Sin contraseña para estudiantes

Con el aumento de las amenazas de seguridad, es fundamental que las escuelas empiecen a pensar en formas de usar las características de seguridad que normalmente se evitan para los alumnos.

En este artículo se describe una manera de usar credenciales sin contraseña en las escuelas.

Requisitos:

• Licencia o lote que incluye Entra P1.

La distribución de credenciales resistentes a la suplantación de identidad sin contraseña a los alumnos ha sido un desafío debido al requisito de autenticación multifactor (MFA) para la configuración (a veces denominado arranque). El pase de acceso temporal (TAP) proporciona una opción gratuita de teléfono para que los usuarios configuren las credenciales, incluidas las credenciales sin contraseña enlazadas a dispositivos.

Un pase de acceso temporal es un código de acceso limitado por tiempo que se puede configurar para un uso único o múltiple. Los usuarios pueden iniciar sesión con un TAP para incorporar otros métodos de autenticación sin contraseña, como Microsoft Authenticator, FIDO2, Windows Hello para empresas, inicio de sesión único (SSO) de plataforma con Secure Enclave y Passkeys.

Los administradores pueden crear un TAP y distribuirlo a los alumnos. Los alumnos pueden usar el TAP para crear la credencial sin contraseña. A continuación, los alumnos pueden usar la credencial passworldess para iniciar sesión en el dispositivo.

Cada sistema operativo tiene una implementación diferente para las credenciales sin contraseña enlazadas a dispositivos:

Sistema operativo	Tecnología de clave enlazada de hardware	Adecuado para	Requisito de hardware	Información biométrica
Windows	Windows Hello para empresas	Dispositivos 1:1	Módulo de plataforma segura (TPM)	Windows Hello
macOS	Sso de plataforma con Secure Enclave (versión preliminar)	Dispositivos 1:1	Enclave seguro	TouchID
iOS	Claves de paso con Microsoft Authenticator (versión preliminar)	Dispositivos 1:1	iOS 16+	FaceID
Android	Claves de paso con Microsoft Authenticator (versión preliminar)	Dispositivos 1:1	Android 14+	Específico de OEM
Windows, macOS	Claves de seguridad FIDO2	1:1 o dispositivos compartidos	Clave de seguridad FIDO2	Varios
Passkeys (sincrónico): próximamente en 2024	No aplicable	No enlazado a hardware: la protección varía según el proveedor de proveedores de claves de paso	No aplicable	Varios

Estas tecnologías proporcionan resistencia a la autenticación resistente a la suplantación de identidad porque usan una combinación de una clave privada enlazada a hardware, la posesión física del usuario de ese dispositivo. El PIN o la contraseña del dispositivo local que se usa para desbloquear o "liberar" la clave privada específica del dispositivo. La clave privada nunca sale del dispositivo o se transmite a través de la red. Microsoft Entra ID solo posee una clave pública correspondiente que se usa para validar los datos firmados por la clave privada enlazada por hardware. El PIN o la contraseña local son específicos del dispositivo y no se pueden usar para iniciar sesión en servicios u otros dispositivos (a menos que el usuario use el mismo PIN).

Sugerencia

Para obtener la mejor experiencia sin contraseña en dispositivos 1:1 para K-12 Students and Devices, Microsoft recomienda TAP + Windows Hello (u otra tecnología de clave enlazada a hardware específica de la plataforma). En el caso de los dispositivos compartidos, Microsoft recomienda claves de seguridad FIDO2.

Para obtener más información sobre el identificador de Microsoft Entra y sin contraseña, consulte Inicio de sesión sin contraseña de Microsoft Entra.

Experiencia de usuario sin contraseña

Windows

Estos pasos muestran la experiencia del usuario durante Autopilot en las condiciones siguientes:

• El usuario tiene un pase de acceso temporal.
• Windows Hello para empresas está habilitado para este dispositivo.

Si el dispositivo ya está aprovisionado, la experiencia es la misma del paso 2 cuando el usuario inicia sesión en un dispositivo con Windows Hello para empresas habilitado.

1. Inicie sesión con una cuenta profesional o educativa y use el pase de acceso temporal para iniciar Autopilot.
2. Una vez completado el aprovisionamiento, se pide al usuario que configure Windows Hello para empresas.
3. Se le pide al usuario que escriba su pase de acceso temporal.
4. El usuario crea un PIN y configura las credenciales biométricas si el dispositivo lo admite.
5. El usuario ahora puede iniciar sesión con su PIN o biometría.

Experiencia del usuario cuando un usuario no tiene un TAP o el TAP ha expirado

Si el usuario no tiene un pase de acceso temporal al pasar por Autopilot, se le pedirá que se registre para la autenticación multifactor:

Si asigna un pase de acceso temporal a un usuario y le pide que vuelva a intentarlo o reinicie el equipo, se pedirá a los usuarios que usen el pase de acceso temporal en su lugar.

macOS

Estos pasos muestran la experiencia del usuario durante la inscripción automatizada de dispositivos con el modo controlado por el usuario en las condiciones siguientes:

• El usuario tiene un pase de acceso temporal.
• El inicio de sesión único de plataforma con Secure Enclave está habilitado para este dispositivo.

Si el dispositivo ya está aprovisionado, la experiencia es la misma del paso 3 cuando el usuario inicia sesión en un dispositivo con platform SSO con Secure Enclave habilitado.

1. Durante el asistente de configuración, el usuario escribe su nombre de usuario y su pase de acceso temporal.
2. El usuario crea su cuenta local con una contraseña de cuenta local (que podría ser un PIN).
3. Una vez en el escritorio, el usuario selecciona registrar su dispositivo con el id. de Microsoft Entra.
4. Durante el proceso de registro, el usuario usa su pase de acceso temporal para autenticarse.
5. El usuario selecciona permitir portal de empresa como proveedor passkey en la configuración.
6. El usuario ahora puede iniciar sesión con su PIN o biometría y obtener acceso a la credencial enlazada al dispositivo para autenticarse en Microsoft Entra ID mediante el inicio de sesión único de plataforma.

Para obtener más información, consulte los siguientes artículos en función del escenario:

• Unión de un dispositivo Mac con el identificador de Microsoft Entra durante la experiencia rápida
• Unión de un dispositivo Mac con el identificador de Microsoft Entra mediante el Portal de empresa

Planeamiento de sin contraseña

El principal desafío de aprovisionar credenciales sin contraseña a los alumnos es distribuir el TAP.

Entre las opciones se incluyen:

• Generar TAP cuando se proporcionan contraseñas a los alumnos por primera vez o proporcionar solo un TAP y ninguna contraseña para aplicar sin contraseña.
• Generar y distribuir un TAP cuando los alumnos reciben nuevos dispositivos.
• Habilitar las opciones de autenticación sin contraseña y pedir a los alumnos que las configuren y llamen al soporte técnico de TI para solicitar un TAP al configurarlo.
• Delegación del acceso para crear TAP a profesores o TI locales.

Puede usar métodos de autenticación en Entra para controlar qué usuarios pueden usar tipos específicos de métodos de autenticación. Por ejemplo, podría permitir que los profesores y el personal usen Microsoft Authenticator, pero solo permitir que los alumnos usen el pase de acceso temporal.

Atributos de usuario de destino	Usuarios típicos	Authentication Methods
Puede usar dispositivos iOS o Android además de su dispositivo principal.	Personal, estudiantes universitarios, estudiantes en escuelas donde se permiten dispositivos móviles	✔️ Claves de paso de clave de seguridad✔️ FIDO2 para el acceso✔️ temporal de Microsoft Authenticator ✔️
Sin acceso a dispositivos móviles	K-12 estudiantes	✔️ Contraseñas de clave✔️ de seguridad FIDO2 de paso ✔️ de acceso temporal

Para obtener más información sobre los métodos de autenticación disponibles en Entra, consulte Métodos de autenticación.

Configuración de métodos de autenticación

1. Configuración de Entra para usar directivas de métodos de autenticación

   Los métodos de autenticación se pueden configurar después de migrar la autenticación multifactor y la configuración de directiva de autoservicio de restablecimiento de contraseña a la funcionalidad Métodos de autenticación. Para obtener más información, consulte Migración de mfa y configuración de directiva de autoservicio de restablecimiento de contraseña a la directiva de métodos de autenticación para Microsoft Entra ID.

2. Configuración de los métodos de autenticación en función de sus requisitos

   Use métodos de autenticación para establecer como destino la configuración necesaria en grupos de usuarios. Para obtener más información, vea Métodos de autenticación. Por ejemplo:

   • Cambie los grupos de destino para los métodos Phone, SMS y Microsoft Authenticator para incluir personal y excluir a los alumnos.
   • Cambie el grupo de destino de Pase de acceso temporal para incluir a los alumnos.

3. Emisión del pase de acceso temporal

   Los administradores pueden emitir pases de acceso temporales y distribuirlos a los usuarios. Para obtener más información, consulte Creación de un pase de acceso temporal.

Configuración de dispositivos

Configure el método de inicio de sesión sin contraseña para que cada sistema operativo cumpla sus requisitos.

Windows

En el caso de los dispositivos administrados por Intune, hay dos métodos para configurar Windows Hello para empresas:

• En todo el inquilino. Directivas de Windows Hello para empresas para todo el inquilino en Dispositivos>Windows>Enrollment > Windows Hello para empresas. Es habitual que las escuelas deshabiliten Windows Hello para empresas para evitar que se pida a los alumnos que configuren la autenticación multifactor durante el inicio de sesión.
• Se ha dirigido mediante directivas. Las directivas dirigidas tienen prioridad sobre la directiva de todo el inquilino, lo que permite que la configuración se dirija a grupos o a la fase del lanzamiento.

Para obtener más información, consulta Configurar Windows Hello para empresas.

Se requieren pasos adicionales para configurar el acceso de inicio de sesión único a recursos locales con credenciales de Windows Hello para empresas. Para obtener más información, consulte Configuración del inicio de sesión único para dispositivos unidos a Microsoft Entra.

Personalización de la experiencia de Windows Hello para empresas

Esta configuración es opcional, pero se puede usar para personalizar la experiencia de Windows Hello para empresas.

• DisablePostLogonProvisioning : de forma predeterminada, Windows Hello para empresas requiere aprovisionamiento durante el inicio de sesión. Con esta configuración habilitada, el símbolo del sistema de inicio de sesión está deshabilitado. Los usuarios pueden configurar Windows Hello para empresas en la aplicación de configuración.

  Configuración	Valor
  OMA-URI:	./Device/Vendor/MSFT/PassportForWork/**Microsoft Entra ID Tenant ID**/Policies/DisablePostLogonProvisioning
  Tipo de dato:	Booleano
  Valor:	Verdadero

• EnablePasswordlessExperience : cuando la directiva está habilitada en Windows 11, determinados escenarios de autenticación de Windows no ofrecen a los usuarios la opción de usar una contraseña, lo que ayuda a las organizaciones y a preparar a los usuarios para que se alejen gradualmente de las contraseñas. Para obtener más información, consulte Experiencia sin contraseña de Windows.

  Configuración	Valor
  OMA-URI:	./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
  Tipo de dato:	Entero
  Valor:	1

Para ver los pasos para crear una directiva personalizada, consulte Agregar configuración personalizada para dispositivos Windows 10/11 en Microsoft Intune.

macOS

Para usar credenciales sin contraseña en macOS, puede configurar Platform SSO con enclave seguro. Para obtener más información sobre la configuración del inicio de sesión único de Platform con Intune, vea https://learn.microsoft.com/mem/intune/configuration/platform-sso-macos.

Supervisión de la autenticación de Passworldess

Entra incluye informes para supervisar métodos de autenticación. Para obtener más información, vea Actividad de métodos de autenticación.

Use los informes para ver el progreso de la implementación e identificar cuándo los usuarios usan credenciales sin palabra.

Aplicación de la intensidad de autenticación con acceso condicional

El acceso a los servicios que usan el identificador de Microsoft Entra para la autenticación se puede restringir en función de la intensidad del método de autenticación, entre otras condiciones, mediante el acceso condicional.

Por ejemplo, para requerir que los alumnos accedan a los servicios mediante el identificador de Microsoft Entra para la autenticación, use un dispositivo administrado con credenciales sin contraseña, configure una directiva de acceso condicional con esta configuración:

Configuración	Valor
Nombre	Alumnos
Target	Todos los alumnos
Conceder	Dispositivo de quejas: sí Resistencia a la autenticación: resistente a la suplantación de identidad

Para obtener más información sobre la intensidad de la autenticación en las directivas de acceso condicional, consulte Información general sobre la intensidad de la autenticación de Microsoft Entra.

Para obtener instrucciones sobre cómo configurar directivas de acceso condicional, consulte ¿Qué es el acceso condicional en microsoft entra ID?.

Sugerencia

En escenarios en los que los dispositivos se comparten entre varios usuarios, una opción alternativa de autenticación sin contraseña es las claves de seguridad FIDO 2. Los dispositivos compartidos podrían excluirse de las directivas de acceso condicional en función de la ubicación, pero esto no se recomienda.

Administrar credenciales sin contraseña

Las credenciales sin contraseña no se ven afectadas por los cambios de contraseña, los restablecimientos o las directivas. Si un dispositivo está en peligro o es robado, debe seguir los procedimientos requeridos por el equipo de seguridad. Algunos ejemplos de acciones podrían incluir:

• No realizar ninguna acción hasta que se investigue un compromiso.
• Desencadenar un borrado remoto del dispositivo en peligro.
• Deshabilitar la credencial o la cuenta de usuario.

Si un dispositivo está en peligro, puede optar por eliminar la credencial sin contraseña asociada de Microsoft Entra ID para evitar el uso no autorizado.

Para quitar un método de autenticación asociado a una cuenta de usuario, elimine la clave del método de autenticación del usuario. Puede identificar el dispositivo asociado en la columna Detalles .

1. Inicie sesión en el Centro de administración de Microsoft Entra y busque el usuario cuya clave de acceso debe quitarse.
2. Seleccione Métodos> de autenticación junto al método de autenticación correspondiente, seleccione "..." y, a continuación, seleccione Eliminar.

Pasos siguientes

Para obtener más información sobre cómo inscribir los dispositivos en Intune, vaya a:

• Tutorial: configuración de un punto de conexión de Windows nativo en la nube con Microsoft Intune
• Guía de un extremo a otro para empezar a trabajar con puntos de conexión de macOS