Cómo funciona la intensidad de autenticación de acceso condicional para usuarios externos
La directiva de métodos de autenticación es especialmente útil para restringir el acceso externo a aplicaciones confidenciales de la organización, ya que permite aplicar métodos de autenticación específicos, como métodos resistentes a la suplantación de identidad (phishing), para usuarios externos.
Cuando se aplica una directiva de acceso condicional de intensidad de autenticación a usuarios externos de Microsoft Entra, la directiva funciona junto con la configuración de confianza de la MFA en la configuración de acceso entre inquilinos para determinar dónde y cómo debe realizar la MFA el usuario externo. Un usuario de Microsoft Entra se autentica en su inquilino de Microsoft Entra principal. Después, cuando accede al recurso, Microsoft Entra ID aplica la directiva y comprueba si se ha habilitado la confianza de la MFA. Tenga en cuenta que habilitar la confianza de MFA es opcional para la colaboración B2B, pero es necesario para la conexión directa B2B.
En escenarios de usuario externo, los métodos de autenticación que cumplen la intensidad de autenticación varían, en función de si el usuario está completando MFA en su inquilino principal o en el inquilino de recursos. En la tabla siguiente se indican los métodos permitidos en cada inquilino. Si un inquilino de recursos ha optado por confiar en las notificaciones de organizaciones externas de Microsoft Entra ID, solo el inquilino de recursos aceptará para la MFA las notificaciones enumeradas en la columna "Inquilino principal" que aparece a continuación. Si el inquilino de recursos ha deshabilitado la confianza de MFA, el usuario externo debe completar MFA en el inquilino de recursos mediante uno de los métodos enumerados en la columna "Inquilino de recursos".
Método de autenticación | Inquilino principal | Inquilino de recursos |
---|---|---|
Mensaje de texto como segundo factor | ✅ | ✅ |
Llamada de voz | ✅ | ✅ |
Notificación de inserción de Microsoft Authenticator | ✅ | ✅ |
Inicio de sesión en el teléfono de Microsoft Authenticator | ✅ | |
Token de software OATH | ✅ | ✅ |
Token de hardware OATH | ✅ | |
Clave de seguridad FIDO2 | ✅ | |
Windows Hello para empresas | ✅ | |
Autenticación basada en certificados | ✅ |
Para más información sobre cómo establecer niveles de intensidad de autenticación para usuarios externos, consulte Acceso condicional: Requerir una seguridad de autenticación para usuarios externos.
Experiencia de usuario para los usuarios externos
Una directiva de acceso condicional de intensidad de autenticación funciona junto con la configuración de confianza de MFA en la configuración de acceso entre inquilinos. En primer lugar, un usuario de Microsoft Entra se autentica con su propia cuenta en su inquilino principal. Después, cuando este usuario intenta acceder al recurso, Microsoft Entra ID aplica la directiva de acceso condicional de seguridad de autenticación y comprueba si se ha habilitado la confianza de MFA.
- Si la confianza de MFA está habilitada, Microsoft Entra ID comprueba la sesión de autenticación del usuario para obtener una notificación que indica que se ha cumplido la MFA en el inquilino principal del usuario. Consulte la tabla anterior para ver los métodos de autenticación que son aceptables para MFA cuando se completa en el inquilino principal de un usuario externo. Si la sesión contiene una notificación que indica que las directivas de MFA ya se han cumplido en el inquilino principal del usuario, y los métodos cumplen los requisitos de intensidad de autenticación, se permite el acceso al usuario. De lo contrario, Microsoft Entra ID presenta al usuario un desafío para completar la MFA en el inquilino principal mediante un método de autenticación aceptable.
- Si la confianza de la MFA está deshabilitada, Microsoft Entra ID presenta al usuario un desafío para completar la MFA en el inquilino del recurso mediante un método de autenticación aceptable. Consulte la tabla anterior para conocer los métodos de autenticación que son aceptables para la MFA por parte de un usuario externo.