Administrar Windows Hello para empresas en dispositivos al inscribirse con Microsoft Intune

  • Artículo
  • Tiempo de lectura: 6 minutos

Con Microsoft Intune, puede crear una directiva para todo el espacio empresarial que configure el uso de Windows Hello para empresas en dispositivos Windows 10/11 en cuanto esos dispositivos se inscriban con Intune. Esta directiva está destinada a toda la organización y admite la configuración rápida (OOBE) de Windows AutoPilot.

En el caso de los dispositivos Windows 10/11, el uso de Windows Hello para empresas reemplaza el uso de contraseñas por la autenticación segura en dos fases en los dispositivos. Esta autenticación consiste en una credencial de usuario que está vinculada a un dispositivo y usa un PIN o dato biométrico.

Si decide no configurar una directiva de todo el espacio empresarial para Windows Hello para empresas, puede usar un perfil de configuración de dispositivo Identity Protection para configurar grupos de dispositivos para Windows Hello.

Además, Intune puede administrar algunas opciones de configuración para Windows Hello a través de los métodos siguientes:

Importante

Antes de la Actualización de aniversario, se podían establecer dos PIN diferentes para autenticarse en los recursos:

  • El PIN de dispositivo se usaba para desbloquear el dispositivo y conectarse a recursos de nube.
  • El PIN de trabajo se usaba para acceder a recursos de Azure AD en los dispositivos personales del usuario (BYOD).

En la Actualización de aniversario, estos dos PIN se combinaron en un solo PIN de dispositivo. Las directivas de configuración de Intune que se establezcan para controlar el PIN de dispositivo y las directivas de Windows Hello para empresas que se configuren serán las que establecerán ahora este nuevo valor de PIN. Si ha establecido ambos tipos de directivas para controlar el PIN, se aplica la directiva de Windows Hello para empresas. Para garantizar que se resuelven los conflictos de directivas y que la directiva de PIN se aplica correctamente, actualice su directiva de Windows Hello para empresas de modo que coincida con las opciones de configuración de la directiva de configuración y pídales a los usuarios que sincronicen sus dispositivos en la aplicación Portal de empresa.

Crear una directiva de Windows Hello para empresas

  1. Inicie sesión en el centro de administración de Microsoft Endpoint Manager.

  2. Vaya a Dispositivos > Inscribir dispositivos > Inscripción de Windows > Windows Hello para empresas. Se abrirá el panel de Windows Hello para empresas.

  3. En Configurar Windows Hello para empresas, seleccione entre las opciones siguientes:

    • Habilitado. Seleccione esta opción si quiere configurar Windows Hello para empresas. Cuando se selecciona Habilitado, los otros valores de configuración de Windows Hello se vuelven visibles y se pueden configurar para los dispositivos.

    • Deshabilitado. Si no quiere habilitar Windows Hello para empresas durante la inscripción de los dispositivos, seleccione esta opción. Cuando está deshabilitada, los usuarios no pueden aprovisionar Windows Hello para empresas. Cuando está establecido en Deshabilitado, las opciones pueden configurarse igualmente para Windows Hello para empresas, aunque la directiva no habilite Windows Hello para empresas.

    • No configurado. Seleccione esta opción si no quiere usar Intune para controlar la configuración de Windows Hello para empresas. No se cambia ninguna configuración de Windows Hello para empresas que tengan asignadas los dispositivos 10/11. Las demás configuraciones del panel no están disponibles.

  4. Si ha seleccionado Habilitado en el paso anterior, configure las opciones necesarias que se aplican a todos los dispositivos Windows 10/11 inscritos. Después de configurar estas opciones, seleccione Guardar.

    • Usar un Módulo de plataforma segura (TPM):

      Un chip TPM proporciona otra capa de seguridad de datos. Elija uno de los siguientes valores:

      • Requerido (valor predeterminado). Solo los dispositivos que tengan un TPM accesible pueden aprovisionar Windows Hello para empresas.
      • Preferido. Los dispositivos intentan primero usar un TPM. Si esta opción no está disponible, pueden usar el cifrado de software.

    • Longitud mínima de PIN y Longitud máxima de PIN:

      Configura los dispositivos para que usen las longitudes de PIN mínima y máxima que se especifican, lo cual garantiza un inicio de sesión seguro. La longitud predeterminada del PIN es de seis caracteres, pero se puede aplicar una longitud mínima de cuatro. La longitud de PIN máxima es de 127 caracteres.

    • Letras minúsculas en el PIN, Letras mayúsculas en el PIN y Caracteres especiales en el PIN.

      Si quiere aplicar un PIN más seguro, puede requerir el uso de letras mayúsculas, minúsculas y caracteres especiales. Para cada uno, seleccione entre:

      • Permitido. Los usuarios pueden usar el tipo de carácter en el PIN, pero no es obligatorio.

      • Necesario. Los usuarios deben incluir al menos uno de los tipos de carácter en el PIN. Por ejemplo, una práctica habitual consiste en obligar a usar como mínimo una mayúscula y un carácter especial.

      • No permitido (valor predeterminado). Los usuarios no pueden usar estos tipos de caracteres en el PIN. (Este es también el comportamiento si no se configura esta opción).

        Entre los caracteres especiales se incluyen los siguientes: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    • Expiración del PIN (días):

      Se recomienda especificar un período de expiración del PIN para que, transcurrido ese período, se deba cambiar. El valor predeterminado es 41 días.

    • Recordar historial de PIN:

      Restringe la reutilización de los PIN usados anteriormente. De forma predeterminada, no se pueden volver a usar los últimos cinco PIN.

    • Permitir autenticación biométrica:

      Habilita la autenticación biométrica, es decir, el reconocimiento facial o la huella digital, como alternativa al PIN de Windows Hello para empresas. Los usuarios deberán configurar un PIN de trabajo igualmente en caso de error en la autenticación biométrica. Elija entre:

      • . Windows Hello para empresas permite la autenticación biométrica.
      • No. Windows Hello para empresas impide la autenticación biométrica (para todos los tipos de cuenta).

    • Usar tecnología mejorada contra la suplantación de identidad cuando esté disponible:

      configura si se usan las características de protección contra la suplantación de identidad de Windows Hello en los dispositivos que las admitan. Por ejemplo, la detección de una fotografía de una cara en lugar de un rostro real.

      Cuando esta opción se establece en , Windows exige que todos los usuarios usen tecnología contra la suplantación de identidad para características faciales cuando se admitan.

    • Permitir inicio de sesión por teléfono:

      Si esta opción se establece en , los usuarios pueden usar un pasaporte remoto para actuar como dispositivo complementario portátil para la autenticación de equipos de escritorio. El equipo de escritorio debe estar unido a Azure Active Directory y el dispositivo complementario ha de configurarse con un PIN de Windows Hello para empresas.

    • Usar claves de seguridad para el inicio de sesión:

      Cuando se establece en Habilitar, esta configuración ofrece la posibilidad de activar o desactivar de forma remota las claves de seguridad de Windows Hello en todos los equipos de la organización de un cliente.

Compatibilidad con Windows Holographic for Business

Windows Holographic for Business es compatible con las siguientes opciones de configuración de Windows Hello para empresas:

  • Usar un Módulo de plataforma segura (TPM)
  • Longitud mínima del NIP
  • Longitud máxima del PIN
  • Minúsculas en el PIN
  • Mayúsculas en el PIN
  • Caracteres especiales en el PIN
  • Expiración del PIN (días)
  • Recordar historial de PIN

Siguientes pasos

Para obtener más información sobre Windows Hello para empresas, consulte la guía en la documentación de Windows.