Métodos de autenticación en Azure Active Directory: aplicación Microsoft Authenticator
La aplicación Microsoft Authenticator proporciona un nivel de seguridad adicional para su cuenta profesional o educativa de Azure AD o su cuenta de Microsoft, y está disponible para Android e iOS. Mediante la aplicación Microsoft Authenticator, los usuarios pueden autenticarse sin contraseñas durante el inicio de sesión, o como una opción de verificación adicional durante los eventos de autoservicio de restablecimiento de contraseña o de Azure Multi-Factor Authentication.
Los usuarios pueden recibir una notificación a través de la aplicación móvil para que aprueben o rechacen, o usar la aplicación Authenticator para generar un código de verificación de OATH que se pueda escribir en una interfaz de inicio de sesión. Si habilita tanto una notificación como un código de verificación, los usuarios que registran la aplicación Authenticator podrán utilizar cualquiera de los métodos para verificar su identidad.
Para usar la aplicación Authenticator en una solicitud de inicio de sesión en lugar de una combinación de nombre de usuario y contraseña, consulte Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator.
Nota:
Los usuarios no tienen la opción de registrar su aplicación móvil cuando habilitan el autoservicio de restablecimiento de contraseña. En su lugar, los usuarios pueden registrar su aplicación móvil en https://aka.ms/mfasetup o como parte del registro de información de seguridad combinado en https://aka.ms/setupsecurityinfo.
Inicio de sesión sin contraseña
En lugar de ver una solicitud de contraseña después de escribir un nombre de usuario, un usuario que ha habilitado el inicio de sesión en el teléfono desde la aplicación Authenticator ve un mensaje para indicar un número en su aplicación. Una vez seleccionado el número correcto, se completa el proceso de inicio de sesión.
Este método de autenticación proporciona un alto nivel de seguridad y elimina la necesidad de que el usuario proporcione una contraseña en el inicio de sesión.
Para empezar a usar el inicio de sesión sin contraseña, consulte Habilitar el inicio de sesión sin contraseña en Azure AD con Microsoft Authenticator.
Notificación a través de aplicación móvil
La aplicación Authenticator puede ayudar a impedir el acceso no autorizado a las cuentas y detener las transacciones fraudulentas mediante el envío de una notificación al smartphone o a la tableta. Los usuarios ven la notificación y, si es legítima, seleccionan Comprobar. De lo contrario, pueden seleccionar Denegar.
En algunos casos excepcionales en los que el servicio relevante de Google o Apple responsable de las notificaciones automáticas no funciona, es posible que los usuarios no reciban las notificaciones automáticas. En estos casos, los usuarios deben navegar manualmente a la aplicación Microsoft Authenticator (o una aplicación complementaria relevante como Outlook), actualizar tirando hacia abajo o presionando el botón Actualizar y aprobar la solicitud.
Nota:
Si su organización tiene personal que trabaja en China o que va a viajar allí, el método Notificación a través de aplicación móvil en dispositivos Android no funciona en ese país o región, ya que los servicios de Google Play están bloqueados en la región. Sin embargo, las notificaciones de iOS funcionan. En el caso de los dispositivos Android, se deben poner a disposición de los usuarios métodos de autenticación alternativos.
Código de verificación desde aplicación móvil
La aplicación Authenticator puede utilizarse como un token de software para generar un código de verificación de OATH. Después de escribir el nombre de usuario y la contraseña, especifique el código que facilita la aplicación Authenticator en la interfaz de inicio de sesión. El código de verificación es una forma adicional de autenticación.
Los usuarios pueden tener una combinación de hasta cinco tokens de hardware OATH o aplicaciones de autenticación, como la aplicación Authenticator, configurada para utilizarse en cualquier momento.
Advertencia
Para garantizar el máximo nivel de seguridad para el autoservicio de restablecimiento de contraseña cuando se requiere solo un método para el restablecimiento, un código de verificación es la única opción disponible para los usuarios.
Si se requieren dos métodos, los usuarios pueden usar una notificación o el código de verificación, además de con cualquier otro método habilitado.
Compatible con FIPS 140 para la autenticación de Azure AD
A partir de la versión 6.6.8, Microsoft Authenticator para iOS es compatible con el Estándar federal de procesamiento de información (FIPS) 140 para todas las autenticaciones de Azure AD mediante autenticaciones multifactor (MFA) de inserción, Inicio de sesión teléfono sin contraseña (PSI) y códigos de acceso de un solo uso (TOTP) basados en tiempo.
Coherente con las directrices descritas en NIST SP 800-63B, se requieren autenticadores para usar criptografía validada FIPS 140. Esto ayuda a las agencias federales a cumplir los requisitos de la Orden Ejecutiva (EO) 14028 y las organizaciones sanitarias que trabajan con Recetas electrónicas de sustancias controladas (EPCS).
FIPS 140 es un estándar del gobierno de EE. UU. que define los requisitos mínimos de seguridad para los módulos criptográficos en sistemas y productos de tecnologías de la información. El Programa de validación de módulos criptográficos (CMVP) mantiene las pruebas con el estándar FIPS 140.
No se requieren cambios en las configuraciones en Microsoft Authenticator ni en Azure Portal para habilitar el cumplimiento de FIPS 140. A partir de la versión 6.6.8 de Microsoft Authenticator para iOS, las autenticaciones de Azure AD serán compatibles con FIPS 140 de manera predeterminada.
Authenticator aprovecha la criptografía nativa de Apple para lograr el cumplimiento de FIPS 140, nivel de seguridad 1, en dispositivos iOS de Apple a partir de la versión 6.6.8 de Microsoft Authenticator. Para obtener más información sobre las certificaciones que se usan, vea el módulo Apple CoreCrypto.
El cumplimiento de FIPS 140 para Microsoft Authenticator en Android está en curso y estará disponible pronto.
Determinar el tipo de registro de Microsoft Authenticator en mi información de seguridad
Accediendo a https://aka.ms/mysecurityinfo o seleccionando información de seguridad desde mi cuenta los usuarios pueden administrar y agregar registros adicionales de Microsoft Authenticator. Los iconos específicos se usan para diferenciar si el registro de Microsoft Authenticator es capaz de iniciar sesión en el teléfono sin contraseña o MFA.
| Tipo de registro de Authenticator | Icono |
|---|---|
| Microsoft Authenticator: inicio de sesión en el teléfono sin contraseña |  |
| Microsoft Authenticator: compatible con MFA |  |
Pasos siguientes
Para empezar a usar el inicio de sesión sin contraseña, consulte Habilitar el inicio de sesión sin contraseña en Azure AD con Microsoft Authenticator.
Más información sobre la configuración de métodos de autenticación con la API REST de Microsoft Graph.