Hybrid Azure AD joined Windows Hello for Business Key Trust Provisioning

Se aplica a:

  • Windows10, versión 1703 o posterior
  • Windows 11
  • Implementación híbrida
  • Clave de confianza

Aprovisionamiento

El aprovisionamiento de Windows Hello para empresas comienza justo después de que el usuario haya iniciado sesión, una vez cargado el perfil de usuario, pero antes de que el usuario reciba su escritorio. Windows solo inicia la experiencia de aprovisionamiento si con correctas las comprobaciones de todos los requisitos previos. Puedes determinar el estado de las comprobaciones de los requisitos previos viendo Registro del dispositivo del usuario en el Visor de eventos en Registro de aplicaciones y servicios\Microsoft\Windows.

Event358.

Lo primero que debes comprobar es que el equipo haya procesado del registro del dispositivo. Puedes ver esto desde los registros de registro del dispositivo del usuario donde aparece la marca de verificación Device is AAD joined (AADJ or DJ++): Yes. Además, puedes validar esto usando el comando dsregcmd /status desde un símbolo del sistema de consola donde el valor de AzureADJoined sea Yes.

El aprovisionamiento de Windows Hello para empresas comienza con una página en pantalla completa con el título Configurar un PIN y el botón con el mismo nombre. El usuario hace clic en Configurar un PIN.

Configurar un aprovisionamiento de PIN.

El flujo de aprovisionamiento procede con la parte de autenticación multifactor de la inscripción. El aprovisionamiento informa al usuario que está intentando activamente ponerse en contacto con el usuario mediante su formulario configurado de MFA. El proceso de aprovisionamiento no continúa hasta que la autenticación se realiza correctamente, falla o agota su tiempo de espera. Una MFA fallida o con el tiempo de espera agotado provoca un error y solicita al usuario que vuelva a intentarlo.

Solicitud de MFA durante el aprovisionamiento.

Después de realizar una MFA correcta, el flujo de aprovisionamiento solicita al usuario crear y validar un PIN. Este PIN debe observar los requisitos de complejidad de PIN que hayas implementado en el entorno.

Cree un PIN durante el aprovisionamiento.

El flujo de aprovisionamiento tiene toda la información que necesita para completar la inscripción de Windows Hello para empresas.

  • Una autenticación de factor único correcta (nombre de usuario y contraseña en el inicio de sesión)
  • Un dispositivo que ha completado correctamente el registro de dispositivos
  • Una autenticación multifactor correcta y nueva
  • Un PIN validado que cumple los requisitos de complejidad de PIN

El resto del aprovisionamiento incluye que Windows Hello para empresas solicite un par de claves asimétricas para el usuario, preferiblemente del TPM (o son obligatorias si están establecidas explícitamente en la directiva). Una vez que se adquiere el par de claves, Windows se comunica con Azure Active Directory para registrar la clave pública. Cuando se complete el registro de clave, Windows Hello aprovisionamiento para empresas informa al usuario de que puede usar su PIN para iniciar sesión. El usuario puede cerrar la aplicación de aprovisionamiento y ver su escritorio. Mientras el usuario ha completado el aprovisionamiento, Azure AD Conectar sincroniza la clave del usuario con Active Directory.

Importante

El tiempo mínimo necesario para sincronizar la clave pública del usuario desde Azure Active Directory hasta el Active Directory local es de 30 minutos. El programador de Azure AD Connect controla el intervalo de sincronización. Esta latencia de sincronización retrasa la capacidad del usuario para autenticar y usar recursos locales hasta que la clave pública del usuario se haya sincronizado con Active Directory. Una vez sincronizada, el usuario puede autenticar y usar recursos locales. Lee Sincronización de Azure AD Connect: programador para ver y ajustar el ciclo de sincronización para la organización.




Sigue la guía de implementación de claves de confianza híbridas de Windows Hello para empresas

  1. Introducción
  2. Requisitos previos
  3. Nueva base de referencia de instalación
  4. Configurar la sincronización de directorios
  5. Configurar el registro de dispositivos Azure
  6. Establecer la configuración de Windows Hello para empresas
  7. Iniciar sesión y aprovisionar (Estás aquí)