4 de marzo de 2026

Cómo configurar WCP para el escritorio remoto de Windows

Configure Notakey Windows Credential Provider para el escritorio remoto con doble factor: del appliance al inicio de sesión sin contraseña.

Esta guía explica cómo configurar Notakey Windows Credential Provider (WCP) para autenticar el acceso por escritorio remoto con un segundo factor basado en el teléfono.

Configuración del appliance

Cree la aplicación. En el Notakey Authentication Appliance, cree una nueva aplicación con el nombre Windows Remote Desktop: los gráficos correspondientes se cargan de forma automática. Active la verificación biométrica y, si el inicio de sesión debe exigir siempre huella dactilar o reconocimiento facial, active además la opción force biometric check.

Defina los usuarios. Créelos directamente o conecte una fuente de usuarios externa: lo habitual es usar Active Directory, cuya configuración se describe en la documentación del appliance. A los usuarios sincronizados desde AD se les pueden asignar más adelante políticas de escalado o de aprobación por varias personas.

Configure los requisitos de registro para que la aplicación aparezca en Notakey Authenticator. Si en AD constan números de teléfono, dispone del registro por SMS o WhatsApp. Si utiliza credenciales sencillas verificadas contra AD, edite el requisito y marque Authenticate against remote AUTH user sources.

Genere las credenciales de API. Cree un nuevo cliente de API dejando el campo de scopes vacío: el sistema genera un Client ID y un secreto para el proveedor de credenciales.

Configuración del equipo Windows

Cree un archivo de registro con las credenciales de acceso a su appliance, guárdelo como wcp_notakey.reg y haga doble clic para importarlo:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]

[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c

Sustituya los cuatro primeros valores por los suyos: ServiceURL es el endpoint de API de su appliance, ServiceID es el identificador de la aplicación y ClientID/ClientSecret son las credenciales de API generadas antes. Los demás valores son ajustes por defecto razonables, en hexadecimal: MessageTtlSeconds (0x1e = 30 s) indica cuánto tiempo se puede aprobar la notificación push, AuthCreateTimeoutSecs (0x14 = 20 s) cuánto espera WCP para crear la solicitud y AuthWaitTimeoutSecs (0x3c = 60 s) cuánto espera la respuesta del usuario. En MessageDescription, {0} es el nombre de usuario y {1} el nombre del equipo.

Instale la versión más reciente de Windows Credential Provider desde la página de descargas, reinicie Windows e inicie sesión una vez de la forma habitual. A continuación, compruebe LastLoggedOnProvider en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.

Bloquee el equipo y seleccione Notakey Credential Provider. Introduzca el nombre de usuario y la contraseña: Notakey pide permiso para cifrar la contraseña y, a partir de ese momento, el inicio de sesión se reduce al nombre de usuario más la aprobación en el teléfono.

Paso a la autenticación exclusivamente sin contraseña

Para que Notakey sea la única vía de acceso, desactive el proveedor de credenciales predeterminado: busque su CLSID en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers y añada un valor DWORD llamado Disabled con valor 1. La directiva de grupo (Group Policy) ofrece el mismo control a escala de todo el parque de equipos.

Tras este cambio, solo queda activo Notakey Credential Provider: para iniciar sesión bastan el nombre de usuario y el segundo factor.

← Todos los artículos

Su primer inicio de sesión sin contraseña, esta misma semana

30 minutos con un ingeniero, no una presentación comercial. Juntos planificaremos cómo poner en marcha un piloto funcional en su entorno de VPN, SSO o Windows.