Compartir vía


Habilitar la autenticación multifactor por usuario de Microsoft Entra para proteger los eventos de inicio de sesión

Para proteger los eventos de inicio de sesión de usuario en Microsoft Entra ID, puedes requerir la autenticación multifactor (MFA) de Microsoft Entra. La mejor manera de proteger a los usuarios con MFA de Microsoft Entra es crear una directiva de acceso condicional. El acceso condicional es una característica de Microsoft Entra ID P1 o P2 que permite aplicar reglas para exigir MFA según sea necesario en determinados escenarios. Para empezar a usar el acceso condicional, consulte Tutorial: Protección de eventos de inicio de sesión de usuario con la autenticación multifactor de Microsoft Entra.

En el caso de inquilinos gratuitos de Microsoft Entra ID sin acceso condicional, puede usar valores predeterminados de seguridad para proteger a los usuarios. A los usuarios se les solicita MFA según sea necesario, pero no puede definir sus propias reglas para controlar el comportamiento.

Si es necesario, puedes habilitar cada cuenta para MFA de Microsoft Entra por usuario. Cuando se habilitan los usuarios individualmente, realizan MFA cada vez que inician sesión. Puedes habilitar excepciones, como cuando inician sesión desde direcciones IP de confianza, o cuando la función recordar MFA en dispositivos de confianza está activada.

No se recomienda cambiar los estados del usuario a menos que las licencias de Microsoft Entra ID no incluyan acceso condicional y no quiera usar los valores predeterminados de seguridad. Para más información sobre las distintas formas de habilitar MFA, consulte Características y licencias de la autenticación multifactor de Microsoft Entra.

Importante

En este artículo se detalla cómo ver y cambiar el estado de la autenticación multifactor de Microsoft Entra por usuario. Si usa el acceso condicional o los valores predeterminados de seguridad, no revise ni habilite las cuentas de usuario mediante estos pasos.

Al habilitar la autenticación multifactor de Microsoft Entra mediante una directiva de acceso condicional, no se cambia el estado del usuario. No se alarme si los usuarios aparecen deshabilitados. El acceso condicional no cambia el estado.

No habilite ni aplique la autenticación multifactor de Microsoft Entra por usuario si usa directivas de acceso condicional.

Estados de usuario de la autenticación multifactor de Microsoft Entra

El estado de un usuario refleja si un administrador de autenticación lo ha inscrito en la autenticación multifactor Microsoft Entra por usuario. Las cuentas de usuario de la autenticación multifactor de Microsoft Entra tienen los siguientes tres estados:

Valor Descripción Autenticación heredada afectada Aplicaciones que son de explorador afectadas Autenticación moderna afectada
Deshabilitado Estado predeterminado de un usuario no inscrito en la autenticación multifactor de Microsoft Entra por usuario. No N.º No
Habilitado El usuario está inscrito en la autenticación multifactor de Microsoft Entra por usuario, pero puede seguir usando su contraseña en la autenticación heredada. Si el usuario no ha registrado métodos de autenticación MFA, recibirá un aviso para registrarse la próxima vez que inicie sesión con la autenticación moderna (como cuando inicia sesión en un explorador web). No. La autenticación heredada sigue funcionando hasta que se completa el proceso de registro. Sí. Una vez que expire la sesión, se requerirá el registro en la autenticación multifactor de Microsoft Entra. Sí. Una vez que expire el token de acceso, se requerirá el registro en la autenticación multifactor de Microsoft Entra.
Aplicado El usuario está inscrito por usuario en la autenticación multifactor de Microsoft Entra. Si el usuario no ha registrado métodos de autenticación, recibirá un aviso para registrarse la próxima vez que inicie sesión con la autenticación moderna (como cuando inicia sesión en un explorador web). Los usuarios que completen el registro mientras estén Habilitados pasarán automáticamente al estado Aplicado. Sí. Las aplicaciones requieren contraseñas de aplicación. Sí. Se requiere la autenticación multifactor de Microsoft Entra en el inicio de sesión. Sí. Se requiere la autenticación multifactor de Microsoft Entra en el inicio de sesión.

Todos los usuarios comienzan con el estado Deshabilitado. Cuando se inscribe a los usuarios en la autenticación multifactor de Microsoft Entra por usuario, su estado cambia a Habilitado. Cuando los usuarios habilitados inician sesión y completan el proceso de registro, el estado cambia a Aplicado. Los administradores pueden mover a los usuarios entre estados, por ejemplo, de Enforced (Aplicado) a Habilitado o a Deshabilitado.

Nota:

Si MFP por usuario se vuelve a habilitar en un usuario y este no se registra de nuevo, su estado de MFA no pasa de Habilitado a Enforced (Aplicado) en la interfaz de usuario de administración de MFA. El administrador debe mover al usuario directamente a Enfoced (Aplicado).

Ver el estado de un usuario

Recientemente se ha mejorado la experiencia de administración de MFA por usuario en el Centro de administración Microsoft Entra. Para ver y administrar los estados de usuario, complete los siguientes pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya aIdentidad>Usuarios>Todos los usuarios.

  3. Selecciona una cuenta de usuario y haz clic en Configuración de MFA de usuario.

  4. Después de realizar cualquier cambio, haz clic en Guardar.

    Captura de pantalla que muestra un ejemplo de configuración de MFA para un usuario.

    Si intentas ordenar miles de usuarios, el resultado podría devolver No hay usuarios que mostrar. Intenta escribir criterios de búsqueda más específicos para restringir la búsqueda, o aplica filtros específicos de Estado o Vista.

    Captura de pantalla que muestra un ejemplo de cómo filtrar una ordenación de usuario grande.

Durante la transición a la nueva experiencia de MFA por usuario, también puedes acceder a la experiencia de MFA por usuario heredada. El formato es:

https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}

Para obtener userTenantID, copia el Id. de inquilino en la página Información general del Centro de administración Microsoft Entra. A continuación, sigue estos pasos para ver el estado de un usuario con la experiencia heredada:

  1. Inicia sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.
  2. Vaya aIdentidad>Usuarios>Todos los usuarios.
  3. Seleccione MFA por usuario. Captura de pantalla de selección de autenticación multifactor por usuario.
  4. Se abre una nueva página que muestra el estado del usuario, tal y como se muestra en el ejemplo siguiente. Captura de pantalla que muestra información de ejemplo del estado del usuario de la autenticación multifactor de Microsoft Entra.

Cambiar el estado de un usuario

Para cambiar el estado de la autenticación multifactor de Microsoft Entra por usuario de un usuario, realice los pasos siguientes:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya aIdentidad>Usuarios>Todos los usuarios.

  3. Selecciona una cuenta de usuario y haz clic en Habilitar MFA. Captura de pantalla que muestra cómo habilitar un usuario para la autenticación multifactor de Microsoft Entra.

    Sugerencia

    Los usuarios con estado Habilitado cambian automáticamente a Aplicado cuando se registran en la autenticación multifactor de Microsoft Entra. No cambie manualmente el estado del usuario a Enforced (Aplicado) a menos que el usuario ya esté registrado o si es admisible que experimente interrupciones en las conexiones a protocolos de autenticación heredados.

  4. Confirme la selección en la ventana emergente que se abre.

Después de habilitar a los usuarios, notifícaselo por correo electrónico. Indique a los usuarios que aparecerá un mensaje para solicitarles que se registren la próxima vez que inicien sesión. Si tu organización usa aplicaciones que no se ejecutan en un explorador o admiten la autenticación moderna, puedes crear contraseñas de aplicación. Para obtener más información, consulta Aplicación de la autenticación multifactor de Microsoft Entra con aplicaciones heredadas mediante contraseñas de aplicación.

Uso de Microsoft Graph para administrar la autenticación multifactor por usuario

Puedes administrar la configuración de la autenticación multifactor por usuario mediante la versión beta de la API REST de Microsoft Graph. Puedes usar el tipo de recurso de autenticación a fin de exponer los estados del método de autenticación para los usuarios.

Para administrar la autenticación multifactor por usuario, usa la propiedad perUserMfaState en users/id/authentication/requirements. Para obtener más información, consulta Tipo de recurso strongAuthenticationRequirements.

Visualización del estado de la autenticación multifactor por usuario

A fin de recuperar el estado de autenticación multifactor por usuario para un usuario, haz lo siguiente:

GET /users/{id | userPrincipalName}/authentication/requirements

Por ejemplo:

GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements

Si el usuario está habilitado para MFA por usuario, la respuesta es la siguiente:

HTTP/1.1 200 OK
Content-Type: application/json

{
  "perUserMfaState": "enforced"
}

Para obtener más información, consulta: Obtención de los estados de métodos de autenticación.

Cambio del estado de MFA para un usuario

Para cambiar el estado de autenticación multifactor de un usuario, usa strongAuthenticationRequirements del usuario. Por ejemplo:

PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json

{
  "perUserMfaState": "disabled"
}

Si se ejecuta correctamente, la respuesta es la siguiente:

HTTP/1.1 204 No Content

Para obtener más información, consulta: Actualización de los estados de métodos de autenticación.

Pasos siguientes

Para configurar las opciones de la autenticación multifactor de Microsoft Entra, consulte Configurar las opciones de la autenticación multifactor de Microsoft Entra.

Para administrar la configuración del usuario de la autenticación multifactor de Microsoft Entra, consulte Administración de la configuración del usuario con la autenticación multifactor de Microsoft Entra.

Para saber por qué se ha solicitado o no a un usuario que realice MFA, consulte Informes de la autenticación multifactor de Microsoft Entra.