Administración de métodos de autenticación para el Id. de Microsoft Entra
El identificador de Microsoft Entra permite el uso de una variedad de métodos de autenticación para dar cabida a una amplia variedad de escenarios de inicio de sesión. Los administradores pueden configurar específicamente cada método para cumplir sus objetivos de experiencia y seguridad de los usuarios. En este tema se explica cómo administrar los métodos de autenticación para identificador de Microsoft Entra y cómo afectan las opciones de configuración a los escenarios de inicio de sesión de usuario y restablecimiento de contraseña.
Directiva de métodos de autenticación
La directiva de métodos de autenticación es la manera recomendada de administrar métodos de autenticación, incluidos métodos modernos como la autenticación sin contraseña. Los administradores de directivas de autenticación pueden editar esta directiva para habilitar métodos de autenticación para todos los usuarios o grupos específicos.
Los métodos habilitados en la directiva de métodos de autenticación normalmente se pueden usar en cualquier lugar de Microsoft Entra ID, tanto en escenarios de autenticación como de restablecimiento de contraseña. La excepción es que algunos métodos están intrínsecamente limitados a su uso en la autenticación, como FIDO2 y Windows Hello para empresas, y otros están limitados a su uso en el restablecimiento de la contraseña, como las preguntas de seguridad. Para obtener más control sobre qué métodos se pueden usar en un escenario de autenticación determinado, considere la posibilidad de usar la característica Intensidad de autenticación.
La mayoría de los métodos también tienen parámetros de configuración para controlar de forma más precisa cómo se puede usar ese método. Por ejemplo, si habilita Llamadas de voz, también puede especificar si se puede usar el teléfono del trabajo además del teléfono móvil.
O bien, supongamos que quiere habilitar la autenticación sin contraseña con Microsoft Authenticator. Puede establecer parámetros adicionales, como mostrar la ubicación de inicio de sesión del usuario o el nombre de la aplicación en la que se inicia sesión. Estas opciones proporcionan más contexto para los usuarios cuando inician sesión y ayudan a evitar aprobaciones accidentales de MFA.
Para administrar la directiva de métodos de autenticación, inicie sesión en el Centro de administración de Microsoft Entra con permisos de administrador de directivas de autenticación como mínimo y vaya a Protección>Métodos de autenticación>Directivas.
Solo la experiencia de registro convergente conoce la directiva de métodos de autenticación. Los usuarios en el ámbito de la directiva de métodos de autenticación, pero no de la experiencia de registro convergente, no verán los métodos correctos para registrarse.
Directivas de MFA y SSPR heredadas
Otras dos directivas, ubicadas en la configuración de autenticación multifactor y la configuración de restablecimiento de contraseña, proporcionan una manera heredada de administrar algunos métodos de autenticación para todos los usuarios del inquilino. No puede controlar quién usa un método de autenticación habilitado ni cómo se puede usar el método. Se necesita un administrador global para administrar estas directivas.
Importante
En marzo de 2023, anunciamos el desuso de la administración de métodos de autenticación en las directivas heredadas de autenticación multifactor y autoservicio de restablecimiento de contraseña (SSPR). A partir del 30 de septiembre de 2025, los métodos de autenticación no se pueden administrar en estas directivas heredadas de MFA y SSPR. Se recomienda que los clientes usen el control de migración manual para migrar a la directiva de métodos de autenticación por la fecha de desuso.
Para administrar la directiva de MFA heredada, seleccione Seguridad>Autenticación multifactor>Configuración adicional de la autenticación multifactor basada en la nube.
Para administrar métodos de autenticación para el autoservicio de restablecimiento de contraseña (SSPR), haga clic en Restablecimiento de contraseña>Métodos de autenticación. La opción Teléfono móvil de esta directiva permite enviar llamadas de voz o mensajes de texto a un teléfono móvil. La opción Teléfono del trabajo solo permite llamadas de voz.
Funcionamiento conjunto de las directivas
La configuración no se sincroniza entre las directivas, lo que permite a los administradores administrar cada directiva de forma independiente. Identificador de Microsoft Entra respeta la configuración de todas las directivas para que un usuario que esté habilitado para un método de autenticación en cualquier directiva pueda registrar y usar ese método. Para evitar que los usuarios usen un método, debe deshabilitarlo en todas las directivas.
Veamos un ejemplo en el que un usuario que pertenece al grupo de contabilidad quiere registrar Microsoft Authenticator. El proceso de registro comprueba primero la directiva de métodos de autenticación. Si el grupo de contabilidad está habilitado para Microsoft Authenticator, el usuario puede registrarlo.
Si no es así, el proceso de registro comprueba la directiva de MFA heredada. En esa directiva, cualquier usuario puede registrar Microsoft Authenticator si una de estas opciones está habilitada para MFA:
- Notificación a través de aplicación móvil
- Código de verificación de aplicación móvil o token de hardware
Si el usuario no puede registrar Microsoft Authenticator en función de ninguna de esas directivas, el proceso de registro comprueba la directiva de SSPR heredada. En esa directiva también, un usuario puede registrar Microsoft Authenticator si el usuario está habilitado para SSPR y cualquiera de estas configuraciones está habilitada:
- Notificación en aplicación móvil
- Código de aplicación móvil
En el caso de los usuarios habilitados para Teléfono móvil en SSPR, el control independiente entre las directivas puede afectar al comportamiento de inicio de sesión. Mientras que las demás directivas tienen opciones distintas para mensajes de texto y llamadas de voz, Teléfono móvil en SSPR permite ambas opciones. Como resultado, cualquier persona que use Teléfono móvil en el método SSPR también puede usar llamadas de voz para el restablecimiento de contraseña, incluso si las demás directivas no permiten este tipo de llamadas.
Del mismo modo, supongamos que habilita Llamadas de voz para un grupo. Después de habilitar esta opción, encontrará que incluso los usuarios que no son miembros del grupo pueden iniciar sesión con una llamada de voz. En este caso, es probable que esos usuarios estén habilitados para Teléfono móvil en la directiva de SSPR heredada o para Llamada al teléfono en la directiva de MFA heredada.
Migración entre directivas
La directiva de métodos de autenticación proporciona una ruta de migración para la administración unificada de todos los métodos de autenticación. Todos los métodos deseados se pueden habilitar en la directiva de métodos de autenticación, suponiendo que se hayan definido los grupos de usuarios necesarios para cada directiva de método de autenticación (a menos que se aplique a todos los usuarios). Después de esta actividad de administración de grupos de usuarios, se pueden deshabilitar los métodos de las directivas de MFA y SSPR heredadas. La migración tiene tres opciones de configuración para permitirle moverse a su propio ritmo y evitar problemas con el inicio de sesión o el autoservicio de restablecimiento de contraseña durante la transición. Una vez completada la migración, centralizará el control sobre los métodos de autenticación de inicio de sesión y SSPR en un solo lugar, y se deshabilitarán las directivas de MFA y SSPR heredadas.
Nota:
Las preguntas de seguridad solo se pueden habilitar hoy mediante la directiva de SSPR heredada. En el futuro, estarán disponibles en la directiva de métodos de autenticación. Si usa preguntas de seguridad y no quiere deshabilitarlas, asegúrese de mantenerlas habilitadas en la directiva de SSPR heredada hasta que el nuevo control esté disponible en el futuro. Puede migrar el resto de los métodos de autenticación y seguir administrando las preguntas de seguridad en la directiva de SSPR heredada.
Para ver las opciones de migración, abra la directiva de métodos de autenticación y haga clic en Administrar migración.
En la siguiente tabla se describe cada una de las opciones.
| Opción | Descripción |
|---|---|
| Antes de la migración | La directiva de métodos de autenticación solo se usa para la autenticación. Se respeta la configuración de las directivas heredadas. |
| Migración en curso | La directiva de métodos de autenticación se usa para la autenticación y el autoservicio de restablecimiento de contraseña. Se respeta la configuración de las directivas heredadas. |
| Migración completada | Solo se usa la directiva de métodos de autenticación para la autenticación y el autoservicio de restablecimiento de contraseña. La configuración de directivas heredadas se omite. |
Los inquilinos se establecen en migración previa o migración en curso de forma predeterminada, en función del estado actual de su inquilino. Si empieza en Anterior a la migración, puede moverse a cualquiera de los estados en cualquier momento. Si empieza en Migración en curso, puede cambiar entre Migración en curso y Finalizado en Microsoft en cualquier momento, pero no podrá pasar a Anterior a la migración. Si pasa a migración completada y, luego, decide revertir a un estado anterior, le preguntaremos el motivo para que podemos evaluar el rendimiento del producto.
Nota:
Después de migrar completamente todos los métodos de autenticación, los siguientes elementos de la directiva de SSPR heredada permanecen activos:
- Control Número de métodos necesarios para el restablecimiento: los administradores pueden seguir modificando cuántos métodos de autenticación se deben comprobar antes de que un usuario pueda llevar a cabo el SSPR.
- Directiva de administrador de SSPR: los administradores pueden seguir registrando y usando los métodos enumerados en la directiva de administrador de SSPR heredada o los métodos que están habilitados para su uso en la directiva de métodos de autenticación.
En el futuro, ambas características se integrarán con la directiva de métodos de autenticación.
Limitaciones y problemas conocidos
- En las actualizaciones recientes se ha quitado la capacidad de dirigirse a usuarios individuales. Los usuarios de destino anteriores permanecerán en la directiva, pero se recomienda moverlos a un grupo de destino.
- Es posible que se produzca un error en el registro de claves de seguridad FIDO2 para algunos usuarios si la directiva de métodos de autenticación FIDO2 está destinada a un grupo y la directiva general de métodos de autenticación tiene más de 20 grupos configurados. Estamos trabajando para aumentar el límite de tamaño de la directiva y, mientras tanto, se recomienda limitar el número de destinos de grupo a no más de 20.