Planificar una implementación de Windows Hello para empresas

Se aplica a

  • Windows10
  • Windows11

¡Enhorabuena! Vas a realizar el primer paso para que tu organización deje de utilizar la contraseña para realizar una cómoda autenticación en dos factores para Windows: Windows Hello para empresas. Esta guía de planificación te ayuda a comprender las distintas topologías, arquitecturas y componentes que abarcan una infraestructura de Windows Hello para empresas.

En esta guía se explica el rol de cada componente de Windows Hello para empresas y cómo determinadas decisiones de implementación afectan a otros aspectos de la infraestructura. Con la hoja de cálculo de planeación, usará esa información para seleccionar la guía de implementación correcta para sus necesidades.

Nota

Si tiene un inquilino de Azure, puede usar nuestro Asistente interactivo sin contraseña en línea que recorre las mismas opciones en lugar de usar nuestra guía manual a continuación. El Asistente sin contraseña está disponible en el Centro de administración de Microsoft 365.

Usar esta Guía

Hay muchas opciones que puedes elegir al implementar Windows Hello para empresas. Proporcionar varias opciones garantiza que prácticamente todas las organizaciones pueden implementar Windows Hello para empresas. Proporcionar muchas opciones hace que la implementación parezca compleja, sin embargo, la mayoría de la organización se dará cuenta de que ya han implementado la mayor parte de la infraestructura de la que depende la implementación Windows Hello para empresas. Es importante comprender que Windows Hello para empresas es un sistema distribuido y realiza una planificación adecuada entre varios equipos dentro de una organización

Esta guía elimina la apariencia de complejidad al ayudarle a tomar decisiones sobre cada aspecto de la implementación de Windows Hello para empresas y las opciones que tendrá que tener en cuenta. Usar esta guía también identifica la información necesaria para ayudarte a tomar decisiones sobre la implementación que se adapte mejor a tu entorno. Descarga la Hoja de cálculo de planificación de Windows Hello para empresas en el Centro de descarga de Microsoft para ayudar a realizar un seguimiento de tus progresos y facilitar tu planificación.

Cómo proceder

Lee este documento y anota tus decisiones en la hoja de cálculo. Cuando termines, la hoja de cálculo tendrá toda la información necesaria para la implementación de Windows Hello para empresas.

Hay seis categorías principales que debes tener en cuenta para una implementación de Windows Hello para empresas. Estas categorías son:

  • Opciones de implementación
  • Cliente
  • Administración
  • Active Directory
  • Infraestructura de clave pública
  • Nube

Requisitos previos de base de referencia

Windows Hello para empresas tiene unos requisitos previos de base de referencia con los que puedes empezar. Estos requisitos previos de base de referencia se proporcionan en la hoja de cálculo.

Opciones de implementación

El objetivo de Windows Hello para empresas es permitir implementaciones en todas las organizaciones de cualquier tamaño o escenario. Para proporcionar este tipo de implementación detallada, Windows Hello para empresas ofrece una amplia variedad de opciones de implementación.

Modelos de implementación

Existen tres modelos de implementación que puedes elegir: solo en la nube, híbrida y local.

Solo en la nube

El modelo de implementación solo en la nube está destinado a organizaciones que solo tienen identidades en la nube y no tienen acceso a recursos locales. Estas organizaciones normalmente unen sus dispositivos a la nube y usan exclusivamente recursos en la nube como SharePoint, OneDrive y otros. Además, dado que estos usuarios no utilizan recursos locales, no necesitan certificados para opciones tales como VPN porque todo lo que necesitan está alojado en Azure.

Híbrida

El modelo de implementación híbrida está destinado a organizaciones que:

  • Están federadas con Azure Active Directory
  • Tienen identidades sincronizadas con Azure Active Directory con Azure Active Directory Connect
  • Usan aplicaciones alojadas en Azure Active Directory y quieren una experiencia de usuario de inicio de sesión único tanto para los recursos locales como para los recursos de Azure Active Directory

Importante

Las implementaciones híbridas admiten el restablecimiento de PIN no destructivo que funciona con los modelos de confianza de certificados y de confianza clave.

Requisitos:

  • Servicio de restablecimiento de PIN de Microsoft: Windows 10, versiones 1709 a 1809, Enterprise Edition. No hay ningún requisito de licencia para este servicio desde la versión 1903
  • Restablecer la pantalla de bloqueo anterior (olvidé el vínculo pin) - Windows 10, versión 1903
Local

El modelo de implementación local está destinado a organizaciones que no tienen identidades en la nube o usan aplicaciones alojadas en Azure Active Directory.

Importante

Las implementaciones locales admiten el restablecimiento de PIN destructivo que funciona tanto con la confianza del certificado como con los modelos de confianza clave.

Requisitos:

  • Restablecer desde la configuración: Windows 10, versión 1703, Professional
  • Restablecer la pantalla de bloqueo anterior: Windows 10, versión 1709, Professional
  • Restablecer la pantalla de bloqueo anterior (olvidé el vínculo pin) - Windows 10, versión 1903

Es fundamentalmente importante comprender qué modelo de implementación usar para una implementación correcta. Es posible que algunos aspectos de la implementación ya se hayan decidido en función de la infraestructura actual.

Tipos de confianza

Un tipo de confianza de implementación define cómo cada cliente de Windows Hello para empresas realiza la autenticación en Active Directory local. Hay dos tipos de confianza: la clave de confianza y el certificado de confianza.

Nota

Windows Hello para empresas está presentando un nuevo modelo de confianza denominado confianza en la nube a principios de 2022. Este modelo de confianza habilitará la implementación de Windows Hello para empresas mediante la infraestructura introducida para admitir el inicio de sesión de clave de seguridad en dispositivos híbridos unidos Azure AD y acceso a recursos locales en dispositivos unidos Azure AD. Habrá más información disponible en Windows Hello confianza en la nube para empresas una vez que esté disponible en general.

El tipo de clave de confianza no requiere la emisión de certificados de autenticación para los usuarios finales. Los usuarios se autentican con una clave enlazada por hardware creada durante la experiencia de aprovisionamiento integrada. Esto requiere una distribución adecuada de Windows Server 2016 controladores de dominio posteriores o superiores en relación con la autenticación existente y el número de usuarios incluidos en la implementación de Windows Hello para empresas. Lea planeación de un número adecuado de controladores de dominio Windows Server 2016 o posteriores para Windows Hello implementaciones para empresas para obtener más información.

El tipo de certificado de confianza emite certificados de autenticación para los usuarios finales. Los usuarios se autentican con un certificado solicitado mediante una clave enlazada por hardware creada durante la experiencia de aprovisionamiento integrada. A diferencia de la confianza de clave, la confianza de certificado no requiere Windows Server 2016 controladores de dominio (pero aún requiere Windows Server 2016 esquema de Active Directory o posterior). Los usuarios pueden usar su certificado para autenticarse en cualquier controlador de dominio Windows Server 2008 R2 o posterior.

Nota

RDP no admite la autenticación con Windows Hello de confianza de clave empresarial como una credencial suministrada. RDP solo se admite con implementaciones de confianza de certificados como una credencial suministrada en este momento. Windows Hello confianza clave para empresas se puede usar con Windows Defender Remote Credential Guard.

Registro de dispositivos

Todos los dispositivos que se incluyen en la implementación de Windows Hello para empresas deben pasar por el registro de dispositivos. El registro de dispositivos permite que los dispositivos se autentiquen en los proveedores de identidad. En el caso de las implementaciones en la nube e híbridas, el proveedor de identidad es Azure Active Directory. En el caso de las implementaciones locales, el proveedor de identidad es el servidor local que ejecuta el rol de los Servicios de federación de Active Directory (AD FS) de Windows Server 2016.

Registro de claves

La experiencia de aprovisionamiento Windows Hello para empresas crea un par de claves asimétricas enlazadas por hardware como credenciales de su usuario. La clave privada está protegida por los módulos de seguridad del dispositivo; sin embargo, la credencial es una clave de usuario (no una clave de dispositivo). La experiencia de aprovisionamiento registra la clave pública del usuario con el proveedor de identidades. En el caso de las implementaciones en la nube e híbridas, el proveedor de identidad es Azure Active Directory. En el caso de las implementaciones locales, el proveedor de identidad es el servidor local que ejecuta el rol de los Servicios de federación de Active Directory (AD FS) de Windows Server 2016.

Autenticación multifactor

Importante

A partir del 1 de julio de 2019, Microsoft ya no ofrecerá mfa server para nuevas implementaciones. Los nuevos clientes que requieren autenticación multifactor para sus usuarios deben usar la autenticación multifactor basada en la nube Azure AD multifactor. Los clientes existentes que han activado mfa server antes del 1 de julio de 2019 podrán descargar la versión más reciente, actualizaciones futuras y generar credenciales de activación como de costumbre. Consulte Introducción al servidor de autenticación Azure AD multifactor para obtener más información.

El objetivo de Windows Hello para empresas es que las organizaciones dejen de utilizar contraseñas ofreciéndoles una credencial segura que proporcione una autenticación fácil de dos factores. La experiencia de aprovisionamiento integrada acepta las credenciales débiles del usuario (nombre de usuario y contraseña) como autenticación de primer factor; sin embargo, el usuario debe proporcionar un segundo factor de autenticación antes Windows aprovisiona una credencial segura.

Las implementaciones híbridas y solo en la nube proporcionan muchas opciones para la autenticación multifactor. Las implementaciones locales deben usar una autenticación multifactor que proporciona un adaptador multifactor de AD FS que se usará junto con el rol de servidor local Windows Server 2016 AD FS. Las organizaciones pueden usar el servidor de autenticación Azure AD multifactor local o elegir entre varios terceros (leer métodos de autenticación adicionales de Microsoft y de terceros para obtener más información).

Nota

Azure AD multifactor authentication está disponible a través de:

  • Contrato Microsoft Enterprise
  • Programa de licencias por volumen Open
  • Programa de proveedores de soluciones en la nube
  • Incluido con
    • Azure Active Directory Premium
    • Enterprise Mobility Suite
    • Enterprise Cloud Suite

Sincronización de directorios

Las implementaciones híbridas y locales usan la sincronización de directorios, pero con un fin distinto. Las implementaciones híbridas usan Azure Active Directory Connect para sincronizar identidades o credenciales de Active Directory entre sí y con Azure Active Directory. Esto ayuda a habilitar el inicio de sesión único en Azure Active Directory y sus componentes federados. Las implementaciones locales usan la sincronización de directorios para importar usuarios de Active Directory al servidor MFA de Azure, que envía datos al servicio en la nube de Azure MFA para realizar la comprobación.

Administración

Windows Hello para empresas ofrece a las organizaciones un amplio conjunto de configuraciones de directivas detalladas que pueden usar para administrar sus usuarios y dispositivos. Hay tres formas con las que puedes administrar Windows Hello para empresas: directiva de grupo, administración moderna y mixta.

Directiva de grupo

La directiva de grupo es la forma más fácil y popular para administrar Windows Hello para empresas en dispositivos unidos a un dominio. Tan solo tienes que crear un objeto de directiva de grupo con la configuración que quieras. Vincula el objeto de directiva de grupo en una posición alta de Active Directory y usa el filtrado de grupos de seguridad para establecer como objetivo conjuntos específicos de usuarios o equipos. O bien, vincula el GPO directamente a las unidades organizativas.

Administración moderna

La administración moderna es un nuevo paradigma de administración de dispositivos que saca partido de la nube para administrar dispositivos tanto unidos a un dominio como no. Las organizaciones pueden unificar la administración de dispositivos en una plataforma y aplicar la configuración de directiva con una única plataforma

Cliente

Windows Hello para empresas es una característica Windows 10 y Windows 11. Como parte de Windows como estrategia de servicio, Microsoft ha mejorado la implementación, la administración y la experiencia del usuario con cada nueva versión de Windows y ha introducido compatibilidad para nuevos escenarios.

La mayoría de los escenarios de implementación requieren un mínimo de Windows 10, versión 1511, también conocida como la actualización de noviembre. El requisito de cliente puede cambiar en función de los distintos componentes de la infraestructura existente y otras opciones de infraestructura más adelante en la planificación de tu implementación. Estos componentes y opciones pueden requerir un cliente mínimo con Windows 10, versión 1703, también conocido como Creators Update.

Active Directory

Las implementaciones híbridas y locales incluyen Active Directory como parte de su infraestructura. La mayoría de los requisitos de Active Directory, como el esquema y niveles funcionales de bosque y dominio, están predeterminados. Sin embargo, la opción de tipo de confianza para la autenticación determina la versión del controlador de dominio necesaria para la implementación.

Infraestructura de clave pública

La implementación de Windows Hello para empresas depende de una infraestructura de clave pública empresarial como anclaje de veracidad para autenticación. Los controladores de dominio para implementaciones híbridas y locales necesitan un certificado para que Windows dispositivos confíen en el controlador de dominio como legítimo. Las implementaciones que usan el tipo de certificado de confianza necesitan una infraestructura de clave pública empresarial y una entidad de registro de certificados para emitir certificados de autenticación a los usuarios. Es posible que las implementaciones híbridas tengan que emitir certificados VPN para los usuarios que habiliten recursos locales de conectividad.

Nube

Algunas combinaciones de implementación requieren una cuenta de Azure y otras requieren Azure Active Directory identidades de usuario. Estos requisitos de la nube solo pueden tener una cuenta de Azure, mientras que otras funciones necesitan una suscripción a Azure Active Directory Premium. El proceso de planeación identifica y diferencia los componentes necesarios de los que son opcionales.

Planificar una implementación

La planificación de la implementación de Windows Hello para empresas comienza con la elección de un tipo de implementación. Al igual que todos los sistemas distribuidos, Windows Hello para empresas depende de varios componentes dentro de la infraestructura de la organización.

Usa el resto de esta guía para ayudarte a planificar la implementación. A medida que tomas decisiones, escribe los resultados de las decisiones que hay en la hoja de cálculo de planificación. Cuando termine, tendrá toda la información necesaria para completar el proceso de planeación y la guía de implementación adecuada que mejor le ayude con la implementación.

Modelo de implementación

Elige el modelo de implementación basado en los recursos a los que los usuarios tienen acceso. Usa la guía siguiente para tomar una decisión.

Si la organización no tiene recursos locales, escribe Solo nube en el cuadro 1a de la hoja de cálculo de planificación.

Si su organización está federada con Azure o usa algún servicio, como AD Conectar, Office365 o OneDrive, o los usuarios tienen acceso a recursos locales y en la nube, escriba Híbrido en el cuadro 1a de la hoja de cálculo de planeación.

Si la organización no tiene recursos en la nube, escribe Local en el cuadro 1a de la hoja de cálculo de planificación.

Nota

  • El caso de uso principal de la implementación local es para "Entornos administrativos de seguridad mejorada" también conocido como "Bosques rojos".
  • La migración de la implementación local a la híbrida requerirá la redistribución.

Tipo de confianza

Los dispositivos unidos a la implementación híbrida de Azure AD administrador por la directiva de grupo necesitan el rol de AD FS de Windows Server 2016 para emitir certificados. Los dispositivos unidos a la implementación híbrida de Azure AD y los dispositivos unidos a Azure AD administrados por Intune o una solución MDM compatible necesitan el rol de servidor Windows Server NDES para emitir certificados.

Elige un tipo de confianza que mejor se adapte a las organizaciones. Recuerda que el tipo de confianza determina dos aspectos. Si emites certificados de autenticación a los usuarios y si la implementación necesita controladores de dominio de Windows Server 2016.

Un modelo de confianza no es más seguro que el otro. La principal diferencia se basa en la comodidad de la organización a la hora de implementar controladores de dominio de Windows Server 2016 y no inscribir a los usuarios con los certificados de entidad final (clave de confianza) frente a usar los controladores de dominio existentes (Windows Server 2008 R2 o posterior) y tener que inscribir certificados para todos sus usuarios (certificado de confianza).

Dado que los tipos de confianza de certificado emiten certificados, se necesita más configuración e infraestructura para dar cabida a la inscripción de certificados de usuario, lo que también podría ser un factor a tener en cuenta en su decisión. La infraestructura adicional necesaria para las implementaciones de confianza de certificados incluye una entidad de registro de certificados. En un entorno federado, debes activar la opción Devolución de dispositivo en Azure AD Conectar.

Si tu organización quiera usar el tipo de clave de confianza, escribe clave de confianza en el cuadro 1b de la hoja de cálculo de planificación. Escribe Windows Server 2016 en el cuadro 4d. Escribe N/A en el cuadro 5b.

Si tu organización quiera usar el tipo de certificado de confianza, escribe certificado de confianza en el cuadro 1b de la hoja de cálculo de planificación. Escribe Windows Server 2008 R2 o posterior en el cuadro 4d. En el cuadro 5c, escribe inicio de sesión de tarjeta inteligente en la columna Nombre de plantilla y escribe usuarios en la columna Emitido para de la hoja de cálculo de planificación.

Registro de dispositivos

Una implementación correcta de Windows Hello para empresas requiere que todos los dispositivos se registren en el proveedor de identidad. El proveedor de identidad depende del modelo de implementación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube o híbrida, escribe Azure en el cuadro 1c de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, escribe AD FS en el cuadro 1c de la hoja de cálculo de planificación.

Registro de claves

Todos los usuarios que aprovisionan Windows Hello para empresas tienen la clave pública registrada en el proveedor de identidad. El proveedor de identidad depende del modelo de implementación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube o híbrida, escribe Azure en el cuadro 1d de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación contiene local, escribe AD FS en el cuadro 1d de la hoja de cálculo de planificación.

Sincronización de directorios

Windows Hello para empresas es una autenticación segura de usuario, lo que suele significar que hay una identidad (un usuario o nombre de usuario) y un credencial (normalmente un par de claves). Algunas operaciones requieren escribir datos de usuario en el directorio o leerlos desde allí. Por ejemplo, leer el número de teléfono del usuario para realizar la autenticación multifactor durante el aprovisionamiento o la escritura de la clave pública del usuario.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, escribe N/A en el cuadro 1e. La información de usuario se escribe directamente en Azure Active Directory y no hay otro directorio con el que la información debe sincronizarse.

Si el cuadro 1a de la hoja de cálculo de planificación muestra híbrida, escribe Azure AD Connect en el cuadro 1e de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, escribe Servidor Azure MFA. Esta implementación usa exclusivamente Active Directory para la información del usuario a excepción de la autenticación multifactor. El servidor mfa de Azure local sincroniza un subconjunto de la información del usuario, como el número de teléfono, para proporcionar autenticación multifactor mientras las credenciales del usuario permanecen en la red local.

Autenticación multifactor

El objetivo de Windows Hello para empresas es que el usuario deje de usar contraseñas para la autenticación y use una autenticación segura basada en claves. Las contraseñas son credenciales no seguras y no son fiables ya que un atacante con una contraseña robada podría intentar inscribirse en Windows Hello para empresas. Para mantener la transición de una credencial débil a una segura, Windows Hello para empresas se basa en la autenticación multifactor durante el aprovisionamiento para tener algunas garantías de que la identidad de usuario que aprovisiona una credencial de Windows Hello para empresas es la identidad adecuada.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, la única opción es usar el servicio en la nube de Azure MFA. Escribe Azure MFA en el cuadro 1f de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra híbrida, tienes varias opciones, algunas de las cuales dependen de la configuración de sincronización del directorio. Entre las opciones que se pueden elegir se incluyen:

  • Usar directamente el servicio en la nube de Azure MFA
  • Usar AD FS con el adaptador de servicio en la nube de Azure MFA
  • Usar AD FS con el adaptador del servidor de Azure MFA
  • Usar AD FS con adaptador de MFA de terceros

Puedes usar directamente el servicio en la nube de Azure MFA para el segundo factor de autenticación. Los usuarios que se ponen en contacto con el servicio deben autenticarse en Azure antes de usar el servicio.

Si Azure AD Connect está configurado para sincronizar identidades (solo nombres de usuario), los usuarios se redirigirán a tu servidor de federación local para la autenticación y luego se les redirigirá de nuevo al servicio en la nube de Azure MFA. De lo contrario, Azure AD Connect se configura para sincronizar las credenciales (nombre de usuario y contraseñas), lo que permite a los usuarios autenticarse en Azure Active Directory y usar el servicio en la nube de Azure MFA. Si decides usar directamente el servicio en la nube de Azure MFA, escribe Azure MFA en el cuadro 1f de la hoja de cálculo de planificación.

Puedes configurar tu rol de AD FS de Windows Server 2016 local para usar el adaptador de servicio de Azure MFA. En esta configuración, los usuarios se redirigen al servidor AD FS local (solo identidades de sincronización). El servidor AD FS utiliza el adaptador de MFA para comunicarse con el servicio de Azure MFA para llevar a cabo el segundo factor de autenticación. Si decides usar AD FS con el adaptador de servicio en la nube de Azure MFA, escribe AD FS con adaptador en la nube de Azure MFA en el cuadro 1f de la hoja de cálculo de planificación.

Como alternativa, puedes usar AD FS con un adaptador de servidor Azure MFA local. En lugar de que AD FS se comunique directamente con el servicio en la nube de MFA Azure, se comunica con un servidor de Azure MFA local que sincroniza la información de usuario con Active Directory local. El servidor Azure MFA se comunica con los servicios en la nube de Azure MFA para llevar a cabo el segundo factor de autenticación. Si decides usar AD FS con el adaptador de servidor de Azure MFA, escribe AD FS con adaptador de servidor de Azure MFA en el cuadro 1f de la hoja de cálculo de planificación.

La última opción consiste en usar AD FS con un adaptador de otro fabricante como el segundo factor de autenticación. Si decides usar AD FS con el adaptador MFA de otro fabricante, escribe AD FS con adaptador de otro fabricante en el cuadro 1f de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, tienes dos opciones de autenticación de segundo factor. Debes usar Windows Server 2016 AD FS con el servidor de Azure MFA local que elijas o con un adaptador MFA de otro fabricante.

Si decides usar AD FS con el adaptador de servidor de Azure MFA, escribe AD FS con adaptador de servidor de Azure MFA en el cuadro 1f de la hoja de cálculo de planificación. Si decides usar AD FS con el adaptador MFA de otro fabricante, escribe AD FS con adaptador de otro fabricante en el cuadro 1f de la hoja de cálculo de planificación.

Administración

Windows Hello para empresas ofrece a las organizaciones muchas opciones de configuración de directiva y un control pormenorizado sobre cómo estas opciones de configuración pueden aplicarse a usuarios y equipos. El tipo de administración de directivas que puedes usar depende de la implementación seleccionada y los modelos de confianza.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, escribe N/A en el cuadro 2a de la hoja de cálculo de planificación. Tienes la opción de administrar dispositivos que no estén unidos a un dominio. Si decides administrar dispositivos unidos a Azure Active Directory, escribe administración moderna en el cuadro 2b de la hoja de cálculo de planificación. De lo contrario, escribe ** N/A** en el cuadro 2b.

Nota

Los dispositivos unidos a Azure Active Directory sin administración moderna se inscriben automáticamente en Windows Hello para empresas con la configuración de directiva predeterminada. Usa la administración moderna para ajustar la configuración de directiva para que coincida con las necesidades empresariales de la organización.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, escribe GP en el cuadro 2a de la hoja de cálculo de planificación. Escribe N/A en el cuadro 2b de la hoja de cálculo.

En la administración de las implementaciones híbridas se incluyen dos categorías de dispositivos que han de tenerse en cuenta para la implementación de Windows Hello para empresas: unidos a un dominio y no unidos a un dominio. Todos los dispositivos están registrados, sin embargo, no todos los dispositivos están unidos a un dominio. Tienes la posibilidad de usar la directiva de grupo para dispositivos unidos a un dominio y la administración moderna para dispositivos no unidos a un dominio. O bien, puedes usar la administración moderna para dispositivos unidos a un dominio y dispositivos no unidos a un dominio.

Si usas Directiva de grupo para administrar los dispositivos unidos a tu dominio, escribe GP en cuadro 2a de la hoja de cálculo de planificación. Escribe administración moderna en el cuadro 2b si decides administrar dispositivos no unidos al dominio; de lo contrario, escribe N/D.

Si usas la administración moderna para dispositivos unidos a un dominio y dispositivos no unidos a un dominio, escribe administración moderna en el cuadro 2a y 2b en la hoja de cálculo de planificación.

Cliente

Windows Hello para empresas es una característica exclusiva de Windows 10 y Windows 11. Algunas implementaciones y características están disponibles con versiones anteriores de Windows 10. Otras necesitan las versiones más recientes.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, escribe N/A en el cuadro 3a de la hoja de cálculo de planificación. También puedes escribir 1511 o posterior en el cuadro 3b de la hoja de cálculo de planificación si tienes previsto administrar dispositivos no unidos a un dominio.

Nota

Los dispositivos unidos a Azure Active Directory sin administración moderna se inscriben automáticamente en Windows Hello para empresas con la configuración de directiva predeterminada. Usa la administración moderna para ajustar la configuración de directiva para que coincida con las necesidades empresariales de la organización.

Escribe 1511 o posterior en el cuadro 3a de la hoja de cálculo de planificación si se cumple alguna de las siguientes opciones.

  • El cuadro 2a de la hoja de cálculo de planificación muestra administración moderna.
    • También puedes escribir 1511 o posterior en el cuadro 3b de la hoja de cálculo de planificación si tienes previsto administrar dispositivos no unidos a un dominio.
  • El cuadro 1a de la hoja de cálculo de planificación muestra híbrida, el cuadro 1b muestra clave de confianza y el cuadro 2a muestra GP. Opcionalmente, puede escribir *1511 o posterior en el cuadro 3b de la hoja de cálculo de planeación si tiene previsto administrar dispositivos que no están unidos a un dominio.

Escribe 1703 o posterior en el cuadro 3a de la hoja de cálculo de planificación si se cumple alguna de las siguientes opciones.

  • El cuadro 1a de la hoja de cálculo de planificación muestra local.
    Escribe N/A en el cuadro 3b de la hoja de cálculo de planificación.
  • El cuadro 1a de la hoja de cálculo de planificación muestra híbrida, el cuadro 1b muestra certificado de confianza y el cuadro 2a muestra GP.
    • También puedes escribir 1511 o posterior en el cuadro 3b de la hoja de cálculo de planificación si tienes previsto administrar dispositivos no unidos a un dominio.

Active Directory

La parte de Active Directory de la guía de planificación debe completarse. La mayoría de las condiciones son requisitos previos de base de referencia, excepto los controladores de dominio. Los controladores de dominio que se usan en la implementación se deciden en función del tipo de confianza elegida.

Revisa la parte dedicada al tipo de confianza de esta sección si el cuadro 4d de la hoja de cálculo de planificación permanece vacía.

Infraestructura de clave pública

Los requisitos previos de la infraestructura de clave pública ya existen en la hoja de cálculo de planificación. Estas condiciones son los requisitos mínimos para todas las implementaciones locales o híbridas. Pueden ser necesarias condiciones adicionales en función del tipo de confianza.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube, pasa por alto la sección de infraestructura de clave pública de la hoja de cálculo de planificación. Las implementaciones solo en la nube no usan una infraestructura de clave pública.

Si el cuadro 1b de la hoja de cálculo de planificación muestra clave de confianza, escribe N/A en el cuadro 5b de la hoja de cálculo de planificación. La confianza de clave no requiere ningún cambio en la infraestructura de clave pública, omita esta parte y vaya a la sección Nube .

La entidad de registro solo está relacionada con las implementaciones de certificados de confianza y la administración usada para dispositivos unidos y no unidos a un dominio. Los dispositivos unidos a la implementación híbrida de Azure AD administrador por la directiva de grupo necesitan el rol de AD FS de Windows Server 2016 para emitir certificados. Los dispositivos unidos a la implementación híbrida de Azure AD y los dispositivos unidos a Azure AD administrados por Intune o una solución MDM compatible necesitan el rol de servidor Windows Server NDES para emitir certificados.

Si el cuadro 2a muestra GP y el cuadro 2b muestra administración moderna, escribe AD FS RA y NDES en el cuadro 5b de la hoja de cálculo de planificación. En el cuadro 5c, escribe los siguientes nombres de plantillas de certificado y emisiones:

Nombre de plantilla de certificado Emitido para
Agente de inscripción de Exchange AD FS RA
Servidor web AD FS RA
Agente de inscripción de Exchange NDES
Servidor web NDES
Cifrado CEP NDES

Si el cuadro 2a lee GP y el cuadro 2b lee N/A, escriba AD FS RA en el cuadro 5b y escriba los siguientes nombres y emisiones de plantillas de certificado en el cuadro 5c de la hoja de cálculo de planeación.

Nombre de plantilla de certificado Emitido para
Agente de inscripción de Exchange AD FS RA
Servidor web AD FS RA

Si el cuadro 2a o 2b muestra la opción administración moderna, escribe NDES en el cuadro 5b y escribe los siguientes nombres de plantilla de certificado y emisiones en el cuadro 5c de la hoja de cálculo de planificación.

Nombre de plantilla de certificado Emitido para
Agente de inscripción de Exchange NDES
Servidor web NDES
Cifrado CEP NDES

Nube

Casi todas las implementaciones de Windows Hello para empresas requieren una cuenta de Azure.

Si el cuadro 1a de la hoja de cálculo de planificación muestra solo en la nube o híbrida, escribe en los cuadros 6a y 6b de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local y el cuadro 1f muestra AD FS con adaptador de otro fabricante, escribe No en el cuadro 6a de la hoja de cálculo de planificación. De lo contrario, escribe en el cuadro 6a, ya que necesitas una cuenta de Azure para la facturación de MFA por consumo. Escribe No en el cuadro 6b de la hoja de cálculo de planificación; las implementaciones locales no usan el directorio en la nube.

Windows Hello para empresas no requiere una suscripción a Azure AD Premium. Sin embargo, algunas dependencias, como la inscripción automática mdma y el acceso condicional sí lo hacen.

Si el cuadro 1a de la hoja de cálculo de planificación muestra local, escribe No en el cuadro 6c de la hoja de cálculo de planificación.

Si el cuadro 1a de la hoja de cálculo de planificación muestra híbrida el cuadro 1b muestra clave de confianza, escribe No en el cuadro 6c de la hoja de cálculo de planificación. Puede implementar Windows Hello para empresas mediante el Azure Active Directory nivel gratuito. Todas Azure Active Directory cuentas gratuitas pueden usar Azure AD multifactor authentication mediante el uso de valores predeterminados de seguridad. Algunas Azure AD de autenticación multifactor requieren una licencia. Para obtener más información, vea Características y licencias para la Azure AD multifactor authentication.

Si el cuadro 5b de la hoja de cálculo de planificación muestra AD FS RA, escribe en el cuadro 6c de la hoja de cálculo de planificación. La inscripción de un certificado mediante la entidad de registro de AD FS requiere que los dispositivos se autentiquen en el servidor de AD FS, lo que requiere la escritura de dispositivos, una característica Azure AD Premium usuario.

Los dispositivos administrados modernos no requieren una suscripción a Azure AD Premium. Al renunciar a la suscripción, los usuarios deben inscribir manualmente los dispositivos en el software de administración moderna, como por ejemplo, Intune o una solución MDM compatible de otro fabricante.

Si los cuadros 2a o 2b muestran administración moderna y quieres que los dispositivos se inscriban automáticamente en el software de administración moderna, escribe Yes en el cuadro 6c de la hoja de cálculo de planificación. De lo contrario, escribe No en el cuadro 6c.

Enhorabuena, has terminado

La hoja de cálculo de planificación de Windows Hello para empresas debe haberse completado. En esta guía se explican los componentes que se usan en la infraestructura de Windows Hello para empresas y el motivo de por qué se usan. La hoja de cálculo te ofrece una visión general de los requisitos necesarios para continuar con la siguiente fase de la implementación. Con esta hoja de cálculo, podrá identificar elementos clave de la implementación Windows Hello para empresas.