Introducción a los requisitos previos de implementación de Windows Hello para empresasWindows Hello for Business Deployment Prerequisite Overview

En este artículo se enumeran los requisitos de infraestructura para los diferentes modelos de implementación de Windows Hello para empresas.This article lists the infrastructure requirements for the different deployment models for Windows Hello for Business.

Implementación solo en la nubeCloud Only Deployment

  • Windows10, versión 1511 o posteriorWindows 10, version 1511 or later
  • Cuenta de Microsoft AzureMicrosoft Azure Account
  • Azure Active DirectoryAzure Active Directory
  • Azure AD Multi-Factor AuthenticationAzure AD Multi-Factor Authentication
  • Administración moderno (Intune o MDM de terceros compatible), opcionalModern Management (Intune or supported third-party MDM), optional
  • Suscripción a Azure AD Premium - opcional, necesario para la inscripción de MDM automática cuando el dispositivo se une a Azure Active DirectoryAzure AD Premium subscription - optional, needed for automatic MDM enrollment when the device joins Azure Active Directory

Implementaciones híbridasHybrid Deployments

La tabla muestra los requisitos mínimos para cada implementación.The table shows the minimum requirements for each deployment. Para una clave de confianza en una implementación de varios dominios o bosques múltiples, se aplican los siguientes requisitos para cada dominio o bosque que hos hospeda Componentes de Windows Hello para empresas o está involucrado en el proceso de referencia kerberos.For key trust in a multi-domain/multi-forest deployment, the following requirements are applicable for each domain/forest that hosts Windows Hello for business components or is involved in the Kerberos referral process.

Clave de confianzaKey trust
Directiva de grupo administradaGroup Policy managed
Certificado de confianzaCertificate trust
Administrado mixtoMixed managed
Clave de confianzaKey trust
Administrado modernoModern managed
Certificado de confianzaCertificate trust
Administrado modernoModern managed
Windows10, versión 1511 o posteriorWindows 10, version 1511 or later Unido a Azure AD híbrido:Hybrid Azure AD Joined:
Mínimo: Windows 10, version 1703Minimum: Windows 10, version 1703
Mejor experiencia: Windows 10, versión 1709 o posterior (admite inscripción sincrónica de certificados).Best experience: Windows 10, version 1709 or later (supports synchronous certificate enrollment).
Unido a Azure AD:Azure AD Joined:
Windows10, versión 1511 o posteriorWindows 10, version 1511 or later
Windows10, versión 1511 o posteriorWindows 10, version 1511 or later Windows10, versión 1511 o posteriorWindows 10, version 1511 or later
Esquema de Windows Server 2016 o posteriorWindows Server 2016 or later Schema Esquema de Windows Server 2016 o posteriorWindows Server 2016 or later Schema Esquema de Windows Server 2016 o posteriorWindows Server 2016 or later Schema Esquema de Windows Server 2016 o posteriorWindows Server 2016 or later Schema
Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level
Controladores de dominio de Windows Server 2016 o posteriorWindows Server 2016 or later Domain Controllers Controladores de dominio de Windows Server 2008 R2 o posteriorWindows Server 2008 R2 or later Domain Controllers Controladores de dominio de Windows Server 2016 o posteriorWindows Server 2016 or later Domain Controllers Controladores de dominio de Windows Server 2008 R2 o posteriorWindows Server 2008 R2 or later Domain Controllers
Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority
N/AN/A Windows Server 2016 AD FS con actualización KB4088889 (clientes unidos a Azure AD híbrido),Windows Server 2016 AD FS with KB4088889 update (hybrid Azure AD joined clients),
yand
Servicio de inscripción de dispositivos de red (unido a Azure AD) de Windows Server 2012Windows Server 2012 or later Network Device Enrollment Service (Azure AD joined)
N/CN/A Servicio de inscripción de dispositivos de red de Windows Server 2012 o posteriorWindows Server 2012 or later Network Device Enrollment Service
Inquilino de MFA de Azure, oAzure MFA tenant, or
AD FS con adaptador de MFA de Azure, oAD FS w/Azure MFA adapter, or
AD FS con adaptador del servidor de MFA de Azure, oAD FS w/Azure MFA Server adapter, or
AD FS con adaptador de MFA de tercerosAD FS w/3rd Party MFA Adapter
Inquilino de MFA de Azure, oAzure MFA tenant, or
AD FS con adaptador de MFA de Azure, oAD FS w/Azure MFA adapter, or
AD FS con adaptador del servidor de MFA de Azure, oAD FS w/Azure MFA Server adapter, or
AD FS con adaptador de MFA de tercerosAD FS w/3rd Party MFA Adapter
Inquilino de MFA de Azure, oAzure MFA tenant, or
AD FS con adaptador de MFA de Azure, oAD FS w/Azure MFA adapter, or
AD FS con adaptador del servidor de MFA de Azure, oAD FS w/Azure MFA Server adapter, or
AD FS con adaptador de MFA de tercerosAD FS w/3rd Party MFA Adapter
Inquilino de MFA de Azure, oAzure MFA tenant, or
AD FS con adaptador de MFA de Azure, oAD FS w/Azure MFA adapter, or
AD FS con adaptador del servidor de MFA de Azure, oAD FS w/Azure MFA Server adapter, or
AD FS con adaptador de MFA de tercerosAD FS w/3rd Party MFA Adapter
Cuenta de AzureAzure Account Cuenta de AzureAzure Account Cuenta de AzureAzure Account Cuenta de AzureAzure Account
Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory
Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect
Azure AD Premium, opcionalAzure AD Premium, optional Azure AD Premium, necesario para la reescribición de dispositivosAzure AD Premium, needed for device write-back Azure AD Premium, opcional para la inscripción automática de MDMAzure AD Premium, optional for automatic MDM enrollment Azure AD Premium, opcional para la inscripción automática de MDMAzure AD Premium, optional for automatic MDM enrollment

Importante

  1. Las implementaciones híbridas admiten el restablecimiento de PIN no destructivo que funciona tanto con los modelos de confianza de certificado como con los modelos de clave de confianza.Hybrid deployments support non-destructive PIN reset that works with both the certificate trust and key trust models.
    Requisitos:Requirements:
    Servicio de restablecimiento de PIN de Microsoft: Windows 10, versiones 1709 a 1809, Enterprise Edition.Microsoft PIN Reset Service - Windows 10, versions 1709 to 1809, Enterprise Edition. No hay ningún requisito de licencia para este servicio desde la versión 1903There is no licensing requirement for this service since version 1903
    Restablecer por encima de la pantalla de bloqueo (he olvidado el vínculo pin): Windows 10, versión 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

  2. Las implementaciones locales admiten el restablecimiento de PIN destructivo que funciona tanto con la confianza de certificado como con los modelos de confianza clave.On-premises deployments support destructive PIN reset that works with both the certificate trust and the key trust models.
    Requisitos:Requirements:
    Restablecer desde la configuración: Windows 10, versión 1703, ProfessionalReset from settings - Windows 10, version 1703, Professional
    Restablecer por encima de la pantalla de bloqueo - Windows 10, versión 1709, ProfessionalReset above lock screen - Windows 10, version 1709, Professional
    Restablecer por encima de la pantalla de bloqueo (he olvidado el vínculo pin): Windows 10, versión 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

Implementaciones localesOn-premises Deployments

La tabla muestra los requisitos mínimos para cada implementación.The table shows the minimum requirements for each deployment.

Clave de confianzaKey trust
Directiva de grupo administradaGroup Policy managed
Certificado de confianzaCertificate trust
Directiva de grupo administradaGroup Policy managed
Windows10, versión 1703 o posteriorWindows 10, version 1703 or later Windows10, versión 1703 o posteriorWindows 10, version 1703 or later
Esquema de Windows Server 2016Windows Server 2016 Schema Esquema de Windows Server 2016Windows Server 2016 Schema
Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level
Controladores de dominio de Windows Server 2016 o posteriorWindows Server 2016 or later Domain Controllers Controladores de dominio de Windows Server 2008 R2 o posteriorWindows Server 2008 R2 or later Domain Controllers
Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority
Windows Server 2016 AD FS con actualización KB4088889Windows Server 2016 AD FS with KB4088889 update Windows Server 2016 AD FS con actualización KB4088889Windows Server 2016 AD FS with KB4088889 update
AD FS con adaptador de MFA de tercerosAD FS with 3rd Party MFA Adapter AD FS con adaptador de MFA de tercerosAD FS with 3rd Party MFA Adapter
Cuenta de Azure, opcional para la facturación de MFA de AzureAzure Account, optional for Azure MFA billing Cuenta de Azure, opcional para la facturación de MFA de AzureAzure Account, optional for Azure MFA billing

Importante

Para las implementaciones de clave de confianza de Windows Hello para empresas, si tienes varios dominios, se requiere al menos un controlador de dominio de Windows Server 2016 o posterior para cada dominio.For Windows Hello for Business key trust deployments, if you have several domains, at least one Windows Server Domain Controller 2016 or newer is required for each domain. Para obtener más información, vea la guía de planeación.For more information, see the planning guide.