Planificación de la implementación de la autenticación multifactor
Antes de iniciar una implementación de la autenticación multifactor de Microsoft Entra, debe decidir sobre varios aspectos.
En primer lugar, considere la posibilidad de implementar MFA en fases. Comience con un pequeño grupo de usuarios piloto para evaluar la complejidad del entorno e identificar los problemas de instalación o las aplicaciones o los dispositivos no compatibles. Después, amplíe ese grupo en el tiempo y evalúe los resultados con cada paso hasta que se haya implementado en toda la empresa.
A continuación, asegúrese de crear un plan de comunicación completo. La autenticación multifactor de Microsoft Entra tiene varios requisitos de interacción del usuario, incluido un proceso de registro. Mantenga a los usuarios informados en cada paso del proceso. Indíqueles lo que deben hacer, fechas importantes y cómo obtener respuestas a preguntas si tienen problemas. Microsoft proporciona plantillas de comunicación (incluidos pósteres) y de correo electrónico para ayudarle a crear borradores de las comunicaciones.
Directivas de autenticación multifactor de Microsoft Entra
La autenticación multifactor de Microsoft Entra se aplica mediante directivas de acceso condicional. Las directivas de acceso condicional son instrucciones IF-THEN. IF (SI) un usuario quiere acceder a un recurso, THEN (ENTONCES) debe completar una acción. Por ejemplo, un responsable de nóminas quiere acceder a la aplicación de nóminas y para ello es obligatorio realizar la autenticación multifactor. Otras solicitudes de acceso comunes que pueden requerir MFA son las siguientes:
- SI se accede a una aplicación en la nube específica.
- SI un usuario accede a una red específica.
- SI un usuario accede a una aplicación cliente específica.
- SI un usuario registra un dispositivo nuevo.
Elección de los métodos de autenticación admitidos
Al activar la autenticación multifactor de Microsoft Entra, puede elegir los métodos de autenticación que quiere que estén disponibles. Siempre debe admitir más de un método para que los usuarios tengan una opción de respaldo en caso de que su método principal no esté disponible. Puede elegir entre los métodos siguientes:
| Método | Descripción |
|---|---|
| Código de verificación de la aplicación móvil | Se puede usar una aplicación de autenticación móvil como Microsoft Authenticator para recuperar un código de verificación OATH que luego se escribe en la interfaz de inicio de sesión. Este código se cambia cada 30 segundos y la aplicación funciona aunque la conectividad sea limitada. Tenga en cuenta que este enfoque no funciona en dispositivos Android en China. |
| Notificación en aplicación móvil | Azure puede enviar una notificación de inserción a una aplicación de autenticación móvil, como Microsoft Authenticator. El usuario puede seleccionar la notificación de inserción y comprobar el inicio de sesión. |
| Llamada a un teléfono | Azure puede llamar a un número de teléfono proporcionado. Después, el usuario aprueba la autenticación mediante el teclado. Este método es preferible para las copias de seguridad. |
| Clave de seguridad FIDO2 | Las llaves de seguridad FIDO2 son un método de autenticación sin contraseña basado en estándares que no permite la suplantación de identidad. Estas llaves de seguridad suelen ser dispositivos USB, pero también pueden usar Bluetooth o NFC. |
| Windows Hello para empresas | Windows Hello para empresas reemplaza las contraseñas con una autenticación de dos factores sólida en dispositivos. Este método de autenticación consiste en un tipo de credencial de usuario que está vinculada a un dispositivo y utiliza la biometría o un PIN. |
| Tokens OATH | Los tokens OATH pueden ser aplicaciones de software como la aplicación Microsoft Authenticator y otras aplicaciones de autenticación. También pueden ser tokens basados en hardware que los clientes pueden comprar de diferentes proveedores. |
Los administradores pueden habilitar una o varias de estas opciones. A continuación, los usuarios pueden optar por cada método de autenticación de soporte técnico que quieran usar.
Selección de un método de autenticación
Por último, debe decidir cómo registrarán los usuarios sus métodos seleccionados. El enfoque más sencillo es usar la protección de Microsoft Entra ID. Si la organización tiene licencias de Identity Protection, puede configurarla para solicitar a los usuarios que se registren en MFA la próxima vez que inicien sesión.
También se puede solicitar a los usuarios que se registren en MFA cuando intenten usar una aplicación o un servicio que requiera la autenticación multifactor. Por último, puede exigir el registro mediante una directiva de acceso condicional aplicada a un grupo de Azure que contenga todos los usuarios de la organización. Este enfoque requiere cierto trabajo manual para revisar de forma periódica el grupo para quitar usuarios registrados. Para obtener algunos scripts útiles para automatizar parte de este proceso, consulte Planeamiento de una implementación de autenticación multifactor de Microsoft Entra.