Compartir a través de

Adición de la autenticación multifactor (MFA) a una aplicación

Se aplica a: Círculo blanco con un símbolo X gris. Inquilinos del personal Círculo verde con un símbolo de marca de verificación blanca. Inquilinos externos (más información)

La autenticación multifactor (MFA) agrega una capa de seguridad a las aplicaciones. Para ello, requiere que los usuarios proporcionen un segundo método que permita verificar su identidad durante el registro o el inicio de sesión. Los inquilinos externos admiten dos métodos para la autenticación como segundo factor:

  • Código de acceso de un solo uso por correo electrónico: después de que el usuario inicie sesión con su correo electrónico y contraseña, se le pedirá un código de acceso que se envíe a su correo electrónico. Para permitir el uso de códigos de acceso de un solo uso de correo electrónico para MFA, establezca el método de autenticación de la cuenta local en Correo electrónico con contraseña. Si elige Correo electrónico con código de acceso de un solo uso, los clientes que usan este método para el inicio de sesión principal no podrán usarlo para la comprobación secundaria de MFA.
  • Autenticación basada en SMS: aunque SMS no es una opción para la autenticación en primer factor, está disponible como segundo factor para MFA. A los usuarios que inician sesión con correo electrónico y contraseña, correo electrónico y código de acceso de un solo uso, o identidades sociales como Google, Facebook o Apple, se les solicita la segunda comprobación mediante SMS. Nuestra MFA por SMS incluye comprobaciones automáticas de fraude. Si sospechamos de fraude, pediremos al usuario que responda a una pregunta CAPTCHA para confirmar que no es un robot antes de enviarle el código SMS de verificación. También proporciona medidas de seguridad contra el fraude de telefonía. SMS es una característica de complemento. El inquilino debe estar vinculado a una suscripción activa y válida. Aprende más

En este artículo se explica cómo aplicar MFA a los clientes mediante la creación de una directiva de acceso condicional de Microsoft Entra y la adición de MFA al flujo de usuario de registro e inicio de sesión.

Sugerencia

Pruébelo ahora

Para probar esta característica, vaya a la demostración de Woodgrove Groceries e inicie el caso de uso "Multi-factor authentication".

Requisitos previos

  • Un inquilino externo de Microsoft Entra.
  • Flujo de registro e inicio de sesión de usuario.
  • Una aplicación registrada en su entidad externa y agregada al flujo de usuario para el registro e inicio de sesión.
  • Una cuenta con al menos el rol Administrador de seguridad para configurar directivas de Acceso condicional y MFA.
  • SMS es una característica de complemento y requiere una suscripción vinculada. Si la suscripción expira o se cancela, los usuarios finales ya no podrán autenticarse mediante SMS, lo que podría impedir que inicien sesión, según cuál sea la directiva de MFA.

Creación de una directiva de acceso condicional

Cree una directiva de acceso condicional en el inquilino externo que solicite MFA a los usuarios cuando se registren o inicien sesión en la aplicación. (Para obtener más información, consulte Directiva de acceso condicional común: Requerir MFA para todos los usuarios).

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.

  2. Si tiene acceso a varios inquilinos, use el icono Configuración del menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.

  3. Vaya a Entra ID>Acceso condicional>Directivas, y a continuación, seleccione Nueva directiva.

    Captura de pantalla que muestra el botón Nueva directiva.

  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

  5. En Asignaciones, seleccione el vínculo en Usuarios.

    a) En la pestaña Incluir , seleccione Todos los usuarios.

    b. En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia de la organización. A continuación, elija Seleccionar.

    Captura de pantalla de la asignación de usuarios a la nueva directiva.

  6. Seleccione el vínculo en Recursos de destino.

    a) En la pestaña Incluir , elija una de las siguientes opciones:

    • Elija Todos los recursos (anteriormente"Todas las aplicaciones en la nube") .

    • Elija Seleccionar recursos y seleccione el vínculo en Seleccionar. Busque la aplicación, selecciónela y, a continuación, elija Seleccionar.

    b. En la pestaña Excluir , seleccione todas las aplicaciones que no requieran autenticación multifactor.

    Captura de pantalla de la asignación de aplicaciones a la nueva directiva.

  7. En Controles de acceso, seleccione el vínculo que aparece debajo de Conceder. Seleccione Conceder acceso, seleccione Requerir autenticación multifactor y, después, seleccione Seleccionar.

    Captura de pantalla que muestra la opción Requerir autenticación multifactor.

  8. Confirme la configuración y establezca Habilitar directiva en Activado.

  9. Seleccione Crear para crear la directiva.

Habilitación del código de acceso de un solo uso de correo electrónico como método MFA

Habilite el método de autenticación de código de acceso de un solo uso de correo electrónico en el inquilino externo para todos los usuarios.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.

  2. Vaya a Entra ID>Métodos de autenticación.

  3. En la lista Método , seleccione Correo electrónico OTP.

    Captura de pantalla de la opción de código de acceso de un solo uso de correo electrónico.

  4. En Habilitar y establecer como destino, active el botón de alternancia Habilitar.

  5. En Incluir, junto a Destino, seleccione Todos los usuarios.

    Captura de pantalla de la habilitación del código de acceso de un solo uso por correo electrónico.

  6. Seleccione Guardar.

Habilitación de SMS como método de MFA

Habilite el método de autenticación por SMS en el inquilino externo para todos los usuarios.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.

  2. Vaya a Entra ID>Métodos de autenticación.

  3. En la lista Método , seleccione SMS.

    Captura de pantalla de la opción SMS.

  4. En Habilitar y establecer como destino, active el botón de alternancia Habilitar.

  5. En Incluir, junto a Destino, seleccione Todos los usuarios.

    Captura de pantalla de la habilitación de SMS.

  6. Seleccione Guardar.

Activación de telecomunicaciones para regiones de participación

A partir de enero de 2025, algunos códigos de país se estarán desactivados de forma predeterminada para la verificación por SMS. Si desea permitir el tráfico desde regiones desactivadas, debe activarlo para la aplicación mediante la directiva onPhoneMethodLoadStartevent de Microsoft Graph. Consulte Regiones que requieren participación para la comprobación de SMS.

Probar el inicio de sesión

En un explorador privado, abra la aplicación y seleccione Iniciar sesión. Debe aparecer un mensaje solicitando otro método de autenticación.