Compartir a través de


Intensidad de autenticación de acceso condicional

La intensidad de autenticación es un control de acceso condicional que especifica qué combinaciones de métodos de autenticación se pueden usar para acceder a un recurso. Los usuarios pueden cumplir los requisitos de intensidad si se autentican con cualquiera de las combinaciones permitidas.

Por ejemplo, una intensidad de autenticación puede requerir que solo se usen métodos de autenticación resistentes a suplantación de identidad para acceder a un recurso confidencial. Para acceder a un recurso no confidencial, los administradores pueden crear otra intensidad de autenticación que permita combinaciones de autenticación multifactor (MFA) menos seguras, como contraseña + mensaje de texto.

La intensidad de autenticación se basa en la directiva de métodos de autenticación, en la que los administradores pueden definir el ámbito de los métodos de autenticación para usuarios y grupos específicos para usarlos en aplicaciones federadas de Microsoft Entra ID. La intensidad de autenticación permite un mayor control sobre el uso de estos métodos en función de escenarios específicos, como el acceso a recursos confidenciales, el riesgo del usuario, la ubicación, etc.

Escenarios para los niveles de intensidad de autenticación

Las intensidades de autenticación pueden ayudar a los clientes a abordar escenarios como estos:

  • Requerir métodos de autenticación específicos para acceder a un recurso confidencial.
  • Requerir un método de autenticación específico cuando un usuario realiza una acción confidencial dentro de una aplicación (en combinación con el contexto de autenticación de acceso condicional).
  • Requerir que los usuarios usen un método de autenticación específico cuando accedan a aplicaciones confidenciales fuera de la red corporativa.
  • Requerir métodos de autenticación más seguros para los usuarios de alto riesgo.
  • Requerir métodos de autenticación específicos a los usuarios invitados que acceden a un inquilino de recursos (en combinación con los valores de configuración entre inquilinos).

Niveles de intensidad de autenticación

Los administradores pueden especificar una intensidad de autenticación para acceder a un recurso mediante la creación de una directiva de acceso condicional con el control Require authentication strength (Requerir intensidad de autenticación). Pueden elegir entre tres niveles de intensidad de autenticación integrados: intensidad de autenticación multifactor, intensidad de MFA sin contraseña e intensidad de MFA resistente a la suplantación de identidad (phishing). También pueden crear una intensidad de autenticación personalizada basada en las combinaciones de métodos de autenticación que quieren permitir.

Captura de pantalla de una directiva de acceso condicional con una intensidad de autenticación configurada en los controles de concesión.

Intensidad de autenticación integrada

Los niveles de intensidad de autenticación integrada son combinaciones de métodos de autenticación predefinidas por Microsoft. La intensidad de autenticación integrada está siempre disponible y no se puede modificar. Microsoft actualizará la intensidad de autenticación integrada cuando haya nuevos métodos disponibles.

Por ejemplo, la intensidad de MFA resistente a la suplantación de identidad (phishing) integrada permite las combinaciones siguientes:

  • Windows Hello para empresas

    Or

  • Clave de seguridad FIDO2

    Or

  • Autenticación basada en certificado (multifactor) de Microsoft Entra

Captura de pantalla en la que se muestra la definición de la intensidad de MFA resistente a la suplantación de identidad (phishing).

En la tabla siguiente se enumeran las combinaciones de métodos de autenticación para cada intensidad de autenticación integrada. Estas combinaciones incluyen métodos para los que los usuarios deben registrarse y que se deben habilitar en la directiva de métodos de autenticación o en la directiva de configuración de MFA antigua.

  • Intensidad de MFA: se trata del mismo conjunto de combinaciones que se pueden usar para satisfacer el valor de configuración Require multifactor authentication (Requerir autenticación multifactor).
  • Intensidad de MFA sin contraseña: incluye métodos de autenticación que satisfacen la autenticación multifactor, pero no requieren una contraseña.
  • Intensidad de MFA resistente a la suplantación de identidad (phishing): incluye métodos que requieren una interacción entre el método de autenticación y la superficie de inicio de sesión.
Combinación de métodos de autenticación Intensidad de MFA Intensidad de MFA sin contraseña Intensidad de MFA resistente a la suplantación de identidad (phishing)
Clave de seguridad FIDO2
Windows Hello para empresas
Autenticación basada en certificados (multifactor)
Microsoft Authenticator (inicio de sesión en el teléfono)
Pase de acceso temporal (uso único Y multiuso)
Contraseña + algo que tenga1
Factor único federado + algo que tenga1
Multifactor federado
Autenticación basada en certificados (factor único)
Inicio de sesión con SMS
Contraseña
Factor único federado

1 "Algo que tenga" hace referencia a uno de los siguientes métodos: mensaje de texto, voz, notificación push, token OATH de software o token OATH de hardware.

La siguiente llamada API se puede usar para enumerar las definiciones de todos los niveles integrados de intensidad de autenticación:

GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'

Los administradores de acceso condicional también pueden crear intensidades de autenticación personalizadas para satisfacer sus requisitos de acceso concretos. Para obtener más información, consulte Intensidades de autenticación de acceso condicional personalizadas.

Limitaciones

  • Las directivas de acceso condicional solo se evalúan después de la autenticación inicial: como resultado, la intensidad de autenticación no restringe la autenticación inicial de un usuario. Supongamos que usted usa el nivel integrado de intensidad de MFA resistente a la suplantación de identidad (phishing). Un usuario puede escribir su contraseña, pero se le pedirá que inicie sesión con un método resistente a la suplantación de identidad (phishing), como una clave de seguridad FIDO2, para poder continuar.

  • Las opciones para requerir autenticación multifactor y para requerir intensidad de autenticación no se pueden usar juntas en la misma directiva de acceso condicional: estos dos controles de concesión de acceso condicional no se pueden usar juntos porque el nivel integrado de intensidad de Autenticación multifactor es equivalente al control de concesión Require multifactor authentication (Requerir autenticación multifactor).

  • Métodos de autenticación que actualmente no son compatibles con la seguridad de autenticación: El método de autenticación de un solo uso (invitado) de Email no se incluye en las combinaciones disponibles.

  • Windows Hello para empresas: Si el usuario inició sesión con Windows Hello para empresas como método de autenticación principal, se puede usar para satisfacer un requisito de seguridad de autenticación que incluya Windows Hello para empresas. Sin embargo, si el usuario ha iniciado sesión con otro método, como una contraseña, como método de autenticación principal, y la intensidad de autenticación requiere Windows Hello para empresas, no se le pedirá que inicie sesión con Windows Hello para empresas. El usuario necesita reiniciar la sesión, elegir las opciones de inicio de sesión, y seleccionar un método requerido por la intensidad de autenticación.

Problemas conocidos

  • Fortaleza de autenticación y frecuencia de inicio de sesión: cuando un recurso requiere una fortaleza de autenticación y una frecuencia de inicio de sesión, los usuarios pueden satisfacer ambos requisitos en dos ocasiones diferentes.

    Por ejemplo, supongamos que un recurso requiere una clave de acceso (FIDO2) para la fortaleza de autenticación y una frecuencia de inicio de sesión de 1 hora. Hace 24 horas, un usuario inició sesión con la clave de acceso (FIDO2) para acceder al recurso.

    Cuando el usuario desbloquea su dispositivo Windows con Windows Hello para empresas, puede acceder de nuevo al recurso. El inicio de sesión de ayer satisface el requisito de fortaleza de autenticación y el desbloqueo del dispositivo actual satisface el requisito de frecuencia de inicio de sesión.

  • Hoja de seguridad de autenticación de doble representación: las credenciales de la plataforma, como Windows Hello para empresas y credenciales de plataforma para macOS se representan en la seguridad de autenticación en Windows Hello para empresas. Para configurar una seguridad de autenticación personalizada que permita el uso de credenciales de plataforma para macOS, use Windows Hello para empresas.

Preguntas más frecuentes

¿Debo usar la intensidad de autenticación o la directiva de métodos de autenticación?

La intensidad de autenticación se basa en la directiva de métodos de autenticación. La directiva de métodos de autenticación ayuda a definir el ámbito y configurar los métodos de autenticación que se usarán en Microsoft Entra ID mediante usuarios y grupos específicos. La intensidad de autenticación permite otra restricción de los métodos para escenarios específicos, como el acceso a recursos confidenciales, el riesgo del usuario, la ubicación, etc.

Por ejemplo, el administrador de Contoso quiere permitir que los usuarios empleen Microsoft Authenticator con notificaciones de inserción o con el modo de autenticación sin contraseña. El administrador va a la configuración de Microsoft Authenticator en la directiva de método de autenticación, establece el ámbito de la directiva en los usuarios relevantes y establece el modo de autenticación en Cualquiera.

Entonces, para el recurso más confidencial de Contoso, el administrador quiere restringir el acceso solo a métodos de autenticación sin contraseña. El administrador crea una directiva de acceso condicional con el nivel integrado de intensidad de MFA sin contraseña.

Como resultado, los usuarios de Contoso pueden acceder a la mayoría de los recursos del inquilino mediante la contraseña y la notificación de inserción desde Microsoft Authenticator, o bien solo con Microsoft Authenticator (inicio de sesión en el teléfono). Aun así, cuando los usuarios del inquilino acceden a la aplicación confidencial, deben usar Microsoft Authenticator (inicio de sesión en el teléfono).

Requisitos previos

  • Microsoft Entra ID P1: el inquilino debe tener la licencia Microsoft Entra ID P1 para usar el acceso condicional. Si es necesario, puede habilitar una evaluación gratuita.

Pasos siguientes