Configuración e inscripción en Windows Hello para empresas en un modelo de confianza de clave local
En este artículo se describen las funcionalidades o escenarios de Windows Hello para empresas que se aplican a:
Una vez que se cumplen los requisitos previos y se validan las configuraciones PKI y AD FS, la implementación de Windows Hello para empresas consta de los pasos siguientes:
Establecer la configuración de la directiva de Windows Hello para empresas
Hay 1 configuración de directiva necesaria para habilitar Windows Hello para empresas en un modelo de confianza clave:
Otra configuración de directiva opcional, pero recomendada, es la siguiente:
Puede configurar la configuración de la directiva Usar Windows Hello para empresas en el nodo de equipo o usuario de un GPO:
- La implementación de la configuración de directiva de nodo de equipo da como resultado que todos los usuarios que inician sesión en los dispositivos de destino intenten una inscripción de Windows Hello para empresas
- La implementación de la configuración de directiva de nodo de usuario da como resultado que solo los usuarios de destino intenten una inscripción de Windows Hello para empresas.
Si se implementa la configuración de las directivas al usuario y al equipo, la configuración de las directivas del usuario tiene prioridad.
Para configurar un dispositivo con directiva de grupo, use el Editor de directivas de grupo local. Para configurar varios dispositivos unidos a Active Directory, cree o edite un objeto de directiva de grupo (GPO) y use la siguiente configuración:
| Ruta de acceso de directiva de grupo | Configuración de directiva de grupo | Valor |
|---|---|---|
|
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas or Configuración de usuario\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas |
Usar Windows Hello para empresas | Habilitado |
| Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas | Usar un dispositivo de seguridad de hardware | Habilitado |
Las directivas de grupo se pueden vincular a dominios o unidades organizativas, filtrarse mediante grupos de seguridad o filtrarse mediante filtros WMI.
Sugerencia
La mejor manera de implementar el GPO de Windows Hello para empresas es usar el filtrado de grupos de seguridad. Solo los miembros del grupo de seguridad de destino aprovisionarán Windows Hello para empresas, lo que habilitará un lanzamiento por fases. Esta solución permite vincular el GPO al dominio, lo que garantiza que el GPO está limitado a todas las entidades de seguridad. El filtrado de grupos de seguridad garantiza que solo los miembros del grupo global reciban y apliquen el GPO, lo que da como resultado el aprovisionamiento de Windows Hello para empresas.
Se puede configurar una configuración de directiva adicional para controlar el comportamiento de Windows Hello para empresas. Para obtener más información, consulta Configuración de directivas de Windows Hello para empresas.
Inscripción en Windows Hello para empresas
El proceso de aprovisionamiento de Windows Hello para empresas comienza inmediatamente después de cargar el perfil de usuario y antes de que el usuario reciba su escritorio. Para que se inicie el proceso de aprovisionamiento, deben superarse todas las comprobaciones de requisitos previos.
Para determinar el estado de las comprobaciones de requisitos previos, consulte el registro de administrador registro de dispositivos de usuario en Registros de aplicaciones y servicios > de Microsoft > Windows.
Esta información también está disponible mediante el dsregcmd.exe /status comando desde una consola. Para obtener más información, vea dsregcmd.
Experiencia del usuario
Una vez que un usuario inicia sesión, comienza el proceso de inscripción de Windows Hello para empresas:
- Si el dispositivo admite la autenticación biométrica, se pedirá al usuario que configure un gesto biométrico. Este gesto se puede usar para desbloquear el dispositivo y autenticarse en los recursos que requieren Windows Hello para empresas. El usuario puede omitir este paso si no quiere configurar un gesto biométrico.
- Se pide al usuario que use Windows Hello con la cuenta de la organización. El usuario selecciona Aceptar
- El flujo de aprovisionamiento continúa con la parte de autenticación multifactor de la inscripción. El aprovisionamiento informa al usuario de que está intentando ponerse en contacto activamente con el usuario a través de su forma configurada de MFA. El proceso de aprovisionamiento no continúa hasta que la autenticación se realiza correctamente, se produce un error o se agota el tiempo de espera. Una MFA con errores o tiempo de espera produce un error y pide al usuario que vuelva a intentarlo.
- Después de realizar una MFA correcta, el flujo de aprovisionamiento solicita al usuario crear y validar un PIN. Este PIN debe observar las directivas de complejidad de PIN configuradas en el dispositivo.
- El resto del aprovisionamiento incluye que Windows Hello para empresas solicite un par de claves asimétricas para el usuario, preferiblemente del TPM (o son obligatorias si están establecidas explícitamente en la directiva). Una vez adquirido el par de claves, Windows se comunica con el IdP para registrar la clave pública. Cuando se completa el registro de claves, el aprovisionamiento de Windows Hello para empresas informa al usuario de que puede usar su PIN para iniciar sesión. El usuario puede cerrar la aplicación de aprovisionamiento y acceder a su escritorio
En el vídeo siguiente se muestran los pasos de inscripción de Windows Hello para empresas después de iniciar sesión con una contraseña mediante un adaptador de MFA personalizado para AD FS.
Diagrama de secuencia
Para comprender mejor los flujos de aprovisionamiento, revise el diagrama de secuencia siguiente: