Guía de implementación de confianza de certificados híbridos
En este artículo se describen las funcionalidades o escenarios de Windows Hello para empresas que se aplican a:
- Tipo de implementación:
- Tipo de confianza:.
- Tipo de combinación:a los que se une Microsoft Entra, mientras y Active Directory.
Importante
La confianza de Kerberos en la nube de Windows Hello para empresas es el modelo de implementación recomendado en comparación con el modelo de confianza clave. También es el modelo de implementación recomendado si no es necesario implementar certificados en los usuarios finales. Para obtener más información, consulte Implementación de confianza de Kerberos en la nube.
Requisitos
Antes de iniciar la implementación, revise los requisitos descritos en el artículo Planeamiento de una implementación de Windows Hello para empresas .
Asegúrese de que se cumplen los siguientes requisitos antes de comenzar:
Pasos de implementación
Una vez cumplidos los requisitos previos, la implementación de Windows Hello para empresas consta de los pasos siguientes:
Autenticación federada en Microsoft Entra ID
La confianza de certificados híbridos de Windows Hello para empresas requiere que Active Directory se federe con el identificador de Microsoft Entra mediante AD FS. También debe configurar la granja de AD FS para admitir dispositivos registrados en Microsoft Entra.
Si no está familiarizado con AD FS y los servicios de federación:
- Revisión de los conceptos clave de AD FS antes de implementar la granja de AD FS
- Revise la guía de diseño de AD FS para diseñar y planear el servicio de federación.
Una vez que tenga el diseño de AD FS listo, revise la implementación de una granja de servidores de federación para configurar AD FS en su entorno.
El conjunto de AD FS utilizado con Windows Hello para empresas debe ser Windows Server 2016 con una actualización mínima de KB4088889 (14393.2155).
Registro de dispositivos y reescritura de dispositivos
Los dispositivos Windows deben estar registrados en Microsoft Entra ID. Los dispositivos se pueden registrar en Microsoft Entra ID mediante la unión a Microsoft Entra o la unión híbrida de Microsoft Entra.
En el caso de los dispositivos unidos a Microsoft Entra híbrido, revise las instrucciones de la página de implementación de la implementación de la unión híbrida de Microsoft Entra .
Consulte la guía Configurar la unión híbrida de Microsoft Entra para dominios federados para obtener más información sobre el uso de Microsoft Entra Connect Sync para configurar el registro de dispositivos Microsoft Entra.
Para obtener una configuración manual de la granja de SERVIDORES de AD FS para admitir el registro de dispositivos, revise la Guía de registro de dispositivos Configurar AD FS para Microsoft Entra .
Las implementaciones de confianza de certificados híbridos requieren la característica de reescritura del dispositivo . La autenticación en AD FS necesita tanto el usuario como el dispositivo para autenticarse. Por lo general, los usuarios se sincronizan, pero no los dispositivos. Esto impide que AD FS autentique el dispositivo y da como resultado errores de inscripción de certificados de Windows Hello para empresas. Por este motivo, las implementaciones de Windows Hello para empresas necesitan reescritura de dispositivos.
Nota
Windows Hello para empresas está vinculado entre un usuario y un dispositivo. Tanto el usuario como el dispositivo deben sincronizarse entre Microsoft Entra ID y Active Directory. La escritura diferida del dispositivo se usa para actualizar el msDS-KeyCredentialLink
atributo en el objeto de equipo.
Si configuró MANUALMENTE AD FS o si ejecutó Microsoft Entra Connect Sync mediante configuración personalizada, debe asegurarse de configurar la escritura diferida del dispositivo y la autenticación del dispositivo en la granja de AD FS. Para obtener más información, vea Configurar la escritura diferida de dispositivos y la autenticación de dispositivos.
Infraestructura de clave pública
Se requiere una infraestructura de clave pública (PKI) empresarial como delimitador de confianza para la autenticación. Los controladores de dominio requieren un certificado para que los clientes de Windows confíen en ellos.
La PKI empresarial y una entidad de registro de certificados (CRA) son necesarias para emitir certificados de autenticación a los usuarios. La implementación de confianza de certificados híbridos usa AD FS como CRA.
Durante el aprovisionamiento de Windows Hello para empresas, los usuarios reciben un certificado de inicio de sesión a través de la CRA.
Pasos siguientes
Una vez cumplidos los requisitos previos, la implementación de Windows Hello para empresas con un modelo de confianza de clave híbrida consta de los siguientes pasos:
- Configuración y validación de la PKI
- Configurar AD FS
- Establecer la configuración de Windows Hello para empresas
- Aprovisionamiento de Windows Hello para empresas en clientes Windows
- Configuración del inicio de sesión único (SSO) para dispositivos unidos a Microsoft Entra