Cómo afectan las distintas tecnologías al inicio de sesión en Microsoft Teams
Si necesita comprender cómo afectan las tecnologías como el inicio de sesión único (SSO), la autenticación moderna (MS) y la autenticación multifactor (MA) a la experiencia de los usuarios de inicio de sesión, este artículo ayuda a aclarar lo que los usuarios y administradores pueden esperar ver. También se describe el comportamiento de inicio de sesión para dispositivos macOS, Android e iOS, cómo funciona el inicio de sesión con varias cuentas, cómo quitar credenciales rellenadas automáticamente o "rellenar previamente" en la pantalla de inicio de sesión, cómo restringir el inicio de sesión y cómo simplificar la experiencia de inicio de sesión con inicio de sesión sin dominio en dispositivos móviles compartidos y administrados.
Agregue un marcador a este artículo si su rol implica conocer los comportamientos esperados de Microsoft Team durante el inicio de sesión.
Microsoft Teams y usuarios de Windows: recomendaciones de inicio de sesión
Microsoft recomienda que las organizaciones usen versiones recientes de Windows 10 con la configuración Unión a un dominio híbrido o Unión a Microsoft Entra. Usar las últimas versiones garantiza que las cuentas de los usuarios estén desbloqueadas en el Administrador de cuentas web de Windows, el cual, a su vez, activará el inicio de sesión único para Teams y para otras aplicaciones de Microsoft. El inicio de sesión único ofrece una mejor experiencia de usuario (inicio de sesión silencioso) y una mejor posición de seguridad.
Microsoft Teams usa la autenticación moderna para mantener la experiencia de inicio de sesión sencilla y segura. Para ver cómo inician sesión en Teams los usuarios, consulte Iniciar sesión en Teams.
Cómo afecta la autenticación moderna (MA) al inicio de sesión: qué verán los usuarios cuando MA esté activado
La autenticación moderna forma parte de un proceso que permite a los equipos saber que los usuarios ya han introducido sus credenciales (como el correo electrónico y la contraseña del trabajo) en otro lugar y no se les pedirá que vuelvan a especificarlas para iniciar la aplicación. La experiencia varía según un par de factores, como si los usuarios están trabajando en un sistema operativo Windows o en un Mac.
El comportamiento del inicio de sesión también variará en función de si su organización ha habilitado la autenticación de un solo factor o la autenticación multifactor. Generalmente, la autenticación multifactor requiere comprobar las credenciales a través de un teléfono, proporcionar un código único, escribir un PIN o presentar una huella digital.
La autenticación moderna está disponible para cualquier organización que use Teams. Si los usuarios no pueden completar el proceso, es posible que haya un problema subyacente con la configuración de Microsoft Entra de su organización. Para obtener más información, vea ¿por qué tengo problemas para iniciar sesión en Microsoft Teams?
Este es un resumen del comportamiento que los usuarios pueden esperar con cada escenario de autenticación moderna.
Si los usuarios ya han iniciado sesión en Windows o en otras aplicaciones de Office con su cuenta profesional o educativa, cuando inicien Teams, se les redirigirá directamente a la aplicación. No es necesario que introduzcan sus credenciales.
Microsoft recomienda usar Windows 10 versión 1903 o posterior para disfrutar de la mejor experiencia de inicio de sesión único.
Si los usuarios no han iniciado sesión en su cuenta profesional o educativa de Microsoft en ningún otro lugar, al iniciar Teams, se les pedirá que proporcionen autenticación multifactor o de un solo factor (SFA o MFA). Este proceso depende de los requerimientos que su organización haya decidido establecer para el procedimiento de inicio de sesión.
Si los usuarios inician sesión en un equipo unido a un dominio, cuando inicien Teams, es posible que se le pida que realicen un paso de autenticación más, en función de si la organización decidió requerir MFA o si el equipo ya requiere MFA para iniciar sesión. Si su equipo ya requiere MFA para iniciar sesión, cuando abran Teams, la aplicación se iniciará automáticamente.
En equipos unidos a un dominio, cuando no es posible usar SSO, Teams puede rellenar previamente su pantalla de inicio de sesión con el nombre principal de usuario (UPN). Hay casos en los que es posible que no quiera esto, especialmente si su organización usa diferentes UPN locales y en Microsoft Entra ID. En ese caso, puede usar la siguiente clave del Registro de Windows para desactivar la población previa del UPN:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
SkipUpnPrefill(REG_DWORD)
0x00000001 (1)Nota
Omitir o ignorar el relleno previo de nombres de usuario para los nombres de usuario que terminan en ".local" o ".corp" está activado de forma predeterminada, por lo que no es necesario establecer una clave del Registro para desactivarlas.
Inicio de sesión de Microsoft Teams en otra cuenta en un equipo unido a un dominio
Es posible que los usuarios del equipo unido a un dominio no puedan iniciar sesión en Teams con otra cuenta en el mismo dominio de Active Directory.
Usuarios de macOS y solicitudes de inicio de sesión de Microsoft Teams
En macOS, Teams pedirá a los usuarios que escriban su nombre de usuario y credenciales, y es posible que soliciten autenticación multifactor en función de la configuración de su organización. Una vez que los usuarios escriben sus credenciales, no se les pedirá que las proporcionen nuevamente. A partir de ese momento, Teams se inicia automáticamente siempre y cuando estén trabajando en el mismo equipo.
Inicio de sesión en Microsoft Teams para usuarios de iOS y Android
Al iniciar sesión, los usuarios de dispositivos móviles verán una lista de todas las cuentas de Microsoft 365 que tengan la sesión actualmente iniciada o que hayan iniciado sesión anteriormente en su dispositivo. Los usuarios pueden pulsar en cualquiera de las cuentas para iniciar sesión. Hay dos escenarios para el inicio de sesión en los móviles:
Si la cuenta seleccionada ha iniciado sesión actualmente en otras aplicaciones de Office 365 o Microsoft 365, el usuario se le lleva directamente a Teams. No es necesario que el usuario introduzca sus credenciales.
Si el usuario no ha iniciado sesión en su cuenta de Microsoft 365 en ningún otro lugar, se le pedirá que proporcione autenticación multifactor o de factor único (SFA o MFA), en función de lo que haya configurado su organización para las directivas de inicio de sesión móvil.
Nota
Para que los usuarios experimenten la experiencia de inicio de sesión como se describe en esta sección, sus dispositivos deben ejecutar Teams para iOS versión 2.0.13 (compilación 2020061704) o posterior, o Teams para Android versión 1416/1.0.0.2020061702 o posterior.
Usar Microsoft Teams con varias cuentas
Teams para iOS y Android son compatibles con el uso de varias cuentas de trabajo o escuela, y varias cuentas personales, una junto a la otra. Las aplicaciones de escritorio de Teams son compatibles con una cuenta profesional o educativa y una sola en paralelo en diciembre de 2020, con soporte técnico para varias cuentas de trabajo o escuela en una fecha posterior.
Las siguientes imágenes muestran cómo los usuarios pueden agregar varias cuentas en aplicaciones móviles de Teams.
Restringir el inicio de sesión en Microsoft Teams
Es posible que la organización quiera restringir cómo se usan las aplicaciones aprobadas por la empresa en dispositivos administrados, por ejemplo, para restringir la capacidad de los alumnos o empleados para acceder a datos de otras organizaciones o usar aplicaciones aprobadas por la empresa para escenarios personales. Estas restricciones se pueden aplicar al establecer directivas de dispositivos que reconozcan las aplicaciones de equipo.
Cómo restringir el inicio de sesión de Microsoft Teams en dispositivos móviles
La aplicación de Teams para iOS y Android en dispositivos inscritos solo se puede configurar para permitir el aprovisionamiento de una única cuenta corporativa dentro de la aplicación. Esta funcionalidad funciona con cualquier proveedor de MDM que use el canal de App Configuration administrado para iOS o el canal Android Enterprise para Android.
Para los usuarios inscritos en Microsoft Intune, puede implementar la configuración de la cuenta mediante el portal de Intune.
Una vez que se haya establecido la configuración de la cuenta en el proveedor de MDM, y después de que el usuario inscriba su dispositivo, en la página de inicio de sesión, Microsoft Teams para iOS y Android solo mostrarán las cuentas permitidas en la página de inicio de sesión de Microsoft Teams. El usuario puede acceder a cualquiera de las cuentas permitidas en esta página para iniciar sesión.
Establezca los siguientes parámetros de configuración en el portal de Azure Intune para los dispositivos administrados.
Plataforma | Clave | Valor |
---|---|---|
iOS | IntuneMAMAllowedAccountsOnly |
Habilitado: la única cuenta permitida es la cuenta de usuario administrada definida por la clave IntuneMAMUPN. Deshabilitada (o cualquier valor que no disteda entre mayúsculas y minúsculas y habilitado): se permite cualquier cuenta. |
iOS | IntuneMAMUPN | UPN de la cuenta permitida para acceder a Teams. En el caso de los dispositivos inscritos en Intune, se puede utilizar el símbolo {{userprincipalname}} para representar la cuenta de usuario inscrito. |
Android | com.microsoft.intune.mam.AllowedAccountUPNs | Sólo se permiten las cuentas de usuario administradas definidas por esta clave. Uno o más punto y coma ;]- UPN delimitados. En el caso de los dispositivos inscritos en Intune, se puede utilizar el símbolo {{userprincipalname}} para representar la cuenta de usuario inscrito. |
Una vez que se haya establecido la configuración de la cuenta, Teams restringirá la posibilidad de iniciar sesión, de modo que sólo se concederá acceso a las cuentas permitidas en los dispositivos inscritos.
Para crear una directiva de configuración de la aplicación para dispositivos iOS/iPad administrados, veaAgregar directivas de configuración de la aplicación para dispositivos iOS/iPad administrados.
Para crear una directiva de configuración de aplicaciones para dispositivos Android administrados, vea Agregar directivas de configuración de aplicaciones para dispositivos Android administrados .
Cómo restringir el inicio de sesión de Teams en dispositivos de escritorio
Las aplicaciones de Microsoft Teams en Windows y macOS obtienen soporte técnico para las directivas de dispositivos que restringen el inicio de sesión en su organización. Las directivas se pueden establecer mediante soluciones usuales de administración de dispositivos como MDM (administración de dispositivos móviles) o GPO (objeto de directiva de grupo).
Cuando se configura esta directiva en un dispositivo, los usuarios solo pueden iniciar sesión con cuentas que se alojan en un inquilino de Microsoft Entra que se incluye en la "Lista de permitidos del inquilino" definida en la directiva. La directiva se aplica a todos los inicios de sesión, entre los que se incluyen la primera cuenta y las cuentas adicionales. Si su organización abarca varios inquilinos de Microsoft Entra, puede incluir varios identificadores de inquilino en la lista de permitidos. Es posible que los vínculos para agregar otra cuenta sigan estando visibles en la aplicación Teams, pero no funcionarán.
Nota
- La directiva solo restringe los inicios de sesión. No se restringe la posibilidad de invitar a los usuarios como invitado en otros inquilinos Microsoft Entra, ni cambiar a los otros inquilinos (donde se ha invitado a los usuarios como invitado).
- La directiva requiere Microsoft Teams para Windows versión 1.3.00.30866 o superior, y Microsoft Teams para MacOS versión 1.3.00.30882 (lanzado a mediados de noviembre de 2020).
Las directivas para los archivos de la plantilla administrativa (ADMX/ADML) de Windows están disponibles en el Centro de descargas (el nombre descriptivo de la configuración de directiva en el archivo de plantilla administrativa es "Restringir el inicio de sesión en Teams a cuentas de espacios empresariales específicos"). Además, puede establecer manualmente las teclas en el registro de Windows:
- Nombre del valor: RestrictTeamsSignInToAccountsFromTenantList
- Tipo de valor: cadena
- Datos de valor: Id. de inquilino o lista separada por comas de Id. de inquilino
- Ruta de acceso: use uno de los siguientes
Equipo \ HKEY_CURRENT_USER \SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams equipo \ HKEY_CURRENT_USER \SOFTWARE\Policies\Microsoft\Office\16.0\Teams equipo \ HKEY_CURRENT_USER \SOFTWARE\Microsoft\Office\16.0\Teams
Ejemplo: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID o SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 1,Tenant ID 2,Tenant ID 3
Directivas para macOS Para dispositivos administrados por macOS, use .plist para implementar restricciones de inicio de sesión. El perfil de configuración es un archivo. plist que está formado por entradas identificadas por una clave (lo que denota el nombre de la preferencia), seguido de un valor, que depende de la naturaleza de la preferencia. Los valores pueden ser sencillos (como un valor numérico) o complejos, como una lista anidada de preferencias.
- Dominio: com.microsoft.teams
- Key: RestrictTeamsSignInToAccountsFromTenantList
- Tipo de datos: cadena
- Comentarios: Escriba una lista separada por comas de Microsoft Entra id. de inquilino
Inicio de sesión global y Microsoft Teams
Nuestra experiencia de inicio de sesión mejorada en un dispositivo compartido proporciona un inicio de sesión sin complicaciones para los Frontline Workers. Los empleados pueden elegir un dispositivo del grupo de dispositivos compartidos y realizar un inicio de sesión único para "hacerlo suyo" por la duración del turno. Una vez finalizado su turno, deberían ser capaces de realizar la sesión de forma global en el dispositivo. Consulte Cerrar sesión en Teams para más información. Este proceso quitará toda su información personal y de la compañía del dispositivo para que pueda devolverlo al grupo de dispositivos. Para obtener esta funcionalidad, el dispositivo debe estar configurado en modo compartido. Asegúrese de finalizar cualquier reunión o llamada activa en el dispositivo antes de cerrar la sesión.
Android: Para obtener información sobre cómo configurar dispositivos Android en modo compartido, consulta Cómo usar un modo de dispositivo compartido en Android.
iOS: Para establecer un dispositivo en modo compartido en iOS, consulte Cómo usar el modo de dispositivo compartido en iOS. Descargue la aplicación de Teams desde la tienda de aplicaciones una vez que el dispositivo esté establecido en modo compartido.
La experiencia de inicio de sesión es similar a nuestra experiencia de inicio de sesión estándar de Teams.
Simplificar la experiencia de inicio de sesión con el inicio de sesión sin dominio
Puede simplificar la experiencia de inicio de sesión en Teams para iOS y Android rellenando previamente el nombre de dominio en la pantalla de inicio de sesión para los usuarios de dispositivos compartidos y administrados. Los usuarios inician sesión escribiendo la primera parte de su UPN (sin el nombre de dominio). Por ejemplo, si el nombre de usuario es 123456@contoso.com o adelev@contoso.com, los usuarios pueden iniciar sesión usando solo "123456" o "adelev", respectivamente, y su contraseña.
Iniciar sesión en Teams es más rápido y fácil, especialmente para los empleados, como los trabajadores de primera línea en dispositivos compartidos, que inician y cierran sesión con regularidad.
Nota
Para que los usuarios experimenten la experiencia de inicio de sesión descrita en esta sección, sus dispositivos deben ejecutar Teams para iOS versión 6.6.0 o posterior, o Teams para Android versión 1416/1.0.0.2024053003 o posterior.
Nombre | Valor |
---|---|
domain_name | Un valor de cadena que proporciona el dominio del espacio empresarial al que se anexa. Use un valor delimitado por punto y coma para agregar varios dominios. |
enable_numeric_emp_id_keypad | Un valor booleano que se usa para indicar que el id. de empleado es numérico y que el teclado numérico debe estar habilitado para facilitar la entrada. Si el valor no está establecido, se abrirá el teclado alfanumérico. |
Teams usa la configuración de aplicaciones que funciona con cualquier proveedor de MDM que use el canal de App Configuration administrado para iOS o el canal Android Enterprise para Android.
Si usa Microsoft Intune, consulte Administrar experiencias de colaboración en Teams para iOS y Android con Microsoft Intune.
Para aplicar la directiva de configuración de la aplicación mediante Graph API, vea managedDeviceMobileAppConfiguration resource type (Tipo de recurso managedDeviceMobileAppConfiguration).
Habilitar el inicio de sesión sin dominio para las aplicaciones personalizadas
El inicio de sesión sin dominio en Teams depende del canal de configuración de la aplicación, que es compatible con todos los principales proveedores de MDM. Todas las aplicaciones de LOB personalizadas o de terceros en Android e iOS pueden admitir el inicio de sesión sin dominio, con algún trabajo adicional.
Siga estos pasos para implementar el inicio de sesión sin dominio en la aplicación:
Configura la clave de configuración de la aplicación domain_name para la aplicación.
Use Managed App Configuration y Android en enterprise para leer la configuración. Este es un ejemplo de cómo leer el valor del código de iOS y Android.
Ios:
UserDefaults.standard.object(forKey:"com.apple.configuration.managed")["domain_name"]
Androide:
appRestrictions.getString("domain_name")
Obtenga más información sobre cómo leer y aplicar configuraciones administradas y configurar y probar la configuración con TestDPC.
Personalice su experiencia de inicio de sesión para recopilar el nombre de usuario y rellenar previamente el domain_name adquirido en la pantalla. Si usa la Biblioteca de autenticación de Microsoft (MSAL), puede realizar la siguiente llamada para adquirir una entrada de token que recopile el nombre de usuario en la pantalla.
Inicio de sesión por SMS
La autenticación basada en SMS permite a los usuarios iniciar sesión sin proporcionar ni siquiera conocer su nombre de usuario y contraseña. Los usuarios escriben su número de teléfono en la solicitud de inicio de sesión y reciben un código de autenticación de SMS que usan para completar el inicio de sesión. Este método de autenticación simplifica el acceso a aplicaciones y servicios, especialmente a los trabajadores de primera línea.
Para obtener más información, consulte Configurar y habilitar a los usuarios para la autenticación basada en SMS con Microsoft Entra ID.
Direcciones URL e intervalos de direcciones IP para Microsoft Teams
Teams requiere conectividad a Internet. Para comprender los puntos de conexión que deben ser accesibles para los clientes que usan Teams en los planes de Office 365, gobierno y otras nubes, consulte Intervalos de la dirección IP y URL de Office 365.