Compartir a través de

Autenticación multifactor preferida por el sistema: directiva de métodos de autenticación

  • Artículo

La autenticación multifactor (MFA) preferida por el sistema solicita a los usuarios que inicien sesión con el método más seguro que registraron. Los administradores pueden habilitar la MFA preferida por el sistema para mejorar la seguridad de inicio de sesión y desalentar los métodos de inicio de sesión menos seguros, como los SMS.

Por ejemplo, si un usuario registró SMS y notificaciones push de Microsoft Authenticator como métodos para la MFA, la MFA preferida por el sistema solicitará al usuario que inicie sesión con el método de notificación push, que es más seguro. Aún así, el usuario puede optar por iniciar sesión con otro método, pero primero se le pedirá que pruebe el método más seguro que registró.

La MFA preferida por el sistema es una configuración administrada por Microsoft que consiste en una directiva tristate. Para la versión preliminar, el estado predeterminado está deshabilitado. Si desea activarlo para todos los usuarios o un grupo de usuarios durante la versión preliminar, debe cambiar explícitamente el estado administrado por Microsoft a Habilitado. Algún tiempo después de la disponibilidad general, el estado administrado por Microsoft para MFA preferido por el sistema cambiará a Habilitado.

Después de habilitar la MFA preferida por el sistema, el sistema de autenticación realiza todo el trabajo. Los usuarios no necesitan establecer ningún método de autenticación como predeterminado porque el sistema siempre determina y presenta el método más seguro que registraron.

Nota:

La autenticación multifactor preferida por el sistema es una mejora de seguridad importante para los usuarios que se autentican mediante transportes de telecomunicaciones. A partir del 7 de julio de 2023, el valor administrado por Microsoft de MFA preferida por el sistema cambiará de Deshabilitado a Habilitado. Si no desea habilitar la MFA preferida por el sistema, cambie el estado de Predeterminado a Deshabilitado o excluya usuarios y grupos de la directiva.

Habilitación de MFA preferida por el sistema en el Centro de administración de Microsoft Entra

De forma predeterminada, la MFA preferida por el sistema es administrada por Microsoft y está deshabilitada para todos los usuarios.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Protección>Métodos de autenticación>Configuración.

  3. Para la Autenticación multifactor preferida por el sistema, elija si habilitar o deshabilitar explícitamente la característica e incluir o excluir a los usuarios. Los grupos excluidos tienen prioridad sobre los grupos de inclusión.

    Por ejemplo, en la captura de pantalla siguiente se muestra cómo habilitar explícitamente la MFA preferida por el sistema solo para el grupo Ingeniería.

    Captura de pantalla que muestra cómo habilitar la configuración de Microsoft Authenticator para el modo de autenticación de inserción.

  4. Cuando termine de realizar los cambios, haga clic en Guardar.

Habilitación de MFA preferida por el sistema mediante Graph API

Para habilitar la MFA preferida por el sistema de antemano, debe elegir un único grupo de destino para la configuración del esquema, como se muestra en el ejemplo de Solicitud.

Propiedades de configuración de las características del método de autenticación

De forma predeterminada, la MFA preferida por el sistema es administrada por Microsoft y está deshabilitada durante la versión preliminar. Después de la disponibilidad general, el valor predeterminado de estado administrado por Microsoft cambiará para habilitar la MFA preferida por el sistema.

Propiedad Tipo Descripción
excludeTarget featureTarget De esta característica se excluye solo una entidad.
Solo puede excluir un grupo de la MFA preferida por el sistema, que puede ser un grupo dinámico o anidado.
includeTarget featureTarget En esta característica se incluye solo una entidad.
Solo puede incluir un grupo para la MFA preferida por el sistema, que puede ser un grupo dinámico o anidado.
State advancedConfigState Los valores posibles son:
enabled habilita explícitamente la característica para el grupo seleccionado.
disabled deshabilita explícitamente la característica para el grupo seleccionado.
default permite a Microsoft Entra ID administrar si la característica está habilitada o no para el grupo seleccionado.

Propiedades de destino de las características

La MFA preferida por el sistema solo se puede habilitar para un único grupo, que puede ser un grupo dinámico o anidado.

Propiedad Tipo Descripción
ID String Identificador de registro de la entidad.
targetType featureTargetType Tipo de entidad de destino, como grupo, rol o unidad administrativa. Los valores posibles son: "group", "administrativeUnit", "role", "unknownFutureValue".

Use el siguiente punto de conexión de API para habilitar systemCredentialPreferences e incluir o excluir grupos:

https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy

Nota:

En el Explorador de Graph, necesitará dar su consentimiento al permiso Policy.ReadWrite.AuthenticationMethod.

Solicitud

En el ejemplo siguiente se excluye un grupo de destino de ejemplo e incluye a todos los usuarios. Para obtener más información, consulte Update authenticationMethodsPolicy.

PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

Preguntas más frecuentes

¿Cómo determina la MFA preferida por el sistema el método más seguro?

Cuando un usuario inicia sesión, el proceso de autenticación comprueba qué métodos de autenticación se registran para el usuario. Se solicita al usuario que inicie sesión con el método más seguro según el orden siguiente. El orden de los métodos de autenticación es dinámico. Se actualiza a medida que cambia el panorama de seguridad y a medida que surgen mejores métodos de autenticación. Debido a problemas conocidos con la autenticación basada en certificados y MFA preferido por el sistema, hemos movido CBA a la parte inferior de la lista. Haga clic en el vínculo para obtener información sobre cada método.

  1. Pase de acceso temporal
  2. Clave de seguridad FIDO2
  3. Notificaciones de Microsoft Authenticator
  4. Contraseñas de un solo uso y duración definida1
  5. Telefonía2
  6. Autenticación basada en certificados

1 Incluye TOTP de hardware o software de Microsoft Authenticator, Authenticator Lite o aplicaciones de terceros.

2 Incluye SMS y llamadas de voz.

¿Cómo afecta la MFA preferida por el sistema a la extensión NPS?

La MFA preferida por el sistema no afecta a los usuarios que inician sesión mediante la extensión del servidor de directivas de red (NPS). Esos usuarios no verán ningún cambio en su experiencia de inicio de sesión.

¿Qué ocurre para los usuarios que no se especifican en la directiva de métodos de autenticación pero están habilitados para la directiva de MFA heredada para todo el inquilino?

La MFA preferida por el sistema también se aplica a los usuarios que están habilitados para MFA en la directiva de MFA heredada.

Captura de pantalla de la configuración de MFA heredada.

Pasos siguientes