configuración de Windows Hello para empresas en Configuration Manager

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Configuration Manager se integra con Windows Hello para empresas. (Esta característica se conocía anteriormente como Microsoft Passport for Work). Windows Hello para empresas es un método de inicio de sesión alternativo para dispositivos Windows 10. Usa Active Directory o una cuenta de Microsoft Entra para reemplazar una contraseña, una tarjeta inteligente o una tarjeta inteligente virtual. Hello for Business le permite usar un gesto de usuario para iniciar sesión en lugar de una contraseña. Un gesto de usuario puede ser un PIN, la autenticación biométrica o un dispositivo externo, como un lector de huellas digitales.

Importante

A partir de la versión 2203, esta característica de acceso a recursos de empresa ya no se admite. Para obtener más información, consulte Preguntas más frecuentes sobre el desuso del acceso a recursos.

Servicios de federación de Active Directory (AD FS) implementación de la autoridad de registro (ADFS RA) es más sencilla, proporciona una mejor experiencia de usuario y tiene una experiencia de inscripción de certificados más determinista. Use ADFS RA para la autenticación basada en certificados con Windows Hello para empresas.

Para obtener más información, consulte Windows Hello para empresas.

Nota:

Configuration Manager no habilita esta característica opcional de forma predeterminada. Debe habilitar esta característica antes de usarla. Para obtener más información, consulte Habilitación de características opcionales a partir de actualizaciones.

Configuration Manager se integra con Windows Hello para empresas de las siguientes maneras:

  • Controle qué gestos pueden y no pueden usar los usuarios para iniciar sesión.

  • Almacene los certificados de autenticación en el proveedor de almacenamiento de claves de Windows Hello para empresas (KSP). Para obtener más información, consulte Perfiles de certificado.

  • Cree e implemente un perfil de Windows Hello para empresas para controlar su configuración en dispositivos Windows 10 unidos a un dominio que ejecutan el cliente de Configuration Manager. A partir de la versión 1910, no se puede usar la autenticación basada en certificados. Cuando se usa la autenticación basada en claves, no es necesario implementar un perfil de certificado.

Configuración de un perfil

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y cumplimiento. Expanda Configuración de cumplimiento, expanda Acceso a recursos de empresa y seleccione el nodo Perfiles de Windows Hello para empresas.

  2. En la cinta de opciones, seleccione Crear Windows Hello para empresas perfil para iniciar el asistente de perfil.

  3. En la página General , especifique un nombre y una descripción opcional para este perfil.

  4. En la página Plataformas admitidas , seleccione las versiones del sistema operativo a las que se debe aplicar este perfil.

  5. En la página Configuración , configure los siguientes valores:

    • Configurar Windows Hello para empresas: especifique si este perfil habilita, deshabilita o no hello for business.

    • Usar un módulo de plataforma segura (TPM): un TPM proporciona una capa adicional de seguridad de datos. Elija uno de los siguientes valores:

      • Obligatorio: solo los dispositivos con un TPM accesible pueden aprovisionar Windows Hello para empresas.

      • Preferido: los dispositivos primero intentan usar un TPM. Si no está disponible, pueden usar el cifrado de software.

    • Método de autenticación: establezca esta opción en No configurado o Basado en claves.

      Nota:

      A partir de la versión 1910, no se admite la autenticación basada en certificados con Windows Hello para empresas configuración en Configuration Manager.

    • Configurar la longitud mínima del PIN: si desea requerir una longitud mínima para el PIN del usuario, habilite esta opción y especifique un valor. Cuando está habilitado, el valor predeterminado es 4.

    • Configurar la longitud máxima del PIN: si desea requerir una longitud máxima para el PIN del usuario, habilite esta opción y especifique un valor. Cuando está habilitado, el valor predeterminado es 127.

    • Requerir expiración del PIN (días): especifica el número de días antes de que el usuario deba cambiar el PIN del dispositivo.

    • Impedir la reutilización de PIN anteriores: no permita que los usuarios usen los PIN que han usado anteriormente.

    • Requerir letras mayúsculas en el PIN: especifica si los usuarios deben incluir letras mayúsculas en el PIN de Windows Hello para empresas. Elija entre:

      • Permitido: los usuarios pueden usar caracteres en mayúsculas en su PIN, pero no es necesario.

      • Obligatorio: los usuarios deben incluir al menos un carácter en mayúscula en su PIN.

      • No permitido: los usuarios no pueden usar caracteres en mayúsculas en su PIN.

    • Requerir letras minúsculas en el PIN: especifica si los usuarios deben incluir letras minúsculas en el PIN de Windows Hello para empresas. Elija entre:

      • Permitido: los usuarios pueden usar caracteres en minúsculas en su PIN, pero no es necesario.

      • Obligatorio: los usuarios deben incluir al menos un carácter en minúsculas en su PIN.

      • No permitido: los usuarios no pueden usar caracteres en minúsculas en su PIN.

    • Configurar caracteres especiales: especifica el uso de caracteres especiales en el PIN. Elija entre:

      Nota:

      Los caracteres especiales incluyen el siguiente conjunto:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Permitido: los usuarios pueden usar caracteres especiales en su PIN, pero no es necesario.

      • Obligatorio: los usuarios deben incluir al menos un carácter especial en su PIN.

      • No permitido: los usuarios no pueden usar caracteres especiales en su PIN. Este comportamiento también es si la configuración no está configurada.

    • Configurar el uso de dígitos en el PIN: especifica el uso de números en el PIN. Elija entre:

      • Permitido: los usuarios pueden usar números en su PIN, pero no es necesario.

      • Obligatorio: los usuarios deben incluir al menos un número en su PIN.

      • No permitido: los usuarios no pueden usar números en su PIN.

    • Habilitar gestos biométricos: use la autenticación biométrica, como el reconocimiento facial o la huella digital. Estos modos son una alternativa a un PIN para Windows Hello para empresas. Los usuarios siguen configurando un PIN en caso de que se produzca un error en la autenticación biométrica.

      Si se establece en , Windows Hello para empresas permite la autenticación biométrica. Si se establece en No, Windows Hello para empresas impide la autenticación biométrica para todos los tipos de cuenta.

    • Usar la protección contra la suplantación mejorada: configura la protección contra la suplantación de identidad mejorada en los dispositivos que lo admiten. Si se establece en , si se admite, Windows requiere que todos los usuarios usen la protección contra la suplantación de identidad para las características faciales.

    • Usar inicio de sesión telefónico: configura la autenticación en dos fases con un teléfono móvil.

  6. Complete el asistente.

La captura de pantalla siguiente es un ejemplo de Windows Hello para empresas configuración de perfil:

Windows Hello para empresas Asistente para directivas, que muestra la lista de opciones disponibles

Configurar permisos

  1. Como administrador de dominio o credenciales equivalentes, inicie sesión en una estación de trabajo administrativa segura que tenga instalada la siguiente característica opcional: RSAT: Servicios de dominio de Active Directory y Lightweight Directory Services Tools.

  2. Abra la consola de Usuarios y equipos de Active Directory.

  3. Seleccione el dominio, vaya al menú Acción y seleccione Propiedades.

  4. Cambie a la pestaña Seguridad y seleccione Avanzadas.

    Sugerencia

    Si no ve la pestaña Seguridad , cierre la ventana de propiedades. Vaya al menú Ver y seleccione Características avanzadas.

  5. Seleccione Agregar.

  6. Elija Seleccionar una entidad de seguridad y escriba Key Admins.

  7. En la lista Se aplica a , seleccione Objetos de usuario descendiente.

  8. En la parte inferior de la página, seleccione Borrar todo.

  9. En la sección Propiedades , seleccione Read msDS-KeyCredentialLink.

  10. Seleccione Aceptar para guardar los cambios y cerrar todas las ventanas.

Pasos siguientes

Perfiles de certificado