Desbloqueo multifactor

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

Windows Hello para empresas admite el uso de una sola credencial (PIN y biometría) para desbloquear un dispositivo. Por lo tanto, si alguna de las credenciales están en riesgo (miradas por encima del hombro), un atacante podría obtener acceso al sistema.

Windows Hello para empresas se puede configurar con desbloqueo multifactor, ampliando Windows Hello con señales de confianza. Los administradores pueden configurar dispositivos para solicitar una combinación de factores y señales de confianza para desbloquearlos.

El desbloqueo multifactor es ideal para organizaciones que:

• Han expresado que los PIN por sí solos no satisfacen sus necesidades de seguridad
• Desea evitar que los trabajadores de la información compartan credenciales
• Desea que sus organizaciones cumplan con la directiva de autenticación en dos fases normativa
• Desea conservar la conocida experiencia de usuario de inicio de sesión de Windows y no conformarse con una solución personalizada

Cómo funciona

El primer proveedor de credenciales de factor de desbloqueo y el segundo proveedor de credenciales de desbloqueo son responsables de la mayor parte de la configuración. Cada uno de estos componentes contiene un identificador único global (GUID) que representa un proveedor de credenciales de Windows diferente. Con la configuración de directiva habilitada, los usuarios desbloquean el dispositivo mediante al menos un proveedor de credenciales de cada categoría antes de que Windows permita al usuario continuar con su escritorio.

La configuración de directiva tiene tres componentes:

• En primer lugar, desbloquea el proveedor de credenciales
• En segundo lugar, desbloquea el proveedor del factor de credenciales
• Reglas de señales para desbloquear el dispositivo

Configuración de factores de desbloqueo

Precaución

Cuando la directiva de seguridad DontDisplayLastUserName está habilitada, se sabe que interfiere con la capacidad de usar el desbloqueo multifactor.

Las partes Proveedores de credenciales del primer factor de desbloqueo y Proveedores de credenciales del segundo factor de desbloqueo de la configuración de directivas contienen cada una de ellas una lista separada por comas de los proveedores de credenciales.

Entre los proveedores de credenciales admitidos se encuentran:

Proveedor de credenciales	GUID
PIN	{D6886603-9D2F-4EB2-B667-1971041FA96B}
Huella digital	{BEC09223-B018-416D-A0AC-523971B639F5}
Reconocimiento facial	{8AF662BF-65A0-4D0A-A540-A338A999D36F}
Señal de confianza (Proximidad de teléfonos, ubicación de red)	{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

Nota

El desbloqueo multifactor no admite proveedores de credenciales que no son de Microsoft ni proveedores de credenciales que no aparecen en la tabla anterior.

Los proveedores de credenciales predeterminados del Proveedor de credenciales del primer factor de desbloqueo incluyen:

• PIN
• Huella digital
• Reconocimiento facial

Los proveedores de credenciales predeterminados del Segundo proveedor de factor de credenciales de desbloqueo incluyen:

• Señal de confianza
• PIN

Configura una lista separada por comas de GUID de proveedores de credenciales que quieras usar como primero y segundo factores de desbloqueo. Aunque un proveedor de credenciales puede aparecer en ambas listas, una credencial admitida por ese proveedor solo puede satisfacer uno de los factores de desbloqueo. No es necesario que los proveedores de credenciales enumerados estén en ningún orden específico.

Por ejemplo, si se incluye el PIN y los proveedores de credenciales de huella digital de la primera y segunda listas de factores, un usuario puede usar su huella digital o el PIN como primer factor de desbloqueo. Cualquier factor que use para satisfacer el primer factor de desbloqueo no se puede usar para satisfacer el segundo factor de desbloqueo. Cada factor puede, por tanto, usarse exactamente una vez. El proveedor de señal de confianza solo puede especificarse como parte de la lista de proveedores de credenciales del segundo factor de desbloqueo.

Configurar las reglas de señales para el proveedor de credenciales de señales de confianza

La configuración Reglas de señal para desbloqueo de dispositivos contiene las reglas que usa el proveedor de credenciales de señales de confianza para satisfacer el desbloqueo del dispositivo.

Elemento de regla

Declara las reglas de señales en XML. Cada regla de señal tiene un elemento inicial y final rule que contiene el atributo y el schemaVersion valor. La versión de esquema compatible actual es 1.0.

Ejemplo

<rule schemaVersion="1.0">
</rule>

Elemento de señal

Cada elemento rule tiene un signal elemento . Todos los elementos de señal tienen un type elemento y value. Los valores admitidos son:

• bluetooth
• Ipconfig
• wi-fi

Bluetooth

Defina la señal bluetooth con más atributos en el elemento signal. La configuración de Bluetooth no usa ningún otro elemento. Puede finalizar el elemento de señal con la etiqueta />final corta .

Atributo	Valor	Requerido
tipo	bluetooth	sí
escenario	Authentication	sí
classOfDevice	"número"	no
rssiMin	"número"	no
rssiMaxDelta	"número"	no

Por ejemplo:

<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

El atributo classofDevice tiene como valor predeterminado Phone y usa los valores de la tabla siguiente:

Descripción	Valor
Varios	0
Ordenador	256
Teléfono	512
Punto de acceso a LAN/red	768
Audio/Vídeo	1024
Periféricos	1280
Creación de imágenes	1536
Wearable	1792
Juguete	2048
Estado	2304
No clasificado	7936

La señal de valor del atributo rssiMin indica la intensidad necesaria para que el dispositivo se considere "a distancia adecuada". El valor predeterminado de -10 permite que un usuario se mueva por una oficina o recinto de tamaño medio sin desencadenar el que Windows bloquee el dispositivo. RssiMaxDelta tiene un valor predeterminado de -10, que indica a Windows que bloquee el dispositivo una vez que la intensidad de la señal se debilite por más de 10 medidas.

Las medidas RSSI son relativas e inferiores a medida que se reducen las señales bluetooth entre los dos dispositivos emparejados. Una medida de 0 es más fuerte que -10. Una medida de -10 es más fuerte que -60 e indica que los dispositivos se están separando entre sí.

Importante

Microsoft recomienda usar los valores predeterminados para esta configuración de directiva. Las mediciones son relativas, en función de las diferentes condiciones de cada entorno. Por lo tanto, los mismos valores pueden producir resultados diferentes. Prueba la configuración de directiva en cada entorno antes de implementar ampliamente dicha configuración. Usa los valores rssiMIN y rssiMaxDelta del archivo XML creado por el Editor de administración de directivas de grupo o quita ambos atributos para usar los valores predeterminados.

Configuración IP

Define las señales de configuración IP usando uno o más elementos ipConfiguration. Cada elemento tiene un valor de cadena. Los elementos IpConfiguration no tienen atributos ni elementos anidados.

IPv4Prefix

El prefijo de red IPv4 representado en notación decimal con puntos estándar de Internet. Se requiere un prefijo de red que usa la notación de enrutamiento entre dominios sin clase (CIDR) como parte de la cadena de red. En la cadena de red no debe estar presente un puerto de red. Un elemento señal solo puede contener un elemento ipv4Prefix. Por ejemplo:

<ipv4Prefix>192.168.100.0/24</ipv4Prefix>

Las direcciones IPv4 asignadas en el intervalo de 192.168.100.1 a 192.168.100.254 concuerdan con esta configuración de señal.

IPv4Gateway

La puerta de enlace de red IPv4 representado en notación decimal con puntos estándar de Internet. En la cadena de red no debe estar presente un puerto ni un prefijo de red. Un elemento señal solo puede contener un elemento ipv4Gateway. Por ejemplo:

<ipv4Gateway>192.168.100.10</ipv4Gateway>

IPv4DhcpServer

El servidor DHCP IPv4 representado en notación decimal con puntos estándar de Internet. En la cadena de red no debe estar presente un puerto ni un prefijo de red. Un elemento señal solo puede contener un elemento ipv4DhcpServer. Por ejemplo:

<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>

IPv4DnsServer

El servidor DNS IPv4 representado en notación decimal con puntos estándar de Internet. En la cadena de red no debe estar presente un puerto ni un prefijo de red. El elemento señal puede contener uno o más elementos ipv4DnsServer.

Ejemplo:

<ipv4DnsServer>192.168.100.10</ipv4DnsServer>

IPv6Prefix

El prefijo de red IPv6 representado en la red IPv6 mediante la codificación hexadecimal estándar de Internet. Un prefijo de red en notación CIDR es necesario como parte de la cadena de red. En la cadena de red no debe estar presente un puerto de red ni un id. de ámbito. Un elemento señal solo puede contener un elemento ipv6Prefix. Por ejemplo:

<ipv6Prefix>21DA:D3::/48</ipv6Prefix>

IPv6Gateway

La puerta de enlace de red IPv6 representada en codificación hexadecimal estándar de Internet. Un id. de ámbito IPv6 puede estar presente en la cadena de red. En la cadena de red no debe estar presente un puerto ni un prefijo de red. Un elemento señal solo puede contener un elemento ipv6Gateway. Por ejemplo:

<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>

IPv6DhcpServer

El servidor DNS IPv6 representado en codificación hexadecimal estándar de Internet. Un id. de ámbito IPv6 puede estar presente en la cadena de red. En la cadena de red no debe estar presente un puerto ni un prefijo de red. Un elemento señal solo puede contener un elemento ipv6DhcpServer. Por ejemplo:

<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer

IPv6DnsServer

El servidor DNS IPv6 representado en codificación hexadecimal estándar de Internet. Un id. de ámbito IPv6 puede estar presente en la cadena de red. En la cadena de red no debe estar presente un puerto ni un prefijo de red. El elemento señal solo puede contener uno o más elementos ipv6DnsServer. Por ejemplo:

<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>

dnsSuffix

Nombre de dominio completo del sufijo DNS interno de la organización donde existe cualquier parte del nombre de dominio completo en esta configuración en el sufijo DNS principal del equipo. El elemento señal solo puede contener uno o más elementos dnsSuffix. Por ejemplo:

<dnsSuffix>corp.contoso.com</dnsSuffix>

Wi-Fi

Defina señales de Wi-Fi utilizando uno o varios elementos wifi. Cada elemento tiene un valor de cadena. Los elementos Wifi no tienen atributos ni elementos anidados.

SSID

Contiene el identificador del conjunto de servicios (SSID) de una red inalámbrica. El SSID es el nombre de la red inalámbrica. Se requiere el elemento SSID. Por ejemplo:

<ssid>corpnetwifi</ssid>

BSSID

Contiene el identificador básico del conjunto de servicios (BSSID) de un punto de acceso inalámbrico. el BSSID es la dirección mac del punto de acceso inalámbrico. El elemento BSSID es opcional. Por ejemplo:

<bssid>12-ab-34-ff-e5-46</bssid>

Seguridad

Contiene el tipo de seguridad que usa el cliente al conectarse a la red inalámbrica. El elemento de seguridad es necesario y debe contener uno de los valores siguientes:

Valor	Descripción
Abrir	La red inalámbrica es una red abierta que no requiere autenticación ni cifrado.
WEP	La red inalámbrica está protegida mediante la privacidad equivalente cableada.
WPA-Personal	La red inalámbrica está protegida mediante Wi-Fi acceso protegido.
WPA-Enterprise	La red inalámbrica está protegida mediante Wi-Fi Protected Access-Enterprise.
WPA2-Personal	La red inalámbrica está protegida mediante Wi-Fi Acceso protegido 2, que normalmente usa una clave previamente compartida.
WPA2-Enterprise	La red inalámbrica está protegida mediante Wi-Fi Acceso protegido 2-Enterprise.

Por ejemplo:

<security>WPA2-Enterprise</security>

TrustedRootCA

Contiene la huella digital del certificado raíz de confianza de la red inalámbrica. Puede usar cualquier certificado raíz de confianza válido. El valor se representa como una cadena hexadecimal, donde cada byte de la cadena está separado por un solo espacio. El elemento es opcional. Por ejemplo:

<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>

Sig_quality

Contiene un valor numérico que oscila entre 0 y 100 para representar la intensidad de señal de la red inalámbrica necesaria para considerarse una señal de confianza.

Por ejemplo:

<sig_quality>80</sig_quality>

Configuraciones de señal de confianza de ejemplo

Importante

Estos ejemplos van en varias líneas para mejorar la legibilidad. Una vez con el formato correcto, todo el contenido XML debe ser una sola línea.

Ejemplo 1

En el ejemplo siguiente se configura un tipo de señal IPConfig mediante los elementos Ipv4Prefix, Ipv4DnsServer y DnsSuffix .

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <ipv4Prefix>10.10.10.0/24</ipv4Prefix>
        <ipv4DnsServer>10.10.0.1</ipv4DnsServer>
        <ipv4DnsServer>10.10.0.2</ipv4DnsServer>
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>

Ejemplo 2

En el ejemplo siguiente se configura un tipo de señal IpConfig mediante un elemento dnsSuffix y una señal bluetooth para teléfonos. El ejemplo implica que la regla IpConfig o Bluetooth debe evaluarse como true para que la evaluación de señal resultante sea verdadera.

Nota

Separa cada elemento de la regla usando una coma.

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>,
<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

Ejemplo 3

En el ejemplo siguiente se configura lo mismo que en el ejemplo 2 mediante elementos compuestos and . El ejemplo implica que IpConfig y la regla Bluetooth deben evaluarse como true, para que la evaluación de señal resultante sea verdadera.

<rule schemaVersion="1.0">
<and>
  <signal type="ipConfig">
   <dnsSuffix>corp.microsoft.com</dnsSuffix>
  </signal>
  <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>

Ejemplo 4

En el ejemplo siguiente se configura Wi-Fi como una señal de confianza.

<rule schemaVersion="1.0">
  <signal type="wifi">
    <ssid>contoso</ssid>
    <bssid>12-ab-34-ff-e5-46</bssid>
    <security>WPA2-Enterprise</security>
    <trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
    <sig_quality>80</sig_quality>
  </signal>
</rule>

Configuración del desbloqueo multifactor

Para configurar el desbloqueo multifactor, puede usar:

• Microsoft Intune/CSP
• Directiva de grupo

Importante

• El PIN debe estar dentro de al menos uno de los grupos
• Las señales de confianza deben combinarse con otro proveedor de credenciales
• No puede usar el mismo factor de desbloqueo para satisfacer ambas categorías. Por lo tanto, si incluye cualquier proveedor de credenciales en ambas categorías, significa que puede satisfacer cualquiera de las dos categorías, pero no ambas.

Las instrucciones siguientes proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Intune/CSP

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría	Nombre del valor de configuración
Plantillas> administrativasWindows Hello para empresas	Complementos de desbloqueo de dispositivos

1. Configuración de factores de desbloqueo primero y segundo mediante la información de Configuración de factores de desbloqueo
2. Si usa señales de confianza, configure las señales de confianza usadas por el factor de desbloqueo mediante la información de Configuración de reglas de señal para el proveedor de credenciales de señal de confianza.

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con passportforwork CSP.

Configuración
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

GPO

Para configurar un dispositivo con directiva de grupo, use la directiva de grupo Editor Local. Para configurar varios dispositivos unidos a Active Directory, cree o edite un objeto de directiva de grupo (GPO) y use la siguiente configuración:

Ruta de acceso de directiva de grupo	Configuración de directiva de grupo	Valor
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas	Configuración de factores de desbloqueo de dispositivos	Habilitado

1. Configuración de factores de desbloqueo primero y segundo mediante la información de Configuración de factores de desbloqueo
2. Si usa señales de confianza, configure las señales de confianza usadas por el factor de desbloqueo mediante la información de Configuración de reglas de señal para el proveedor de credenciales de señal de confianza.

Las directivas de grupo se pueden vincular a dominios o unidades organizativas, filtrarse mediante grupos de seguridad o filtrarse mediante filtros WMI.

Importante

Debe quitar todos los proveedores de credenciales que no son de Microsoft para asegurarse de que los usuarios no pueden desbloquear sus dispositivos si no tienen los factores necesarios. Las opciones de recuperación deben usar contraseñas o tarjetas inteligentes (pudiendo deshabilitarse ambas según sea necesario).

Experiencia del usuario

Este es un breve vídeo en el que se muestra la experiencia del usuario cuando está habilitado el desbloqueo multifactor:

1. El usuario inicia sesión por primera vez con huella digital + teléfono emparejado con Bluetooth
2. A continuación, el usuario inicia sesión con huella digital + PIN

Solucionar problemas

El desbloqueo multifactor escribe eventos en el registro de eventos en Registros de aplicaciones y servicios\Microsoft\Windows\HelloForBusiness con el nombre de categoría Device Unlock.

Eventos

Id. de evento	Detalles
3520	Iniciado intento de desbloqueo
5520	Directiva de desbloqueo no configurada
6520	Evento de advertencia
7520	Evento de error
8520	Evento correcto