Compartir por


Aumento de la resistencia con la administración de credenciales

Cuando se presenta una credencial para Microsoft Entra ID en una solicitud de token, puede haber varias dependencias que deben estar disponibles para la validación. El primer factor de autenticación se basa en la autenticación de Microsoft Entra y, en algunos casos, en dependencias externas (que no son de Entra ID), como en la infraestructura local. Para más información sobre las arquitecturas de autenticación híbrida, consulte Aumento de la resistencia en la infraestructura híbrida.

La estrategia de credenciales más segura y resistente consiste en usar la autenticación sin contraseña. Windows Hello para empresas y claves de seguridad de llaves de acceso (FIDO 2.0) tienen menos dependencias que otros métodos de MFA. Para los usuarios de macOS, los clientes pueden habilitar credenciales de plataforma para macOS. Al implementar estos métodos, los usuarios pueden realizar una autenticación multifactor (MFA) segura sin contraseña y resistente a la suplantación de identidad.

Imagen de los métodos de autenticación preferidos y las dependencias

Sugerencia

Para obtener una serie de vídeos en profundidad sobre la implementación de estos métodos de autenticación, consulte Autenticación resistente a suplantación de identidad en Microsoft Entra ID

Si implementa un segundo factor, las dependencias del segundo factor se agregan a las de la primera. Por ejemplo, si el primer factor es mediante autenticación transferida (PTA) y el segundo factor es SMS, las dependencias son las siguientes.

  • Servicios de autenticación de Microsoft Entra
  • Servicios de autenticación multifactor de Microsoft Entra
  • Infraestructura local
  • Operador telefónico
  • Dispositivo del usuario (no ilustrado)

Imagen de los métodos de autenticación restantes y las dependencias.

La estrategia de credenciales debe tener en cuenta las dependencias de cada tipo de autenticación y aprovisionar métodos que eviten un único punto de error.

Dado que los métodos de autenticación tienen diferentes dependencias, es una buena idea permitir que los usuarios se registren para tantas opciones de segundo factor como sea posible. Asegúrese de incluir los segundos factores con diferentes dependencias, si es posible. Por ejemplo, las llamadas de voz y los SMS como segundos factores comparten las mismas dependencias, por lo que tenerlos como únicas opciones no mitiga el riesgo.

En el caso de los segundos factores, la aplicación Microsoft Authenticator u otras aplicaciones de autenticador que usan el código de acceso de un solo uso (TOTP) de duración definida o los tokens de hardware OAuth tienen el menor número de dependencias y, por lo tanto, son más resistentes.

Detalles adicionales sobre las dependencias externas (no de Entra)

Método de autenticación Dependencia externa (no de Entra) Más Información
Autenticación basada en certificados (CBA) En la mayoría de los casos (dependiendo de la configuración), CBA requerirá una comprobación de revocación. Esto agrega una dependencia externa en el punto de distribución CRL (CDP) Descripción del proceso de revocación de certificados
Autenticación transferida (PTA) PTA usa agentes locales para procesar la autenticación de contraseñas. ¿Cómo funciona la autenticación de tránsito de Microsoft Entra?
Federación Los servidores de federación deben estar en línea y disponibles para procesar el intento de autenticación Implementación de AD FS en Azure de alta disponibilidad entre regiones geográficas con Azure Traffic Manager
Métodos de autenticación externa (EAM) EAM proporciona una manera para que los clientes usen proveedores de MFA externos. Administración de un método de autenticación externo en Microsoft Entra ID (versión preliminar)

¿Cómo ayudan varias credenciales a la resistencia?

El aprovisionamiento de varios tipos de credenciales ofrece a los usuarios opciones que se adaptan a las preferencias y restricciones de sus entornos. Como resultado, la autenticación interactiva en la que se solicita a los usuarios la autenticación multifactor es más resistente a las dependencias específicas que no están disponibles en el momento de la solicitud. Puede optimizar los mensajes de reautenticación para Multi-Factor Authentication.

Además de la resistencia de usuario individual descrita anteriormente, las empresas deben planear las contingencias para interrupciones a gran escala, como errores operativos que introducen una configuración incorrectamente, un desastre natural o una interrupción de recursos de toda la empresa en un servicio de federación local (especialmente cuando se usa para la autenticación multifactor).

¿Cómo implementar credenciales resistentes?

Pasos siguientes

Recursos de resistencia para administradores y arquitectos

Recursos de resistencia para desarrolladores