Compartir vía

Ejecución de una campaña de registro para configurar Microsoft Authenticator

Puede sugerir a los usuarios que configuren Microsoft Authenticator durante el inicio de sesión. Los usuarios pasan por su inicio de sesión normal, realizan la autenticación multifactor como de costumbre y, a continuación, se les pide que configuren Microsoft Authenticator. Puede incluir o excluir usuarios o grupos para controlar a quién se sugiere que configure la aplicación. Esto permite que las campañas dirigidas trasladen los usuarios desde los métodos de autenticación menos seguros a Authenticator.

También puede definir cuántos días puede posponer un usuario o "snooze" el desplazamiento. Si un usuario pulsa en Saltar por ahora para posponer la configuración de la aplicación, se le vuelve a sugerir en el siguiente intento de MFA, después de que haya transcurrido el tiempo de la posposición. Puede decidir si el usuario puede posponer indefinidamente o hasta tres veces (después del cual se requiere el registro).

Nota

A medida que los usuarios inician sesión como lo hacen normalmente, se aplican directivas de acceso condicional que rigen el registro de información de seguridad antes de que se pida al usuario que configure Authenticator. Por ejemplo, si una directiva de acceso condicional requiere actualizaciones de información de seguridad, estas solo se pueden realizar en una red interna; es decir, no se pedirá a los usuarios que configuren Authenticator a menos que estén en la red interna.

Requisitos previos

  • La organización debe haber habilitado la autenticación multifactor de Microsoft Entra. Cada edición de Microsoft Entra ID incluye la autenticación multifactor de Microsoft Entra. No se necesita otra licencia adicional para una campaña de registro.
  • Los usuarios aún no pueden haber configurado la aplicación Authenticator para las notificaciones push en su cuenta.
  • Los administradores deben habilitar a los usuarios en la aplicación Authenticator mediante una de estas directivas:
    • Directiva de registro de MFA: los usuarios deberán habilitarse para la notificación a través de la aplicación móvil.
    • Directiva de métodos de autenticación: los usuarios deberán estar habilitados para la aplicación Authenticator y el modo de autenticación establecido en Cualquiera o Inserción. Si la directiva se establece en Sin contraseña, el usuario no será apto para la sugerencia. Para obtener más información sobre cómo establecer el modo de autenticación, consulte Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator.

Experiencia del usuario

  1. En primer lugar, debe autenticarse correctamente mediante la autenticación multifactor (MFA) de Microsoft Entra.

  2. Si ha habilitado las notificaciones push de Authenticator y no lo tiene ya configurado, se le pedirá que configure Authenticator para mejorar la experiencia de inicio de sesión.

    Nota

    Otras características de seguridad, como la clave de acceso sin contraseña, el autoservicio de restablecimiento de contraseña o los valores predeterminados de seguridad, también pueden solicitarle la configuración.

    Captura de pantalla de la autenticación multifactor.

  3. Pulse Siguiente y recorra la configuración de la aplicación Authenticator.

  4. En primer lugar, descargue la aplicación.

    Captura de pantalla de la descarga de Microsoft Authenticator.

    1. Vea cómo se configura manualmente la aplicación Authenticator.

      Captura de pantalla de Microsoft Authenticator.

    2. Escanee el código QR.

      Captura de pantalla del código QR.

    3. Verifique su identidad.

      Captura de pantalla de la pantalla Comprobar la identidad.

    4. Apruebe la notificación de prueba en el dispositivo.

      Captura de pantalla de la notificación de prueba.

    5. La aplicación Authenticator ahora está configurada correctamente.

      Captura de pantalla de la instalación completada.

  5. Si no quiere instalar la aplicación Authenticator, puede pulsar Omitir por ahora para posponer el mensaje durante un máximo de 14 días, que un administrador puede establecer. Los usuarios con suscripciones gratuitas y de evaluación pueden posponer el aviso hasta tres veces.

    Captura de pantalla de la opción posponer.

Habilitar la directiva de campaña de registro mediante el Centro de administración de Microsoft Entra

Para habilitar una campaña de registro en el Centro de administración de Microsoft Entra, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.

  2. Vaya a Métodos de autenticación de Entra ID>Campaña de registro> y haga clic en Editar.

  3. Para estado:

    • Seleccione Habilitado para habilitar la campaña de registro para todos los usuarios.
    • Seleccione Administrado por Microsoft para habilitar la campaña de registro solo para los usuarios de llamadas o mensajes de texto. La configuración administrada de Microsoft permite a Microsoft establecer el valor predeterminado. Para obtener más información, consulte Protección de métodos de autenticación en El identificador de Entra de Microsoft.

    Si el estado de la campaña de registro está establecido en Habilitado o administrado por Microsoft, puede configurar la experiencia para los usuarios finales mediante un número limitado de snoozes:

    • Si el número limitado de posposiciones es Habilitado, los usuarios pueden omitir el aviso de interrupción 3 veces, después de lo cual se les obliga a registrar Authenticator.
    • Si el número limitado de posposiciones es Deshabilitado, los usuarios pueden posponer un número ilimitado de veces y evitar registrar Authenticator.

    Los días permitidos para posponer establece el período entre dos avisos de interrupción sucesivos. Por ejemplo, si se establece en 3 días, los usuarios que omiten el registro no se le pedirán de nuevo hasta después de 3 días.

    Captura de pantalla de la habilitación de una campaña de registro.

  4. Seleccione los usuarios o grupos que desea excluir de la campaña de registro y, a continuación, haga clic en Guardar.

Habilitación de la directiva de campaña de registro mediante Graph Explorer

Además de usar el centro de administración de Microsoft Entra, también puede habilitar la directiva de campaña de registro mediante el Probador de Graph. Para habilitar la directiva de campaña de registro, debe usar la directiva de métodos de autenticación mediante Graph API. Aquellos asignados al menos al rol de Administrador de directivas de autenticación pueden actualizar la política de autenticación.

Para configurar la directiva mediante el Explorador de Graph:

  1. Inicie sesión en el Explorador de Graph y asegúrese de que ha dado su consentimiento a los permisos Policy.Read.All y Policy.ReadWrite.AuthenticationMethod .

    Abra el panel Permisos:

    Captura de pantalla del Explorador de Graph.

  2. Recupere la directiva de métodos de autenticación:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  3. Actualice la sección registrationEnforcement y authenticationMethodsRegistrationCampaign de la directiva para habilitar la sugerencia en un usuario o grupo.

    Captura de pantalla de la respuesta de la API.

    Para actualizar la directiva, realice una revisión en la directiva de métodos de autenticación con solo la sección registrationEnforcement actualizada:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

En la tabla siguiente se enumeran las propiedades authenticationMethodsRegistrationCampaign .

Nombre Valores posibles Descripción
snoozeDurationInDays Intervalo: 0 - 14 Define el número de días antes de que el usuario vuelve a recibir un recordatorio.
Si el valor es 0, se sugiere al usuario durante cada intento de MFA.
Valor predeterminado: 1 día
enforceRegistrationAfterAllowedSnoozes "true"
falso		 Determina si se requiere que un usuario realice la instalación después de posponer tres veces.
Si es true, se requiere que el usuario se registre.
Si es false, el usuario puede posponer indefinidamente.
Valor predeterminado: true
estado "enabled"
"deshabilitado"
"predeterminado"		 Permite habilitar o deshabilitar la característica.
El valor predeterminado se usa cuando no se ha establecido explícitamente la configuración y usará el valor predeterminado de Microsoft Entra ID para esta configuración. El estado predeterminado está habilitado para los usuarios de llamadas de voz y mensajes de texto en todos los inquilinos.
Cambie el estado a habilitado (para todos los usuarios) o deshabilitado según sea necesario.
excludeTargets N/D Permite excluir distintos usuarios y grupos que quiere omitir de la característica. Si un usuario está en un grupo excluido y un grupo incluido, el usuario se excluirá de la característica.
includeTargets N/D Permite incluir distintos usuarios y grupos a los que quiere que se dirija la característica.

En la tabla siguiente se enumeran las propiedades includeTargets .

Nombre Valores posibles Descripción
targetType "user"
"group"		 Tipo de entidad de destino.
identificación Un identificador GUID El id. del usuario o grupo de destino.
targetedAuthenticationMethod Autenticador de Microsoft Se solicita al usuario del método de autenticación que se registre. El único valor permitido es "microsoftAuthenticator".

En la tabla siguiente se enumeran las propiedades excludeTargets .

Nombre Valores posibles Descripción
targetType "user"
"group"		 Tipo de entidad de destino.
identificación Una cadena El id. del usuario o grupo de destino.

Ejemplos

Estos son algunos JSON de ejemplo que puede usar para empezar.

  • Incluir a todos los usuarios

    Si desea incluir TODOS los usuarios en su inquilino, actualice el siguiente ejemplo JSON con los GUID relevantes de sus usuarios y grupos. A continuación, péguelo en el Explorador de Graph y ejecute PATCH en el punto de conexión.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "all_users",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

  • Incluir usuarios o grupos de usuarios específicos

    Si desea incluir ciertos usuarios o grupos en su inquilino, actualice el siguiente ejemplo JSON con los GUID relevantes de sus usuarios y grupos. A continuación, pegue el JSON en el Explorador de Graph y ejecute PATCH en el punto de conexión.

    {
"registrationEnforcement": {
      "authenticationMethodsRegistrationCampaign": {
          "snoozeDurationInDays": 1,
          "enforceRegistrationAfterAllowedSnoozes": true,
          "state": "enabled",
          "excludeTargets": [],
          "includeTargets": [
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "group",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              },
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "user",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              }
          ]
      }
  }
}

  • Incluir y excluir usuarios o grupos específicos

    Si desea incluir Y excluir ciertos usuarios o grupos en su inquilino, actualice el siguiente ejemplo JSON con los GUID relevantes de sus usuarios y grupos. A continuación, péguelo en el Explorador de Graph y ejecute PATCH en el punto de conexión.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group"
                },
              {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user"
                }
            ],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

Identificación de los GUID de usuarios que se insertan en los JSON

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.

  2. En la hoja Administrar, pulse Usuarios.

  3. En la página Usuarios , identifique el usuario específico al que desea dirigirse.

  4. Al pulsar el usuario específico, verá su identificador de objeto, que es el GUID del usuario.

    Identificador de objeto de usuario

Identificación de los GUID de grupos que se insertan en los JSON

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.

  2. En la hoja Administrar, toque Grupos.

  3. En la página Grupos , identifique el grupo específico al que desea dirigirse.

  4. Pulse el grupo y obtenga el identificador de objeto.

    Sugerencia a grupo

Limitaciones

La sugerencia no aparecerá en los dispositivos móviles que ejecutan Android o iOS.

Preguntas más frecuentes

¿Se puede sugerir a los usuarios en una aplicación?

Sí, se admiten vistas insertadas del explorador en determinadas aplicaciones. No pedimos a los usuarios que usen las experiencias listas para usar o las vistas del explorador insertadas en la configuración de Windows.

¿Se puede pedir a los usuarios que usen una sesión de inicio de sesión único (SSO)?

Nudge no se desencadena si el usuario ya ha iniciado sesión con SSO.

¿Se pueden enviar avisos de actualización a los usuarios en un dispositivo móvil?

La campaña de registro no está disponible en dispositivos móviles.

¿Durante cuánto tiempo se ejecuta la campaña?

Puede habilitar la campaña durante el tiempo que quiera. Cuando quiera que la campaña se deje de ejecutar, use el centro de administración o las API para deshabilitar la campaña.

¿Puede tener cada grupo de usuarios una duración de posposición diferente?

No. La duración de la posposición del mensaje es una configuración para todo el inquilino y se aplica a todos los grupos del ámbito.

¿Se puede incitar a los usuarios a configurar el inicio de sesión sin contraseña en el teléfono?

La característica pretende capacitar a los administradores para que los usuarios se configuren con MFA mediante la aplicación Authenticator y no el inicio de sesión por teléfono sin contraseña.

¿Verá un usuario, que inicie sesión con una aplicación autenticadora de terceros, el aviso?

Sí. Si un usuario está habilitado para la campaña de registro y no tiene Microsoft Authenticator configurado para las notificaciones push, se le pedirá que configure Authenticator.

¿Un usuario que tenga Authenticator configurado solo para los códigos TOTP verá el nudge?

Sí. Si un usuario está habilitado para la campaña de registro y la aplicación Authenticator no está configurada para las notificaciones push, se le pedirá al usuario que la configure.

Si un usuario acaba de pasar por el registro de MFA, ¿se le sugiere en la misma sesión de inicio de sesión?

No. Para proporcionar una buena experiencia de usuario, no se sugerirá a los usuarios que configuren Authenticator en la misma sesión en la que registraron otros métodos de autenticación.

¿Puedo incitar a mis usuarios a registrar otro método de autenticación?

No. Por ahora, la característica pretende sugerir a los usuarios que configuren solo la aplicación Authenticator.

¿Hay alguna manera de ocultar la opción posponer y forzar a mis usuarios a configurar la aplicación Authenticator?

Establezca el número limitado de posponer en Habilitado para que los usuarios puedan posponer la configuración de la aplicación hasta tres veces, después de lo cual se requiere la configuración.

¿Podré motivar a mis usuarios si no utilizo la autenticación multifactor de Microsoft Entra?

No. La sugerencia solo funciona para los usuarios que están realizando la MFA mediante el servicio autenticación multifactor de Microsoft Entra.

¿Se sugerirá a los usuarios invitados o B2B de mi inquilino?

Sí. Si se encuentran en el ámbito para la sugerencia según la directiva.

¿Qué ocurre si el usuario cierra el explorador?

Es lo mismo que la posposición. Si se requiere configuración para un usuario después de haber pospuesto tres veces, se le solicitará al usuario la próxima vez que inicie sesión.

¿Por qué algunos usuarios no ven un aviso de actualización cuando hay una directiva de acceso condicional para el "Registro de la información de seguridad"?

No aparecerá ningún aviso si un usuario está en el ámbito de una directiva de acceso condicional que bloquea el acceso a la página Registro de la información de seguridad.

¿Ven los usuarios un recordatorio cuando aparece una pantalla de términos de uso (ToU) que se presenta al usuario durante el inicio de sesión?

No aparecerá ningún aviso si se presenta a un usuario la pantalla de términos de uso durante el inicio de sesión.

¿Los usuarios ven un aviso cuando los controles personalizados de acceso condicional son aplicables al inicio de sesión?

Un aviso no aparecerá si se redirige a un usuario durante el inicio de sesión debido a la configuración de los controles personalizados de acceso condicional.

¿Hay planes para interrumpir sms y voz como métodos utilizables para MFA?

No, no hay planes de este tipo.

Pasos siguientes

Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator