Guía de implementación de confianza de certificados híbridos

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

En este artículo se describen Windows Hello para empresas funcionalidades o escenarios que se aplican a:

• Tipo de implementación:híbrido
• Tipo de confianza:.
• Tipo de combinación: Microsoft Entra unirse a , Microsoft Entra unión híbrida

---

Importante

Windows Hello para empresas confianza de Kerberos en la nube es el modelo de implementación recomendado en comparación con el modelo de confianza clave. También es el modelo de implementación recomendado si no es necesario implementar certificados en los usuarios finales. Para obtener más información, consulte Implementación de confianza de Kerberos en la nube.

Requisitos

Antes de iniciar la implementación, revise los requisitos descritos en el artículo Planeamiento de una implementación de Windows Hello para empresas.

Asegúrese de que se cumplen los siguientes requisitos antes de comenzar:

• Infraestructura de clave pública
• Authentication
• Configuración de dispositivos
• Licencias para servicios en la nube
• Preparar a los usuarios para usar Windows Hello

Pasos de implementación

Una vez cumplidos los requisitos previos, la implementación de Windows Hello para empresas consta de los pasos siguientes:

• Configuración y validación de la infraestructura de clave pública
• Configuración de Servicios de federación de Active Directory (AD FS)
• Configuración e inscripción en Windows Hello para empresas
• (opcional) Configuración del inicio de sesión único para dispositivos unidos a Microsoft Entra

Autenticación federada para Microsoft Entra ID

Windows Hello para empresas confianza de certificados híbridos requiere que Active Directory se federe con Microsoft Entra ID mediante AD FS. También debe configurar la granja de AD FS para admitir dispositivos registrados en Azure.

Si no está familiarizado con AD FS y los servicios de federación:

• Revisión de los conceptos clave de AD FS antes de implementar la granja de AD FS
• Revise la guía de diseño de AD FS para diseñar y planear el servicio de federación.

Una vez que tenga el diseño de AD FS listo, revise la implementación de una granja de servidores de federación para configurar AD FS en su entorno.

El conjunto de AD FS utilizado con Windows Hello para empresas debe ser Windows Server 2016 con una actualización mínima de KB4088889 (14393.2155).

Registro de dispositivos y reescritura de dispositivos

Los dispositivos Windows deben registrarse en Microsoft Entra ID. Los dispositivos se pueden registrar en Microsoft Entra ID mediante Microsoft Entra unión o Microsoft Entra unión híbrida.
Para Microsoft Entra dispositivos unidos a híbridos, revise las instrucciones de la página de implementación de la combinación híbrida Microsoft Entra.

Consulte la guía Configurar Microsoft Entra unión híbrida para dominios federados para obtener más información sobre el uso de Microsoft Entra Connect Sync para configurar Microsoft Entra registro de dispositivos.
Para obtener una configuración manual de la granja de AD FS para admitir el registro de dispositivos, revise la guía Configurar AD FS para Microsoft Entra registro de dispositivos.

Las implementaciones de confianza de certificados híbridos requieren la característica de reescritura del dispositivo . La autenticación en AD FS necesita tanto el usuario como el dispositivo para autenticarse. Por lo general, los usuarios se sincronizan, pero no los dispositivos. Esto impide que AD FS autentique el dispositivo y da como resultado Windows Hello para empresas errores de inscripción de certificados. Por este motivo, las implementaciones de Windows Hello para empresas necesitan reescritura de dispositivos.

Nota

Windows Hello para empresas está asociada entre un usuario y un dispositivo. Tanto el usuario como el dispositivo deben sincronizarse entre Microsoft Entra ID y Active Directory. La escritura diferida del dispositivo se usa para actualizar el msDS-KeyCredentialLink atributo en el objeto de equipo.

Si configuró manualmente AD FS o si ejecutó Microsoft Entra Connect Sync mediante la configuración personalizada, debe asegurarse de configurar la escritura diferida del dispositivo y la autenticación de dispositivos en la granja de AD FS. Para obtener más información, vea Configurar la escritura diferida de dispositivos y la autenticación de dispositivos.

Infraestructura de clave pública

Se requiere una infraestructura de clave pública (PKI) empresarial como delimitador de confianza para la autenticación. Los controladores de dominio requieren un certificado para que los clientes de Windows confíen en ellos.
La PKI empresarial y una entidad de registro de certificados (CRA) son necesarias para emitir certificados de autenticación a los usuarios. La implementación de confianza de certificados híbridos usa AD FS como CRA.

Durante Windows Hello para empresas aprovisionamiento, los usuarios reciben un certificado de inicio de sesión a través de la CRA.

Pasos siguientes

Una vez cumplidos los requisitos previos, la implementación de Windows Hello para empresas con un modelo de confianza de clave híbrida consta de los pasos siguientes:

• Configuración y validación de la PKI
• Configurar AD FS
• Establecer la configuración de Windows Hello para empresas
• Aprovisionamiento de Windows Hello para empresas en clientes Windows
• Configuración del inicio de sesión único (SSO) para dispositivos unidos a Microsoft Entra

Siguiente: configurar y validar la infraestructura de clave pública >