¿Hay alguna manera de usar Azure MFA (usando la aplicación Authenticator) para los inicios de sesión de escritorio de Windows 10? El objetivo es que los usuarios, que inician sesión en una PC de dominio, necesitan autenticarse a través de la aplicación Microsoft Authenticator para cada inicio de sesión en la PC. Sé que hay una pregunta similar que tiene dos años. Dice que no era posible en ese momento. De lo contrario, hay artículos que dicen que es posible usar Azure Hybrid Join. Nuestro entorno de dominio consta de 50 PC de dominio. Tenemos nuestros usuarios de AD sincronizados con Azure, pero aún no con las PC. ¿Cuál es la mejor manera de lograr el objetivo? ¿Es eso posible? ¡Gracias por tu ayuda!

answer

La solución dependería tanto del tipo de cuenta de usuario como del tipo de dispositivo.

Cuentas de Microsoft (personales)

Actualmente, solo las cuentas personales de Microsoft (p. ej., @outlook.com) son totalmente compatibles con el inicio de sesión sin contraseña en Windows 10/11 mediante la aplicación Authenticator.

Cuentas de Azure AD (profesionales o educativas) en dispositivos unidos a Azure AD

Hay una característica que se llama inicio de sesión web y permite iniciar sesión en Windows usando la cuenta de Azure AD y la aplicación Authenticator. Desafortunadamente, solo se admite en dispositivos unidos a Azure AD, pero no en PC híbridas. Además, actualmente se encuentra en vista previa sin un ETA claro, por lo que es posible que aún no esté listo para la producción.

Cuenta de Azure AD o cuenta de AD en un dispositivo de dominio o dispositivo híbrido unido a AAD híbrido

Todavía puede lograr un inicio de sesión sin contraseña para cuentas de dominio (híbrido o local) usando Windows Hello for Business (WHfB) a través del PIN del dispositivo, datos biométricos, tarjeta inteligente o clave FIDO2. La aplicación de autenticación no es compatible con este escenario. Básicamente, WHfB reemplaza el inicio de sesión con nombre de usuario y contraseña en Windows con una fuerte autenticación de usuario basada en un par de claves asimétricas. Se pone un poco complicado desde aquí. Por ejemplo, WHfB NO es lo mismo que Windows Hello, aunque tiene exactamente las mismas palabras (lo sé, cierto). La implementación puede complicarse según su entorno actual. Se puede encontrar más información en la guía de implementación oficial