Compartir a través de


Configuración de directivas de Windows Hello para empresas

En este artículo de referencia se proporciona una lista completa de la configuración de directivas para Windows Hello para empresas. La lista de configuraciones se ordena alfabéticamente y se organiza en cuatro categorías:

  • Configuración de características: se usa para habilitar Windows Hello para empresas y configurar opciones básicas
  • Configuración de PIN: se usa para configurar la autenticación de PIN, como la complejidad y la recuperación del PIN
  • Configuración biométrica: se usa para configurar la autenticación biométrica
  • Configuración de tarjeta inteligente: se usa para configurar la autenticación de tarjeta inteligente que se usa junto con Windows Hello para empresas

Para obtener información sobre cómo configurar estas opciones, consulta Configurar Windows Hello para empresas.

Seleccione una de las pestañas para ver la lista de opciones disponibles:

Establecer nombre CSP GPO
Configuración de factores de desbloqueo de dispositivos
Configuración de factores de bloqueo dinámicos
Usar un dispositivo de seguridad de hardware
Usa el certificado para la autenticación local
Uso de la confianza en la nube (Kerberos) para la autenticación local
Usar Windows Hello para empresas

Configuración de factores de desbloqueo de dispositivos

Configure una lista separada por comas de GUID del proveedor de credenciales, como GUID de proveedor de huellas digitales y faciales, para que se usen como factores de desbloqueo primero y segundo. Si el proveedor de señales de confianza se especifica como uno de los factores de desbloqueo, también debe configurar una lista separada por comas de reglas de señal en forma de xml para cada tipo de señal que se va a comprobar.

Si habilita esta configuración de directiva, el usuario debe usar un factor de cada lista para desbloquear correctamente. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden seguir desbloqueando con las opciones existentes.

Ruta de acceso
CSP ./Device/Vendor/MSFT/PassportForWork/ DeviceUnlock
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas

Para obtener más información, consulte Desbloqueo multifactor.

Configuración de factores de bloqueo dinámicos

Configure una lista separada por comas de reglas de señal en forma de xml para cada tipo de señal.

  • Si habilita esta configuración de directiva, las reglas de señal se evalúan para detectar la ausencia del usuario y bloquear automáticamente el dispositivo.
  • Si deshabilita o no configura la configuración, los usuarios pueden seguir bloqueando con las opciones existentes.
Ruta de acceso
CSP ./Device/Vendor/MSFT/PassportForWork/DynamicLock/ DynamicLock
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas

Usar un dispositivo de seguridad de hardware

Un módulo de plataforma segura (TPM) proporciona ventajas de seguridad adicionales sobre el software porque los datos protegidos por él no se pueden usar en otros dispositivos.

  • Si habilita esta configuración de directiva, el aprovisionamiento de Windows Hello para empresas solo se produce en dispositivos con TPM 1.2 o 2.0 utilizables. Opcionalmente, puede excluir módulos de revisión de TPM 1.2, lo que impide el aprovisionamiento de Windows Hello para empresas en esos dispositivos.

    Sugerencia

    La especificación de TPM 1.2 solo permite el uso de RSA y el algoritmo hash SHA-1. Las implementaciones de TPM 1.2 varían en la configuración de la directiva, lo que puede dar lugar a problemas de soporte técnico a medida que las directivas de bloqueo varían. Se recomienda excluir dispositivos TPM 1.2 del aprovisionamiento de Windows Hello para empresas. -Si deshabilita o no configura esta configuración de directiva, el TPM sigue siendo el preferido, pero todos los dispositivos pueden aprovisionar Windows Hello para empresas mediante software si el TPM no funciona o no está disponible.

Ruta de acceso
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ RequireSecurityDevice

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/ TPM12
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas

Usa el certificado para la autenticación local

Use esta configuración de directiva para configurar Windows Hello para empresas con el fin de inscribir un certificado de inicio de sesión usado para la autenticación local.

  • Si habilita esta configuración de directiva, Windows Hello para empresas inscribe un certificado de inicio de sesión que se usa para la autenticación local.
  • Si deshabilita o no establece esta configuración de directiva, Windows Hello para empresas usará una clave o un vale kerberos (según otra configuración de directiva) para la autenticación local.
Ruta de acceso
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCertificateForOnPremAuth
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas

Configuración del> usuarioPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas

Uso de la confianza en la nube para la autenticación local

Use esta configuración de directiva para configurar Windows Hello para empresas con el fin de usar el modelo de confianza de Kerberos en la nube.

  • Si habilita esta configuración de directiva, Windows Hello para empresas usa un vale kerberos recuperado de la autenticación a Microsoft Entra ID para la autenticación local.
  • Si deshabilita o no establece esta configuración de directiva, Windows Hello para empresas usa una clave o un certificado (en función de otras opciones de configuración de directiva) para la autenticación local.
Ruta de acceso
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCloudTrustForOnPremAuth
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas

Nota

La confianza de Kerberos en la nube no es compatible con la confianza del certificado. Si la configuración de la directiva de confianza del certificado está habilitada, tiene prioridad sobre esta configuración de directiva.

Usar Windows Hello para empresas

  • Si habilita esta directiva, el dispositivo aprovisiona Windows Hello para empresas mediante claves o certificados para todos los usuarios.
  • Si deshabilita esta configuración de directiva, el dispositivo no aprovisiona Windows Hello para empresas para ningún usuario.
  • Si no configura esta configuración de directiva, los usuarios pueden aprovisionar Windows Hello para empresas.

Seleccione la opción No iniciar el aprovisionamiento de Windows Hello después de iniciar sesión cuando use una solución que no sea de Microsoft para aprovisionar Windows Hello para empresas:

  • Si selecciona No iniciar el aprovisionamiento de Windows Hello después del inicio de sesión, Windows Hello para empresas no inicia automáticamente el aprovisionamiento después de que el usuario haya iniciado sesión.
  • Si no selecciona No iniciar el aprovisionamiento de Windows Hello después del inicio de sesión, Windows Hello para empresas inicia automáticamente el aprovisionamiento después de que el usuario haya iniciado sesión.
Ruta de acceso
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UsePassportForWork

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ DisablePostLogonProvisioning
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas

Configuración del> usuarioPlantillas> administrativasComponentes de> WindowsWindows Hello para empresas