Implementación de confianza de clave híbrida

En este documento se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:


Los entornos híbridos son sistemas distribuidos que permiten a las organizaciones usar recursos locales y protegidos por Azure AD. Windows Hello para empresas usa el sistema distribuido existente como base sobre el que las organizaciones pueden proporcionar autenticación en dos fases e inicio de sesión único a recursos modernos.

En esta guía de implementación se describe cómo implementar Windows Hello para empresas en un escenario de confianza de clave híbrida.

Importante

Windows Hello para empresas confianza de Kerberos en la nube es el modelo de implementación recomendado en comparación con el modelo de confianza clave. Para obtener más información, consulte Implementación de confianza de Kerberos en la nube.

Se recomienda revisar la guía de planeamiento de Windows Hello para empresas antes de usar la guía de implementación. La guía de planificación te ayuda a tomar decisiones explicando las opciones disponibles con todos los aspectos de la implementación y explica los posibles resultados en función de cada una de estas decisiones.

Requisitos previos

Se deben cumplir los siguientes requisitos previos para una implementación de confianza de clave híbrida:

  • Directorios y sincronización de directorios
  • Autenticación en Azure AD
  • Registro de dispositivos
  • Infraestructura de clave pública
  • Autenticación multifactor
  • Administración de dispositivos

Directorios y sincronización de directorios

La Windows Hello para empresas híbrida necesita dos directorios:

  • Un Active Directory local
  • Un inquilino de Azure Active Directory

Los dos directorios deben sincronizarse con Azure AD Connect Sync, que sincroniza las cuentas de usuario de la Active Directory local con Azure AD.
Durante el proceso de aprovisionamiento de Window Hello para empresas, los usuarios registran la parte pública de su credencial de Windows Hello para empresas con Azure AD. Azure AD Connect Sync sincroniza la clave pública Windows Hello para empresas con Active Directory.

Nota

Windows Hello para empresas confianza de clave híbrida no se admite si el sufijo UPN local de los usuarios no se puede agregar como un dominio comprobado en Azure AD.

Autenticación en Azure AD

La autenticación en Azure AD se puede configurar con o sin federación:

Registro de dispositivos

Los dispositivos Windows deben estar registrados en Azure AD. Los dispositivos se pueden registrar en Azure AD mediante una unión a Azure AD o una unión a Azure AD híbrida.
En el caso de los dispositivos unidos a Azure AD híbrido , revise las instrucciones de la página Planeamiento de la implementación de la unión a Azure Active Directory híbrida .

Infraestructura de clave pública

Se requiere una PKI empresarial como delimitador de confianza para la autenticación. Los controladores de dominio requieren un certificado para que los clientes de Windows confíen en ellos.

Autenticación multifactor

El proceso de aprovisionamiento de Windows Hello para empresas permite que un usuario se inscriba en Windows Hello para empresas con su nombre de usuario y contraseña como un factor, pero requiere un segundo factor de autenticación.
Las implementaciones híbridas pueden usar:

Para obtener más información sobre cómo configurar Azure AD Multi-Factor Authentication, consulte Configuración de Azure AD Multi-Factor Authentication.
Para obtener más información sobre cómo configurar AD FS para proporcionar autenticación multifactor, consulte Configuración de Azure MFA como proveedor de autenticación con AD FS.

Administración de dispositivos

Para configurar Windows Hello para empresas, los dispositivos se pueden configurar a través de una solución de administración de dispositivos móviles (MDM), como Intune, o a través de una directiva de grupo.

Pasos siguientes

Una vez cumplidos los requisitos previos, la implementación de Windows Hello para empresas con un modelo de confianza de clave híbrida consta de los pasos siguientes:

  • Configuración y validación de la PKI
  • Establecer la configuración de Windows Hello para empresas
  • Aprovisionamiento de Windows Hello para empresas en clientes Windows
  • Configuración del inicio de sesión único (SSO) para dispositivos unidos a Azure AD