Planeamiento de una implementación de autenticación sin contraseña en Id. de Microsoft Entra
Las contraseñas son un vector de ataque principal. Los actores con malas intenciones usan ataques de ingeniería social, suplantación de identidad (phishing) y ataques de difusión de contraseñas para ponerlas en peligro. Una estrategia de autenticación sin contraseña mitiga el riesgo de estos ataques.
Microsoft ofrece las cinco opciones siguientes de autenticación sin contraseña que se integran con Microsoft Entra ID:
Microsoft Authenticator: convierte cualquier teléfono iOS o Android en una credencial segura sin contraseña, ya que permite a los usuarios iniciar sesión en cualquier plataforma o explorador.
Claves de seguridad compatibles con FIDO2: son útiles para los usuarios que inician sesión en máquinas compartidas, como quioscos, en situaciones en las que se restringe el uso de teléfonos, y para identidades con privilegios elevados.
Windows Hello para empresas: está más indicado para los usuarios que trabajan en sus equipos Windows dedicados.
Credencial de Platform para macOS: una nueva funcionalidad en macOS que está habilitada mediante la extensión de inicio de sesión único (SSOe) de Microsoft Enterprise.
Inicio de sesión único de Platform para macOS con SmartCard: una nueva funcionalidad en macOS para la autenticación basada en tarjetas inteligentes habilitada mediante la extensión de inicio de sesión único (SSOe) de Microsoft Enterprise.
Nota:
Para crear una versión sin conexión de este plan con todos los vínculos, utilice la funcionalidad de impresión en PDF del explorador.
Uso del asistente para métodos sin contraseña
El centro de administración de Microsoft Entra tiene ahora un asistente para los métodos sin contraseña que le ayudará a seleccionar el método adecuado para cada una de las audiencias. Si aún no ha determinado los métodos adecuados, vea https://aka.ms/passwordlesswizard, y vuelva a este artículo para seguir planeando los métodos seleccionados. Necesita derechos de administrador para acceder a este asistente.
Escenarios de autenticación sin contraseña
Los métodos de autenticación sin contraseña de Microsoft permiten muchos escenarios. Tenga en cuenta las necesidades de su organización, los requisitos previos y las funcionalidades de cada método de autenticación para seleccionar su estrategia de autenticación sin contraseña.
En la tabla siguiente se enumeran los métodos de autenticación sin contraseña por tipo de dispositivo. Nuestras recomendaciones se indican en negrita y cursiva.
Tipos de dispositivo | Método de autenticación sin contraseña |
---|---|
Dispositivos dedicados que no son Windows | |
Equipos Windows 10 dedicados (versión 1703 y posteriores) | |
Equipos Windows 10 dedicados (anteriores a la versión 1703) | |
Dispositivos compartidos: tabletas y dispositivos móviles | |
Quioscos (heredado) | |
Quioscos y equipos compartidos (Windows 10) |
Requisitos previos
Asegúrese de cumplir los requisitos previos antes de iniciar la implementación sin contraseña.
Roles necesarios
Estos son los roles con privilegios mínimos necesarios para esta implementación:
Rol de Microsoft Entra | Descripción |
---|---|
Administrador de usuarios | Para implementar la experiencia de registro combinado. |
Administrador de autenticación | Para implementar y administrar métodos de autenticación. |
Usuario | Para configurar la aplicación Authenticator en el dispositivo, o para inscribir el dispositivo de clave de seguridad para el inicio de sesión web o de Windows 10. |
Como parte de este plan de implementación, se recomienda habilitar la autenticación sin contraseña para todas las cuentas con privilegios.
Aplicación Microsoft Authenticator y claves de seguridad
Los requisitos previos se determinan por los métodos de autenticación sin contraseña seleccionados.
Requisito previo | Microsoft Authenticator | Claves de seguridad FIDO2 |
---|---|---|
Se ha habilitado el registro combinado en autenticación multifactor de Microsoft Entra ID y el autoservicio de restablecimiento de contraseña (SSPR) | √ | √ |
Los usuarios pueden realizar la autenticación multifactor de Microsoft Entra | √ | √ |
Los usuarios se han registrado para la autenticación multifactor de Microsoft Entra y SSPR | √ | √ |
Los usuarios han registrado sus dispositivos móviles para Microsoft Entra ID | √ | |
Windows 10 versión 1809 o superior con un explorador admitido, como Microsoft Edge o Mozilla Firefox (versión 67 o superior). Microsoft recomienda la versión 1903 o posteriores para tener compatibilidad nativa. | √ | |
Claves de seguridad compatibles Asegúrese de que usa una clave de seguridad FIDO2 verificada y probada por Microsoft, o cualquier otra clave de seguridad FIDO2 compatible. | √ |
Windows Hello para empresas
Los requisitos previos y las rutas de implementación de Windows Hello para empresas dependen en gran medida de si la implementación se realiza en una configuración local, híbrida o solo en la nube. También depende de la estrategia de conexión del dispositivo.
Seleccione Windows Hello para empresas y complete el asistente para determinar los requisitos previos y la implementación adecuados para su organización.
El asistente usará las entradas para confeccionar un plan paso a paso que puede seguir.
Credencial de plataforma para macOS
Para habilitar credenciales de plataforma para macOS;
- Su Mac debe tener un sistema operativo de al menos macOS 13 Ventura (se recomienda macOS 14 Sonoma)
- El dispositivo debe estar inscrito en MDM con la carga de extensión SSO configurada para admitir el inicio de sesión único de Platform (PSSO) con UserSecureEnclaveKey.
Nota:
Actualmente, hay un problema conocido que provoca que Seguridad de autenticación represente tanto la Credencial de plataforma para macOS como Windows Hello para empresas con el mismo nombre de método de autenticación, Windows Hello para empresas. El trabajo está en curso para representar la credencial de plataforma para macOS por separado. Al configurar la seguridad de autenticación personalizada que necesita usar credenciales de plataforma para macOS, puede usar "Windows Hello para empresas" hasta que se corrija esto.
Habilitación de credenciales de plataforma para macOS como clave de paso
La credencial de plataforma para macOS se puede usar como clave de paso resistente a la suplantación de identidad (phishing) y solo está disponible para los usuarios del método autenticado de enclave seguro. La capacidad de habilitar la credencial de plataforma para macOS como clave de paso está disponible en los siguientes exploradores:
- Safari
- Google Chrome (requiere la versión 5.2404.0 o posterior del Portal de empresa y la extensión Chrome)
La habilitación de credenciales de plataforma para macOS como clave de paso es un proceso de dos pasos que el administrador y el usuario deben completar.
- Al configurar la credencial de plataforma para macOS como administrador, consulte los pasos descritos en Habilitación de claves de paso (FIDO2) para su organización.
- Como usuario final, debe habilitar esto a través de la aplicación Configuración en el equipo Mac. Consulte los pasos descritos en Unión de un dispositivo Mac con Microsoft Entra ID mediante el Portal de empresa.
Inicio de sesión único de Platform para macOS con SmartCard
Para habilitar el inicio de sesión único de Platform para macOS (PSSO) con SmartCard, el equipo Mac debe tener un sistema operativo de al menos macOS 14 Sonoma y los pasos de configuración deben realizarse a través del Centro de administración de Microsoft Intune. Los administradores también deben configurar y habilitar el método de autenticación basado en certificados mediante las directivas de métodos de autenticación en el Centro de administración de Microsoft Entra. Consulte Configuración de la autenticación basada en certificados de Microsoft Entra para obtener más información.
Planeamiento del proyecto
Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que involucra a las partes interesadas adecuadas y que estas conocen bien sus roles.
Planeamiento de un piloto
Al implementar la autenticación sin contraseña, debe habilitar primero uno o varios grupos piloto. Puede crear grupos específicamente para este propósito. Agregue a los grupos los usuarios que van a participar en la prueba piloto. A continuación, habilite los nuevos métodos de autenticación sin contraseña para los grupos seleccionados. Consulte Procedimientos recomendados para un piloto.
Planeamiento de las comunicaciones
Las comunicaciones con los usuarios finales deben incluir la información siguiente:
Microsoft proporciona plantillas de comunicación para los usuarios finales. Descargue el material de lanzamiento de autenticación para ayudar a esbozar las comunicaciones. Los materiales de lanzamiento incluyen pósteres personalizables y plantillas de correo electrónico que puede usar para informar a los usuarios sobre las próximas opciones de autenticación sin contraseña de su organización.
Planeamiento del registro del usuario
Los usuarios registran su método sin contraseña como parte del flujo de trabajo de información de seguridad combinado en https://aka.ms/mysecurityinfo. Microsoft Entra registra el registro de claves de seguridad y la aplicación Authenticator, y cualquier otro cambio en los métodos de autenticación.
En el caso de que sea la primera vez para un usuario que no tiene una contraseña, los administradores pueden proporcionar un código de pase de acceso temporal para registrar su información de seguridad en https://aka.ms/mysecurityinfo. Se trata de un código de acceso con un tiempo limitado y satisface los requisitos de autenticación sólida. El Pase de acceso temporal es un proceso que se realiza por usuario.
Este método también se puede usar para facilitar la recuperación cuando el usuario ha perdido u olvidado su factor de autenticación, como una llave de seguridad o la aplicación Authenticator, pero debe iniciar sesión para registrar un nuevo método de autenticación sólida.
Nota:
Si no puede usar la clave de seguridad o la aplicación Authenticator en algunos escenarios, se puede usar la autenticación multifactor con un nombre de usuario y contraseña, junto con otro método registrado como opción de reserva.
Planeación e implementación de Microsoft Authenticator
Microsoft Authenticator convierte cualquier teléfono Android o iOS en una credencial segura sin contraseña. Se puede descargar gratis de Google Play o Apple App Store. Haga que los usuarios descarguen Microsoft Authenticator y que sigan las instrucciones para habilitar el inicio de sesión en el teléfono.
Consideraciones técnicas
Servicios de federación de Active Directory (AD FS): cuando un usuario habilita la credencial sin contraseña de Authenticator, la autenticación predeterminada para ese usuario siempre es enviar una notificación para su aprobación. Se impide que los usuarios de un inquilino híbrido se dirijan a AD FS para iniciar sesión a menos que seleccionen "Usar la contraseña en su lugar". Este proceso también omite las directivas de acceso condicional locales y los flujos de autenticación transferida (PTA). Sin embargo, si se especifica login_hint, el usuario se reenvía a AD FS y se omite la opción de usar la credencial sin contraseña. En el caso de las aplicaciones que no son de Microsoft 365 que usan AD FS para la autenticación, las directivas de acceso condicional de Microsoft Entra no se aplicarán y deberán configurar directivas de control de acceso en AD FS.
Servidor MFA: los usuarios finales habilitados para la autenticación multifactor mediante un servidor MFA local de la organización pueden crear y usar una credencial de inicio de sesión único telefónico sin contraseña. Si el usuario intenta actualizar varias instalaciones (5 o más) de la aplicación Authenticator con la credencial, este cambio puede dar lugar a un error.
Importante
En septiembre de 2022, Microsoft anunció la entrada en desuso del Servidor Multi-Factor Authentication de Azure. A partir del 30 de septiembre de 2024, las implementaciones del Servidor Azure Multi-Factor Authentication ya no atenderán las solicitudes de autenticación multifactor, lo que podría provocar un error en las autenticaciones de su organización. Para garantizar que los servicios de autenticación funcionen sin interrupciones y sigan siendo compatibles, las organizaciones deben migrar los datos de autenticación de los usuarios al servicio Azure MFA basado en la nube mediante la utilidad de migración más reciente incluida en la última actualización del Servidor Azure MFA. Para más información, consulte Migración del Servidor Azure MFA.
Registro de dispositivos: para usar la aplicación Authenticator para la autenticación sin contraseña, el dispositivo debe estar registrado en el inquilino de Microsoft Entra y no puede ser un dispositivo compartido. Un dispositivo solo se puede registrar en un único inquilino. Este límite significa que solo se admite una cuenta profesional o educativa para el inicio de sesión en el teléfono con la aplicación Authenticator.
Implementación del inicio de sesión en el teléfono con la aplicación Authenticator
Siga los pasos del artículo Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator para habilitar la aplicación Authenticator como método de autenticación sin contraseña en la organización.
Prueba de la aplicación Authenticator
Los siguientes son casos de prueba de ejemplo para la autenticación sin contraseña mediante la aplicación Authenticator:
Escenario | Resultados esperados |
---|---|
El usuario puede registrar la aplicación Authenticator. | El usuario puede registrar la aplicación desde https://aka.ms/mysecurityinfo. |
El usuario puede habilitar el inicio de sesión en el teléfono | El inicio de sesión en el teléfono se ha configurado para una cuenta profesional. |
El usuario puede acceder a una aplicación mediante el inicio de sesión en el teléfono. | El usuario pasa por el flujo de inicio de sesión en el teléfono y llega a la aplicación. |
Pruebe la reversión del registro de inicio de sesión en el teléfono desactivando el inicio de sesión sin contraseña en la aplicación Authenticator. Haga esto en la pantalla Métodos de autenticación en el Centro de administración de Microsoft Entra | Los usuarios habilitados anteriormente no pueden usar el inicio de sesión sin contraseña desde la aplicación Authenticator. |
Eliminación del inicio de sesión en el teléfono mediante la aplicación Authenticator | La cuenta profesional ya no está disponible en la aplicación Authenticator. |
Solución de problemas de inicio de sesión en el teléfono
Escenario | Solución |
---|---|
El usuario no puede realizar el registro combinado. | Asegúrese de que el registro combinado está habilitado. |
El usuario no puede habilitar el inicio de sesión en el teléfono en la aplicación Authenticator. | Asegúrese de que el usuario está en el ámbito de la implementación. |
El usuario NO está en el ámbito de la autenticación sin contraseña, pero se le ofrece la opción de inicio de sesión sin contraseña, que no puede completar. | Se produce cuando el usuario ha habilitado el inicio de sesión telefónico en la aplicación antes de crear la directiva. Para habilitar el inicio de sesión, agregue el usuario al grupo de usuarios habilitados para el inicio de sesión sin contraseña. Para bloquear el inicio de sesión: pida al usuario que quite sus credenciales de la aplicación. |
Planeación e implementación de claves de seguridad compatibles con FIDO2
Habilite claves de seguridad compatibles. Esta es una lista de proveedores de claves de seguridad FIDO2 que proporcionan claves que se sabe que son compatibles con la experiencia sin contraseña.
Planeación del ciclo de vida de las claves de seguridad
Prepare y planee el ciclo de vida de las claves.
Distribución de las claves: planee cómo aprovisionará las claves a su organización. Puede tener un proceso de aprovisionamiento centralizado o permitir que los usuarios finales compren llaves compatibles con FIDO 2.0.
Activación de las claves: los usuarios finales deben activar la clave de seguridad. Los usuarios finales registran sus llaves de seguridad en https://aka.ms/mysecurityinfo y habilitan el segundo factor (PIN o biométrico) al usarlas por primera vez. En el caso de que sea la primera vez, los usuarios pueden usar TAP para registrar su información de seguridad.
Deshabilitación de una clave: si un administrador quiere quitar una clave FIDO2 asociada a una cuenta de usuario, puede hacerlo mediante la eliminación de la clave del método de autenticación del usuario, como se muestra a continuación. Para más información, vea Deshabilitación de una clave.
Emisión de una nueva clave: el usuario puede registrar la nueva clave FIDO2 yendo a https://aka.ms/mysecurityinfo
Consideraciones técnicas
Hay tres tipos de implementaciones de inicio de sesión sin contraseña disponibles con las claves de seguridad:
Aplicaciones web de Microsoft Entra en un explorador compatible
Dispositivos Windows 10 unido a Microsoft Entra
Dispositivos Windows 10 híbridos unidos a Microsoft Entra
- Proporciona acceso a los recursos locales y a los basados en la nube. Para más información sobre el acceso a los recursos locales, consulte Inicio de sesión único en los recursos locales mediante claves de FIDO2.
Para aplicaciones web de Microsoft Entra y dispositivos Windows unidos a Microsoft Entra, use:
Windows 10 versión 1809 o superior con un explorador admitido, como Microsoft Edge o Mozilla Firefox (versión 67 o superior).
La versión 1809 de Windows 10 admite el inicio de sesión de FIDO2 y puede requerir la implementación del software del fabricante de la clave de FIDO2. Se recomienda utilizar la versión 1903 o posterior.
Para dispositivos unidos a un dominio de Microsoft Entra híbrido, use:
Windows 10, versión 2004 o posterior.
Servidores de dominio totalmente revisados que ejecutan Windows Server 2016 o 2019.
Versión más reciente de Microsoft Entra Connect.
Habilitación de la compatibilidad con Windows 10
Para habilitar el inicio de sesión de Windows 10 con claves de seguridad FIDO2, es necesario habilitar la funcionalidad del proveedor de credenciales en Windows 10. Elija alguna de las acciones siguientes:
Habilitación del proveedor de credenciales con Microsoft Intune
- Se recomienda la implementación de Microsoft Intune.
Habilitar un proveedor de credenciales con un paquete de aprovisionamiento
- Si no es posible la implementación de Microsoft Intune, los administradores deben implementar un paquete en cada máquina para habilitar la funcionalidad del proveedor de credenciales. La instalación del paquete se puede llevar a cabo con una de las siguientes opciones:
- Directiva de grupo o Configuration Manager
- Instalación local en una máquina Windows 10
- Si no es posible la implementación de Microsoft Intune, los administradores deben implementar un paquete en cada máquina para habilitar la funcionalidad del proveedor de credenciales. La instalación del paquete se puede llevar a cabo con una de las siguientes opciones:
Habilitar un proveedor de credenciales con la directiva de grupo
- Solo se admite para dispositivos unidos a Microsoft Entra híbridos.
Habilitación de la integración local
Siga los pasos del artículo Habilitación del inicio de sesión con una clave de seguridad sin contraseña en recursos locales (versión preliminar).
Importante
Estos pasos también se deben completar para que los dispositivos unidos a Microsoft Entra híbrido usen claves de seguridad FIDO2 para el inicio de sesión de Windows 10.
Directiva de restricciones de claves
Al implementar la clave de seguridad, también puede restringir el uso de claves FIDO2 solo a fabricantes específicos aprobados por su organización. La restricción de claves requiere el GUID de atestación de Authenticator (AAGUID). Existen dos formas de obtener el AAGUID.
Si la clave de seguridad está restringida y el usuario intenta registrar la clave de seguridad FIDO2, recibe el siguiente error:
Si el AAGUID se restringe después de que el usuario haya registrado la clave de seguridad, verá el mensaje siguiente:
*Clave FIDO2 bloqueada por directiva de restricción de claves
Implementación del inicio de sesión con clave de seguridad FIDO2
Siga los pasos descritos en el artículo Habilitación del inicio de sesión sin contraseña con clave de seguridad para habilitar las claves de seguridad FIDO2 como método de autenticación sin contraseña en su organización.
Prueba de las llaves de seguridad
Los siguientes son casos de prueba de ejemplo para la autenticación sin contraseña con claves de seguridad.
Inicio de sesión FIDO sin contraseña en dispositivos Windows 10 unidos a Microsoft Entra
Escenario (compilación de Windows) | Resultados esperados |
---|---|
El usuario puede registrar el dispositivo FIDO2 (1809) | El usuario puede registrar el dispositivo FIDO2 en Configuración > Cuentas > Opciones de inicio de sesión > Clave de seguridad |
El usuario puede restablecer el dispositivo FIDO2 (1809) | El usuario puede restablecer el dispositivo FIDO2 mediante el software del fabricante |
El usuario puede iniciar sesión con el dispositivo FIDO2 (1809) | El usuario puede seleccionar la opción Clave de seguridad en la ventana de inicio de sesión e iniciar sesión correctamente. |
El usuario puede registrar el dispositivo FIDO2 (1903) | El usuario puede registrar el dispositivo FIDO2 en Configuración > Cuentas > Opciones de inicio de sesión > Clave de seguridad |
El usuario puede restablecer el dispositivo FIDO2 (1903) | El usuario puede restablecer el dispositivo FIDO2 en Configuración > Cuentas > Opciones de inicio de sesión > Clave de seguridad |
El usuario puede iniciar sesión con el dispositivo FIDO2 (1903) | El usuario puede seleccionar la opción Clave de seguridad en la ventana de inicio de sesión e iniciar sesión correctamente. |
Inicio de sesión FIDO sin contraseña en aplicaciones web de Microsoft Entra
Escenario | Resultados esperados |
---|---|
El usuario puede registrar el dispositivo FIDO2 en aka.ms/mysecurityinfo con Microsoft Edge | El registro se realizará correctamente |
El usuario puede registrar el dispositivo FIDO2 en aka.ms/mysecurityinfo con Firefox | El registro se realizará correctamente |
El usuario puede iniciar sesión en OneDrive en línea mediante el dispositivo FIDO2 con Microsoft Edge | El inicio de sesión debería realizarse correctamente |
El usuario puede iniciar sesión en OneDrive en línea mediante el dispositivo FIDO2 con Firefox | El inicio de sesión debería realizarse correctamente |
Pruebe a revertir el registro de dispositivos FIDO2 mediante la desactivación de las claves de seguridad FIDO2 en la ventana de métodos de autenticación del centro de administración de Microsoft Entra | Los usuarios: |
Solución de problemas de inicio de sesión con clave de seguridad
Escenario | Solución |
---|---|
El usuario no puede realizar el registro combinado. | Asegúrese de que el registro combinado está habilitado. |
El usuario no puede agregar una clave de seguridad a la configuración de seguridad. | Asegúrese de que las llaves de seguridad estén habilitadas. |
El usuario no puede agregar una clave de seguridad en las opciones de inicio de sesión de Windows 10. | Asegúrese de que las claves de seguridad para el inicio de sesión de Windows estén habilitadas. |
Mensaje de error: Hemos detectado que este sistema operativo o explorador no admite las claves de seguridad FIDO2. | Los dispositivos de seguridad FIDO2 sin contraseña solo se pueden registrar en exploradores compatibles (Microsoft Edge, Firefox versión 67) en Windows 10 versión 1809 o posteriores. |
Mensaje de error: La directiva de la empresa requiere que use otro método para iniciar sesión. | Asegúrese de que las claves de seguridad estén habilitadas en el inquilino. |
El usuario no puede administrar mi llave de seguridad en la versión 1809 de Windows 10 | La versión 1809 requiere que use el software de administración de llaves de seguridad proporcionado por el proveedor de llaves FIDO2. Póngase en contacto con el proveedor para obtener soporte técnico. |
Creo que mi clave de seguridad FIDO2 puede ser defectuosa, ¿cómo puedo probarla? | Vaya a https://webauthntest.azurewebsites.net/, escriba las credenciales de una cuenta de prueba, conecte la clave de seguridad sospechosa, seleccione el botón + situado en la parte superior derecha de la pantalla, seleccione Crear y continúe con el proceso de creación. Si se produce un error en este escenario, es posible que el dispositivo esté defectuoso. |
Administración de la autenticación sin contraseña
Para administrar los métodos de autenticación sin contraseña del usuario en el centro de administración de Microsoft Entra, seleccione su cuenta de usuario y, después, seleccione Métodos de autenticación.
Microsoft Graph API
También puede administrar los métodos de autenticación sin contraseña mediante la API de métodos de autenticación de Microsoft Graph. Por ejemplo:
Puede recuperar los detalles de la clave de seguridad FIDO2 de un usuario y eliminarla si el usuario ha perdido la clave.
Si el usuario ha perdido el teléfono, es posible recuperar detalles del registro de la aplicación Authenticator del usuario y eliminarlos.
Administre las directivas del método de autenticación para las claves de seguridad y la aplicación Authenticator.
Para más información sobre los métodos de autenticación que se pueden administrar en Microsoft Graph, consulte Introducción a la API de métodos de autenticación de Microsoft Entra.
Reversión
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Aunque la autenticación sin contraseña es una característica ligera con un impacto mínimo en los usuarios finales, puede que sea necesario revertirla.
Para ello, es necesario que el administrador inicie sesión en el centro de administración de Microsoft Entra, seleccione los métodos de autenticación seguros que quiera y cambie la opción Habilitar a No. Este proceso desactiva la funcionalidad sin contraseña para todos los usuarios.
A los usuarios que ya han registrado dispositivos de seguridad FIDO2 se les pide que utilicen el dispositivo de seguridad en el siguiente inicio de sesión y, a continuación, se les muestra el siguiente error:
Creación de informes y supervisión
Microsoft Entra ID tiene informes que proporcionan información técnica y empresarial. Haga que los propietarios de las aplicaciones empresariales y técnicas asuman la propiedad de estos informes y los consuman en función de los requisitos de su organización.
En la tabla siguiente se proporcionan algunos ejemplos de escenarios de informes típicos:
Administración de los riesgos. | Aumento de la productividad | Gobernanza y cumplimiento | otro |
---|---|---|---|
Tipos de informes | Métodos de autenticación: usuarios registrados para el registro de seguridad combinado | Métodos de autenticación: usuarios registrados para la notificación de aplicaciones | Inicios de sesión: revisar quién tiene acceso al inquilino y cómo. |
Acciones posibles | Dirigirse a los usuarios no registrados todavía | Adopción de la aplicación Authenticator o claves de seguridad | Revocar el acceso o aplicar directivas de seguridad adicionales para administradores |
Uso y conclusiones del seguimiento
Microsoft Entra ID agrega entradas a los registros de auditoría cuando:
Un administrador realiza cambios en la sección Métodos de autenticación.
Un usuario realiza cualquier tipo de cambio en sus credenciales dentro de Microsoft Entra ID.
Un usuario habilita o deshabilita su cuenta en una clave de seguridad o restablece el segundo factor para la clave de seguridad en su máquina Win 10. Consulte los ID de evento: 4670 y 5382.
Microsoft Entra ID conserva la mayoría de los datos de auditoría durante 30 días y hace que estén disponibles en la API o el centro de administración de Microsoft Entra para que pueda descargarlos en sus sistemas de análisis. Si necesita una retención más larga, exporte y consuma los registros en una herramienta SIEM como Microsoft Sentinel, Splunk o Sumo Logic. Se recomienda una retención más larga para la auditoría, el análisis de tendencias y otras necesidades empresariales según corresponda.
Hay dos pestañas en el panel de actividad Métodos de autenticación: Registro y Uso.
En la pestaña Registro se muestra el número de usuarios que pueden realizar la autenticación sin contraseña, así como otros métodos de autenticación. En esta pestaña se muestran dos gráficos:
Usuarios registrados por método de autenticación.
Registro reciente por método de autenticación.
En la pestaña Uso se muestran los inicios de sesión por método de autenticación.
Para más información, consulte Seguimiento de los métodos de autenticación registrados y el uso en la organización de Microsoft Entra.
Informes de actividad de inicio de sesión
Use el informe de actividad de inicio de sesión para realizar un seguimiento de los métodos de autenticación usados para iniciar sesión en las distintas aplicaciones.
Seleccione la fila del usuario y, a continuación, seleccione la pestaña Detalles de la autenticación para ver qué método de autenticación se usó para qué actividad de inicio de sesión.