Cómo afectan las distintas tecnologías al inicio de sesión en Microsoft Teams

Si necesita comprender cómo las tecnologías como el inicio de sesión único (SSO), la autenticación moderna (MS) y la autenticación multifactor (MA) afectan a la experiencia de los usuarios de inicio de sesión, este artículo ayudará a aclarar lo que los usuarios y administradores pueden esperar ver. También se describe el comportamiento de inicio de sesión para dispositivos macOS, Android e iOS, cómo funciona el inicio de sesión con varias cuentas, cómo quitar credenciales rellenadas automáticamente o "rellenar previamente" en la pantalla de inicio de sesión y cómo restringir el inicio de sesión.

Marque este artículo como marcador si su rol implica conocer los comportamientos esperados de Microsoft Team durante el inicio de sesión.

Microsoft Teams y usuarios de Windows: recomendaciones de inicio de sesión

Microsoft recomienda que las organizaciones usen las versiones más recientes de Windows 10 con una configuración de Hybrid Domain Join o Azure AD Join. Usar las últimas versiones garantiza que las cuentas de los usuarios estén desbloqueadas en el Administrador de cuentas web de Windows, el cual, a su vez, activará el inicio de sesión único para Teams y para otras aplicaciones de Microsoft. El inicio de sesión único ofrece una mejor experiencia de usuario (inicio de sesión silencioso) y una mejor posición de seguridad.

Microsoft Teams usa la autenticación moderna para mantener la experiencia de inicio de sesión sencilla y segura. Para ver cómo inician sesión en Teams los usuarios, consulte Iniciar sesión en Teams.

Cómo afecta la autenticación moderna (MA) al inicio de sesión: lo que verán los usuarios cuando MA esté activado

La autenticación moderna forma parte de un proceso que permite a los equipos saber que los usuarios ya han introducido sus credenciales , como el correo electrónico del trabajo y la contraseña, en otro lugar, y no se les debe requerir que vuelvan a especificarlas para iniciar la aplicación. La experiencia varía según un par de factores, como si los usuarios están trabajando en un sistema operativo Windows o en un Mac.

El comportamiento de inicio de sesión también variará en función de si su organización ha habilitado la autenticación de factor único o la autenticación multifactor. Generalmente, la autenticación multifactor requiere comprobar las credenciales a través de un teléfono, proporcionar un código único, escribir un PIN o presentar una huella digital.

La autenticación moderna está disponible para cualquier organización que use Teams. Si los usuarios no pueden completar el proceso, puede haber un problema subyacente en la configuración de Azure AD de su organización. Para obtener más información, vea ¿por qué tengo problemas para iniciar sesión en Microsoft Teams?

Este es un resumen del comportamiento que los usuarios pueden esperar con cada escenario de autenticación moderna.

  • Si los usuarios ya han iniciado sesión en Windows o en otras aplicaciones de Office con su cuenta profesional o educativa, cuando inicien Teams, se les dirigirá directamente a la aplicación. No es necesario que introduzcan sus credenciales.

  • Microsoft recomienda usar la versión 1903 o posterior de Windows 10 para disfrutar de la mejor experiencia de inicio de sesión único.

  • Si los usuarios no han iniciado sesión en su cuenta profesional o educativa de Microsoft en ningún otro lugar, al iniciar Teams, se les pedirá que proporcionen autenticación multifactor o de factor único (SFA o MFA). Este proceso depende de los requerimientos que su organización haya decidido establecer para el procedimiento de inicio de sesión.

  • Si los usuarios inician sesión en un equipo unido a un dominio, cuando inicien Teams, es posible que se le pida que realicen un paso de autenticación más, en función de si la organización decidió requerir MFA o si el equipo ya requiere MFA para iniciar sesión. Si su equipo ya requiere MFA para iniciar sesión, cuando abran Teams, la aplicación se iniciará automáticamente.

  • En equipos unidos a dominios, cuando no es posible usar SSO, Teams puede rellenar previamente su pantalla de inicio de sesión con el nombre principal de usuario (UPN). Hay casos en los que es posible que no quiera esto, especialmente si su organización usa diferentes UPN locales y en Azure Active Directory. En ese caso, puede usar la siguiente clave del Registro de Windows para desactivar la población previa del UPN:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
    SkipUpnPrefill(REG_DWORD)
    0x00000001 (1)

    Nota

    La opción para omitir o ignorar el rellenado previo para los nombres de usuario que terminan en ".local" o ".corp" está activada de forma predeterminada, por lo que no es necesario establecer una clave del registro para desactivarlos.

Inicio de sesión de Microsoft Teams en otra cuenta en un equipo unido a un dominio

Es posible que los usuarios del equipo unido a un dominio no puedan iniciar sesión en Teams con otra cuenta en el mismo dominio de Active Directory.

Usuarios de macOS y avisos de inicio de sesión de Microsoft Teams

En MacOS, Teams solicitará a los usuarios que escriban su nombre de usuario y credenciales, y también podría pedir una autenticación multifactor en función de la configuración de su organización. Una vez que los usuarios escriben sus credenciales, no se les pedirá que las proporcionen nuevamente. A partir de ese momento, Teams se inicia automáticamente siempre y cuando estén trabajando en el mismo equipo.

Inicio de sesión de Microsoft Teams para usuarios de iOS y Android

Al iniciar sesión, los usuarios de dispositivos móviles verán una lista de todas las cuentas de Microsoft 365 que tengan la sesión actualmente iniciada o que hayan iniciado sesión anteriormente en su dispositivo. Los usuarios pueden pulsar en cualquiera de las cuentas para iniciar sesión. Hay dos escenarios para el inicio de sesión en los móviles:

  1. Si la cuenta seleccionada está actualmente conectada a otras aplicaciones de Office 365 o Microsoft 365, entonces el usuario será llevado directamente a Teams. No es necesario que el usuario introduzca sus credenciales.

  2. Si el usuario no ha iniciado sesión en su cuenta de Microsoft 365 en ningún otro lugar, se le pedirá que proporcione una autenticación de factor único o una autenticación multifactor (SFA o MFA), dependiendo de las directivas de inicio de sesión desde un dispositivo móvil configuradas para la organización.

Nota

Para que los usuarios puedan experimentar la experiencia de inicio de sesión tal y como se describe en esta sección, sus dispositivos deben ejecutar Teams para iOS, versión 2.0.13 (compilación 2020061704) o posterior, o bien Teams para Android, versión 1416/1.0.0.2020061702 o posterior.

Usar Microsoft Teams con varias cuentas de inicio de sesión

Teams para iOS y Android son compatibles con el uso de varias cuentas de trabajo o escuela, y varias cuentas personales, una junto a la otra. Las aplicaciones de escritorio de Teams son compatibles con una cuenta profesional o educativa y una sola en paralelo en diciembre de 2020, con soporte técnico para varias cuentas de trabajo o escuela en una fecha posterior.

Las siguientes imágenes muestran cómo los usuarios pueden agregar varias cuentas en aplicaciones móviles de Teams.

Agregar varias cuentas en Teams.

Restringir el inicio de sesión en Microsoft Teams

Para ello, es posible que la organización quiera restringir el uso de aplicaciones aprobadas por la empresa en los dispositivos administrados, por ejemplo, para restringir la capacidad de los estudiantes o empleados de acceder a los datos de otras organizaciones e incluso utilizar aplicaciones aprobadas por la empresa para situaciones personales. Estas restricciones se pueden aplicar al establecer directivas de dispositivos que reconozcan las aplicaciones de equipo.

Cómo restringir el inicio de sesión de Microsoft Teams en dispositivos móviles

Teams para iOS y Android ofrece a los administradores de TI la capacidad de enviar configuraciones de cuenta a cuentas de Microsoft 365. Esta capacidad funciona con cualquier proveedor de Administración de dispositivos móviles (MDM) que utilice el canal de Configuración de aplicaciones administradas para iOS o el canal Android Enterprise para Android.

Para los usuarios inscritos en Microsoft Intune, puede desplegar los ajustes de configuración de la cuenta utilizando Intune en el portal de Azure.

Una vez que se haya establecido la configuración de la cuenta en el proveedor de MDM, y después de que el usuario inscriba su dispositivo, en la página de inicio de sesión, Microsoft Teams para iOS y Android solo mostrarán las cuentas permitidas en la página de inicio de sesión de Microsoft Teams. El usuario puede acceder a cualquiera de las cuentas permitidas en esta página para iniciar sesión.

Establezca los siguientes parámetros de configuración en el portal de Azure Intune para los dispositivos administrados.

Plataforma Clave Valor
iOS IntuneMAMAllowedAccountsOnly Habilitado: la única cuenta permitida es la cuenta de usuario administrada definida por la clave IntuneMAMUPN.
Deshabilitado (o cualquier valor que no sea una coincidencia insensible a las mayúsculas y minúsculas con Habilitado): cualquier cuenta está permitida.
iOS IntuneMAMUPN UPN de la cuenta permitida para acceder a Teams.
En el caso de los dispositivos inscritos en Intune, se puede utilizar el símbolo {{userprincipalname}} para representar la cuenta de usuario inscrito.
Android com.microsoft.intune.mam.AllowedAccountUPNs Sólo se permiten las cuentas de usuario administradas definidas por esta clave.
Uno o más punto y coma ;]- UPN delimitados.
En el caso de los dispositivos inscritos en Intune, se puede utilizar el símbolo {{userprincipalname}} para representar la cuenta de usuario inscrito.

Una vez que se haya establecido la configuración de la cuenta, Teams restringirá la posibilidad de iniciar sesión, de modo que sólo se concederá acceso a las cuentas permitidas en los dispositivos inscritos.

Para crear una directiva de configuración de la aplicación para dispositivos iOS/iPad administrados, veaAgregar directivas de configuración de la aplicación para dispositivos iOS/iPad administrados.

Para crear una directiva de configuración de aplicaciones para dispositivos Android administrados, vea Agregar directivas de configuración de aplicaciones para dispositivos Android administrados .

Cómo restringir el inicio de sesión de Teams en dispositivos de escritorio

Las aplicaciones de Microsoft Teams en Windows y macOS obtienen soporte técnico para las directivas de dispositivos que restringen el inicio de sesión en su organización. Las directivas se pueden establecer mediante soluciones usuales de administración de dispositivos como MDM (administración de dispositivos móviles) o GPO (objeto de directiva de grupo).

Cuando esta directiva está configurada en un dispositivo, los usuarios solo pueden iniciar sesión con las cuentas hospedadas en un inquilino de Azure AD que se incluye en la "Lista de permitidos de inquilino" definida en la directiva. La directiva se aplica a todos los inicios de sesión, entre los que se incluyen la primera cuenta y las cuentas adicionales. Si su organización abarca varios inquilinos de Azure AD, puede incluir varios Id. de inquilinos en la lista de permitidos. Es posible que los vínculos para agregar otra cuenta sigan siendo visibles en la aplicación de Teams, pero en este caso no se podrán utilizar.

Nota

  1. La directiva solo restringe los inicios de sesión. No restringe la capacidad de los usuarios de ser agregados como invitados en otros espacios empresariales de Azure AD o cambiar a otros espacios empresariales (donde se ha invitado a los usuarios como invitados).
  2. La directiva requiere Microsoft Teams para Windows versión 1.3.00.30866 o superior, y Microsoft Teams para MacOS versión 1.3.00.30882 (lanzado a mediados de noviembre de 2020).

Las directivas para los archivos de la plantilla administrativa (ADMX/ADML) de Windows están disponibles en el Centro de descargas (el nombre descriptivo de la configuración de directiva en el archivo de plantilla administrativa es "Restringir el inicio de sesión en Teams a cuentas de espacios empresariales específicos"). Además, puede establecer manualmente las teclas en el registro de Windows:

  • Nombre del valor: RestrictTeamsSignInToAccountsFromTenantList
  • Tipo de valor: cadena
  • Datos de valor: Id. de inquilino o lista separada por comas de Id. de inquilino
  • Ruta de acceso: use uno de los siguientes

Equipo \ HKEY_CURRENT_USER \SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams equipo \ HKEY_CURRENT_USER \SOFTWARE\Policies\Microsoft\Office\16.0\Teams equipo \ HKEY_CURRENT_USER \SOFTWARE\Microsoft\Office\16.0\Teams

Ejemplo: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID o SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 1,Tenant ID 2,Tenant ID 3

Directivas para macOS Para dispositivos administrados por macOS, use .plist para implementar restricciones de inicio de sesión. El perfil de configuración es un archivo. plist que está formado por entradas identificadas por una clave (lo que denota el nombre de la preferencia), seguido de un valor, que depende de la naturaleza de la preferencia. Los valores pueden ser sencillos (como un valor numérico) o complejos, como una lista anidada de preferencias.

  • Dominio: com.microsoft.teams
  • Key: RestrictTeamsSignInToAccountsFromTenantList
  • Tipo de datos: cadena
  • Comentarios: escriba una lista separada por comas de los Id. de inquilino de Azure AD

Inicio de sesión global y Microsoft Teams

La aplicación de Android de Teams ahora es compatible con el inicio de sesión global para que los trabajadores de primera línea pueden iniciar sesión sin problemas. Los empleados pueden elegir un dispositivo del grupo de dispositivos compartidos y realizar un inicio de sesión único para "hacerlo suyo" por la duración del turno. Una vez finalizado su turno, deberían ser capaces de realizar la sesión de forma global en el dispositivo. Consulte Cerrar sesión en Teams para más información. Este proceso quitará toda su información personal y de la compañía del dispositivo para que pueda devolverlo al grupo de dispositivos. Para obtener esta funcionalidad, el dispositivo debe estar en modo compartido. Asegúrese de finalizar cualquier reunión o llamada activa en el dispositivo antes de cerrar la sesión. Para obtener información sobre cómo configurar un dispositivo compartido, consulte Cómo usar un modo de dispositivo compartido en Android.

La experiencia de inicio de sesión es similar a nuestra experiencia de inicio de sesión estándar de Teams.

Direcciones URL e intervalos de direcciones IP para Microsoft Teams

Teams requiere conectividad a Internet. Para comprender los puntos de conexión que deben ser accesibles para los clientes que usan Teams en los planes de Office 365, gobierno y otras nubes, consulte Intervalos de la dirección IP y URL de Office 365.

Solución de problemas de Teams