Requisitos previos Azure AD confianza clave Windows Hello de confianza híbrida para empresas

Se aplica a

  • Windows10, versión 1703 o posterior
  • Windows 11
  • Implementación híbrida
  • Clave de confianza

Los entornos híbridos son sistemas distribuidos que permiten a las organizaciones usar recursos e identidades basadas en Azure o de forma local. Windows Hello para empresas usa el sistema distribuido existente como base en la que las organizaciones pueden proporcionar autenticación en dos fases que proporciona un inicio de sesión único como experiencia a los recursos modernos.

Los sistemas distribuidos en los que se crearon estas tecnologías implicaban varias partes de infraestructuras en la nube y locales. Entre las partes de alto nivel de la infraestructura se incluyen:

Directorios

La implementación híbrida de Windows Hello para empresas necesita dos directorios: Active Directory local y un Azure Active Directory en la nube. Los niveles funcionales del dominio y el nivel funcional del bosque necesarios para Windows Hello para empresas es Windows Server 2008 R2.

Una implementación Windows Hello para empresas necesita una Azure Active Directory suscripción. La implementación clave de confianza híbrida no necesita una suscripción premium a Azure Active Directory.

Puedes implementar Windows Hello para empresas en cualquier entorno con Windows Server 2008 R2 o controladores de dominio posteriores.
Si usa el modelo de implementación de confianza clave, debe asegurarse de que tiene los controladores de dominio adecuados (1 o más, según la carga de autenticación) Windows Server 2016 o posterior en cada sitio de Active Directory donde los usuarios se autenticarán para Windows Hello para empresas.
Lea planeación de un número adecuado de controladores de dominio Windows Server 2016 o posteriores para Windows Hello implementaciones para empresas para obtener más información.

Nota

Hubo un problema con la autenticación de confianza clave en Windows Server 2019. Si tiene previsto usar Windows de dominio de Server 2019, consulte KB4487044 para solucionar este problema.

Revisa estos requisitos y los de la hoja de cálculo y la guía de planificación de Windows Hello para empresas. En función de tus decisiones de implementación, puede que tengas que actualizar tu Active Directory local o la suscripción a Azure Active Directory para hacer frente a tus necesidades.

Revisión de la sección

  • Nivel funcional de dominio de Active Directory
  • Nivel funcional de bosque de Active Directory
  • Versión del controlador de dominio
  • Suscripción a Azure Active Directory
  • Suscripción correcta para los resultados y características deseados

Infraestructura de clave pública

La implementación de Windows Hello para empresas depende de una infraestructura de clave pública empresarial como delimitador de confianza para la autenticación. Los controladores de dominio para implementaciones híbridas necesitan un certificado para que Windows dispositivos confíen en el controlador de dominio.

Las implementaciones con clave de confianza no necesitan certificados emitidos por los clientes para la autenticación local. Las cuentas de usuario de Active Directory se configuran automáticamente para la asignación de claves públicas mediante la sincronización Azure AD Conectar la clave pública de la credencial de Windows Hello para empresas registrada con un atributo en el objeto de Active Directory del usuario.

La entidad de certificación Enterprise que se puede usar con Windows Hello para empresas es Windows Server 2012, pero también puede usar una entidad de certificación Enterprise de terceros. A continuación se muestran los requisitos para el certificado del controlador de dominio. Para obtener más información, vea Requirements for domain controller certificates from a third-party CA.

  • El certificado debe tener una extensión de punto de distribución de lista de revocación de certificados (CRL) que apunte a una CRL válida o a una extensión de acceso a la información de autoridad (AIA) que apunte a un respondedor del Protocolo de estado de certificado en línea (OCSP).
  • Opcionalmente, la sección Asunto del certificado podría contener la ruta de acceso de directorio del objeto de servidor (el nombre distintivo).
  • La sección Uso de clave del certificado debe contener firma digital y codificación de clave.
  • Opcionalmente, la sección Restricciones básicas del certificado debe contener: [Subject Type=End Entity, Path Length Constraint=None].
  • La sección Uso de clave mejorada del certificado debe contener autenticación de cliente (1.3.6.1.5.5.7.3.2), autenticación de servidor (1.3.6.1.5.5.7.3.1) y autenticación KDC (1.3.6.1.5.2.3.5).
  • La sección Nombre alternativo del sujeto del certificado debe contener el nombre del sistema de nombres de dominio (DNS).
  • La plantilla de certificado debe tener una extensión que tenga el valor "DomainController", codificado como una cadena BMPstring. Si está usando Windows server Enterprise certificate authority, esta extensión ya se incluye en la plantilla de certificado de controlador de dominio.
  • El certificado del controlador de dominio debe instalarse en el almacén de certificados del equipo local. Consulte Configure Hybrid Windows Hello for Business: Public Key Infrastructure para obtener más información.

Importante

Para autenticar dispositivos unidos a Azure AD y usar recursos locales, asegúrate de lo siguiente:

  • Instale el certificado de entidad de certificación raíz de su organización en el almacén de certificados raíz de confianza del usuario.
  • Publicar tu lista de revocación de certificados en una ubicación que esté disponible para dispositivos unidos a Azure AD, como una dirección url basada en la Web.

Revisión de la sección

  • Entidad de certificación emisora de Windows Server 2012

Sincronización de directorios

Los dos directorios usados en las implementaciones híbridas deben estar sincronizados. Necesitas que Azure Active Directory Connect sincronice las cuentas de usuario en Active Directory local con Azure Active Directory.

Las organizaciones que usan la tecnología anterior de sincronización de directorios, como DirSync o Sincronización de Azure AD, tienen que actualizarse a Azure AD Connect.

Revisión de la sección


Federación con Azure

Puedes implementar la clave de confianza de Windows Hello para empresas en entornos federados y no federados. Para entornos no federados, las implementaciones de confianza clave funcionan en entornos que han implementado la sincronización de contraseñas con Azure AD Conectar o Azure Active Directory autenticación de paso a través. Para entornos federados, puedes implementar la clave de confianza de Windows Hello para empresas usando Servicios de federación de Active Directory (AD FS) 2012 R2 o posterior.

  • Entornos no federados
  • Entornos federados

Autenticación multifactor

Windows Hello para empresas es una credencial segura en dos fases que ayuda a las organizaciones a reducir su dependencia en las contraseñas. El proceso de aprovisionamiento permite a un usuario inscribirse en Windows Hello para empresas con su nombre de usuario y contraseña como un factor, pero necesita un segundo factor de autenticación.

Las implementaciones híbridas de Windows Hello para empresas pueden usar el servicio de autenticación multifactor (MFA) de Azure o pueden usar la autenticación multifactor proporcionada por AD FS a partir de Windows Server 2012 R2, que incluye un modelo de adaptador que permite a terceros integrar su MFA en AD FS. La MFA habilitada por una Office 365 licencia es suficiente para Azure AD.

Revisión de la sección

  • Servicio Azure MFA
  • Windows Server 2016 AD FS y Azure (opcional, caso de federados)
  • Windows Server 2016 AD FS y adaptador MFA de terceros (opcional, para el caso de federadas)

Registro de dispositivos

Las organizaciones que desean implementar la confianza de clave híbrida necesitan que sus dispositivos unidos a un dominio se registren para Azure Active Directory. Al igual que un equipo que tiene una identidad en Active Directory, ese mismo equipo tiene una identidad en la nube. Esto garantiza que solo se usan equipos aprobados con ese Azure Active Directory. Cada equipo registra su identidad en Azure Active Directory.

Aprovisionamiento

Debe permitir el acceso a la dirección URL account.microsoft.com para iniciar Windows Hello aprovisionamiento para empresas. Esta dirección URL inicia los pasos posteriores en el proceso de aprovisionamiento y es necesaria para completar correctamente Windows Hello aprovisionamiento para empresas. Esta dirección URL no requiere autenticación y, como tal, no recopila datos de usuario.

Lista de comprobación de la sección

  • Registro de dispositivos con Registro de dispositivos de Azure

Pasos siguientes

Sigue la guía de implementación de claves de confianza híbridas de Windows Hello para empresas. Para obtener una prueba de conceptos, laboratorios e instalaciones nuevas, elija la línea base de nueva instalación.

Para entornos que se están transfiriendo de local a híbrido, empiece por Configurar la sincronización de directorios de Azure.

Para entornos federados y no federados, empiece por Configurar Windows Hello para empresas.




Sigue la guía de implementación de claves de confianza híbridas de Windows Hello para empresas

  1. Introducción
  2. Requisitos previos (You are here)
  3. Nueva base de referencia de instalación
  4. Configurar la sincronización de directorios
  5. Configurar el registro de dispositivos Azure
  6. Establecer la configuración de Windows Hello para empresas
  7. Iniciar sesión y aprovisionar