Compartir a través de

Soporte con las claves de paso en Microsoft Authenticator en el inquilino de Microsoft Entra ID

  • Artículo

En este tema se tratan los problemas que pueden ver los usuarios cuando usan claves de acceso en Microsoft Authenticator y posibles formas de resolverlos los administradores.

Soluciones alternativas para un bucle de directiva de acceso condicional de seguridad de autenticación

Las organizaciones que implementan claves de acceso condicional y tienen directivas de acceso condicional que requieren autenticación resistente a la suplantación de identidad al acceder a todos los recursos (anteriormente "Todas las aplicaciones en la nube") pueden encontrarse con un problema de bucle cuando los usuarios intentan agregar una clave de acceso a Microsoft Authenticator. Ejemplo de esta configuración de directiva:

  • Condición: Todos los dispositivos (Windows, Linux, MacOS, Windows, Android)
  • Recurso de destino: todos los recursos (anteriormente "Todas las aplicaciones en la nube")
  • Concesión de control: Seguridad de la autenticación: requerir la clave de acceso en Authenticator

La directiva aplica eficazmente que los usuarios de destino deben usar una clave de acceso para autenticarse en todas las aplicaciones en la nube, que incluye la aplicación Microsoft Authenticator. Esto significa que los usuarios deben usar una clave de acceso para aprovisionar una clave de acceso cuando pasan por el flujo de registro en la aplicación desde la aplicación Authenticator. Esto afecta tanto a Android como a iOS.

Hay un par de soluciones alternativas:

  • Puede filtrar por aplicaciones y pasar el destino de directiva de Todos los recursos (anteriormente "Todas las aplicaciones en la nube") a aplicaciones específicas. Comience con una revisión de las aplicaciones que se usan en el inquilino y use filtros para etiquetar Microsoft Authenticator y otras aplicaciones.

  • Para reducir aún más los costos de soporte técnico, puede ejecutar una campaña interna para ayudar a los usuarios a adoptar claves de paso antes de aplicar el uso de claves de acceso. Cuando esté listo para aplicar el uso de la clave de acceso, cree dos directivas de acceso condicional:

    • Una directiva para las versiones del sistema operativo móvil (SO)
    • Una directiva para las versiones del sistema operativo de escritorio

    Requerir una seguridad de autenticación diferente para cada directiva y configurar otras opciones de directiva enumeradas en la tabla siguiente. Es probable que quiera habilitar el uso de un Pase de acceso temporal (TAP)o habilitar otros métodos de autenticación que los usuarios pueden usar para registrar la clave de paso temporal. Al emitir un TAP a un usuario solo cuando registra una credencial y lo acepta solo en plataformas móviles en las que se puede producir el registro de clave de paso, puede asegurarse de que los usuarios usan métodos de autenticación permitidos para todos los flujos y usar TAP solo durante un período de tiempo limitado durante el registro.

    Directiva de acceso condicional Sistema operativo de escritorio Sistema operativo móvil
    Nombre Requerir una clave de paso en Authenticator para acceder a un sistema operativo de escritorio Requerir un TAP, una credencial resistente a la suplantación de identidad o cualquier otro método de autenticación especificado para acceder a un sistema operativo móvil
    Condición Dispositivos específicos (sistemas operativos de escritorio) Dispositivos específicos (sistemas operativos móviles)
    Dispositivos N/D Android, iOS
    Excluir dispositivos Android, iOS N/D
    Recurso de destino Todos los recursos Todos los recursos
    Conceder control Intensidad de la autenticación Seguridad de autenticación1
    Métodos Clave de paso en Microsoft Authenticator TAP, clave de paso en Microsoft Authenticator.
    Resultado de la directiva Los usuarios que no pueden iniciar sesión con una clave de paso en Authenticator se dirigen al modo del asistente Mis inicios de sesión. Después del registro, se les pide que inicien sesión en Authenticator en su dispositivo móvil. Los usuarios que inician sesión en Authenticator con un TAP u otro método permitido pueden registrar una clave de paso directamente en Authenticator. No se produce ningún bucle porque el usuario cumple los requisitos de autenticación.

    1Para que los usuarios registren nuevos métodos de inicio de sesión, el control de concesión de la directiva móvil debe coincidir con la directiva de acceso condicional para registrar Información de seguridad.

Nota:

Con cualquiera de las soluciones alternativas, los usuarios también deben cumplir cualquier directiva de acceso condicional que tenga como destino Registrar información de seguridado no puedan registrar la clave de paso. Además, si tiene otras condiciones configuradas con las directivas Todos los recursos, deben cumplirse al registrar la clave de paso.

Restricción del uso de Bluetooth para las claves de acceso en Authenticator

Algunas organizaciones restringen el uso de Bluetooth, que incluye el uso de claves de acceso. En tales casos, las organizaciones pueden permitir el emparejamiento de Bluetooth exclusivamente con autenticadores FIDO2 habilitados para la clave de paso. Para obtener más información sobre cómo configurar el uso de Bluetooth solo para claves de paso, consulte Claves de paso en entornos restringidos por Bluetooth.

Pasos siguientes

Para obtener más información sobre las claves de paso en Authenticator, consulte Método de autenticación de Microsoft Authenticator. Para habilitar las claves de paso en Authenticator como una manera de que los usuarios inicien sesión, consulte Habilitación de claves de paso en Microsoft Authenticator.