Habilitación de claves de paso en Microsoft Authenticator

En este artículo se enumeran los pasos para habilitar y aplicar las claves de paso en Authenticator para Microsoft Entra ID. En primer lugar, actualice la directiva de métodos de autenticación para permitir que los usuarios finales se registren e inicien sesión con claves de paso en Authenticator. A continuación, puede usar directivas de intensidad de autenticación de acceso condicional para aplicar el inicio de sesión con clave de paso cuando los usuarios acceden a un recurso confidencial.

Requisitos

• Autenticación multifactor (MFA) de Microsoft Entra
• Android 14 y versiones posteriores o iOS 17 y versiones posteriores
• Una conexión activa a Internet en cualquier dispositivo que forme parte del proceso de registro o autenticación de la llave de acceso. Se debe permitir la conectividad a estos dos puntos de conexión en la organización para habilitar el registro y la autenticación entre dispositivos:
  • cable.ua5v.com
  • cable.auth.com
• Para el registro o la autenticación entre dispositivos, ambos dispositivos deben tener Bluetooth habilitado

Nota:

Los usuarios deben instalar la versión más reciente de Authenticator para Android o iOS para usar una clave de paso.

Para más información sobre dónde puede usar las claves de paso en Authenticator para iniciar sesión, consulte Compatibilidad con la autenticación FIDO2 con Microsoft Entra ID.

Habilitación de claves de acceso en Authenticator en el Centro de administración

Un administrador de directivas de autenticación debe dar su consentimiento para permitir el autenticador en la configuración de llave de acceso (FIDO2) de la directiva de métodos de autenticación. Deben permitir explícitamente los GUID de autenticación de autenticación (AAGUID) para Microsoft Authenticator para permitir que los usuarios registren claves de acceso en la aplicación Authenticator. No hay ninguna configuración para habilitar las claves de acceso en la sección aplicación Microsoft Authenticator de la directiva Métodos de autenticación.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

2. Vaya a Protección>Métodos de autenticación>Directiva de método de autenticación.

3. En el método Llave de acceso (FIDO2), seleccione Todos los usuarios o Agregar grupos para seleccionar grupos específicos. Solo se admiten grupos de seguridad.

4. En la pestaña Configurar:

   • Establezca Permitir configuración de autoservicio en Sí. Si se establece en No, los usuarios no pueden registrar una clave de acceso mediante la información de seguridad, incluso si las claves de acceso (FIDO2) están habilitadas por la directiva de métodos de autenticación.

   • Establezca Aplicar atestación en Sí.

     Cuando la atestación está habilitada en la directiva passkey (FIDO), Microsoft Entra ID intenta comprobar la legitimidad de la clave de acceso que se está creando. Cuando el usuario registra una clave de acceso en Authenticator, la atestación comprueba que la aplicación legítima de Microsoft Authenticator creó la clave de acceso mediante los servicios de Apple y Google. A continuación se muestran más detalles:

     • iOS: la atestación de authenticator usa el Servicio atestación de aplicaciones de iOS para garantizar la legitimidad de la aplicación Authenticator antes de registrar la clave de acceso.

       Nota:

       La compatibilidad con el registro de claves de paso en Authenticator cuando se aplica la atestación se está implementando actualmente para los usuarios de la aplicación iOS Authenticator. La compatibilidad con el registro de claves de paso atestiguadas en Authenticator en dispositivos Android está disponible para todos los usuarios en la versión más reciente de la aplicación.

     • Android:

       • En el caso de la atestación de integridad de reproducción, la atestación de Authenticator utiliza la API de integridad de reproducción para garantizar la legitimidad de la aplicación Authenticator antes de registrar la clave de acceso.
       • Para la atestación de claves, la atestación de Authenticator usa la atestación de claves por Android para comprobar que la clave de acceso registrada está respaldada por hardware.

     Nota:

     Para iOS y Android, la atestación Authenticator se basa en los servicios de Apple y Google para comprobar la autenticidad de la aplicación Authenticator. El uso intensivo del servicio puede hacer que se produzca un error en el registro de la clave de acceso y es posible que los usuarios necesiten volver a intentarlo. Si los servicios de Apple y Google están inactivos, la atestación Authenticator bloquea el registro que requiere atestación hasta que se restauren los servicios. Para supervisar el estado del servicio de integridad de Google Play, consulta El panel de estado de Google Play. Para supervisar el estado del servicio de atestación de aplicaciones de iOS, consulte Estado del sistema.

   • Las restricciones de claves establecen la facilidad de uso de claves de paso específicas para el registro y la autenticación. Establezca Aplicar restricciones de clave en Sí para permitir o bloquear solo determinadas claves de acceso, que se identifican mediante sus AAGUID.

     Esta configuración debe ser Sí y debe agregar los AAGUID de Microsoft Authenticator para permitir a los usuarios registrar claves de acceso en Authenticator, ya sea iniciando sesión en la aplicación Authenticator o agregando una llave de acceso en Microsoft Authenticator desde su información de seguridad.

     La información de seguridad requiere que esta configuración se establezca en Sí para que los usuarios puedan elegir llave de acceso en Authenticator y pasar por un flujo de registro de clave de paso de Authenticator dedicado. Si elige No, es posible que los usuarios puedan agregar una clave de acceso en Microsoft Authenticator eligiendo el método Clave de seguridad o clave de acceso, dependiendo de su sistema operativo y explorador. Sin embargo, no esperamos que muchos usuarios detecten y usen ese método.

     Si su organización no aplica actualmente restricciones de clave y ya tiene el uso de la clave de acceso activa, debe recopilar los AAGUID de las claves que se usan hoy en día. Incluya esos usuarios y los AAGUID autenticadores. Puede hacerlo con un script automatizado que analice los registros, como los detalles de registro y los registros de inicio de sesión.

     Si cambia las restricciones de claves y quita un AAGUID que ha permitido anteriormente, los usuarios que anteriormente registraron un método permitido ya no podrán usarlo para el inicio de sesión.

   • Establezca Restringir claves específicas en Permitir.

   • Seleccione Microsoft Authenticator para agregar automáticamente las AAGUID de la aplicación Authenticator a la lista de restricciones de claves, o bien agregue manualmente los siguientes AAGUID para permitir a los usuarios registrar claves de acceso en el autenticador iniciando sesión en la aplicación Authenticator o pasando por un flujo guiado en la página Información de seguridad:

     • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
     • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

     Nota:

     Si desactiva las restricciones de claves, asegúrese de desactivar la casilla Microsoft Authenticator para que no se pida a los usuarios que configuren una clave de acceso en la aplicación Authenticator en Información de seguridad.

   

5. Una vez finalizada la configuración, seleccione Guardar.

   Nota:

   Si ve un error al intentar guardar, reemplace varios grupos por un único grupo en una operación y, a continuación, haga clic en Guardar de nuevo.

Habilitación de claves de paso en Authenticator mediante el Explorador de Graph

Además de usar el Centro de administración de Microsoft Entra, también puede habilitar claves de paso en Authenticator mediante el Explorador de Graph. Aquellos a los que se haya asignado, como mínimo, el rol de Administrador de directiva de autenticación pueden actualizar la directiva de métodos de autenticación para permitir los AAGUID para Authenticator.

Para configurar la directiva mediante el Explorador de Graph:

1. Inicie sesión en Graph Explorer y acepte los permisos Policy.Read.All y Policy.ReadWrite.AuthenticationMethod.

2. Recupere la directiva de métodos de autenticación:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Para deshabilitar la aplicación de atestación y aplicar restricciones de clave para permitir solo AAGUIDs para Microsoft Authenticator, realice una operación PATCH con el siguiente cuerpo de solicitud:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": true,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "90a3ccdf-635c-4729-a248-9b709135078f",
               "de1e552d-db1d-4423-a619-566b625cdc84"
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Asegúrese de que la directiva de llave de acceso (FIDO2) se actualice correctamente.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Restricción del uso de Bluetooth para las claves de acceso en Authenticator

Algunas organizaciones restringen el uso de Bluetooth, que incluye el uso de claves de acceso. En tales casos, las organizaciones pueden permitir el emparejamiento de Bluetooth exclusivamente con autenticadores FIDO2 habilitados para la clave de paso. Para obtener más información sobre cómo configurar el uso de Bluetooth solo para claves de paso, consulte Claves de paso en entornos restringidos por Bluetooth.

Eliminación de una llave de acceso

Si un usuario elimina una clave de acceso en Authenticator, la clave de acceso también se quita de los métodos de inicio de sesión del usuario. Un administrador de directivas de autenticación también puede seguir estos pasos para eliminar una clave de acceso de los métodos de autenticación del usuario, pero no quitará la clave de acceso de Authenticator.

1. Inicie sesión en el Centro de administración de Microsoft Entra y busque el usuario cuya clave de acceso debe eliminarse.
2. Seleccione Métodos de autenticación>, haga clic con el botón derecho en clave de seguridad FIDO2 y haga clic en Eliminar.

Nota:

A menos que el usuario inicie la eliminación de la clave de acceso en Authenticator, también debe quitar la clave de acceso en Authenticator en su dispositivo.

Aplicación del inicio de sesión con claves de paso en Authenticator

Para que los usuarios inicien sesión con una llave de paso cuando acceden a un recurso confidencial, utilice la intensidad de autenticación integrada resistente a la suplantación de identidad (phishing), o cree una intensidad de autenticación personalizada siguiendo estos pasos:

1. Inicie sesión en el Centro de administración Microsoft Entra como administrador de acceso condicional.

2. Vaya aProtección>Método de autenticación>Puntos fuertes de la autenticación.

3. Seleccione New authentication strength (Nueva intensidad de autenticación).

4. Proporcione un nombre descriptivo para la nueva intensidad de autenticación.

5. Si quiere, puede incluir también una descripción.

6. Seleccione Claves de paso (FIDO2) y, a continuación, seleccione Opciones avanzadas.

7. Puede seleccionar Resistencia de MFA resistente a suplantación de identidad (phishing) o agregar AAGUIDs para claves de paso en Authenticator:

   • Authenticator para Android: de1e552d-db1d-4423-a619-566b625cdc84
   • Authenticator para iOS: 90a3ccdf-635c-4729-a248-9b709135078f

8. Elija Siguiente y revise la configuración de la directiva.

Pasos siguientes

Compatibilidad con la clave de paso en Windows