¿Qué es la autenticación de Microsoft Entra?
Una de las principales características de una plataforma de identidad es comprobar, o autenticar, las credenciales cuando un usuario inicia sesión en un dispositivo, una aplicación o un servicio. En microsoft Entra ID, la autenticación implica algo más que la comprobación de un nombre de usuario y una contraseña. Para mejorar la seguridad y reducir la necesidad de asistencia al departamento de soporte técnico, la autenticación de Microsoft Entra incluye los siguientes componentes:
- Restablecimiento de la contraseña de autoservicio
- Autenticación multifactor de Microsoft Entra
- Integración híbrida para volver a escribir los cambios de contraseña en el entorno local
- Integración híbrida para aplicar directivas de protección de contraseñas para un entorno local
- Autenticación sin contraseña
Eche un vistazo a nuestro breve vídeo para obtener más información sobre estos componentes de autenticación.
Mejora de la experiencia del usuario final
Microsoft Entra ID ayuda a proteger la identidad de un usuario y a simplificar su experiencia de inicio de sesión. Las características como el autoservicio de restablecimiento de contraseña permiten a los usuarios actualizar o cambiar sus contraseñas mediante un explorador web desde cualquier dispositivo. Esta característica es especialmente útil cuando el usuario ha olvidado su contraseña o su cuenta está bloqueada. Sin esperar a que un departamento de soporte técnico o administrador proporcione soporte técnico, un usuario puede desbloquearse y seguir trabajando.
La autenticación multifactor de Microsoft Entra permite a los usuarios elegir una forma adicional de autenticación durante el inicio de sesión, como una llamada telefónica o una notificación de aplicación móvil. Esta capacidad reduce el requisito de una única forma fija de autenticación secundaria, como un token de hardware. Si el usuario no tiene actualmente una forma de autenticación adicional, puede elegir otro método y seguir funcionando.
La autenticación sin contraseña elimina la necesidad de que el usuario cree y recuerde una contraseña segura. Las funcionalidades como Windows Hello para empresas o las claves de seguridad FIDO2 permiten a los usuarios iniciar sesión en un dispositivo o aplicación sin contraseña. Esta capacidad puede reducir la complejidad de administrar contraseñas en distintos entornos.
Restablecimiento de la contraseña de autoservicio
El autoservicio de restablecimiento de contraseña ofrece a los usuarios la posibilidad de cambiar o restablecer su contraseña, sin intervención del administrador ni del departamento de soporte técnico. Si la cuenta de un usuario está bloqueada o olvida su contraseña, puede seguir las indicaciones para desbloquearse y volver a trabajar. Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación.
El autoservicio de restablecimiento de contraseña funciona en los escenarios siguientes:
- cambio de contraseña: cuando un usuario conoce su contraseña, pero quiere cambiarla a algo nuevo.
- Restablecimiento de contraseña: cuando un usuario no puede iniciar sesión, como cuando olvidó la contraseña y quiere restablecer su contraseña.
- Desbloqueo de cuenta: cuando un usuario no puede iniciar sesión porque su cuenta está bloqueada y desea desbloquear su cuenta.
Cuando un usuario actualiza o restablece su contraseña mediante el autoservicio de restablecimiento de contraseña, esa contraseña también se puede escribir en un entorno de Active Directory local. La escritura diferida de contraseñas garantiza que un usuario pueda usar inmediatamente sus credenciales actualizadas con aplicaciones y dispositivos locales.
Autenticación multifactor de Microsoft Entra
La autenticación multifactor es un proceso en el que se solicita a un usuario durante el proceso de inicio de sesión una forma adicional de identificación, como escribir un código en su teléfono móvil o proporcionar un examen de huellas digitales.
Si solo usa una contraseña para autenticar a un usuario, deja un vector inseguro para el ataque. Si la contraseña es débil o se ha expuesto en otro lugar, ¿es realmente el usuario que inicia sesión con el nombre de usuario y la contraseña, o es un atacante? Cuando se requiere una segunda forma de autenticación, se aumenta la seguridad, ya que este factor adicional no es algo fácil para que un atacante obtenga o duplique.
La autenticación multifactor de Microsoft Entra funciona al requerir dos o más de los métodos de autenticación siguientes:
- Algo que sabes, normalmente una contraseña.
- Algo que tenga, como un dispositivo de confianza que no se puede duplicar fácilmente, como un teléfono o una clave de hardware.
- Algo que usted es - biometría como una huella digital o un reconocimiento facial.
Los usuarios pueden registrarse para el autoservicio de restablecimiento de contraseña y la autenticación multifactor de Microsoft Entra en un paso para simplificar la experiencia de incorporación. Los administradores pueden definir qué formas de autenticación secundaria se pueden usar. La autenticación multifactor de Microsoft Entra también puede ser necesaria cuando los usuarios realizan un autoservicio de restablecimiento de contraseña para proteger aún más ese proceso.
Protección con contraseña
De forma predeterminada, el identificador de Microsoft Entra bloquea contraseñas no seguras, como Password1. Una lista global de contraseñas prohibidas se actualiza automáticamente y se aplica que incluye contraseñas no seguras conocidas. Si un usuario de Microsoft Entra intenta establecer su contraseña en una de estas contraseñas no seguras, recibirá una notificación para elegir una contraseña más segura.
Para aumentar la seguridad, puede definir directivas de protección con contraseña personalizadas. Estas directivas pueden usar filtros para bloquear cualquier variación de una contraseña que contenga un nombre como Contoso o una ubicación como Londres, por ejemplo.
Para la seguridad híbrida, puede integrar la protección con contraseña de Microsoft Entra con un entorno de Active Directory local. Un componente instalado en el entorno local recibe la lista global de contraseñas prohibidas y las directivas de protección de contraseñas personalizadas de Microsoft Entra ID, y los controladores de dominio los usan para procesar eventos de cambio de contraseña. Este enfoque híbrido garantiza que, independientemente de cómo o dónde cambia una credencial un usuario, aplique el uso de contraseñas seguras.
Autenticación sin contraseña
El objetivo final de muchos entornos es quitar el uso de contraseñas como parte de los eventos de inicio de sesión. Las características como la protección con contraseña de Azure o la autenticación multifactor de Microsoft Entra ayudan a mejorar la seguridad, pero un nombre de usuario y una contraseña siguen siendo una forma débil de autenticación que se puede exponer o atacar por fuerza bruta.
sin contraseña
Al iniciar sesión con un método sin contraseña, se proporcionan credenciales mediante métodos como la biometría con Windows Hello para empresas o una clave de seguridad FIDO2. Un atacante no puede duplicar fácilmente estos métodos de autenticación.
Microsoft Entra ID proporciona maneras de autenticarse de forma nativa mediante métodos sin contraseña para simplificar la experiencia de inicio de sesión para los usuarios y reducir el riesgo de ataques.
Pasos siguientes
Para comenzar, vea el tutorial para el restablecimiento de contraseñas de autoservicio (SSPR) y autenticación multifactor de Microsoft Entra.
Para obtener más información sobre los conceptos de restablecimiento de contraseña de autoservicio, consulte cómo funciona el restablecimiento de contraseña de autoservicio de Microsoft Entra.
Para obtener más información sobre los conceptos de autenticación multifactor, consulte Funcionamiento de la autenticación multifactor de Microsoft Entra.