Habilitación del inicio de sesión sin contraseña con Authenticator

Authenticator se usa para iniciar sesión en cualquier cuenta de Microsoft Entra sin usar una contraseña. Authenticator usa la autenticación basada en claves para habilitar una credencial de usuario vinculada a un dispositivo, donde el dispositivo usa un PIN o una biometría. Windows Hello para empresas usa una tecnología similar.

La tecnología de autenticación se puede usar en cualquier plataforma de dispositivo, incluido el móvil. Authenticator se puede ejecutar en iOS o Android.

El inicio de sesión telefónico de Authenticator muestra un mensaje que pide al usuario que pulse un número en la aplicación. No solicita un nombre de usuario ni una contraseña. Para completar el proceso de inicio de sesión en la aplicación, siga estos pasos:

1. En el cuadro de diálogo Autenticador, escriba el número que se muestra en la pantalla de inicio de sesión.
2. Seleccione Aprobar.
3. Proporcione su PIN o biométrica.

Varias cuentas

Puede habilitar el inicio de sesión telefónico sin contraseña para varias cuentas en Authenticator en cualquier dispositivo Android o iOS compatible. Los consultores, estudiantes y otros usuarios con varias cuentas de Microsoft Entra ID pueden agregar cada cuenta a Authenticator y usar el inicio de sesión telefónico sin contraseña para todos ellos desde el mismo dispositivo.

Las cuentas de Microsoft Entra pueden estar en el mismo inquilino o en inquilinos diferentes. No se admiten cuentas de invitado para los inicios de sesión de varias cuentas desde un dispositivo.

Prerrequisitos

Para usar el inicio de sesión telefónico sin contraseña con Authenticator, debe cumplir los siguientes requisitos previos:

• Recomendado: Autenticación multifactor de Microsoft Entra (MFA), con notificaciones push permitidas como método de verificación. Las notificaciones push a un smartphone o tableta de usuario ayudan a la aplicación Authenticator a evitar el acceso no autorizado a las cuentas y detener las transacciones fraudulentas. La aplicación Authenticator genera automáticamente códigos cuando se configuran para realizar notificaciones push. Un usuario tiene un método de inicio de sesión de copia de seguridad incluso si su dispositivo no tiene conectividad.

• La versión más reciente de Authenticator debe instalarse en dispositivos que ejecutan iOS o Android.

• El dispositivo debe registrarse en cada inquilino donde se usa para iniciar sesión. Por ejemplo, el dispositivo siguiente debe registrarse con Contoso y Wingtip Toys para permitir que todas las cuentas inicien sesión:

  • balas@contoso.com
  • balas@wingtiptoys.com y bsandhu@wingtiptoys

Para usar la autenticación sin contraseña en microsoft Entra ID, habilite primero la experiencia de registro combinada y, a continuación, habilite a los usuarios para el método sin contraseña.

Habilitar métodos de autenticación de inicio de sesión en el teléfono sin contraseña

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Microsoft Entra ID permite a los administradores de directivas de autenticación elegir qué métodos de autenticación se pueden usar para iniciar sesión. Puede habilitar Microsoft Authenticator en la directiva de métodos de autenticación para gestionar tanto el método de autenticación de notificación MFA tradicional como el método de autenticación sin contraseña.

Una vez habilitado Microsoft Authenticator como método de autenticación, los usuarios pueden ir a su información de seguridad para registrar Authenticator como una manera de iniciar sesión. Microsoft Authenticator aparece como método en Información de seguridad. Por ejemplo, aparece Microsoft Authenticator- sin contraseña o Microsoft Authenticator-inserción de MFA, dependiendo de lo que esté habilitado y registrado.

Para habilitar el método de autenticación para el inicio de sesión telefónico sin contraseña, siga estos pasos:

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
2. Vaya a Protección>Métodos de autenticación>Directivas.

Cada grupo está habilitado de forma predeterminada para usar el modo Cualquiera. Cualquier modo de permite a los miembros del grupo iniciar sesión con una notificación push o un inicio de sesión en el teléfono sin contraseña.

Nota:

Si ve un error al intentar guardarlo, puede deberse al número de usuarios o grupos que se agregan. Como solución alternativa, reemplace los usuarios y grupos que está intentando agregar con un único grupo en la misma operación. Después, seleccione Guardar de nuevo.

Registro de usuarios

Los usuarios se registran para el método de autenticación sin contraseña de Microsoft Entra ID. Los usuarios que ya hayan registrado la aplicación Authenticator para MFA pueden pasar a la siguiente sección y activar el inicio de sesión telefónico.

Registro de acceso directo por teléfono

Los usuarios pueden registrarse para el inicio de sesión sin contraseña con el teléfono directamente dentro de la aplicación Authenticator, sin necesidad de registrar primero Authenticator con su cuenta y sin generar nunca una contraseña. A continuación se muestra cómo hacerlo:

1. Adquiera un pase de acceso temporal del administrador o la organización.
2. Descargue e instale la aplicación Authenticator en el dispositivo móvil.
3. Abra Authenticator y seleccione Agregar cuenta, y luego seleccione Cuenta profesional o educativa.
4. Seleccione Iniciar sesión.
5. Siga las instrucciones para iniciar sesión con su cuenta mediante el pase de acceso temporal proporcionado por el administrador o la organización.
6. Después del inicio de sesión, siga los pasos adicionales para configurar el inicio de sesión telefónico.

Registro guiado con Mi Sign-Ins

Nota:

Los usuarios pueden registrar el Authenticator mediante el registro combinado solo si el modo de autenticación del Authenticator está configurado como Cualquiera o Inserción.

Para registrar la aplicación Authenticator, siga estos pasos:

1. Vaya a Información de seguridad.
2. Inicie sesión y seleccione Agregar método>aplicación Authenticator>Agregar para agregar Authenticator.
3. Siga las instrucciones para instalar y configurar la aplicación Authenticator en el dispositivo.
4. Seleccione Listo para finalizar la configuración del Authenticator.

Habilitación de inicio de sesión telefónico

Después de que los usuarios se registren en la aplicación Authenticator, deben habilitar el inicio de sesión telefónico:

1. En Microsoft Authenticator, seleccione la cuenta registrada.
2. Seleccione Habilitar inicio de sesión en el teléfono.
3. Siga las instrucciones de la aplicación para terminar de registrar la cuenta para el inicio de sesión en el teléfono sin contraseña.

Una organización puede dirigir a sus usuarios para que inicien sesión con sus teléfonos, sin usar una contraseña. Para obtener más ayuda para configurar Authenticator y habilitar el inicio de sesión en el teléfono, consulte Iniciar sesión en sus cuentas mediante la aplicación Authenticator.

Nota:

Si una directiva restringe al usuario al usar el inicio de sesión telefónico, el usuario no puede habilitarlo en Authenticator.

Inicio de sesión con una credencial sin contraseña

Un usuario puede empezar a emplear el inicio de sesión sin contraseña una vez completadas todas las acciones siguientes:

• Un administrador habilitó el inquilino del usuario.
• El usuario agregó Authenticator como método de inicio de sesión.

Para iniciar el proceso de inicio de sesión telefónico por primera vez, siga estos pasos:

1. Escriba su nombre en el panel de Inicio de sesión.
2. Seleccione Siguiente.
3. Si es necesario, seleccione Otras formas de iniciar sesión.
4. Seleccione Aprobar una solicitud en mi aplicación Authenticator.

A continuación, aparece un número. La aplicación solicita al usuario que se autentique escribiendo el número adecuado en lugar de escribiendo una contraseña.

Una vez que el usuario usa el inicio de sesión telefónico sin contraseña, la aplicación continúa guíando al usuario a través de este método. El usuario también ve la opción de elegir otro método.

Pase de acceso temporal

Si el administrador de inquilinos habilitó el autoservicio de restablecimiento de contraseña para que los usuarios configuren el inicio de sesión sin contraseña con la aplicación Authenticator por primera vez mediante un pase de acceso temporal, siga estos pasos:

1. Abra un explorador en un dispositivo móvil o escritorio y vaya a Información de seguridad.
2. Registre la aplicación Authenticator como método de inicio de sesión. Esta acción vincula la cuenta a la aplicación.
3. Vuelva al dispositivo móvil y active el inicio de sesión sin contraseña a través de la aplicación Authenticator.

Administración

Se recomienda la directiva de métodos de autenticación como la mejor manera de administrar Authenticator. administradores de directivas de autenticación pueden editar esta directiva para habilitar o deshabilitar Authenticator. Los administradores pueden incluir o excluir a usuarios y grupos específicos de su uso.

Los administradores también pueden configurar parámetros para controlar mejor cómo se usa Authenticator. Por ejemplo, pueden agregar una ubicación o el nombre de la aplicación a la solicitud de inicio de sesión para que los usuarios tengan un contexto mayor antes de aprobarlo.

Problemas conocidos

Existen los siguientes problemas conocidos.

No ver la opción para el inicio de sesión telefónico sin contraseña

En un escenario, un usuario podría tener pendiente una verificación de inicio de sesión telefónico sin contraseña que no ha sido respondida. Si el usuario intenta iniciar sesión de nuevo, el usuario solo ve la opción para escribir una contraseña.

Siga estos pasos para resolver este escenario:

1. Abra Authenticator.
2. Responda a los mensajes de notificación.

A continuación, siga usando el inicio de sesión telefónico sin contraseña.

No se admite AuthenticatorAppSignInPolicy

La directiva heredada AuthenticatorAppSignInPolicy no se admite con el Authenticator. Para habilitar a los usuarios para que puedan usar notificaciones de inserción o inicio de sesión telefónico sin contraseña con la aplicación Authenticator, use la directiva Métodos de autenticación.

Cuentas federadas

Después de que un usuario habilite cualquier credencial sin contraseña, el proceso de inicio de sesión de Microsoft Entra deja de usar login\_hint. El proceso ya no acelera al usuario hacia una ubicación de inicio de sesión federada.

Por lo general, esta lógica impide que un usuario de un inquilino híbrido se dirija a los Servicios de federación de Active Directory para la comprobación de inicio de sesión. La opción para seleccionar Usar la contraseña en su lugar sigue estando disponible.

Usuarios locales

Los administradores pueden habilitar usuarios para MFA a través de un proveedor de identidades local. Los usuarios todavía pueden crear y usar una única credencial de inicio de sesión telefónico sin contraseña.

Si un usuario intenta actualizar varias instalaciones (5+) de Authenticator con la credencial de inicio de sesión de teléfono sin contraseña, este cambio podría producir un error.

Contenido relacionado

Para obtener información sobre la autenticación de Microsoft Entra y los métodos sin contraseña, consulte los siguientes artículos:

• Obtener información sobre cómo funciona la autenticación con contraseñas
• Obtenga información sobre el registro de dispositivos
• Más información sobre la autenticación multifactor de Microsoft Entra