Guía de implementación solo en la nube
En este artículo se describen las funcionalidades o escenarios de Windows Hello para empresas que se aplican a:
-
Tipo de implementación:solo en la nube
-
Tipo de combinación:a los que se une Microsoft Entra
Requisitos
Antes de iniciar la implementación, revise los requisitos descritos en el artículo Planeamiento de una implementación de Windows Hello para empresas .
Asegúrese de que se cumplen los siguientes requisitos antes de comenzar:
Pasos de implementación
Una vez cumplidos los requisitos previos, la implementación de Windows Hello para empresas consta de los pasos siguientes:
Establecer la configuración de la directiva de Windows Hello para empresas
Cuando Microsoft Entra se une a un dispositivo, el sistema intenta inscribirte automáticamente en Windows Hello para empresas. Si quieres usar Windows Hello para empresas en un entorno solo en la nube con su configuración predeterminada, no se necesita ninguna configuración adicional.
Las implementaciones solo en la nube usan la autenticación multifactor (MFA) de Microsoft Entra durante la inscripción de Windows Hello para empresas y no se necesita ninguna otra configuración de MFA. Si aún no está registrado en MFA, se le guiará por el registro de MFA como parte del proceso de inscripción de Windows Hello para empresas.
La configuración de directiva se puede configurar para controlar el comportamiento de Windows Hello para empresas, a través del proveedor de servicios de configuración (CSP) o la directiva de grupo (GPO). En las implementaciones solo en la nube, los dispositivos se configuran normalmente a través de una solución MDM como Microsoft Intune, mediante el CSP PassportForWork.
Nota
Revise el artículo Configuración de Windows Hello para empresas con Microsoft Intune para obtener información sobre las distintas opciones que ofrece Microsoft Intune para configurar Windows Hello para empresas.
Si la directiva de todo el inquilino de Intune está configurada para deshabilitar Windows Hello para empresas o si los dispositivos se implementan con Windows Hello deshabilitado, debe configurar una configuración de directiva para habilitar Windows Hello para empresas:
Otra configuración de directiva opcional, pero recomendada, es la siguiente:
Siga las instrucciones siguientes para configurar los dispositivos mediante Microsoft Intune o la directiva de grupo (GPO).
Intune/CSP
GPOPara configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Windows Hello para empresas | Uso de Passport for Work | true |
| Windows Hello para empresas | Requerir dispositivo de seguridad | true |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con passportforwork CSP.
| Configuración |
|---|
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork- Tipo de dato: bool- Valor: True |
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice- Tipo de dato: bool- Valor: True |
Sugerencia
Si usa Microsoft Intune y no usa la directiva de todo el inquilino, habilite la Página de estado de inscripción (ESP) para asegurarse de que los dispositivos reciban la configuración de directiva de Windows Hello para empresas antes de que los usuarios puedan acceder a su escritorio. Para obtener más información sobre ESP, vea Configurar la página estado de inscripción.
Se puede configurar más configuración de directiva para controlar el comportamiento de Windows Hello para empresas. Para obtener más información, consulta Configuración de directivas de Windows Hello para empresas.
Inscripción en Windows Hello para empresas
El proceso de aprovisionamiento de Windows Hello para empresas comienza inmediatamente después de que un usuario inicie sesión, si se pasan ciertas comprobaciones de requisitos previos.
Experiencia del usuario
Una vez que un usuario inicia sesión, comienza el proceso de inscripción de Windows Hello para empresas:
- Si el dispositivo admite la autenticación biométrica, se pedirá al usuario que configure un gesto biométrico. Este gesto se puede usar para desbloquear el dispositivo y autenticarse en los recursos que requieren Windows Hello para empresas. El usuario puede omitir este paso si no quiere configurar un gesto biométrico.
- Se pide al usuario que use Windows Hello con la cuenta de la organización. El usuario selecciona Aceptar
- El flujo de aprovisionamiento continúa con la parte de autenticación multifactor de la inscripción. El aprovisionamiento informa al usuario de que está intentando ponerse en contacto activamente con el usuario a través de su forma configurada de MFA. El proceso de aprovisionamiento no continúa hasta que la autenticación se realiza correctamente, se produce un error o se agota el tiempo de espera. Una MFA con errores o tiempo de espera produce un error y pide al usuario que vuelva a intentarlo.
- Después de realizar una MFA correcta, el flujo de aprovisionamiento solicita al usuario crear y validar un PIN. Este PIN debe observar las directivas de complejidad de PIN configuradas en el dispositivo.
- El resto del aprovisionamiento incluye que Windows Hello para empresas solicite un par de claves asimétricas para el usuario, preferiblemente del TPM (o son obligatorias si están establecidas explícitamente en la directiva). Una vez adquirido el par de claves, Windows se comunica con el IdP para registrar la clave pública. Cuando se completa el registro de claves, el aprovisionamiento de Windows Hello para empresas informa al usuario de que puede usar su PIN para iniciar sesión. El usuario puede cerrar la aplicación de aprovisionamiento y acceder a su escritorio
Diagramas de secuencia
Para comprender mejor los flujos de aprovisionamiento, revise los diagramas de secuencia siguientes en función del tipo de autenticación:
- Aprovisionamiento de dispositivos unidos a Microsoft Entra con autenticación administrada
- Aprovisionamiento de dispositivos unidos a Microsoft Entra con autenticación federada
Para comprender mejor los flujos de autenticación, revise el diagrama de secuencia siguiente:
Deshabilitar la inscripción automática
Si quieres deshabilitar la inscripción automática de Windows Hello para empresas, puedes configurar los dispositivos con una configuración de directiva o una clave del Registro. Para obtener más información, consulta Deshabilitar la inscripción de Windows Hello para empresas.
Nota
Durante el flujo de experiencia integrada (OOBE) de una unión a Microsoft Entra, se le guía para inscribirse en Windows Hello para empresas cuando no tiene Intune. Puede cancelar la pantalla del PIN y acceder al escritorio sin inscribirse en Windows Hello para empresas.