Compartir a través de

Configuración e inscripción en Windows Hello para empresas en el modelo de confianza de certificados híbridos

En este artículo se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:

Una vez que se cumplen los requisitos previos y se validan las configuraciones PKI y AD FS, la implementación de Windows Hello para empresas consta de los pasos siguientes:

Establecer la configuración de la directiva de Windows Hello para empresas

Hay dos opciones de configuración de directiva necesarias para habilitar Windows Hello para empresas en un modelo de confianza de certificados:

Otra configuración de directiva opcional, pero recomendada, es la siguiente:

Use las siguientes instrucciones para configurar los dispositivos mediante Microsoft Intune o directiva de grupo (GPO).

Puede configurar la opción Usar directiva de Windows Hello para empresas en el nodo equipo o usuario de un GPO:

  • La implementación de la configuración de directiva de nodo de equipo da como resultado que todos los usuarios que inician sesión en los dispositivos de destino intenten una inscripción de Windows Hello para empresas
  • La implementación de la configuración de directiva de nodo de usuario da como resultado que solo los usuarios de destino intenten una inscripción de Windows Hello para empresas

Si se implementa la configuración de las directivas al usuario y al equipo, la configuración de las directivas del usuario tiene prioridad.

Sugerencia

Use el mismo grupo de seguridad Windows Hello para empresas Usuarios para asignar permisos de plantilla de certificado para asegurarse de que los mismos miembros pueden inscribirse en el certificado de autenticación de Windows Hello para empresas.

El aprovisionamiento de Windows Hello para de empresas realiza la inscripción inicial del certificado de autenticación de Windows Hello para empresas. Este certificado expira en función de la duración configurada en la plantilla de certificado de autenticación de Windows Hello para empresas.

El proceso no requiere ninguna interacción del usuario, siempre que el usuario inicie sesión con Windows Hello para empresas. El certificado se renueva en segundo plano antes de que expire.

Para configurar un dispositivo con directiva de grupo, use la directiva de grupo Editor Local. Para configurar varios dispositivos unidos a Active Directory, cree o edite un objeto de directiva de grupo (GPO) y use la siguiente configuración:

Ruta de acceso de directiva de grupo Configuración de directiva de grupo Valor
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas
or
Configuración de usuario\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas		 Usar Windows Hello para empresas Habilitado
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas
or
Configuración de usuario\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas		 Usa el certificado para la autenticación local Habilitado
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública
or
Configuración de usuario\Configuración de Windows\Configuración de seguridad\Directivas de clave pública		 Cliente de Servicios de certificados: inscripción automática - Seleccione Habilitado en el modelo de configuración.
: seleccione Renovar certificados expirados, actualizar certificados pendientes y quitar certificados revocados.
- Seleccione Actualizar certificados que usan plantillas de certificado.
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas Usar un dispositivo de seguridad de hardware Habilitado

Nota

La habilitación de la opción Usar una directiva de dispositivo de seguridad de hardware es opcional, pero se recomienda.

Las directivas de grupo se pueden vincular a dominios o unidades organizativas, filtrarse mediante grupos de seguridad o filtrarse mediante filtros WMI.

Sugerencia

La mejor manera de implementar el GPO de Windows Hello para empresas es usar el filtrado de grupos de seguridad. Solo los miembros del grupo de seguridad de destino aprovisionarán Windows Hello para empresas, lo que habilitará un lanzamiento por fases. Esta solución permite vincular el GPO al dominio, lo que garantiza que el GPO está limitado a todas las entidades de seguridad. El filtrado de grupos de seguridad garantiza que solo los miembros del grupo global reciban y apliquen el GPO, lo que da como resultado el aprovisionamiento de Windows Hello para empresas.

Si implementa Windows Hello para empresas configuración con directiva de grupo y Intune, los valores de directiva de grupo tienen prioridad y Intune se omiten. Para obtener más información sobre los conflictos de directivas, consulte Conflictos de directivas de varios orígenes de directiva.

Se pueden configurar más opciones de directiva para controlar el comportamiento de Windows Hello para empresas. Para obtener más información, consulte Windows Hello para empresas configuración de directivas.

Inscribirse en Windows Hello para empresas

El proceso de aprovisionamiento de Windows Hello para empresas comienza inmediatamente después de cargar el perfil de usuario y antes de que el usuario reciba su escritorio. Para que se inicie el proceso de aprovisionamiento, deben superarse todas las comprobaciones de requisitos previos.

Para determinar el estado de las comprobaciones de requisitos previos, consulte el registro de administrador registro de dispositivos de usuario en Registros de aplicaciones y servicios > de Microsoft > Windows.
Esta información también está disponible mediante el dsregcmd.exe /status comando desde una consola. Para obtener más información, vea dsregcmd.

Experiencia del usuario

Una vez que un usuario inicia sesión, comienza el proceso de inscripción de Windows Hello para empresas:

  1. Si el dispositivo admite la autenticación biométrica, se pedirá al usuario que configure un gesto biométrico. Este gesto se puede usar para desbloquear el dispositivo y autenticarse en los recursos que requieren Windows Hello para empresas. El usuario puede omitir este paso si no quiere configurar un gesto biométrico.
  2. Se pide al usuario que use Windows Hello con la cuenta de la organización. El usuario selecciona Aceptar
  3. El flujo de aprovisionamiento continúa con la parte de autenticación multifactor de la inscripción. El aprovisionamiento informa al usuario de que está intentando ponerse en contacto activamente con el usuario a través de su forma configurada de MFA. El proceso de aprovisionamiento no continúa hasta que la autenticación se realiza correctamente, se produce un error o se agota el tiempo de espera. Una MFA con errores o tiempo de espera produce un error y pide al usuario que vuelva a intentarlo.
  4. Después de realizar una MFA correcta, el flujo de aprovisionamiento solicita al usuario crear y validar un PIN. Este PIN debe observar las directivas de complejidad de PIN configuradas en el dispositivo.
  5. El resto del aprovisionamiento incluye que Windows Hello para empresas solicite un par de claves asimétricas para el usuario, preferiblemente del TPM (o son obligatorias si están establecidas explícitamente en la directiva). Una vez adquirido el par de claves, Windows se comunica con el IdP para registrar la clave pública. Cuando se completa el registro de claves, Windows Hello para empresas aprovisionamiento informa al usuario de que puede usar su PIN para iniciar sesión. El usuario puede cerrar la aplicación de aprovisionamiento y acceder a su escritorio

Después de un registro de clave correcto, Windows crea una solicitud de certificado con el mismo par de claves para solicitar un certificado. Windows envía la solicitud de certificado al servidor de AD FS para la inscripción de certificados.

La entidad de registro de AD FS comprueba que la clave usada en la solicitud de certificados coincide con la clave que se registró anteriormente. Si coinciden correctamente, la entidad de registro de AD FS firma la solicitud de certificado con su certificado de agente de inscripción y la envía a la entidad de certificación.

Nota

Para que AD FS compruebe la clave usada en la solicitud de certificado, debe poder acceder al https://enterpriseregistration.windows.net punto de conexión.

La entidad de certificación valida que el certificado esté firmado por la entidad de registro. Si la validación se realiza correctamente, emite un certificado en función de la solicitud y devuelve el certificado a la entidad de registro de AD FS. La entidad de registro devuelve el certificado a Windows, donde luego instala el certificado en el almacén de certificados del usuario actual. Una vez completado este proceso, el flujo de trabajo de aprovisionamiento de Windows Hello para empresas informa al usuario de que puede usar su PIN para iniciar sesión a través del Centro de acciones.

Nota

Actualización de Windows Server 2016 KB4088889 (14393.2155) proporciona la inscripción de certificados sincrónica durante el aprovisionamiento de certificados de confianza híbridos. Con esta actualización, los usuarios no necesitan esperar a que Microsoft Entra Connect sincronice su clave pública local. Los usuarios inscriben su certificado durante el aprovisionamiento y pueden usar el certificado para iniciar sesión inmediatamente después de completar el aprovisionamiento. La actualización debe instalarse en los servidores de federación.

Diagramas de secuencia

Para comprender mejor los flujos de aprovisionamiento, revise los diagramas de secuencia siguientes en función de la unión al dispositivo y el tipo de autenticación:

Para comprender mejor los flujos de autenticación, revise el diagrama de secuencia siguiente: