Adición de la autenticación multifactor (MFA) a una aplicación

Se aplica a: inquilinos de personal inquilinos externos (más información)

La autenticación multifactor (MFA) agrega una capa de seguridad a tus aplicaciones al requerir que los usuarios proporcionen un segundo método para comprobar su identidad durante el registro o el inicio de sesión. Los inquilinos externos admiten dos métodos para la autenticación como segundo factor:

• Código de acceso de un solo uso por correo electrónico: después de que el usuario inicie sesión con su correo electrónico y contraseña, se le solicita un código de acceso que se envía a su correo electrónico. Para permitir el uso de códigos de acceso de un solo uso de correo electrónico para MFA, configura el método de autenticación de tu cuenta local en Correo electrónico con contraseña. Si eliges Correo electrónico con código de acceso de un solo uso, los clientes que usan este método para el inicio de sesión principal no podrán usarlo para la comprobación secundaria de MFA.
• Autenticación basada en SMS: aunque SMS no es una opción para la autenticación en primer factor, está disponibles como segundo factor para MFA. A los usuarios que inician sesión con correo electrónico y contraseña, correo electrónico y código de acceso de un solo uso, o identidades sociales como Google o Facebook, se les solicita la segunda comprobación mediante SMS. Nuestra AMF por SMS incluye comprobaciones automáticas de fraude. Si sospechamos fraude, pediremos al usuario que complete una CAPTCHA para confirmar que no es un robot antes de enviar el código SMS para su verificación.

En este artículo se explica cómo aplicar MFA a los clientes mediante la creación de una directiva de acceso condicional de Microsoft Entra y la adición de MFA al flujo de usuario de registro e inicio de sesión.

Sugerencia

Para probar esta característica, vaya a la demostración de Woodgrove Groceries e inicie el caso de uso "Autenticación multifactor".

Requisitos previos

• Un inquilino externo de Microsoft Entra.
• Un flujo de usuario de registro e inicio de sesión.
• Una aplicación registrada en tu inquilino externo y agregada al flujo de usuario de registro e inicio de sesión.
• Una cuenta con al menos el rol Administrador de seguridad para configurar directivas de Acceso condicional y MFA.

Creación de una directiva de acceso condicional

Cree una directiva de acceso condicional en el inquilino externo que solicite MFA a los usuarios cuando se registren o inicien sesión en la aplicación. Para obtener más información, consulte Directiva de acceso condicional común: Requerir MFA a todos los usuarios.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

3. Vaya a Protección>Acceso condicional>Directivas, y seleccione Nueva directiva.

   

4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

5. En Asignaciones, seleccione el vínculo en Usuarios.

   a. En la pestaña Incluir, seleccione Todos los usuarios.

   b. En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia de la organización. Luego, elija Seleccionar.

   

6. Seleccione el vínculo en Recursos de destino.

   a. En la pestaña Incluir, elija una de las siguientes opciones:

   • Haga clic en Todas las aplicaciones en la nube.

   • Elija Seleccionar aplicaciones y, a continuación, el vínculo que aparece debajo de Seleccionar. Busque la aplicación, selecciónela y elija Seleccionar.

   b. En Excluir, seleccione las aplicaciones que no requieren autenticación multifactor.

   

7. En Controles de acceso, selecciona el vínculo que aparece debajo de Conceder. Selecciona Conceder acceso, Requerir autenticación multifactor y elige Seleccionar.

   

8. Confirma la configuración y establece Habilitar directiva en Activado.

9. Selecciona Crear para crear la directiva.

Habilitación del código de acceso de un solo uso de correo electrónico como método MFA

Habilita el método de autenticación de código de acceso de un solo uso de correo electrónico en el inquilino externo para todos los usuarios.

1. Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de seguridad.

2. Ve a Protección>Métodos de autenticación.

3. En la lista Método, selecciona Código de acceso de un solo uso de correo electrónico.

   

4. En Habilitar y establecer como destino, activa el botón de alternancia Habilitar.

5. En Incluir, junto a Destino, selecciona Todos los usuarios.

   

6. Selecciona Guardar.

Habilitación de SMS como método de MFA (versión preliminar)

Habilita el método de autenticación SMS en tu inquilino externo para todos los usuarios.

1. Inicia sesión en el Centro de administración Microsoft Entra al menos como Administrador de seguridad.

2. Ve a Protección>Métodos de autenticación.

3. En la lista Método, selecciona SMS.

   

4. En Habilitar y establecer como destino, activa el botón de alternancia Habilitar.

5. En Incluir, junto a Destino, selecciona Todos los usuarios.

6. Deshabilita la casilla Usar para el inicio de sesión. SMS no es compatible con los inquilinos externos para la autenticación en primer factor.

   

7. Selecciona Guardar.

Prueba del inicio de sesión

En un explorador privado, abre la aplicación y selecciona Iniciar sesión. Debe aparecer un mensaje solicitando otro método de autenticación.