Requisitos previos de confianza de clave Windows Hello para empresas unidos a Azure AD híbrido

Los entornos híbridos son sistemas distribuidos que permiten a las organizaciones usar recursos e identidades basadas en Azure o de forma local. Windows Hello para empresas usa el sistema distribuido existente como base en la que las organizaciones pueden proporcionar autenticación en dos fases que proporciona un inicio de sesión único como experiencia a los recursos modernos.

Los sistemas distribuidos en los que se crearon estas tecnologías implicaban varias partes de infraestructuras en la nube y locales. Entre las partes de alto nivel de la infraestructura se incluyen:

Directorios

La implementación híbrida de Windows Hello para empresas necesita dos directorios: Active Directory local y un Azure Active Directory en la nube. Los niveles funcionales del dominio y el nivel funcional del bosque necesarios para Windows Hello para empresas es Windows Server 2008 R2.

Una implementación de Windows Hello para empresas híbrida necesita una suscripción a Azure Active Directory. La implementación de confianza de clave híbrida no necesita una suscripción premium a Azure Active Directory.

Puedes implementar Windows Hello para empresas en cualquier entorno con Windows Server 2008 R2 o controladores de dominio posteriores.
Si usa el modelo de implementación de confianza clave, debe asegurarse de que tiene suficientes (1 o más, según la carga de autenticación) Windows Server 2016 o posteriores controladores de dominio en cada sitio de Active Directory donde los usuarios se autenticarán para Windows Hello para empresas.
Lea Planeamiento de un número adecuado de controladores de dominio Windows Server 2016 o posteriores para Windows Hello para empresas implementaciones para obtener más información.

Nota

Hubo un problema con la autenticación de confianza clave en Windows Server 2019. Si tiene previsto usar controladores de dominio de Windows Server 2019, consulte KB4487044 para solucionar este problema.

Revisa estos requisitos y los de la hoja de cálculo y la guía de planificación de Windows Hello para empresas. En función de tus decisiones de implementación, puede que tengas que actualizar tu Active Directory local o la suscripción a Azure Active Directory para hacer frente a tus necesidades.

Revisión de la sección

  • Nivel funcional de dominio de Active Directory
  • Nivel funcional de bosque de Active Directory
  • Versión del controlador de dominio
  • Suscripción a Azure Active Directory
  • Suscripción correcta para los resultados y características deseados

Infraestructura de clave pública

La implementación de Windows Hello para empresas depende de una infraestructura de clave pública empresarial como delimitador de confianza para la autenticación. Los controladores de dominio para implementaciones híbridas necesitan un certificado para que los dispositivos Windows confíen en el controlador de dominio.

Las implementaciones con clave de confianza no necesitan certificados emitidos por los clientes para la autenticación local. Azure AD Connect configura automáticamente las cuentas de usuario de Active Directory para la asignación de claves públicas sincronizando la clave pública de la credencial de Windows Hello para empresas registrada con un atributo en el objeto de Active Directory del usuario.

La entidad de certificación enterprise mínima necesaria que se puede usar con Windows Hello para empresas es Windows Server 2012, pero también puede usar una entidad de certificación Enterprise de terceros. A continuación se muestran los requisitos para el certificado de controlador de dominio. Para obtener más información, consulte Requisitos para certificados de controlador de dominio de una entidad de certificación de terceros.

  • El certificado debe tener una extensión de punto de distribución de lista de revocación de certificados (CRL) que apunte a una CRL válida o a una extensión de acceso a la información de autoridad (AIA) que apunte a un respondedor del Protocolo de estado de certificado en línea (OCSP).
  • Opcionalmente, la sección asunto del certificado podría contener la ruta de acceso del directorio del objeto de servidor (el nombre distintivo).
  • La sección uso de claves de certificado debe contener firma digital y cifrado de claves.
  • Opcionalmente, la sección restricciones básicas del certificado debe contener: [Subject Type=End Entity, Path Length Constraint=None].
  • La sección Uso mejorado de clave del certificado debe contener autenticación de cliente (1.3.6.1.5.5.7.3.2), autenticación de servidor (1.3.6.1.5.5.7.3.1) y autenticación KDC (1.3.6.1.5.2.3.5).
  • La sección nombre alternativo del firmante del certificado debe contener el nombre del sistema de nombres de dominio (DNS).
  • La plantilla de certificado debe tener una extensión que tenga el valor "DomainController", codificado como BMPstring. Si usa la entidad de certificación empresarial de Windows Server, esta extensión ya se incluye en la plantilla de certificado del controlador de dominio.
  • El certificado del controlador de dominio debe instalarse en el almacén de certificados del equipo local. Consulte Configuración de Windows Hello para empresas híbrida: infraestructura de clave pública para obtener más información.

Importante

Para autenticar dispositivos unidos a Azure AD y usar recursos locales, asegúrate de lo siguiente:

  • Instale el certificado de entidad de certificación raíz para su organización en el almacén de certificados raíz de confianza del usuario.
  • Publique la lista de revocación de certificados en una ubicación que esté disponible para dispositivos unidos a Azure AD, como una dirección URL basada en web.

Revisión de la sección

  • Entidad de certificación emisora de Windows Server 2012

Sincronización de directorios

Los dos directorios usados en las implementaciones híbridas deben estar sincronizados. Necesitas que Azure Active Directory Connect sincronice las cuentas de usuario en Active Directory local con Azure Active Directory.

Las organizaciones que usan la tecnología de sincronización de directorios anterior, como DirSync o la sincronización de Azure AD, deben actualizar a Azure AD Connect.

Revisión de la sección


Federación con Azure

Puedes implementar la clave de confianza de Windows Hello para empresas en entornos federados y no federados. En entornos no federados, las implementaciones de confianza clave funcionan en entornos que han implementado la sincronización de contraseñas con Azure AD Connect o la autenticación de paso a través de Azure Active Directory. Para entornos federados, puedes implementar la clave de confianza de Windows Hello para empresas usando Servicios de federación de Active Directory (AD FS) 2012 R2 o posterior.

  • Entornos no federados
  • Entornos federados

Autenticación multifactor

Windows Hello para empresas es una credencial segura en dos fases que ayuda a las organizaciones a reducir su dependencia en las contraseñas. El proceso de aprovisionamiento permite que un usuario se inscriba en Windows Hello para empresas con su nombre de usuario y contraseña como un factor, pero necesita un segundo factor de autenticación.

Las implementaciones de Windows Hello para empresas híbridas pueden usar el servicio Multifactor Authentication (MFA) de Azure o pueden usar la autenticación multifactor proporcionada por AD FS a partir de Windows Server 2012 R2, que incluye un modelo de adaptador que permite a terceros integrar su MFA en AD FS. La MFA habilitada por una licencia de Office 365 es suficiente para Azure AD.

Revisión de la sección

  • Servicio Azure MFA
  • Windows Server 2016 AD FS y Azure (opcional, caso de federados)
  • Windows Server 2016 AD FS y adaptador MFA de terceros (opcional, para el caso de federadas)

Registro de dispositivos

Las organizaciones que desean implementar la confianza de clave híbrida necesitan que sus dispositivos unidos a un dominio se registren en Azure Active Directory. Al igual que un equipo que tiene una identidad en Active Directory, ese mismo equipo tiene una identidad en la nube. Esto garantiza que solo se usan equipos aprobados con ese Azure Active Directory. Cada equipo registra su identidad en Azure Active Directory.

Aprovisionamiento

Debe permitir el acceso a la dirección URL account.microsoft.com para iniciar Windows Hello para empresas aprovisionamiento. Esta dirección URL inicia los pasos siguientes en el proceso de aprovisionamiento y es necesario para completar correctamente Windows Hello para empresas aprovisionamiento. Esta dirección URL no requiere ninguna autenticación y, como tal, no recopila datos de usuario.

Lista de comprobación de la sección

  • Registro de dispositivos con Registro de dispositivos de Azure

Pasos siguientes

Sigue la guía de implementación de claves de confianza híbridas de Windows Hello para empresas. Para obtener pruebas de concepto, laboratorios e instalaciones nuevas, elija la nueva línea base de instalación.

Para entornos que realizan la transición del entorno local al híbrido, comience con Configurar la sincronización de Azure Directory.

Para entornos federados y no federados, empiece por Configurar Windows Hello para empresas.




Sigue la guía de implementación de claves de confianza híbridas de Windows Hello para empresas

  1. Introducción
  2. Requisitos previos (está aquí)
  3. Nueva base de referencia de instalación
  4. Configurar la sincronización de directorios
  5. Configurar el registro de dispositivos Azure
  6. Establecer la configuración de Windows Hello para empresas
  7. Iniciar sesión y aprovisionar