Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe la clave de acceso de Microsoft Entra en Windows. Explica cómo funcionan, cómo difieren de Windows Hello para empresas y cómo configurar perfiles de clave de acceso para permitir Windows Hello como proveedor de claves de acceso.
Visión general
La clave de acceso de Microsoft Entra en Windows permite a los usuarios registrar claves de acceso (FIDO2) directamente en el contenedor local de Windows Hello de su dispositivo y usarlos para iniciar sesión en microsoft Entra ID. La clave de acceso de Microsoft Entra en Windows permite el inicio de sesión resistente a la suplantación de identidad (phishing) mediante una biométrica o un PIN de Windows Hello sin necesidad de que el dispositivo esté unido a Microsoft Entra o registrado.
Mediante el uso de la clave de acceso de Microsoft Entra en Windows:
- Los usuarios pueden registrar claves de acceso (FIDO2) en el contenedor local de Windows Hello.
- No es necesario que los dispositivos se unan o se registren en Microsoft Entra para usar una clave de acceso local de Windows.
- Un único equipo Windows puede almacenar varias claves de acceso para varias cuentas de Microsoft Entra.
- Las claves de acceso (FIDO2) registradas en Windows Hello se rigen por las directivas de contraseña de Microsoft Entra (FIDO2) y los perfiles de clave de acceso.
Funcionamiento de la clave de acceso de Microsoft Entra en Windows
Windows Hello actúa como un contenedor seguro de credenciales locales en dispositivos Windows. El contenedor está protegido por la comprobación de presencia del usuario, como:
- PIN
- Huella digital
- Reconocimiento facial
La clave de acceso de Microsoft Entra en Windows permite crear y almacenar claves de acceso (FIDO2) dentro de este contenedor de Windows Hello y usarse para la autenticación en el id. de Microsoft Entra.
Este comportamiento también se aplica cuando el dispositivo se rige por las directivas de Windows Hello para empresas configuradas a través de Microsoft Intune. Sin embargo, las claves de acceso (FIDO2) son distintas de las credenciales de Windows Hello para empresas que se pueden registrar automáticamente durante el registro de dispositivos en microsoft Entra ID.
Comparación de la clave de acceso de Microsoft Entra en Windows con Windows Hello para empresas
Aunque ambas características usan Windows Hello, microsoft Entra passkey en Windows y Windows Hello para empresas tienen diferentes propósitos y comportamientos.
Windows Hello para empresas
- Las credenciales de Windows Hello para empresas se aprovisionan automáticamente en algunos dispositivos unidos o registrados de Microsoft Entra durante el registro de dispositivos.
- La credencial solo está vinculada a la cuenta de Microsoft Entra que se usa para registrar el dispositivo.
- Las credenciales de Windows Hello para empresas son claves de acceso mediante un protocolo de primera entidad (1P), pero no claves de acceso FIDO2.
- Windows Hello para empresas habilita el inicio de sesión del dispositivo mediante el reconocimiento facial, la huella digital o el PIN protegidos por Windows Hello.
- Windows Hello para empresas proporciona el inicio de sesión único (SSO) en los recursos integrados de Microsoft Entra después del inicio de sesión del dispositivo.
- Windows Hello para empresas es principalmente un método de inicio de sesión enlazado al dispositivo vinculado a la confianza del dispositivo.
- El registro y la autenticación no están controlados por la política de métodos de autenticación con clave de acceso de Microsoft Entra (FIDO2).
Clave de acceso de Microsoft Entra en Windows
- Clave de paso de Microsoft Entra en Windows es una clave de paso FIDO2.
- Se pueden registrar sin unión al dispositivo ni registro.
- Los usuarios pueden registrar varias claves de acceso para varias cuentas de Microsoft Entra en el mismo dispositivo.
- El registro y la autenticación se administran mediante la directiva Passkey (FIDO2) en métodos de autenticación de Microsoft Entra ID.
- No se pueden usar para el inicio de sesión en dispositivos.
Nota:
Si está en un dispositivo registrado de Microsoft Entra o unido a Microsoft Entra, la configuración de Windows Hello podría registrar automáticamente una credencial de Windows Hello para empresas para la cuenta vinculada del dispositivo. Si después intenta registrar una clave de acceso en Windows para esa misma cuenta, se produce un error en el registro porque ya existe la credencial de Windows Hello para empresas. Al reintentar, verá un error que indica que la clave de acceso ya está registrada.
| Feature | Clave de acceso de Microsoft Entra en Windows | Windows Hello para empresas |
|---|---|---|
| Base estándar | FIDO2 | FIDO2 para la autenticación, protocolo de primera parte (1P) para el inicio de sesión de dispositivos. |
| Registro | Iniciado por el usuario, no requiere la unión al dispositivo ni el registro. | Aprovisionado automáticamente en algunos dispositivos unidos o registrados de Microsoft Entra durante el registro de dispositivos |
| Inicio de sesión de dispositivo e inicio de sesión único (SSO) | N/A | Habilita el inicio de sesión del dispositivo y el inicio de sesión único en los recursos integrados de Microsoft Entra después del inicio de sesión del dispositivo |
| Tipo de clave de acceso | Enlazado al dispositivo | Enlazado al dispositivo |
| Vinculación de credenciales | Enlazado al dispositivo y almacenado en el contenedor local de Windows Hello. Los usuarios pueden registrar varias claves de acceso para varias cuentas profesionales o educativas en el mismo dispositivo. | Principalmente, es un método de inicio de sesión que se relaciona con la confianza en el dispositivo. La credencial solo está vinculada a la cuenta profesional o educativa que se usa para registrar el dispositivo. |
| Administración | Directiva de métodos de autenticación de Microsoft Entra ID | Microsoft Intune Directiva de grupo |
Soporte para atestación
La atestación no es compatible con la clave de acceso de Microsoft Entra en Windows. Como resultado, si Enforce attestation está seleccionado en un perfil de clave de acceso, se producirá un error en los intentos de registro de clave de acceso Windows Hello.
GUID de la atestación del autenticador de clave de acceso de Windows Hello compatibles (AAGUIDs)
Durante la versión preliminar pública, las claves de acceso de Windows Hello se identifican y controlan mediante los siguientes AAGUID. Estos AAGUIDs deben estar permitidos explícitamente en un perfil de clave de acceso para habilitar el registro.
| Autenticador de Windows Hello | AAGUID | Description |
|---|---|---|
| Autenticador de hardware de Windows Hello | 08987058-cadc-4b81-b6e1-30de50dcbe96 | Clave privada almacenada en un módulo de plataforma segura (TPM) basado en hardware. |
| Autenticador de hardware VBS de Windows Hello | 9ddd1817-af5a-4672-a2b9-3e3dd95000a9 | La seguridad basada en virtualización (VBS) usa la virtualización de hardware y el hipervisor de Windows para almacenar claves privadas en el TPM de la máquina host. |
| Autenticador de software de Windows Hello | 6028b017-b1d4-4c02-b4b3-afcdafc96bb2 | Clave privada almacenada en un TPM basado en software. |
Estos AAGUID representan proveedores de claves de acceso de Windows Hello y se usan en perfiles de clave de acceso para permitir o bloquear el registro.
Configuración de claves de acceso en Windows
Para habilitar el registro, debe cumplir todos los siguientes requisitos previos y requisitos de configuración.
Prerrequisitos
- Windows 10 o Windows 11
- El dispositivo debe admitir Windows Hello
Configuración necesaria
- No se puede seleccionar Exigir atestación.
- Los tipos de clave de acceso deben incluir Vinculadas al dispositivo.
Ejemplo: Permitir claves de paso de Microsoft Authenticator y Windows Hello
Puede especificar AAGUID concretos para controlar qué autenticadores pueden registrar los usuarios. En este ejemplo, el perfil de clave de acceso permite claves de paso en Windows o Microsoft Authenticator.
Para configurar este perfil:
Seleccione AAGUID específicos de destino.
Establezca Comportamiento en Permitir.
En Modelo/Proveedor AAGUIDs, agregue los AAGUID para Microsoft Authenticator y Windows Hello:
Autenticador AAGUID Microsoft Authenticator para Android de1e552d-db1d-4423-a619-566b625cdc84 Microsoft Authenticator para iOS 90a3ccdf-635c-4729-a248-9b709135078f Autenticador de hardware de Windows Hello 08987058-cadc-4b81-b6e1-30de50dcbe96 Autenticador de hardware VBS de Windows Hello 9ddd1817-af5a-4672-a2b9-3e3dd95000a9 Autenticador de software de Windows Hello 6028b017-b1d4-4c02-b4b3-afcdafc96bb2
Con esta configuración, los usuarios pueden registrar claves de acceso con Microsoft Authenticator o con Windows Hello en Windows porque ambos conjuntos de AAGUID están en la lista de permitidos.
Ejemplo: Permitir solo autenticadores de hardware Windows Hello
También puede tener como destino AAGUID específicos para requerir claves de acceso de Windows Hello respaldadas por hardware. En este ejemplo, un perfil de clave de acceso de alta garantía solo permite los autenticadores de hardware de Windows Hello y no permite el autenticador de software de Windows Hello.
Para configurar esta restricción:
- Seleccione AAGUID específicos de destino.
- Establezca Comportamiento en Permitir.
- En Model/Provider AAGUIDs (Modelo/Proveedor AAGUIDs), agregue los AAGUID para Windows Hello Hardware Authenticator y Windows Hello VBS Hardware Authenticator.
Con esta configuración, los usuarios solo pueden registrar claves de acceso en Windows cuando su dispositivo es compatible con Windows Hello basado en hardware. Dado que el Windows Hello Software Authenticator AAGUID no está en la lista de permitidos, se bloquean los registros de solo software.
Preguntas más frecuentes
Pregunta: ¿Cuál es el caso de uso de la clave de acceso de Microsoft Entra en Windows?
Respuesta: Use la clave de acceso de Microsoft Entra en Windows cuando:
- Quiere que las claves de acceso (FIDO2) se almacenen localmente en Windows.
- Los usuarios acceden a varias cuentas de Microsoft Entra desde un único equipo.
- Quiere un inicio de sesión resistente a la suplantación de identidad (phishing), basado en estándares, en Microsoft Entra desde dispositivos personales, compartidos o no registrados.
Pregunta: ¿Microsoft Entra passkey en Windows reemplaza Windows Hello para empresas?
Respuesta: No. Microsoft Entra passkey en Windows no reemplaza Windows Hello para empresas. Windows Hello para empresas sigue siendo la solución recomendada para iniciar sesión en dispositivos administrados corporativos, unidos a Microsoft Entra o registrados. Microsoft Entra passkey en Windows complementa Windows Hello para empresas habilitando claves de acceso (FIDO2) en Windows en escenarios en los que los dispositivos no están unidos o registrados. Microsoft Entra passkey en Windows no admite el inicio de sesión del dispositivo.
Nota:
Los usuarios no pueden registrar una clave de acceso en Windows si ya existe una credencial de Windows Hello para empresas para la misma cuenta y contenedor. Es posible que este bloque no se aplique una vez que el usuario supere los 50 credenciales totales de la plataforma.
Pregunta: ¿Se sincronizan las claves de paso de Microsoft Entra?
Respuesta: No. La clave de acceso de Microsoft Entra en Windows está enlazada al dispositivo y se almacena en el contenedor local de Windows Hello. No se sincroniza entre dispositivos. Cada dispositivo requiere un registro de clave de acceso independiente para cada cuenta de Microsoft Entra.