¿Qué es la autenticación de Microsoft Entra?

Una de las principales características de una plataforma de identidad es comprobar, o autenticar, las credenciales cuando un usuario inicia sesión en un dispositivo, una aplicación o un servicio. En Microsoft Entra ID, la autenticación supone algo más que comprobar un nombre de usuario y una contraseña. Para mejorar la seguridad y reducir la necesidad de asistencia del departamento de soporte técnico, la autenticación de Microsoft Entra ID incluye los siguientes componentes:

• Restablecimiento de la contraseña de autoservicio
• Autenticación multifactor de Microsoft Entra
• Integración híbrida para reescribir los cambios de contraseña en el entorno local
• Integración híbrida para aplicar directivas de protección de contraseñas en un entorno local
• Autenticación sin contraseñas

Para más información sobre estos componentes de autenticación vea nuestro vídeo.

Mejora de la experiencia del usuario final

Microsoft Entra ID ayuda a proteger la identidad de un usuario y a simplificar su experiencia de inicio de sesión. Características como el autoservicio de restablecimiento de contraseña permiten a los usuarios actualizar o cambiar sus contraseñas mediante un explorador web desde cualquier dispositivo. Esta característica es especialmente útil cuando el usuario ha olvidado su contraseña o se ha bloqueado su cuenta, ya que puede desbloquearse y seguir trabajando sin tener que esperar a que el departamento de soporte técnico o el administrador le ayuden.

La autenticación multifactor de Microsoft Entra permite a los usuarios elegir una forma adicional de autenticación durante el inicio de sesión, como una llamada de teléfono o una notificación de la aplicación móvil. Esta capacidad reduce el requisito de una única forma fija de autenticación secundaria, como un token de hardware. Si el usuario no dispone actualmente de una forma de autenticación adicional, puede elegir un método diferente y seguir trabajando.

La autenticación sin contraseña elimina la necesidad de que el usuario cree y recuerde una contraseña segura. Funcionalidades como las claves de seguridad de Windows Hello para empresas o FIDO2 permiten a los usuarios iniciar sesión en un dispositivo o una aplicación sin necesidad de una contraseña. Esta capacidad puede reducir la complejidad de administrar contraseñas en diferentes entornos.

Restablecimiento de la contraseña de autoservicio

El autoservicio de restablecimiento de contraseña ofrece a los usuarios la posibilidad de cambiar o restablecer su contraseña, sin necesidad de que intervenga el administrador o el departamento de soporte técnico. Si la cuenta de un usuario está bloqueada o se ha olvidado su contraseña, puede seguir las indicaciones para desbloquearse y volver al trabajo. Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación.

El autoservicio de restablecimiento de contraseña funciona en los siguientes escenarios:

• Cambio de contraseña: el usuario conoce la contraseña pero desea cambiarla por una nueva.
• Restablecimiento de contraseña: el usuario no puede iniciar sesión, por ejemplo, ha olvidado la contraseña y quiere restablecerla.
• Desbloqueo de cuenta: el usuario no puede iniciar sesión porque su cuenta está bloqueada y quiere desbloquearla.

Cuando un usuario actualiza o restablece su contraseña mediante el autoservicio de restablecimiento de contraseña, esa contraseña también puede reescribirse en un entorno de Active Directory local. La escritura diferida de contraseñas garantiza que un usuario puede usar inmediatamente sus credenciales actualizadas en aplicaciones y dispositivos locales.

Autenticación multifactor de Microsoft Entra

La autenticación multifactor es un procedimiento en el que durante el proceso de inicio de sesión se solicita a un usuario una forma adicional de identificación, como especificar un código en su teléfono móvil o escanear su huella digital.

Si solo usa una contraseña para autenticar a un usuario, deja un vector desprotegido frente a los ataques. Si la contraseña es débil o se ha expuesto en otro lugar, ¿cómo saber si es el usuario quien inicia sesión realmente con el nombre de usuario y la contraseña y no un atacante? Al exigir una segunda forma de autenticación, aumenta la seguridad, ya que este factor adicional no es algo que resulte fácil de obtener o duplicar para un atacante.

El funcionamiento de la autenticación multifactor de Microsoft Entra se basa en exigir uno o varios de los siguientes métodos de autenticación:

• Algo que conoce, normalmente una contraseña.
• Algo que tiene, como un dispositivo de confianza que no se puede duplicar con facilidad (por ejemplo, un teléfono o una clave de hardware).
• Algo que forma parte de usted, información biométrica como una huella digital o una detección de rostro.

Los usuarios pueden registrarse para el autoservicio de restablecimiento de contraseña y la autenticación multifactor de Microsoft Entra en un solo paso a fin de simplificar la experiencia de incorporación. Los administradores pueden definir qué formas de autenticación secundaria se pueden usar. También se puede exigir la autenticación multifactor de Microsoft Entra cuando los usuarios realizan un autoservicio de restablecimiento de contraseña para proteger mejor ese proceso.

Protección con contraseña

De forma predeterminada, Microsoft Entra ID bloquea las contraseñas no seguras, como Contraseña1. Se actualiza y se aplica automáticamente una lista global de contraseñas prohibidas que incluye contraseñas no seguras conocidas. Si un usuario de Microsoft Entra intentase usar como contraseña una de estas contraseñas no seguras, recibirá una notificación para elegir una contraseña más segura.

Para aumentar la seguridad, puede definir directivas de protección con contraseña personalizadas. Estas directivas pueden usar filtros para bloquear cualquier variación de una contraseña que contenga, por ejemplo, un nombre como Contoso o una ubicación como Londres.

Si busca seguridad híbrida, puede integrar la protección con contraseña de Microsoft Entra con un entorno de Active Directory local. Un componente instalado en el entorno local recibe la lista global de contraseñas prohibidas y las directivas de protección con contraseña personalizadas de Microsoft Entra ID, y los controladores de dominio las usan para procesar los eventos de cambio de contraseña. Este enfoque híbrido garantiza que, con independencia de cómo o dónde los usuarios cambien sus credenciales, se aplicará el uso de contraseñas seguras.

Autenticación sin contraseñas

En muchos entornos el objetivo final es eliminar el uso de contraseñas como parte de los eventos de inicio de sesión. Características como la protección con contraseña de Azure o la autenticación multifactor de Microsoft Entra ayudan a mejorar la seguridad, pero un nombre de usuario y una contraseña siguen siendo una forma débil de autenticación que se puede exponer o atacar por la fuerza bruta.

Al iniciar sesión con un método sin contraseña, las credenciales se proporcionan mediante el uso de métodos como la información biométrica en Windows Hello para empresas o una clave de seguridad FIDO2. Un atacante no puede duplicar fácilmente estos métodos de autenticación.

Microsoft Entra ID ofrece formas de autenticación nativa sin contraseña con el fin de simplificar la experiencia de inicio de sesión de los usuarios y reducir el riesgo de ataques.

Pasos siguientes

Para comenzar, vea el tutorial para el restablecimiento de contraseñas de autoservicio (SSPR) y autenticación multifactor de Microsoft Entra.

Para más información sobre los conceptos del autoservicio de restablecimiento de contraseña, consulte Funcionamiento del autoservicio de restablecimiento de contraseña de Microsoft Entra.

Para más información sobre los conceptos de autenticación multifactor, consulte Funcionamiento de la autenticación multifactor de Microsoft Entra.