Planificación de una implementación de Windows Hello para empresas

¡Enhorabuena! Vas a realizar el primer paso para que tu organización deje de utilizar la contraseña para realizar una cómoda autenticación en dos factores para Windows: Windows Hello para empresas. Esta guía de planificación te ayuda a comprender las distintas topologías, arquitecturas y componentes que abarcan una infraestructura de Windows Hello para empresas.

En esta guía se explica el rol de cada componente de Windows Hello para empresas y cómo determinadas decisiones de implementación afectan a otros aspectos de la infraestructura. Con la hoja de cálculo de planeamiento, usará esa información para seleccionar la guía de implementación correcta para sus necesidades.

Nota

Si tiene un inquilino de Azure, puede usar nuestro Asistente interactivo sin contraseña en línea que le guiará por las mismas opciones en lugar de usar nuestra guía manual a continuación. El Asistente sin contraseña está disponible en el Centro de administración de Microsoft 365.

Usar esta Guía

Hay muchas opciones que puedes elegir al implementar Windows Hello para empresas. Proporcionar varias opciones garantiza que prácticamente todas las organizaciones pueden implementar Windows Hello para empresas. Proporcionar muchas opciones hace que la implementación parezca compleja, pero la mayoría de la organización se dará cuenta de que ya ha implementado la mayor parte de la infraestructura de la que depende la implementación de Windows Hello para empresas. Es importante comprender que Windows Hello para empresas es un sistema distribuido y realiza una planificación adecuada entre varios equipos dentro de una organización

Esta guía elimina la apariencia de complejidad al ayudarle a tomar decisiones sobre cada aspecto de la implementación de Windows Hello para empresas y las opciones que tendrá que tener en cuenta. Usar esta guía también identifica la información necesaria para ayudarte a tomar decisiones sobre la implementación que se adapte mejor a tu entorno. Descarga la Hoja de cálculo de planificación de Windows Hello para empresas en el Centro de descarga de Microsoft para ayudar a realizar un seguimiento de tus progresos y facilitar tu planificación.

Cómo proceder

Lee este documento y anota tus decisiones en la hoja de cálculo. Cuando termines, la hoja de cálculo tendrá toda la información necesaria para la implementación de Windows Hello para empresas.

Hay seis categorías principales que debes tener en cuenta para una implementación de Windows Hello para empresas. Estas categorías son:

  • Opciones de implementación
  • Cliente
  • Administración
  • Active Directory
  • Infraestructura de clave pública
  • Nube

Requisitos previos de base de referencia

Windows Hello para empresas tiene unos requisitos previos de base de referencia con los que puedes empezar. Estos requisitos previos de base de referencia se proporcionan en la hoja de cálculo.

Opciones de implementación

El objetivo de Windows Hello para empresas es permitir implementaciones en todas las organizaciones de cualquier tamaño o escenario. Para proporcionar este tipo de implementación detallada, Windows Hello para empresas ofrece una amplia variedad de opciones de implementación.

Modelos de implementación

Existen tres modelos de implementación que puedes elegir: solo en la nube, híbrida y local.

Solo en la nube

El modelo de implementación solo en la nube está destinado a organizaciones que solo tienen identidades en la nube y no tienen acceso a recursos locales. Estas organizaciones normalmente unen sus dispositivos a la nube y usan exclusivamente recursos en la nube como SharePoint, OneDrive y otros. Además, dado que estos usuarios no utilizan recursos locales, no necesitan certificados para opciones tales como VPN porque todo lo que necesitan está alojado en Azure.

Híbrida

El modelo de implementación híbrida está destinado a organizaciones que:

  • Están federadas con Azure Active Directory
  • Tienen identidades sincronizadas con Azure Active Directory con Azure Active Directory Connect
  • Usan aplicaciones alojadas en Azure Active Directory y quieren una experiencia de usuario de inicio de sesión único tanto para los recursos locales como para los recursos de Azure Active Directory

Importante

Las implementaciones híbridas admiten el restablecimiento de PIN no destructivo que funciona con los modelos de confianza de certificados y de confianza de claves.

Requisitos:

  • Microsoft servicio de restablecimiento de PIN: Windows 10, versiones 1709 a 1809, Enterprise Edition. No hay ningún requisito de licencia para este servicio desde la versión 1903
  • Restablecer la pantalla de bloqueo anterior (olvidé mi vínculo pin): Windows 10, versión 1903
Local

El modelo de implementación local está destinado a organizaciones que no tienen identidades en la nube o usan aplicaciones alojadas en Azure Active Directory.

Importante

Las implementaciones locales admiten el restablecimiento de PIN destructivo que funciona tanto con la confianza del certificado como con los modelos de confianza clave.

Requisitos:

  • Restablecer desde la configuración: Windows 10, versión 1703, Professional
  • Restablecer la pantalla de bloqueo anterior: Windows 10, versión 1709, Professional
  • Restablecer la pantalla de bloqueo anterior (olvidé mi vínculo pin): Windows 10, versión 1903

Es fundamentalmente importante comprender qué modelo de implementación usar para una implementación correcta. Es posible que ya se hayan decidido algunos aspectos de la implementación en función de la infraestructura actual.

Tipos de confianza

Un tipo de confianza de implementación define cómo cada cliente de Windows Hello para empresas realiza la autenticación en Active Directory local. Hay dos tipos de confianza: la clave de confianza y el certificado de confianza.

Nota

Windows Hello para empresas introdujo a principios de 2022 un nuevo modelo de confianza denominado confianza de Kerberos en la nube. Este modelo permite la implementación de Windows Hello para empresas mediante la infraestructura introducida para admitir el inicio de sesión de clave de seguridad en dispositivos unidos a Azure AD híbrido y acceso a recursos locales en dispositivos unidos a Azure AD. Para obtener más información, consulte Implementación de confianza de Kerberos en la nube híbrida.

El tipo de clave de confianza no requiere la emisión de certificados de autenticación para los usuarios finales. Los usuarios se autentican mediante una clave enlazada a hardware creada durante la experiencia de aprovisionamiento integrada. Esto requiere una distribución adecuada de Windows Server 2016 o controladores de dominio posteriores en relación con la autenticación existente y el número de usuarios incluidos en la implementación de Windows Hello para empresas. Lea Planeamiento de un número adecuado de controladores de dominio Windows Server 2016 o posteriores para Windows Hello para empresas implementaciones para obtener más información.

El tipo de certificado de confianza emite certificados de autenticación para los usuarios finales. Los usuarios se autentican mediante un certificado solicitado mediante una clave enlazada a hardware creada durante la experiencia de aprovisionamiento integrada. A diferencia de la confianza de clave, la confianza del certificado no requiere Windows Server 2016 controladores de dominio (pero todavía requiere Windows Server 2016 o un esquema de Active Directory posterior). Los usuarios pueden usar su certificado para autenticarse en cualquier controlador de dominio de Windows Server 2008 R2 o posterior.

Nota

RDP no admite la autenticación con Windows Hello para empresas implementaciones de confianza clave como una credencial proporcionada. RDP solo se admite con implementaciones de confianza de certificados como una credencial proporcionada en este momento. Windows Hello para empresas confianza de clave se puede usar con Windows Defender Remote Credential Guard.

Registro de dispositivos

Todos los dispositivos que se incluyen en la implementación de Windows Hello para empresas deben pasar por el registro de dispositivos. El registro de dispositivos permite que los dispositivos se autentiquen en los proveedores de identidad. En el caso de las implementaciones en la nube e híbridas, el proveedor de identidad es Azure Active Directory. En el caso de las implementaciones locales, el proveedor de identidad es el servidor local que ejecuta el rol de los Servicios de federación de Active Directory (AD FS) de Windows Server 2016.

Registro de claves

La experiencia de aprovisionamiento de Windows Hello para empresas integrada crea un par de claves asimétricas enlazadas a hardware como credenciales de su usuario. La clave privada está protegida por los módulos de seguridad del dispositivo; sin embargo, la credencial es una clave de usuario (no una clave de dispositivo). La experiencia de aprovisionamiento registra la clave pública del usuario con el proveedor de identidades. En el caso de las implementaciones en la nube e híbridas, el proveedor de identidad es Azure Active Directory. En el caso de las implementaciones locales, el proveedor de identidad es el servidor local que ejecuta el rol de los Servicios de federación de Active Directory (AD FS) de Windows Server 2016.

Autenticación multifactor

Importante

A partir del 1 de julio de 2019, Microsoft ya no ofrecerá servidor MFA para nuevas implementaciones. Los nuevos clientes que requieran la autenticación multifactor para sus usuarios deben usar Azure AD Multi-Factor Authentication basado en la nube. Los clientes existentes que hayan activado el servidor MFA antes del 1 de julio de 2019 podrán descargar la versión más reciente, las actualizaciones futuras y generar las credenciales de activación como de costumbre. Consulte Introducción al servidor Multi-Factor Authentication de Azure AD para obtener más información.

El objetivo de Windows Hello para empresas es que las organizaciones dejen de utilizar contraseñas ofreciéndoles una credencial segura que proporcione una autenticación fácil de dos factores. La experiencia de aprovisionamiento integrada acepta las credenciales débiles del usuario (nombre de usuario y contraseña) como autenticación en primer factor; sin embargo, el usuario debe proporcionar un segundo factor de autenticación antes de que Windows aprovisione una credencial segura.

Las implementaciones híbridas y solo en la nube proporcionan muchas opciones para la autenticación multifactor. Las implementaciones locales deben usar una autenticación multifactor que proporcione un adaptador multifactor de AD FS que se usará junto con el rol de servidor de AD FS Windows Server 2016 local. Las organizaciones pueden usar el servidor local de Azure AD Multi-Factor Authentication o elegir entre varios terceros (leer Microsoft y métodos de autenticación adicionales de terceros para obtener más información).

Nota

Multi-Factor Authentication de Azure AD está disponible a través de:

  • Contrato Microsoft Enterprise
  • Programa de licencias por volumen Open
  • Programa de proveedores de soluciones en la nube
  • Incluido con
    • Azure Active Directory Premium
    • Enterprise Mobility Suite
    • Enterprise Cloud Suite

Sincronización de directorios

Las implementaciones híbridas y locales usan la sincronización de directorios, pero con un fin distinto. Las implementaciones híbridas usan Azure Active Directory Connect para sincronizar identidades o credenciales de Active Directory entre sí y con Azure Active Directory. Esto ayuda a habilitar el inicio de sesión único en Azure Active Directory y sus componentes federados. Las implementaciones locales usan la sincronización de directorios para importar usuarios de Active Directory al servidor Azure MFA, que envía datos al servicio en la nube de Azure MFA para realizar la comprobación.

Administración

Windows Hello para empresas ofrece a las organizaciones un amplio conjunto de configuraciones de directivas detalladas que pueden usar para administrar sus usuarios y dispositivos. Hay tres formas con las que puedes administrar Windows Hello para empresas: directiva de grupo, administración moderna y mixta.

Directiva de grupo

La directiva de grupo es la forma más fácil y popular para administrar Windows Hello para empresas en dispositivos unidos a un dominio. Tan solo tienes que crear un objeto de directiva de grupo con la configuración que quieras. Vincula el objeto de directiva de grupo en una posición alta de Active Directory y usa el filtrado de grupos de seguridad para establecer como objetivo conjuntos específicos de usuarios o equipos. O bien, vincula el GPO directamente a las unidades organizativas.

Administración moderna

La administración moderna es un nuevo paradigma de administración de dispositivos que saca partido de la nube para administrar dispositivos tanto unidos a un dominio como no. Las organizaciones pueden unificar la administración de dispositivos en una plataforma y aplicar la configuración de directiva con una única plataforma

Cliente

Windows Hello para empresas es una característica exclusiva Windows 10 y Windows 11. Como parte de la estrategia de Windows como servicio, Microsoft ha mejorado la implementación, la administración y la experiencia del usuario con cada nueva versión de Windows y ha introducido compatibilidad con nuevos escenarios.

La mayoría de los escenarios de implementación requieren un mínimo de Windows 10, versión 1511, también conocida como la actualización de noviembre. El requisito de cliente puede cambiar en función de los distintos componentes de la infraestructura existente y otras opciones de infraestructura más adelante en la planificación de tu implementación. Estos componentes y opciones pueden requerir un cliente mínimo con Windows 10, versión 1703, también conocido como Creators Update.

Active Directory

Las implementaciones híbridas y locales incluyen Active Directory como parte de su infraestructura. La mayoría de los requisitos de Active Directory, como el esquema y niveles funcionales de bosque y dominio, están predeterminados. Sin embargo, la opción de tipo de confianza para la autenticación determina la versión del controlador de dominio necesaria para la implementación.

Infraestructura de clave pública

La implementación de Windows Hello para empresas depende de una infraestructura de clave pública empresarial como anclaje de veracidad para autenticación. Los controladores de dominio para implementaciones híbridas y locales necesitan un certificado para que los dispositivos Windows confíen en el controlador de dominio como legítimo. Las implementaciones que usan el tipo de certificado de confianza necesitan una infraestructura de clave pública empresarial y una entidad de registro de certificados para emitir certificados de autenticación a los usuarios. Es posible que las implementaciones híbridas tengan que emitir certificados VPN para los usuarios que habiliten recursos locales de conectividad.

Nube

Algunas combinaciones de implementación requieren una cuenta de Azure y otras requieren Azure Active Directory para las identidades de usuario. Estos requisitos de la nube solo pueden tener una cuenta de Azure, mientras que otras funciones necesitan una suscripción a Azure Active Directory Premium. El proceso de planificación identifica y diferencia los componentes necesarios de los que son opcionales.

Planificar una implementación

La planificación de la implementación de Windows Hello para empresas comienza con la elección de un tipo de implementación. Al igual que todos los sistemas distribuidos, Windows Hello para empresas depende de varios componentes dentro de la infraestructura de la organización.

Usa el resto de esta guía para ayudarte a planificar la implementación. A medida que tomas decisiones, escribe los resultados de las decisiones que hay en la hoja de cálculo de planificación. Cuando termine, tendrá toda la información necesaria para completar el proceso de planeamiento y la guía de implementación adecuada que mejor le ayude con la implementación.

Modelo de implementación

Elige el modelo de implementación basado en los recursos a los que los usuarios tienen acceso. Usa la guía siguiente para tomar una decisión.

Si la organización no tiene recursos locales, escribe Solo nube en el cuadro 1a de la hoja de cálculo de planificación.

Si su organización está federada con Azure o usa cualquier servicio, como AD Connect, Office365 o OneDrive, o si los usuarios acceden a recursos locales y en la nube, escriba Híbrido en el cuadro 1a en la hoja de cálculo de planeamiento.

Si la organización no tiene recursos en la nube, escribe Local en el cuadro 1a de la hoja de cálculo de planificación.

Nota

  • El caso de uso principal de la implementación local es para "Entornos administrativos de seguridad mejorada" también conocidos como "Bosques rojos".
  • La migración del entorno local a la implementación híbrida requerirá una nueva implementación.

Tipo de confianza

Los dispositivos unidos a Azure AD híbrido administrados por directiva de grupo necesitan el rol Windows Server 2016 AD FS para emitir certificados. Los dispositivos unidos a Azure AD híbrido y los dispositivos unidos a Azure AD administrados por Intune o una MDM compatible necesitan el rol de servidor NDES de Windows Server para emitir certificados.

Elige un tipo de confianza que mejor se adapte a las organizaciones. Recuerda que el tipo de confianza determina dos aspectos. Si emites certificados de autenticación a los usuarios y si la implementación necesita controladores de dominio de Windows Server 2016.

Un modelo de confianza no es más seguro que el otro. La diferencia principal se basa en la comodidad de la organización con la implementación de Windows Server 2016 controladores de dominio y no la inscripción de usuarios con certificados de entidad final (clave-confianza) en el uso de controladores de dominio existentes y la necesidad de inscribir certificados para todos sus usuarios (confianza de certificados).

Dado que los tipos de confianza de certificado emiten certificados, hay más configuración e infraestructura necesarias para dar cabida a la inscripción de certificados de usuario, lo que también podría ser un factor a tener en cuenta en la decisión. La infraestructura adicional necesaria para las implementaciones de confianza de certificados incluye una entidad de registro de certificados. En un entorno federado, debe activar la opción Escritura diferida de dispositivos en Azure AD Connect.

Si tu organización quiera usar el tipo de clave de confianza, escribe clave de confianza en el cuadro 1b de la hoja de cálculo de planificación. Escribe Windows Server 2016 en el cuadro 4d. Escribe N/A en el cuadro 5b.

Si tu organización quiera usar el tipo de certificado de confianza, escribe certificado de confianza en el cuadro 1b de la hoja de cálculo de planificación. Escribe Windows Server 2008 R2 o posterior en el cuadro 4d. En el cuadro 5c, escribe inicio de sesión de tarjeta inteligente en la columna Nombre de plantilla y escribe usuarios en la columna Emitido para de la hoja de cálculo de planificación.

Registro de dispositivos

Una implementación correcta de Windows Hello para empresas requiere que todos los dispositivos se registren en el proveedor de identidad. El proveedor de identidad depende del modelo de implementación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube o híbrida, escribe Azure en el cuadro 1c de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, escribe AD FS en el cuadro 1c de la hoja de cálculo de planificación.

Registro de claves

Todos los usuarios que aprovisionan Windows Hello para empresas tienen la clave pública registrada en el proveedor de identidad. El proveedor de identidad depende del modelo de implementación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube o híbrida, escribe Azure en el cuadro 1d de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación contiene local, escribe AD FS en el cuadro 1d de la hoja de cálculo de planificación.

Sincronización de directorios

Windows Hello para empresas es una autenticación segura de usuario, lo que suele significar que hay una identidad (un usuario o nombre de usuario) y un credencial (normalmente un par de claves). Algunas operaciones requieren escribir datos de usuario en el directorio o leerlos desde allí. Por ejemplo, leer el número de teléfono del usuario para realizar la autenticación multifactor durante el aprovisionamiento o escribir la clave pública del usuario.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, escribe N/A en el cuadro 1e. La información de usuario se escribe directamente en Azure Active Directory y no hay otro directorio con el que la información debe sincronizarse.

Si el cuadro 1a de la hoja de cálculo de planificación muestra híbrida, escribe Azure AD Connect en el cuadro 1e de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, escribe Servidor Azure MFA. Esta implementación usa exclusivamente Active Directory para la información del usuario con la excepción de la autenticación multifactor. El servidor azure MFA local sincroniza un subconjunto de la información del usuario, como el número de teléfono, para proporcionar autenticación multifactor mientras las credenciales del usuario permanecen en la red local.

Autenticación multifactor

El objetivo de Windows Hello para empresas es que el usuario deje de usar contraseñas para la autenticación y use una autenticación segura basada en claves. Las contraseñas son credenciales no seguras y no son fiables ya que un atacante con una contraseña robada podría intentar inscribirse en Windows Hello para empresas. Para mantener la transición de una credencial débil a segura, Windows Hello para empresas se basa en la autenticación multifactor durante el aprovisionamiento para tener algunas garantías de que el aprovisionamiento de identidades de usuario de una credencial Windows Hello para empresas es la identidad adecuada.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, la única opción es usar el servicio en la nube de Azure MFA. Escribe Azure MFA en el cuadro 1f de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra híbrida, tienes varias opciones, algunas de las cuales dependen de la configuración de sincronización del directorio. Entre las opciones que se pueden elegir se incluyen:

  • Usar directamente el servicio en la nube de Azure MFA
  • Usar AD FS con el adaptador de servicio en la nube de Azure MFA
  • Usar AD FS con el adaptador del servidor de Azure MFA
  • Usar AD FS con adaptador de MFA de terceros

Puedes usar directamente el servicio en la nube de Azure MFA para el segundo factor de autenticación. Los usuarios que se ponen en contacto con el servicio deben autenticarse en Azure antes de usar el servicio.

Si Azure AD Connect está configurado para sincronizar identidades (solo nombres de usuario), los usuarios se redirigirán a tu servidor de federación local para la autenticación y luego se les redirigirá de nuevo al servicio en la nube de Azure MFA. De lo contrario, Azure AD Connect se configura para sincronizar las credenciales (nombre de usuario y contraseñas), lo que permite a los usuarios autenticarse en Azure Active Directory y usar el servicio en la nube de Azure MFA. Si decides usar directamente el servicio en la nube de Azure MFA, escribe Azure MFA en el cuadro 1f de la hoja de cálculo de planificación.

Puedes configurar tu rol de AD FS de Windows Server 2016 local para usar el adaptador de servicio de Azure MFA. En esta configuración, los usuarios se redirigen al servidor AD FS local (solo identidades de sincronización). El servidor AD FS utiliza el adaptador de MFA para comunicarse con el servicio de Azure MFA para llevar a cabo el segundo factor de autenticación. Si decides usar AD FS con el adaptador de servicio en la nube de Azure MFA, escribe AD FS con adaptador en la nube de Azure MFA en el cuadro 1f de la hoja de cálculo de planificación.

Como alternativa, puedes usar AD FS con un adaptador de servidor Azure MFA local. En lugar de que AD FS se comunique directamente con el servicio en la nube de MFA Azure, se comunica con un servidor de Azure MFA local que sincroniza la información de usuario con Active Directory local. El servidor Azure MFA se comunica con los servicios en la nube de Azure MFA para llevar a cabo el segundo factor de autenticación. Si decides usar AD FS con el adaptador de servidor de Azure MFA, escribe AD FS con adaptador de servidor de Azure MFA en el cuadro 1f de la hoja de cálculo de planificación.

La última opción consiste en usar AD FS con un adaptador de otro fabricante como el segundo factor de autenticación. Si decides usar AD FS con el adaptador MFA de otro fabricante, escribe AD FS con adaptador de otro fabricante en el cuadro 1f de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, tienes dos opciones de autenticación de segundo factor. Debes usar Windows Server 2016 AD FS con el servidor de Azure MFA local que elijas o con un adaptador MFA de otro fabricante.

Si decides usar AD FS con el adaptador de servidor de Azure MFA, escribe AD FS con adaptador de servidor de Azure MFA en el cuadro 1f de la hoja de cálculo de planificación. Si decides usar AD FS con el adaptador MFA de otro fabricante, escribe AD FS con adaptador de otro fabricante en el cuadro 1f de la hoja de cálculo de planificación.

Administración

Windows Hello para empresas ofrece a las organizaciones muchas opciones de configuración de directiva y un control pormenorizado sobre cómo estas opciones de configuración pueden aplicarse a usuarios y equipos. El tipo de administración de directivas que puedes usar depende de la implementación seleccionada y los modelos de confianza.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, escribe N/A en el cuadro 2a de la hoja de cálculo de planificación. Tienes la opción de administrar dispositivos que no estén unidos a un dominio. Si decide administrar dispositivos unidos a Azure Active Directory, escriba administración moderna en el cuadro 2b de la hoja de cálculo de planificación. De lo contrario, escribe ** N/A** en el cuadro 2b.

Nota

Los dispositivos unidos a Azure Active Directory sin administración moderna se inscriben automáticamente en Windows Hello para empresas mediante la configuración de directiva predeterminada. Usa la administración moderna para ajustar la configuración de directiva para que coincida con las necesidades empresariales de la organización.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, escribe GP en el cuadro 2a de la hoja de cálculo de planificación. Escribe N/A en el cuadro 2b de la hoja de cálculo.

En la administración de las implementaciones híbridas se incluyen dos categorías de dispositivos que han de tenerse en cuenta para la implementación de Windows Hello para empresas: unidos a un dominio y no unidos a un dominio. Todos los dispositivos están registrados, sin embargo, no todos los dispositivos están unidos a un dominio. Tienes la posibilidad de usar la directiva de grupo para dispositivos unidos a un dominio y la administración moderna para dispositivos no unidos a un dominio. O bien, puedes usar la administración moderna para dispositivos unidos a un dominio y dispositivos no unidos a un dominio.

Si usas Directiva de grupo para administrar los dispositivos unidos a tu dominio, escribe GP en cuadro 2a de la hoja de cálculo de planificación. Escribe administración moderna en el cuadro 2b si decides administrar dispositivos no unidos al dominio; de lo contrario, escribe N/D.

Si usas la administración moderna para dispositivos unidos a un dominio y dispositivos no unidos a un dominio, escribe administración moderna en el cuadro 2a y 2b en la hoja de cálculo de planificación.

Cliente

Windows Hello para empresas es una característica exclusiva de Windows 10 y Windows 11. Algunas implementaciones y características están disponibles con versiones anteriores de Windows 10. Otras necesitan las versiones más recientes.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, escribe N/A en el cuadro 3a de la hoja de cálculo de planificación. También puedes escribir 1511 o posterior en el cuadro 3b de la hoja de cálculo de planificación si tienes previsto administrar dispositivos no unidos a un dominio.

Nota

Los dispositivos unidos a Azure Active Directory sin administración moderna se inscriben automáticamente en Windows Hello para empresas mediante la configuración de directiva predeterminada. Usa la administración moderna para ajustar la configuración de directiva para que coincida con las necesidades empresariales de la organización.

Escribe 1511 o posterior en el cuadro 3a de la hoja de cálculo de planificación si se cumple alguna de las siguientes opciones.

  • El cuadro 2a de la hoja de cálculo de planificación muestra administración moderna.
    • También puedes escribir 1511 o posterior en el cuadro 3b de la hoja de cálculo de planificación si tienes previsto administrar dispositivos no unidos a un dominio.
  • El cuadro 1a de la hoja de cálculo de planificación muestra híbrida, el cuadro 1b muestra clave de confianza y el cuadro 2a muestra GP. Opcionalmente, puede escribir *1511 o posterior en el cuadro 3b de la hoja de cálculo de planeamiento si planea administrar dispositivos no unidos a un dominio.

Escribe 1703 o posterior en el cuadro 3a de la hoja de cálculo de planificación si se cumple alguna de las siguientes opciones.

  • El cuadro 1a de la hoja de cálculo de planificación muestra local.
    Escribe N/A en el cuadro 3b de la hoja de cálculo de planificación.
  • El cuadro 1a de la hoja de cálculo de planificación muestra híbrida, el cuadro 1b muestra certificado de confianza y el cuadro 2a muestra GP.
    • También puedes escribir 1511 o posterior en el cuadro 3b de la hoja de cálculo de planificación si tienes previsto administrar dispositivos no unidos a un dominio.

Active Directory

La parte de Active Directory de la guía de planificación debe completarse. La mayoría de las condiciones son requisitos previos de base de referencia, excepto los controladores de dominio. Los controladores de dominio que se usan en la implementación se deciden en función del tipo de confianza elegida.

Revisa la parte dedicada al tipo de confianza de esta sección si el cuadro 4d de la hoja de cálculo de planificación permanece vacía.

Infraestructura de clave pública

Los requisitos previos de la infraestructura de clave pública ya existen en la hoja de cálculo de planificación. Estas condiciones son los requisitos mínimos para todas las implementaciones locales o híbridas. Pueden ser necesarias condiciones adicionales en función del tipo de confianza.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, pasa por alto la sección de infraestructura de clave pública de la hoja de cálculo de planificación. Las implementaciones solo en la nube no usan una infraestructura de clave pública.

Si el cuadro 1b de la hoja de cálculo de planificación muestra clave de confianza, escribe N/A en el cuadro 5b de la hoja de cálculo de planificación. La confianza de claves no requiere ningún cambio en la infraestructura de clave pública, omita esta parte y vaya a la sección Nube .

La entidad de registro solo está relacionada con las implementaciones de certificados de confianza y la administración usada para dispositivos unidos y no unidos a un dominio. Los dispositivos unidos a Azure AD híbrido administrados por directiva de grupo necesitan el rol Windows Server 2016 AD FS para emitir certificados. Los dispositivos unidos a Azure AD híbrido y los dispositivos unidos a Azure AD administrados por Intune o una MDM compatible necesitan el rol de servidor NDES de Windows Server para emitir certificados.

Si el cuadro 2a muestra GP y el cuadro 2b muestra administración moderna, escribe AD FS RA y NDES en el cuadro 5b de la hoja de cálculo de planificación. En el cuadro 5c, escribe los siguientes nombres de plantillas de certificado y emisiones:

Nombre de plantilla de certificado Emitido para
Agente de inscripción de Exchange AD FS RA
Servidor web AD FS RA
Agente de inscripción de Exchange NDES
Servidor web NDES
Cifrado CEP NDES

Si el cuadro 2a lee GP y el cuadro 2b lee N/A, escriba AD FS RA en el cuadro 5b y escriba los siguientes nombres y emisiones de plantilla de certificado en el cuadro 5c de la hoja de cálculo de planificación.

Nombre de plantilla de certificado Emitido para
Agente de inscripción de Exchange AD FS RA
Servidor web AD FS RA

Si el cuadro 2a o 2b muestra la opción administración moderna, escribe NDES en el cuadro 5b y escribe los siguientes nombres de plantilla de certificado y emisiones en el cuadro 5c de la hoja de cálculo de planificación.

Nombre de plantilla de certificado Emitido para
Agente de inscripción de Exchange NDES
Servidor web NDES
Cifrado CEP NDES

Nube

Casi todas las implementaciones de Windows Hello para empresas requieren una cuenta de Azure.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube o híbrida, escribe en los cuadros 6a y 6b de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local y el cuadro 1f muestra AD FS con adaptador de otro fabricante, escribe No en el cuadro 6a de la hoja de cálculo de planificación. De lo contrario, escribe en el cuadro 6a, ya que necesitas una cuenta de Azure para la facturación de MFA por consumo. Escribe No en el cuadro 6b de la hoja de cálculo de planificación; las implementaciones locales no usan el directorio en la nube.

Windows Hello para empresas no requiere una suscripción a Azure AD Premium. Sin embargo, algunas dependencias, como la inscripción automática mdm y el acceso condicional , sí.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, escribe No en el cuadro 6c de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra híbrida el cuadro 1b muestra clave de confianza, escribe No en el cuadro 6c de la hoja de cálculo de planificación. Puede implementar Windows Hello para empresas mediante el nivel gratuito de Azure Active Directory. Todas las cuentas gratuitas de Azure Active Directory pueden usar Azure AD Multi-Factor Authentication mediante el uso de valores predeterminados de seguridad. Algunas características de Azure AD Multi-Factor Authentication requieren una licencia. Para más información, consulte Características y licencias para Azure AD Multi-Factor Authentication.

Si el cuadro 5b de la hoja de cálculo de planificación muestra AD FS RA, escribe en el cuadro 6c de la hoja de cálculo de planificación. La inscripción de un certificado mediante la entidad de registro de AD FS requiere que los dispositivos se autentiquen en el servidor de AD FS, lo que requiere la reescritura de dispositivos, una característica de Azure AD Premium.

Los dispositivos administrados modernos no requieren una suscripción a Azure AD Premium. Al renunciar a la suscripción, los usuarios deben inscribir manualmente los dispositivos en el software de administración moderna, como por ejemplo, Intune o una solución MDM compatible de otro fabricante.

Si los cuadros 2a o 2b muestran administración moderna y quieres que los dispositivos se inscriban automáticamente en el software de administración moderna, escribe Yes en el cuadro 6c de la hoja de cálculo de planificación. De lo contrario, escribe No en el cuadro 6c.

Enhorabuena, ya ha terminado.

La hoja de cálculo de planificación de Windows Hello para empresas debe haberse completado. En esta guía se explican los componentes que se usan en la infraestructura de Windows Hello para empresas y el motivo de por qué se usan. La hoja de cálculo te ofrece una visión general de los requisitos necesarios para continuar con la siguiente fase de la implementación. Con esta hoja de cálculo, podrá identificar los elementos clave de la implementación de Windows Hello para empresas.