Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Windows Hello para empresas resulta muy conveniente para los trabajadores de la información que tienen su propio equipo con Windows designado. Las credenciales biométricas y de PIN están directamente vinculadas al equipo del usuario, lo que impide el acceso de cualquier persona que no sea el propietario. Con la integración de la infraestructura de clave pública (PKI) y la compatibilidad integrada con el inicio de sesión único (SSO), Windows Hello para empresas proporciona un método práctico para acceder sin problemas a los recursos corporativos locales y en la nube.
Cómo funciona el inicio de sesión para Windows Hello para empresas en el identificador de Microsoft Entra
En los pasos siguientes se muestra cómo funciona el proceso de inicio de sesión con Microsoft Entra ID:
- Un usuario inicia sesión en Windows mediante gestos de PIN o de información biométrica. El gesto desbloquea la clave privada de Windows Hello for Business y se envía al proveedor de soporte de seguridad Cloud Authentication, denominado Cloud Authentication Provider (CloudAP). Para obtener más información sobre CloudAP, consulte ¿Qué es un token de refresco primario?.
- CloudAP solicita una clave nonce (un número arbitrario aleatorio que se puede usar una vez) de Microsoft Entra ID.
- Microsoft Entra ID devuelve una clave nonce que es válida durante 5 minutos.
- El proveedor de punto de acceso de nube firma el valor nonce con la clave privada del usuario y devuelve el valor nonce firmado a Azure AD.
- Microsoft Entra ID valida la clave nonce firmada con la clave pública del usuario registrada de forma segura en la firma de la clave nonce. Microsoft Entra ID valida la firma y, a continuación, valida la clave nonce firmada devuelta. Tras validar la clave nonce, Microsoft Entra ID crea un token de actualización principal (PRT) con la clave de sesión que se cifra con la clave de transporte del dispositivo y lo devuelve a CloudAP.
- El CloudAP recibe el PRT cifrado con la clave de sesión. El CloudAP utiliza la clave de transporte privada del dispositivo para descifrar la clave de sesión, y protege la clave de sesión utilizando el Trusted Platform Module (TPM) del dispositivo.
- CloudAP devuelve a Windows una respuesta de autenticación correcta. A continuación, el usuario puede acceder a Windows y a las aplicaciones en la nube y locales mediante el inicio de sesión continuo (SSO).
La guía de planeación de Windows Hello para empresas se puede usar para ayudarle a tomar decisiones sobre el tipo de implementación de Windows Hello para empresas y las opciones que debe tener en cuenta.