Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Inquilinos del personal
Inquilinos externos (más información)
La autenticación multifactor (MFA) agrega una capa de seguridad a las aplicaciones. Para ello, requiere que los usuarios proporcionen un segundo método que permita verificar su identidad durante el registro o el inicio de sesión. Los inquilinos externos admiten dos métodos para la autenticación como segundo factor:
- Código de acceso de un solo uso por correo electrónico: después de que el usuario inicie sesión con su correo electrónico y contraseña, se le pedirá un código de acceso que se envíe a su correo electrónico. Para permitir el uso de códigos de acceso de un solo uso de correo electrónico para MFA, establezca el método de autenticación de la cuenta local en Correo electrónico con contraseña. Si elige Correo electrónico con código de acceso de un solo uso, los clientes que usan este método para el inicio de sesión principal no podrán usarlo para la comprobación secundaria de MFA.
- Autenticación basada en SMS: aunque SMS no es una opción para la autenticación en primer factor, está disponible como segundo factor para MFA. A los usuarios que inician sesión con correo electrónico y contraseña, correo electrónico y código de acceso de un solo uso, o identidades sociales como Google, Facebook o Apple, se les solicita la segunda comprobación mediante SMS. Nuestra MFA por SMS incluye comprobaciones automáticas de fraude. Si sospechamos de fraude, pediremos al usuario que responda a una pregunta CAPTCHA para confirmar que no es un robot antes de enviarle el código SMS de verificación. También proporciona medidas de seguridad contra el fraude de telefonía. SMS es una característica de complemento. El inquilino debe estar vinculado a una suscripción activa y válida. Aprende más
En este artículo se explica cómo aplicar MFA a los clientes mediante la creación de una directiva de acceso condicional de Microsoft Entra y la adición de MFA al flujo de usuario de registro e inicio de sesión.
Sugerencia
Para probar esta característica, vaya a la demostración de Woodgrove Groceries e inicie el caso de uso "Multi-factor authentication".
Requisitos previos
- Un inquilino externo de Microsoft Entra.
- Flujo de registro e inicio de sesión de usuario.
- Una aplicación registrada en su entidad externa y agregada al flujo de usuario para el registro e inicio de sesión.
- Una cuenta con al menos el rol Administrador de seguridad para configurar directivas de Acceso condicional y MFA.
- SMS es una característica de complemento y requiere una suscripción vinculada. Si la suscripción expira o se cancela, los usuarios finales ya no podrán autenticarse mediante SMS, lo que podría impedir que inicien sesión, según cuál sea la directiva de MFA.
Creación de una directiva de acceso condicional
Cree una directiva de acceso condicional en el inquilino externo que solicite MFA a los usuarios cuando se registren o inicien sesión en la aplicación. (Para obtener más información, consulte Directiva de acceso condicional común: Requerir MFA para todos los usuarios).
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.
Si tiene acceso a varios inquilinos, use el icono
Configuración del menú superior para cambiar al inquilino externo desde el menú Directorios y suscripciones.
Vaya a Entra ID>Acceso condicional>Directivas, y a continuación, seleccione Nueva directiva.
Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
En Asignaciones, seleccione el vínculo en Usuarios.
a) En la pestaña Incluir , seleccione Todos los usuarios.
b. En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia de la organización. A continuación, elija Seleccionar.
Seleccione el vínculo en Recursos de destino.
a) En la pestaña Incluir , elija una de las siguientes opciones:
Elija Todos los recursos (anteriormente"Todas las aplicaciones en la nube") .
Elija Seleccionar recursos y seleccione el vínculo en Seleccionar. Busque la aplicación, selecciónela y, a continuación, elija Seleccionar.
b. En la pestaña Excluir , seleccione todas las aplicaciones que no requieran autenticación multifactor.
En Controles de acceso, seleccione el vínculo que aparece debajo de Conceder. Seleccione Conceder acceso, seleccione Requerir autenticación multifactor y, después, seleccione Seleccionar.
Confirme la configuración y establezca Habilitar directiva en Activado.
Seleccione Crear para crear la directiva.
Habilitación del código de acceso de un solo uso de correo electrónico como método MFA
Habilite el método de autenticación de código de acceso de un solo uso de correo electrónico en el inquilino externo para todos los usuarios.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.
Vaya a Entra ID>Métodos de autenticación.
En la lista Método , seleccione Correo electrónico OTP.
En Habilitar y establecer como destino, active el botón de alternancia Habilitar.
En Incluir, junto a Destino, seleccione Todos los usuarios.
Seleccione Guardar.
Habilitación de SMS como método de MFA
Habilite el método de autenticación por SMS en el inquilino externo para todos los usuarios.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.
Vaya a Entra ID>Métodos de autenticación.
En la lista Método , seleccione SMS.
En Habilitar y establecer como destino, active el botón de alternancia Habilitar.
En Incluir, junto a Destino, seleccione Todos los usuarios.
Seleccione Guardar.
Activación de telecomunicaciones para regiones de participación
A partir de enero de 2025, algunos códigos de país se estarán desactivados de forma predeterminada para la verificación por SMS. Si desea permitir el tráfico desde regiones desactivadas, debe activarlo para la aplicación mediante la directiva onPhoneMethodLoadStartevent
de Microsoft Graph. Consulte Regiones que requieren participación para la comprobación de SMS.
Probar el inicio de sesión
En un explorador privado, abra la aplicación y seleccione Iniciar sesión. Debe aparecer un mensaje solicitando otro método de autenticación.