Configuración e inscripción en Windows Hello para empresas en un modelo de confianza de clave híbrida
En este artículo se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:
-
Tipo de implementación:híbrido
-
Tipo de confianza:.
-
Tipo de combinación: Microsoft Entra unirse a , Microsoft Entra unión híbrida
Una vez que se cumplen los requisitos previos y se valida la configuración de PKI, la implementación de Windows Hello para empresas consta de los pasos siguientes:
Establecer la configuración de la directiva de Windows Hello para empresas
Hay una configuración de directiva necesaria para habilitar Windows Hello para empresas en un modelo de confianza clave:
Otra configuración de directiva opcional, pero recomendada, es la siguiente:
En las instrucciones siguientes se describe cómo configurar los dispositivos mediante Microsoft Intune o directiva de grupo (GPO).
Intune/CSP
GPONota
Revise el artículo Configure Windows Hello para empresas using Microsoft Intune (Configurar Windows Hello para empresas mediante Microsoft Intune) para obtener información sobre las distintas opciones que ofrece Microsoft Intune para configurar Windows Hello para empresas.
Si la directiva de Intune para todo el inquilino está habilitada y configurada según sus necesidades, puede ir directamente a Inscribirse en Windows Hello para empresas.
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Windows Hello para empresas | Uso de Windows Hello para empresas | true |
| Windows Hello para empresas | Requerir dispositivo de seguridad | true |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con passportforwork CSP.
| Ajuste |
|---|
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork- Tipo de dato: bool- Valor: True |
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice- Tipo de dato: bool- Valor: True |
Si implementa Windows Hello para empresas configuración con directiva de grupo y Intune, los valores de directiva de grupo tienen prioridad y Intune se omiten. Para obtener más información sobre los conflictos de directivas, consulte Conflictos de directivas de varios orígenes de directiva.
Se pueden configurar otras opciones de directiva para controlar el comportamiento de Windows Hello para empresas. Para obtener más información, consulte Windows Hello para empresas configuración de directivas.
Inscribirse en Windows Hello para empresas
El proceso de aprovisionamiento de Windows Hello para empresas comienza inmediatamente después de cargar el perfil de usuario y antes de que el usuario reciba su escritorio. Para que se inicie el proceso de aprovisionamiento, deben superarse todas las comprobaciones de requisitos previos.
Para determinar el estado de las comprobaciones de requisitos previos, consulte el registro de administrador registro de dispositivos de usuario en Registros de aplicaciones y servicios > de Microsoft > Windows.
Esta información también está disponible mediante el dsregcmd.exe /status comando desde una consola. Para obtener más información, vea dsregcmd.
Experiencia del usuario
Una vez que un usuario inicia sesión, comienza el proceso de inscripción de Windows Hello para empresas:
- Si el dispositivo admite la autenticación biométrica, se pedirá al usuario que configure un gesto biométrico. Este gesto se puede usar para desbloquear el dispositivo y autenticarse en los recursos que requieren Windows Hello para empresas. El usuario puede omitir este paso si no quiere configurar un gesto biométrico.
- Se pide al usuario que use Windows Hello con la cuenta de la organización. El usuario selecciona Aceptar
- El flujo de aprovisionamiento continúa con la parte de autenticación multifactor de la inscripción. El aprovisionamiento informa al usuario de que está intentando ponerse en contacto activamente con el usuario a través de su forma configurada de MFA. El proceso de aprovisionamiento no continúa hasta que la autenticación se realiza correctamente, se produce un error o se agota el tiempo de espera. Una MFA con errores o tiempo de espera produce un error y pide al usuario que vuelva a intentarlo.
- Después de realizar una MFA correcta, el flujo de aprovisionamiento solicita al usuario crear y validar un PIN. Este PIN debe observar las directivas de complejidad de PIN configuradas en el dispositivo.
- El resto del aprovisionamiento incluye que Windows Hello para empresas solicite un par de claves asimétricas para el usuario, preferiblemente del TPM (o son obligatorias si están establecidas explícitamente en la directiva). Una vez adquirido el par de claves, Windows se comunica con el IdP para registrar la clave pública. Cuando se completa el registro de claves, Windows Hello para empresas aprovisionamiento informa al usuario de que puede usar su PIN para iniciar sesión. El usuario puede cerrar la aplicación de aprovisionamiento y acceder a su escritorio
Después de la inscripción, Microsoft Entra Connect sincroniza la clave del usuario de Microsoft Entra ID a Active Directory.
Importante
El tiempo mínimo necesario para sincronizar la clave pública del usuario de Microsoft Entra ID a la Active Directory local es de 30 minutos. El programador de Microsoft Entra Connect controla el intervalo de sincronización. Esta latencia de sincronización retrasa la capacidad del usuario para autenticarse y usar recursos locales hasta que la clave pública del usuario se haya sincronizado con Active Directory. Una vez sincronizado, el usuario puede autenticarse y acceder a los recursos locales. Lea Microsoft Entra Connect Sync: Scheduler para ver y ajustar el ciclo de sincronización de su organización.
Diagramas de secuencia
Para comprender mejor los flujos de aprovisionamiento, revise los diagramas de secuencia siguientes en función de la unión al dispositivo y el tipo de autenticación:
- Aprovisionamiento de dispositivos unidos a Microsoft Entra con autenticación administrada
- Aprovisionamiento de dispositivos unidos a Microsoft Entra con autenticación federada
- Aprovisionamiento en un modelo de implementación de confianza de clave híbrida con autenticación administrada
Para comprender mejor los flujos de autenticación, revise el diagrama de secuencia siguiente: