Windows Hello para empresasWindows Hello for Business

En Windows10, Windows Hello para empresas reemplaza las contraseñas con una sólida autenticación en dos fases en equipos y dispositivos móviles.In Windows10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs and mobile devices. Esta autenticación consiste en un nuevo tipo de credenciales de usuario vinculadas a un dispositivo y usa un PIN o datos biométricos.This authentication consists of a new type of user credential that is tied to a device and uses a biometric or PIN.
Windows Hello para empresas permite al usuario autenticarse en una cuenta de Active Directory o Azure Active Directory.Windows Hello for Business lets user authenticate to an Active Directory or Azure Active Directory account.

Windows Hello soluciona estos problemas de las contraseñas:Windows Hello addresses the following problems with passwords:

  • Las contraseñas seguras resultan difíciles de recordar, por lo que los usuarios suelen reutilizarlas en varios sitios.Strong passwords can be difficult to remember, and users often reuse passwords on multiple sites.
  • Las infracciones en el servidor pueden dejar expuestas las credenciales de red simétricas (contraseñas).Server breaches can expose symmetric network credentials (passwords).
  • Las contraseñas están sujetas a ataques de reproducción.Passwords are subject to replay attacks.
  • Los usuarios pueden exponer sus contraseñas de forma involuntaria debido a ataques de suplantación de identidad (phishing).Users can inadvertently expose their passwords due to phishing attacks.
Icono de información general
Información generalOverview
Por qué un PIN es mejor que un icono de contraseña
Por qué un PIN es mejor que una contraseñaWhy PIN is better than a password
Administrar icono Hello
Administrar Windows Hello en tu organizaciónManage Windows Hello in your Organization

Requisitos previos.Prerequisites

Implementación solo en la nubeCloud Only Deployment

  • Windows10, versión 1511 o posteriorWindows 10, version 1511 or later
  • Cuenta de Microsoft AzureMicrosoft Azure Account
  • Azure Active DirectoryAzure Active Directory
  • Autenticación multifactor de AzureAzure Multi-factor authentication
  • Administración moderno (Intune o MDM de terceros compatible), opcionalModern Management (Intune or supported third-party MDM), optional
  • Suscripción a Azure AD Premium - opcional, necesario para la inscripción de MDM automática cuando el dispositivo se une a Azure Active DirectoryAzure AD Premium subscription - optional, needed for automatic MDM enrollment when the device joins Azure Active Directory

Implementaciones híbridasHybrid Deployments

La tabla muestra los requisitos mínimos para cada implementación.The table shows the minimum requirements for each deployment. Para una confianza clave en una implementación de varios dominios y bosques, los siguientes requisitos se aplican a cada dominio o bosque que hospeda componentes de Windows Hello para empresas o está implicado en el proceso de referencia de Kerberos.For key trust in a multi-domain/multi-forest deployment, the following requirements are applicable for each domain/forest that hosts Windows Hello for business components or is involved in the Kerberos referral process.

Clave de confianzaKey trust
Directiva de grupo administradaGroup Policy managed
Certificado de confianzaCertificate trust
Administrado mixtoMixed managed
Clave de confianzaKey trust
Administrado modernoModern managed
Certificado de confianzaCertificate trust
Administrado modernoModern managed
Windows10, versión 1511 o posteriorWindows 10, version 1511 or later Unido a Azure AD híbrido:Hybrid Azure AD Joined:
Mínimo: Windows 10, version 1703Minimum: Windows 10, version 1703
Mejor experiencia: Windows 10, versión 1709 o posterior (admite inscripción sincrónica de certificados).Best experience: Windows 10, version 1709 or later (supports synchronous certificate enrollment).
Unido a Azure AD:Azure AD Joined:
Windows10, versión 1511 o posteriorWindows 10, version 1511 or later
Windows10, versión 1511 o posteriorWindows 10, version 1511 or later Windows10, versión 1511 o posteriorWindows 10, version 1511 or later
Esquema de Windows Server 2016 o posteriorWindows Server 2016 or later Schema Esquema de Windows Server 2016 o posteriorWindows Server 2016 or later Schema Esquema de Windows Server 2016 o posteriorWindows Server 2016 or later Schema Esquema de Windows Server 2016 o posteriorWindows Server 2016 or later Schema
Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level
Controladores de dominio de Windows Server 2016 o posteriorWindows Server 2016 or later Domain Controllers Controladores de dominio de Windows Server 2008 R2 o posteriorWindows Server 2008 R2 or later Domain Controllers Controladores de dominio de Windows Server 2016 o posteriorWindows Server 2016 or later Domain Controllers Controladores de dominio de Windows Server 2008 R2 o posteriorWindows Server 2008 R2 or later Domain Controllers
Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority
N/AN/A Windows Server 2016 AD FS con actualización KB4088889 (clientes unidos a Azure AD híbrido),Windows Server 2016 AD FS with KB4088889 update (hybrid Azure AD joined clients),
yand
Servicio de inscripción de dispositivos de red (unido a Azure AD) de Windows Server 2012Windows Server 2012 or later Network Device Enrollment Service (Azure AD joined)
N/CN/A Servicio de inscripción de dispositivos de red de Windows Server 2012 o posteriorWindows Server 2012 or later Network Device Enrollment Service
Inquilino de MFA de Azure, oAzure MFA tenant, or
AD FS con adaptador de MFA de Azure, oAD FS w/Azure MFA adapter, or
AD FS con adaptador del servidor de MFA de Azure, oAD FS w/Azure MFA Server adapter, or
AD FS con adaptador de MFA de tercerosAD FS w/3rd Party MFA Adapter
Inquilino de MFA de Azure, oAzure MFA tenant, or
AD FS con adaptador de MFA de Azure, oAD FS w/Azure MFA adapter, or
AD FS con adaptador del servidor de MFA de Azure, oAD FS w/Azure MFA Server adapter, or
AD FS con adaptador de MFA de tercerosAD FS w/3rd Party MFA Adapter
Inquilino de MFA de Azure, oAzure MFA tenant, or
AD FS con adaptador de MFA de Azure, oAD FS w/Azure MFA adapter, or
AD FS con adaptador del servidor de MFA de Azure, oAD FS w/Azure MFA Server adapter, or
AD FS con adaptador de MFA de tercerosAD FS w/3rd Party MFA Adapter
Inquilino de MFA de Azure, oAzure MFA tenant, or
AD FS con adaptador de MFA de Azure, oAD FS w/Azure MFA adapter, or
AD FS con adaptador del servidor de MFA de Azure, oAD FS w/Azure MFA Server adapter, or
AD FS con adaptador de MFA de tercerosAD FS w/3rd Party MFA Adapter
Cuenta de AzureAzure Account Cuenta de AzureAzure Account Cuenta de AzureAzure Account Cuenta de AzureAzure Account
Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory
Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect
Azure AD Premium, opcionalAzure AD Premium, optional Azure AD Premium, necesario para volver a escribir el dispositivoAzure AD Premium, needed for device write-back Azure AD Premium, opcional para la inscripción automática de MDMAzure AD Premium, optional for automatic MDM enrollment Azure AD Premium, opcional para la inscripción automática de MDMAzure AD Premium, optional for automatic MDM enrollment

Importante

  1. Las implementaciones híbridas admiten el restablecimiento del PIN no destructivo que funciona con los modelos de confianza de certificados y de clave.Hybrid deployments support non-destructive PIN reset that works with both the certificate trust and key trust models.
    Requisitos:Requirements:
    Servicio de restablecimiento de PIN de Microsoft-Windows 10, versiones 1709 a 1809, Enterprise Edition.Microsoft PIN Reset Service - Windows 10, versions 1709 to 1809, Enterprise Edition. No hay ningún requisito de licencias para este servicio desde la versión 1903There is no licensing requirement for this service since version 1903
    Restablecer la pantalla de bloqueo anterior (olvidé mi vínculo de PIN)-Windows 10, versión 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

  2. Las implementaciones locales admiten el restablecimiento del PIN destructivo que funciona con los modelos de confianza de certificados y de clave.On-premises deployments support destructive PIN reset that works with both the certificate trust and the key trust models.
    Requisitos:Requirements:
    Restablecer desde la configuración-Windows 10, versión 1703, ProfessionalReset from settings - Windows 10, version 1703, Professional
    Restablecer la pantalla de bloqueo anterior: Windows 10, versión 1709, ProfessionalReset above lock screen - Windows 10, version 1709, Professional
    Restablecer la pantalla de bloqueo anterior (olvidé mi vínculo de PIN)-Windows 10, versión 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

Implementaciones localesOn-premises Deployments

La tabla muestra los requisitos mínimos para cada implementación.The table shows the minimum requirements for each deployment.

Clave de confianzaKey trust
Directiva de grupo administradaGroup Policy managed
Certificado de confianzaCertificate trust
Directiva de grupo administradaGroup Policy managed
Windows10, versión 1703 o posteriorWindows 10, version 1703 or later Windows10, versión 1703 o posteriorWindows 10, version 1703 or later
Esquema de Windows Server 2016Windows Server 2016 Schema Esquema de Windows Server 2016Windows Server 2016 Schema
Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level Nivel funcional del dominio/bosque de Windows Server 2008 R2Windows Server 2008 R2 Domain/Forest functional level
Controladores de dominio de Windows Server 2016 o posteriorWindows Server 2016 or later Domain Controllers Controladores de dominio de Windows Server 2008 R2 o posteriorWindows Server 2008 R2 or later Domain Controllers
Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority Entidad de certificación de Windows Server 2012 o posteriorWindows Server 2012 or later Certificate Authority
Windows Server 2016 AD FS con actualización KB4088889Windows Server 2016 AD FS with KB4088889 update Windows Server 2016 AD FS con actualización KB4088889Windows Server 2016 AD FS with KB4088889 update
AD FS con adaptador de MFA de tercerosAD FS with 3rd Party MFA Adapter AD FS con adaptador de MFA de tercerosAD FS with 3rd Party MFA Adapter
Cuenta de Azure, opcional para la facturación de MFA de AzureAzure Account, optional for Azure MFA billing Cuenta de Azure, opcional para la facturación de MFA de AzureAzure Account, optional for Azure MFA billing

Importante

Para las implementaciones de confianza de clave de Windows Hello para empresas, si tiene varios dominios, se requiere al menos un controlador de dominio de Windows Server 2016 o posterior para cada dominio.For Windows Hello for Business key trust deployments, if you have several domains, at least one Windows Server Domain Controller 2016 or newer is required for each domain. Para obtener más información, consulte la Guía de planificación.For more information, see the planning guide.