Configuración del perfil de protección de identidades en Intune para Windows Hello para empresas
Importante
En julio de 2024, los siguientes perfiles de Intune para la protección de identidades y la protección de cuentas quedaron en desuso y se reemplazaron por un nuevo perfil consolidado denominado Protección de cuentas. Este perfil más reciente se encuentra en el nodo de directiva de protección de cuentas de seguridad de punto de conexión y es la única plantilla de perfil que permanece disponible para crear nuevas instancias de directiva para la protección de identidades y cuentas. La configuración de este nuevo perfil también está disponible a través del catálogo de configuración.
Las instancias de los siguientes perfiles anteriores que haya creado seguirán estando disponibles para su uso y edición:
- Protección de identidades: anteriormente disponible enConfiguración> de dispositivos>Crear>nueva directiva>Windows 10 y versiones posteriores>de Templates>Identity Protection
- Protección de cuentas (versión preliminar): anteriormente disponible en Protección decuentas> de Endpoint Security>Windows 10 y versiones posteriores>protección de la cuenta ( versión preliminar)
Nota:
Intune puede admitir más opciones de configuración que las que se enumeran en este artículo. No todas las configuraciones están documentadas y no se documentarán. Para ver la configuración que puede configurar, cree una directiva de configuración de dispositivo y seleccione Catálogo de configuración. Para más información, vaya al Catálogo de configuraciones.
En este artículo se describe Windows Hello para empresas configuración que puede administrar con un perfil de protección de identidades. Los perfiles de protección de identidad forman parte de la directiva de configuración de dispositivos en Microsoft Intune. Sin embargo, a partir de julio de 2024, los perfiles de configuración de dispositivo para Identity Protection se reemplazan por perfiles de seguridad de punto de conexión para Protección de cuentas. Aunque puede seguir usando los perfiles de protección de identidades que creó anteriormente, Intune ya no admite la creación de nuevas instancias. En su lugar, para administrar la configuración de identity protection, use una directiva de protección de cuenta de seguridad de punto de conexión.
Con un perfil de identity protection, puede configurar los valores en grupos discretos de dispositivos Windows 10/11. Para configurar Windows Hello para empresas todo el inquilino, como parte de la inscripción de dispositivos, consulte Creación de una directiva de Windows Hello para empresas en Integración de Windows Hello para empresas con Microsoft Intune.
En este artículo se describe la configuración de la directiva de inscripción.
Puede encontrar información adicional sobre estas opciones en Configuración de Windows Hello para empresas Directiva, en la documentación de Windows Hello.
Windows Hello para empresas
Los detalles de configuración siguientes solo se aplican a la plantilla de perfil de configuración de dispositivo para Identity Protection, que quedó en desuso en julio de 2024.
Configurar Windows Hello para empresas:
No configurado (valor predeterminado): seleccione esta opción si no desea usar Intune para controlar Windows Hello para empresas configuración. No se cambia ninguna configuración de Windows Hello para empresas existente en dispositivos Windows 10/11. Las demás configuraciones del panel no están disponibles.
Deshabilitar: si no desea usar Windows Hello para empresas, seleccione esta configuración. El resto de la configuración de la pantalla no está disponible.
Habilitar: seleccione esta opción si desea configurar Windows Hello para empresas configuración.
Cuando se establece en Habilitar, están disponibles las siguientes opciones:
Longitud mínima de PIN
Especifique una longitud mínima de PIN para los dispositivos, de 4 a 127 caracteres. De forma predeterminada, esta configuración no está configurada.Longitud máxima del PIN
Especifique una longitud máxima de PIN para los dispositivos, de cuatro a 127 caracteres. De forma predeterminada, esta configuración no está configurada.Minúsculas en el PIN
Si es necesario, el PIN del usuario debe incluir al menos una letra minúscula. De forma predeterminada, esta configuración no está configurada.- No permitido : impide que los usuarios usen letras minúsculas en el PIN. Este comportamiento también se produce si la configuración no está configurada.
- Permitido : permite a los usuarios usar letras minúsculas en el PIN, pero no es necesario.
- Obligatorio : los usuarios deben incluir al menos una letra minúscula en el PIN. Por ejemplo, una práctica habitual consiste en obligar a usar como mínimo una mayúscula y un carácter especial.
Mayúsculas en el PIN
Si es necesario, el PIN del usuario debe incluir al menos una letra mayúscula. De forma predeterminada, esta configuración no está configurada.- No permitido : impedir que los usuarios usen letras mayúsculas en el PIN. Este comportamiento también se produce si la configuración no está configurada.
- Permitido : permite a los usuarios usar letras mayúsculas en el PIN, pero no es necesario.
- Obligatorio : los usuarios deben incluir al menos una letra mayúscula en el PIN. Por ejemplo, una práctica habitual consiste en obligar a usar como mínimo una mayúscula y un carácter especial.
Caracteres especiales en el PIN
Si es necesario, el PIN del usuario debe incluir al menos un carácter especial. Los caracteres especiales incluyen:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- No permitido (valor predeterminado): impide que los usuarios usen caracteres especiales en el PIN. Este comportamiento también se produce si la configuración no está configurada.
- Permitido : permite a los usuarios usar letras mayúsculas en el PIN, pero no es necesario.
- Obligatorio : los usuarios deben incluir al menos una letra mayúscula en el PIN. Por ejemplo, una práctica habitual consiste en obligar a usar como mínimo una mayúscula y un carácter especial.
Expiración del PIN (días)
Si se configura, el usuario se verá obligado a cambiar su PIN después del número establecido de días. El usuario todavía puede cambiar de forma proactiva su PIN antes de la expiración. De forma predeterminada, esta configuración no está configurada.Recordar historial de PIN
Si está configurado, el usuario no podrá reutilizar este número de PIN anteriores. De forma predeterminada, esta configuración no está configurada.Habilitar recuperación de PIN
Permite al usuario usar el servicio de recuperación de PIN de Windows Hello para empresas.- Habilitar : el secreto de recuperación del PIN se almacena en el dispositivo y el usuario puede cambiar su PIN si es necesario.
- No configurado (valor predeterminado): el secreto de recuperación no se crea ni se almacena.
Uso de un módulo de plataforma segura (TPM)
Un chip de TPM ofrece una capa adicional de seguridad de datos.- Habilitar: solo los dispositivos con un TPM accesible pueden aprovisionar Windows Hello para empresas.
- No configurado (valor predeterminado): los dispositivos primero intentan usar un TPM. Si un TPM no está disponible, pueden usar el cifrado de software.
Permitir autenticación biométrica
Si se permite, Windows Hello para empresas puede autenticarse mediante gestos, como la cara y la huella digital. Los usuarios deben seguir configurando un PIN en caso de error.- Habilitar: Windows Hello para empresas permite la autenticación biométrica.
- No configurado (valor predeterminado): Windows Hello para empresas impide la autenticación biométrica (para todos los tipos de cuenta).
Uso de la protección contra la suplantación de identidad mejorada, cuando esté disponible
Si está habilitado, los dispositivos usan la protección contra la suplantación de identidad mejorada, cuando está disponible (por ejemplo, la detección de una fotografía de una cara en lugar de una cara real).- Habilitar : Windows requiere que todos los usuarios usen la protección contra la suplantación de identidad para las características faciales cuando se admita.
- No configurado (valor predeterminado): Windows respeta las configuraciones de antisofing en el dispositivo.
Certificado para recursos locales
- Habilitar: permite Windows Hello para empresas usar certificados para autenticarse en los recursos locales.
- No configurado (valor predeterminado): impide que Windows Hello para empresas use certificados para autenticarse en los recursos locales. En su lugar, los dispositivos usan el comportamiento predeterminado de la autenticación local de confianza de clave. Para obtener más información, consulte Certificado de usuario para la autenticación local en la documentación de Windows Hello.
Uso de claves de seguridad para el inicio de sesión
Esta configuración está disponible para los dispositivos que ejecutan Windows 10 versión 1903 o posterior, o Windows 11. Úsela para administrar la compatibilidad con el uso de claves de seguridad de Windows Hello para el inicio de sesión.- Habilitar: los usuarios pueden usar una clave de seguridad Windows Hello como credencial de inicio de sesión para los equipos de destino con esta directiva.
- No configurado : las claves de seguridad están deshabilitadas y los usuarios no pueden usarlas para iniciar sesión en equipos.