Usar perfiles de protección de identidades para administrar Windows Hello para empresas en Microsoft Intune

Microsoft Intune usa perfiles de protección de identidad para la configuración del dispositivo, para administrar Windows Hello para empresas en los dispositivos Windows administrados. Windows Hello para empresas es un método para iniciar sesión en dispositivos Windows mediante la sustitución de contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales.

Se aplica a:

• Windows 10
• Windows 11

Al usar perfiles de Intune Identity Protection para administrar Windows Hello para empresas configuración, puede hacer lo siguiente:

• Habilitar Windows Hello para empresas para los dispositivos y usuarios
• Establecer requisitos de PIN de dispositivo, incluida una longitud de PIN mínima o máxima
• Permitir gestos, como una huella digital, que los usuarios pueden usar (o no) para iniciar sesión en dispositivos

Esta característica se aplica a los dispositivos que ejecutan:

Además de los perfiles de Protección de identidades, Intune admite las siguientes opciones para administrar la configuración de Windows Hello para empresas:

• Durante la inscripción de dispositivos: configure la directiva de todo el inquilino que aplica Windows Hello configuración a los dispositivos en el momento en que el dispositivo se inscribe en Intune.
• Líneas de base de seguridad: algunas opciones de configuración de Windows Hello se pueden administrar a través de las líneas base de seguridad de Intune, como las líneas base para la seguridad de Microsoft Defender para punto de conexión o la línea base de seguridad para Windows 10 y versiones posteriores.
• Directiva de protección de cuentas de seguridad de puntos de conexión: las directivas de protección de cuentas incluyen algunas de las opciones usadas por Windows Hello.

Nota:

Para los clientes que buscan configurar Windows Holographic for Business, use el CSP de DeviceLock

En este artículo se muestra cómo crear un perfil de configuración de dispositivo para Identity Protection. Para obtener una lista de todas las configuraciones, y lo que hacen, consulte Configuración de dispositivos Windows para habilitar Windows Hello para empresas.

Importante

Debido a cómo Intune determina el ámbito y la aplicabilidad de Windows Hello para empresas directiva, un dispositivo puede registrar el identificador de evento 454 como resultado de la aplicación de la directiva. Esto se puede omitir de forma segura cuando la directiva se aplica correctamente (y se exige).

Creación del perfil del dispositivo

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Creaciónde configuración de>dispositivos>.

3. Escriba las propiedades siguientes:

   • Plataforma: seleccione Windows 10 y posteriores.
   • Perfil: seleccione Plantillas>Identity Protection.

4. Seleccione Crear.

5. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para el nuevo perfil. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional, pero recomendada.

   Seleccione Siguiente para continuar.

6. En Opciones de configuración, establezca los siguientes parámetros:

   • Configurar Windows Hello para empresas: elija cómo quiere configurar Windows Hello para empresas:

     • No configurado (predeterminado): provisiones Windows Hello para empresas en el dispositivo. Al asignar perfiles de protección de identidad solo a los usuarios, el contexto de dispositivo tiene como valor predeterminado Sin configurar.

     • Deshabilitado: si no quiere usar Windows Hello para empresas, seleccione esta opción. Esta opción deshabilita Windows Hello para empresas para todos los usuarios.

     • Habilitado: elija esta opción para aprovisionar y configurar Windows Hello para empresas en Intune. Especifique la configuración que desee definir. Para obtener una lista de todas las configuraciones y saber para qué sirve cada una, consulte Configuración de dispositivos Windows para habilitar Windows Hello para empresas.

   • Usar claves de seguridad para el inicio de sesión: habilite la clave de seguridad de Windows Hello como una credencial de registro para todos los equipos del inquilino.

     • Enable
     • No configurado (valor predeterminado)

   Seleccione Siguiente para continuar.

7. En Asignaciones, seleccione el usuario y los grupos de dispositivos que van a recibir este perfil. Para obtener más información sobre la asignación de perfiles, consulte Asignación de perfiles de usuario y dispositivo.

   Importante

   Para permitir el aprovisionamiento de varios usuarios a un dispositivo, especifique que la directiva de Windows Hello para empresas se aplique a los dispositivos. Si la directiva se aplica solo a los usuarios, solo se puede aprovisionar un usuario a un dispositivo.

   Seleccione Siguiente.

8. En Reglas de aplicabilidad, use las opciones Regla, Propiedad y Valor para definir cómo se aplica este perfil dentro de los grupos asignados. Intune aplica el perfil a los dispositivos que cumplan las reglas que especifique. Para obtener más información sobre las reglas de aplicabilidad, vea Reglas de aplicabilidad.

   Seleccione Siguiente.

9. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

Siguientes pasos

• Revisión de la configuración y su función
• Supervisión del estado del perfil.