Compartir a través de


Configuración e inscripción en Windows Hello para empresas en un modelo de confianza de certificados local

En este artículo se describen las funcionalidades o escenarios de Windows Hello para empresas que se aplican a:

  • Tipo de implementación:
  • Tipo de confianza:.
  • Tipo de combinación:dominio

Una vez que se cumplen los requisitos previos y se validan las configuraciones PKI y AD FS, la implementación de Windows Hello para empresas consta de los pasos siguientes:

Establecer la configuración de la directiva de Windows Hello para empresas

Hay 2 opciones de directiva necesarias para habilitar Windows Hello para empresas en un modelo de confianza de certificados:

Otra configuración de directiva opcional, pero recomendada, es la siguiente:

Siga las instrucciones siguientes para configurar los dispositivos mediante Microsoft Intune o la directiva de grupo (GPO).

Puede configurar la configuración de la directiva Usar Windows Hello para empresas en el nodo de equipo o usuario de un GPO:

  • La implementación de la configuración de directiva de nodo de equipo da como resultado que todos los usuarios que inician sesión en los dispositivos de destino intenten una inscripción de Windows Hello para empresas
  • La implementación de la configuración de directiva de nodo de usuario da como resultado que solo los usuarios de destino intenten una inscripción de Windows Hello para empresas.

Si se implementa la configuración de las directivas al usuario y al equipo, la configuración de las directivas del usuario tiene prioridad.

Sugerencia

Use el mismo grupo de seguridad usuarios de Windows Hello para empresas para asignar permisos de plantilla de certificado para asegurarse de que los mismos miembros pueden inscribirse en el certificado de autenticación de Windows Hello para empresas.

Habilitación de la inscripción automática de la configuración de directiva de grupo de certificados

El aprovisionamiento de Windows Hello para de empresas realiza la inscripción inicial del certificado de autenticación de Windows Hello para empresas. Este certificado expira en función de la duración configurada en la plantilla de certificado de autenticación de Windows Hello para empresas.

El proceso no requiere ninguna interacción del usuario, siempre que el usuario inicie sesión con Windows Hello para empresas. El certificado se renueva en segundo plano antes de que expire.

Para configurar un dispositivo con directiva de grupo, use el Editor de directivas de grupo local. Para configurar varios dispositivos unidos a Active Directory, cree o edite un objeto de directiva de grupo (GPO) y use la siguiente configuración:

Ruta de acceso de directiva de grupo Configuración de directiva de grupo Valor
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas
or
Configuración de usuario\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas
Usar Windows Hello para empresas Habilitado
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas
or
Configuración de usuario\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas
Usa el certificado para la autenticación local Habilitado
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública
or
Configuración de usuario\Configuración de Windows\Configuración de seguridad\Directivas de clave pública
Cliente de Servicios de certificados: inscripción automática - Seleccione Habilitado en el modelo de configuración.
: seleccione Renovar certificados expirados, actualizar certificados pendientes y quitar certificados revocados.
- Seleccione Actualizar certificados que usan plantillas de certificado.
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Hello para empresas Usar un dispositivo de seguridad de hardware Habilitado

Nota

La habilitación de la opción Usar una directiva de dispositivo de seguridad de hardware es opcional, pero se recomienda.

Las directivas de grupo se pueden vincular a dominios o unidades organizativas, filtrarse mediante grupos de seguridad o filtrarse mediante filtros WMI.

Sugerencia

La mejor manera de implementar el GPO de Windows Hello para empresas es usar el filtrado de grupos de seguridad. Solo los miembros del grupo de seguridad de destino aprovisionarán Windows Hello para empresas, lo que habilitará un lanzamiento por fases. Esta solución permite vincular el GPO al dominio, lo que garantiza que el GPO está limitado a todas las entidades de seguridad. El filtrado de grupos de seguridad garantiza que solo los miembros del grupo global reciban y apliquen el GPO, lo que da como resultado el aprovisionamiento de Windows Hello para empresas.

Se puede configurar una configuración de directiva adicional para controlar el comportamiento de Windows Hello para empresas. Para obtener más información, consulta Configuración de directivas de Windows Hello para empresas.

Inscripción en Windows Hello para empresas

El proceso de aprovisionamiento de Windows Hello para empresas comienza inmediatamente después de cargar el perfil de usuario y antes de que el usuario reciba su escritorio. Para que se inicie el proceso de aprovisionamiento, deben superarse todas las comprobaciones de requisitos previos.

Para determinar el estado de las comprobaciones de requisitos previos, consulte el registro de administrador registro de dispositivos de usuario en Registros de aplicaciones y servicios > de Microsoft > Windows.
Esta información también está disponible mediante el dsregcmd.exe /status comando desde una consola. Para obtener más información, vea dsregcmd.

Experiencia del usuario

Una vez que un usuario inicia sesión, comienza el proceso de inscripción de Windows Hello para empresas:

  1. Si el dispositivo admite la autenticación biométrica, se pedirá al usuario que configure un gesto biométrico. Este gesto se puede usar para desbloquear el dispositivo y autenticarse en los recursos que requieren Windows Hello para empresas. El usuario puede omitir este paso si no quiere configurar un gesto biométrico.
  2. Se pide al usuario que use Windows Hello con la cuenta de la organización. El usuario selecciona Aceptar
  3. El flujo de aprovisionamiento continúa con la parte de autenticación multifactor de la inscripción. El aprovisionamiento informa al usuario de que está intentando ponerse en contacto activamente con el usuario a través de su forma configurada de MFA. El proceso de aprovisionamiento no continúa hasta que la autenticación se realiza correctamente, se produce un error o se agota el tiempo de espera. Una MFA con errores o tiempo de espera produce un error y pide al usuario que vuelva a intentarlo.
  4. Después de realizar una MFA correcta, el flujo de aprovisionamiento solicita al usuario crear y validar un PIN. Este PIN debe observar las directivas de complejidad de PIN configuradas en el dispositivo.
  5. El resto del aprovisionamiento incluye que Windows Hello para empresas solicite un par de claves asimétricas para el usuario, preferiblemente del TPM (o son obligatorias si están establecidas explícitamente en la directiva). Una vez adquirido el par de claves, Windows se comunica con el IdP para registrar la clave pública. Cuando se completa el registro de claves, el aprovisionamiento de Windows Hello para empresas informa al usuario de que puede usar su PIN para iniciar sesión. El usuario puede cerrar la aplicación de aprovisionamiento y acceder a su escritorio

Después de un registro de clave correcto, Windows crea una solicitud de certificado con el mismo par de claves para solicitar un certificado. Windows envía la solicitud de certificado al servidor de AD FS para la inscripción de certificados.

La entidad de registro de AD FS comprueba que la clave usada en la solicitud de certificados coincide con la clave que se registró anteriormente. Si coinciden correctamente, la entidad de registro de AD FS firma la solicitud de certificado con su certificado de agente de inscripción y la envía a la entidad de certificación.

La entidad de certificación valida que el certificado esté firmado por la entidad de registro. Si la validación se realiza correctamente, emite un certificado en función de la solicitud y devuelve el certificado a la entidad de registro de AD FS. La entidad de registro devuelve el certificado a Windows, donde luego instala el certificado en el almacén de certificados del usuario actual.

En el vídeo siguiente se muestran los pasos de inscripción de Windows Hello para empresas después de iniciar sesión con una contraseña mediante un adaptador de MFA personalizado para AD FS.

Diagrama de secuencia

Para comprender mejor los flujos de aprovisionamiento, revise el diagrama de secuencia siguiente: