Introducción a la implementación de Windows Hello para empresas

Windows Hello para empresas es el trampolín hacia un mundo sin contraseñas Reemplaza el nombre de usuario y contraseña de inicio de sesión en Windows con una autenticación de usuarios segura, basada en un par de claves asimétricas.

Esta introducción a la implementación le guiará a través de la implementación de Windows Hello para empresas. El primer paso debe ser usar el Asistente sin contraseña en el Centro de administración de Microsoft 365 o la guía Planeamiento de una implementación de Windows Hello para empresas para determinar el modelo de implementación adecuado para su organización.

Una vez que haya elegido un modelo de implementación, la guía de implementación de ese modelo le proporcionará la información necesaria para implementar correctamente Windows Hello para empresas en su entorno. Lea la introducción a los requisitos previos de implementación de Windows Hello para empresas para obtener un resumen de los requisitos previos para cada modelo de implementación de Windows Hello para empresas diferente.

Suposiciones

Esta guía da por hecho que existe una infraestructura de base que cumpla con los requisitos para la implementación. Tanto para las implementaciones híbridas como locales, se espera que haya:

  • Una red bien conectada que funcione
  • Acceso a Internet
  • La autenticación multifactor es necesaria durante el aprovisionamiento de Windows Hello para empresas
  • Resolución de nombres correcta, tanto nombres internos como externos
  • Active Directory y un número adecuado de controladores de dominio por sitio, para admitir la autenticación
  • Servicios de certificados de Active Directory 2012 o posterior (Nota: Los servicios de certificado no son necesarios para las implementaciones de confianza de Kerberos en la nube)
  • Uno o varios equipos de estación de trabajo que ejecutan Windows 10, versión 1703 o posterior

Si vas a instalar un rol de servidor por primera vez, asegúrate de que está instalado el sistema operativo de servidor correspondiente, actualizado con las últimas revisiones y unido al dominio. Este documento proporciona instrucciones para instalar y configurar las funciones específicas en ese mismo servidor.

No comiences la implementación hasta que estén configurados y funcionando correctamente los servidores hospedados e infraestructura (no roles) identificados en la hoja de cálculo de requisitos previos.

Implementación y modelos de confianza

Windows Hello para empresas tiene tres modelos de implementación: solo en la nube de Azure AD, híbrido y local. Hybrid tiene tres modelos de confianza: confianza de claves, confianza de certificados y confianza de Kerberos en la nube. Los modelos de implementación locales solo admiten la confianza de claves y la confianza del certificado.

Las implementaciones híbridas son para las empresas que usan Azure Active Directory. Las implementaciones locales son para las empresas que usan exclusivamente Active Directory local. Recuerda que los entornos que usan Azure Active Directory deben usar el modelo de implementación híbrida para todos los dominios de ese bosque.

El modelo de confianza determina cómo quieres que los usuarios se autentiquen en Active Directory local:

  • El modelo de clave de confianza es para las empresas que no deseen emitir certificados de entidad final a sus usuarios y tienen un número suficiente de controladores de dominio de 2016 en cada sitio para admitir la autenticación. Esto todavía requiere Servicios de certificados de Active Directory para los certificados de controlador de dominio.
  • El modelo de confianza en la nube también es para empresas híbridas que no quieren emitir certificados de entidad final a sus usuarios y tienen un número adecuado de controladores de dominio de 2016 en cada sitio para admitir la autenticación. Este modelo de confianza es más sencillo de implementar que la confianza de clave y no requiere servicios de certificados de Active Directory. Se recomienda usar la confianza de Kerberos en la nube en lugar de la confianza de clave si los clientes de la empresa lo admiten.
  • El modelo de confianza de certificados es para empresas que quieren emitir certificados de entidad final a sus usuarios y que tienen las ventajas de la expiración y renovación de certificados, de forma similar a cómo funcionan las tarjetas inteligentes en la actualidad.
  • El modelo de certificado de confianza también admite empresas que no están listas para implementar los controladores de dominio de Windows Server 2016.

Nota

RDP no admite la autenticación con Windows Hello para empresas implementaciones de confianza de Kerberos en la nube o confianza de Claves como una credencial proporcionada. RDP solo se admite con implementaciones de confianza de certificados como una credencial proporcionada en este momento. Windows Hello para empresas confianza de claves y la confianza de Kerberos en la nube se pueden usar con Windows Defender Remote Credential Guard.

A continuación se muestran las distintas guías y modelos de implementación incluidos en este tema:

Para Windows Hello para empresas requisitos previos de confianza de certificados híbridos e implementaciones de requisitos previos de confianza clave, necesitará Azure Active Directory Connect para sincronizar las cuentas de usuario en el Active Directory local con Azure Active Directory. En el caso de las implementaciones locales, tanto de clave como de confianza de certificados, use el servidor Azure MFA donde las credenciales no se sincronicen con Azure Active Directory. Obtenga información sobre cómo implementar Servicios de autenticación multifactor (MFA) para la confianza de claves y para las implementaciones de confianza de certificados .

Aprovisionamiento

El aprovisionamiento de Windows Hello para empresas comienza justo después de que el usuario haya iniciado sesión, una vez cargado el perfil de usuario, pero antes de que el usuario reciba su escritorio. Windows solo inicia la experiencia de aprovisionamiento si con correctas las comprobaciones de todos los requisitos previos. Puedes determinar el estado de las comprobaciones de los requisitos previos viendo Registro del dispositivo del usuario en el Visor de eventos en Registro de aplicaciones y servicios\Microsoft\Windows.

Tenga en cuenta que debe permitir el acceso a la dirección URL account.microsoft.com para iniciar Windows Hello para empresas aprovisionamiento. Esta dirección URL inicia los pasos siguientes en el proceso de aprovisionamiento y es necesario para completar correctamente Windows Hello para empresas aprovisionamiento. Esta dirección URL no requiere ninguna autenticación y, como tal, no recopila datos de usuario.