Introducción al registro de información de seguridad combinado para Azure Active Directory

Antes del registro combinado, los usuarios se registraban en los métodos de autenticación Multi-Factor Authentication Azure AD y autoservicio de restablecimiento de contraseña (SSPR) por separado. La gente estaba confundida por el hecho de que se usaban métodos parecidos para la autenticación multifactor y SSPR pero, aún así, se tenían que registrar en las dos características. Ahora, con el registro combinado, los usuarios pueden registrarse una vez y obtener las ventajas de la autenticación multifactor y SSPR. Se recomienda este vídeo sobre Cómo habilitar y configurar SSPR en Azure AD.

Nota:

A partir del 1 de octubre de 2022, comenzaremos a habilitar el registro combinado para todos los usuarios de inquilinos de Azure AD creados antes del 15 de agosto de 2020. Los inquilinos creados después de esta fecha se habilitan con el registro combinado.

En este artículo se describe qué es el registro de seguridad combinado. Para empezar a trabajar con el registro de seguridad combinado, consulte el siguiente artículo:

Mi cuenta con información de seguridad registrada de un usuario

Antes de habilitar la nueva experiencia, revise esta documentación centrada en el administrador y la documentación centrada en el usuario para asegurarse de que entiende las funciones y el efecto de esta característica. Con el fin de preparar a los usuarios para la nueva experiencia y ayudar a garantizar un lanzamiento satisfactorio, puede basar el aprendizaje en la documentación de usuario.

El registro de información de seguridad combinado de Azure AD está disponible para la Administración pública de Estados Unidos, pero no para Azure China 21Vianet.

Importante

Los usuarios que están habilitados para la versión preliminar original y la experiencia de registro combinado mejorada verán el nuevo comportamiento. Los usuarios que están habilitados para ambas experiencias solo ven la experiencia Mi cuenta. Mi cuenta se alinea con el aspecto del registro combinado y ofrece una experiencia perfecta a los usuarios. Los usuarios pueden ver Mi cuenta si van a https://myaccount.microsoft.com.

Puede establecer Requerir que los usuarios se registren al iniciar sesión en para exigir que todos los usuarios se registren al iniciar sesión, lo que garantiza que todos los usuarios están protegidos.

Podría encontrar un mensaje de error al intentar acceder a la opción de información de seguridad, como "No podemos iniciar su sesión". Confirme que no tiene ningún objeto de configuración o de directiva de grupo que bloquee las cookies de terceros en el explorador web.

Las páginas Mi cuenta están traducidas en función de la configuración de idioma del equipo que accede a la página. Microsoft almacena el idioma usado más recientemente en la memoria caché del explorador, por lo que los posteriores intentos de acceder a las páginas se representarán en el último idioma utilizado. Si se borra la memoria caché, las páginas se vuelven a representar.

Si quiere forzar un idioma específico, puede agregar ?lng=<language> al final de la dirección URL, donde <language> es el código del idioma que quiere representar.

Configuración de SSPR u otros métodos de comprobación de seguridad

Métodos disponibles en el registro combinado

El registro combinado admite los métodos y acciones de autenticación de la tabla siguiente.

Método Register Change Eliminar
Microsoft Authenticator Sí (máximo de 5) No
Aplicación autenticadora distinta Sí (máximo de 5) No
Token de hardware No No
Teléfono
Teléfono alternativo
Teléfono del trabajo*
Email
Preguntas de seguridad No
Contraseñas de aplicación* No
Claves de seguridad FIDO2* No

Nota

El teléfono de la oficina solo se puede registrar en modo de interrupción si se ha establecido la propiedad teléfono de la empresa de los usuarios. El teléfono de la oficina pueden agregarlo los usuarios en el nodo gestionado desde la información de seguridad sin este requisito.
Las contraseñas de aplicación solo están disponibles para los usuarios a los que se les ha exigido la autenticación multifactor de Azure AD. Las contraseñas de aplicación no están disponibles para los usuarios que están habilitados para la autenticación multifactor de Azure AD mediante una directiva de acceso condicional.
Las claves de seguridad FIDO2 solo se pueden agregar en modo administrado desde la página información de seguridad.

Como método de autenticación multifactor predeterminado, los usuarios pueden establecer una de las opciones siguientes.

  • Microsoft Authenticator: notificación push o sin contraseña
  • Aplicación Authenticator o token de hardware: código
  • llamada de teléfono
  • mensaje de texto

Nota:

Los números de teléfono virtuales no se admiten en las llamadas de voz o los mensajes de texto.

Las aplicaciones de autenticadores de terceros no proporcionan notificaciones de inserción. A medida que agreguemos más métodos de autenticación a Azure AD, estos estarán disponibles en el registro combinado.

Modo de registro combinado

Existen dos modos de registro combinado: interrupción y administración.

  • Modo de interrupción es una experiencia de asistente, que se presenta a los usuarios cuando se registran o actualizan su información de seguridad en el inicio de sesión.
  • Modo de administración forma parte del perfil de usuario y permite administrar la información de seguridad a los usuarios.

En ambos modos, los usuarios que han registrado previamente un método que se puede usar para la autenticación multifactor de Azure AD necesitarán ejecutar autenticación multifactor antes de acceder a su información de seguridad. Los usuarios deben confirmar su información antes de continuar usando sus métodos registrados previamente.

Modo de interrupción

El registro combinado cumple las directivas de autenticación multifactor y SSPR, si ambos están habilitados para el inquilino. Estas directivas controlan si se interrumpe a un usuario para que se registre durante el inicio de sesión y los métodos que hay disponibles para el registro. Si solo se habilita una directiva de SSPR, los usuarios podrán omitir (indefinidamente) la interrupción del registro y completarlo más adelante.

Los siguientes son algunos escenarios de ejemplo en los que a los usuarios se les puede solicitar el registro o la actualización de su información de seguridad:

  • Registro en autenticación multifactor exigido mediante Identity Protection: Se les pide a los usuarios que se registren durante el inicio de sesión. Registran los métodos de autenticación multifactor y los métodos SSPR (si el usuario está habilitado para SSPR).
  • Registro en autenticación multifactor exigido mediante autenticación multifactor por cada usuario: Se les pide a los usuarios que se registren durante el inicio de sesión. Registran los métodos de autenticación multifactor y los métodos SSPR (si el usuario está habilitado para SSPR).
  • Registro en autenticación multifactor exigido mediante acceso condicional u otras directivas: Se les pide a los usuarios que se registren cuando usen un recurso que requiera autenticación multifactor. Registran los métodos de autenticación multifactor y los métodos SSPR (si el usuario está habilitado para SSPR).
  • Registro exigido en SSPR: Se les pide a los usuarios que se registren durante el inicio de sesión. Solo registran los métodos SSPR.
  • Actualización de SSPR exigida: Los usuarios deben revisar su información de seguridad en un intervalo que establece el administrador. Se les muestra a los usuarios la información y pueden confirmar la información actual o realizar cambios si es necesario.

Cuando se exige el registro, se les muestra a los usuarios el número mínimo de los métodos necesarios para cumplir las directivas de autenticación multifactor y SSPR, de la más a la menos segura. Los usuarios que realizan el registro combinado, en el que se aplica el registro de MFA y SSPR y la directiva de SSPR requiere dos métodos, primero deberán registrar un método de MFA como primer método y pueden seleccionar otro método específico de MFA o SSPR como segundo método registrado (por ejemplo, correo electrónico, preguntas de seguridad, etc.).

Considere el escenario de ejemplo siguiente:

  • Un usuario está habilitado para SSPR. La directiva de SSPR requiere dos métodos para restablecer y tiene habilitados la aplicación Authenticator, el correo electrónico y el teléfono.
  • Cuando el usuario decide registrarse, se requieren dos métodos:
    • De manera predeterminada, se le muestra al usuario la aplicación Authenticator y el teléfono.
    • El usuario puede elegir registrar el correo en lugar de la aplicación Authenticator o el teléfono.

El siguiente diagrama de flujo describe los métodos que se muestran a un usuario cuando se le interrumpe para que se registre durante el inicio de sesión:

Diagrama de flujo de información de seguridad combinada

Si tiene autenticación multifactor y SSPR habilitadas, se recomienda que aplique el registro de autenticación multifactor.

Si la directiva SSPR requiere que los usuarios revisen su información de seguridad a intervalos normales, se interrumpe a los usuarios durante el inicio de sesión y se les muestra todos los métodos registrados. Pueden confirmar la información actual si está actualizada o realizar cambios en caso necesario. Los usuarios deben realizar la autenticación multifactor al obtener acceso a esta página.

Modo de administración

Los usuarios pueden acceder al modo de administración si van a https://aka.ms/mysecurityinfo o seleccionan Información de seguridad en Mi cuenta. Ahí, los usuarios pueden agregar métodos, eliminar o cambiar los métodos existentes, cambiar el método predeterminado, entre otras cosas.

Escenarios de uso claves

Configuración de la información de seguridad durante el inicio de sesión

Un administrador tiene registro forzado.

Un usuario no ha configurado toda la información de seguridad requerida y entra en Azure Portal. Después de que el usuario escriba el nombre de usuario y la contraseña, se le solicita que configure la información de seguridad. Luego, el usuario sigue los pasos que se muestran en el asistente para configurar la información de seguridad requerida. Si la configuración lo permite, el usuario puede configurar otros métodos aparte de los que se muestran de manera predeterminada. Después de que los usuarios completen el asistente, revisan los métodos que han configurado y el método predeterminado para autenticación multifactor. Para completar el proceso de instalación, el usuario confirma la información y continúa en Azure Portal.

Configuración de información de seguridad desde Mi cuenta

Un administrador no tiene registro forzado.

Un usuario que todavía no ha configurado toda la información de seguridad requerida entra en https://myaccount.microsoft.com. El usuario selecciona Información de seguridad en el panel izquierdo. Desde allí, el usuario decide agregar un método, selecciona uno de los que hay disponibles y sigue los pasos para configurarlo. Cuando termina, el usuario ve el método que estaba configurado en la página Información de seguridad.

Configuración de otros métodos después del registro parcial

Si un usuario ha satisfecho parcialmente el registro de MFA o SSPR debido a los registros de métodos de autenticación existentes realizados por el usuario o el administrador, solo se pedirá a los usuarios que registren información adicional permitida por la configuración de directiva de métodos de autenticación cuando se requiera el registro. Si hay más de otro método de autenticación disponible para que el usuario elija y regístrese, se mostrará una opción en la experiencia de registro titulada Quiero configurar otro método y permitir que el usuario configure su método de autenticación deseado.

Captura de pantalla de cómo configurar otro método.

Eliminación de información de seguridad desde Mi cuenta

Un usuario que previamente ha configurado al menos un método navega a https://aka.ms/mysecurityinfo. El usuario decide eliminar uno de los métodos previamente registrados. Cuando termina, el usuario ya no ve ese método en la página de Información de seguridad.

Cambio del método predeterminado desde Mi cuenta

Un usuario que previamente ha configurado al menos un método que se puede usar para autenticación multifactor navega a https://aka.ms/mysecurityinfo. El usuario cambia el método predeterminado actual a un método predeterminado distinto. Cuando termina, el usuario ve ese método predeterminado nuevo en la página de Información de seguridad.

Cambiar de directorio

Es posible que una identidad externa, como un usuario B2B, tenga que cambiar el directorio para cambiar la información de registro de seguridad de un inquilino de terceros. Además, los usuarios que acceden a un inquilino de recursos pueden confundirse cuando cambian la configuración de su inquilino principal, pero no ven los cambios reflejados en el inquilino de recursos.

Por ejemplo, un usuario establece las notificaciones de inserción de Microsoft Authenticator como autenticación principal para iniciar sesión en el inquilino principal y también tiene SMS y texto como otra opción. Este usuario también se configura con la opción de SMS y texto en un inquilino de recursos. Si este usuario quita SMS y texto como una de las opciones de autenticación en su inquilino principal, se confundirá cuando el acceso al inquilino de recursos le pida que responda a un mensaje SMS y texto.

Para cambiar el directorio en Azure Portal, haga clic en el nombre de la cuenta de usuario en la esquina superior derecha y haga clic en Cambiar directorio.

Los usuarios externos pueden cambiar de directorio.

O bien, puede especificar un inquilino por dirección URL para acceder a la información de seguridad.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Pasos siguientes

Para comenzar, consulte los tutoriales para habilitar el autoservicio de restablecimiento de contraseña y habilitar Multi-Factor Authentication de Azure AD.

Obtenga información sobre cómo habilitar el registro combinado en su inquilino o cómo obligar a los usuarios a volver a registrar los métodos de autenticación.

Además, puede revisar los métodos disponibles para Multi-Factor Authentication de Azure AD y SSPR.