Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La transferencia de autenticación es un flujo de autenticación que simplifica el inicio de sesión entre dispositivos desde pc a móvil para aplicaciones de Microsoft. Los usuarios pueden usar un código QR en una aplicación de Microsoft autenticada en su EQUIPO para iniciar sesión en la misma aplicación en un dispositivo móvil sin volver a escribir las credenciales. La transferencia de autenticación aumenta la interacción del usuario mediante la conexión de usuarios en varias plataformas.
Note
La transferencia de autenticación está actualmente en versión preliminar. Para obtener más información sobre las versiones preliminares, consulte Términos de licencia universal para Online Services.
Prerequisites
- Se requiere una licencia de Microsoft Entra ID P1 para cada usuario sujeto a directivas de acceso condicional que administran la transferencia de autenticación. Para obtener más información sobre las licencias, consulte Planear una implementación de acceso condicional.
- Para crear o modificar directivas de acceso condicional que administran la transferencia de autenticación, inicie sesión como mínimo un administrador de acceso condicional.
- La transferencia de autenticación está habilitada de forma predeterminada para todos los usuarios. No se requiere ninguna configuración inicial para que los usuarios usen la característica.
Funcionamiento de la transferencia de autenticación
La transferencia de autenticación le permite transferir notificaciones de autenticación de un dispositivo a otro, como desde un equipo de escritorio a un dispositivo móvil. En los pasos siguientes se describe el flujo:
- Un usuario inicia sesión en una aplicación de Microsoft compatible en su EQUIPO y completa cualquier autenticación necesaria, incluida la autenticación multifactor (MFA).
- La aplicación muestra un código QR que el usuario puede escanear con su dispositivo móvil.
- El usuario examina el código QR mediante una aplicación de Microsoft compatible en su dispositivo móvil.
- Microsoft Entra ID evalúa todas las directivas de acceso condicional aplicables para la aplicación móvil de destino.
- Si se cumplen las directivas, las reclamaciones de autenticación se transfieren al dispositivo móvil y entonces el usuario inicia sesión automáticamente.
- Si no se cumplen las directivas, se produce un error en la transferencia y se pide al usuario que inicie sesión manualmente en el dispositivo móvil.
La transferencia de autenticación solo transfiere declaraciones de autenticación. Las notificaciones relacionadas con el dispositivo, como el estado de cumplimiento del dispositivo, no se transfieren al dispositivo de destino. El dispositivo móvil debe satisfacer de forma independiente los requisitos de acceso condicional basados en dispositivos.
Cuando un usuario realiza la transferencia de autenticación, la sesión se considera protocolo de seguimiento. El seguimiento de protocolos significa que el estado de sesión persiste a través de las actualizaciones de tokens posteriores. Los intentos de inicio de sesión posteriores dentro de la misma sesión podrían estar sujetos a la implementación de políticas de flujos de autenticación, incluso si no utilizan la transferencia de autenticación.
Aplicaciones admitidas
La transferencia de autenticación está disponible para las aplicaciones de Microsoft que admiten el flujo de código QR entre dispositivos. Por ejemplo, los usuarios pueden ver un código QR en la versión de escritorio de Outlook que, cuando se examina en su dispositivo móvil, transfiere su estado autenticado a la versión móvil de Outlook. La compatibilidad varía según la aplicación y la versión. Compruebe la documentación pertinente de la aplicación de Microsoft para confirmar si admite la transferencia de autenticación.
Importante
No se admite la transferencia de autenticación para aplicaciones que no son de Microsoft.
Experiencia del usuario final
La experiencia de transferencia de autenticación está diseñada para reducir la fricción de los usuarios que trabajan en varios dispositivos.
En el escritorio (dispositivo de origen):
- El usuario ha iniciado sesión en una aplicación de Microsoft compatible en su EQUIPO.
- Aparece un código QR dentro de la aplicación, que ofrece para transferir la sesión a un dispositivo móvil.
En el dispositivo móvil (dispositivo de destino):
- El usuario abre una aplicación de Microsoft compatible y examina el código QR.
- Si se cumplen todas las directivas de acceso condicional, el usuario inicia sesión automáticamente sin volver a escribir las credenciales ni volver a completar MFA.
- Si no se cumple alguna directiva de acceso condicional para el dispositivo móvil, se le pedirá al usuario que inicie sesión manualmente. Es posible que el usuario necesite completar MFA o cumplir otros requisitos en el dispositivo móvil.
Transferencia de autenticación y acceso condicional
Durante la transferencia de autenticación, se evalúan todas las directivas de acceso condicional de Microsoft Entra. Comprender cómo interactúan las directivas con la transferencia de autenticación le ayuda a proteger su organización a la vez que mantiene la productividad del usuario.
La transferencia de afirmaciones de autenticación, las afirmaciones del dispositivo no se transfieren:
- La transferencia de autenticación solo transfiere reclamaciones de autenticación. No transfiere reclamaciones relativas al dispositivo, como el estado de cumplimiento o el estado administrado.
- Si una directiva de acceso condicional requiere el cumplimiento de dispositivos o un dispositivo administrado, el dispositivo móvil debe cumplir esos requisitos de forma independiente.
MFA no es necesario de nuevo si ya se ha completado:
- Si los usuarios completan MFA en su PC, no necesitan volver a realizar MFA en su dispositivo móvil durante la transferencia de autenticación.
Las directivas de acceso condicional se evalúan antes de la transferencia:
- Las directivas de acceso condicional se evalúan antes de que se complete la transferencia de autenticación. Si no se cumple una directiva para el dispositivo móvil, se le pedirá al usuario que inicie sesión manualmente.
Omisión de MDM que no es de Microsoft:
- La transferencia de autenticación omite las soluciones que no son de administración de dispositivos móviles (MDM) de Microsoft al transferir la autenticación a dispositivos móviles. Esta omisión significa que las organizaciones que dependen de soluciones MDM que no son de Microsoft para aplicar controles de acceso podrían tener una brecha de seguridad durante la transferencia de autenticación. Si su organización usa una solución MDM que no es de Microsoft, considere la posibilidad de bloquear la transferencia de autenticación para usuarios o aplicaciones afectados.
Reautenticación del token de actualización principal (PRT):
- Los usuarios deben autenticarse nuevamente en su equipo para iniciar la transferencia de autenticación, incluso si tienen tokens de sesión protegidos como el Token de Actualización Primario. Después de volver a autenticar en el equipo, los usuarios no necesitan volver a autenticarse en la aplicación móvil.
Limitaciones conocidas
Revise las siguientes limitaciones antes de habilitar o administrar la transferencia de autenticación en su organización:
- Las notificaciones del dispositivo no se transfieren. Solo las declaraciones de autenticación se transfieren al dispositivo móvil. El cumplimiento del dispositivo, el estado gestionado y otras declaraciones relacionadas con el dispositivo deben cumplirse de manera independiente en el dispositivo móvil.
- Bypass de MDM que no sea de Microsoft. La transferencia de autenticación omite las soluciones MDM que no son de Microsoft. Las organizaciones que dependen de MDM que no son de Microsoft para el control de acceso móvil deben evaluar las implicaciones de seguridad. Para obtener más información, consulte la guía de confianza cero sobre cómo bloquear la transferencia de autenticación.
- Solo aplicaciones de Microsoft. La transferencia de autenticación solo está disponible para las aplicaciones de Microsoft. Las aplicaciones que no son de Microsoft no admiten este flujo.
- Seguimiento de protocolos. Una vez que un usuario realiza la transferencia de autenticación, se realiza un seguimiento del protocolo de la sesión. Otros intentos de inicio de sesión dentro de la misma sesión podrían estar sujetos a directivas de flujos de autenticación, incluso si usan un flujo de autenticación diferente.
- Se requiere reautenticación de PRT. Los usuarios deben volver a autenticarse en su PC para iniciar la transferencia de autenticación, incluso con una sesión de Primary Refresh Token existente.
Consideraciones de seguridad
Microsoft recomienda que las organizaciones evalúen si la transferencia de autenticación es necesaria para sus usuarios. La guía de confianza cero para proteger las identidades recomienda bloquear la transferencia de autenticación como procedimiento recomendado de seguridad.
Bloquear la transferencia de autenticación ayuda a protegerse contra el robo de tokens y los ataques de reproducción al impedir el uso de tokens de dispositivo para autenticarse de forma silenciosa en otros dispositivos. Cuando se habilita la transferencia de autenticación, un actor de amenazas que obtiene acceso a un dispositivo podría acceder a recursos en dispositivos no aprobados, omitiendo las comprobaciones estándar de autenticación y cumplimiento de dispositivos.
Tenga en cuenta las recomendaciones siguientes:
- Bloquear la transferencia de autenticación a menos que tenga una necesidad empresarial documentada para el inicio de sesión entre dispositivos. Use una directiva de acceso condicional para bloquear la transferencia de autenticación.
- Primero, use el modo solo informes para comprender cómo se utiliza la transferencia de autenticación en su organización antes de imponer un bloqueo.
- Excluya las cuentas de acceso de emergencia de cualquier directiva que bloquee la transferencia de autenticación.
Transferencia de autenticación en registros de inicio de sesión
Los administradores pueden comprobar los registros de inicios de sesión de Microsoft Entra para ver si los usuarios utilizan la transferencia de autenticación para iniciar sesión. Los eventos de transferencia de autenticación vuelven a aparecer de nuevo, con el primer evento que muestra un código QR como método de autenticación.
Para comprobar el estado de seguimiento del protocolo de un inicio de sesión, seleccione el evento de inicio de sesión y busque la propiedad Método de transferencia original en la parte Información básica del panel Detalles de la actividad : inicios de sesión . Para una sesión en la que se realizó la transferencia de autenticación, el método de transferencia original se establece en Transferencia de autenticación.
Administración de la transferencia de autenticación para usuarios y aplicaciones específicos
La transferencia de autenticación está habilitada de forma predeterminada para todos los usuarios. Los administradores administran la transferencia de autenticación mediante directivas de acceso condicional y la condición de flujos de autenticación . Esta condición restringe la transferencia de autenticación a usuarios, aplicaciones o deshabilita completamente la funcionalidad.
La transferencia de autenticación comprueba todas las directivas de acceso condicional aplicables antes de iniciar sesión del usuario en una aplicación móvil. Si no se cumplen las condiciones necesarias, se le pedirá al usuario que inicie sesión en la aplicación móvil.
Para crear una directiva que use la condición de transferencia de autenticación, consulte Bloquear la transferencia de autenticación con la directiva de acceso condicional.
Troubleshooting
Siga estos pasos para solucionar problemas con la transferencia de autenticación.
Se produce un error en la transferencia de autenticación para un usuario:
- Compruebe los registros de inicio de sesión para ver los eventos de transferencia de autenticación. Busque la entrada del método de autenticación de código QR.
- Seleccione el evento de inicio de sesión y vaya a la pestaña Acceso condicional para identificar qué directivas se han evaluado y si se ha bloqueado la transferencia.
- Compruebe que el dispositivo móvil de destino cumple todos los requisitos de acceso condicional, incluidas las directivas de cumplimiento y ubicación del dispositivo.
Bloques inesperados después de usar la transferencia de autenticación:
- Compruebe si el inicio de sesión está bloqueado por un estado de seguimiento de protocolo de una sesión de flujo de código de dispositivo o transferencia de autenticación anterior.
- En los registros de inicio de sesión, seleccione el inicio de sesión bloqueado y compruebe la propiedad Método de transferencia original en la sección Información básica . Si muestra la transferencia de autenticación o el flujo de código del dispositivo, se realizó un seguimiento del protocolo de la sesión.
- Si la directiva de flujos de autenticación se aplica a todas las aplicaciones, es posible que vea el código
AADSTS530036de error . Este error indica que el token de actualización no es válido debido a las comprobaciones de flujo de autenticación por el acceso condicional.
Los usuarios no pueden iniciar la transferencia de autenticación:
- Si una directiva de acceso condicional administra la transferencia de autenticación para el usuario, compruebe que el usuario tiene asignada una licencia de Microsoft Entra ID P1.
- Compruebe que ninguna directiva de acceso condicional bloquea la transferencia de autenticación para el grupo o la aplicación de destino del usuario.
- Confirme que el usuario usa una aplicación de Microsoft compatible en los dispositivos de origen y de destino.
Para más información sobre cómo solucionar problemas de flujos de autenticación, consulte Solución de problemas de bloques inesperados.