Métodos de autenticación en Azure Active Directory: aplicación Microsoft Authenticator

La aplicación Microsoft Authenticator proporciona un nivel de seguridad adicional para su cuenta profesional o educativa de Azure AD o su cuenta de Microsoft, y está disponible para Android e iOS. Mediante la aplicación Microsoft Authenticator, los usuarios pueden autenticarse sin contraseñas durante el inicio de sesión, o como una opción de verificación adicional durante los eventos de autoservicio de restablecimiento de contraseña o de Azure Multi-Factor Authentication.

Los usuarios pueden recibir una notificación a través de la aplicación móvil para que aprueben o rechacen, o usar la aplicación Authenticator para generar un código de verificación de OATH que se pueda escribir en una interfaz de inicio de sesión. Si habilita tanto una notificación como un código de verificación, los usuarios que registran la aplicación Authenticator podrán utilizar cualquiera de los métodos para verificar su identidad.

Para usar la aplicación Authenticator en una solicitud de inicio de sesión en lugar de una combinación de nombre de usuario y contraseña, consulte Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator.

Nota:

Los usuarios no tienen la opción de registrar su aplicación móvil cuando habilitan el autoservicio de restablecimiento de contraseña. En su lugar, los usuarios pueden registrar su aplicación móvil en https://aka.ms/mfasetup o como parte del registro de información de seguridad combinado en https://aka.ms/setupsecurityinfo.

Inicio de sesión sin contraseña

En lugar de ver una solicitud de contraseña después de escribir un nombre de usuario, un usuario que ha habilitado el inicio de sesión en el teléfono desde la aplicación Authenticator ve un mensaje para indicar un número en su aplicación. Una vez seleccionado el número correcto, se completa el proceso de inicio de sesión.

Ejemplo de un inicio de sesión de explorador que solicita al usuario que apruebe el inicio de sesión.

Este método de autenticación proporciona un alto nivel de seguridad y elimina la necesidad de que el usuario proporcione una contraseña en el inicio de sesión.

Para empezar a usar el inicio de sesión sin contraseña, consulte Habilitar el inicio de sesión sin contraseña en Azure AD con Microsoft Authenticator.

Notificación a través de aplicación móvil

La aplicación Authenticator puede ayudar a impedir el acceso no autorizado a las cuentas y detener las transacciones fraudulentas mediante el envío de una notificación al smartphone o a la tableta. Los usuarios ven la notificación y, si es legítima, seleccionan Comprobar. De lo contrario, pueden seleccionar Denegar.

Captura de pantalla del aviso de ejemplo en el explorador web para la notificación de la aplicación Authenticator para completar el proceso de inicio de sesión.

Nota:

Si su organización tiene personal que trabaja en China o que va a viajar allí, el método Notificación a través de aplicación móvil en dispositivos Android no funciona en ese país o región, ya que los servicios de Google Play están bloqueados en la región. Sin embargo, las notificaciones de iOS funcionan. En el caso de los dispositivos Android, se deben poner a disposición de los usuarios métodos de autenticación alternativos.

Código de verificación desde aplicación móvil

La aplicación Authenticator puede utilizarse como un token de software para generar un código de verificación de OATH. Después de escribir el nombre de usuario y la contraseña, especifique el código que facilita la aplicación Authenticator en la interfaz de inicio de sesión. El código de verificación es una forma adicional de autenticación.

Los usuarios pueden tener una combinación de hasta cinco tokens de hardware OATH o aplicaciones de autenticación, como la aplicación Authenticator, configurada para utilizarse en cualquier momento.

Advertencia

Para garantizar el máximo nivel de seguridad para el autoservicio de restablecimiento de contraseña cuando se requiere solo un método para el restablecimiento, un código de verificación es la única opción disponible para los usuarios.

Si se requieren dos métodos, los usuarios pueden usar una notificación o el código de verificación, además de con cualquier otro método habilitado.

Compatible con FIPS 140 para la autenticación de Azure AD

A partir de la versión 6.6.8, Microsoft Authenticator para iOS es compatible con el Estándar federal de procesamiento de información (FIPS) 140 para todas las autenticaciones de Azure AD mediante autenticaciones multifactor (MFA) de inserción, Inicio de sesión teléfono sin contraseña (PSI) y códigos de acceso de un solo uso (TOTP) basados en tiempo.  

Coherente con las directrices descritas en NIST SP 800-63B, se requieren autenticadores para usar criptografía validada FIPS 140. Esto ayuda a las agencias federales a cumplir los requisitos de la Orden Ejecutiva (EO) 14028 y las organizaciones sanitarias que trabajan con Recetas electrónicas de sustancias controladas (EPCS)

FIPS 140 es un estándar del gobierno de EE. UU. que define los requisitos mínimos de seguridad para los módulos criptográficos en sistemas y productos de tecnologías de la información. El Programa de validación de módulos criptográficos (CMVP) mantiene las pruebas con el estándar FIPS 140.

No se requieren cambios en las configuraciones en Microsoft Authenticator ni en Azure Portal para habilitar el cumplimiento de FIPS 140. A partir de la versión 6.6.8 de Microsoft Authenticator para iOS, las autenticaciones de Azure AD serán compatibles con FIPS 140 de manera predeterminada.

Authenticator aprovecha la criptografía nativa de Apple para lograr el cumplimiento de FIPS 140, nivel de seguridad 1, en dispositivos iOS de Apple a partir de la versión 6.6.8 de Microsoft Authenticator. Para obtener más información sobre las certificaciones que se usan, vea el módulo Apple CoreCrypto

El cumplimiento de FIPS 140 para Microsoft Authenticator en Android está en curso y estará disponible pronto.

Pasos siguientes