Inicio de sesión del usuario mediante la autenticación transferida de Microsoft Entra

¿Qué es la autenticación transferida de Microsoft Entra?

La autenticación transferida de Microsoft Entra permite a los usuarios iniciar sesión en aplicaciones basadas en la nube y locales con las mismas contraseñas. Esta característica proporciona a los usuarios una mejor experiencia (una contraseña menos que recordar) y reduce los costos del departamento de soporte técnico de TI dado que es menos probable que olviden cómo iniciar sesión. Cuando los usuarios inician sesión con Microsoft Entra ID, esta característica valida sus contraseñas directamente con la instancia de Active Directory local.

Esta característica es una alternativa a la sincronización de hash de contraseña de Microsoft Entra, que proporciona la misma ventaja de autenticación en la nube a las organizaciones. Sin embargo, las organizaciones que deseen aplicar sus directivas locales de seguridad y contraseñas de Active Directory, pueden usar la autenticación de paso a través en su lugar. Consulte esta guía para ver una comparación de los distintos métodos de inicio de sesión de Microsoft Entra y cómo elegir el método correcto para su organización.

Autenticación de paso a través de Microsoft Entra

Puede combinar la autenticación de paso a través con la característica de Inicio de sesión único de conexión directa. Si tiene máquinas Windows 10 o posteriores, use la unión híbrida de Microsoft Entra (AADJ). De esta manera, cuando los usuarios accedan a las aplicaciones en sus máquinas corporativas dentro de la red de la empresa, no tendrán que escribir la contraseña para iniciar sesión.

Ventajas clave del uso de la autenticación transferida de Microsoft Entra

  • Mejor experiencia del usuario
    • Los usuarios usan las mismas contraseñas para iniciar sesión tanto en las aplicaciones basadas en la nube como en las locales.
    • Los usuarios dedican menos tiempo a hablar con el departamento de soporte técnico de TI para que resuelvan problemas relacionados con las contraseñas.
    • Los usuarios pueden realizar las tareas de administración de contraseñas de autoservicio en la nube.
  • Es fácil de implementar y administrar
    • No se requieren complejas implementaciones locales ni la configuración de la red.
    • Solo necesita instalar en local un agente ligero.
    • Sin sobrecarga de administración. El agente recibe automáticamente las mejoras y las correcciones de errores.
  • Protección
    • Las contraseñas locales nunca se almacenan en la nube.
    • Protege las cuentas de usuario y, para ello, trabaja íntegramente con directivas de acceso condicional de Microsoft Entra, incluida la autenticación multifactor (MFA), el bloqueo de autenticación heredada y el filtrado de ataques por fuerza bruta.
    • El agente solo realiza conexiones salientes desde dentro de la red. Por lo tanto, no es necesario instalar el agente en una red perimetral, también conocida como DMZ.
    • La comunicación entre un agente y Microsoft Entra ID está protegida mediante la autenticación basada en certificados. Microsoft Entra ID renueva estos certificados automáticamente cada pocos meses.
  • Alta disponibilidad
    • Se pueden instalar agentes adicionales en varios servidores locales para lograr una alta disponibilidad de las solicitudes de inicio de sesión.

Características destacadas

  • Admite el inicio de sesión de usuario en todas las aplicaciones basadas en explorador web y en las aplicaciones cliente de Microsoft Office que usan la autenticación moderna.
  • El nombre de usuario de inicio de sesión puede ser el predeterminado del entorno local (userPrincipalName) u otro atributo configurado en Microsoft Entra Connect (conocido como Alternate ID).
  • La característica funciona sin problemas con características de acceso condicional, como Multi-Factor Authentication (MFA), para ayudar a proteger a los usuarios.
  • Se integra con la administración de contraseñas de autoservicio basada en la nube, incluida la escritura diferida de contraseñas en Active Directory local y la protección con contraseña mediante la prohibición de contraseñas usadas habitualmente.
  • Se admiten entornos de varios bosques si hay relaciones de confianza de bosque entre los bosques de AD y si el enrutamiento de sufijos de nombre está configurado correctamente.
  • Es una característica gratuita y no es necesario utilizar ninguna versión de pago de Microsoft Entra ID para usarla.
  • Se puede habilitar a través de Microsoft Entra Connect.
  • Usa un agente local ligero que escucha las solicitudes de validación de contraseña y las responde.
  • La instalación de varios agentes proporciona una alta disponibilidad de las solicitudes de inicio de sesión.
  • Protege las cuentas locales frente a ataques de contraseña por fuerza bruta en la nube.

Pasos siguientes