Compartir a través de

Habilitación de claves de paso en Microsoft Authenticator (versión preliminar)

  • Artículo

En este artículo se enumeran los pasos para habilitar y aplicar las claves de paso en Authenticator para Microsoft Entra ID. En primer lugar, actualice la directiva de métodos de autenticación para permitir que los usuarios finales se registren e inicien sesión con claves de paso en Authenticator. A continuación, puede usar directivas de intensidad de autenticación de acceso condicional para aplicar el inicio de sesión con clave de paso cuando los usuarios acceden a un recurso confidencial.

Requisitos

  • Autenticación multifactor (MFA) de Microsoft Entra
  • Android 14 y versiones posteriores o iOS 17 y versiones posteriores
  • Una conexión activa a Internet en cualquier dispositivo que forme parte del proceso de registro o autenticación de la llave de acceso
  • Para el registro o la autenticación entre dispositivos, ambos dispositivos deben tener Bluetooth habilitado

Nota

Los usuarios deben instalar la versión más reciente de Authenticator para Android o iOS para usar una clave de paso.

Para más información sobre dónde puede usar las claves de paso en Authenticator para iniciar sesión, consulte Compatibilidad con la autenticación FIDO2 con Microsoft Entra ID.

Habilitación de claves de acceso en Authenticator en el Centro de administración

Un administrador de directivas de autenticación debe dar su consentimiento para permitir el autenticador en la configuración de llave de acceso (FIDO2) de la directiva de métodos de autenticación. Deben permitir explícitamente los GUID de autenticación de autenticación (AAGUID) para Microsoft Authenticator para permitir que los usuarios registren claves de acceso en la aplicación Authenticator. No hay ninguna configuración para habilitar las claves de acceso en la sección aplicación Microsoft Authenticator de la directiva Métodos de autenticación.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Protección>Métodos de autenticación>Directiva de método de autenticación.

  3. En el método Llave de acceso (FIDO2), seleccione Todos los usuarios o Agregar grupos para seleccionar grupos específicos. Solo se admiten grupos de seguridad.

  4. En la pestaña Configurar:

    • Establezca Permitir configuración de autoservicio en . Si se establece en No, los usuarios no pueden registrar una clave de acceso mediante la información de seguridad, incluso si las claves de acceso (FIDO2) están habilitadas por la directiva de métodos de autenticación.

    • Establezca Forzar atestación en No para la versión preliminar. La compatibilidad con la atestación está planeada para disponibilidad general.

    • Las restricciones de claves establecen la facilidad de uso de claves de paso específicas para el registro y la autenticación. Establezca Aplicar restricciones de clave en para permitir o bloquear solo determinadas claves de acceso, que se identifican mediante sus AAGUID.

      Esta configuración debe ser y debe agregar los AAGUID de Microsoft Authenticator para permitir a los usuarios registrar claves de acceso en Authenticator, ya sea iniciando sesión en la aplicación Authenticator o agregando una llave de acceso en Microsoft Authenticator desde su información de seguridad.

      La información de seguridad requiere que esta configuración se establezca en para que los usuarios puedan elegir llave de acceso en Authenticator y pasar por un flujo de registro de clave de paso de Authenticator dedicado. Si elige No, es posible que los usuarios puedan agregar una clave de acceso en Microsoft Authenticator eligiendo el método llave de acceso, en función de su sistema operativo y explorador. Sin embargo, no esperamos que la mayoría de los usuarios puedan detectar y usar esta vía.

      Si su organización no aplica actualmente restricciones de clave y ya tiene el uso de la clave de acceso activa, debe recopilar los AAGUID de las claves que se usan hoy en día. Agréguelos a la lista Permitir, junto con los AAGUID de Authenticator, para habilitar esta versión preliminar. Esta tarea se puede realizar con un script automatizado que analiza registros como los detalles de registro y los registros de inicio de sesión.

      Si cambia las restricciones de claves y quita un AAGUID que ha permitido anteriormente, los usuarios que anteriormente registraron un método permitido ya no podrán usarlo para el inicio de sesión.

    • Establezca Restringir claves específicas en Permitir.

    • Seleccione Microsoft Authenticator (versión preliminar) para agregar automáticamente las AAGUID de la aplicación Authenticator a la lista de restricciones de claves, o agregue manualmente los siguientes AAGUID para permitir que los usuarios registren claves de acceso en Authenticator iniciando sesión en la aplicación Authenticator o pasando por un flujo guiado en la página Información de seguridad:

      • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

      Nota

      Si desactiva las restricciones de claves, asegúrese de desactivar la casilla Microsoft Authenticator (versión preliminar) para que no se pida a los usuarios que configuren una clave de acceso en la aplicación Authenticator en Información de seguridad.

      Se pueden enumerar dos AAGUID más. Son b6879edc-2a86-4bde-9c62-c1cac4a8f8e5 y 257fa02a-18f3-4e34-8174-95d454c2e9ad. Estos AAGUID aparecen con antelación de una próxima característica. Puede quitarlos de la lista de AAGUID permitidos.

    Captura de pantalla que muestra Microsoft Authenticator habilitado para la clave de paso.

  5. Una vez finalizada la configuración, seleccione Guardar.

    Nota

    Si ve un error al intentar guardar, reemplace varios grupos por un único grupo en una operación y, a continuación, haga clic en Guardar de nuevo.

Habilitación de claves de paso en Authenticator mediante el Explorador de Graph

Además de usar el Centro de administración de Microsoft Entra, también puede habilitar claves de paso en Authenticator mediante el Explorador de Graph. Aquellos a los que se haya asignado, como mínimo, el rol de Administrador de directiva de autenticación pueden actualizar la directiva de métodos de autenticación para permitir los AAGUID para Authenticator.

Para configurar la directiva mediante el Explorador de Graph:

  1. Inicie sesión en Explorador de Graph y acepte los permisos Policy.Read.All y Policy.ReadWrite.AuthenticationMethod.

  2. Recupere la directiva de métodos de autenticación:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Para deshabilitar la aplicación de atestación y aplicar restricciones de clave para permitir solo AAGUIDs para Microsoft Authenticator, realice una operación PATCH con el siguiente cuerpo de solicitud:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Asegúrese de que la directiva de llave de acceso (FIDO2) se actualice correctamente.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Eliminación de una llave de acceso

Para quitar una clave de paso asociada a una cuenta de usuario, elimine la clave de los métodos de autenticación del usuario.

  1. Inicie sesión en el Centro de administración de Microsoft Entra y busque el usuario cuya clave de acceso debe eliminarse.

  2. Seleccione Métodos de autenticación>, haga clic con el botón derecho en clave de seguridad FIDO2 y haga clic en Eliminar.

    Captura de pantalla de la opción Ver detalles del método de autenticación.

Nota

Los usuarios también deben quitar la clave de acceso en Authenticator en su dispositivo.

Aplicación del inicio de sesión con claves de paso en Authenticator

Para que los usuarios inicien sesión con una llave de paso cuando acceden a un recurso confidencial, utilice la intensidad de autenticación integrada resistente a la suplantación de identidad (phishing), o cree una intensidad de autenticación personalizada siguiendo estos pasos:

  1. Inicie sesión en el Centro de administración Microsoft Entra como administrador de acceso condicional.

  2. Vaya a Protección>Método de autenticación>Puntos fuertes de la autenticación.

  3. Seleccione Nueva intensidad de autenticación.

  4. Proporcione un nombre descriptivo para la nueva intensidad de autenticación.

  5. Si quiere, puede incluir también una descripción.

  6. Seleccione Claves de paso (FIDO2) y, a continuación, seleccione Opciones avanzadas.

  7. Agregue AAGUIDs para claves de paso en Authenticator:

    • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

  8. Elija Siguiente y revise la configuración de la directiva.

Pasos siguientes

Compatibilidad con la clave de paso en Windows