Configuración de la autenticación basada en SMS con Microsoft Entra ID y habilitación de su uso por parte de los usuarios

Con el fin de simplificar y proteger el inicio de sesión en aplicaciones y servicios, Microsoft Entra ID proporciona varias opciones de autenticación. La autenticación por SMS permite a los usuarios iniciar sesión sin proporcionar, o incluso sin saber, su nombre de usuario y contraseña. Después de que un administrador de identidades cree su cuenta, puede escribir su número de teléfono en la solicitud de inicio de sesión. Reciben un código de autenticación a través de un mensaje de texto que pueden proporcionar para completar el inicio de sesión. Este método de autenticación simplifica el acceso a las aplicaciones y los servicios, sobre todo para los trabajadores que están en primera línea.

En este artículo se muestra cómo habilitar la autenticación basada en SMS para algunos usuarios o grupos en Microsoft Entra ID. Para ver una lista de las aplicaciones que admiten el uso del inicio de sesión basado en SMS, consulte Compatibilidad con aplicaciones para la autenticación basada en SMS.

Antes de empezar

Para completar este artículo, necesitará los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a la suscripción.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Necesita privilegios de administrador global en el inquilino de Microsoft Entra para habilitar la autenticación basada en SMS.
• Cada usuario que esté habilitado en la directiva de métodos de autenticación de mensaje de texto debe tener licencia, aunque no la usen. Cada usuario habilitado debe tener una de las siguientes licencias de Microsoft Entra ID, EMS o Microsoft 365:
  • Microsoft 365 F1 o F3
  • Microsoft Entra ID P1 o P2
  • Enterprise Mobility + Security (EMS) E3 o E5 o Microsoft 365 E3 o E5
  • Office 365 F3

Problemas conocidos

A continuación se enumeran algunos problemas conocidos:

• La autenticación basada en SMS no es compatible actualmente con Microsoft Entra Multifactor Authentication.
• A excepción de los Teams, la autenticación basada en SMS no es compatible con las aplicaciones de Office nativas.
• No se admite la autenticación basada en SMS para las cuentas B2B.
• Los usuarios federados no se autenticarán en el inquilino principal. Solo se autentican en la nube.
• Si el método de inicio de sesión predeterminado de un usuario es un mensaje de texto o una llamada al número de teléfono, el código SMS o la llamada de voz se envía automáticamente durante la autenticación multifactor. A partir de junio de 2021, algunas aplicaciones pedirán a los usuarios que elijan Texto o Llamada primero. Esta opción evita el envío de demasiados códigos de seguridad para diferentes aplicaciones. Si el método de inicio de sesión predeterminado es la aplicación Microsoft Authenticator (la cual recomendamos encarecidamente), la notificación de la aplicación se enviará automáticamente.

Habilitación del método de autenticación basado en SMS

Para habilitar y usar la autenticación basada en SMS en su organización se necesitan tres pasos principales:

• Habilitar la directiva de métodos de autenticación.
• Seleccionar los usuarios o grupos que pueden usar el método de autenticación basado en SMS.
• Asignar un número de teléfono para cada cuenta de usuario.
  • Este número de teléfono se puede asignar en el Centro de administración de Microsoft Entra (que se muestra en este artículo) y en Mi personal o Mi cuenta.

Primero vamos a habilitar la autenticación basada en SMS para su inquilino de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

2. Vaya a Protección>Métodos de autenticación>Directivas.

3. En la lista de métodos de autenticación disponibles, seleccione Mensaje de texto.

   

4. Haga clic en Habilitar y seleccione Usuarios de destino. Puede optar por habilitar la autenticación basada en SMS para Todos los usuarios o Seleccionar usuarios y grupos.

   Nota:

   Para configurar la autenticación basada en SMS para el primer factor (es decir, para permitir que los usuarios inicien sesión con este método), active la casilla Usar para inicio de sesión. Si se deja esta opción desactivada, la autenticación basada en SMS solo está disponible para la autenticación multifactor y el autoservicio de restablecimiento de contraseña.

   

Asignación del método de autenticación a usuarios y grupos

Con la autenticación basada en SMS habilitada en su inquilino de Microsoft Entra, seleccione ahora algunos usuarios o grupos a los que va a permitir usar este método de autenticación.

1. En la ventana de la directiva de autenticación de mensajes de texto, establezca Destino en Seleccionar usuarios.
2. Elija Agregar usuarios o grupos y, luego, seleccione Contoso User (Usuario de Contoso) o Contoso SMS Users (Usuarios de SMS de Contoso) como usuario o grupo de prueba.
3. Cuando haya seleccionado los usuarios o grupos, elija Seleccionar y, luego, Guardar la directiva de métodos de autenticación actualizada.

Cada usuario que esté habilitado en la directiva de métodos de autenticación de mensaje de texto debe tener licencia, aunque no la usen. Asegúrese de tener las licencias adecuadas para los usuarios que habilita en la directiva de métodos de autenticación, en especial cuando se habilita la característica para grupos de usuarios de gran tamaño.

Establecimiento de un número de teléfono para las cuentas de usuario

Los usuarios ya están habilitados para la autenticación basada en SMS, pero su número de teléfono debe estar asociado con el perfil de usuario en Microsoft Entra ID para poder iniciar sesión. El usuario puede establecer este número de teléfono por sí mismo en Mi cuenta, o bien se puede asignar mediante el Centro de administración de Microsoft Entra. Los administradores globales, administradores de autenticación o administradores de autenticación con privilegios pueden establecer los números de teléfono.

Cuando se establece un número de teléfono para el inicio de sesión basado en SMS, también se puede usar con Microsoft Entra Multifactor Authentication y el autoservicio de restablecimiento de contraseña.

1. Busque y seleccione Microsoft Entra ID.

2. En el menú de navegación del lado izquierdo de la ventana de Microsoft Entra, seleccione Usuarios.

3. Seleccione el usuario que habilitó para la autenticación basada en SMS en la sección anterior, por ejemplo, Contoso User (Usuario de Contoso) y, luego, seleccione Métodos de autenticación.

4. Seleccione + Agregar método de autenticación y, después, en el menú desplegable Elegir método, elija Número de teléfono.

   Escriba el número de teléfono del usuario, incluido el código de país, por ejemplo, +1 xxxxxxxxx. El centro de administración de Microsoft Entra valida que el número de teléfono tenga el formato correcto.

   A continuación, en el menú desplegable Tipo de teléfono, seleccione Móvil, Teléfono móvil alternativo u Otros según sea necesario.

   

   El número de teléfono debe ser único en el inquilino. Si intenta usar el mismo número de teléfono para varios usuarios, se muestra un mensaje de error.

5. Para aplicar el número de teléfono a la cuenta de un usuario, seleccione Agregar.

Cuando se aprovisiona correctamente, aparece una marca de verificación en SMS Sign-in enabled (Habilitado para el inicio de sesión de SMS).

Prueba del inicio de sesión basado en SMS

Para probar la cuenta de usuario que ahora está habilitada para el inicio de sesión basado en SMS, siga estos pasos:

1. Abra una nueva ventana del explorador web en modo de incógnito o InPrivate en https://www.office.com.

2. En la esquina superior derecha, seleccione Iniciar sesión.

3. En la solicitud de inicio de sesión, escriba el número de teléfono asociado al usuario en la sección anterior y, luego, seleccione Siguiente.

   

4. Se envía un mensaje de texto al número de teléfono proporcionado. Para completar el proceso de inicio de sesión, escriba el código de 6 dígitos proporcionado en el mensaje de texto en la solicitud de inicio de sesión.

   

5. El usuario ya ha iniciado sesión sin necesidad de proporcionar un nombre de usuario o una contraseña.

Solución de problemas de inicio de sesión basado en SMS

Puede seguir los siguientes escenarios y pasos de solución de problemas si tiene problemas para habilitar y usar el inicio de sesión por SMS. Para ver una lista de las aplicaciones que admiten el uso del inicio de sesión basado en SMS, consulte Compatibilidad con aplicaciones para la autenticación basada en SMS.

Número de teléfono ya establecido para una cuenta de usuario

Si un usuario ya se ha registrado en Microsoft Entra Multifactor Authentication y/o el autoservicio de restablecimiento de contraseña (SSPR), ya tiene un número de teléfono asociado a su cuenta. Este número de teléfono no está disponible automáticamente para su uso con el inicio de sesión por SMS.

Los usuarios que tengan un número de teléfono ya establecido para su cuenta verán un botón Enable for SMS sign-in (Habilitar para el inicio de sesión único) en su página Mi perfil. Al seleccionar este botón, la cuenta se habilita para usar el inicio de sesión basado en SMS y el registro anterior en Microsoft Entra Multifactor Authentication o SSPR.

Para más información sobre la experiencia de usuario final, consulte Experiencia de usuario de inicio de sesión de SMS para el número de teléfono.

Error al intentar establecer un número de teléfono en la cuenta de un usuario

Si recibe un error al intentar establecer un número de teléfono para una cuenta de usuario en Microsoft Entra, revise los siguientes pasos de solución de problemas:

1. Asegúrese de que está habilitado para el inicio de sesión basado en SMS.
2. Confirme que la cuenta de usuario está habilitada en la directiva de métodos de autenticación de mensaje de texto.
3. Asegúrese de establecer el número de teléfono con el formato adecuado, tal como se ha validado en el Centro de administración de Microsoft Entra (por ejemplo, +1 4251234567).
4. Asegúrese de que el número de teléfono no se usa en ningún otro lugar del inquilino.
5. Compruebe que no hay ningún número de voz establecido en la cuenta. Si hay establecido un número de voz, elimínelo y vuelva a probar con el número de teléfono.

Pasos siguientes

• Para ver una lista de las aplicaciones que admiten el uso del inicio de sesión basado en SMS, consulte Compatibilidad con aplicaciones para la autenticación basada en SMS.
• Para conocer más formas de iniciar sesión en Microsoft Entra ID sin contraseña, como las claves de seguridad de la aplicación Microsoft Authenticator o FIDO2, consulte Opciones de autenticación sin contraseña de Microsoft Entra ID.
• También puede utilizar Microsoft Graph API REST para habilitar o deshabilitar el inicio de sesión basado en SMS.