Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Advertencia
las claves de seguridad Windows Hello para empresas y FIDO2 son métodos modernos de autenticación en dos fases para Windows. Se recomienda a los clientes que usan tarjetas inteligentes virtuales que pasen a Windows Hello para empresas o FIDO2. En el caso de las nuevas instalaciones de Windows, se recomienda Windows Hello para empresas o las claves de seguridad FIDO2.
Obtenga información sobre los requisitos de las tarjetas inteligentes virtuales, cómo usarlas y administrarlas.
Requisitos, restricciones y limitaciones
| Área | Requisitos y detalles |
|---|---|
| Módulo de plataforma segura (TPM) compatible | Cualquier TPM que se adhiera a las especificaciones principales de TPM para la versión 1.2 o la versión 2.0 (según lo establecido por el grupo de informática de confianza) se admite para su uso como tarjeta inteligente virtual. Para obtener más información, consulte la especificación principal de TPM. |
| Tarjetas inteligentes virtuales admitidas por equipo | Diez tarjetas inteligentes se pueden conectar a un equipo o dispositivo a la vez. Esto incluye tarjetas inteligentes físicas y virtuales combinadas. Nota Puede crear más de una tarjeta inteligente virtual; sin embargo, después de crear más de cuatro tarjetas inteligentes virtuales, puede empezar a notar la degradación del rendimiento. Dado que todas las tarjetas inteligentes aparecen como si siempre estuvieran insertadas, si más de una persona comparte un equipo o dispositivo, cada persona puede ver todas las tarjetas inteligentes virtuales que se crean en ese equipo o dispositivo. Si el usuario conoce los valores de PIN de todas las tarjetas inteligentes virtuales, el usuario también podrá usarlos. |
| Número admitido de certificados en una tarjeta inteligente virtual | Una sola tarjeta inteligente virtual tpm puede contener 30 certificados distintos con las claves privadas correspondientes. Los usuarios pueden seguir renovando certificados en la tarjeta hasta que el número total de certificados de una tarjeta supere los 90. La razón por la que el número total de certificados es diferente del número total de claves privadas es que a veces la renovación se puede realizar con la misma clave privada, en cuyo caso no se genera una nueva clave privada. |
| Requisitos de PIN, clave de desbloqueo de PIN (PUK) y clave administrativa | El PIN y el PUK deben tener un mínimo de ocho caracteres que pueden incluir números, caracteres alfabéticos y caracteres especiales. La clave administrativa debe escribirse como 48 caracteres hexadecimales. Es un DES triple de 3 teclas con el método de relleno ISO/IEC 9797 2 en modo de encadenamiento CBC. |
Uso de Tpmvscmgr.exe
Para crear y eliminar tarjetas inteligentes virtuales de TPM para los usuarios finales, la herramienta de línea de comandos tpmvscmgr se incluye como una herramienta de línea de comandos con el sistema operativo. Puede usar los parámetros Crear y Eliminar para administrar tarjetas inteligentes virtuales en equipos locales o remotos. Para obtener información sobre el uso de esta herramienta, vea Tpmvscmgr.
Creación y eliminación de tarjetas inteligentes virtuales mediante programación
Las tarjetas inteligentes virtuales también se pueden crear y eliminar mediante api. Para obtener más información, vea las siguientes clases e interfaces:
- TpmVirtualSmartCardManager
- RemoteTpmVirtualSmartCardManager
- ITpmVirtualSmartCardManager
- ITPMVirtualSmartCardManagerStatusCallBack
Puede usar las API en el Windows.Device.SmartCards espacio de nombres para compilar aplicaciones de Microsoft Store con el fin de administrar todo el ciclo de vida de las tarjetas inteligentes virtuales. Para obtener información sobre cómo crear una aplicación para ello, consulte Autenticación segura: compilar aplicaciones que aprovechan tarjetas inteligentes virtuales en entornos empresariales, BYOD y consumidores.
En la tabla siguiente se describen las características que se pueden desarrollar en una aplicación de Microsoft Store:
| Característica | Tarjeta inteligente física | Tarjeta inteligente virtual |
|---|---|---|
| Consulta y supervisión de lectores de tarjetas inteligentes | Sí | Sí |
| Enumerar las tarjetas inteligentes disponibles en un lector y recuperar el nombre de la tarjeta y el identificador de la tarjeta | Sí | Sí |
| Comprobar si la clave administrativa de una tarjeta es correcta | Sí | Sí |
| Aprovisionar (o volver a formatear) una tarjeta con un identificador de tarjeta determinado | Sí | Sí |
| Para cambiar el PIN, escriba el PIN antiguo y especifique un nuevo PIN. | Sí | Sí |
| Cambie la clave administrativa, restablezca el PIN o desbloquee la tarjeta inteligente mediante un método de desafío o respuesta. | Sí | Sí |
| Crear una tarjeta inteligente virtual | No aplicable | Sí |
| Eliminación de una tarjeta inteligente virtual | No aplicable | Sí |
| Establecimiento de directivas de PIN | No | Sí |
Para obtener más información sobre estas API de Windows, consulte:
- Espacio de nombres Windows.Devices.SmartCards (Windows)
- Espacio de nombres Windows.Security.Cryptography.Certificates (Windows)
Distinguir las tarjetas inteligentes virtuales basadas en TPM de las tarjetas inteligentes físicas
Para ayudar a los usuarios a distinguir visualmente una tarjeta inteligente virtual basada en módulo de plataforma segura (TPM) de tarjetas inteligentes físicas, la tarjeta inteligente virtual tiene un icono diferente. El icono 
de tarjeta inteligente virtual se muestra durante el inicio de sesión y en otras pantallas que requieren que el usuario escriba el PIN de una tarjeta inteligente virtual.
Una tarjeta inteligente virtual basada en TPM tiene la etiqueta Dispositivo de seguridad en la interfaz de usuario.
Cambio del PIN
El PIN de una tarjeta inteligente virtual se puede cambiar siguiendo estos pasos:
- Inicio de sesión con el PIN o la contraseña antiguos
- Presione Ctrl+Alt+Supr y seleccione Cambiar una contraseña.
- Seleccione Opciones de inicio de sesión
- Seleccione el icono de tarjeta inteligente virtual.
- Escriba y confirme el nuevo PIN.
Resolución de problemas
TPM no aprovisionado
Para que una tarjeta inteligente virtual basada en TPM funcione correctamente, un TPM aprovisionado debe estar disponible en el equipo:
- Si el TPM está deshabilitado en el BIOS o no se aprovisiona con la propiedad completa y la clave raíz de almacenamiento, se produce un error en la creación de la tarjeta inteligente virtual de TPM.
- Si el TPM se inicializa después de crear una tarjeta inteligente virtual, la tarjeta dejará de funcionar y se debe volver a crear.
- Si se vuelve a instalar el sistema operativo, las tarjetas inteligentes virtuales de TPM anteriores ya no están disponibles y deben volver a crearse.
- Si se actualiza el sistema operativo, las tarjetas inteligentes virtuales de TPM anteriores están disponibles para su uso en el sistema operativo actualizado.
TPM en estado de bloqueo
A veces, debido a intentos frecuentes de PIN incorrectos de un usuario, el TPM puede entrar en el estado de bloqueo. Para reanudar el uso de la tarjeta inteligente virtual de TPM, es necesario restablecer el bloqueo en el TPM mediante la contraseña del propietario o esperar a que expire el bloqueo. Al desbloquear el PIN del usuario no se restablece el bloqueo en el TPM. Cuando el TPM está bloqueado, la tarjeta inteligente virtual de TPM aparece como si estuviera bloqueada. Cuando el TPM entra en el estado de bloqueo porque el usuario ha escrito un PIN incorrecto demasiadas veces, puede que sea necesario restablecer el PIN de usuario mediante las herramientas de administración de tarjetas inteligentes virtuales, como la herramienta de línea de comandos tpmvscmgr.
Ver también
Para obtener información sobre los casos de uso de autenticación, confidencialidad e integridad de datos, consulte Información general sobre tarjetas inteligentes virtuales.