Configurar Windows Hello para empresas
En este artículo se describen las opciones para configurar Windows Hello para empresas en una organización y cómo implementarlas.
Opciones de configuración
Puede configurar Windows Hello para empresas mediante las siguientes opciones:
- Proveedor de servicios de configuración (CSP): se usa normalmente para dispositivos administrados por una solución de mobile Administración de dispositivos (MDM), como Microsoft Intune. Los CSP también se pueden configurar con paquetes de aprovisionamiento, que normalmente se usan en el momento de la implementación o para dispositivos no administrados. Para configurar Windows Hello para empresas, use passportforwork CSP
- Directiva de grupo (GPO): se usa para dispositivos unidos a Active Directory o Microsoft Entra unidos a un entorno híbrido y no se administran mediante una solución de administración de dispositivos
Prioridad de la directiva
Algunas de las directivas de Windows Hello para empresas están disponibles para la configuración del equipo y del usuario. En la lista siguiente se describe la prioridad de la directiva para Windows Hello para empresas:
- Las directivas de usuario tienen prioridad sobre las directivas de equipo. Si se establece una directiva de usuario, se omite la directiva de equipo correspondiente. Si no se establece una directiva de usuario, se usa la directiva de equipo.
- Windows Hello para empresas configuración de directiva se aplica mediante la siguiente jerarquía:
- Usuario: GPO
- Equipo: GPO
- Usuario: PassportForWork CSP
- Dispositivo: PassportForWork CSP
- Sincronización activa de Exchange: CSP de DeviceLock
Importante
Si configura las opciones de complejidad y longitud de contraseña definidas por el CSP de DeviceLock, y la longitud del PIN y la configuración de complejidad definidas por passportforwork CSP, Windows aplica la directiva más estricta fuera del conjunto de directivas de gobernanza.
El CSP de DeviceLock usa el motor de directiva de Exchange ActiveSync (EAS). Para obtener más información, consulte introducción al motor de directivas de Exchange ActiveSync.
Nota
Si una directiva no está configurada explícitamente para requerir letras o caracteres especiales, los usuarios pueden establecer opcionalmente un PIN alfanumérico.
Recuperar el identificador de inquilino de Microsoft Entra
La configuración a través de CSP o registro de diferentes Windows Hello para empresas configuración de directiva requiere especificar el identificador de inquilino de Microsoft Entra donde está registrado el dispositivo.
Para buscar el identificador de inquilino, consulte How to find your Microsoft Entra tenant ID (Cómo encontrar el identificador de inquilino de Microsoft Entra) o pruebe lo siguiente, asegurándose de iniciar sesión con la cuenta de su organización:
GET https://graph.microsoft.com/v1.0/organization?$select=id
Por ejemplo, en la documentación de PASSPORTForWork CSP se describe cómo configurar Windows Hello para empresas opciones mediante OMA-URI:
./Device/Vendor/MSFT/PassportForWork/{TenantId}
Al configurar dispositivos, reemplace por TenantID el identificador de inquilino de Microsoft Entra. Por ejemplo, si el identificador de inquilino de Microsoft Entra es dcd219dd-bc68-4b9b-bf0b-4a33a796be35, el OMA-URI sería:
./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}
Configuración de Windows Hello para empresas mediante Microsoft Intune
Para Microsoft Entra dispositivos unidos y Microsoft Entra dispositivos unidos a híbridos inscritos en Intune, puede usar directivas de Intune para administrar Windows Hello para empresas.
Hay diferentes maneras de habilitar y configurar Windows Hello para empresas en Intune:
- Usar una directiva aplicada en el nivel de inquilino. La directiva de inquilino:
- Solo se aplica en el momento de la inscripción y los cambios en su configuración no se aplican a los dispositivos que ya están inscritos en Intune
- Se aplica a todos los dispositivos que se inscriben en Intune. Por este motivo, la directiva suele estar deshabilitada y Windows Hello para empresas se habilita mediante una directiva destinada a un grupo de seguridad.
- Directiva de configuración de dispositivos que se aplica después de la inscripción de dispositivos. Los cambios en la directiva se aplican a los dispositivos durante los intervalos de actualización de directivas normales. Hay diferentes tipos de directiva entre los que elegir:
Comprobación de la directiva de todo el inquilino
Para comprobar la configuración de directiva de Windows Hello para empresas aplicada en el momento de la inscripción:
Iniciar sesión en el centro de administración de Microsoft Intune
Seleccionar dispositivos>Windows>Enrollment
Seleccione Windows Hello para empresas
Compruebe el estado de Configurar Windows Hello para empresas y los valores que se puedan configurar.
Conflictos de directivas de varios orígenes de directiva
Windows Hello para empresas se pueden configurar mediante GPO o CSP, pero no una combinación de ambos. Evite combinar la configuración de directiva de GPO y CSP para Windows Hello para empresas, ya que puede dar lugar a resultados inesperados. Si combina la configuración de directiva de GPO y CSP, la configuración de CSP en conflicto no se aplicará hasta que se borre la configuración de directiva de grupo.
Importante
La configuración de directiva MDMWinsOverGP no se aplica a Windows Hello para empresas. MDMWinsOverGP solo se aplica a las directivas del CSP de directivas, mientras que las directivas de Windows Hello para empresas están en passportforwork CSP.
Nota
Para obtener más información sobre la implementación de Windows Hello para empresas configuración mediante Microsoft Intune, consulte Configuración de dispositivos Windows para habilitar Windows Hello para empresas en Intune y PASSPORTForWork CSP.
Deshabilitar Windows Hello para empresas inscripción
Windows Hello para empresas está habilitado de forma predeterminada para los dispositivos que están Microsoft Entra unidos. Si necesita deshabilitar la habilitación automática, hay diferentes opciones, entre las que se incluyen:
- Deshabilitar Windows Hello mediante la directiva de todo el inquilino
- Deshabilite esta opción mediante uno de los tipos de directiva disponibles en Intune, al tiempo que habilita la página Estado de inscripción (ESP). El ESP se puede configurar para impedir que un usuario acceda al escritorio hasta que el dispositivo reciba todas las directivas necesarias. Para obtener más información, vea Configurar la página estado de inscripción. La configuración de directiva que se va a configurar es Usar Windows Hello para empresas
- Aprovisionar los dispositivos mediante un paquete de aprovisionamiento que deshabilita Windows Hello para empresas. Para obtener más información, consulte Aprovisionamiento de paquetes para Windows.
- Soluciones con scripts que pueden modificar la configuración del Registro para deshabilitar Windows Hello para empresas durante la implementación del sistema operativo
| Tipo de configuración | Detalles |
|---|---|
| CSP (usuario) |
Ruta de acceso de clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\PoliciesNombre de clave: UsePassportForWorkTipo: REG_DWORDValor: 1 para habilitar0 para deshabilitar |
| CSP (dispositivo) |
Ruta de acceso de clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\PoliciesNombre de clave: UsePassportForWorkTipo: REG_DWORDValor: 1 para habilitar0 para deshabilitar |
| GPO (usuario) |
Ruta de acceso de clave: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWorkNombre de clave: EnabledTipo: REG_DWORDValor: 1 para habilitar0 para deshabilitar |
| GPO (dispositivo) |
Ruta de acceso de clave: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWorkNombre de clave: EnabledTipo: REG_DWORDValor: 1 para habilitar0 para deshabilitar |
Nota
Si hay una directiva de dispositivo en conflicto y una directiva de usuario, la directiva de usuario tiene prioridad. No se recomienda crear GPO local o configuración del Registro que pueda entrar en conflicto con una directiva MDM. Este conflicto podría dar lugar a resultados inesperados.
Pasos siguientes
Para obtener una lista de la configuración de directivas de Windows Hello para empresas, consulte Windows Hello para empresas configuración de directivas.
Para obtener más información sobre Windows Hello para empresas características y cómo configurarlas, consulte: