Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator

Microsoft Authenticator se puede utilizar para iniciar sesión en cualquier cuenta de Microsoft Entra sin utilizar una contraseña. Microsoft Authenticator usa la autenticación basada en claves para habilitar una credencial de usuario vinculada a un dispositivo que usa un PIN o un elemento biométrico. Windows Hello para empresas usa una tecnología similar.

Esta tecnología de autenticación se puede usar en cualquier plataforma de dispositivos, incluidas plataformas para dispositivos móviles. Esta tecnología también se puede usar con cualquier aplicación o sitio web que se integre con las bibliotecas de autenticación de Microsoft.

Las personas que habilitaron el inicio de sesión en el teléfono desde Authenticator ven un mensaje que les pide que pulsen un número en su aplicación. No se solicita ningún nombre de usuario ni contraseña. Para completar el proceso de inicio de sesión en la aplicación, el usuario debe realizar las siguientes acciones:

1. Indique el número que se ve en la pantalla de inicio de sesión en el cuadro de diálogo referente a la aplicación Authenticator.
2. Elija Aprobar.
3. Proporcione su PIN o elemento biométrico.

Varias cuentas

Puede habilitar el inicio de sesión telefónico sin contraseña para varias cuentas en Microsoft Authenticator en cualquier dispositivo Android o iOS compatible. Los consultores, los alumnos y otros con varias cuentas de Microsoft Entra ID pueden agregar las cuentas a Microsoft Authenticator y usar el inicio de sesión telefónico sin contraseña para todas ellas desde el mismo dispositivo.

Anteriormente, los administradores podían no requerir el inicio de sesión sin contraseña para los usuarios con varias cuentas, ya que requiere que tengan más dispositivos para el inicio de sesión. Al quitar la limitación del inicio de sesión de un usuario desde un dispositivo, los administradores pueden animar a los usuarios a registrar el inicio de sesión telefónico sin contraseña y usarlo como método de inicio de sesión predeterminado.

Las cuentas de Microsoft Entra pueden estar en el mismo inquilino o en inquilinos diferentes. No se admiten cuentas de invitado para los inicios de sesión de varias cuentas desde un dispositivo.

Requisitos previos

Para usar el inicio de sesión telefónico sin contraseña con Authenticator, se deben cumplir los siguientes requisitos previos:

• Recomendado: autenticación multifactor de Microsoft Entra, con notificaciones de inserción permitidas como método de verificación. Las notificaciones de inserción en su smartphone o tableta ayudan a la aplicación Authenticator a impedir el acceso no autorizado a las cuentas y a detener las transacciones fraudulentas. La aplicación Authenticator genera automáticamente códigos cuando se configuran para realizar notificaciones push. Un usuario tiene un método de inicio de sesión de copia de seguridad incluso si su dispositivo no tiene conectividad.
• Tener instalada la versión más reciente de Microsoft Authenticator en dispositivos con iOS o Android.
• El dispositivo debe registrarse en cada inquilino donde se usa para iniciar sesión. Por ejemplo, el siguiente dispositivo debe registrarse en Contoso y Wingtiptoys para permitir que todas las cuentas inicien sesión:
  • balas@contoso.com
  • balas@wingtiptoys.com y bsandhu@wingtiptoys

Para usar la autenticación sin contraseña en Microsoft Entra ID, habilite primero la experiencia de registro combinado y, luego, el método sin contraseña para los usuarios.

Habilitación de métodos de autenticación de inicio de sesión en el teléfono sin contraseña

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Microsoft Entra ID permite a los administradores de directivas de autenticación elegir qué métodos de autenticación se pueden usar para iniciar sesión. Pueden habilitar Microsoft Authenticator en la directiva de métodos de autenticación para administrar tanto el método tradicional de inserción de MFA como el método de autenticación sin contraseña.

Una vez habilitado Microsoft Authenticator como método de autenticación, los usuarios pueden ir a su información de seguridad para registrar Microsoft Authenticator como una manera de iniciar sesión. Verán que Microsoft Authenticator aparece como un método en la información de seguridad. Por ejemplo, verán Microsoft Authenticator-sin contraseña o Microsoft Authenticator-inserción de MFA en función de lo que esté habilitado y registrado.

Siga estos pasos para habilitar el método de autenticación para el inicio de sesión en teléfono sin contraseña:

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

2. Vaya a Protección>Métodos de autenticación>Directivas.

3. En Microsoft Authenticator, elija las opciones siguientes:

   1. Habilitar: Sí o No
   2. Destino: Todos los usuarios o Seleccionar usuarios

4. Cada grupo o usuario agregado está habilitado de manera predeterminada para usar Microsoft Authenticator en los modos de notificación push y sin contraseña (modo "Cualquiera"). A fin de cambiar el modo, para cada fila del Modo de autenticación, elija Cualquiera o Sin contraseña. Al elegir Insertar se impide el uso de la credencial de inicio de sesión telefónico sin contraseña.

5. Para aplicar la nueva directiva, haga clic en Guardar.

   Nota:

   Si ve un error al intentar guardar, la causa podría deberse al número de usuarios o grupos que se agregan. Como solución alternativa, reemplace los usuarios y grupos que está intentando agregar por un único grupo en la misma operación y, después, seleccione Guardar otra vez.

Registro de usuarios

Los usuarios se registran directamente en el método de autenticación sin contraseña de Microsoft Entra ID. Para los usuarios que ya han registrado la aplicación Microsoft Authenticator para la autenticación multifactor, vaya a la sección siguiente, Habilitación del inicio de sesión en el teléfono.

Registro directo de inicio de sesión telefónico

Los usuarios pueden registrarse para el inicio de sesión telefónico sin contraseña directamente en la aplicación Microsoft Authenticator sin necesidad de registrar Microsoft Authenticator en su cuenta, todo esto sin adquirir jamás una contraseña. A continuación, se indica cómo puede hacerlo:

1. Adquiera un pase de acceso temporal del administrador o la organización.
2. Descargue e instale la aplicación Microsoft Authenticator en su dispositivo móvil.
3. Abra Microsoft Authenticator y haga clic en Agregar cuenta y, después, elija Cuenta profesional o educativa.
4. Elija Iniciar sesión.
5. Siga las instrucciones para iniciar sesión con su cuenta mediante el pase de acceso temporal proporcionado por el administrador o la organización.
6. Una vez que haya iniciado sesión, siga los pasos adicionales para configurar el inicio de sesión telefónico.

Registro guiado con Mis inicios de sesión

Nota:

Los usuarios solo podrán registrar Microsoft Authenticator mediante el registro combinado si el modo de autenticación de Microsoft Authenticator está en Cualquiera o Inserción.

Para registrar la aplicación Microsoft Authenticator, siga estos pasos:

1. Vaya a https://aka.ms/mysecurityinfo.
2. Inicie sesión y, después, seleccione Agregar método>Aplicación Authenticator>Agregar para agregar Microsoft Authenticator.
3. Siga las instrucciones para instalar y configurar la aplicación Microsoft Authenticator en el dispositivo.
4. Seleccione Listo para completar la configuración de Microsoft Authenticator.

Habilitación de inicio de sesión telefónico

Una vez que los usuarios se hayan registrado en la aplicación Microsoft Authenticator, deben habilitar el inicio de sesión en el teléfono:

1. En Microsoft Authenticator, seleccione la cuenta registrada.
2. Seleccione Habilitar inicio de sesión en el teléfono.
3. Siga las instrucciones de la aplicación para terminar de registrar la cuenta para el inicio de sesión en el teléfono sin contraseña.

Una organización puede dirigir a sus usuarios para que inicien sesión con sus teléfonos, sin usar una contraseña. Para obtener más información sobre la configuración de Microsoft Authenticator y la habilitación del inicio de sesión en el teléfono, vea Inicio de sesión en sus cuentas mediante la aplicación Microsoft Authenticator.

Nota:

Los usuarios a los que la directiva no permite usar el inicio de sesión con el teléfono ya no pueden habilitarlo en la aplicación Authenticator.

Inicio de sesión con credenciales sin contraseña

Un usuario puede empezar a emplear el inicio de sesión sin contraseña una vez completadas todas las acciones siguientes:

• Un administrador ha habilitado el inquilino del usuario.
• El usuario ha añadido la aplicación Authenticator como método de inicio de sesión.

La primera vez que un usuario inicia el proceso de inicio de sesión en el teléfono, realiza los pasos siguientes:

1. Escribe su nombre en la página de inicio de sesión.
2. Seleccione Siguiente.
3. Si es necesario, selecciona Otras formas de iniciar sesión.
4. Seleccione Aprobar una solicitud en la aplicación Authenticator.

Después, se presenta un número al usuario. La aplicación solicita al usuario que se autentique y escriba el número adecuado, en lugar de una contraseña.

Una vez que el usuario ha utilizado el inicio de sesión en el teléfono sin contraseña, la aplicación continúa guiando al usuario por este método. El usuario también verá la opción para elegir otro método.

Pase de acceso temporal

Si el administrador de inquilinos ha habilitado el autoservicio de restablecimiento de contraseña (SSPR) y un usuario está configurando el inicio de sesión sin contraseña con la aplicación Authenticator por primera vez mediante una contraseña de acceso temporal, se deben seguir los pasos siguientes:

1. El usuario debe abrir un explorador en un dispositivo móvil o un escritorio y navegar a la página de información de mySecurity.
2. El usuario debe registrar la aplicación Authenticator como método de inicio de sesión. Esta acción vincula la cuenta del usuario a la aplicación.
3. Después, el usuario debe volver a su dispositivo móvil y activar el inicio de sesión sin contraseña a través de la aplicación Authenticator.

Administración

La directiva de métodos de autenticación es la manera recomendada de administrar Microsoft Authenticator. Los administradores de directivas de autenticación pueden editar esta directiva para que habilite o deshabilite Microsoft Authenticator. Los administradores pueden incluir o excluir a usuarios y grupos específicos de su uso.

Los administradores también pueden configurar parámetros para controlar mejor cómo se puede usar Microsoft Authenticator. Por ejemplo, pueden agregar la ubicación o el nombre de la aplicación a la solicitud de inicio de sesión para que los usuarios tengan un contexto mayor antes de aprobarla.

Problemas conocidos

Existen los siguientes problemas conocidos.

No se ve la opción para el inicio de sesión con el teléfono sin contraseña.

En un escenario, un usuario puede tener una verificación de inicio de sesión en el teléfono sin contraseña que está pendiente de respuesta. Si el usuario intenta iniciar sesión de nuevo, es posible que solo vea la opción de escribir una contraseña.

Siga estos pasos para resolver este escenario:

1. Abrir la aplicación Authenticator.
2. Responder a los mensajes de notificación.

Después, el usuario puede continuar usando el inicio de sesión en el teléfono sin contraseña.

No se admite AuthenticatorAppSignInPolicy

AuthenticatorAppSignInPolicy es una directiva heredada no admitida con Microsoft Authenticator. Para habilitar a los usuarios para que puedan usar notificaciones de inserción o inicio de sesión telefónico sin contraseña con la aplicación Authenticator, use la directiva Métodos de autenticación.

Cuentas federadas

Cuando un usuario ha habilitado una credencial sin contraseña, el proceso de inicio de sesión de Microsoft Entra deja de usar login_hint. Por lo tanto, el proceso ya no guía al usuario hacia una ubicación de inicio de sesión federada.

Por lo general, esta lógica impide que se dirija a un usuario de un inquilino híbrido a Active Directory Federated Services (AD FS) para la verificación del inicio de sesión. Pero el usuario sigue teniendo la opción de hacer clic en Use su contraseña en su lugar.

Usuarios locales

Se puede habilitar la autenticación multifactor para un usuario final mediante un proveedor de identidades local. El usuario puede seguir creando y usando una única credencial de inicio de sesión de teléfono sin contraseña.

Si el usuario intenta actualizar varias instalaciones (más de 5) de la aplicación Authenticator con la credencial de inicio de sesión en el teléfono sin contraseña, este cambio puede dar lugar a un error.

Pasos siguientes

Para obtener información sobre la autenticación de Microsoft Entra y los métodos sin contraseña, vea los siguientes artículos:

• Más información sobre cómo funciona la autenticación con contraseñas
• Más información sobre el registro de dispositivos
• Más información sobre la autenticación multifactor de Microsoft Entra