Windows Hello para empresas reemplaza el inicio de sesión con contraseña por autenticación segura, mediante un par de claves asimétricas. Este artículo de preguntas más frecuentes (P+F) está pensado para ayudarle a obtener más información sobre Windows Hello para empresas.
Conceptos
¿Cuál es la diferencia entre Windows Hello y Windows Hello para empresas?
Windows Hello es una tecnología de autenticación que permite a los usuarios iniciar sesión en sus dispositivos Windows mediante datos biométricos, o un PIN, en lugar de una contraseña tradicional.
Windows Hello para empresas es una extensión de Windows Hello que proporciona funcionalidades de administración y seguridad de nivel empresarial, incluida la atestación de dispositivos, la autenticación basada en certificados y las directivas de acceso condicional. La configuración de directivas se puede implementar en los dispositivos para asegurarse de que son seguras y cumplen los requisitos de la organización.
Por qué un PIN es mejor que una contraseña en línea
Tres razones principales:
- Un PIN está asociado a un dispositivo: una diferencia importante entre una contraseña en línea y un PIN Hello es que el PIN está asociado al dispositivo específico en el que está configurado. Ese PIN no sirve sin ese hardware específico. Alguien que obtenga su contraseña en línea puede iniciar sesión en su cuenta desde cualquier lugar, pero si obtiene el PIN, también tendría que acceder a su dispositivo. El PIN no se puede usar en ningún lugar excepto en ese dispositivo específico. Si desea iniciar sesión en varios dispositivos, debe configurar Hello en cada dispositivo.
- Un PIN es local para el dispositivo: se transmite una contraseña en línea al servidor. La contraseña se puede interceptar en la transmisión o obtenerse de un servidor. Un PIN es local para el dispositivo, nunca se transmite a ningún lugar y no se almacena en el servidor. Cuando se crea el PIN, se establece una relación de confianza con el proveedor de identidades y se crea un par de claves asimétricas que se usa para la autenticación. Al escribir el PIN, desbloquea la clave de autenticación, que se usa para firmar la solicitud que se envía al servidor de autenticación. Con Windows Hello para empresas, el PIN es una entropía proporcionada por el usuario que se usa para cargar la clave privada en el módulo de plataforma segura (TPM). El servidor no tiene una copia del PIN. En ese caso, el cliente de Windows tampoco tiene una copia del PIN actual. El usuario debe proporcionar la entropía, la clave protegida por TPM y el TPM que generó esa clave para acceder correctamente a la clave privada.
- Un PIN está respaldado por hardware: el PIN de Hello está respaldado por un chip del módulo de plataforma segura (TPM), que es un procesador criptográfico seguro que está diseñado para realizar operaciones criptográficas. El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que las funciones de seguridad no permitan que el software malintencionado realice alteraciones. Windows no vincula las contraseñas locales a TPM, por lo que los PIN se consideran más seguros que las contraseñas locales. El material de clave de usuario se genera y está disponible en el TPM del dispositivo. El TPM protege el material clave de los atacantes que quieren capturarlo y reutilizarlo. Dado que Hello usa pares de claves asimétricas, las credenciales de los usuarios no se pueden robar en los casos en los que el proveedor de identidades o los sitios web a los que el usuario accede se han puesto en peligro. El TPM protege contra varios ataques conocidos y potenciales, incluidos los ataques por fuerza bruta de PIN. Después de demasiadas estimaciones incorrectas, el dispositivo está bloqueado
La instrucción Un PIN es más fuerte que una contraseña no se dirige a la intensidad de la entropía utilizada por el PIN. Se trata de la diferencia entre proporcionar entropía y continuar con el uso de una clave simétrica (la contraseña). El TPM tiene características anti-martillo que frustran los ataques pin por fuerza bruta (el intento continuo de un atacante de probar toda la combinación de PIN). Algunas organizaciones pueden preocuparse por el surf de hombro. Para esas organizaciones, en lugar de aumentar la complejidad del PIN, implemente la característica Desbloqueo multifactor .
¿Y si alguien roba el dispositivo?
Para poner en peligro una credencial Windows Hello que TPM protege, un atacante debe tener acceso al dispositivo físico. A continuación, el atacante debe encontrar una manera de suplantar la biometría del usuario o adivinar el PIN. Todas estas acciones deben realizarse antes de que la protección contra el martillo de TPM bloquee el dispositivo.
¿Por qué necesitas un PIN para usar biometría?
Windows Hello permite el inicio de sesión biométrico con huella digital, iris o reconocimiento facial. Al configurar Windows Hello, se le pedirá que cree un PIN después de la configuración biométrica. El PIN le permite iniciar sesión cuando no puede usar su biometría preferida debido a una lesión o porque el sensor no está disponible o no funciona correctamente. Si solo tuviera configurado un inicio de sesión biométrico y, por cualquier motivo, no pudiera usar ese método para iniciar sesión, tendría que iniciar sesión con su cuenta y contraseña, lo que no proporciona el mismo nivel de protección que Hello.
¿Cómo se protegen las claves?
Cada vez que se genera el material clave, debe protegerse contra ataques. La forma más sólida de hacer esto es mediante hardware especializado. Hay un largo historial de uso de módulos de seguridad de hardware (HSM) para generar, almacenar y procesar claves para aplicaciones críticas para la seguridad. Las tarjetas inteligentes son un tipo especial de HSM, como lo son también los dispositivos compatibles con el estándar Trusted Computing Group TPM. Siempre que sea posible, la implementación de Windows Hello para empresas aprovecha el hardware tpm incorporado para generar y proteger claves. Los administradores pueden optar por permitir operaciones clave en el software, pero se recomienda el uso del hardware de TPM. El TPM protege contra una variedad de ataques conocidos y posibles, incluidos los ataques de fuerza bruta contra los PIN. Además, el TPM proporciona un nivel adicional de protección después de un bloqueo de la cuenta. Cuando el TPM haya bloqueado el material de clave, el usuario tendrá que restablecer el PIN (lo que significa que el usuario tendrá que usar MFA para volver a autenticarse en el IdP antes de que el IdP permita volver a registrarse). Restablecer el PIN significa que se quitarán todas las claves y certificados cifrados con el material de clave anterior.
¿Cómo el almacenamiento en la memoria caché de PIN funciona con Windows Hello para empresas?
Windows Hello para empresas proporciona una experiencia de usuario de almacenamiento en caché de PIN mediante un sistema de vales. En lugar de almacenamiento en la memoria caché de un PIN, los procesos almacenan en la memoria caché un vale que pueden usar para solicitar operaciones de clave privada. Microsoft Entra ID y las claves de inicio de sesión de Active Directory se almacenan en caché bajo bloqueo. Esto significa que las claves permanecen disponibles para su uso sin preguntar, siempre y cuando el usuario haya iniciado sesión de forma interactiva. Las claves de inicio de sesión de la cuenta microsoft son claves transaccionales, lo que significa que siempre se le pide al usuario que acceda a la clave.
Windows Hello para empresas se usa como tarjeta inteligente (emulación de tarjeta inteligente habilitada de forma predeterminada) proporciona la misma experiencia de usuario del almacenamiento en caché de PIN de tarjeta inteligente predeterminada. Cada proceso que solicita una operación de clave privada solicita al usuario el PIN en el primer uso. Las operaciones de clave privada posteriores no solicitarán al usuario el PIN.
La característica de emulación de tarjeta inteligente de Windows Hello para empresas comprueba el PIN y luego descarta el PIN a cambio de un vale. El proceso no recibe el PIN, sino el vale que les concede operaciones de clave privada. No hay una configuración de directiva para ajustar el almacenamiento en caché.
¿Dónde se almacenan Windows Hello datos biométricos?
Al inscribirse en Windows Hello, se crea una representación de la biometría, denominada perfil de inscripción. Los datos biométricos del perfil de inscripción son específicos del dispositivo, se almacenan localmente en el dispositivo y no dejan el dispositivo ni se desplazan con el usuario. Algunos sensores de huellas digitales externos almacenan datos biométricos en el propio módulo de huellas digitales en lugar de en el dispositivo Windows. Incluso en este caso, los datos biométricos se almacenan localmente en esos módulos, son específicos del dispositivo, no se desplazan, nunca abandonan el módulo y nunca se envían a la nube de Microsoft ni al servidor externo. Para obtener más información, consulte Windows Hello biometría en la empresa y Windows Hello autenticación facial.
¿Cuál es el formato que se usa para almacenar Windows Hello datos biométricos en el dispositivo?
Windows Hello datos biométricos se almacenan en el dispositivo como una base de datos de plantilla cifrada. Los datos del sensor biométrico (como la cámara facial o el lector de huellas digitales) crean una representación de datos (o gráfico) que, a continuación, se cifra antes de almacenarse en el dispositivo. Cada sensor de biometría del dispositivo que usa Windows Hello (cara o huella digital) tendrá su propio archivo de base de datos biométrica donde se almacenan los datos de plantilla. Cada archivo de base de datos biométrica se cifra con una clave única y generada aleatoriamente que se cifra en el sistema mediante el cifrado AES que produce un hash SHA256.
¿Quién tiene acceso a Windows Hello datos biométricos?
Dado que Windows Hello datos biométricos se almacenan en formato cifrado, ningún usuario o ningún proceso que no sea Windows Hello tiene acceso a él.
¿Cuándo se crea Windows Hello archivo de base de datos biométrica? ¿Cómo se inscribe un usuario en Windows Hello autenticación facial o de huella digital?
Windows Hello archivo de base de datos de plantilla de biometría se crea en el dispositivo solo cuando un usuario está inscrito en Windows Hello autenticación basada en biometría. Un administrador de TI puede configurar las opciones de directiva, pero siempre es la elección de un usuario si quiere usar la biometría o el PIN. Los usuarios pueden comprobar su inscripción actual en Windows Hello biometría si van a las opciones de inicio de sesión en su dispositivo. Vaya a Opciones > de inicio de sesión de cuentas > de configuración>. Si no ve Windows Hello en las opciones de inicio de sesión, es posible que no esté disponible para el dispositivo o que el administrador lo bloquee a través de la directiva. Los administradores pueden solicitar a los usuarios que se inscriban en Windows Hello durante Autopilot o durante la configuración inicial del dispositivo. Los administradores pueden impedir que los usuarios se inscriban en la biometría a través de configuraciones de directivas de Windows Hello para empresas. Sin embargo, cuando se permite mediante configuraciones de directiva, la inscripción en Windows Hello biometría siempre es opcional para los usuarios.
¿Cuándo se elimina Windows Hello archivo de base de datos biométrica? ¿Cómo se puede anular la inscripción de un usuario de Windows Hello autenticación facial o de huella digital?
Para quitar Windows Hello y los datos de identificación biométricos asociados del dispositivo, abra > opciones de inicio de sesión de cuentas > de configuración>. Seleccione el método de autenticación biométrica Windows Hello que desea quitar y, a continuación, seleccione Quitar. La acción anula la inscripción de Windows Hello autenticación biométrica y elimina el archivo de base de datos de plantilla biométrica asociada. Para obtener más información, consulta Opciones de inicio de sesión de Windows y Protección de cuentas (microsoft.com).
Administración y operaciones
¿Puedo implementar y administrar Windows Hello para empresas mediante Microsoft Configuration Manager?
A partir de Configuration Manager, versión 2203, ya no se admiten las implementaciones de Windows Hello para empresas mediante Configuration Manager.
Cómo eliminar un contenedor de Windows Hello para empresas en un dispositivo?
Puede eliminar el contenedor Windows Hello para empresas ejecutando el comando certutil.exe -deleteHelloContainer
.
¿Qué ocurre cuando un usuario olvida su PIN?
Si el usuario puede iniciar sesión con una contraseña, puede restablecer su PIN seleccionando el vínculo He olvidado mi PIN en la aplicación Configuración o en la pantalla de bloqueo, seleccionando el vínculo He olvidado mi PIN en el proveedor de credenciales de PIN.
En el caso de las implementaciones locales, los dispositivos deben estar conectados a su red local (controladores de dominio o entidad de certificación) para restablecer sus PIN. Las implementaciones híbridas pueden incorporar su inquilino de Microsoft Entra para usar el servicio de restablecimiento de PIN Windows Hello para empresas para restablecer sus PIN. El restablecimiento de PIN no destructivo funciona sin acceso a la red corporativa. El restablecimiento de PIN destructivo requiere acceso a la red corporativa. Para obtener más información sobre el restablecimiento de PIN destructivo y no destructivo, consulta Restablecimiento de PIN.
¿Windows Hello para empresas evita el uso de PIN sencillos?
Sí. Nuestro algoritmo de PIN sencillo busca e impide que cualquier PIN que tenga un delta constante de un dígito al siguiente. El algoritmo cuenta el número de pasos necesarios para alcanzar el siguiente dígito, desbordando en 10 ('cero'). Por ejemplo:
- El PIN 1111 tiene una diferencia constante de (0,0,0), por lo que no se permite
- El PIN 1234 tiene un delta constante de (1,1,1), por lo que no se permite
- El PIN 1357 tiene un delta constante de (2,2,2), por lo que no se permite
- El PIN 9630 tiene una diferencia constante de (7,7,7), por lo que no se permite
- El PIN 1593 tiene un delta constante de (4,4,4), por lo que no se permite
- El PIN 7036 tiene una diferencia constante de (3,3,3), por lo que no se permite
- El PIN 1231 no tiene un delta constante (1,1,2), por lo que se permite
- El PIN 1872 no tiene un delta constante (7,9,5), por lo que se permite
Esta comprobación impide la repetición de números, números secuenciales y patrones simples. Siempre da como resultado una lista de 100 PIN no permitidos (independientemente de la longitud del PIN). Este algoritmo no se aplica a los PIN alfanuméricos.
¿Qué datos de diagnóstico se recopilan cuando Windows Hello para empresas está habilitado?
Para ayudar a Microsoft a mantener las cosas funcionando correctamente, para ayudar a detectar y prevenir fraudes y para seguir mejorando Windows Hello, se recopilan datos de diagnóstico sobre cómo usan los usuarios Windows Hello. Por ejemplo:
- Datos sobre si las personas inician sesión con su cara, iris, huella digital o PIN
- El número de veces que lo usan
- Tanto si funciona como si no Todo esto es información valiosa que ayuda a Microsoft a crear un producto mejor. Los datos se seudonimizan, no incluyen información biométrica y se cifran antes de que se transmitan a Microsoft. Puede optar por dejar de enviar datos de diagnóstico a Microsoft en cualquier momento. Obtenga más información sobre los datos de diagnóstico en Windows.
¿Se puede deshabilitar el PIN mientras se usa Windows Hello para empresas?
No. El movimiento de extracción de contraseñas se logra gradualmente mediante la reducción del uso de la contraseña. En situaciones en las que no se puede autenticar mediante biometría, necesita un mecanismo de reserva que no sea una contraseña. El PIN es el mecanismo de reserva. Deshabilitar u ocultar el proveedor de credenciales pin deshabilitará el uso de biometría.
¿Qué ocurre cuando un usuario no autorizado obtiene la posesión de un dispositivo inscrito en Windows Hello para empresas?
El usuario no autorizado no podrá usar ninguna opción biométrica y tendrá la única opción para escribir un PIN.
Si el usuario intenta desbloquear el dispositivo escribiendo PIN aleatorios, después de tres intentos incorrectos, el proveedor de credenciales mostrará el siguiente mensaje: Ha escrito un PIN incorrecto varias veces. Para volver a intentarlo, escriba A1B2C3 a continuación. Al escribir la frase de desafío A1B2C3, se le concederá al usuario una oportunidad más para escribir el PIN. Si no se realiza correctamente, el proveedor se deshabilitará, dejando al usuario con la única opción de reiniciar el dispositivo. Después del reinicio, se repite el patrón mencionado anteriormente.
Si continúan los intentos fallidos, el dispositivo entrará en un estado de bloqueo que dura 1 minuto después del primer reinicio, 2 minutos después del cuarto reinicio y 10 minutos después del quinto reinicio. La duración de cada bloqueo aumenta en consecuencia. Este comportamiento es el resultado de la característica contra el martillo tpm 2.0. Para obtener más información sobre la característica de anti-martillo de TPM, vea Tpm 2.0 anti-hammering.
Diseño y planeamiento
¿Windows Hello para empresas puede trabajar en entornos con aire acondicionado?
Sí. Puede usar la implementación de Windows Hello para empresas local y combinarla con un proveedor que no sea de Microsoft MFA que no requiera conectividad a Internet para lograr una implementación de Windows Hello para empresas por aire.
¿Cuántos usuarios pueden inscribirse para Windows Hello para empresas en un único dispositivo Windows?
El número máximo de inscripciones admitidas en un único dispositivo es 10. Esto permite que 10 usuarios inscriban su cara y hasta 10 huellas digitales. Para dispositivos con más de 10 usuarios o para usuarios que inician sesión en muchos dispositivos (por ejemplo, un técnico de soporte técnico), se recomienda el uso de claves de seguridad FIDO2.
He ampliado Active Directory a Microsoft Entra ID. ¿Puedo usar el modelo de implementación local?
No. Si su organización usa servicios en la nube de Microsoft, debe usar un modelo de implementación híbrida. Las implementaciones locales son exclusivas de las organizaciones que necesitan más tiempo antes de pasar a la nube y usan exclusivamente Active Directory.
¿Qué atributos se sincronizan mediante Microsoft Entra Connect con Windows Hello para empresas?
Revise Microsoft Entra Connect Sync: Atributos sincronizados con Microsoft Entra ID para obtener una lista de atributos que se sincronizan en función de escenarios. Los escenarios base que incluyen Windows Hello para empresas son el escenario de Windows 10 y el escenario de escritura diferida del dispositivo. El entorno puede incluir otros atributos.
¿Puedo usar proveedores que no son de Microsoft MFA con Windows Hello para empresas?
Sí, si usa la implementación híbrida federada, puede usar cualquier dispositivo que no sea de Microsoft que proporcione un adaptador de MFA de AD FS. Puede encontrar una lista de adaptadores de MFA que no son de Microsoft aquí.
¿Windows Hello para empresas funciona con servidores de federación que no son de Microsoft?
Windows Hello para empresas funciona con cualquier servidor de federación que no sea de Microsoft que admita los protocolos usados durante la experiencia de aprovisionamiento.
Protocolo | Descripción |
---|---|
[MS-KPP]: Protocolo de aprovisionamiento de clave | Especifica el protocolo de aprovisionamiento de clave, que define un mecanismo para que un cliente registre un conjunto de claves criptográficas en una pareja de usuarios y dispositivos. |
[MS-OAPX]: OAuth 2.0 Extensiones del protocolo | Especifica las extensiones de protocolo OAuth 2.0, que se usan para ampliar el marco de autorización de OAuth 2.0. Estas extensiones habilitan características de autorización, como la especificación de recursos, los identificadores de solicitud y las sugerencias de inicio de sesión. |
[MS-OAPXBC]: extensiones del protocolo OAuth 2.0 para clientes de agente | Especifica las extensiones de protocolo de OAuth 2.0 para clientes de broker, las extensiones para RFC6749 (el marco de autorización de OAuth 2.0) que permiten a un cliente de agente obtener tokens de acceso en nombre de los clientes que llaman. |
[MS-OIDCE]: Extensiones del protocolo de OpenID Connect 1.0 | Especifica las extensiones de protocolo de OpenID Connect 1.0. Estas extensiones definen otras notificaciones para llevar información sobre el usuario, como el nombre principal de usuario, un identificador único local, una hora para la expiración de la contraseña y una dirección URL para el cambio de contraseña. Estas extensiones también definen más metadatos de proveedor que permiten la detección del emisor de tokens de acceso y proporcionan información adicional sobre las funcionalidades del proveedor. |
¿Puedo inscribir cuentas locales de Windows en Windows Hello para empresas?
Windows Hello para empresas no está diseñado para trabajar con cuentas locales.
¿Cuáles son los requisitos biométricos para Windows Hello para empresas?
Lea Windows Hello requisitos biométricos para obtener más información.
¿Puedo usar una máscara para inscribir o desbloquear mediante Windows Hello autenticación facial?
Usar una máscara para inscribirse es un problema de seguridad porque otros usuarios que usan una máscara similar pueden desbloquear el dispositivo. Quite una máscara si usa una cuando se inscribe o desbloquea con Windows Hello autenticación facial. Si el entorno de trabajo no le permite quitar una máscara temporalmente, considere la posibilidad de anular la inscripción de la autenticación facial y solo usar el PIN o la huella digital.
¿Cómo funciona Windows Hello para empresas con Microsoft Entra dispositivos registrados?
Se pedirá a un usuario que configure una clave de Windows Hello para empresas en un Microsoft Entra dispositivos registrados si la característica está habilitada por la directiva. Si el usuario tiene un contenedor Windows Hello existente, la clave de Windows Hello para empresas se inscribirá en ese contenedor y se protegerá mediante gestos existentes.
Si un usuario ha iniciado sesión en su dispositivo registrado Microsoft Entra con Windows Hello, su clave de Windows Hello para empresas se usará para autenticar la identidad de trabajo del usuario cuando intente usar Microsoft Entra recursos. La clave de Windows Hello para empresas cumple Microsoft Entra requisitos de autenticación multifactor (MFA) y reduce el número de solicitudes de MFA que verán los usuarios al acceder a los recursos.
Es posible Microsoft Entra registrar un dispositivo unido a un dominio. Si el dispositivo unido a un dominio tiene un PIN práctico, el inicio de sesión con el PIN de conveniencia dejará de funcionar. Esta configuración no es compatible con Windows Hello para empresas.
Para obtener más información, consulte Microsoft Entra dispositivos registrados.
¿Windows Hello para empresas funciona con sistemas operativos que no son windows?
Windows Hello para empresas es una característica de la plataforma Windows.
¿Windows Hello para empresas funciona con clientes Servicios de dominio de Microsoft Entra?
No, Servicios de dominio de Microsoft Entra es un entorno administrado por separado en Azure y el registro de dispositivos híbridos con Microsoft Entra ID en la nube no está disponible a través de Microsoft Entra Connect. Por lo tanto, Windows Hello para empresas no funciona con Servicios de dominio de Microsoft Entra.
¿Se considera Windows Hello para empresas la autenticación multifactor?
Windows Hello para empresas es la autenticación en dos fases basada en los factores de autenticación observados de: algo que tiene, algo que sabe y algo que forma parte de usted. Windows Hello para empresas incorpora dos de estos factores: algo que tienes (la clave privada del usuario protegida por el módulo de seguridad del dispositivo) y algo que sabes (el PIN). Con el hardware adecuado, puedes mejorar la experiencia del usuario mediante la introducción de la biométrica. Mediante el uso de la biometría, puede reemplazar el factor de autenticación "algo que sabe" por el factor "algo que forma parte de usted", con las garantías de que los usuarios pueden revertir al "factor algo que sabe".
Nota
La clave de Windows Hello para empresas cumple Microsoft Entra requisitos de autenticación multifactor (MFA) y reduce el número de solicitudes de MFA que verán los usuarios al acceder a los recursos. Para obtener más información, vea ¿Qué es un token de actualización principal?
¿Cuál es mejor o más seguro para la autenticación, la clave o el certificado?
Ambos tipos de autenticación proporcionan la misma seguridad; uno no es más seguro que el otro. Los modelos de confianza de la implementación determinan cómo se autentica en Active Directory. Tanto la confianza de clave como la confianza del certificado usan la misma credencial en dos fases respaldada por hardware. La diferencia entre los dos tipos de confianza es la emisión de certificados de entidad final:
- El modelo de confianza de claves se autentica en Active Directory mediante una clave sin procesar. La confianza de clave no requiere un certificado emitido por la empresa, por lo que no es necesario emitir certificados a los usuarios (los certificados de controlador de dominio siguen siendo necesarios).
- El modelo de confianza de certificados se autentica en Active Directory mediante un certificado. Por lo tanto, debe emitir certificados a los usuarios. El certificado usado en la confianza del certificado usa la clave privada protegida por TPM para solicitar un certificado a la entidad de certificación emisora de la empresa.
¿Qué es el PIN de conveniencia?
El PIN de conveniencia proporciona una manera más sencilla de iniciar sesión en Windows que las contraseñas, pero sigue usando una contraseña para la autenticación. Cuando se proporciona el PIN de conveniencia correcto a Windows, la información de contraseña se carga desde su memoria caché y autentica al usuario. Las organizaciones que usan PIN de conveniencia deben pasar a Windows Hello para empresas. Las nuevas implementaciones de Windows deben implementar Windows Hello para empresas y no los PIN útiles.
¿Puedo usar un PIN cómodo con Microsoft Entra ID?
No. Aunque es posible establecer un PIN cómodo en Microsoft Entra dispositivos unidos y Microsoft Entra híbridos, no se admite el PIN cómodo para Microsoft Entra cuentas de usuario (incluidas las identidades sincronizadas). El PIN de conveniencia solo se admite para Active Directory local usuarios y usuarios de cuentas locales.
¿Qué ocurre con las tarjetas inteligentes virtuales?
Windows Hello para empresas es la autenticación moderna en dos fases para Windows. Se recomienda encarecidamente a los clientes que usan tarjetas inteligentes virtuales que pasen a Windows Hello para empresas.
¿Qué direcciones URL necesito para permitir una implementación híbrida?
Para obtener una lista de las direcciones URL necesarias, consulte Microsoft 365 Common y Office Online.
Si el entorno usa Microsoft Intune, consulte Puntos de conexión de red para Microsoft Intune.
Características
¿Puedo usar una cámara compatible con Windows Hello externa cuando mi equipo tiene una cámara integrada Windows Hello compatible?
Sí, puede usar una cámara compatible con Windows Hello externa si un dispositivo tiene una cámara Windows Hello interna. Cuando ambas cámaras están presentes, la cámara externa se usa para la autenticación facial. Para obtener más información, consulte Herramientas de TI para admitir Windows 10, versión 21H1. Si ESS está habilitado, consulte Windows Hello Seguridad de inicio de sesión mejorada.
¿Puedo usar una cámara Windows Hello externa u otro accesorio compatible con Windows Hello cuando mi tapa del portátil está cerrada o acoplada?
Algunos portátiles y tabletas con teclados que cierran pueden no usar una cámara Windows Hello externa u otro accesorio compatible con Windows Hello cuando el equipo está acoplado con la tapa cerrada. El problema se ha solucionado en Windows 11, versión 22H2.
¿Puedo usar credenciales de Windows Hello para empresas en modo de explorador privado o en modo "incógnito"?
Windows Hello para empresas credenciales necesitan acceso al estado del dispositivo, que no está disponible en modo de explorador privado o modo de incógnito. Por lo tanto, no se puede usar en el explorador privado ni en el modo incógnito.
¿Puedo usar un PIN y una biometría para desbloquear el dispositivo?
Puede usar el desbloqueo multifactor para requerir que los usuarios proporcionen un factor adicional para desbloquear su dispositivo. La autenticación permanece en dos fases, pero se requiere otro factor antes de que Windows permita al usuario llegar al escritorio. Para obtener más información, consulte Desbloqueo multifactor.
Confianza de Kerberos en la nube
¿Qué es Windows Hello para empresas confianza de Kerberos en la nube?
Windows Hello para empresas confianza de Kerberos en la nube es un modelo de confianza que permite la implementación de Windows Hello para empresas mediante la infraestructura introducida para admitir el inicio de sesión de clave de seguridad en Microsoft Entra dispositivos unidos a híbridos y acceso a recursos locales en Microsoft Entra dispositivos unidos. La confianza de Kerberos en la nube es el modelo de implementación preferido si no necesita admitir escenarios de autenticación de certificados. Para obtener más información, consulte Implementación de confianza de Kerberos en la nube.
¿Funciona Windows Hello para empresas confianza de Kerberos en la nube en mi entorno local?
Esta característica no funciona en un entorno puro de servicios de dominio de AD local.
¿Funciona Windows Hello para empresas confianza de Kerberos en la nube en un inicio de sesión de Windows con RODC presente en el entorno híbrido?
Windows Hello para empresas confianza de Kerberos en la nube busca un controlador de dominio que se pueda escribir para intercambiar el TGT parcial. Siempre que tenga al menos un controlador de dominio grabable por sitio, el inicio de sesión con la confianza de Kerberos en la nube funcionará.
¿Necesito una línea de visión de un controlador de dominio para usar Windows Hello para empresas confianza de Kerberos en la nube?
Windows Hello para empresas confianza de Kerberos en la nube requiere una línea de visión para un controlador de dominio cuando:
- un usuario inicia sesión por primera vez o se desbloquea con Windows Hello para empresas después del aprovisionamiento
- intentar acceder a recursos locales protegidos por Active Directory
¿Puedo usar RDP/VDI con Windows Hello para empresas confianza de Kerberos en la nube?
Windows Hello para empresas confianza de Kerberos en la nube no se puede usar como una credencial proporcionada con RDP/VDI. De forma similar a la confianza clave, la confianza de Kerberos en la nube se puede usar para RDP si se inscribe un certificado en Windows Hello para empresas con este fin. Como alternativa, considere la posibilidad de usar Remote Credential Guard , que no requiere implementar certificados.
¿Es necesario aplicar una revisión completa a todos mis controladores de dominio según los requisitos previos para usar Windows Hello para empresas confianza de Kerberos en la nube?
No, solo el número necesario para controlar la carga de todos los dispositivos de confianza kerberos en la nube.
Clave de confianza
¿Por qué se produce un error de autenticación inmediatamente después de aprovisionar la confianza de clave híbrida?
En una implementación híbrida, la clave pública de un usuario debe sincronizarse de Microsoft Entra ID a Active Directory antes de que se pueda usar para autenticarse en un controlador de dominio. Esta sincronización la controla Microsoft Entra Connect y se producirá durante un ciclo de sincronización normal.
¿Puedo usar Windows Hello para empresas clave de confianza y RDP?
El Protocolo de Escritorio remoto (RDP) no admite el uso de la autenticación basada en claves como credenciales proporcionadas. Sin embargo, puede implementar certificados en el modelo de confianza de clave para habilitar RDP. Para obtener más información, consulte Implementación de certificados en usuarios clave de confianza para habilitar RDP. Como alternativa, considere la posibilidad de usar Remote Credential Guard , que no requiere implementar certificados.