introducción a la API de puntos fuertes de autenticación de Microsoft Entra
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Las ventajas de autenticación permiten a los administradores requerir combinaciones específicas de métodos de autenticación de Microsoft Entra para acceder a un recurso. Cada intensidad de autenticación consta de una o varias combinaciones de métodos de autenticación, donde cada combinación es uno o varios métodos de autenticación. Cuando la intensidad se aplica a un escenario como un control de concesión en el acceso condicional, se requiere que un usuario en el ámbito de la directiva cumpla una de esas combinaciones permitidas en el inicio de sesión para poder acceder al recurso. Como parte del acceso condicional, los puntos fuertes de autenticación también se pueden emparejar con otros controles de acceso condicional, como el riesgo y la ubicación del usuario.
Por ejemplo, un administrador puede requerir que los usuarios se autentiquen mediante métodos de autenticación resistentes a la suplantación de identidad para poder acceder a un recurso confidencial. El administrador también puede permitir que los usuarios se autentiquen mediante combinaciones de autenticación multifactor (MFA) menos seguras, como contraseña y SMS, para que accedan a aplicaciones no confidenciales.
En este artículo se presentan las API de Microsoft Graph que permiten a los administradores administrar mediante programación las ventajas de la autenticación.
Directivas de seguridad de autenticación
Las directivas de seguridad de autenticación definen las ventajas de autenticación que están disponibles para su uso en el inquilino. Use el tipo de recurso authenticationStrengthPolicy y sus métodos asociados para definir y administrar estas directivas. Las directivas incluyen las siguientes configuraciones:
- Nombre, identificador y descripción de la directiva.
- Combinaciones de métodos de autenticación que forman parte de la directiva.
- Si la directiva, cuando se cumplen los requisitos del método de autenticación, se puede usar para satisfacer una notificación de MFA en el token de acceso.
Microsoft Entra ID admite directivas de seguridad de autenticación integradas y personalizadas. Microsoft ha proporcionado las tres directivas integradas siguientes:
- Autenticación multifactor
- Autenticación multifactor sin contraseña
- Autenticación multifactor resistente a la suplantación de identidad (phishing)
Solo puede leer directivas integradas, pero puede crear hasta 15 directivas personalizadas para satisfacer sus requisitos.
Combinaciones de métodos de autenticación
Las combinaciones de métodos de autenticación son fundamentales para una directiva. Una combinación consta de uno o varios métodos de autenticación en una lista separada por comas. Las combinaciones se definen previamente y se usan para definir una intensidad de autenticación. Estos métodos de autenticación se basan en la enumeración marcada authenticationMethodModes . Algunas combinaciones de ejemplo incluyen:
| Combinación de ejemplo permitida | Descripción |
|---|---|
fido2 |
El usuario debe iniciar sesión con una clave de seguridad FIDO2 para satisfacer el requisito de seguridad de autenticación. |
password,microsoftAuthenticatorPush |
El usuario debe iniciar sesión con la contraseña y la aprobación de inserción de Microsoft Authenticator para satisfacer el requisito de solidez de autenticación. |
password,softwareOath |
El usuario debe iniciar sesión con la contraseña y el token oath de software para satisfacer el requisito de solidez de autenticación. |
Microsoft Entra ID proporciona las combinaciones predefinidas de solo lectura con los siguientes principios:
- Métodos de autenticación en un solo factor que se pueden usar como primeros factores, como la contraseña y los SMS.
- Combinaciones de contraseña y un segundo factor que hacen una combinación de autenticación multifactor válida ("algo que tiene" y "algo que sabe").
- Autenticadores multifactor sin contraseña, como la autenticación de certificados FIDO2 y x509.
Las ventajas de autenticación integradas usan estas combinaciones y las combinaciones se pueden usar en los puntos fuertes de autenticación personalizados.
Para ver los detalles de los métodos de autenticación admitidos y las combinaciones permitidas, llame a la API List authenticationMethodModes .
Las combinaciones de autenticación de directivas integradas son de solo lectura. Para ver todas las directivas integradas y sus configuraciones, llame a la API List authenticationStrengthPolicies .
Para crear una directiva de seguridad de autenticación personalizada, debe configurar las combinaciones de métodos de autenticación mediante las combinaciones permitidas.
Configuraciones combinadas
Puede aplicar más restricciones en determinados métodos de autenticación para controlar qué instancias del método que un usuario puede usar para autenticarse. Estos tipos de restricciones son configuraciones de combinación y también pueden formar parte de un objeto authenticationStrengthPolicy .
Una configuración de combinación puede aplicarse a una o varias combinaciones que incluyen el método de autenticación específico. En la actualidad, FIDO2 es el único método que admite configuraciones de combinación.
Por ejemplo, una directiva personalizada permite las siguientes combinaciones: password,softwareOath, fido2y x509CertificateMultiFactor. Para esta directiva, puede restringir las claves de seguridad FIDO2 que el usuario puede usar para autenticarse configurando una configuración de combinación con GUID de atestación de Authenticator (AAGUID) específicos.
Una directiva de intensidad de autenticación tiene cero o más configuraciones de combinación.
Aplicación de directivas de seguridad de autenticación en el acceso condicional
Después de definir la directiva de seguridad de autenticación, se aplica y aplica para el recurso protegido mediante Microsoft Entra directivas de acceso condicional.
En los controles de concesión de acceso condicional, configure la relación authenticationStrength mediante la asignación del objeto authenticationStrengthPolicy que debe asociarse a la directiva de acceso condicional. Cuando una directiva de acceso condicional se aplica a un inicio de sesión y esa directiva tiene un control de concesión de seguridad de autenticación, el usuario tendrá que usar una de las combinaciones de métodos de autenticación permitidas para iniciar sesión. Las directivas de seguridad de autenticación también se pueden aplicar a los usuarios invitados mediante directivas de acceso condicional y la configuración de confianza de entrada de acceso entre inquilinos.
El objeto authenticationStrength corresponde al control "Requerir intensidad de autenticación" de la experiencia de usuario de la directiva de acceso condicional en el Centro de administración Microsoft Entra.
No puede configurar los puntos fuertes de autenticación y el control de concesión de autenticación multifactor en la misma directiva de acceso condicional.
Pasos siguientes
- Obtenga más información sobre las ventajas de la autenticación.
- Pruebe la API en el Explorador de Graph.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de