Ejecutar una campaña de registro para configurar una clave de acceso o una Microsoft Authenticator

Puede animar a los usuarios a configurar una clave de acceso o Microsoft Authenticator durante el inicio de sesión. Los usuarios pasan por su inicio de sesión normal, realizan la autenticación multifactor (MFA) como de costumbre y, a continuación, se les pide que configuren el método de autenticación de destino. Puede incluir o excluir usuarios o grupos para controlar quién recibe avisos y crear campañas dirigidas para animar a los usuarios a pasar de métodos de autenticación menos seguros a claves de acceso o Authenticator.

Las campañas de registro admiten dos métodos de autenticación:

  • Passkey (FIDO2): anima a los usuarios a registrar una clave de acceso, que incluye tanto claves de acceso sincronizadas como claves de acceso vinculadas al dispositivo.
  • Authenticator: invita a los usuarios a descargar y configurar Authenticator para recibir notificaciones push.

Una campaña de registro solo puede tener como destino un método de autenticación a la vez. No puede ejecutar campañas para Authenticator y passkeys simultáneamente en el mismo inquilino.

También puede definir cuántos días puede posponer un usuario o "snooze" el desplazamiento. Si un usuario pulsa Omitir por ahora para posponer la configuración, se le volverá a avisar en el siguiente intento de MFA una vez transcurrido el periodo de aplazamiento. Puede decidir si el usuario puede posponer indefinidamente o hasta tres veces (después del cual se requiere el registro).

A medida que los usuarios realizan su inicio de sesión habitual, las directivas de Acceso condicional de Microsoft Entra que regulan el registro de la información de seguridad se aplican antes de que se solicite al usuario que configure un método de autenticación. Por ejemplo, si una directiva de acceso condicional requiere que las actualizaciones de información de seguridad solo se puedan producir en una red interna. No se les solicita a los usuarios nada a menos que estén en la red interna.

Requisitos previos

  • Opcionalmente, puede determinar el número de usuarios que registraron cada método de autenticación antes de configurar la campaña de registro. Consulte Informe de actividad de métodos de autenticación.
  • Debe habilitar la autenticación multifactor, pero no hay requisitos de licencia.
  • Puede elegir entre dos campañas de autenticación:
    • Campañas de autenticación: los usuarios aún no pueden tener Autenticador configurado para notificaciones push en su cuenta. Habilite Authenticator para los usuarios en la directiva de métodos de autenticación. El modo de autenticación debe establecerse en Any o Push. Si el modo está establecido en Sin contraseña, los usuarios no son aptos para el nudge. Para obtener más información, consulte Habilitación del inicio de sesión sin contraseña con Authenticator.
    • Campañas de claves de acceso: el método de autenticación de clave de acceso (FIDO2) debe estar habilitado en la directiva de métodos de autenticación. Además, el interruptor Permitir configuración de autoservicio debe estar habilitado en la configuración del método de clave de acceso (FIDO2). Para obtener más información, consulte Habilitación de claves de acceso.

Experiencia del usuario

Campaña de autenticación

Cuando sea seleccionado para una campaña de registro en Authenticator, verá el siguiente flujo:

  1. Debe completar MFA.

  2. Si está habilitado para las notificaciones push de Authenticator y no está configurado, se le pedirá que configure Authenticator para mejorar la experiencia de inicio de sesión.

    Otras características de seguridad, como la clave de acceso sin contraseña, el autoservicio de restablecimiento de contraseña o los valores predeterminados de seguridad, también pueden solicitarle la configuración.

    Captura de pantalla que muestra el mensaje de campaña de registro que pide al usuario que configure Authenticator.

  3. Seleccione Siguiente y recorra la configuración de Authenticator.

  4. Si no desea configurar Authenticator, puede seleccionar Omitir por ahora para posponer el aviso de hasta 14 días, que un administrador puede establecer. Los usuarios con suscripciones gratuitas y de evaluación pueden posponer el aviso hasta tres veces.

    Captura de pantalla que muestra la opción Omitir por ahora para posponer el aviso de campaña de registro.

Campaña passkey

Cuando se le incluya en una campaña de registro de claves de acceso, seguirá el flujo siguiente:

  1. Debe completar MFA.

  2. Si el registro de la clave de acceso está habilitado para su cuenta y no se registra una clave de acceso, se le pedirá que configure una clave de acceso.

    Nota

    La evaluación del aviso de clave de acceso determina si hay una clave de acceso local para la combinación actual de dispositivo y navegador. Si ya tiene una clave de acceso local para esa experiencia, no se le sugiere. La evaluación de nudge se basa en cada combinación de dispositivo y explorador que use, en lugar de para la cuenta de usuario. Para obtener más información sobre qué tipos de claves de acceso cumplen los requisitos del aviso en cada plataforma, consulte la sección Evaluación del aviso de claves de acceso por plataforma.

  3. Si no desea configurar una clave de acceso, seleccione Omitir por ahora para posponer el aviso.

  4. Si se produce un error durante el registro de la clave de acceso, verá una pantalla de error con una opción de omisión. Las omisiones desde la pantalla de error no cuentan para tu número limitado de omisiones, por lo que los errores durante el registro no impiden el inicio de sesión.

Habilitar la política de campaña de registro mediante el centro de administración de Microsoft Entra

Para habilitar una campaña de registro en el Centro de administración Microsoft Entra, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.

  2. Vaya a Entra ID>Métodos de autenticación>Campaña de registro, y seleccione Editar.

  3. Para estado:

    • Seleccione Habilitado para habilitar la campaña de registro para todos los usuarios. Cuando el estado se establece en Habilitado, puede configurar el método de autenticación de destino, posponer la duración, el número limitado de snoozes e incluir o excluir destinos.
    • Seleccione Microsoft managed para habilitar la campaña de registro con valores predeterminados recomendados Microsoft. Cuando se selecciona Microsoft managed, el método de autenticación de destino, la duración de posponer y el número limitado de snoozes se establecen automáticamente y no se pueden configurar. Todavía puede configurar objetivos de inclusión y exclusión. Para obtener más información, consulte Protección de métodos de autenticación en El identificador de Entra de Microsoft.

    Nota

    Cuando el estado se establece en administrado por Microsoft, Microsoft determina la configuración óptima de la campaña en función de las prácticas recomendadas para su tenant. Los cambios siguientes se implementan incrementalmente en los inquilinos:

    • El método de autenticación de destino cambia de Authenticator a claves de paso (FIDO2).
    • Días permitidos para aplazar cambia a un día. Esta configuración ya no es configurable.
    • Número limitado de aplazamientos cambia a Deshabilitado (aplazamientos ilimitados). Esta configuración ya no es configurable.
    • La asignación de usuarios cambia de los usuarios de llamada de voz o mensaje de texto a todos los usuarios compatibles con MFA.

    Si el inquilino tiene como destino AAGUID específicos en la directiva de clave de acceso (FIDO2), el método de autenticación de destino no se actualiza a las claves de paso en Microsoft modo administrado. Todavía puede cambiar a Habilitado y configurar el destino de la clave de acceso manualmente. Después de que los cambios surtan efecto, los usuarios seleccionados reciben avisos para registrar una clave de acceso al iniciar sesión, después de completar la MFA.

    Si quiere tener habilitadas las claves de acceso, pero no quiere que la campaña de registro se dirija a las claves de acceso, puede cambiar el estado a Habilitado y seleccionar Autenticador como destino. También puede establecer el estado en Deshabilitado. Para obtener más información sobre cómo se establecen Microsoft valores administrados, consulte Microsoft valores administrados.

    Si el estado de la campaña de registro está establecido en Habilitado, puede configurar la experiencia para los usuarios mediante un número limitado de snoozes:

    • Si el número limitado de snoozes está establecido en Habilitado, los usuarios pueden omitir el aviso de interrupción tres veces, después de lo cual se ven obligados a registrar el método de autenticación de destino.
    • Si el número limitado de snoozes está establecido en Deshabilitado, los usuarios pueden posponer un número ilimitado de veces y evitar el registro.

    Nota

    Cuando el número limitado de snoozes se establece en Habilitado, se realiza un seguimiento del recuento de pospones por usuario y se conserva en los reinicios de la campaña o los cambios de configuración (incluidas las actualizaciones de método de destino). Esta configuración garantiza una experiencia de registro coherente y predecible.

    Los días permitidos para posponer establece el período entre dos avisos de interrupción sucesivos. Por ejemplo, si el período se establece en tres días, a los usuarios que se saltaron el registro no se les volverá a pedir hasta que hayan pasado tres días.

  4. En Método de autenticación, seleccione el método de destino:

    • Microsoft Authenticator: anima a los usuarios a configurar Authenticator.
    • Passkey: Anima a los usuarios a registrar una clave de acceso (incluye tanto claves de acceso sincronizadas como claves de acceso vinculadas al dispositivo).

  5. Seleccione los usuarios o grupos que desea excluir de la campaña de registro y, a continuación, seleccione Guardar.

    Captura de pantalla de la página Campaña de registro en el centro de administración de Microsoft Entra, que muestra una campaña de claves de acceso habilitada con el método de autenticación, la configuración de aplazamiento y los destinos incluidos y excluidos.

Habilitación de la directiva de campaña de registro mediante el Explorador de Graph

Además de utilizar el centro de administración de Microsoft Entra, puede habilitar la política de campaña de registro mediante Graph Explorer. Debe usar las API de Graph para la directiva de métodos de autenticación. Los usuarios a los que se les asigna al menos el rol Administrador de directivas de autenticación pueden actualizar la directiva.

Para configurar la directiva mediante el Explorador de Graph:

  1. Inicie sesión en el Explorador de Graph y asegúrese de que ha consentido los permisos Policy.Read.All y Policy.ReadWrite.AuthenticationMethod para abrir el panel de permisos.

    Captura de pantalla del Explorador de Graph que muestra el panel de permisos con Policy.Read.All y Policy.ReadWrite.AuthenticationMethod con consentimiento otorgado.

  2. Recupere la directiva de métodos de autenticación:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  3. Modifique la sección registrationEnforcement y authenticationMethodsRegistrationCampaign de la directiva para habilitar el nudge para un usuario o un grupo.

    Captura de pantalla de la respuesta de la API de Graph Explorer en la que se muestra la sección registrationEnforcement de la directiva de métodos de autenticación.

    Para actualizar la directiva, realice una operación PATCH en la directiva de métodos de autenticación solo con la sección registrationEnforcement actualizada:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

En la siguiente tabla se enumeran las authenticationMethodsRegistrationCampaign propiedades.

Nombre Valores posibles Descripción
snoozeDurationInDays Intervalo: de 0 a 14 Define el número de días antes de que el usuario vuelve a recibir un recordatorio.
Si el valor es 0, se recuerda al usuario en cada intento de MFA.
Valor predeterminado: un día
enforceRegistrationAfterAllowedSnoozes true
false		 Determina si se requiere que un usuario realice la instalación después de tres snoozes.
Si true, el usuario debe registrarse.
Si false, el usuario puede posponerlo indefinidamente.
Opción predeterminada: true
state enabled
disabled
default		 Permite habilitar o deshabilitar la característica.
El valor predeterminado se usa cuando la configuración no se establece explícitamente y usa el valor predeterminado Microsoft Entra ID para esta configuración.
Cambie el estado a enabled (para todos los usuarios) o disabled según sea necesario.
excludeTargets No se aplica Permite excluir distintos usuarios y grupos que quiere omitir de la característica. Si un usuario está en un grupo excluido y un grupo incluido, el usuario se excluye de la característica.
includeTargets No se aplica Permite incluir distintos usuarios y grupos a los que quiere que se dirija la característica.

En la siguiente tabla se enumeran las includeTargets propiedades.

Nombre Valores posibles Descripción
targetType user
group		 Tipo de entidad de destino.
ID Un identificador único global (GUID) El id. del usuario o grupo de destino.
targetedAuthenticationMethod microsoftAuthenticator
fido2		 El método de autenticación que se sugiere al usuario registrar. Usa microsoftAuthenticator para animar a los usuarios a configurar Authenticator, o usa fido2 para animar a los usuarios a registrar una clave de acceso.

En la siguiente tabla se enumeran las excludeTargets propiedades.

Nombre Valores posibles Descripción
targetType user
group		 Tipo de entidad de destino.
ID Una cadena El id. del usuario o grupo de destino.

Ejemplos

Puede usar los siguientes cuerpos JSON de ejemplo para empezar:

  • Incluya todos los usuarios y el autenticador de destino.

    Si desea incluir a todos los usuarios de su inquilino y animarlos a configurar Authenticator, actualice el siguiente ejemplo de JSON con los identificadores únicos globales (GUID) pertinentes de sus usuarios y grupos. A continuación, péguelo en el Explorador de Graph y ejecute PATCH en el punto de conexión.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "all_users",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

  • Incluya a todos los usuarios y seleccione las claves de acceso.

    Si desea incluir a todos los usuarios de su tenant y animarlos a que registren una clave de acceso, actualice el siguiente ejemplo de JSON. A continuación, péguelo en el Explorador de Graph y ejecute PATCH en el punto de conexión.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "all_users",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "fido2"
                }
            ]
        }
    }
}

  • Incluir usuarios o grupos específicos de usuarios.

    Si desea incluir ciertos usuarios o grupos en su inquilino, actualice el siguiente ejemplo JSON con los GUID relevantes de sus usuarios y grupos. A continuación, pegue el JSON en el Explorador de Graph y ejecute PATCH en el punto de conexión.

    {
"registrationEnforcement": {
      "authenticationMethodsRegistrationCampaign": {
          "snoozeDurationInDays": 1,
          "enforceRegistrationAfterAllowedSnoozes": true,
          "state": "enabled",
          "excludeTargets": [],
          "includeTargets": [
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "group",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              },
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "user",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              }
          ]
      }
  }
}

  • Incluir y excluir usuarios o grupos específicos.

    Si desea incluir y excluir determinados usuarios o grupos en su inquilino, actualice el siguiente ejemplo JSON con los GUID correspondientes de sus usuarios y grupos. A continuación, péguelo en el Explorador de Graph y ejecute PATCH en el punto de conexión.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group"
                },
              {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user"
                }
            ],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

Identificar los GUID de usuario en el cuerpo de la solicitud JSON

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.

  2. En el panel Administrar , seleccione Usuarios.

  3. En la página Usuarios , identifique el usuario específico al que desea dirigirse.

  4. Al seleccionar el usuario específico, verá su identificador de objeto, que es el GUID del usuario.

    Captura de pantalla que muestra la página de propiedades del usuario que muestra el campo Id. de objeto.

Identifique los GUID de los grupos para el cuerpo de la solicitud en JSON

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.

  2. En el panel Administrar , seleccione Grupos.

  3. En la página Grupos , identifique el grupo específico al que desea dirigirse.

  4. Seleccione el grupo para obtener el identificador de objeto.

    Captura de pantalla que muestra la página de propiedades del grupo que muestra el campo Id. de objeto.

Limitaciones

El aviso de clave de acceso se evalúa de forma individual para cada usuario en el modo administrado por Microsoft. Cuando un usuario inicia sesión y está incluido en la campaña de registro, se comprueba si su perfil de clave de acceso tiene restricciones. Los usuarios no ven un aviso cuando se completa la MFA si su perfil de clave de acceso incluye alguna de las siguientes restricciones:

  • Solo sincronizado
  • Únicamente vinculado al dispositivo
  • Verificación obligatoria
  • Restricciones de AAGUID

Evaluación por plataforma del aviso sobre claves de acceso

La campaña de registro evalúa si un usuario tiene una clave de acceso local para su combinación actual de dispositivo y explorador. En la tabla siguiente se describe qué tipos de clave de acceso de plataforma suprimen el nudge en cada combinación del sistema operativo y del explorador. Un usuario necesita al menos un tipo de clave de acceso coincidente para que el nudge se suprima en ese dispositivo y explorador.

Por ejemplo, si un usuario tiene una credencial de Windows Hello para empresas e inicia sesión en Windows con Chrome, se suprime el nudge. Sin embargo, si el mismo usuario inicia sesión en un Mac con Chrome, se le sugiere hacerlo de otro modo porque esa credencial no se aplica a esa plataforma.

Credential Windows + Chrome Windows + Otros Mac + Chrome Mac + Otros Ios Android
Windows Hello para empresas ✔️ ✔️
Clave de acceso de Microsoft Entra en Windows ✔️ ✔️
Administrador de contraseñas de Google ✔️ ✔️ ✔️
Llavero de iCloud (incluido el gestionado) ✔️ ✔️ ✔️
Inicio de sesión único (SSO) en Mac Platform ✔️ ✔️
Samsung Pass ✔️
Cualquier proveedor que no sea de plataforma (como claves de seguridad o aplicaciones de autenticación) ✔️ ✔️ ✔️ ✔️ ✔️ ✔️

Nota

A los usuarios de Linux no se les anima. Las claves de acceso FIDO2 no están disponibles en Linux.

Preguntas más frecuentes

¿Se puede animar a los usuarios en una aplicación?

Sí. Las campañas de registro admiten vistas de explorador insertadas en determinadas aplicaciones. La campaña no incita a los usuarios en las experiencias de configuración inicial ni en las vistas del navegador integradas en la configuración de Windows.

¿Se puede incitar a los usuarios durante una sesión de SSO?

El nudge no se desencadena si el usuario ya ha iniciado sesión con SSO.

¿Se puede impulsar a los usuarios en un dispositivo móvil?

Depende de la campaña de registro:

  • Las campañas de registro de Microsoft Authenticator no son compatibles con dispositivos móviles.

  • Las campañas de registro de claves de acceso son compatibles con dispositivos móviles, incluidos:

    • Experiencias basadas en explorador en dispositivos móviles.
    • Aplicaciones móviles nativas de iOS. La compatibilidad con aplicaciones móviles nativas de Android no está disponible actualmente.

¿Cuánto tiempo se ejecuta la campaña?

Puedes habilitar la campaña siempre que quieras. Siempre que quieras terminar de ejecutar la campaña, usa el centro de administración o las API para deshabilitar la campaña.

¿Puede cada grupo de usuarios tener un tiempo de aplazamiento distinto?

No. La duración de la posposición del mensaje es una configuración para todo el inquilino y se aplica a todos los grupos del ámbito.

¿Se puede animar a los usuarios a configurar el inicio de sesión por teléfono sin contraseña?

La función de campaña de registro permite animar a los usuarios a configurar la MFA con Authenticator o a registrar una clave de acceso. El inicio de sesión telefónico sin contraseña no es un método de destino para las campañas de registro.

¿Ve el aviso un usuario que inicia sesión con una aplicación de autenticación que no sea de Microsoft?

Sí. Si un usuario está habilitado para la campaña de registro y el método de autenticación objetivo no está configurado (Authenticator para notificaciones push o una clave de acceso), se anima al usuario.

¿Ve el aviso un usuario que tiene Authenticator configurado únicamente para códigos de un solo uso basados en tiempo?

Sí. Si un usuario está habilitado para una campaña de registro en Authenticator y Authenticator no está configurado para las notificaciones push, se le anima a configurar las notificaciones push con Authenticator.

¿Un usuario que ya tiene una clave de paso ve el aviso?

El recordatorio de passkey evalúa si un usuario tiene una clave de acceso local para su combinación actual de dispositivo y navegador. Si el usuario ya tiene una clave de acceso local para esa experiencia, no se les sugiere. Por este motivo, un usuario podría estar engañado en un dispositivo, pero no en otro. Para obtener información específica de la plataforma, consulte la sección Evaluación de claves de paso por plataforma .

¿Puedo ejecutar campañas de registro para Authenticator y passkeys al mismo tiempo?

No. Una campaña de registro solo puede tener como destino un método de autenticación a la vez. Puede tener como destino Authenticator o passkeys, pero no ambos simultáneamente en el mismo inquilino.

Si un usuario acaba de completar el registro de MFA, ¿se le vuelve a avisar en la misma sesión de inicio?

No. Para proporcionar una buena experiencia de usuario, no se anima a los usuarios a configurar Authenticator en la misma sesión en la que registraron otros métodos de autenticación.

¿Puedo animar a mis usuarios a registrar otro método de autenticación?

Sí. Las campañas de registro permiten animar a los usuarios a configurar Authenticator o a registrar una clave de acceso (FIDO2). Seleccione el método de autenticación de destino al configurar la campaña.

¿Hay alguna manera de ocultar la opción de posponer y obligar a mis usuarios a configurar Authenticator?

Establezca Número limitado de snoozes en Habilitado para que los usuarios puedan posponer la configuración de la aplicación hasta tres veces, después de lo cual se requiere la configuración.

¿Puedo enviar recordatorios a mis usuarios si no estoy usando Microsoft Entra MFA?

No. El nudge solo funciona para los usuarios que realizan MFA mediante Microsoft Entra MFA.

¿Están los usuarios invitados o B2B en mi inquilino con el nombre de usuario?

Se les anima si están incluidos en una campaña de registro de Authenticator. No se les envía ningún recordatorio si están incluidos en una campaña de registro de claves de acceso, porque la compatibilidad con claves de acceso para usuarios invitados no está disponible actualmente.

¿Qué ocurre si el usuario cierra el explorador?

Cerrar el navegador es lo mismo que posponerlo. Si la configuración es necesaria para un usuario después de haber aplazado tres veces, se les empujará la próxima vez que inicie sesión.

¿Por qué algunos usuarios no ven un aviso cuando hay una directiva de acceso condicional para "Registrar la información de seguridad"?

Un aviso no aparece si un usuario está incluido en una política de Acceso Condicional que bloquea el acceso a la página Registrar información de seguridad.

¿Los usuarios ven un aviso cuando aparece una pantalla con los términos de uso al iniciar sesión?

No aparece un aviso si aparece una pantalla de términos de uso al iniciar sesión.

¿Ven los usuarios un aviso cuando los controles personalizados de Acceso condicional se aplican al inicio de sesión?

No aparece un aviso si se redirige a un usuario durante el inicio de sesión debido a la configuración de controles personalizados de acceso condicional.

Contenido relacionado

  • Last updated on