Habilitar el inicio de sesión con clave de seguridad sin contraseña (versión preliminar)Enable passwordless security key sign-in (preview)

En el caso de las empresas que usan las contraseñas hoy en día y tienen un entorno de PC compartido, las claves de seguridad proporcionan una manera perfecta para que los trabajadores se autentiquen sin escribir un nombre de usuario o una contraseña.For enterprises that use passwords today and have a shared PC environment, security keys provide a seamless way for workers to authenticate without entering a username or password. Las claves de seguridad proporcionan productividad mejorada para los trabajadores y tienen una mejor seguridad.Security keys provide improved productivity for workers, and have better security.

Este documento se centra en la habilitación de la autenticación sin contraseña basada en claves de seguridad.This document focuses on enabling security key based passwordless authentication. Al final de este artículo, será capaz de iniciar sesión en aplicaciones basadas en Web con su cuenta de Azure AD mediante una llave de seguridad FIDO2.At the end of this article, you will be able to sign in to web-based applications with your Azure AD account using a FIDO2 security key.

Nota

Las claves de seguridad FIDO2 son una característica en versión preliminar pública de Azure Active Directory.FIDO2 security keys are a public preview feature of Azure Active Directory. Para más información sobre las versiones preliminares, consulte Términos de uso complementarios de las versiones preliminares de Microsoft Azure.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

RequisitosRequirements

Para usar claves de seguridad para iniciar sesión en servicios y aplicaciones web, debe tener un explorador que admita el protocolo WebAuthN.To use security keys for logging in to web apps and services, you must have a browser that supports the WebAuthN protocol. Entre ellas se incluyen Microsoft Edge, Chrome, Firefox y Safari.These include Microsoft Edge, Chrome, Firefox, and Safari.

Preparar dispositivos para la versión preliminarPrepare devices for preview

Los dispositivos unidos a Azure AD que se usarán para la prueba piloto deben ejecutar Windows 10, versión 1909 o posterior.Azure AD joined devices that you pilot with must run Windows 10 version 1909 or higher. La mejor experiencia se logra con Windows 10 versión 1903 o superior.The best experience is on Windows 10 version 1903 or higher.

Los dispositivos unidos a Azure AD híbrido deben ejecutar Windows 10, versión 2004 o una versión más reciente.Hybrid Azure AD joined devices must run Windows 10 version 2004 or newer.

Habilitar métodos de autenticación sin contraseñaEnable passwordless authentication method

Habilitar la experiencia de registro combinadoEnable the combined registration experience

Las características de registro de los métodos de autenticación sin contraseña se basan en la característica de registro combinado.Registration features for passwordless authentication methods rely on the combined registration feature. Siga los pasos del artículo Habilitar el registro de información de seguridad combinado para habilitar el registro combinado.Follow the steps in the article Enable combined security information registration (preview), to enable combined registration.

Habilitar el método de llaves de seguridad FIDO2Enable FIDO2 security key method

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.
  2. Vaya a Azure Active Directory > Seguridad > Métodos de autenticación > Directiva de métodos de autenticación (versión preliminar) .Browse to Azure Active Directory > Security > Authentication methods > Authentication method policy (Preview).
  3. En el método Llave de seguridad FIDO2, elija las opciones siguientes:Under the method FIDO2 Security Key, choose the following options:
    1. Habilitar: Sí o NoEnable - Yes or No
    2. Destino: Todos los usuarios o Seleccionar usuariosTarget - All users or Select users
  4. Guarde la configuración.Save the configuration.

Registro de usuario y administración de claves de seguridad FIDO2User registration and management of FIDO2 security keys

  1. Vaya a https://myprofile.microsoft.com.Browse to https://myprofile.microsoft.com.
  2. Inicie sesión si aún no lo ha hecho.Sign in if not already.
  3. Haga clic en Información de seguridad.Click Security Info.
    1. Si el usuario ya tiene al menos un método de Azure Multi-Factor Authentication registrado, puede registrar de inmediato una clave de seguridad FIDO2.If the user already has at least one Azure Multi-Factor Authentication method registered, they can immediately register a FIDO2 security key.
    2. Si no tiene registrado al menos un método de Azure Multi-Factor Authentication, debe agregar uno.If they don't have at least one Azure Multi-Factor Authentication method registered, they must add one.
  4. Agregue una llave de seguridad FIDO2 al hacer clic en Agregar método y seleccionar Clave de seguridad.Add a FIDO2 Security key by clicking Add method and choosing Security key.
  5. Elija Dispositivo USB o Dispositivo NFC.Choose USB device or NFC device.
  6. Tenga preparada la llave y seleccione Siguiente.Have your key ready and choose Next.
  7. Aparece un cuadro donde se le pide al usuario que cree o escriba un PIN para la clave de seguridad y luego que realice el gesto necesario para la clave, ya sea biométrico o toque.A box will appear and ask the user to create/enter a PIN for your security key, then perform the required gesture for the key, either biometric or touch.
  8. Se le devuelve al usuario la experiencia de registro combinado y se le pide que proporcione un nombre descriptivo para la llave, de modo que pueda identificar cuál es si tiene varios.The user will be returned to the combined registration experience and asked to provide a meaningful name for the key so the user can identify which one if they have multiple. Haga clic en Next.Click Next.
  9. Haga clic en Listo para finalizar el proceso.Click Done to complete the process.

Iniciar sesión con credenciales sin contraseñaSign in with passwordless credential

En el ejemplo siguiente, un usuario ya ha aprovisionado su clave de seguridad FIDO2.In the example below a user has already provisioned their FIDO2 security key. El usuario puede optar por iniciar sesión en Internet con su llave de seguridad FIDO2 dentro del explorador compatible en Windows 10, versión 1903 o posterior.The user can choose to sign in on the web with their FIDO2 security key inside of a supported browser on Windows 10 version 1903 or higher.

Inicio de sesión de clave de seguridad en Microsoft Edge

Solución de problemas y comentariosTroubleshooting and feedback

Si quiere compartir comentarios o detectar problemas mientras usa la versión preliminar de esta característica, compártalos mediante la aplicación Centro de opiniones sobre Windows. Para ello, realice los pasos siguientes:If you'd like to share feedback or encounter issues while previewing this feature, share via the Windows Feedback Hub app using the following steps:

  1. Abra el Centro de opiniones y asegúrese de que ha iniciado sesión.Launch Feedback Hub and make sure you're signed in.
  2. Envíe los comentarios bajo la categorización siguiente:Submit feedback under the following categorization:
    • Categoría: Seguridad y privacidadCategory: Security and Privacy
    • Subcategoría: FIDOSubcategory: FIDO
  3. Para capturar registros, use la opción Recreate my Problem (Recrear mi problema).To capture logs, use the option to Recreate my Problem

Problemas conocidosKnown issues

Aprovisionamiento de claves de seguridadSecurity key provisioning

El aprovisionamiento y desaprovisionamiento de administrador de claves de seguridad no está disponible en la versión preliminar pública.Administrator provisioning and de-provisioning of security keys is not available in the public preview.

Cambios de UPNUPN changes

Estamos trabajando en la admisión de una característica que permite el cambio de UPN en dispositivos unidos a Azure AD híbridos y dispositivos unidos a Azure AD.We are working on supporting a feature that allows UPN change on hybrid Azure AD joined and Azure AD joined devices. Si cambia el UPN de un usuario, ya no puede modificar las llaves de seguridad FIDO2 en consecuencia.If a user's UPN changes, you can no longer modify FIDO2 security keys to account for the change. La solución consiste en restablecer el dispositivo y que el usuario vuelva a registrarse.The resolution is to reset the device and the user has to re-register.

Pasos siguientesNext steps

Inicio de sesión de Windows 10 con llave de seguridad FIDO2FIDO2 security key Windows 10 sign in

Habilitación de la autenticación de FIDO2 en recursos localesEnable FIDO2 authentication to on-premises resources

Más información sobre el registro de dispositivosLearn more about device registration

Más información sobre Azure Multi-Factor AuthenticationLearn more about Azure Multi-Factor Authentication