Configuración del perfil de protección de identidades en Intune para Windows Hello para empresas
Nota:
Intune puede admitir más opciones de configuración que las que se enumeran en este artículo. No todas las configuraciones están documentadas y no se documentarán. Para ver la configuración que puede configurar, cree una directiva de configuración de dispositivo y seleccione Catálogo de configuración. Para obtener más información, vaya al catálogo configuración.
En este artículo se describe Windows Hello para empresas configuración que puede configurar en un perfil de identity protection. Los perfiles de protección de identidad forman parte de la directiva de configuración de dispositivos en Microsoft Intune. Con un perfil de identity protection, puede configurar los valores en grupos discretos de dispositivos Windows 10/11. Para configurar Windows Hello para empresas en todo el inquilino, como parte de la inscripción de dispositivos, consulte la sección Creación de una directiva de Windows Hello para empresas en Integración de Windows Hello para empresas con Microsoft Intune. En esta sección no solo se describe cómo crear una directiva de configuración para todo el inquilino, sino que también se describen los valores de la directiva de inscripción.
Puede encontrar información adicional sobre estas opciones en Configuración de Windows Hello para empresas Directiva, en la documentación de Windows Hello.
Para más información sobre los perfiles de protección de identidades en Intune, consulte Configuración de la protección de identidades.
Antes de empezar
Cree un perfil de configuración.
Windows Hello para empresas
Configurar Windows Hello para empresas:
No configurado (valor predeterminado): seleccione esta opción si no desea usar Intune para controlar Windows Hello para empresas configuración. No se cambia ninguna configuración de Windows Hello para empresas existente en dispositivos Windows 10/11. Las demás configuraciones del panel no están disponibles.
Deshabilitar: si no desea usar Windows Hello para empresas, seleccione esta configuración. El resto de la configuración de la pantalla no está disponible.
Habilitar: seleccione esta opción si desea configurar Windows Hello para empresas configuración.
Cuando se establece en Habilitar, están disponibles las siguientes opciones:
Longitud mínima de PIN
Especifique una longitud mínima de PIN para los dispositivos, de 4 a 127 caracteres. De forma predeterminada, esta configuración no está configurada.Longitud máxima del PIN
Especifique una longitud máxima de PIN para los dispositivos, de cuatro a 127 caracteres. De forma predeterminada, esta configuración no está configurada.Minúsculas en el PIN
Si es necesario, el PIN del usuario debe incluir al menos una letra minúscula. De forma predeterminada, esta configuración no está configurada.- No permitido : impide que los usuarios usen letras minúsculas en el PIN. Este comportamiento también se produce si la configuración no está configurada.
- Permitido : permite a los usuarios usar letras minúsculas en el PIN, pero no es necesario.
- Obligatorio : los usuarios deben incluir al menos una letra minúscula en el PIN. Por ejemplo, una práctica habitual consiste en obligar a usar como mínimo una mayúscula y un carácter especial.
Mayúsculas en el PIN
Si es necesario, el PIN del usuario debe incluir al menos una letra mayúscula. De forma predeterminada, esta configuración no está configurada.- No permitido : impedir que los usuarios usen letras mayúsculas en el PIN. Este comportamiento también se produce si la configuración no está configurada.
- Permitido : permite a los usuarios usar letras mayúsculas en el PIN, pero no es necesario.
- Obligatorio : los usuarios deben incluir al menos una letra mayúscula en el PIN. Por ejemplo, una práctica habitual consiste en obligar a usar como mínimo una mayúscula y un carácter especial.
Caracteres especiales en el PIN
Si es necesario, el PIN del usuario debe incluir al menos un carácter especial. Los caracteres especiales incluyen:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~- No permitido (valor predeterminado): impide que los usuarios usen caracteres especiales en el PIN. Este comportamiento también se produce si la configuración no está configurada.
- Permitido : permite a los usuarios usar letras mayúsculas en el PIN, pero no es necesario.
- Obligatorio : los usuarios deben incluir al menos una letra mayúscula en el PIN. Por ejemplo, una práctica habitual consiste en obligar a usar como mínimo una mayúscula y un carácter especial.
Expiración del PIN (días)
Si se configura, el usuario se verá obligado a cambiar su PIN después del número establecido de días. El usuario todavía puede cambiar de forma proactiva su PIN antes de la expiración. De forma predeterminada, esta configuración no está configurada.Recordar historial de PIN
Si está configurado, el usuario no podrá reutilizar este número de PIN anteriores. De forma predeterminada, esta configuración no está configurada.Habilitar recuperación de PIN
Permite al usuario usar el servicio de recuperación de PIN de Windows Hello para empresas.- Habilitar : el secreto de recuperación del PIN se almacena en el dispositivo y el usuario puede cambiar su PIN si es necesario.
- No configurado (valor predeterminado): el secreto de recuperación no se crea ni se almacena.
Uso de un módulo de plataforma segura (TPM)
Un chip de TPM ofrece una capa adicional de seguridad de datos.- Habilitar: solo los dispositivos con un TPM accesible pueden aprovisionar Windows Hello para empresas.
- No configurado (valor predeterminado): los dispositivos primero intentan usar un TPM. Si un TPM no está disponible, pueden usar el cifrado de software.
Permitir autenticación biométrica
Si se permite, Windows Hello para empresas puede autenticarse mediante gestos, como la cara y la huella digital. Los usuarios deben seguir configurando un PIN en caso de error.- Habilitar: Windows Hello para empresas permite la autenticación biométrica.
- No configurado (valor predeterminado): Windows Hello para empresas impide la autenticación biométrica (para todos los tipos de cuenta).
Uso de la protección contra la suplantación de identidad mejorada, cuando esté disponible
Si está habilitado, los dispositivos usan la protección contra la suplantación de identidad mejorada, cuando está disponible (por ejemplo, la detección de una fotografía de una cara en lugar de una cara real).- Habilitar : Windows requiere que todos los usuarios usen la protección contra la suplantación de identidad para las características faciales cuando se admita.
- No configurado (valor predeterminado): Windows respeta las configuraciones de antisofing en el dispositivo.
Certificado para recursos locales
- Habilitar: permite Windows Hello para empresas usar certificados para autenticarse en los recursos locales.
- No configurado (valor predeterminado): impide que Windows Hello para empresas use certificados para autenticarse en los recursos locales. En su lugar, los dispositivos usan el comportamiento predeterminado de la autenticación local de confianza de clave. Para obtener más información, consulte Certificado de usuario para la autenticación local en la documentación de Windows Hello.
Uso de claves de seguridad para el inicio de sesión
Esta configuración está disponible para los dispositivos que ejecutan Windows 10 versión 1903 o posterior, o Windows 11. Úsela para administrar la compatibilidad con el uso de claves de seguridad de Windows Hello para el inicio de sesión.- Habilitar: los usuarios pueden usar una clave de seguridad Windows Hello como credencial de inicio de sesión para los equipos de destino con esta directiva.
- No configurado : las claves de seguridad están deshabilitadas y los usuarios no pueden usarlas para iniciar sesión en equipos.
Siguientes pasos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de