Inicio de sesión del usuario mediante la autenticación transferida de Microsoft Entra

¿Qué es la autenticación de paso de Microsoft Entra?

La autenticación de paso a través de Microsoft Entra permite a los usuarios iniciar sesión en aplicaciones locales y basadas en la nube con las mismas contraseñas. Esta característica proporciona a los usuarios una mejor experiencia: una contraseña menos que recordar y reduce los costos del departamento de soporte técnico de TI, ya que es menos probable que los usuarios olviden cómo iniciar sesión. Cuando los usuarios inician sesión con el identificador de Entra de Microsoft, esta característica valida las contraseñas de los usuarios directamente en su instancia local de Active Directory.

Esta característica es una alternativa a la sincronización de hash de contraseñas de Microsoft Entra, que proporciona la misma ventaja de la autenticación en la nube a las organizaciones. Sin embargo, algunas organizaciones que quieran aplicar sus directivas locales de seguridad y contraseña de Active Directory pueden optar por usar la autenticación de paso a través en su lugar. Consulte esta guía para ver una comparación de los distintos métodos de inicio de sesión de Microsoft Entra y cómo elegir el método correcto para su organización.

Puede combinar la autenticación transferida con la característica de Inicio de sesión único de conexión directa. Si dispone de equipos con Windows 10 o versiones posteriores, use la unión híbrida de Microsoft Entra (AADJ). De este modo, cuando los usuarios acceden a aplicaciones en sus máquinas corporativas dentro de la red corporativa, no necesitan escribir sus contraseñas para iniciar sesión.

Ventajas clave del uso de la autenticación de paso a través de Microsoft Entra

• Mejor experiencia del usuario
  • Los usuarios usan las mismas contraseñas para iniciar sesión en aplicaciones locales y basadas en la nube.
  • Los usuarios pasan menos tiempo hablando con el departamento de soporte técnico de TI para resolver problemas relacionados con la contraseña.
  • Los usuarios pueden realizar las tareas de administración de contraseñas de autoservicio en la nube.
• Es fácil de implementar y administrar
  • No es necesario realizar implementaciones locales complejas ni configuraciones de red.
  • Solo necesita un agente ligero para instalarlo en el entorno local.
  • Sin sobrecarga de administración. El agente recibe automáticamente mejoras y correcciones de errores.
• Seguro
  • Las contraseñas locales nunca se almacenan en la nube de ningún modo.
  • Protege las cuentas de usuario y, para ello, trabaja íntegramente con directivas de acceso condicional de Microsoft Entra, incluida la autenticación multifactor (MFA), el bloqueo de autenticación heredada y el filtrado de ataques por fuerza bruta.
  • El agente solo realiza conexiones salientes desde dentro de la red. Por lo tanto, no es necesario instalar el agente en una red perimetral, también conocida como Zona Desmilitarizada (DMZ).
  • La comunicación entre un agente y el identificador de Microsoft Entra se protege mediante la autenticación basada en certificados. Microsoft Entra ID renueva automáticamente estos certificados cada pocos meses.
• Alta disponibilidad
  • Se pueden instalar agentes adicionales en varios servidores locales para proporcionar alta disponibilidad de solicitudes de inicio de sesión.

Características destacadas

• Admite el inicio de sesión de usuario en todas las aplicaciones basadas en explorador web y en las aplicaciones cliente de Microsoft Office que usan la autenticación moderna.
• El nombre de usuario de inicio de sesión puede ser el predeterminado del entorno local (userPrincipalName) u otro atributo configurado en Microsoft Entra Connect (conocido como Alternate ID).
• La característica funciona sin problemas con características de acceso condicional, como Multi-Factor Authentication (MFA), para ayudar a proteger a los usuarios.
• Se integra con la administración de contraseñas de autoservicio basada en la nube, incluida la escritura diferida de contraseñas en Active Directory local y la protección con contraseña mediante la prohibición de contraseñas usadas habitualmente.
• Se admiten entornos de varios bosques si hay relaciones de confianza de bosque entre los bosques de AD y si el enrutamiento de sufijos de nombre está configurado correctamente.
• Es una característica gratuita y no necesita ninguna edición de pago de Microsoft Entra ID para usarla.
• Se puede habilitar a través de Microsoft Entra Connect.
• Usa un agente local ligero que escucha y responde a las solicitudes de validación de contraseñas.
• La instalación de varios agentes proporciona alta disponibilidad de solicitudes de inicio de sesión.
• Protege las cuentas locales frente a ataques de contraseña por fuerza bruta en la nube.

Pasos siguientes

• Inicio rápido: ponga en funcionamiento la autenticación transferida de Microsoft Entra.
• Migrar las aplicaciones a Microsoft Entra ID: recursos para ayudarle a migrar el acceso y la autenticación de aplicaciones a Microsoft Entra ID.
• Bloqueo inteligente: configuración de la funcionalidad Bloqueo inteligente en su inquilino para proteger las cuentas de usuario.
• Unión híbrida a Microsoft Entra: configure la funcionalidad de unión híbrida a Microsoft Entra en el inquilino para el inicio de sesión único en los recursos locales y en la nube.
• Limitaciones actuales: conozca qué escenarios son compatibles y cuáles no.
• Información técnica detallada: descripción del funcionamiento de esta característica.
• Preguntas más frecuentes: obtenga respuestas a las preguntas más frecuentes.
• Solución de problemas: información para resolver problemas habituales de esta característica.
• Análisis a fondo de la seguridad: información técnica detallada adicional sobre la característica.
• Inicio de sesión único de conexión directa de Microsoft Entra: más información sobre esta característica complementaria.
• UserVoice: para la tramitación de solicitudes de nuevas características.