Compartir a través de

Cuándo usar un proveedor de autenticación multifactor de Microsoft Entra

  • Artículo

Importante

A partir del 1 de septiembre de 2018, es posible que ya no se creen nuevos proveedores de autenticación. Los proveedores de autenticación existentes se pueden seguir usando y actualizando, pero ya no se puede migrar. La autenticación multifactor sigue estando disponible como característica en las licencias P1 o P2 de Microsoft Entra ID.

La verificación en dos pasos está disponible de manera predeterminada para los administradores globales que tienen usuarios de Microsoft Entra ID y Microsoft 365. Pero si quiere aprovechar las características avanzadas, debe habilitar la autenticación multifactor de Microsoft Entra mediante el acceso condicional. Para obtener más información, vea Directiva de acceso condicional común: Requerir MFA a todos los usuarios.

Se usa un proveedor de autenticación multifactor de Microsoft Entra para aprovechar las características proporcionadas por la autenticación multifactor de Microsoft Entra para usuarios que no tienen licencias.

Tenga en cuenta que el SDK está en desuso y las llamadas al SDK producen un error después del 14 de noviembre de 2018

¿Qué es un proveedor de MFA?

Hay dos tipos de proveedores de autenticación y la diferencia radica en cómo se aplicarán cargos a su suscripción de Azure. La opción "por autenticación" calcula el número de autenticaciones que se realizan en el inquilino en un mes. Esta es la mejor opción si algunas cuentas solo se autentican de manera ocasional. La opción por usuario calcula el número de cuentas que son aptas para realizar MFA, que son todas las cuentas de Microsoft Entra ID y todas las cuentas habilitadas en el servidor de MFA. Esta es la mejor opción si algunos usuarios tienen licencias pero necesita ampliar MFA a más usuarios de los que permite su licencia.

Administración del proveedor de MFA

No se puede cambiar el modelo de uso (por usuario habilitado o por autenticación) después de crear un proveedor de MFA.

Si compró licencias suficientes para cubrir todos los usuarios que están habilitados para MFA, puede eliminar por completo el proveedor de MFA.

Si el proveedor de MFA no está vinculado a un inquilino de Microsoft Entra o si vincula el nuevo proveedor de MFA a un inquilino de Microsoft Entra diferente, los valores de usuario y las opciones de configuración no se transferirán. Además, los servidores de autenticación multifactor de Microsoft Entra existentes deben reactivarse mediante las credenciales de activación generadas a través del proveedor de MFA.

Eliminación de un proveedor de autenticación

Precaución

No hay confirmación al eliminar un proveedor de autenticación. La selección de Eliminar es un proceso permanente.

Los proveedores de autenticación se pueden encontrar en el centro de administración de Microsoft Entra. Inicie sesión con un permiso de administrador de directivas de autenticación como mínimo. Vaya a Protección>Autenticación multifactor>Proveedores. Haga clic en los proveedores de la lista para ver los detalles y las configuraciones asociadas a ese proveedor.

Antes de eliminar un proveedor de autenticación, tome nota de los valores personalizados configurados en el proveedor. Decida qué valores se deben migrar a la configuración general de MFA desde el proveedor y complete la migración de esos valores.

Los servidores de autenticación multifactor de Microsoft Entra vinculados a proveedores deben ser reactivados utilizando las credenciales generadas bajo la configuración del servidor . Antes de reactivar, los siguientes archivos deben eliminarse del directorio \Program Files\Multi-Factor Authentication Server\Data\ en los servidores de autenticación multifactor de Microsoft Entra en su entorno:

  • caCert
  • cert
  • groupCACert
  • groupKey
  • groupName
  • licenseKey
  • pkey

Eliminación de un proveedor de autenticación

Después de confirmar que se han migrado todos los valores, vaya a Proveedores, seleccione los puntos suspensivos ... y seleccione Eliminar.

Advertencia

Al eliminar un proveedor de autenticación, se elimina cualquier información de informes asociada a ese proveedor. Es posible que desee guardar los informes de actividades antes de eliminar el proveedor.

Nota:

Es posible que los usuarios con versiones anteriores de la aplicación Microsoft Authenticator y el servidor de autenticación multifactor de Microsoft Entra necesiten volver a registrar su aplicación.

Pasos siguientes

Configuración de la autenticación multifactor

Directiva de acceso condicional común: requerir MFA a todos los usuarios