En este artículo de referencia se proporciona una lista completa de la configuración de directivas para Windows Hello para empresas. La lista de configuraciones se ordena alfabéticamente y se organiza en cuatro categorías:
Configure una lista separada por comas de GUID del proveedor de credenciales, como GUID de proveedor de huellas digitales y faciales, para que se usen como factores de desbloqueo primero y segundo. Si el proveedor de señales de confianza se especifica como uno de los factores de desbloqueo, también debe configurar una lista separada por comas de reglas de señal en forma de xml para cada tipo de señal que se va a comprobar.
Si habilita esta configuración de directiva, el usuario debe usar un factor de cada lista para desbloquear correctamente. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden seguir desbloqueando con las opciones existentes.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/
DeviceUnlock |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Para obtener más información, consulte Desbloqueo multifactor.
Configure una lista separada por comas de reglas de señal en forma de xml para cada tipo de señal.
- Si habilita esta configuración de directiva, las reglas de señal se evalúan para detectar la ausencia del usuario y bloquear automáticamente el dispositivo.
- Si deshabilita o no configura la configuración, los usuarios pueden seguir bloqueando con las opciones existentes.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/
DynamicLock |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Usar un dispositivo de seguridad de hardware
Un módulo de plataforma segura (TPM) proporciona ventajas de seguridad adicionales sobre el software porque los datos protegidos por él no se pueden usar en otros dispositivos.
- Si habilita esta configuración de directiva, el aprovisionamiento de Windows Hello para empresas solo se produce en dispositivos con TPM 1.2 o 2.0 utilizables. Opcionalmente, puede excluir módulos de revisión de TPM 1.2, lo que impide el aprovisionamiento de Windows Hello para empresas en esos dispositivos.
Sugerencia
La especificación de TPM 1.2 solo permite el uso de RSA y el algoritmo hash SHA-1. Las implementaciones de TPM 1.2 varían en la configuración de la directiva, lo que puede dar lugar a problemas de soporte técnico a medida que las directivas de bloqueo varían. Se recomienda excluir dispositivos TPM 1.2 del aprovisionamiento de Windows Hello para empresas.
-Si deshabilita o no configura esta configuración de directiva, el TPM sigue siendo el preferido, pero todos los dispositivos pueden aprovisionar Windows Hello para empresas mediante software si el TPM no funciona o no está disponible.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/
TPM12 |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Usa el certificado para la autenticación local
Use esta configuración de directiva para configurar Windows Hello para empresas con el fin de inscribir un certificado de inicio de sesión usado para la autenticación local.
- Si habilita esta configuración de directiva, Windows Hello para empresas inscribe un certificado de inicio de sesión que se usa para la autenticación local.
- Si deshabilita o no establece esta configuración de directiva, Windows Hello para empresas usará una clave o un vale kerberos (según otra configuración de directiva) para la autenticación local.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCertificateForOnPremAuth |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas
Configuración del> usuarioPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Uso de la confianza en la nube para la autenticación local
Use esta configuración de directiva para configurar Windows Hello para empresas con el fin de usar el modelo de confianza de Kerberos en la nube.
- Si habilita esta configuración de directiva, Windows Hello para empresas usa un vale kerberos recuperado de la autenticación a Microsoft Entra ID para la autenticación local.
- Si deshabilita o no establece esta configuración de directiva, Windows Hello para empresas usa una clave o un certificado (en función de otras opciones de configuración de directiva) para la autenticación local.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCloudTrustForOnPremAuth |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Nota
La confianza de Kerberos en la nube no es compatible con la confianza del certificado. Si la configuración de la directiva de confianza del certificado está habilitada, tiene prioridad sobre esta configuración de directiva.
Usar Windows Hello para empresas
- Si habilita esta directiva, el dispositivo aprovisiona Windows Hello para empresas mediante claves o certificados para todos los usuarios.
- Si deshabilita esta configuración de directiva, el dispositivo no aprovisiona Windows Hello para empresas para ningún usuario.
- Si no configura esta configuración de directiva, los usuarios pueden aprovisionar Windows Hello para empresas.
Seleccione la opción No iniciar el aprovisionamiento de Windows Hello después de iniciar sesión cuando use una solución que no sea de Microsoft para aprovisionar Windows Hello para empresas:
- Si selecciona No iniciar el aprovisionamiento de Windows Hello después del inicio de sesión, Windows Hello para empresas no inicia automáticamente el aprovisionamiento después de que el usuario haya iniciado sesión.
- Si no selecciona No iniciar el aprovisionamiento de Windows Hello después del inicio de sesión, Windows Hello para empresas inicia automáticamente el aprovisionamiento después de que el usuario haya iniciado sesión.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
DisablePostLogonProvisioning |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas
Configuración del> usuarioPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Expiración
Esta configuración especifica el período de tiempo (en días) que se puede usar un PIN antes de que el sistema requiera que el usuario lo cambie. El PIN se puede establecer para expirar después de cualquier número de días entre 1 y 730, o bien los PIN se pueden establecer para que nunca expiren si la directiva está establecida en 0.
El valor predeterminado es 0.
Historial
Esta configuración especifica el número de PIN anteriores que se pueden asociar a una cuenta de usuario que no se puede reutilizar. Esta directiva mejora la seguridad al garantizar que los PIN antiguos no se reutilizan continuamente. El valor debe estar comprendido entre 0 y 50 PIN. Si esta directiva se establece en 0, no se requiere el almacenamiento de PIN anteriores.
El valor predeterminado es 0.
Nota
El historial de PIN no se conserva mediante el restablecimiento del PIN.
Longitud máxima del PIN
La longitud máxima del PIN configura el número máximo de caracteres permitido para el PIN. El número más grande que puede configurar para esta configuración de directiva es 127. El número más bajo que puede configurar debe ser mayor que el número configurado en la configuración de directiva Longitud mínima del PIN o el número 4, lo que sea mayor. Si configura esta configuración de directiva, la longitud del PIN debe ser menor o igual que este número.
Si deshabilita o no establece esta configuración de directiva, la longitud del PIN debe ser menor o igual que 127.
Nota
Si no se cumplen las condiciones especificadas anteriormente para la longitud máxima del PIN, se usan valores predeterminados para las longitudes máxima y mínima del PIN.
Longitud mínima del PIN
La longitud mínima del PIN configura el número mínimo de caracteres necesarios para el PIN. El número más bajo que puede configurar para esta configuración de directiva es 4. El número más grande que puede configurar debe ser menor que el número configurado en la configuración de directiva Longitud máxima del PIN o el número 127, el que sea el más bajo.
Si configura esta configuración de directiva, la longitud del PIN debe ser mayor o igual que este número.
Si deshabilita o no establece esta configuración de directiva, la longitud del PIN debe ser mayor o igual que 6.
Nota
Si no se cumplen las condiciones especificadas anteriormente para la longitud mínima del PIN, se usarán valores predeterminados para las longitudes máxima y mínima del PIN.
Requerir dígitos
Use esta configuración de directiva para configurar el uso de dígitos en el PIN:
- Si habilita esta configuración de directiva, Windows requiere que el usuario incluya al menos un dígito en su PIN.
- Si deshabilita esta configuración de directiva, Windows no permite que el usuario incluya dígitos en sus PIN.
- Si no configura esta configuración de directiva, Windows permite, pero no requiere, dígitos en el PIN.
Requerir letras minúsculas
Use esta configuración de directiva para configurar el uso de letras minúsculas en el PIN:
- Si habilita esta configuración de directiva, Windows requiere que el usuario incluya al menos una letra minúscula en su PIN.
- Si deshabilita esta configuración de directiva, Windows no permite que el usuario incluya letras minúsculas en su PIN.
- Si no configura esta configuración de directiva, Windows permite, pero no requiere, letras minúsculas en el PIN.
Requerir caracteres especiales
Ámbito: máquina
Use esta configuración de directiva para configurar el uso de caracteres especiales en el PIN. Los caracteres especiales incluyen el siguiente conjunto:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Si habilita esta configuración de directiva, Windows requiere que el usuario incluya al menos un carácter especial en su PIN.
- Si deshabilita esta configuración de directiva, Windows no permite que el usuario incluya caracteres especiales en su PIN.
- Si no configura esta configuración de directiva, Windows permite, pero no requiere, caracteres especiales en el PIN.
Requerir letras mayúsculas
Use esta configuración de directiva para configurar el uso de letras mayúsculas en el PIN:
- Si habilita esta configuración de directiva, Windows requiere que el usuario incluya al menos una letra mayúscula en su PIN.
- Si deshabilita esta configuración de directiva, Windows no permite que el usuario incluya letras mayúsculas en su PIN.
- Si no configura esta configuración de directiva, Windows permite, pero no requiere, letras mayúsculas en el PIN.
Uso de la recuperación de PIN
La recuperación de PIN permite a un usuario cambiar un PIN olvidado mediante el servicio de recuperación de PIN de Windows Hello para empresas, sin perder las credenciales o certificados asociados, incluidas las claves asociadas a las cuentas personales del usuario en el dispositivo.
Para ello, el servicio de recuperación de PIN cifra un secreto de recuperación, que se almacena en el dispositivo, y requiere que el servicio de recuperación de PIN y el dispositivo se descifren.
La recuperación de PIN requiere que el usuario realice la autenticación multifactor en el identificador de Microsoft Entra.
- Si habilita esta configuración de directiva, Windows Hello para empresas usa el servicio de recuperación de PIN.
- Si deshabilita o no configura esta configuración de directiva, Windows no crea ni almacena el secreto de recuperación del PIN. Si el usuario olvida su PIN, debe eliminar su PIN existente y crear uno nuevo, y debe volver a registrarse con los servicios a los que el PIN anterior proporcionó acceso.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
EnablePinRecovery
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
EnablePinRecovery |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Para obtener más información, consulte Restablecimiento de PIN.
Esta configuración de directiva determina si se requiere una protección contra la suplantación mejorada para la autenticación facial de Windows Hello.
- Si habilita esta configuración, Windows debe usar la protección contra la suplantación de identidad mejorada para la autenticación facial.
Importante
Esto deshabilita la autenticación facial en dispositivos que no admiten la protección contra la suplantación de identidad mejorada.
- Si deshabilita o no configura esta configuración, Windows no requiere una protección contra la suplantación mejorada para la autenticación facial.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
FacialFeaturesUseEnhancedAntiSpoofing |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Habilitación de ESS con periféricos admitidos
La seguridad de inicio de sesión mejorada (ESS) agrega una capa de seguridad a los datos biométricos mediante componentes de hardware y software especializados, por ejemplo, Virtualization Based Security (VBS) y Trusted Platform Module 2.0.
Con ESS, los datos de plantilla biométrica (cara y huella digital) de Windows Hello y las operaciones de coincidencia están aislados en el hardware de confianza o en las regiones de memoria especificadas, y el resto del sistema operativo no puede acceder a ellos ni manipularlos. Puesto que el canal de comunicación entre los sensores y el algoritmo también está protegido, es imposible que el malware inserte o reproduzca datos con el fin de simular un inicio de sesión de usuario o bloquear a un usuario fuera de su máquina.
Si habilita esta directiva, puede configurar los siguientes valores:
-
0: ESS está habilitado con sensores periféricos o no ESS integrados. Se permiten operaciones de autenticación de dispositivos periféricos compatibles con Windows Hello, sujetos a las limitaciones de características actuales. ESS está habilitado en dispositivos con una combinación de dispositivos biométricos, como un lector de huellas digitales compatible con ESS y una cámara no compatible con ESS. Por lo tanto, esta configuración no se recomienda
-
1: ESS está habilitado sin sensores periféricos o integrados que no son de ESS. Las operaciones de autenticación de cualquier dispositivo biométrico periférico están bloqueadas y no están disponibles para Windows Hello. Esta configuración se recomienda para la seguridad más alta
Si deshabilita o no establece esta configuración, los sensores que no son ESS se bloquean en el dispositivo ESS.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
EnableESSwithSupportedPeripherals |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Para obtener más información, vea How does Enhanced Sign-in Security protect biometric data (Cómo protege la seguridad de inicio de sesión mejorado) los datos biométricos.
Usar biometría
Windows Hello para empresas permite a los usuarios usar gestos biométricos, como la cara y las huellas digitales, como alternativa al gesto de PIN. Sin embargo, los usuarios deben configurar un PIN para usarlo en caso de errores.
- Si habilita o no establece esta configuración de directiva, Windows Hello para empresas permite usar gestos biométricos.
- Si deshabilita esta configuración de directiva, Windows Hello para empresas impide el uso de gestos biométricos.
Nota
Deshabilitar esta directiva impide que el usuario tenga gestos biométricos en el dispositivo para todos los tipos de cuenta.
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
UseBiometrics |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Permitir la enumeración de la tarjeta inteligente emulada para todos los usuarios
Windows impide que los usuarios del mismo dispositivo enumeren las credenciales aprovisionadas de Windows Hello para empresas para otros usuarios. Si habilita esta configuración de directiva, Windows permite que todos los usuarios del dispositivo enumeren todas las credenciales de Windows Hello para empresas, pero aún así requieren que cada usuario proporcione sus propios factores para la autenticación. Si deshabilita o no configura esta configuración de directiva, Windows no permite la enumeración de credenciales aprovisionadas de Windows Hello para empresas para otros usuarios en el mismo dispositivo.
Esta configuración de directiva está diseñada para un único usuario que inscribe cuentas con privilegios y sin privilegios en un solo dispositivo. El usuario posee ambas credenciales, lo que le permite iniciar sesión con credenciales sin privilegios, pero puede realizar tareas con privilegios elevados sin cerrar sesión. Esta configuración de directiva no es compatible con las credenciales de Windows Hello para empresas aprovisionadas cuando está habilitada la opción Desactivar directiva de emulación de tarjeta inteligente .
|
Ruta de acceso |
|
CSP |
No disponible |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Desactivar la emulación de tarjeta inteligente
Windows Hello para empresas proporciona automáticamente emulación de tarjeta inteligente para la compatibilidad con aplicaciones habilitadas para tarjetas inteligentes.
- Si habilita esta configuración de directiva, Windows Hello para empresas aprovisiona credenciales de Windows Hello para empresas que no son compatibles con las aplicaciones de tarjeta inteligente.
- Si deshabilitas o no configuras esta configuración de directiva, Windows Hello para empresas aprovisiona credenciales de Windows Hello para empresas compatibles con aplicaciones de tarjeta inteligente
Importante
Esta directiva afecta a las credenciales de Windows Hello para empresas en el momento de la creación. Las credenciales creadas antes de la aplicación de esta directiva siguen proporcionando emulación de tarjeta inteligente. Para cambiar una credencial existente, habilite esta configuración de directiva y seleccione Olvidé mi PIN en Configuración.
|
Ruta de acceso |
|
CSP |
No disponible |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Uso de certificados de Windows Hello para empresas como certificados de tarjeta inteligente
Esta configuración de directiva está diseñada para permitir la compatibilidad con aplicaciones que se basan exclusivamente en certificados de tarjeta inteligente.
- Si habilita esta configuración de directiva, las aplicaciones usan certificados de Windows Hello para empresas como certificados de tarjeta inteligente. Los factores biométricos no están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado.
- Si deshabilita o no establece esta configuración de directiva, las aplicaciones no usan certificados de Windows Hello para empresas como certificados de tarjeta inteligente y los factores biométricos están disponibles cuando se pide a un usuario que autorice el uso de la clave privada del certificado.
Esta configuración de directiva no es compatible con las credenciales de Windows Hello para empresas aprovisionadas cuando está habilitada la opción Desactivar emulación de tarjeta inteligente .
|
Ruta de acceso |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseHelloCertificatesAsSmartCardCertificates |
|
GPO |
Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas |
Configuración de características
Configuración del PIN
Configuración biométrica
Configuración de tarjeta inteligente