Inscripción doble

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

En este artículo se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:

• Tipo de implementación: local, para las organizaciones híbrido
• Tipo de confianza:.
• Tipo de combinación:unidos a un dominio, Microsoft Entra unión híbrida

---

Importante

La inscripción doble no reemplaza ni proporciona la misma seguridad que la característica estaciones de trabajo de acceso con privilegios. Microsoft anima a las organizaciones a usar las estaciones de trabajo de acceso con privilegios para sus usuarios con credenciales con privilegios. Las organizaciones pueden considerar la posibilidad de Windows Hello para empresas inscripción doble en situaciones en las que no se puede usar la característica Privileged Access. Para más información, consulte Estaciones de trabajo de acceso con privilegios.

La inscripción doble permite a los administradores realizar funciones administrativas con privilegios elevados mediante la inscripción de sus credenciales sin privilegios y con privilegios en su dispositivo.

Por diseño, Windows no enumera todos los usuarios Windows Hello para empresas de la sesión de un usuario. Con la configuración de directiva de grupo Permitir enumeración de tarjeta inteligente emulada para todos los usuarios, puede configurar un dispositivo para enumerar todas las credenciales de Windows Hello para empresas inscritas en los dispositivos seleccionados.

Con esta configuración, los usuarios administrativos pueden iniciar sesión en Windows con sus credenciales de Windows Hello sin privilegios para un flujo de trabajo normal, como el correo electrónico, pero pueden iniciar Microsoft Management Consoles (MMC), clientes de Servicios de Escritorio remoto y otras aplicaciones seleccionando Ejecutar como usuario diferente o Ejecutar como administrador, seleccionando la cuenta de usuario con privilegios y proporcionando su PIN. Los administradores también pueden aprovechar esta característica con aplicaciones de línea de comandos mediante el uso runas.exe combinado con el /smartcard argumento . Esto permite a los administradores realizar sus operaciones diarias sin necesidad de iniciar y cerrar sesión, o usar el cambio rápido de usuario al alternar entre cargas de trabajo con privilegios y sin privilegios.

Importante

Debe configurar un equipo Windows para Windows Hello para empresas inscripción doble antes de que el usuario (con privilegios o sin privilegios) aprovisione Windows Hello para empresas. La inscripción doble es una configuración especial que se configura en el contenedor de Windows Hello durante la creación.

Configuración de Windows Hello para empresas inscripción dual

Estos son los pasos para habilitar la inscripción doble:

• Configuración de Active Directory para admitir la inscripción de administrador de dominio
• Configuración de la inscripción dual mediante directiva de grupo

Configuración de Active Directory para admitir la inscripción de administrador de dominio

La configuración de Windows Hello para empresas diseñada proporciona al Key Admins grupo permisos de lectura y escritura para el msDS-KeyCredentialsLink atributo . Ha proporcionado estos permisos en la raíz del dominio y usa la herencia de objetos para asegurarse de que los permisos se aplican a todos los usuarios del dominio independientemente de su ubicación dentro de la jerarquía de dominios.

Servicios de dominio de Active Directory usa AdminSDHolder para proteger a los usuarios y grupos con privilegios frente a modificaciones involuntarias comparando y reemplazando la seguridad en usuarios y grupos con privilegios para que coincidan con los definidos en el objeto AdminSDHolder en un ciclo por hora. Por Windows Hello para empresas, es posible que la cuenta de administrador de dominio reciba los permisos, pero desaparecen del objeto de usuario a menos que se concedan los AdminSDHolder permisos de lectura y escritura al msDS-KeyCredential atributo.

Inicie sesión en un controlador de dominio o una estación de trabajo de administración con acceso equivalente al administrador de dominio.

1. Escriba el siguiente comando para agregar los permisos de propiedad allow read y write para el atributo msDS-KeyCredentialLink para el Key Admins grupo en el AdminSDHolder objeto .

   dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
   

   donde DC=domain,DC=com es la ruta de acceso LDAP del dominio de Active Directory y domainName\keyAdminGroup es el nombre NetBIOS del dominio y el nombre del grupo que se usa para dar acceso a las claves en función de la implementación. Por ejemplo:

   dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
   

2. Para desencadenar la propagación del descriptor de seguridad, abra ldp.exe.

3. Seleccione Conexión y seleccione Conectar... Junto a Servidor, escriba el nombre del controlador de dominio que contiene el rol PDC para el dominio. Junto a Puerto, escriba 389 y seleccione Aceptar.

4. Seleccione Conexión y seleccione Enlazar... Seleccione Aceptar para enlazar como el usuario que ha iniciado sesión actualmente.

5. Seleccione Explorador y seleccione Modificar. Deje el cuadro de texto DN en blanco. Junto a Atributo, escriba RunProtectAdminGroupsTask. Junto a Valores, escriba 1. Seleccione Entrar para agregarlo a la lista de entradas.

6. Seleccione Ejecutar para iniciar la tarea.

7. Cierre LDP.

Configuración de la inscripción dual con la directiva de grupo

Configure Windows para admitir la inscripción dual mediante la parte de configuración del equipo de un objeto directiva de grupo:

1. Con la consola de administración de directiva de grupo (GPMC), cree un nuevo objeto de directiva de grupo basado en dominio y vincúlelo a una unidad organizativa que contenga objetos de equipo de Active Directory usados por usuarios con privilegios.

2. Edite el objeto directiva de grupo del paso 1.

3. Habilite la opción de directiva Permitir enumeración de tarjetas inteligentes emuladas para todos los usuarios que se encuentra en Configuración del equipo-Plantillas> administrativas-Componentes> de Windows-Windows Hello para empresas>

4. Cierre el Editor de administración de directiva de grupo para guardar el objeto directiva de grupo. Cierre el GPMC.

5. Reinicie los equipos de destino de este objeto directiva de grupo.

   El equipo está listo para la inscripción doble. Inicie sesión como usuario con privilegios primero e inscríbase para Windows Hello para empresas. Una vez completado, cierre la sesión e inicie sesión como usuario sin privilegios e inscríbase para Windows Hello para empresas. Ahora puede usar la credencial con privilegios para realizar tareas con privilegios sin usar la contraseña y sin necesidad de cambiar de usuario.