Intensidad de autenticación de acceso condicional
La intensidad de autenticación es un control de acceso condicional que especifica qué combinaciones de métodos de autenticación se pueden usar para acceder a un recurso. Los usuarios pueden cumplir los requisitos de intensidad si se autentican con cualquiera de las combinaciones permitidas.
Por ejemplo, una intensidad de autenticación puede requerir que solo se usen métodos de autenticación resistentes a suplantación de identidad para acceder a un recurso confidencial. Para acceder a un recurso no confidencial, los administradores pueden crear otra intensidad de autenticación que permita combinaciones de autenticación multifactor (MFA) menos seguras, como contraseña + mensaje de texto.
La intensidad de autenticación se basa en la directiva de métodos de autenticación, en la que los administradores pueden definir el ámbito de los métodos de autenticación para usuarios y grupos específicos para usarlos en aplicaciones federadas de Microsoft Entra ID. La intensidad de autenticación permite un mayor control sobre el uso de estos métodos en función de escenarios específicos, como el acceso a recursos confidenciales, el riesgo del usuario, la ubicación, etc.
Escenarios para los niveles de intensidad de autenticación
Las intensidades de autenticación pueden ayudar a los clientes a abordar escenarios como estos:
- Requerir métodos de autenticación específicos para acceder a un recurso confidencial.
- Requerir un método de autenticación específico cuando un usuario realiza una acción confidencial dentro de una aplicación (en combinación con el contexto de autenticación de acceso condicional).
- Requerir que los usuarios usen un método de autenticación específico cuando accedan a aplicaciones confidenciales fuera de la red corporativa.
- Requerir métodos de autenticación más seguros para los usuarios de alto riesgo.
- Requerir métodos de autenticación específicos a los usuarios invitados que acceden a un inquilino de recursos (en combinación con los valores de configuración entre inquilinos).
Niveles de intensidad de autenticación
Los administradores pueden especificar una intensidad de autenticación para acceder a un recurso mediante la creación de una directiva de acceso condicional con el control Require authentication strength (Requerir intensidad de autenticación). Pueden elegir entre tres niveles de intensidad de autenticación integrados: intensidad de autenticación multifactor, intensidad de MFA sin contraseña e intensidad de MFA resistente a la suplantación de identidad (phishing). También pueden crear una intensidad de autenticación personalizada basada en las combinaciones de métodos de autenticación que quieren permitir.
Intensidad de autenticación integrada
Los niveles de intensidad de autenticación integrada son combinaciones de métodos de autenticación predefinidas por Microsoft. La intensidad de autenticación integrada está siempre disponible y no se puede modificar. Microsoft actualizará la intensidad de autenticación integrada cuando haya nuevos métodos disponibles.
Por ejemplo, la intensidad de MFA resistente a la suplantación de identidad (phishing) integrada permite las combinaciones siguientes:
Windows Hello para empresas
Or
Clave de seguridad FIDO2
Or
Autenticación basada en certificado (multifactor) de Microsoft Entra
En la tabla siguiente se enumeran las combinaciones de métodos de autenticación para cada intensidad de autenticación integrada. Estas combinaciones incluyen métodos para los que los usuarios deben registrarse y que se deben habilitar en la directiva de métodos de autenticación o en la directiva de configuración de MFA antigua.
- Intensidad de MFA: se trata del mismo conjunto de combinaciones que se pueden usar para satisfacer el valor de configuración Require multifactor authentication (Requerir autenticación multifactor).
- Intensidad de MFA sin contraseña: incluye métodos de autenticación que satisfacen la autenticación multifactor, pero no requieren una contraseña.
- Intensidad de MFA resistente a la suplantación de identidad (phishing): incluye métodos que requieren una interacción entre el método de autenticación y la superficie de inicio de sesión.
| Combinación de métodos de autenticación | Intensidad de MFA | Intensidad de MFA sin contraseña | Intensidad de MFA resistente a la suplantación de identidad (phishing) |
|---|---|---|---|
| Clave de seguridad FIDO2 | ✅ | ✅ | ✅ |
| Windows Hello para empresas | ✅ | ✅ | ✅ |
| Autenticación basada en certificados (multifactor) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (inicio de sesión en el teléfono) | ✅ | ✅ | |
| Pase de acceso temporal (uso único Y multiuso) | ✅ | ||
| Contraseña + algo que tenga1 | ✅ | ||
| Factor único federado + algo que tenga1 | ✅ | ||
| Multifactor federado | ✅ | ||
| Autenticación basada en certificados (factor único) | |||
| Inicio de sesión con SMS | |||
| Contraseña | |||
| Factor único federado |
1 "Algo que tenga" hace referencia a uno de los siguientes métodos: mensaje de texto, voz, notificación push, token OATH de software o token OATH de hardware.
La siguiente llamada API se puede usar para enumerar las definiciones de todos los niveles integrados de intensidad de autenticación:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Los administradores de acceso condicional también pueden crear intensidades de autenticación personalizadas para satisfacer sus requisitos de acceso concretos. Para obtener más información, consulte Intensidades de autenticación de acceso condicional personalizadas.
Limitaciones
Las directivas de acceso condicional solo se evalúan después de la autenticación inicial: como resultado, la intensidad de autenticación no restringe la autenticación inicial de un usuario. Supongamos que usted usa el nivel integrado de intensidad de MFA resistente a la suplantación de identidad (phishing). Un usuario puede escribir su contraseña, pero se le pedirá que inicie sesión con un método resistente a la suplantación de identidad (phishing), como una clave de seguridad FIDO2, para poder continuar.
Las opciones para requerir autenticación multifactor y para requerir intensidad de autenticación no se pueden usar juntas en la misma directiva de acceso condicional: estos dos controles de concesión de acceso condicional no se pueden usar juntos porque el nivel integrado de intensidad de Autenticación multifactor es equivalente al control de concesión Require multifactor authentication (Requerir autenticación multifactor).
Métodos de autenticación que actualmente no son compatibles con la seguridad de autenticación: El método de autenticación de un solo uso (invitado) de Email no se incluye en las combinaciones disponibles.
Windows Hello para empresas: Si el usuario inició sesión con Windows Hello para empresas como método de autenticación principal, se puede usar para satisfacer un requisito de seguridad de autenticación que incluya Windows Hello para empresas. Sin embargo, si el usuario ha iniciado sesión con otro método, como una contraseña, como método de autenticación principal, y la intensidad de autenticación requiere Windows Hello para empresas, no se le pedirá que inicie sesión con Windows Hello para empresas. El usuario necesita reiniciar la sesión, elegir las opciones de inicio de sesión, y seleccionar un método requerido por la intensidad de autenticación.
Problema conocido
- Opciones avanzadas para Clave de seguridad FIDO2: las opciones avanzadas no se admiten para usuarios externos con un inquilino de origen ubicado en una nube de Microsoft diferente a la del inquilino de recursos.
Preguntas más frecuentes
¿Debo usar la intensidad de autenticación o la directiva de métodos de autenticación?
La intensidad de autenticación se basa en la directiva de métodos de autenticación. La directiva de métodos de autenticación ayuda a definir el ámbito y configurar los métodos de autenticación que se usarán en Microsoft Entra ID mediante usuarios y grupos específicos. La intensidad de autenticación permite otra restricción de los métodos para escenarios específicos, como el acceso a recursos confidenciales, el riesgo del usuario, la ubicación, etc.
Por ejemplo, el administrador de Contoso quiere permitir que los usuarios empleen Microsoft Authenticator con notificaciones de inserción o con el modo de autenticación sin contraseña. El administrador va a la configuración de Microsoft Authenticator en la directiva de método de autenticación, establece el ámbito de la directiva en los usuarios relevantes y establece el modo de autenticación en Cualquiera.
Entonces, para el recurso más confidencial de Contoso, el administrador quiere restringir el acceso solo a métodos de autenticación sin contraseña. El administrador crea una directiva de acceso condicional con el nivel integrado de intensidad de MFA sin contraseña.
Como resultado, los usuarios de Contoso pueden acceder a la mayoría de los recursos del inquilino mediante la contraseña y la notificación de inserción desde Microsoft Authenticator, o bien solo con Microsoft Authenticator (inicio de sesión en el teléfono). Aun así, cuando los usuarios del inquilino acceden a la aplicación confidencial, deben usar Microsoft Authenticator (inicio de sesión en el teléfono).
Requisitos previos
- Microsoft Entra ID P1: el inquilino debe tener la licencia Microsoft Entra ID P1 para usar el acceso condicional. Si es necesario, puede habilitar una evaluación gratuita.
- Habilitación del registro combinado: los niveles de intensidad de autenticación se admiten cuando se usa el registro combinado de MFA y SSPR. El uso del registro heredado dará lugar a una experiencia de usuario deficiente, ya que el usuario podría registrar métodos que no son necesarios para la directiva de métodos de autenticación.