispositivo y el tipo de autenticación:

• Aprovisionamiento de dispositivos unidos a Microsoft Entra con autenticación administrada
• Aprovisionamiento de dispositivos unidos a Microsoft Entra con autenticación federada
• Aprovisionamiento en un modelo de implementación de confianza de clave híbrida con autenticación administrada

Para comprender mejor los flujos de autenticación, revise el diagrama de secuencia siguiente:

• Autenticación de unión híbrida de Microsoft Entra mediante una clave
• Microsoft Entra une la autenticación a Active Directory mediante una clave