Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La autenticación sin contraseña reduce la suplantación de identidad y el robo de credenciales reemplazando las contraseñas por métodos de inicio de sesión más seguros, como Windows Hello, claves de seguridad FIDO2, claves de acceso, certificados, inicio de sesión de teléfono de Microsoft Authenticator y pase de acceso temporal.
Microsoft Intune no emite credenciales sin contraseña. En su lugar, prepara dispositivos, aplicaciones y experiencias de usuario para que estos métodos sin contraseña funcionen de forma confiable a escala. Microsoft Entra ID es la entidad de identidad que comprueba las credenciales y aplica las directivas de autenticación y acceso condicional, mientras que Microsoft Intune configura la configuración del dispositivo, aplica el cumplimiento y habilita las funcionalidades de plataforma de las que dependen esos métodos. Juntos, Microsoft Entra ID y Microsoft Intune proporcionan la base de identidad y la preparación del dispositivo necesaria para adoptar la autenticación sin contraseña en diversas plataformas y factores de forma.
La experiencia sin contraseña varía según la plataforma. En Windows, normalmente abarca tanto el inicio de sesión del dispositivo como el acceso a la aplicación a través del inicio de sesión único. En macOS, se centra en la autenticación de plataforma y el inicio de sesión único en las aplicaciones, en lugar de en una identidad profunda enlazada a dispositivos. En iOS/iPadOS y Android, se centra más en el inicio de sesión de la aplicación, la autenticación intermedia y el comportamiento de la clave de paso que en el inicio de sesión del dispositivo. Tenga en cuenta estas distinciones al evaluar los requisitos de la plataforma y planear la implementación.
En este artículo se explica cómo Microsoft Intune admite una estrategia sin contraseña desde la perspectiva de un administrador. Para obtener más información sobre la implementación, siga los vínculos de implementación de cada método sin contraseña.
Funcionamiento de la solución sin contraseña de Microsoft
Los pares de soluciones sin contraseña de Microsoft Microsoft Entra ID para la identidad y el inicio de sesión único (SSO) con Microsoft Intune para la configuración del dispositivo y la aplicación de directivas. Esta combinación permite a los usuarios autenticarse mediante credenciales seguras (como biometría, claves de seguridad FIDO2 o claves de paso) sin escribir contraseñas.
Microsoft Entra ID es el proveedor de identidades principal. Comprueba las credenciales sin contraseña, como los PIN de Windows Hello, las claves FIDO2 y las claves de paso. Después de una autenticación correcta, Microsoft Entra ID emite un token de actualización principal (PRT) o equivalente, lo que permite el inicio de sesión único de conexión directa a Microsoft 365, Azure y otros recursos protegidos. Las directivas de acceso condicional evalúan el estado del dispositivo, la intensidad de la autenticación y las señales de riesgo antes de conceder acceso.
Microsoft Intune prepara los dispositivos para el inicio de sesión sin contraseña mediante la configuración de la configuración, la aplicación del cumplimiento, la implementación de aplicaciones necesarias y la compatibilidad con las experiencias de plataforma que hacen que la experiencia sin contraseña sea práctica a escala. Microsoft Intune proporciona a los administradores un plano de administración para Windows, macOS, iOS/iPadOS y Android.
Las funcionalidades de plataforma en Windows, macOS, iOS y Android proporcionan la experiencia enlazada a dispositivos, como biometría, hardware seguro (TPM en Windows, Enclave seguro en macOS), compatibilidad con passkey y inicio de sesión único con agente.
Esta separación es importante. Microsoft Entra ID es la entidad de identidad. Microsoft Intune es la capa de administración que ayuda a los usuarios a adoptar y usar esos métodos correctamente.
Resistencia a la suplantación de identidad sin contraseña, MFA y suplantación de identidad
La autenticación sin contraseña no elimina los factores de seguridad. La mayoría de los métodos sin contraseña cumplen realmente los requisitos de autenticación multifactor (MFA). Por ejemplo, Windows Hello usa una credencial enlazada a dispositivos (posesión) emparejada con un gesto biométrico (coherencia) o un PIN (conocimiento), que satisface MFA por diseño. Como resultado, las directivas de seguridad de autenticación de acceso condicional clasifican muchos métodos sin contraseña como compatibles con MFA o incluso como MFA resistente a la suplantación de identidad .
No todas las opciones sin contraseña proporcionan el mismo nivel de protección. Comprender la diferencia entre los métodos resistentes a la suplantación de identidad y los métodos no resistentes a la suplantación de identidad le ayuda a seleccionar los puntos fuertes de autenticación adecuados y a diseñar una estrategia de identidad segura.
- Los métodos resistentes a la suplantación de identidad usan claves criptográficas asimétricas enlazadas a hardware que no se pueden interceptar ni reproducir, incluso si un usuario interactúa con un símbolo del sistema malintencionado o suplantado.
- Los métodos no resistentes a la suplantación de identidad (phishing ) usan flujos sin contraseña, pero todavía pueden verse comprometidos a través de la ingeniería social, la manipulación rápida o la fatiga de MFA.
Cada método descrito más adelante en este artículo incluye su nivel de resistencia a la suplantación de identidad (phishing).
Aprende más
- Opciones de autenticación sin contraseña para Microsoft Entra ID
- Introducción a la implementación de autenticación sin contraseña resistente a la suplantación de identidad (phishing) en Microsoft Entra ID
Ventajas de la autenticación sin contraseña con Microsoft Intune
Al usar Microsoft Intune, Microsoft Entra ID y funcionalidades de plataforma conjuntamente, la organización obtiene lo siguiente:
- Inicio de sesión único sin problemas: los usuarios inician sesión una vez en el dispositivo y obtienen acceso automático a aplicaciones, servicios en la nube y, en algunos casos, recursos locales. Se eliminan las llamadas de restablecimiento de contraseña y las solicitudes de autenticación repetidas.
- Comodidad del usuario en todos los dispositivos: los usuarios obtienen una experiencia nativa y coherente entre dispositivos. Windows Hello usa el inicio de sesión del sistema operativo, macOS integra Touch ID con Microsoft Entra ID y las plataformas móviles usan Microsoft Authenticator y las claves de paso de plataforma. Los usuarios no necesitan hacer malabares con contraseñas independientes por dispositivo.
- Postura de seguridad más fuerte: los métodos resistentes a la suplantación de identidad evitan el robo de credenciales y los ataques de reproducción. La disponibilidad de cumplimiento de dispositivos garantiza que incluso las credenciales válidas solo funcionen desde dispositivos administrados correctos, en consonancia con los principios de Confianza cero.
- Carga de soporte técnico de TI reducida: menos restablecimientos de contraseña, incorporación más fluida con pase de acceso temporal y opciones de recuperación de autoservicio reducen el volumen del departamento de soporte técnico.
- Arquitectura preparada para el futuro: a medida que evolucionan los estándares, los nuevos métodos sin contraseña ,incluidas las claves de acceso sincronizadas y las credenciales respaldadas por hardware, pueden conectarse a la misma arquitectura Microsoft Entra ID y Microsoft Intune sin necesidad de un rediseño importante.
Cómo Microsoft Intune impulsa la adopción sin contraseña
Microsoft Intune habilita y operacionaliza la autenticación sin contraseña al garantizar que los dispositivos y las aplicaciones estén configurados correctamente para usar credenciales seguras y modernas. Aunque Microsoft Entra ID rige la directiva de identidad y autenticación, Microsoft Intune prepara el entorno de dispositivo del que dependen los métodos sin contraseña.
Las contribuciones clave incluyen:
- Preparación del dispositivo: inscribir, registrar y configurar dispositivos para que puedan participar en flujos de inicio de sesión sin contraseña.
- Implementación de configuración: entrega de las directivas necesarias para la Windows Hello para empresas, la autenticación basada en certificados, el inicio de sesión único de Apple Platform y funcionalidades de plataforma similares.
- Señales de cumplimiento y acceso: proporcionar datos de estado y cumplimiento del dispositivo que el acceso condicional evalúa antes de conceder acceso.
- Aprovisionamiento de aplicaciones y agentes: implementar aplicaciones principales,como Microsoft Authenticator y Microsoft Intune Portal de empresa, que permiten el agente de identidades y escenarios de sso sin contraseña.
- Administración multiplataforma unificada: proporciona una directiva coherente y un marco de administración en Windows, macOS, iOS/iPadOS y Android para simplificar la implementación empresarial.
Los métodos sin contraseña disponibles para los usuarios dependen de la plataforma del dispositivo y de las opciones de autenticación habilitadas en Microsoft Entra ID. Microsoft Intune garantiza que cada dispositivo esté preparado, configurado y capaz de ofrecer una experiencia segura y confiable sin contraseña.
Windows Hello
Resistente a la suplantación de identidad
Windows Hello reemplaza las contraseñas por una clave asimétrica enlazada a un dispositivo que se genera y se sella en el TPM. El acceso a la clave se controla mediante un PIN o gesto biométrico (huella digital o reconocimiento facial), que combina la posesión y la coherencia en un paso de inicio de sesión único. Este método está respaldado por hardware y es resistente a la suplantación de identidad (phishing) para dispositivos Windows.
rol de Intune
Microsoft Intune prepara los dispositivos Windows para Windows Hello mediante la entrega y aplicación de la configuración de directivas de Windows Hello para empresas.Este método es más relevante cuando es necesario:
- Prepare los dispositivos Windows primero en la nube para el inicio de sesión sin contraseña.
- Proporcione Windows Hello para empresas configuración de directivas durante la inscripción y la administración continua.
- Alinee el inicio de sesión de Windows con el cumplimiento de dispositivos y la administración moderna.
Claves de seguridad FIDO2
Las claves de seguridad FIDO2 son dispositivos físicos (USB, NFC o Bluetooth) que almacenan una credencial FIDO y proporcionan autenticación resistente a la suplantación de identidad sin depender de la plataforma del dispositivo. Dado que la credencial está enlazada a la clave de hardware y verificada mediante un desafío criptográfico, no se puede interceptar ni reproducir. Las claves FIDO2 son ideales para dispositivos compartidos, entornos de alta garantía o como ruta de acceso de recuperación junto con credenciales basadas en plataforma.
Microsoft Intune puede ayudar a preparar los dispositivos para este método mediante la administración de plataformas admitidas y experiencias de inicio de sesión relacionadas.Este método suele ser una buena opción cuando las organizaciones necesitan:
- Una opción portátil sin contraseña para dispositivos compartidos o especializados.
- Una opción fuerte resistente a la suplantación de identidad (phishing) que no está vinculada a una sola plataforma ni a Microsoft Authenticator.
- Una ruta de acceso alternativa o de recuperación junto con las credenciales basadas en plataforma.
Passkeys
Las claves de paso son el paraguas basado en estándares para las credenciales FIDO que pueden estar enlazadas a dispositivos o sincronizadas entre dispositivos. En Microsoft Entra ID, puede usar:
- Las claves de acceso enlazadas a dispositivos almacenadas en hardware seguro (TPM o Enclave seguro) en un único dispositivo, como a través de Windows Hello o Microsoft Authenticator en iOS 17+ y Android 14+.
- Claves de paso sincronizadas administradas por administradores de contraseñas de plataforma (como llavero de iCloud o Administrador de contraseñas de Google) o proveedores de terceros compatibles, que permiten el uso entre dispositivos.
- Microsoft Entra clave de paso en Windows es una clave de paso FIDO2 que usa Windows Hello para la comprobación biométrica, pero no requiere unión o registro de dispositivos. Los usuarios pueden registrar varias claves de acceso para varias cuentas de Microsoft Entra en el mismo dispositivo, lo que lo hace adecuado para dispositivos compartidos, puntos de conexión no administrados y escenarios en los que no se aprovisionan Windows Hello para empresas.
Desde una perspectiva Microsoft Intune, las claves de acceso se centran principalmente en la preparación de la plataforma y la aplicación, ya que administran los requisitos previos de dispositivos y aplicaciones que hacen que la adopción de la clave de paso sea viable en todas las plataformas.Esta dependencia es especialmente importante en lo siguiente:
- Windows, donde el inicio de sesión y Windows Hello de la plataforma pueden intersecar con un planeamiento sin contraseña más amplio. Microsoft Entra passkey en Windows amplía la cobertura de clave de paso a los dispositivos que no están inscritos o unidos, lo que complementa Windows Hello para empresas en dispositivos administrados.
- iOS/iPadOS y Android, donde las claves de acceso pueden depender del estado del dispositivo móvil y del comportamiento del agente de aplicaciones.
- macOS, donde la integración de identidades de plataforma y el inicio de sesión de usuario experimentan la adopción de formas.
Inicio de sesión en el teléfono de Microsoft Authenticator
No resistente a la suplantación de identidad (phishing)
El inicio de sesión de teléfono de Microsoft Authenticator reemplaza las contraseñas por la aprobación basada en inserción y la coincidencia de números en el dispositivo móvil de confianza del usuario. Es conveniente y ampliamente compatible, pero se basa en notificaciones push en lugar de en credenciales enlazadas por hardware, lo que significa que no evita completamente ataques de suplantación de identidad (phishing), como la manipulación de mensajes de MFA.
Nota:
Microsoft Authenticator también puede almacenar claves de acceso enlazadas a dispositivos (iOS 17+, Android 14+), que son resistentes a la suplantación de identidad (phishing). En esta sección se trata específicamente el flujo de inicio de sesión de teléfono basado en inserción.
Microsoft Intune admite este flujo mediante la implementación y administración de los requisitos previos de dispositivos y aplicaciones móviles.En muchos entornos, esta compatibilidad incluye:
- Implementación de Microsoft Authenticator en dispositivos móviles administrados.
- Compatibilidad con la experiencia de inicio de sesión con agente en todas las aplicaciones de Microsoft.
- Tener en cuenta las consideraciones de directivas de protección de aplicaciones en plataformas móviles cuando forman parte del diseño de acceso móvil más amplio.
Pase de acceso temporal
El pase de acceso temporal (TAP) es una credencial de tiempo limitado que un administrador tiene problemas para ayudar a los usuarios a arrancar o recuperar el acceso antes de completar su configuración sin contraseña a largo plazo. TAP no es un método sin contraseña permanente y no es resistente a la suplantación de identidad (phishing), pero a menudo es una parte fundamental de un lanzamiento correcto porque resuelve el problema de inicio de sesión por primera vez sin emitir una contraseña.
Desde una perspectiva Microsoft Intune, el pase de acceso temporal importa cuando se desea:
- Simplifique la incorporación a métodos sin contraseña.
- Reduzca la dependencia de contraseñas temporales durante la implementación.
- Conecte los escenarios de incorporación a la configuración de dispositivos Windows administrados.
Incorporación de día a cero con TAP
Un desafío común en las implementaciones sin contraseña es el problema de pollo y huevo : un nuevo usuario debe iniciar sesión para registrar su credencial sin contraseña, pero no quiere emitir una contraseña para ese primer inicio de sesión. TAP resuelve este problema proporcionando una credencial de corta duración para la configuración inicial del dispositivo y el registro de credenciales.
Un flujo de incorporación típico es similar al siguiente:
- Administración emite un TAP: el administrador de TI o el flujo de trabajo automatizado genera un TAP limitado por tiempo para el nuevo usuario en el Centro de administración Microsoft Entra o a través de Microsoft Graph API.
- El usuario configura su dispositivo: el usuario escribe el TAP durante la OOBE de Windows Autopilot, la configuración de macOS asistente o la inscripción de dispositivos móviles. En Windows 11, el inicio de sesión web habilita la entrada TAP directamente en la pantalla de bloqueo.
- El usuario registra un método sin contraseña: después de iniciar sesión con tap, se le pide al usuario que registre Windows Hello, una clave de seguridad FIDO2, una clave de acceso en Microsoft Authenticator u otro método sin contraseña. Esta es la credencial permanente que reemplaza el TAP.
- TAP expira : el TAP es de uso único o de tiempo limitado (configurable), por lo que no se puede reutilizar después de que el usuario registre su método sin contraseña.
Este flujo elimina la necesidad de emitir y, a continuación, revocar una contraseña temporal, y proporciona Microsoft Intune una ruta de incorporación administrada desde el primer inicio de sesión.
Autenticación basada en certificados (CBA)
La autenticación basada en certificados (CBA) usa certificados digitales y criptografía asimétrica para comprobar la identidad, lo que la hace resistente a la suplantación de identidad y evita la reproducción de credenciales. Se ha adoptado ampliamente en sectores regulados y entornos gubernamentales, a menudo a través de tarjetas inteligentes como PIV y CAC. A diferencia de otros métodos sin contraseña en los que Microsoft Intune prepara principalmente el entorno del dispositivo, CBA es un área en la que Microsoft Intune desempeña un papel directo en la distribución de la propia credencial.
Microsoft Intune admite dos modelos de infraestructura para la entrega de certificados:
- PKI local: las organizaciones con una entidad de certificación (CA) existente pueden usar el conector de certificados para Microsoft Intune para enlazar su PKI local con Microsoft Intune. El conector permite a Microsoft Intune implementar perfiles de certificado SCEP y PKCS en dispositivos administrados mediante la infraestructura de CA existente. Este modelo se adapta a las organizaciones que ya operan una CA empresarial o que necesitan integrarse con inversiones de PKI establecidas.
- PKI en la nube de Microsoft: para las organizaciones que quieren simplificar o eliminar la infraestructura de certificados local, Microsoft Cloud PKI proporciona una ENTIDAD de certificación basada en la nube como parte de la Microsoft Intune Suite. La PKI en la nube emite y administra certificados sin necesidad de servidores locales, conectores o módulos de seguridad de hardware.
Independientemente del modelo de infraestructura, Microsoft Intune entrega certificados a los dispositivos mediante perfiles de certificado:
- Los perfiles de certificado raíz de confianza distribuyen el certificado raíz de la entidad de certificación para que los dispositivos puedan establecer la cadena de confianza.
- Los perfiles de certificado SCEP solicitan e implementan certificados desde una CA habilitada para SCEP.
- Los perfiles de certificado PKCS solicitan e implementan certificados mediante el estándar PKCS #12.
- Los perfiles de certificado PFX importados implementan certificados generados previamente que se importan en Microsoft Intune.
Estos perfiles funcionan en Windows, macOS, iOS/iPadOS y Android, lo que hace que Microsoft Intune el mecanismo de entrega que conecta la infraestructura de PKI (ya sea local o basada en la nube) con el método de identidad definido en Microsoft Entra ID.
Requisitos previos
Antes de planear una implementación sin contraseña, compruebe que el entorno cumple los requisitos de licencia y plataforma para los métodos que piensa usar. Algunas características sin contraseña requieren niveles de licencia de Microsoft Entra ID o Microsoft Intune específicos, y cada método tiene requisitos mínimos de versión del sistema operativo.
Requisitos de licencias
En función de los métodos sin contraseña que elija, es posible que su organización necesite licencias de Microsoft Entra ID P1 o Microsoft Entra ID P2 para los usuarios, así como licencias de Microsoft Intune específicas para la administración de dispositivos y la entrega de certificados. En la tabla siguiente se resumen los requisitos de licencia para las funcionalidades comunes sin contraseña:
| Funcionalidad | Requisito de licencia |
|---|---|
| Windows Hello | Microsoft Entra ID P1 (para la aplicación del acceso condicional) |
| Claves de seguridad FIDO2 | Microsoft Entra ID P1 |
| Claves de paso (enlazadas y sincronizadas por dispositivo) | Microsoft Entra ID P1 |
| Inicio de sesión en el teléfono de Microsoft Authenticator | Microsoft Entra ID P1 |
| Pase de acceso temporal | Microsoft Entra ID P1 |
| Autenticación basada en certificados (CBA) | Microsoft Entra ID P1 (P2 para el acceso condicional basado en riesgos) |
| Directivas de seguridad de autenticación | Microsoft Entra ID P1 |
| Acceso condicional basado en riesgos | Microsoft Entra ID P2 |
| Microsoft Cloud PKI | Microsoft Intune Suite o licencia PKI en la nube independiente |
| Perfiles de configuración y cumplimiento de dispositivos | Plan 1 de Microsoft Intune |
Aprende más
Requisitos de la plataforma
Los métodos sin contraseña descritos en este artículo se basan en funcionalidades de plataforma específicas que solo están disponibles en determinadas versiones del sistema operativo. En la tabla siguiente se resumen los requisitos de la plataforma para cada método:
| Método | Windows | macOS | iOS/iPadOS | Android |
|---|---|---|---|---|
| Windows Hello | Todos los clientes de Windows admitidos | — | — | — |
| Claves de seguridad FIDO2 | Todos los clientes de Windows admitidos | — | — | — |
| Passkeys | Windows 11 | Todas las versiones admitidas | Todas las versiones admitidas | Android 14+ |
| Claves de paso enlazadas a dispositivos en Microsoft Authenticator | — | — | Todas las versiones admitidas | Android 14+ |
| Sso de plataforma (Enclave seguro) | — | Todas las versiones admitidas | — | — |
| Inicio de sesión web (TAP en la pantalla de bloqueo) | Windows 11 | — | — | — |
| Inicio de sesión en el teléfono de Microsoft Authenticator | — | — | Todas las versiones admitidas | Android 11+ |
Nota:
Compatible hace referencia a las versiones del sistema operativo que Microsoft Intune admite actualmente para la funcionalidad completa, la implementación de directivas y la administración.
Los requisitos de versión de la plataforma pueden cambiar con cada ciclo de versión. Compruebe siempre los requisitos actuales en la documentación del producto para el método específico que va a implementar.
Aprende más
Consideraciones sobre la plataforma
Sin contraseña no es una característica. Se trata de un conjunto de experiencias específicas de la plataforma que se basan en Microsoft Entra ID para la identidad y Microsoft Intune para la administración de dispositivos.
Windows
Windows es el ejemplo más completo de cómo funcionan conjuntamente la inscripción de dispositivos, el inicio de sesión en la nube, la posición de seguridad y la experiencia de usuario sin contraseña.
Microsoft Intune normalmente admite escenarios sin contraseña de Windows mediante:
- Preparar los dispositivos unidos Microsoft Entra primero a la nube.
- Entrega de Windows Hello para empresas configuración.
- Compatibilidad con experiencias clave de seguridad fido2.
- Alineación de la preparación del dispositivo con el cumplimiento y la administración moderna.
- Compatibilidad con experiencias de incorporación que pueden conectarse a Windows Autopilot.
Cuando un usuario inicia sesión con Windows Hello o una clave FIDO2, Windows obtiene un token de actualización principal de Microsoft Entra ID. Ese PRT permite el inicio de sesión único sin problemas en aplicaciones de Microsoft 365, aplicaciones SaaS y, cuando se configura la confianza de Kerberos en la nube, recursos locales, como recursos compartidos de archivos, todo ello sin avisos de inicio de sesión adicionales.
- introducción a Windows Hello para empresas
- Guía de estrategia sin contraseña para organizaciones
- Introducción a Windows Autopilot
Consideraciones híbridas y heredadas
Las experiencias sin contraseña descritas en este artículo asumen una dirección en la nube con Microsoft Entra dispositivos unidos. Las organizaciones con dispositivos híbridos unidos a Microsoft Entra deben tener en cuenta estas diferencias:
- El inicio de sesión web (que se usa para TAP en la pantalla de bloqueo de Windows) solo se admite en dispositivos unidos a Microsoft Entra, no en dispositivos híbridos Microsoft Entra unidos.
- Windows Hello para empresas funciona en dispositivos unidos a Microsoft Entra e híbridos Microsoft Entra, pero las implementaciones híbridas pueden requerir una infraestructura adicional en función del modelo de confianza.
- El acceso a recursos locales desde Microsoft Entra dispositivos unidos requiere confianza de Kerberos en la nube o confianza basada en certificados. La confianza de Kerberos en la nube es el modelo recomendado porque no requiere la implementación de certificados para la autenticación Kerberos. Para obtener más información, consulte [cloud Kerberos trust deployment](/windows/security/identity-protection/> hello-for-business/deploy/hybrid-cloud-kerberos-trust).
- Las aplicaciones heredadas que requieren autenticación Kerberos de Active Directory pueden seguir funcionando con métodos sin contraseña, pero las aplicaciones que requieren un enlace NTLM o LDAP directo pueden necesitar un planeamiento adicional.
Si el entorno es híbrido, planee el lanzamiento sin contraseña a partir de Microsoft Entra dispositivos unidos y expanda a dispositivos unidos a Microsoft Entra híbridos, ya que la infraestructura lo admite.
macOS
En macOS, el planeamiento sin contraseña depende de cómo se integre Microsoft Entra ID con la experiencia de inicio de sesión único y de inicio de sesión único de la plataforma. Microsoft Intune ofrece la configuración del dispositivo necesaria para las integraciones de identidad centradas en Apple.
Con el complemento Microsoft Enterprise SSO y el marco de inicio de sesión único de La plataforma de Apple, Microsoft Intune puede implementar una configuración que permita a los usuarios iniciar sesión en mac con sus credenciales de Microsoft Entra ID. Cuando se configura con el método de clave enclave seguro, proporciona una experiencia de inicio de sesión compatible con hardware y resistente a la suplantación de identidad similar a Windows Hello.
Esta información es importante al planear:
- Inicio de sesión único de plataforma y experiencias de inicio de sesión relacionadas.
- Inicio de sesión único entre el dispositivo y las aplicaciones de Microsoft.
- Un modelo de administración coherente junto con Windows y dispositivos móviles.
iOS y iPadOS
En iOS y iPadOS, el planeamiento sin contraseña se centra más en el inicio de sesión de la aplicación, la autenticación intermedia y el comportamiento de la clave de paso que en el inicio de sesión del dispositivo. Microsoft Intune implementa y administra las aplicaciones y la configuración que hacen que esas experiencias sean coherentes para los usuarios.
La extensión de inicio de sesión único de Microsoft en iOS puede interceptar las solicitudes de autenticación entre Microsoft y aplicaciones de terceros, lo que permite el inicio de sesión sin problemas después de la configuración inicial del dispositivo. Microsoft Authenticator actúa como agente de autenticación y también puede almacenar claves de paso enlazadas a dispositivos en iOS 17+ para la autenticación resistente a phishing.
Android
En Android, Microsoft Intune establece el contexto administrado del que dependen los flujos de autenticación sin contraseña y de agente. Este contexto es especialmente relevante cuando Microsoft Authenticator o las experiencias de aplicaciones relacionadas forman parte del diseño de acceso móvil.
Tanto Portal de empresa como Microsoft Authenticator pueden actuar como agentes de autenticación en Android. Después de que un usuario inicie sesión a través del agente, Microsoft Entra ID emite un token de actualización principal que habilita el inicio de sesión único en todas las aplicaciones compatibles con el agente en el perfil de trabajo. En Android 14+, Microsoft Authenticator también puede almacenar claves de acceso enlazadas a dispositivos para la autenticación resistente a phishing.
Dependencias para la autenticación sin contraseña
arquitectura de Confianza cero
La autenticación sin contraseña forma parte de una estrategia más amplia de acceso a dispositivos e identidades. Para un administrador Microsoft Intune, el planeamiento suele implicar estas capas:
- Identidad: métodos de autenticación resistentes a la suplantación de identidad en Microsoft Entra ID.
- Confianza del dispositivo: Microsoft Intune inscripción, cumplimiento y configuración.
- Directiva de acceso: acceso condicional y planeamiento de exclusión relacionado.
- Protección de datos: funcionalidades de Microsoft Purview que ayudan a proteger el contenido después de conceder acceso.
- Investigación y respuesta: Microsoft Defender señales y flujos de trabajo cuando el riesgo o el riesgo necesitan seguimiento.
Aprende más
Acceso condicional
El acceso condicional evalúa señales como el estado del dispositivo y la intensidad de la autenticación antes de conceder acceso. Cuando se combina con métodos sin contraseña, el acceso condicional puede aplicar directivas de seguridad de autenticación que requieran MFA resistente a la suplantación de identidad ( exigir de forma eficaz sin contraseña mediante el bloqueo de métodos más débiles, como contraseñas o códigos SMS).
Al implementar el acceso condicional junto con el acceso sin contraseña, tenga en cuenta también el planeamiento de acceso de emergencia para evitar escenarios de bloqueo accidental.
Aprende más
- Creación de una directiva de acceso condicional
- Puntos fuertes de autenticación de acceso condicional
Acceso y recuperación de emergencia
Una preocupación común al quitar contraseñas es lo que sucede cuando un usuario pierde su único dispositivo sin contraseña: un teléfono, una clave FIDO2 o un portátil con Windows Hello. Sin un plan de recuperación, los administradores pueden enfrentarse a escalaciones de soporte técnico y los usuarios se pueden bloquear sin recursos críticos.
Planee estos escenarios como parte de la implementación sin contraseña:
- Cuentas de acceso de emergencia: mantenga al menos dos cuentas de interrupción que se excluyen de las directivas de acceso condicional y la aplicación sin contraseña. Estas cuentas proporcionan una ruta de acceso de reserva si una configuración incorrecta o una interrupción bloquea el resto del acceso. Almacene las credenciales de forma segura y supervise la actividad de inicio de sesión en estas cuentas.
- Recuperación con pase de acceso temporal: cuando un usuario pierde su dispositivo sin contraseña, un administrador puede emitir un nuevo TAP para que el usuario pueda iniciar sesión y registrar una credencial de reemplazo. Este enfoque evita restablecer el usuario a una contraseña y mantiene el flujo de recuperación dentro del modelo sin contraseña.
- Varios métodos registrados: anime a los usuarios a registrar más de un método sin contraseña siempre que sea posible. Por ejemplo, un usuario que usa Hello para empresas en su portátil también puede registrar una clave de acceso en Microsoft Authenticator en su teléfono. Si se pierde un dispositivo, el otro método sigue funcionando.
- Administración de credenciales de autoservicio: los usuarios pueden administrar sus métodos de autenticación en Mi información de seguridad. Cuando se combina con la recuperación basada en TAP, este enfoque reduce la dependencia del departamento de soporte técnico para los restablecimientos de credenciales.
- Recuperación de pérdida total con Id. verificada: en escenarios en los que un usuario pierde todas las credenciales y dispositivos registrados, Microsoft Entra recuperación de la cuenta mediante Id. verificada proporciona una ruta de acceso de recuperación verificada por identidades que no se basa en contraseñas ni credenciales emitidas por el departamento de soporte técnico.
Es esencial planear la recuperación antes de aplicar sin contraseña. Un lanzamiento que bloquea las contraseñas sin una ruta de acceso de recuperación crea el tipo de escenarios de bloqueo que erosionan la confianza del administrador y el usuario en la transición.
Aprende más
- Administración de cuentas de acceso de emergencia en Microsoft Entra ID
- Recuperación de cuentas con Id. verificada por Microsoft Entra
Cumplimiento y preparación del dispositivo
A menudo, sin contraseña depende de que el dispositivo esté en el estado correcto antes de que los usuarios puedan confiar en la experiencia. La preparación suele incluir:
- Versiones y plataformas de dispositivos compatibles
- Inscripción o registro de dispositivos
- Aplicaciones y agentes necesarios
- Perfiles de configuración específicos del método y requisitos previos de identidad
Verificación y operaciones en curso
Para validar una implementación sin contraseña, los puntos de comprobación comunes incluyen:
- registros de inicio de sesión de Microsoft Entra
- Microsoft Intune informes de directivas y dispositivos
- Experiencias de comprobación específicas de la plataforma para el método sin contraseña que implemente.
Adopción y comunicación del usuario
La preparación técnica es solo una parte de un lanzamiento sin contraseña. Los usuarios que están acostumbrados a las contraseñas pueden experimentar confusión o resistencia cuando cambian los flujos de inicio de sesión. Planear la comunicación y el soporte técnico del usuario puede marcar la diferencia entre una transición fluida y una amplia extensión del departamento de soporte técnico.
Tenga en cuenta estas prácticas:
- Comunicar el cambio con antelación: permita a los usuarios saber que su experiencia de inicio de sesión está cambiando, por qué cambia y qué esperar. Céntrese en las ventajas: menos contraseñas que recordar, inicio de sesión más rápido y mayor seguridad.
- Proporcionar instrucciones específicas de la plataforma: la experiencia sin contraseña es diferente en Windows (biométrico o PIN de Hello), macOS (Touch ID con sso de plataforma), iOS (Authenticator o passkeys) y Android (agente authenticator). Adapte la comunicación a las plataformas que tienen los usuarios.
- Identificar grupos piloto: comience con un grupo de usuarios que puedan probar la experiencia y proporcionar comentarios antes de aplicar la aplicación sin contraseña en toda la organización. El personal de TI, los primeros en adoptar y los equipos que tienen en cuenta la seguridad suelen ser buenos candidatos.
- Preparar al personal del departamento de soporte técnico: asegúrese de que el equipo de soporte técnico sepa cómo emitir un pase de acceso temporal para la recuperación, cómo guiar a los usuarios a través del registro de credenciales y dónde comprobar los registros de inicio de sesión cuando surjan problemas.
Aprende más
- Microsoft Entra materiales y plantillas de lanzamiento del usuario final
- Actividad de métodos de autenticación
Artículos relacionados
- Opciones de autenticación sin contraseña para Microsoft Entra ID
- Implementación de la autenticación sin contraseña resistente a la suplantación de identidad (phishing) en Microsoft Entra ID
- introducción a Windows Hello para empresas
- Guía de estrategia sin contraseña para organizaciones
- Complemento de Inicio de sesión único de Microsoft Enterprise y SSO de plataforma para dispositivos Apple
- Uso de un pase de acceso temporal
- Utilizar certificados para autenticación en Microsoft Intune
- Introducción a la PKI de Microsoft Cloud
- Introducción a Windows Autopilot
- Creación de una directiva de acceso condicional
- ¿Qué es Confianza cero?
- Directivas de seguridad comunes para organizaciones de Microsoft 365
- Sin contraseña para estudiantes