Comparteix a través de

Administración de un método de autenticación externo en Microsoft Entra ID (versión preliminar)

  • Article

Un método de autenticación externo (EAM) permite a los usuarios elegir un proveedor externo para cumplir los requisitos de autenticación multifactor (MFA) cuando inician sesión en Microsoft Entra ID. Un EAM puede satisfacer los requisitos de MFA de las directivas de acceso condicional, las directivas de riesgo de inicio de sesión de Identity Protection, la activación de Privileged Identity Management (PIM) y cuando la propia aplicación requiere MFA.

Los EAM difieren de la federación en que la identidad de usuario se origina y administra en Microsoft Entra ID. Con la federación, la identidad se administra en el proveedor de identidades externo. EAM requiere al menos una licencia Microsoft Entra ID P1.

Diagrama de cómo funciona la autenticación de métodos externos.

Metadatos necesarios para configurar un EAM

Para crear un EAM, necesita la siguiente información del proveedor de autenticación externo:

  • Por lo general, un id. de aplicación es una aplicación multiinquilino del proveedor, que se usa como parte de la integración. Debe proporcionar el consentimiento del administrador para esta aplicación en el inquilino.

  • Un id. de cliente es un identificador del proveedor que se usa como parte de la integración de autenticación para identificar el Microsoft Entra ID que solicita autenticación.

  • Una dirección URL de detección es el punto de conexión de detección de OpenID Connect (OIDC) para el proveedor de autenticación externo.

    Nota:

    Consulte Configuración de un nuevo proveedor de autenticación externa con Microsoft Entra ID para configurar el registro de aplicaciones.

Administración de un EAM en el Centro de administración de Microsoft Entra

Los EAM se administran con la directiva de métodos de autenticación de Microsoft Entra ID, al igual que los métodos integrados.

Creación de un EAM en el Centro de administración

Antes de crear un EAM en el Centro de administración, asegúrese de que tiene los metadatos para configurar un EAM.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.

  2. Vaya a Protección>Métodos de autenticación>Agregar método externo (versión preliminar).

    Captura de pantalla de cómo agregar un EAM en el Centro de administración de Microsoft Entra.

    Agregue propiedades de método basadas en la información de configuración del proveedor. Por ejemplo:

    • Nombre: Adatum
    • Id. de cliente: 00001111-aaaa-2222-bbbb-3333cccc4444
    • Punto de conexión de detección: https://adatum.com/.well-known/openid-configuration
    • Id. de aplicación: 11112222-bbbb-3333-cccc-4444dddd5555

    Importante

    El nombre para mostrar es el nombre que se muestra al usuario en el selector de métodos. No se puede cambiar después de crear el método. Los nombres para mostrar deben ser únicos.

    Captura de pantalla de cómo agregar propiedades de EAM.

    Necesita al menos el rol de Administrador de roles con privilegios para conceder el consentimiento del administrador para la aplicación del proveedor’. Si no tiene el rol requerido para la concesión del consentimiento, aún puede guardar el método de autenticación, pero no puede habilitarlo hasta que se conceda el consentimiento.

    Después de escribir los valores del proveedor, presione el botón para solicitar que se conceda el consentimiento del administrador a la aplicación para que pueda leer la información necesaria del usuario para autenticarse correctamente. Se le pedirá que inicie sesión con una cuenta con permisos de administrador y conceda a la aplicación del proveedor los permisos necesarios.

    Después de iniciar sesión, haga clic en Aceptar para conceder el consentimiento del administrador:

    Captura de pantalla de cómo conceder del consentimiento de administrador.

    Puede ver los permisos que solicita la aplicación de proveedor antes de conceder el consentimiento. Después de conceder el consentimiento de administrador y de que el cambio se replique, la página se actualiza para mostrar que se ha concedido el consentimiento del administrador.

    Captura de pantalla de la directiva de métodos de autenticación después de conceder el consentimiento.

Si la aplicación tiene permisos, también puede habilitar el método antes de guardarlo. De lo contrario, deberá guardar el método en estado deshabilitado y habilitarlo una vez que la aplicación haya obtenido el consentimiento.

Una vez habilitado el método, todos los usuarios del ámbito pueden elegir el método para cualquier solicitud de MFA. Si la solicitud del proveedor no tiene el consentimiento aprobado, entonces cualquier inicio de sesión con el método falla.

Si la aplicación se elimina o deja de tener permiso, los usuarios ven un error y falla el inicio de sesión. No se puede usar el método.

Configuración de un EAM en el Centro de administración

Para administrar los EAM en el Centro de administración de Microsoft Entra, abra la directiva Métodos de autenticación. Seleccione el nombre del método para abrir las opciones de configuración. Puede elegir qué usuarios se incluyen y excluyen al usar este método.

Captura de pantalla de cómo definir el ámbito del uso de EAM para usuarios específicos.

Eliminación de un EAM en el Centro de administración

Si ya no desea que los usuarios puedan usar EAM, puede:

  • Establecer Habilitar en Desactivado para guardar la configuración del método
  • Haga clic en Eliminar para quitar el método

Captura de pantalla de cómo eliminar un EAM.

Administración de un EAM mediante Microsoft Graph

Para administrar la directiva de métodos de autenticación mediante Microsoft Graph, necesita el permiso Policy.ReadWrite.AuthenticationMethod. Para obtener más información, consulte Update authenticationMethodsPolicy.

Experiencia del usuario

Los usuarios que están habilitados para EAM pueden usarlo cuando inicien sesión y se requiera autenticación multifactor.

Nota:

Estamos trabajando activamente para admitir MFA preferidos por el sistema con EAM.

Si el usuario tiene otras formas de iniciar sesión y el MFA preferido por el sistema está activado, esos otros métodos aparecen por orden predeterminado. El usuario puede optar por usar un método diferente y, a continuación, seleccionar el EAM. Por ejemplo, si el usuario tiene Authenticator activado como otro método, se le pedirá que haga coincidir los números.

Captura de pantalla de cómo elegir un EAM cuando se habilita el MFA preferido por el sistema.

Si el usuario no tiene otros métodos habilitados, simplemente puede elegir el EAM. Se redirigen al proveedor de autenticación externo para completar la autenticación.

Captura de pantalla de cómo iniciar sesión con un EAM.

Uso de controles personalizados de acceso condicional y EAM en paralelo

Los EAM y los controles personalizados pueden funcionar en paralelo. Microsoft recomienda que los administradores configuren dos directivas de acceso condicional:

  • Una directiva para aplicar el control personalizado
  • Otra directiva con la concesión de MFA requerida

Incluya un grupo de usuarios de prueba para cada directiva, pero no para ambas. Si un usuario está incluido en ambas directivas, o en cualquier directiva con ambas condiciones, el usuario tiene que satisfacer el MFA durante el inicio de sesión. También tienen que satisfacer el control personalizado, lo que los redirige al proveedor externo una segunda vez.

Pasos siguientes

Para obtener más información sobre cómo administrar métodos de autenticación, consulte Administración de métodos de autenticación para Microsoft Entra ID.

Para obtener una referencia del proveedor de EAM, consulte Referencia del proveedor de métodos externos de autenticación multifactor de Microsoft Entra (versión preliminar).