Guía de implementación solo en la nube

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

En este artículo se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:

• Tipo de implementación:solo en la nube
• Tipo de combinación: Microsoft Entra unirse

---

Requisitos

Antes de iniciar la implementación, revise los requisitos descritos en el artículo Planeamiento de una implementación de Windows Hello para empresas.

Asegúrese de que se cumplen los siguientes requisitos antes de comenzar:

• Authentication
• Configuración de dispositivos
• Licencias para servicios en la nube
• Preparar a los usuarios para usar Windows Hello

Pasos de implementación

Una vez cumplidos los requisitos previos, la implementación de Windows Hello para empresas consta de los pasos siguientes:

• Establecer la configuración de la directiva de Windows Hello para empresas
• Inscribirse en Windows Hello para empresas

Establecer la configuración de la directiva de Windows Hello para empresas

Cuando Microsoft Entra unirse a un dispositivo, el sistema intenta inscribirle automáticamente en Windows Hello para empresas. Si desea usar Windows Hello para empresas en un entorno solo en la nube con su configuración predeterminada, no se necesita ninguna configuración adicional.

Las implementaciones solo en la nube usan Microsoft Entra autenticación multifactor (MFA) durante Windows Hello para empresas inscripción y no se necesita ninguna otra configuración de MFA. Si aún no está registrado en MFA, se le guiará por el registro de MFA como parte del proceso de inscripción de Windows Hello para empresas.

La configuración de directiva se puede configurar para controlar el comportamiento de Windows Hello para empresas, a través del proveedor de servicios de configuración (CSP) o la directiva de grupo (GPO). En las implementaciones solo en la nube, los dispositivos se configuran normalmente a través de una solución MDM como Microsoft Intune, mediante passportforwork CSP.

Nota

Revise el artículo Configure Windows Hello para empresas using Microsoft Intune (Configurar Windows Hello para empresas mediante Microsoft Intune) para obtener información sobre las distintas opciones que ofrece Microsoft Intune para configurar Windows Hello para empresas.

Si la directiva de Intune para todo el inquilino está configurada para deshabilitar Windows Hello para empresas, o si los dispositivos se implementan con Windows Hello deshabilitados, debe configurar una configuración de directiva para habilitar Windows Hello para empresas:

• Usar Windows Hello para empresas

Otra configuración de directiva opcional, pero recomendada, es la siguiente:

• Usar un dispositivo de seguridad de hardware

Siga las instrucciones siguientes para configurar los dispositivos mediante Microsoft Intune o directiva de grupo (GPO).

Intune/CSP

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría	Nombre del valor de configuración	Valor
Windows Hello para empresas	Uso de Windows Hello para empresas	true
Windows Hello para empresas	Requerir dispositivo de seguridad	true

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con passportforwork CSP.

Ajuste
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Tipo de dato:bool - Valor:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Tipo de dato:bool - Valor:True

GPO

Para configurar un dispositivo con directiva de grupo, use la directiva de grupo Editor Local.

Ruta de acceso de directiva de grupo	Configuración de directiva de grupo	Valor
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas or Configuración de usuario\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas	Usar Windows Hello para empresas	Habilitado
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas	Usar un dispositivo de seguridad de hardware	Habilitado

Sugerencia

Si usa Microsoft Intune y no usa la directiva de todo el inquilino, habilite la Página de estado de inscripción (ESP) para asegurarse de que los dispositivos reciben la configuración de directiva de Windows Hello para empresas antes de que los usuarios puedan acceder a su escritorio. Para obtener más información sobre ESP, vea Configurar la página estado de inscripción.

Se pueden configurar más opciones de directiva para controlar el comportamiento de Windows Hello para empresas. Para obtener más información, consulte Windows Hello para empresas configuración de directivas.

Inscribirse en Windows Hello para empresas

El proceso de aprovisionamiento de Windows Hello para empresas comienza inmediatamente después de que un usuario inicie sesión, si se pasan ciertas comprobaciones de requisitos previos.

Experiencia del usuario

Una vez que un usuario inicia sesión, comienza el proceso de inscripción de Windows Hello para empresas:

1. Si el dispositivo admite la autenticación biométrica, se pedirá al usuario que configure un gesto biométrico. Este gesto se puede usar para desbloquear el dispositivo y autenticarse en los recursos que requieren Windows Hello para empresas. El usuario puede omitir este paso si no quiere configurar un gesto biométrico.
2. Se pide al usuario que use Windows Hello con la cuenta de la organización. El usuario selecciona Aceptar
3. El flujo de aprovisionamiento continúa con la parte de autenticación multifactor de la inscripción. El aprovisionamiento informa al usuario de que está intentando ponerse en contacto activamente con el usuario a través de su forma configurada de MFA. El proceso de aprovisionamiento no continúa hasta que la autenticación se realiza correctamente, se produce un error o se agota el tiempo de espera. Una MFA con errores o tiempo de espera produce un error y pide al usuario que vuelva a intentarlo.
4. Después de realizar una MFA correcta, el flujo de aprovisionamiento solicita al usuario crear y validar un PIN. Este PIN debe observar las directivas de complejidad de PIN configuradas en el dispositivo.
5. El resto del aprovisionamiento incluye que Windows Hello para empresas solicite un par de claves asimétricas para el usuario, preferiblemente del TPM (o son obligatorias si están establecidas explícitamente en la directiva). Una vez adquirido el par de claves, Windows se comunica con el IdP para registrar la clave pública. Cuando se completa el registro de claves, Windows Hello para empresas aprovisionamiento informa al usuario de que puede usar su PIN para iniciar sesión. El usuario puede cerrar la aplicación de aprovisionamiento y acceder a su escritorio

Diagramas de secuencia

Para comprender mejor los flujos de aprovisionamiento, revise los diagramas de secuencia siguientes en función del tipo de autenticación:

• Aprovisionamiento de dispositivos unidos a Microsoft Entra con autenticación administrada
• Aprovisionamiento de dispositivos unidos a Microsoft Entra con autenticación federada

Para comprender mejor los flujos de autenticación, revise el diagrama de secuencia siguiente:

• Microsoft Entra unirse a la autenticación para Microsoft Entra ID

Deshabilitar la inscripción automática

Si desea deshabilitar la inscripción automática de Windows Hello para empresas, puede configurar los dispositivos con una configuración de directiva o una clave del Registro. Para obtener más información, vea Deshabilitar Windows Hello para empresas inscripción.

Nota

Durante el flujo de la experiencia integrada (OOBE) de una combinación de Microsoft Entra, se le guiará a inscribirse en Windows Hello para empresas cuando no tenga Intune. Puede cancelar la pantalla del PIN y acceder al escritorio sin inscribirse en Windows Hello para empresas.