Autenticación multifactor en inquilinos externos
Se aplica a: 
inquilinos de personal 
inquilinos externos (más información)
La autenticación multifactor (MFA) agrega una capa de seguridad a las aplicaciones al exigir que los usuarios proporcionen un segundo método para comprobar su identidad durante el registro o el inicio de sesión. Los inquilinos externos admiten dos métodos para la autenticación como segundo factor:
- Código de acceso de un solo uso de correo electrónico
- Autenticación basada en SMS, disponible como complemento (vea los detalles).
La aplicación de MFA mejora la seguridad de la organización al agregar una capa adicional de comprobación, lo que dificulta que los usuarios no autorizados obtengan acceso.
Creación de una directiva de MFA
En un inquilino externo, puede usar el acceso condicional de Microsoft Entra para crear una normativa que solicite MFA a los usuarios cuando se registren o inicien sesión en la aplicación. Esta directiva se crea en el centro de administración de Microsoft Entra, en Acceso condicional en la sección Protección. Puede especificar a qué usuarios y grupos se aplica la directiva, incluyendo todos los usuarios y excluyendo cualquier cuenta de acceso de emergencia.
En la directiva, debe definir las aplicaciones que requieren MFA. Puede aplicar la directiva a todas las aplicaciones en la nube o seleccionar aplicaciones específicas, excluyendo cualquier aplicación que no requiera MFA. Después, configure la directiva para que conceda acceso solo si los usuarios completan el requisito de MFA.
Para más información, vea Procedimiento para crear una directiva de acceso condicional en un inquilino externo.
Habilitación de métodos MFA
Al seleccionar las opciones del proveedor de identidades en los flujos de usuario, se definen los métodos de autenticación en primer factor para el registro y el inicio de sesión. Los métodos de verificación en segundo lugar para MFA se configuran en una sección independiente del Centro de administración de Microsoft Entra, en Métodos de autenticación en la sección Protección.
En función de la opción que elija como primer factor, hay disponibles diferentes métodos de verificación en el segundo factor para la autenticación multifactor (MFA).
- Correo electrónico con contraseña y proveedores de identidades sociales: para cualquiera de estos métodos de primer factor, puede habilitar el código de acceso de un solo uso por correo electrónico, SMS o ambos como métodos de verificación en segundo factor para MFA.
- Código de acceso de un solo uso por correo electrónico: cuando se selecciona el correo electrónico con código de acceso de un solo uso como método de autenticación de primer factor, no se puede usar para la verificación en segundo factor. Por tanto, solo se puede habilitar la comprobación basada en SMS para MFA.
Para más información, vea Procedimiento para habilitar métodos MFA en un inquilino externo.
Código de acceso de un solo uso de correo electrónico
La autenticación de código de acceso de un solo uso de correo electrónico está disponible en un inquilino externo como método de verificación en primer y segundo factor. Para permitir el uso de códigos de acceso de un solo uso de correo electrónico para MFA, el método de autenticación de la cuenta local debe estar configurado como Correo electrónico con contraseña. Si elige Correo electrónico con código de acceso de un solo uso, los clientes que usen este método para el inicio de sesión principal no podrán usarlo para la verificación secundaria MFA.
Cuando el código de acceso de un solo uso de correo electrónico está habilitado para MFA, el usuario inicia sesión con su método de inicio de sesión principal y se le notifica que se enviará un código a la dirección de correo electrónico del usuario. El usuario elige enviar el código, recupera el código de acceso de su bandeja de entrada de correo electrónico y lo escribe en la ventana de inicio de sesión.
Autenticación basada en SMS
SMS está disponible a un coste adicional para la verificación en segundo factor en inquilinos externos. Actualmente, SMS no están disponible para la autenticación en primer factor ni para el autoservicio de restablecimiento de contraseña en inquilinos externos.
Cuando se habilita SMS para MFA, los usuarios inician sesión con su método principal y se les pide que comprueben su identidad con un código enviado a través del texto. Escriben su número de teléfono y reciben un SMS con el código de verificación.
El identificador externo mitiga los registros fraudulentos y los inicios de sesión mediante SMS al aplicar las siguientes medidas:
- Los límites de limitación de telefonía ayudan a evitar interrupciones y ralentizaciones. Vea Límites y restricciones del servicio.
- CAPTCHA para MFA por SMS ayuda a evitar ataques automatizados al distinguir a los usuarios humanos de los bots automatizados. Si se detecta un usuario de riesgo, se impide que el usuario inicie sesión, o bien se le pide que complete un CAPTCHA antes de enviar un código de verificación por SMS.
Planes de tarifa de SMS por país o región
En la tabla siguiente se proporcionan detalles sobre los distintos planes de tarifa para los servicios de autenticación basados en SMS en varios países o regiones. Para obtener detalles sobre los precios, vea Precios de Microsoft Entra External ID.
SMS es una característica de complemento y requiere una suscripción vinculada. Si la suscripción expira o se cancela, los usuarios finales ya no podrán autenticarse mediante SMS, lo que podría impedir que inicien sesión en función de la directiva de MFA.
| Nivel | Países o regiones |
|---|---|
| Autenticación telefónica de bajo coste | Australia, Brasil, Brunéi, Canadá, Chile, China, Colombia, Chipre, Macedonia, Polonia, Portugal, Corea del Sur, Tailandia, Turquía, Estados Unidos |
| Autenticación telefónica de bajo y medio coste | Groenlandia, Albania, Samoa Americana, Austria, Bahamas, Bahrein, Bosnia y Herzegovina, Botsuana, Costa Rica, República Checa, Dinamarca, Estonia, Islas Feroe, Finlandia, Francia, Grecia, Hong Kong, Hungría, Irlanda, Islandia, Italia, Japón, Letonia, Lituania, Luxemburgo, Macao, Malta, México, Micronesia, Moldavia, Namibia, Nueva Zelanda, Nicaragua, Noruega, Rumanía, Santo Tomé y Príncipe, República de Seychelles, Singapur, Eslovaquia, Islas Salomón, España, Suecia, Suiza, Taiwán, Reino Unido, Islas Vírgenes de los Estados Unidos, Uruguay |
| Autenticación telefónica de coste medio-alto | Andorra, Angola, Anguila, Antártida, Antigua y Barbuda, Argentina, Armenia, Aruba, Ascensión, Barbados, Bélgica, Benin, Bolivia, Islas Vírgenes Británicas, Bulgaria, Burkina Faso, Camerún, Islas Caimán, República Centroafricana, Islas Cook, Croacia, Diego García, Yibuti, República Dominicana, República Dominicana, República Dominicana, Timor Oriental, Ecuador, El Salvador, Eritrea, Islas Malvinas, Fiji, Guayana Francesa, Polinesia Francesa, Gambia, Georgia, Alemania, Gibraltar, Granada, Guadalupe, Guam, Guinea, Guyana, Honduras, India, Costa de Marfil, Kenia, Kiribati, Laos, Liberia, Malasia, Islas Marshall, Martinica, Mauricio, Mónaco, Montenegro, Montserrat, Países Bajos, Antillas Neerlandesas, Nueva Caledonia, Niue, Omán, Palaos, Panamá, Paraguay, Perú, Puerto Rico, Reunión, Ruanda, Santa Elena, San Cristóbal y Nieves, Santa Lucía, San Pedro y Miquelón, San Vicente y las Granadinas, Saipán, Samoa, San Marino, Arabia Saudí, San Martín, Eslovenia, Sudáfrica, Sudán del Sur, Surinam, Suazilandia (el nuevo nombre es Reino de Eswatini), Tokelau, Tonga, Turcas y Caicos, Tuvalu, Emiratos Árabes Unidos, Vanuatu, Venezuela, Vietnam, Wallis y Futuna |
| Autenticación telefónica de alto coste | Liechtenstein, Bermudas, Camboya, Cabo Verde, República Democrática del Congo, Dominica, Egipto, Guinea Ecuatorial, Ghana, Guatemala, Guinea-Bissau, Israel, Jamaica, Kosovo, Lesoto, Maldivas, Malí, Marruecos, Mauritania, Mozambique, Papúa Nueva Guinea, Filipinas, Qatar, Sierra Leona, Trinidad y Tobago, Ucrania, Zimbabue, Afganistán, Argelia, Azerbaiyán, Bangladesh, Bielorrusia, Belice, Bhután, Burundi, Chad, Comoras, Congo, Etiopía, República Gabonesa, Haití, Indonesia, Iraq, Jordania, Kuwait, Kirguistán, Líbano, Libia, Madagascar, Malawi, Mongolia, Myanmar, Nauru, Nepal, Níger, Nigeria, Pakistán, Autoridad Nacional Palestina, Rusia, Senegal, Serbia, Somalia, Sri Lanka, Sudán, Tayikistán, Tanzania, República Togolesa, Túnez, Turkmenistán, Uganda, Uzbekistán, Yemen, Zambia |
Pasos siguientes
Adición de la autenticación multifactor (MFA) a una aplicación