Compartir vía


Migración de la configuración de directivas de MFA y SSPR a la directiva de métodos de autenticación para Microsoft Entra ID

Puede migrar la configuración de directivas heredada del Id. de Microsoft Entra que controla por separado la autenticación multifactor (MFA) y el autoservicio de restablecimiento de contraseña (SSPR) a la administración unificada con la directiva de métodos de autenticación.

Puede usar la guía de migración de métodos de autenticación (versión preliminar) en el Centro de administración de Microsoft Entra para automatizar la migración. La guía proporciona un asistente para ayudar a auditar la configuración de directiva actual para MFA y SSPR. A continuación, consolida esa configuración en la directiva de métodos de autenticación, donde se pueden administrar conjuntamente más fácilmente.

También puede migrar la configuración de directiva manualmente según su propia programación. El proceso de migración es totalmente reversible. Puede seguir usando directivas de MFA y SSPR en todo el inquilino mientras configura métodos de autenticación de forma más precisa para usuarios y grupos en la directiva de métodos de autenticación.

Para más información sobre cómo funcionan conjuntamente estas directivas durante la migración, consulte Administración de métodos de autenticación para Microsoft Entra ID.

Guía de migración automatizada

La guía de migración automatizada le permite migrar dónde se administran los métodos de autenticación en tan solo unos clics. Se puede acceder desde el Centro de administración de Microsoft Entra; para ello, vaya a Protección>Métodos de autenticación>Directivas.

Captura de pantalla de la hoja Directiva de métodos de autenticación con el punto de entrada del asistente resaltado.

En la primera página del asistente se explica qué es y cómo funciona. También proporciona vínculos a cada una de las directivas heredadas para su referencia.

Captura de pantalla de la hoja Directiva de métodos de autenticación con la primera página del asistente resaltada.

Después, el asistente configura la directiva de método de autenticación en función de lo que la organización ha habilitado actualmente en las directivas heredadas de MFA y SSPR. Si un método está habilitado en cualquiera de las directivas heredadas, la recomendación es habilitarla también en la directiva de método de autenticación. Con esa configuración, los usuarios pueden seguir iniciando sesión y restableciendo su contraseña mediante el mismo método que usó anteriormente.

Además, se recomienda habilitar los métodos modernos y seguros más recientes, como las claves de acceso temporal, el pase de acceso temporal y Microsoft Authenticator para ayudar a mejorar la posición de seguridad de las organizaciones. Para editar la configuración recomendada, seleccione el icono de lápiz situado junto a cada método.

Captura de pantalla de la hoja Directiva de métodos de autenticación con la segunda página del asistente resaltada.

Una vez que esté satisfecho con la configuración, seleccione Migrar y confirme la migración. La directiva de métodos de autenticación se actualiza para que coincida con la configuración especificada en el asistente. Los métodos de autenticación de las directivas de MFA y SSPR heredadas se atenúan y ya no se aplican.

El estado de la migración se actualizará a Migración completada. Puede volver a cambiar este estado a En curso en cualquier momento para volver a habilitar los métodos en las directivas heredadas si es necesario.

Migración manual

Para empezar, realice una auditoría de la configuración de directiva existente para cada método de autenticación que esté disponible para los usuarios. Si revierte la operación durante la migración, quizá desee tener un registro de la configuración del método de autenticación de cada una de estas directivas:

  • Directiva de MFA
  • Directiva de SSPR (si se usa)
  • Directiva de métodos de autenticación (si se usa)

Si no usa SSPR y aún no usa la directiva de métodos de autenticación, solo tendrá que obtener la configuración de la directiva de MFA.

Revisión de la directiva de MFA heredada

Empiece por documentar qué métodos están disponibles en la directiva de MFA heredada.

Inicie sesión en el centro de administración Microsoft Entra como Administrador global.

Vaya a Identidad>Usuarios>Todos los usuarios>MFA por usuario>Valor de configuración del servicio para ver la configuración. Esta configuración es para todo el inquilino, por lo que no se necesita información sobre el usuario o grupo.

Captura de pantalla que muestra el portal de autenticación multifactor heredado de Microsoft Entra.

Con cada método, mire a ver si está habilitado o no para el inquilino. En la tabla siguiente se enumeran los métodos disponibles en la directiva de MFA heredada y los métodos correspondientes de la directiva de métodos de autenticación.

Directiva de autenticación multifactor Directiva de método de autenticación
Llamada al teléfono Llamadas de voz
Mensaje de texto al teléfono SMS
Notificación a través de aplicación móvil Microsoft Authenticator
Código de verificación de aplicación móvil o token de hardware Tokens OATH de software de terceros
Tokens de hardware OATH
Microsoft Authenticator

Revisión de la directiva de SSPR heredada

Para obtener los métodos de autenticación disponibles en la directiva SSPR heredada, vaya a Identidad>Protección>Restablecer contraseña>Métodos de autenticación. En la tabla siguiente se enumeran los métodos disponibles en la directiva de SSPR heredada y los métodos correspondientes de la directiva de métodos de autenticación.

Captura de pantalla que muestra la directiva de SSPR de Microsoft Entra heredada.

Registre qué usuarios están en el ámbito de SSPR (todos los usuarios, un grupo específico o ningún usuario) y los métodos de autenticación que pueden usar. Aunque las preguntas de seguridad aún no están disponibles para administrarse en la directiva de métodos de autenticación, asegúrese de registrarlas para cuando lo estén.

Métodos de autenticación de SSPR Directiva de método de autenticación
Notificación en aplicación móvil Microsoft Authenticator
Código de aplicación móvil Microsoft Authenticator
Tokens OATH de software
Correo electrónico OTP por correo electrónico
Teléfono móvil Llamadas de voz
SMS
Teléfono del trabajo Llamadas de voz
Preguntas de seguridad Aún no disponible; copiar preguntas para más adelante

Directiva de métodos de autenticación

Para comprobar la configuración de la directiva métodos de autenticación, inicie sesión en el centro de administración de Microsoft Entra como mínimo un administrador de directivas de autenticación y vaya a Protección>Métodos de autenticación>Directivas. Los nuevos inquilinos tienen todos los métodos desactivados de forma predeterminada, lo que facilita la migración, ya que no es necesario combinar la configuración de directiva heredada con la configuración existente.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
  2. Vaya a Protección>Métodos de autenticación>

Captura de pantalla que muestra los métodos de autenticación.

La directiva de métodos de autenticación tiene otros métodos que no están disponibles en las directivas heredadas, como la clave de seguridad FIDO2, el pase de acceso temporal y la autenticación basada en certificados de Microsoft Entra. Estos métodos no están en el ámbito de la migración y no tendrá que realizar ningún cambio en ellos si ya los ha configurado.

Si ha habilitado otros métodos en la directiva de métodos de autenticación, escriba los usuarios y grupos que pueden o no pueden usar esos métodos. Tome nota de los parámetros de configuración que rigen cómo se puede usar el método. Por ejemplo, puede configurar Microsoft Authenticator para proporcionar la ubicación en las notificaciones push. Cree un registro de los usuarios y grupos que están habilitados para parámetros de configuración similares asociados a cada método.

Inicio de la migración

Después de capturar los métodos de autenticación disponibles de las directivas que usa actualmente, puede iniciar la migración. Abra la directiva de métodos de autenticación y seleccione Administrar migración, Migración en curso.

Captura de pantalla que muestra cómo iniciar el proceso de migración.

Deberá establecer esta opción antes de realizar cambios, ya que la nueva directiva se aplicará a escenarios de inicio de sesión y restablecimiento de contraseña.

Captura de pantalla de la migración en curso.

El siguiente paso es actualizar la directiva de métodos de autenticación para que coincida con la auditoría. Es conveniente revisar cada método uno por uno. Si el inquilino usa solo la directiva de MFA heredada y no usa SSPR, la actualización es sencilla: puede habilitar cada método para todos los usuarios y hacer que coincida exactamente con su directiva existente.

Si el inquilino usa MFA y SSPR, deberá tener en cuenta cada método:

  • Si el método está habilitado en ambas directivas heredadas, habilítelo para todos los usuarios de la directiva de métodos de autenticación.
  • Si el método está desactivado en ambas directivas heredadas, déjelo desactivado para todos los usuarios de la directiva métodos de autenticación.
  • Si el método solo está habilitado en una directiva, tiene que decidir si debe estar disponible o no en todas las situaciones.

Cuando las directivas coincidan, puede hacerlo coincidir fácilmente con su estado actual. Cuando haya un error de coincidencia, deberá decidir si habilitar o deshabilitar el método por completo. Por ejemplo, supongamos que la opción Notificación a través de la aplicación móvil está habilitada para permitir notificaciones push para MFA. En la directiva de SSPR heredada, el método Notificación de la aplicación móvil no está habilitado. En ese caso, las directivas heredadas permiten notificaciones push para MFA, pero no para SSPR.

En la directiva de métodos de autenticación, deberá elegir si habilitar Microsoft Authenticator para SSPR y MFA o deshabilitarlo (se recomienda habilitarlo).

Tenga en cuenta que, en la directiva de métodos de autenticación, tiene la opción de habilitar métodos para grupos de usuarios además de todos los usuarios, y también puede excluir grupos de usuarios para que no puedan usar un método determinado. Esto significa que tiene mucha flexibilidad para controlar qué usuarios pueden usar qué métodos. Por ejemplo, puede habilitar Microsoft Authenticator para todos los usuarios y limitar los mensajes SMS y las llamadas de voz a un grupo de 20 usuarios que necesitan esos métodos.

A medida que actualiza cada método en la directiva de métodos de autenticación, algunos métodos tienen parámetros configurables que permiten controlar cómo se puede usar ese método. Por ejemplo, si habilita las llamadas de voz como método de autenticación, puede permitir tanto teléfonos del trabajo como teléfonos móviles, o solo móviles. Recorra el proceso para configurar cada método de autenticación a partir de la auditoría.

¡Tenga en cuenta que no es necesario que coincida con la directiva actual! Esta es una gran oportunidad para revisar los métodos habilitados y elegir una nueva directiva que maximice la seguridad y la facilidad de uso en el inquilino. Tenga en cuenta que para deshabilitar métodos para los usuarios que ya los usan, puede ser necesario que esos usuarios registren nuevos métodos de autenticación e impedirles que usen métodos registrados anteriormente.

En las secciones siguientes se describe una guía de migración específica para cada método.

Código de acceso de un solo uso de correo electrónico

Hay dos controles para Código de acceso de un solo uso de correo electrónico:

La selección del destino mediante incluir y excluir en la sección Habilitar y destino de la configuración se usa para habilitar el correo electrónico OTP para los miembros de un inquilino para su uso en Restablecimiento de contraseña.

Hay un control aparte, Permitir que los usuarios externos usen correo electrónico OTP, en la sección Configurar, que controla el uso del correo electrónico OTP para el inicio de sesión por los usuarios B2B. Si este control está habilitado, el método de autenticación no se puede deshabilitar.

Microsoft Authenticator

Si la opción Notificación a través de la aplicación móvil está habilitada en la directiva de MFA heredada, habilite Microsoft Authenticator para Todos los usuarios en la directiva de métodos de autenticación. Establezca el modo de autenticación en Cualquiera para permitir notificaciones push o autenticación sin contraseña.

Si la opción Código de verificación de aplicación móvil o de token de hardware está habilitada en la directiva de MFA heredada, establezca Permitir el uso de OTP de Microsoft Authenticator en .

Captura de pantalla de OTP de Microsoft Authenticator.

Nota

Si los usuarios registran la aplicación Microsoft Authenticator solo para el código OTP mediante el asistente "Quiero usar una aplicación autenticadora diferente", será necesario habilitar la directiva de tokens OATH de software de terceros.

SMS y llamadas de voz

La directiva de MFA heredada tiene controles independientes para SMS y Llamadas telefónicas. Pero también hay un control Teléfono móvil que permite teléfonos móviles tanto para mensajes SMS como para llamadas de voz. Y otro control, Teléfono del trabajo, habilita un teléfono del trabajo solo para llamadas de voz.

La directiva de métodos de autenticación tiene controles para SMS y llamadas de voz, que coinciden con la directiva de MFA heredada. Si el inquilino usa SSPR y está habilitado el control Teléfono móvil, debe habilitar las opciones SMS y Llamada de voz en la directiva de métodos de autenticación. Si el inquilino usa SSPR y está habilitado el control Teléfono del trabajo, debe habilitar la opción Llamada de voz en la directiva de métodos de autenticación y asegurarse de que esté habilitada la opción Teléfono del trabajo.

Nota

La opción Usar para el inicio de sesión está habilitada de forma predeterminada en la configuración de SMS. Esta opción habilita el inicio de sesión por SMS. Si el inicio de sesión por SMS está habilitado para los usuarios, se omitirán de la sincronización entre inquilinos. Si usa la sincronización entre inquilinos o no quiere habilitar el inicio de sesión de SMS, deshabilite el inicio de sesión de SMS para los usuarios de destino.

Tokens OATH

Los controles de token OATH en las directivas de MFA y SSPR heredadas eran controles únicos que permitían el uso de tres tipos diferentes de tokens OATH: la aplicación Microsoft Authenticator, aplicaciones generadoras de códigos OATH TOTP de software de terceros y tokens OATH de hardware.

La directiva de métodos de autenticación tiene un control granular con controles independientes para cada tipo de token OATH. El uso de OTP de Microsoft Authenticator se controla mediante el control Permitir el uso de OTP de Microsoft Authenticator de la sección Microsoft Authenticator de la directiva. Las aplicaciones de terceros se controlan mediante la sección Tokens OATH de software de terceros de la directiva. Los tokens OATH de hardware se controlan mediante la sección Tokens OATH de hardware de la directiva.

Preguntas de seguridad

Pronto estará disponible un control para preguntas de seguridad. Si usa preguntas de seguridad y no quiere deshabilitarlas, asegúrese de mantenerlas habilitadas en la directiva de SSPR heredada hasta que esté disponible el nuevo control. Puede finalizar la migración como se describe en la sección siguiente con las preguntas de seguridad habilitadas.

Finalización de la migración

Después de actualizar la directiva de métodos de autenticación, revise las directivas de MFA y SSPR heredadas y quite cada método de autenticación uno por uno. Pruebe y valide los cambios de cada método.

Al determinar que MFA y SSPR funcionan según lo previsto y ya no necesita las directivas de MFA y SSPR heredadas, puede cambiar el proceso de migración a Migración completada. En este modo, Microsoft Entra solo sigue la directiva de métodos de autenticación. No se pueden realizar cambios en las directivas heredadas si se establece Migración completada, excepto las preguntas de seguridad de la directiva de SSPR. Si por algún motivo necesita volver a las directivas heredadas, puede devolver el estado de migración a Migración en curso en cualquier momento.

Captura de pantalla de Migración completada.

Pasos siguientes