¿Necesitas que el PIN de Windows Hello se renueve de forma periódica para cumplir una política de caducidad similar a la de las contraseñas? A continuación encontrarás una guía exhaustiva, paso a paso, para configurar la expiración del PIN mediante Microsoft Intune y las opciones que ofrece Azure AD, incluidos consejos de seguridad, solución de problemas y preguntas frecuentes.
Resumen de la pregunta
La organización requiere que el PIN de Windows Hello de sus usuarios venza después de un periodo determinado (por ejemplo, cada 45 días) con el fin de alinearse con sus normativas internas de seguridad. ¿Dónde y cómo se define ese periodo de expiración usando las herramientas de administración de Microsoft 365?
Comprender Windows Hello y la caducidad del PIN
Windows Hello for Business introduce un modelo de autenticación fuerte que combina credenciales vinculadas al hardware (TPM) con factores biométricos u objetos de conocimiento, como el PIN. A diferencia de las contraseñas, el PIN:
- Se almacena y verifica localmente en el dispositivo.
- Está protegido por la clave privada generada en el módulo TPM.
- Puede combinarse con biometría (rostro, huella) para un segundo factor.
Por estas razones, Microsoft recomienda no forzar su cambio con la misma frecuencia que las contraseñas. Sin embargo, regulaciones internas o certificaciones (ISO 27001, ENS, NIST 800‑63, etc.) pueden exigir la caducidad.
Requisitos previos y consideraciones
- Licencias: Intune Plan 1 o Microsoft 365 E3/E5 (o equivalente Education/Business Premium).
- Dispositivos Windows 10 21H2 o Windows 11 23H2, unidos a Azure AD o híbridos.
- TPM 2.0 activado y aprovisionado.
- Permisos de Intune Administrator o Global Administrator.
Ten en cuenta las políticas locales (Group Policy) si gestionas máquinas híbridas; las directivas de GPO aplicadas sobre objetos de equipo pueden sobrescribir la configuración entregada por Intune.
Acceso al Centro de administración de Intune
- Inicia sesión en https://intune.microsoft.com con credenciales con permisos de administrador.
- Selecciona Dispositivos ▸ Enroll devices ▸ Windows enrollment.
- Haz clic en Windows Hello for Business. Si tu arrendatario aún no lo tiene activado, pulsa Enable.
Creación o edición de la directiva de Windows Hello for Business
Existen dos enfoques:
- Directiva global (tenant‑wide). Se configura desde la sección anterior y se aplica a todos los dispositivos inscritos, independientemente de su grupo.
- Perfiles de configuración. Se crean en Endpoint security ▸ Account protection o en Devices ▸ Configuration profiles. Permiten segmentar por grupos de dispositivos o usuarios para granularidad adicional. Requieren deshabilitar la opción “Use configuration profile settings” en la política global.
Configuración detallada de la expiración del PIN
Una vez dentro de la política (global o perfil):
- Busca la sección PIN.
- Localiza el parámetro PIN expiration (days).
- Introduce el número de días deseado. El valor por defecto es 41; el rango permitido normalmente va de 1 a 730 días.
- Establece 0 si deseas deshabilitar la caducidad.
- Guarda los cambios con Save y espera a que Intune propague la configuración.
| Propiedad | Descripción | Valores recomendados |
|---|---|---|
| PIN length | Número mínimo de dígitos | 6 – 8 para entornos normales, 10 para alta seguridad |
| PIN complexity | Permite caracteres especiales y letras | Activada sólo si conviene a la norma interna |
| PIN expiration (days) | Intervalo de caducidad | 45 días (alineado con contraseñas) o 0 si no se requiere |
| History size | Cantidad de PINs recordados para evitar repetición | 5 – 10 |
| Allow biometric | Habilita Windows Hello biométrico | Recomendado: Sí |
| Enhanced anti‑spoofing | Protección contra suplantación en sensores de rostro | Recomendado: Sí |
Pruebas y validación en dispositivos Windows 10/11
Para comprobar que la expiración se aplica correctamente:
- En el dispositivo, ejecuta
dsregcmd /statusy verifica que el estado sea AzureAdJoined = YES y que Intune MDM esté habilitado. - Abre Configuración ▸ Cuentas ▸ Opciones de inicio de sesión. Debes ver la fecha de expiración del PIN en el vínculo Cambiar. Si el periodo está cerca de cumplirse, Windows te pedirá actualizar el PIN al desbloquear.
- Revisa el Event Viewer: Microsoft‑Windows‑User Device Registration/Admin y Microsoft‑Windows‑HelloForBusiness‑Auth/Operational para confirmar la recepción de la directiva.
- En Intune ↦ Dispositivos ▸ All devices ▸ Policies, asegúrate de que el perfil muestre Compliant o Succeeded.
Buenas prácticas y recomendaciones de seguridad
- No abuses de la expiración. Un periodo demasiado corto fomenta la reutilización de PINs triviales y reduce la usabilidad.
- Combina con biometría. Obligar a que, además del PIN, se use rostro o huella refuerza el MFA local.
- Audita con Azure AD Sign‑in Logs. Verifica accesos que usen credenciales FIDO o Windows Hello y detecta patrones anómalos.
- Define exclusiones para cuentas de servicio o dispositivos compartidos que no admitan TPM.
Escenarios avanzados
Aplicar diferentes caducidades por departamento
Crea grupos AAD dinámicos (por ejemplo, Finance‑Devices, R&D‑Devices) y asigna perfiles de configuración separados con valores distintos en PIN expiration.
Configuración OMA‑URI para granularidad detallada
Si necesitas exponer un ajuste que todavía no se refleja en la interfaz gráfica, añade un perfil de tipo Custom con la ruta:
./Vendor/MSFT/PassportForWork/Policies/Pin/Expiration
y asigna un valor DWORD en días.
Coexistencia con políticas locales
Cuando un equipo está unido a dominio y recibe GPO, la prioridad es:
- Política local (gpedit.msc).
- GPO de dominio.
- Intune MDM.
Elimina o deshabilita la GPO Use Windows Hello for Business para evitar conflictos.
Resolución de problemas comunes
- El usuario no recibe la notificación de cambio: comprueba que el dispositivo haya sincronizado con Intune en la última hora. Ejecuta
Get‑MdmStatusen PowerShell. - PIN expiration no aparece en Configuración: verifica que Personalization CSP no esté bloqueando la UI.
- Error 0x801C0451 al registrar Windows Hello: indica TPM no inicializado; reinicia y borra el chip TPM desde UEFI o
tpm.mscantes de reprovisionar.
Preguntas frecuentes
¿La expiración aplica de inmediato? Solo a partir de la próxima autenticación exitosa y una vez que el dispositivo procese la política de Intune (normalmente en menos de 8 horas).
¿El PIN puede reutilizarse? Dependerá de la configuración History size. Si se define en 5, los últimos cinco PINs se bloquearán.
¿Se puede forzar a los usuarios a cambiar el PIN en el próximo inicio? No directamente. Debes reducir temporalmente PIN expiration a 1 día, sincronizar y, una vez cambiado, restaurar el valor deseado.
¿Qué ocurre si el dispositivo no tiene TPM? Windows Hello for Business y la expiración de PIN pueden funcionar con software‑based key, pero Microsoft desaconseja esta configuración en producción.
¿Existe un informe para ver quién ha cambiado el PIN? En el Centro de administración de Microsoft 365, filtra los Sign‑in logs por Authentication requirement = Windows Hello y revisa el parámetro Auth method.
Conclusión
Configurar la expiración del PIN de Windows Hello en Intune combina la robustez del inicio de sesión moderno con la flexibilidad de los controles de cumplimiento. Aunque Microsoft aconseja no rotar el PIN con la misma frecuencia que la contraseña, la funcionalidad existe y puede alinearse con políticas corporativas exigentes. Con una planeación adecuada —licenciamiento correcto, gestión de conflictos entre GPO e Intune y pruebas piloto—, tu organización puede adoptar una postura de seguridad coherente sin sacrificar la experiencia de usuario.