Compartir a través de


Experiencia sin contraseña de Windows

A partir de Windows 11, versión 22H2 con KB5030310, la experiencia sin contraseña de Windows es una directiva de seguridad que promueve una experiencia de usuario sin contraseñas en dispositivos unidos a Microsoft Entra.
Cuando la directiva está habilitada, determinados escenarios de autenticación de Windows no ofrecen a los usuarios la opción de usar una contraseña, lo que ayuda a las organizaciones y a preparar a los usuarios para que se alejen gradualmente de las contraseñas.

Con la experiencia sin contraseña de Windows, los usuarios que inician sesión con Windows Hello o una clave de seguridad FIDO2:

  • No se puede usar el proveedor de credenciales de contraseña en la pantalla de bloqueo de Windows

  • No se le pide que use una contraseña durante las autenticaciones en sesión (por ejemplo, elevación de UAC, administrador de contraseñas en el explorador, etc.).

  • No tiene la opción Cuentas > Cambiar contraseña en la aplicación Configuración

    Nota

    Los usuarios pueden restablecer su contraseña mediante CTRL+ALT+DEL>Administrar la cuenta

La experiencia sin contraseña de Windows no afecta a la experiencia de inicio de sesión inicial ni a las cuentas locales. Solo se aplica a los inicios de sesión posteriores para cuentas de Microsoft Entra. Tampoco impide que un usuario inicie sesión con una contraseña al usar la opción Otro usuario en la pantalla de bloqueo.
El proveedor de credenciales de contraseña solo está oculto para el último usuario que inició sesión en Windows Hello o una clave de seguridad FIDO2. La experiencia sin contraseña de Windows no se trata de impedir que los usuarios usen contraseñas, sino de guiarlas e instruirlas para que no usen contraseñas.

En este artículo se explica cómo habilitar la experiencia sin contraseña de Windows y se describen las experiencias del usuario.

Sugerencia

Los usuarios de Windows Hello para empresas pueden lograr el inicio de sesión sin contraseña desde el primer inicio de sesión mediante la característica de inicio de sesión web. Para obtener más información sobre el inicio de sesión web, consulte Inicio de sesión web para dispositivos Windows.

Requisitos del sistema

La experiencia sin contraseña de Windows tiene los siguientes requisitos:

  • Windows 11, versión 22H2 con KB5030310 o posterior
  • Microsoft Entra unido
  • Credenciales de Windows Hello para empresas inscritas para el usuario o una clave de seguridad FIDO2
  • Administrado por MDM: Microsoft Intune u otra solución MDM

Nota

Los dispositivos unidos a un dominio híbrido de Microsoft Entra y los dispositivos unidos a un dominio de Active Directory están actualmente fuera del ámbito.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten la experiencia sin contraseña de Windows:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

Los derechos de licencia de experiencia sin contraseña de Windows se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Habilitación de la experiencia sin contraseña de Windows con Intune

Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:

Categoría Nombre del valor de configuración Valor
Authentication Habilitación de la experiencia sin contraseña Habilitado

Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de directiva.

Configuración
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
- Tipo de datos: int
- Valor:1

Experiencias de usuario

Experiencia de bloqueo de pantalla

Experiencia sin contraseña desactivada: los usuarios pueden iniciar sesión con una contraseña, como se indica en la presencia del proveedor de credenciales de contraseña en la pantalla de bloqueo de Windows.

Experiencia sin contraseña activada: falta el proveedor de credenciales de contraseña para el último usuario que inició sesión con credenciales seguras. Un usuario puede iniciar sesión con una credencial segura o optar por usar la opción Otro usuario para iniciar sesión con una contraseña.

Experiencias de autenticación en sesión

Cuando la experiencia sin contraseña de Windows está habilitada, los usuarios no pueden usar el proveedor de credenciales de contraseña para escenarios de autenticación en sesión. Entre los escenarios de autenticación en sesión se incluyen:

  • Administrador de contraseñas en un explorador web
  • Conexión a recursos compartidos de archivos o sitios de intranet
  • Elevación del Control de cuentas de usuario (UAC), excepto si se usa una cuenta de usuario local para la elevación

Nota

El inicio de sesión de RDP tiene como valor predeterminado el proveedor de credenciales usado durante el inicio de sesión. Sin embargo, un usuario puede seleccionar la opción Usar una cuenta diferente para iniciar sesión con una contraseña.

Ejecutar como un usuario diferente no se ve afectado por la experiencia sin contraseña de Windows.

Ejemplo de experiencia de elevación de UAC:

Experiencia sin contraseña desactivada: la elevación de UAC permite al usuario autenticarse mediante una contraseña.

Experiencia sin contraseña activada: la elevación de UAC no permite al usuario usar el proveedor de credenciales de contraseña para el usuario que ha iniciado sesión actualmente. El usuario puede autenticarse mediante Windows Hello, una clave de seguridad FIDO2 o una cuenta de usuario local, si está disponible.

Recomendaciones

Esta es una lista de recomendaciones que se deben tener en cuenta antes de habilitar la experiencia sin contraseña de Windows:

  • Si Windows Hello para empresas está habilitado, configure la característica de restablecimiento de PIN para permitir que los usuarios restablezcan su PIN desde la pantalla de bloqueo. La experiencia de restablecimiento de PIN se ha mejorado a partir de Windows 11, versión 22H2 con KB5030310
  • No configure la directiva de seguridad Inicio de sesión interactivo: no muestre la última sesión iniciada, ya que impide que la experiencia sin contraseña de Windows funcione.
  • No deshabilite el proveedor de credenciales de contraseña mediante la directiva Excluir proveedores de credenciales . Las principales diferencias entre las dos directivas son:
    • La directiva Excluir proveedores de credenciales deshabilita las contraseñas de todas las cuentas, incluidas las cuentas locales. La experiencia sin contraseña de Windows solo se aplica a las cuentas de Microsoft Entra que inician sesión con Windows Hello o una clave de seguridad FIDO2. También excluye a otro usuario de la directiva, por lo que los usuarios tienen una opción de inicio de sesión de copia de seguridad.
    • Excluir la directiva de proveedores de credenciales impide el uso de contraseñas para los escenarios de autenticación RDP y Ejecutar como
  • Para facilitar las operaciones de soporte técnico del departamento de soporte técnico, considere la posibilidad de habilitar la cuenta de administrador local o crear una independiente, aleatorizando su contraseña mediante la Solución de contraseñas de administrador local (LAPS) de Windows.

Problemas conocidos

Hay un problema conocido que afecta a la experiencia de autenticación en sesión al usar claves de seguridad FIDO2, donde las claves de seguridad no siempre son una opción disponible. El grupo de productos es consciente de este comportamiento y planea mejorarlo en el futuro.

Proporcionar comentarios

Para proporcionar comentarios sobre la experiencia sin contraseña de Windows, abra el Centro de comentarios y use la categoría Seguridad y privacidad > experiencia sin contraseña.