Introducción a la implementación de Windows Hello para empresas

Se aplica a:

  • Windows10, versión 1703 o posterior
  • Windows 11

Windows Hello para empresas es el trampolín hacia un mundo sin contraseñas Reemplaza el nombre de usuario y contraseña de inicio de sesión en Windows con una autenticación de usuarios segura, basada en un par de claves asimétricas.

Esta introducción a la implementación es para guiarlo a través de la implementación de Windows Hello para empresas. El primer paso debe ser usar el Asistente para sin contraseña en el Centro de administración de Microsoft 365 o la Guía de planeación de una implementación de Windows Hello para empresas para determinar el modelo de implementación adecuado para su organización.

Una vez que haya elegido un modelo de implementación, la guía de implementación del modelo le proporcionará la información necesaria para implementar correctamente Windows Hello para empresas en su entorno.

Nota

Lea el Windows Hello de requisitos previos de implementación empresarial para obtener un resumen de los requisitos previos para cada modelo de implementación Windows Hello para empresas.

Suposiciones

Esta guía da por hecho que existe una infraestructura de base que cumpla con los requisitos para la implementación. Tanto para las implementaciones híbridas como locales, se espera que haya:

  • Una red bien conectada que funcione
  • Acceso a Internet
  • La autenticación multifactor es necesaria durante Windows Hello aprovisionamiento para empresas
  • Resolución de nombres correcta, tanto nombres internos como externos
  • Active Directory y un número adecuado de controladores de dominio por sitio, para admitir la autenticación
  • Servicios de certificados de Active Directory de 2012 o posterior
  • Uno o varios equipos de estación de trabajo Windows 10 versión 1703 o posterior

Si vas a instalar un rol de servidor por primera vez, asegúrate de que está instalado el sistema operativo de servidor correspondiente, actualizado con las últimas revisiones y unido al dominio. Este documento proporciona instrucciones para instalar y configurar las funciones específicas en ese mismo servidor.

No comiences la implementación hasta que estén configurados y funcionando correctamente los servidores hospedados e infraestructura (no roles) identificados en la hoja de cálculo de requisitos previos.

Implementación y modelos de confianza

Windows Hello para empresas tiene tres modelos de implementación: solo Azure AD nube, híbrida y local. Los modelos de implementación híbrida y local tienen dos modelos de confianza: Confianza clave y confianza de certificado.

Nota

Windows Hello para empresas está presentando un nuevo modelo de confianza denominado confianza en la nube a principios de 2022. Este modelo de confianza habilitará la implementación de Windows Hello para empresas mediante la infraestructura introducida para admitir el inicio de sesión de clave de seguridad en dispositivos híbridos unidos Azure ADy acceso a recursos locales en dispositivos unidos Azure AD. Habrá más información disponible en Windows Hello confianza en la nube para empresas una vez que esté disponible en general.

Las implementaciones híbridas son para las empresas que usan Azure Active Directory. Las implementaciones locales son para las empresas que usan exclusivamente Active Directory local. Recuerda que los entornos que usan Azure Active Directory deben usar el modelo de implementación híbrida para todos los dominios de ese bosque.

El modelo de confianza determina cómo quieres que los usuarios se autentiquen en Active Directory local:

  • El modelo de clave de confianza es para las empresas que no deseen emitir certificados de entidad final a sus usuarios y tienen un número suficiente de controladores de dominio de 2016 en cada sitio para admitir la autenticación.
  • El modelo de certificado de confianza es para empresas que quieren emitir certificados de entidad final a sus usuarios y obtener las ventajas de expiración y renovación del certificado, similares al funcionamiento de las tarjetas inteligentes actuales.
  • El modelo de certificado de confianza también admite empresas que no están listas para implementar los controladores de dominio de Windows Server 2016.

Nota

RDP no admite la autenticación con Windows Hello de confianza clave para empresas como una credencial suministrada. RDP solo se admite con implementaciones de confianza de certificados como una credencial suministrada en este momento. Windows Hello confianza clave para empresas se puede usar con Windows Defender Remote Credential Guard.

A continuación se incluyen las distintas guías y modelos de implementación incluidos en este tema:

Nota

Para Windows Hello requisitos previos de confianza de certificados híbridos para empresas y las implementaciones de requisitos previos de confianza clave, necesitará Azure Active Directory Conectar sincronizar cuentas de usuario en Active Directory local con Azure Active Directory. Para las implementaciones locales, tanto de confianza de clave como de certificado, use el servidor mfa de Azure donde las credenciales no se sincronizan con Azure Active Directory. Obtenga información sobre cómo implementar los Servicios de autenticación multifactor (MFA) para la confianza clave y para las implementaciones de confianza de certificados.

Aprovisionamiento

El aprovisionamiento de Windows Hello para empresas comienza justo después de que el usuario haya iniciado sesión, una vez cargado el perfil de usuario, pero antes de que el usuario reciba su escritorio. Windows solo inicia la experiencia de aprovisionamiento si con correctas las comprobaciones de todos los requisitos previos. Puedes determinar el estado de las comprobaciones de los requisitos previos viendo Registro del dispositivo del usuario en el Visor de eventos en Registro de aplicaciones y servicios\Microsoft\Windows.

Nota

Debe permitir el acceso a la dirección URL account.microsoft.com para iniciar Windows Hello aprovisionamiento para empresas. Esta dirección URL inicia los pasos posteriores en el proceso de aprovisionamiento y es necesaria para completar correctamente Windows Hello aprovisionamiento para empresas. Esta dirección URL no requiere autenticación y, como tal, no recopila datos de usuario.