Habilitar la autenticación multifactor por usuario de Microsoft Entra para proteger los eventos de inicio de sesión
Artikulua
Para proteger los eventos de inicio de sesión de usuario en Microsoft Entra ID, puedes requerir la autenticación multifactor (MFA) de Microsoft Entra. La mejor manera de proteger a los usuarios con MFA de Microsoft Entra es crear una directiva de acceso condicional. El acceso condicional es una característica de Microsoft Entra ID P1 o P2 que permite aplicar reglas para exigir MFA según sea necesario en determinados escenarios. Para empezar a usar el acceso condicional, consulte Tutorial: Protección de eventos de inicio de sesión de usuario con la autenticación multifactor de Microsoft Entra.
En el caso de inquilinos gratuitos de Microsoft Entra ID sin acceso condicional, puede usar valores predeterminados de seguridad para proteger a los usuarios. A los usuarios se les solicita MFA según sea necesario, pero no puede definir sus propias reglas para controlar el comportamiento.
Si es necesario, puedes habilitar cada cuenta para MFA de Microsoft Entra por usuario. Cuando se habilitan los usuarios individualmente, realizan MFA cada vez que inician sesión. Puedes habilitar excepciones, como cuando inician sesión desde direcciones IP de confianza, o cuando la función recordar MFA en dispositivos de confianza está activada.
En este artículo se detalla cómo ver y cambiar el estado de la autenticación multifactor de Microsoft Entra por usuario. Si usa el acceso condicional o los valores predeterminados de seguridad, no revise ni habilite las cuentas de usuario mediante estos pasos.
Al habilitar la autenticación multifactor de Microsoft Entra mediante una directiva de acceso condicional, no se cambia el estado del usuario. No se alarme si los usuarios aparecen deshabilitados. El acceso condicional no cambia el estado.
No habilite ni aplique la autenticación multifactor de Microsoft Entra por usuario si usa directivas de acceso condicional.
Estados de usuario de la autenticación multifactor de Microsoft Entra
El estado de un usuario refleja si un administrador de autenticación lo ha inscrito en la autenticación multifactor Microsoft Entra por usuario. Las cuentas de usuario de la autenticación multifactor de Microsoft Entra tienen los siguientes tres estados:
Valor
Descripción
Autenticación heredada afectada
Aplicaciones que son de explorador afectadas
Autenticación moderna afectada
Deshabilitado
Estado predeterminado de un usuario no inscrito en la autenticación multifactor de Microsoft Entra por usuario.
No
No
No
Habilitado
El usuario está inscrito en la autenticación multifactor de Microsoft Entra por usuario, pero puede seguir usando su contraseña en la autenticación heredada. Si el usuario no ha registrado métodos de autenticación MFA, recibirá un aviso para registrarse la próxima vez que inicie sesión con la autenticación moderna (como cuando inicia sesión en un explorador web).
No. La autenticación heredada sigue funcionando hasta que se completa el proceso de registro.
Sí. Una vez que expire la sesión, se requerirá el registro en la autenticación multifactor de Microsoft Entra.
Sí. Una vez que expire el token de acceso, se requerirá el registro en la autenticación multifactor de Microsoft Entra.
Aplicado
El usuario está inscrito por usuario en la autenticación multifactor de Microsoft Entra. Si el usuario no ha registrado métodos de autenticación, recibirá un aviso para registrarse la próxima vez que inicie sesión con la autenticación moderna (como cuando inicia sesión en un explorador web). Los usuarios que completen el registro mientras estén Habilitados pasarán automáticamente al estado Aplicado.
Sí. Las aplicaciones requieren contraseñas de aplicación.
Sí. Se requiere la autenticación multifactor de Microsoft Entra en el inicio de sesión.
Sí. Se requiere la autenticación multifactor de Microsoft Entra en el inicio de sesión.
Todos los usuarios comienzan con el estado Deshabilitado. Cuando se inscribe a los usuarios en la autenticación multifactor de Microsoft Entra por usuario, su estado cambia a Habilitado. Cuando los usuarios habilitados inician sesión y completan el proceso de registro, el estado cambia a Aplicado. Los administradores pueden mover a los usuarios entre estados, por ejemplo, de Enforced (Aplicado) a Habilitado o a Deshabilitado.
Oharra
Si MFP por usuario se vuelve a habilitar en un usuario y este no se registra de nuevo, su estado de MFA no pasa de Habilitado a Enforced (Aplicado) en la interfaz de usuario de administración de MFA. El administrador debe mover al usuario directamente a Enfoced (Aplicado).
Ver el estado de un usuario
Recientemente se ha mejorado la experiencia de administración de MFA por usuario en el Centro de administración Microsoft Entra. Para ver y administrar los estados de usuario, complete los siguientes pasos:
Selecciona una cuenta de usuario y seleccione Configuración de MFA de usuario.
Después de realizar los cambios, seleccione Guardar.
Si intentas ordenar miles de usuarios, el resultado podría devolver No hay usuarios que mostrar.
Intenta escribir criterios de búsqueda más específicos para restringir la búsqueda, o aplica filtros específicos de Estado o Vista.
Cambiar el estado de un usuario
Para cambiar el estado de la autenticación multifactor de Microsoft Entra por usuario de un usuario, realice los pasos siguientes:
Seleccione una cuenta de usuario y seleccione Habilitar MFA.
Eskupekoa
Los usuarios con estado Habilitado cambian automáticamente a Aplicado cuando se registran en la autenticación multifactor de Microsoft Entra. No cambie manualmente el estado del usuario a Enforced (Aplicado) a menos que el usuario ya esté registrado o si es admisible que experimente interrupciones en las conexiones a protocolos de autenticación heredados.
Confirme la selección en la ventana emergente que se abre.
Después de habilitar a los usuarios, notifícaselo por correo electrónico. Indique a los usuarios que aparecerá un mensaje para solicitarles que se registren la próxima vez que inicien sesión. Si tu organización usa aplicaciones que no se ejecutan en un explorador o admiten la autenticación moderna, puedes crear contraseñas de aplicación. Para obtener más información, consulta Aplicación de la autenticación multifactor de Microsoft Entra con aplicaciones heredadas mediante contraseñas de aplicación.
Uso de Microsoft Graph para administrar la autenticación multifactor por usuario
Puedes administrar la configuración de la autenticación multifactor por usuario mediante la versión beta de la API REST de Microsoft Graph. Puedes usar el tipo de recurso de autenticación a fin de exponer los estados del método de autenticación para los usuarios.
Para administrar la autenticación multifactor por usuario, usa la propiedad perUserMfaState en users/id/authentication/requirements. Para obtener más información, consulta Tipo de recurso strongAuthenticationRequirements.
Visualización del estado de la autenticación multifactor por usuario
A fin de recuperar el estado de autenticación multifactor por usuario para un usuario, haz lo siguiente:
HTTP
GET /users/{id | userPrincipalName}/authentication/requirements
Por ejemplo:
HTTP
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Si el usuario está habilitado para MFA por usuario, la respuesta es la siguiente:
HTTP
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.
Obtenga información sobre las consideraciones de implementación y la estrategia para una implementación correcta de la autenticación multifactor de Microsoft Entra
Aprenda a administrar de forma centralizada la autenticación multifactor y la configuración de autoservicio de restablecimiento de contraseña (SSPR) en la directiva de métodos de autenticación.
Aprenda de qué forma la autenticación multifactor de Microsoft Entra ayuda a proteger el acceso a los datos y las aplicaciones, además de satisfacer la demanda de los usuarios de un proceso de inicio de sesión simple.