Microsoft Passport

Microsoft Passport combina una autenticación fuerte basada en un dispositivo gestionado y Windows Hello con identificación biométrica (o un código PIN). Los usuarios pueden autenticarse con una cuenta Microsoft (Hotmail, Windows Live, etc.), una cuenta de un dominio Active Directory, una cuenta presente en el modelo PaaS (Platform as a Service) de Active Directory Azure o un servicio que soporte el modelo FIDO (Fast IDentity Online).

Una vez que el usuario ha introducido sus datos de identificación estándar basada en nombre de usuario y contraseña, es redirigido de forma automática a la página de configuración de su cuenta Microsoft Passport unida a Windows Hello. A partir de entonces, no le será requerida ninguna contraseña; solo serán necesarios un código PIN y su cara/iris/huella digital.

Este método de autenticación requiere de forma predeterminada una tarjeta TPM versión 1.2 o 2.0.

La primera etapa consiste en crear una directiva Passport en la que el empleo de Passport se establecerá como obligatorio, detallando la complejidad del código PIN confidencial (longitud mínima, máxima, caracteres especiales, etc.).

Dos escenarios posibles: