En este artículo se abordan las preguntas más frecuentes sobre claves de acceso. Siga comprobando si hay contenido actualizado.
Preguntas más frecuentes sobre passkeys en Microsoft Entra
¿Cuándo se pide a los usuarios que registren una clave de acceso durante el inicio de sesión?
Es posible que los usuarios vean un mensaje de registro de clave de acceso si:
- Se habilita una campaña de registro de clave de acceso (empujón) o
- Un administrador requiere explícitamente el registro de clave de acceso a través de la directiva, por ejemplo, aplicando autenticación multifactor resistente a la suplantación de identidad con un nivel de seguridad de autenticación de acceso condicional.
¿Cómo pueden los administradores supervisar o auditar el uso de claves de paso?
Los administradores pueden usar registros de auditoría, registros de inicio de sesión y notificaciones de usuario para realizar un seguimiento de la creación y el uso de la clave de acceso. Actualmente, no hay ninguna expiración automática para las claves de acceso, por lo que se recomienda la supervisión y el mantenimiento del ciclo de vida.
¿Son las claves de acceso en Microsoft Entra resistentes a la computación cuántica?
Las claves de paso no son completamente seguras frente a la computación cuántica hoy en día, pero Microsoft tiene una hoja de ruta publicada para hacer que la autenticación de Microsoft Entra, incluidas las claves de acceso, sea segura frente a la computación cuántica mediante criptografía post-cuántica, con una transición completa prevista para 2033.
Preguntas más frecuentes sobre la clave de acceso sincronizada
¿Cuáles son las ventajas de las claves de paso sincronizadas?
Las claves de acceso sincronizadas almacenadas en proveedores de claves de acceso nativos y de terceros que ya existen en los dispositivos de los usuarios resuelven muchos de los problemas de emisión y administración duros asociados a un dispositivo de autenticación independiente. El hecho de que la clave de acceso puede sincronizarse entre los dispositivos cliente del usuario y la nube reduce enormemente la capacidad de recuperación y los costos de reemisión asociados con las claves de acceso enlazadas al dispositivo. Esperamos que esta combinación de ventajas haga que las claves de acceso sincronizadas sean la mejor opción para la mayoría de los usuarios y organizaciones.
¿Cómo puedo realizar un lanzamiento escalonado de claves de acceso sincronizadas?
Puede usar perfiles de clave de acceso para definir el ámbito del lanzamiento de claves de acceso sincronizadas para seleccionar grupos de usuarios. Microsoft recomienda claves de acceso enlazadas al dispositivo para administradores y usuarios con privilegios elevados y claves de acceso sincronizadas para todos los usuarios con permisos que no son de administrador en su organización.
Como administrador, ¿puedo revocar el uso de una clave de acceso?
Sí. Los administradores pueden usar la interfaz de usuario o la API de métodos de autenticación por usuario para eliminar la clave de acceso de la cuenta de ID de Microsoft Entra de un usuario.
¿Qué protecciones se aplican para proteger las cuentas de usuario y los dispositivos cuando se usan claves de acceso sincronizadas?
Para registrar una clave de acceso con un proveedor de claves de paso, la mayoría requiere que la autenticación en dos fases se configure primero. La mayoría de los proveedores de claves de acceso también requieren que se configure un bloqueo de dispositivo antes de que se pueda almacenar una clave de acceso en el dispositivo. Esta experiencia es común en el administrador de contraseñas de Google y en la cadena de claves de iCloud, pero puede variar con otros proveedores de claves de acceso.
¿Los administradores pueden controlar en qué dispositivos está disponible una clave de acceso sincronizada o impedir que se compartan las claves de acceso?
En la actualidad, los administradores no pueden ver ni controlar exactamente qué dispositivos contienen una copia de una clave de acceso sincronizada, ni pueden consultar dónde se ha sincronizado una clave de acceso sincronizada. Esto refleja una limitación más amplia de todo el sector en torno a la visibilidad de las credenciales que se sincronizan entre los dispositivos personales de un usuario. La industria, junto con la Alianza FIDO, está trabajando activamente en mejoras en este ámbito para proporcionar indicadores y controles más fuertes para las partes confiables. Por este motivo, es importante seleccionar el modelo de clave de acceso adecuado en función de los requisitos de seguridad y cumplimiento: si el control estricto de límites del dispositivo es un requisito estricto, las claves de acceso enlazadas al dispositivo son la opción recomendada. Estas credenciales están vinculadas a un dispositivo específico y no se sincronizan en otro lugar. Para otras poblaciones de usuarios, se recomiendan las claves de acceso sincronizadas. Las claves de acceso sincronizadas proporcionan una fuerte resistencia a la suplantación de identidad ( phishing), mientras que muchos métodos tradicionales no ofrecen visibilidad del dispositivo y son susceptibles a ataques de suplantación de identidad (phishing).
Preguntas más frecuentes sobre la clave de acceso del autenticador
¿Cómo almacena Microsoft Authenticator las claves de acceso en un dispositivo?
El hardware respalda las claves de acceso del autenticador.
En iOS, Authenticator almacena la clave privada en el enclave seguro.
En Android, Authenticator usa la API del sistema android Keystore para almacenar de forma segura las claves de acceso enlazadas al dispositivo. El sistema Android Keystore admite el enlace de material de clave al hardware seguro de un dispositivo Android, en este orden de preferencia:
En Android, Authenticator solo almacena una clave de acceso (clave privada) si el dispositivo Android tiene una de estas dos opciones de hardware seguras. Si no existe ninguna opción de hardware, se produce un error en el registro de la clave de acceso de Authenticator, incluso si la atestación está deshabilitada.
¿Puedo restaurar o sincronizar claves de paso de Authenticator en un nuevo dispositivo?
Las claves de acceso del autenticador solo están enlazadas al dispositivo y no se pueden sincronizar. Para obtener más información, consulte Claves de acceso enlazadas al dispositivo en Microsoft Authenticator.
¿Es necesario habilitar Bluetooth para realizar la autenticación entre dispositivos?
Para usar la autenticación entre dispositivos con claves de acceso en Authenticator, debe habilitar Bluetooth y tener acceso a Internet en ambos dispositivos.
¿Por qué se produce un error de inicio de sesión y registro entre dispositivos con "El dispositivo no se pudo conectar"?
Asegúrese de que ambos dispositivos tienen acceso a Internet y Bluetooth habilitado. Para el registro y la autenticación entre dispositivos, los usuarios no pueden usar el registro o la autenticación entre dispositivos si habilita la atestación.
| Plataforma | URL |
|---|---|
| Android | cable.ua5v.com |
| iOS | cable.auth.comapp-site-association.cdn-apple.comapp-site-association.networking.apple |
Si su organización restringe el uso de Bluetooth, puede permitir el emparejamiento de Bluetooth exclusivamente con autenticadores FIDO2 habilitados para contraseña para permitir el inicio de sesión y el registro de claves de acceso entre dispositivos.
¿Puedo tener varias claves de acceso en Authenticator?
Solo puede tener una clave de acceso para cada cuenta en Authenticator. En este momento, Authenticator solo admite claves de acceso para Microsoft Entra ID.
¿Puedo usar la cámara de la aplicación Authenticator para examinar el código QR de WebAuthn para el registro y la autenticación?
Puede utilizar la cámara del Authenticator para registrar y autenticar con claves de acceso. Esta opción es útil si su organización no inserta la aplicación de cámara del sistema en Android Work Profile.
¿Puedo usar claves de paso en Authenticator sin conexión a Internet?
No se pueden usar claves de acceso sin conexión a Internet. Para escenarios del mismo dispositivo, el dispositivo móvil que contiene la clave de acceso necesita acceso a Internet. Para escenarios entre dispositivos, tanto el dispositivo con la clave de paso como el dispositivo secundario donde desea iniciar sesión necesitan acceso a Internet.
He intentado registrar una clave de acceso en la aplicación Microsoft Authenticator pero he recibido un error de "Passkey no se pudo agregar" o "error desconocido", ¿qué debo hacer?
Si se produce este error, envíe comentarios desde la aplicación; para ello, vaya al menú principal y seleccione Enviar comentarios → Tener problemas. Una vez enviado, proporcione el identificador de comentarios para que se puedan revisar los registros de la aplicación de autenticación.
Estoy en un dispositivo Android 14 y he seguido todos los pasos. ¿Por qué no puedo registrar claves de paso en la aplicación Authenticator?
La aplicación Authenticator usa las API de Android en Android 14 o posterior para usar claves de acceso. Los fabricantes eligen si implementar estas API para cada dispositivo que realizan. Si el dispositivo no admite estas API, es posible que la aplicación Authenticator no funcione para el dispositivo en Android 14. Para obtener la mejor experiencia, se recomienda actualizar a Android 15.
He almacenado mi clave de acceso en la aplicación Microsoft Authenticator en mi perfil personal de Android y no puedo usarlo en mi perfil de trabajo?
Este comportamiento no es específico de la aplicación Microsoft Authenticator. Perfil de trabajo android crea intencionadamente dos entornos aislados (personal y trabajo) y las aplicaciones que participan en la identidad corporativa y la seguridad del dispositivo deben ejecutarse dentro del contenedor del perfil de trabajo. Debido a este modelo de aislamiento, las aplicaciones (incluido Microsoft Authenticator) no se pueden compartir entre perfiles y se requiere una instancia independiente para el perfil de trabajo. Se trata de un diseño de seguridad de nivel de plataforma, no una opción o limitación de aplicaciones.
¿Por qué se me solicita el PIN en lugar del inicio de sesión biométrico en mi dispositivo Android?
Si se produce un error en el inicio de sesión biométrico en un dispositivo Android, la aplicación Authenticator le pedirá que escriba el PIN en su lugar. La próxima vez que inicie sesión con la clave de acceso, Authenticator seguirá solicitando el PIN en lugar del inicio de sesión biométrico. El autenticador reintenta el inicio de sesión biométrico periódicamente. Si el inicio de sesión biométrico se realiza correctamente, se usa para los inicios de sesión posteriores.
¿Qué ocurre con mi clave de acceso después de cambiar mi PIN o el inicio de sesión biométrico en mi dispositivo Android?
La llave de paso se invalida si cambia su PIN, o si cambia su autenticación biométrica de huella dactilar a reconocimiento facial, o viceversa. Si se invalida la clave de acceso, debe iniciar sesión con otro método y, a continuación, crear una nueva clave de acceso.
¿Puedo iniciar sesión con una clave de acceso en Authenticator en China?
Las claves de paso no están disponibles para Microsoft Azure operado por 21Vianet. En iOS, puede iniciar sesión con una clave de acceso en Authenticator en otras organizaciones globales, incluso mientras viaja. Para obtener más información, consulte Descargar Microsoft Authenticator en China.