Configurar el inicio de sesión federado para dispositivos Windows
A partir de Windows 11 SE, versión 22H2 y Windows 11 Pro Edu/Education, versión 22H2 con KB5022913, puede permitir que los usuarios inicien sesión con un proveedor de identidades federado (IdP) a través de una experiencia de inicio de sesión web. Iniciar sesión con una identidad federada puede ser una excelente manera de simplificar el proceso de inicio de sesión de los usuarios: en lugar de tener que recordar un nombre de usuario y una contraseña definidos en Microsoft Entra ID, pueden iniciar sesión con sus credenciales existentes desde el IdP. Por ejemplo, los alumnos y educadores pueden usar distintivos de código QR para iniciar sesión.
Ventajas del inicio de sesión federado
Una experiencia de inicio de sesión federada permite a los alumnos iniciar sesión en menos tiempo y con menos fricción. Con menos credenciales que recordar y un proceso de inicio de sesión simplificado, los alumnos están más comprometidos y centrados en el aprendizaje.
Hay dos características de Windows que permiten una experiencia de inicio de sesión federado:
- Inicio de sesión federado, que está diseñado para dispositivos de alumnos 1:1. Para una experiencia óptima, no debe habilitar el inicio de sesión federado en dispositivos compartidos.
- Inicio de sesión web, que proporciona una experiencia similar al inicio de sesión federado y se puede usar para dispositivos compartidos
Importante
El inicio de sesión federado y el inicio de sesión web requieren configuraciones diferentes, que se explican en este documento.
Requisitos previos
Para habilitar una experiencia de inicio de sesión federada, se deben cumplir los siguientes requisitos previos:
Un inquilino de Microsoft Entra, con uno o varios dominios federados para un IdP de terceros. Para obtener más información, consulte ¿Qué es la federación con Microsoft Entra ID? y Uso de un IdP de SAML 2.0 para el inicio de sesión único
Nota
Si su organización usa una solución de federación de terceros, puede configurar el inicio de sesión único en Microsoft Entra ID si la solución es compatible con Microsoft Entra ID. Para preguntas sobre compatibilidad, póngase en contacto con su proveedor de identidades. Si es un IdP y desea validar la solución para la interoperabilidad, consulte estas directrices.
- Para obtener una guía paso a paso sobre cómo configurar Google Workspace como proveedor de identidades para Microsoft Entra ID, consulte Configuración de la federación entre Google Workspace y Microsoft Entra ID.
- Para obtener una guía paso a paso sobre cómo configurar Clever como proveedor de identidades para Microsoft Entra ID, consulte guía de configuración para distintivos en Windows y Microsoft Entra ID.
Cuentas de IdP individuales creadas: cada usuario requiere una cuenta definida en la plataforma de IdP de terceros.
Cuentas individuales de Microsoft Entra creadas: cada usuario requiere una cuenta coincidente definida en Microsoft Entra ID. Estas cuentas se suelen crear a través de soluciones automatizadas, por ejemplo:
- School Data Sync (SDS)
- Microsoft Entra Connect Sync para el entorno con AD DS local
- Scripts de PowerShell que llaman a Microsoft Graph API
- herramientas de aprovisionamiento ofrecidas por el IdP
Para obtener más información sobre la coincidencia de identidades, consulte Coincidencia de identidades en Microsoft Entra ID.
Licencias asignadas a las cuentas de usuario de Microsoft Entra. Se recomienda asignar licencias a un grupo dinámico: cuando se aprovisionan nuevos usuarios en Microsoft Entra ID, las licencias se asignan automáticamente. Para obtener más información, consulte Asignación de licencias a usuarios por pertenencia a grupos en Microsoft Entra ID.
Habilitar el inicio de sesión federado o el inicio de sesión web en los dispositivos Windows, en función de si los dispositivos se comparten o asignan a un solo alumno
Para usar el inicio de sesión federado o el inicio de sesión web, los dispositivos deben tener acceso a Internet. Estas características no funcionan sin ella, ya que la autenticación se realiza a través de Internet.
Importante
WS-Fed es el único protocolo federado compatible para unir un dispositivo a Microsoft Entra ID. Si tiene un IdP de SAML 2.0, se recomienda completar el proceso de unión a Microsoft Entra mediante uno de los métodos siguientes:
- Paquetes de aprovisionamiento (PPKG)
- Modo autoimplementable de Windows Autopilot
Requisitos de licencia y de la edición de Windows
En la tabla siguiente se enumeran las ediciones de Windows que admiten el inicio de sesión federado:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| No | No | Sí | Sí |
Los derechos de licencia de inicio de sesión federados se conceden mediante las siguientes licencias:
| Windows Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sí | No | No | Sí | Sí |
Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.
El inicio de sesión federado se admite en las siguientes ediciones y versiones de Windows:
- Windows 11 SE, versión 22H2 y versiones posteriores
- Windows 11 Pro Edu/Education, versión 22H2 con KB5022913
El inicio de sesión web se admite a partir de Windows 11 SE/Pro Edu/Education, versión 22H2 con KB5026446.
Configuración de una experiencia de inicio de sesión federado
Puede configurar una experiencia de inicio de sesión federada para dispositivos asignados por alumnos (1:1) o dispositivos compartidos de alumnos:
- Cuando el inicio de sesión federado está configurado para dispositivos asignados por alumnos (1:1), se usa una característica de Windows denominada Inicio de sesión federado. El primer usuario que inicia sesión en el dispositivo con una identidad federada se convierte en el usuario principal. El usuario principal siempre se muestra en la esquina inferior izquierda de la pantalla de inicio de sesión.
- Cuando el inicio de sesión federado está configurado para dispositivos compartidos de alumnos, se usa una característica de Windows denominada Inicio de sesión web. Con el inicio de sesión web no hay ningún usuario principal y la pantalla de inicio de sesión muestra, de forma predeterminada, el último usuario que inició sesión en el dispositivo.
La configuración es diferente para cada escenario y se describe en las secciones siguientes.
Configuración del inicio de sesión federado para dispositivos asignados por alumnos (1:1)
Revise las siguientes instrucciones para configurar los dispositivos mediante Microsoft Intune o un paquete de aprovisionamiento (PPKG).
Intune
PPKGPara configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Educación | ¿Es el entorno educativo? | Habilitado |
| Autenticación federada | Habilitación del inicio de sesión web para el usuario principal | Habilitado |
| Authentication | Configurar direcciones URL permitidas de inicio de sesión web | Escriba la lista de dominios, con cada dirección URL en una fila independiente. Por ejemplo: - samlidp.clever.com- clever.com- mobile-redirector.clever.com |
| Authentication | Configuración de nombres de dominio de acceso de cámara web | Esta configuración es opcional y debe configurarse si necesita usar la cámara web durante el proceso de inicio de sesión. Especifique la lista de dominios que pueden usar la cámara web durante el proceso de inicio de sesión, separados por un punto y coma. Por ejemplo: clever.com |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con los siguientes valores:
| Configuración |
|---|
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironmentTipo de datos: int Valor: 1 |
OMA-URI: ./Vendor/MSFT/Policy/Config/FederatedAuthentication/EnableWebSignInForPrimaryUserTipo de datos: int Valor: 1 |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrlsTipo de datos: String Valor: lista de dominios separados por punto y coma, por ejemplo: samlidp.clever.com;clever.com;mobile-redirector.clever.com |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNames** Tipo de datos: String Valor: esta configuración es opcional y debe configurarse si necesita usar la cámara web durante el proceso de inicio de sesión. Especifique la lista de dominios que pueden usar la cámara web durante el proceso de inicio de sesión, separados por un punto y coma. Por ejemplo: clever.com |
Configuración del inicio de sesión web para dispositivos compartidos de alumnos
Revise las instrucciones siguientes para configurar los dispositivos compartidos mediante Microsoft Intune o un paquete de aprovisionamiento (PPKG).
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Educación | ¿Es el entorno educativo? | Habilitado |
| SharedPC | Habilitación del modo de equipo compartido con la sincronización de OneDrive | Verdadero |
| Authentication | Habilitación del inicio de sesión web | Habilitado |
| Authentication | Configurar direcciones URL permitidas de inicio de sesión web | Escriba la lista de dominios, con cada dirección URL en una fila independiente. Por ejemplo: - samlidp.clever.com- clever.com- mobile-redirector.clever.com |
| Authentication | Configuración de nombres de dominio de acceso de cámara web | Esta configuración es opcional y debe configurarse si necesita usar la cámara web durante el proceso de inicio de sesión. Especifique la lista de dominios que pueden usar la cámara web durante el proceso de inicio de sesión, separados por un punto y coma. Por ejemplo: clever.com |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Como alternativa, puede configurar dispositivos mediante una directiva personalizada con los siguientes valores:
| Configuración |
|---|
OMA-URI: ./Vendor/MSFT/Policy/Config/Education/IsEducationEnvironmentTipo de datos: int Valor: 1 |
OMA-URI: ./Vendor/MSFT/SharedPC/EnableSharedPCModeWithOneDriveSyncTipo de datos: Boolean Valor: True |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignInTipo de datos: Entero Valor: 1 |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrlsTipo de datos: String Valor: lista de dominios separados por punto y coma, por ejemplo: samlidp.clever.com;clever.com;mobile-redirector.clever.com |
OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/ConfigureWebCamAccessDomainNamesTipo de datos: String Valor: esta configuración es opcional y debe configurarse si necesita usar la cámara web durante el proceso de inicio de sesión. Especifique la lista de dominios que pueden usar la cámara web durante el proceso de inicio de sesión, separados por un punto y coma. Por ejemplo: clever.com |
Uso del inicio de sesión federado
Una vez configurados los dispositivos, está disponible una nueva experiencia de inicio de sesión.
A medida que los usuarios escriben su nombre de usuario, se les redirige a la página de inicio de sesión del proveedor de identidades. Una vez que Idp autentica a los usuarios, inician sesión. En la siguiente animación, puede observar cómo funciona el primer proceso de inicio de sesión para un dispositivo asignado por un alumno (1:1):
Importante
En el caso de los dispositivos asignados por alumnos (1:1), una vez habilitada la directiva, el primer usuario que inicie sesión en el dispositivo también establecerá la página de desambiguación en el dominio del proveedor de identidades del dispositivo. Esto significa que el dispositivo tendrá como valor predeterminado ese IdP. El usuario puede salir del flujo de inicio de sesión federado presionando Ctrl+Alt+Eliminar para volver a la pantalla de inicio de sesión estándar de Windows. El comportamiento es diferente para los dispositivos compartidos de alumnos, donde siempre se muestra la página de desambiguación, a menos que se configure el nombre de inquilino de Microsoft Entra preferido.
Consideraciones importantes
Problemas conocidos que afectan a los dispositivos asignados por el alumno (1:1)
El inicio de sesión federado para dispositivos asignados por alumnos (1:1) no funciona con la siguiente configuración habilitada:
- EnableSharedPCMode o EnableSharedPCModeWithOneDriveSync, que forman parte del CSP de SharedPC
- Inicio de sesión interactivo: no mostrar la última sesión iniciada, que es una parte de la directiva de seguridad del CSP de directiva
- Realizar una prueba en modo de pantalla completa, ya que usa la directiva de seguridad anterior
Problemas conocidos que afectan a los dispositivos compartidos de los alumnos
Se sabe que los siguientes problemas afectan a los dispositivos compartidos de los alumnos:
- Los usuarios no federados no pueden iniciar sesión en los dispositivos, incluidas las cuentas locales
- Realizar una prueba en modo de pantalla completa, ya que usa una cuenta de invitado local para iniciar sesión
Administración de cuentas
En el caso de los dispositivos compartidos de alumnos, se recomienda configurar las directivas de administración de cuentas para eliminar automáticamente los perfiles de usuario después de un período determinado de inactividad o niveles de disco. Para obtener más información, vea Configurar un dispositivo Windows compartido o invitado.
Nombre de inquilino de Microsoft Entra preferido
Para mejorar la experiencia del usuario, puede configurar la característica de nombre de inquilino de Microsoft Entra preferida .
Cuando se usa el nombre de inquilino de Microsoft Entra preferido, los usuarios omiten la página de desambiguación y se redirigen a la página de inicio de sesión del proveedor de identidades. Esta configuración puede ser especialmente útil para dispositivos compartidos de alumnos, donde siempre se muestra la página de desambiguación.
Para obtener más información sobre el nombre de inquilino preferido, consulte CSP de autenticación: PreferredAadTenantDomainName.
Coincidencia de identidades en Microsoft Entra ID
Cuando un usuario de Microsoft Entra está federado, la identidad del usuario del IdP debe coincidir con un objeto de usuario existente en Microsoft Entra ID. Una vez validado el token enviado por el IdP, Microsoft Entra ID busca un objeto de usuario coincidente en el inquilino mediante un atributo denominado ImmutableId.
Nota
ImmutableId es un valor de cadena que debe ser único para cada usuario del inquilino y no debe cambiar con el tiempo. Por ejemplo, ImmutableId podría ser el identificador de estudiante o el identificador de SIS. El valor de ImmutableId debe basarse en la configuración y configuración de federación con el IdP, por lo que debe confirmar con el IdP antes de establecerlo.
Si se encuentra el objeto coincidente, el usuario inicia sesión. De lo contrario, al usuario se le presenta un mensaje de error. En la siguiente imagen se muestra que no se puede encontrar un usuario con el 260051 ImmutableId:
Importante
La coincidencia immutableId distingue mayúsculas de minúsculas.
El ImmutableId se configura normalmente cuando el usuario se crea en el id. de Microsoft Entra, pero también se puede actualizar más adelante.
En un escenario en el que un usuario está federado y desea cambiar immutableId, debe:
- Convertir el usuario federado en un usuario solo en la nube (actualice el UPN a un dominio no federado)
- Actualizar immutableId
- Volver a convertir el usuario en un usuario federado
Este es un ejemplo de PowerShell para actualizar ImmutableId para un usuario federado:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
Connect-MgGraph -Scopes 'User.Read.All', 'User.ReadWrite.All'
#1. Convert the user from federated to cloud-only
Update-MgUser -UserId alton@example.com -UserPrincipalName alton@example.onmicrosoft.com
#2. Convert the user back to federated, while setting the immutableId
Update-MgUser -UserId alton@example.onmicrosoft.com -UserPrincipalName alton@example.com -OnPremisesImmutableId '260051'
Solución de problemas
- El usuario puede salir del flujo de inicio de sesión federado presionando Ctrl+Alt+Eliminar para volver a la pantalla de inicio de sesión estándar de Windows.
- Seleccione el botón Otro usuario y las credenciales estándar de nombre de usuario y contraseña están disponibles para iniciar sesión en el dispositivo.