Cuentas de Microsoft
Comprenda cómo una cuenta de Microsoft mejora la seguridad y la privacidad de los usuarios y cómo puede administrar los tipos de cuentas de consumidor de su organización.
¿Qué es una cuenta Microsoft?
Los sitios, servicios, propiedades y equipos de Microsoft que ejecutan Windows 10 pueden usar una cuenta Microsoft como una manera de identificar a un usuario. La cuenta de Microsoft antes se llamaba Windows Live ID. Una cuenta de Microsoft tiene secretos definidos por el usuario y consta de una dirección de correo electrónico única y una contraseña.
Cuando un usuario inicia sesión con una cuenta Microsoft, el dispositivo se conecta a los servicios en la nube. El usuario puede compartir muchas de sus configuraciones, preferencias y aplicaciones entre dispositivos.
Funcionamiento de una cuenta de Microsoft
Un usuario puede usar una cuenta de Microsoft para iniciar sesión en sitios web que admitan este servicio mediante un conjunto único de credenciales. Las credenciales de un usuario se validan mediante un servidor de autenticación de cuenta Microsoft asociado a un sitio web. Microsoft Store es un ejemplo de esta asociación. Cuando un nuevo usuario inicia sesión en un sitio web que está habilitado para usar cuentas Microsoft, se redirige al servidor de autenticación más cercano, que solicita un nombre de usuario y una contraseña. Windows usa el proveedor de soporte técnico de seguridad de Schannel para abrir una conexión de seguridad de nivel de transporte/capa de sockets seguros (TLS/SSL) y usar esta función. Los usuarios tienen la opción de usar el Administrador de credenciales para almacenar sus credenciales.
Cuando un usuario inicia sesión en un sitio web que está habilitado para usar una cuenta de Microsoft, se instala una cookie temporal en su equipo. La cookie incluye una etiqueta de identificador cifrada con triple DES. La etiqueta de identificador cifrada se "acuerda" entre el servidor de autenticación y el sitio web. La etiqueta de identificador se envía al sitio web y el sitio web coloca otra cookie HTTP cifrada temporal en el equipo del usuario. Aunque la cookie es válida, no es necesario que el usuario escriba un nombre de usuario y una contraseña. Si un usuario cierra sesión activamente en su cuenta de Microsoft, estas cookies se quitan.
Nota
La funcionalidad de la cuenta local de Windows sigue siendo una opción que puede usar en un entorno administrado.
Cómo se crea una cuenta de Microsoft
Para evitar fraudes, el sistema de Microsoft comprueba la dirección IP de un usuario cuando el usuario crea una cuenta de Microsoft. A un usuario que intenta crear varias cuentas de Microsoft usando la misma dirección IP se le impide crear más cuentas. Las cuentas de Microsoft no están diseñadas para crearse en lotes; por ejemplo, para un grupo de usuarios de dominio de su empresa.
Para crear una cuenta de Microsoft, un usuario tiene dos opciones:
Usar una dirección de correo electrónico que ya tenga. El usuario puede usar su dirección de correo electrónico válida para registrarse una cuenta de Microsoft. El servicio convierte la dirección de correo electrónico del usuario solicitante en una cuenta de Microsoft. El usuario puede elegir una contraseña independiente que se usará para la cuenta de Microsoft.
Registrarse para obtener una dirección de correo electrónico de Microsoft. Un usuario puede registrarse para obtener una cuenta de correo electrónico a través de los servicios de correo web de Microsoft. El usuario puede usar la cuenta para iniciar sesión en sitios web habilitados para usar cuentas de Microsoft.
Qué medidas de seguridad se aplican a la información de cuentas de Microsoft
La información de las credenciales se cifra dos veces. El primer cifrado se basa en la contraseña de la cuenta. Las credenciales se vuelven a cifrar cuando se envían a través de Internet. Los datos de las credenciales almacenados no están disponibles para otros servicios de Microsoft ni para los servicios que no son de Microsoft.
Se necesita una contraseña segura. No se permiten contraseñas en blanco.
Para obtener más información, consulte Cómo mantener protegida la cuenta de Microsoft.
Se requiere una prueba de identidad secundaria. Antes de que un usuario pueda acceder a la configuración y la información de un segundo equipo Windows por primera vez, se debe establecer la confianza de ese equipo. Para establecer esa confianza, el usuario debe proporcionar una prueba de identidad secundaria. El usuario puede demostrar su identidad escribiendo un código que se envía a un número de teléfono móvil o siguiendo las instrucciones que se envían a una dirección de correo electrónico alternativa que un usuario especifica en la configuración de la cuenta.
Todos los datos del perfil de usuario se cifran en el cliente antes de transmitirse a la nube. Los datos de usuario no se transfieren a través de una red inalámbrica de área extensa de forma predeterminada para que los datos de perfil estén protegidos. Todos los datos y configuraciones que dejan un dispositivo se transmiten a través del protocolo TLS/SSL.
Información de seguridad de las cuentas de Microsoft
Un usuario puede agregar información de seguridad a su cuenta de Microsoft a través de la interfaz Cuentas en equipos que ejecutan versiones compatibles de Windows. En Cuentas, el usuario puede actualizar la información de seguridad que proporcionó al crear su cuenta. Esta información de seguridad incluye una dirección de correo electrónico alternativa o un número de teléfono para que, si su contraseña está en peligro o se olvida, se pueda enviar un código de verificación para comprobar su identidad. Un usuario puede usar si quiere su cuenta de Microsoft para almacenar datos corporativos en una aplicación de correo electrónico o en su cuenta personal de OneDrive. Una práctica segura es que el propietario de la cuenta mantenga actualizada esta información de seguridad.
Cuentas de Microsoft en la empresa
Aunque la cuenta de Microsoft se diseñó para los consumidores, es posible que haya situaciones en las que los usuarios de su dominio puedan beneficiarse de ella usando su cuenta personal de Microsoft en la empresa. En la lista siguiente se describen algunas de las ventajas:
Descargar aplicaciones de Microsoft Store. Si su empresa decide distribuir aplicaciones o software a través de Microsoft Store, un usuario empresarial puede usar una cuenta de Microsoft para descargar y usar las aplicaciones en hasta cinco dispositivos que ejecuten cualquier versión de Windows 10, Windows 8.1, Windows 8 o Windows RT.
Inicio de sesión único. Un usuario empresarial puede usar las credenciales de cuenta de Microsoft para iniciar sesión en dispositivos que ejecutan Windows 10, Windows 8.1, Windows 8 o Windows RT. En este escenario, Windows funciona con la aplicación de Microsoft Store para proporcionar una experiencia autenticada en la aplicación. Un usuario puede asociar una cuenta de Microsoft con sus credenciales de inicio de sesión para aplicaciones o sitios web de Microsoft Store, para que estas credenciales se transfieran entre todos los dispositivos que ejecutan estas versiones compatibles.
Sincronización de la configuración personalizada. Un usuario puede asociar su configuración de sistema operativo más utilizada con una cuenta de Microsoft. Estas opciones están disponibles cuando el usuario inicia sesión con esa cuenta en cualquier dispositivo que ejecute una versión compatible de Windows y esté conectado a la nube. Después de que un usuario inicie sesión, ese dispositivo intentará obtener automáticamente la configuración del usuario de la nube y aplicarla al dispositivo.
Sincronización de aplicaciones. Las aplicaciones de Microsoft Store pueden almacenar la configuración específica del usuario para que esta configuración esté disponible para cualquier dispositivo. Como ocurre con la configuración del sistema operativo, esta configuración de aplicaciones específica del usuario está disponible siempre que el usuario inicie sesión con la misma cuenta Microsoft en cualquier dispositivo que ejecute una versión compatible de Windows y que esté conectado a la nube. Una vez que el usuario inicia sesión, el dispositivo descarga automáticamente la configuración de la nube y la aplica cuando se instala la aplicación.
Servicios de medios sociales integrados. La información de contacto y el estado de los amigos y asociados de un usuario permanecen actualizados automáticamente desde sitios como Outlook, Facebook, Twitter y LinkedIn. Un usuario también puede acceder y compartir fotos, documentos y otros archivos desde sitios como OneDrive, Facebook y Flickr.
Administración de cuentas de Microsoft en el dominio
En función de los modelos de TI y de negocio, la introducción de cuentas de Microsoft en su empresa puede agregar complejidad o proporcionar soluciones. Debe abordar las consideraciones siguientes antes de permitir el uso de estos tipos de cuenta en su empresa:
Restrincción del uso de cuentas de Microsoft
La siguiente configuración de directiva de grupo ayuda a controlar el uso de cuentas Microsoft en la empresa:
Aplicaciones y servicios: bloquear la autenticación de usuarios de cuentas de Microsoft
Esta configuración controla si un usuario puede proporcionar una cuenta de Microsoft para la autenticación de una aplicación o servicio.
Si esta opción está habilitada, se impide que todas las aplicaciones y servicios de un dispositivo usen una cuenta de Microsoft para la autenticación. Esta configuración se aplica tanto a los usuarios de dispositivos existentes como a los nuevos usuarios.
Cualquier aplicación o servicio que ya haya autenticado a un usuario que usó una cuenta Microsoft no se ve afectado al habilitar esta configuración hasta que expire la caché de autenticación. Se recomienda habilitar esta configuración antes de que cualquier usuario inicie sesión en un dispositivo para evitar que los tokens almacenados en caché autentiquen una cuenta de Microsoft.
Si esta opción está deshabilitada o no está configurada, las aplicaciones y los servicios pueden usar una cuenta de Microsoft para la autenticación. Este valor está deshabilitado de forma predeterminada.
Esta configuración no afecta a si un usuario puede iniciar sesión en un dispositivo mediante una cuenta Microsoft o la capacidad de un usuario de proporcionar una cuenta Microsoft a través del explorador para la autenticación con una aplicación basada en web.
La ruta de acceso a esta configuración es Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cuenta de Microsoft.
Cuentas: Bloquear cuentas Microsoft
Esta configuración impide usar la aplicación Configuración para agregar una cuenta de Microsoft para la autenticación de inicio de sesión único en los servicios de Microsoft y algunos servicios en segundo plano, así como usar una cuenta de Microsoft para el inicio de sesión único en otras aplicaciones o servicios.
Si esta configuración está habilitada, un usuario tiene dos opciones:
El usuario no puede agregar una cuenta de Microsoft. Las cuentas conectadas existentes todavía pueden iniciar sesión en el dispositivo (y aparecen en la página Iniciar sesión). Sin embargo, un usuario no puede usar la aplicación Configuración para agregar una nueva cuenta conectada o para conectar una cuenta local a una cuenta de Microsoft.
El usuario no puede agregar ni iniciar sesión con una cuenta Microsoft. Un usuario no puede agregar una nueva cuenta conectada (o conectar una cuenta local a una cuenta Microsoft) ni usar una cuenta conectada existente a través de Configuración.
Esta configuración no afecta al hecho de agregar una cuenta Microsoft para la autenticación de aplicaciones. Por ejemplo, si esta configuración está habilitada, un usuario todavía puede proporcionar una cuenta de Microsoft para la autenticación con una aplicación como Correo, pero el usuario no puede usar la cuenta de Microsoft para la autenticación de inicio de sesión único en otras aplicaciones o servicios. Para otras aplicaciones y servicios, se pide al usuario que se autentique.
Esta característica no está configurada de forma predeterminada.
La ruta de acceso a esta configuración es Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.
Configuración de cuentas conectadas
Un usuario puede conectar una cuenta de Microsoft a su cuenta de dominio y sincronizar la configuración y las preferencias entre las cuentas. Al sincronizar la configuración y las preferencias entre cuentas, el usuario ve el mismo fondo de escritorio, la configuración de la aplicación, el historial del explorador y los favoritos, y otras opciones de configuración de la cuenta de Microsoft en sus otros dispositivos.
Desconexión de una cuenta conectada
Un usuario puede desconectar una cuenta de Microsoft de su cuenta de dominio en cualquier momento: en Configuración del equipo, seleccione Usuarios>Desconectar>finalizar.
Nota
La conexión de una cuenta de Microsoft a una cuenta de dominio puede limitar el acceso a algunas tareas con privilegios elevados en Windows. Por ejemplo, el Programador de tareas evalúa la cuenta de Microsoft conectada para el acceso y se produce un error. En este escenario, el propietario de la cuenta debe desconectar la cuenta.
Aprovisionamiento de cuentas de Microsoft en la empresa
Una cuenta de Microsoft es una cuenta de usuario privada. Microsoft no proporciona una manera de aprovisionar cuentas de Microsoft para una empresa. Las empresas deben usar cuentas de dominio.
Auditoría de la actividad de las cuentas
Dado que una cuenta Microsoft está basada en Internet, Windows no tiene una manera de auditar una cuenta de Microsoft, a menos que la cuenta esté asociada a una cuenta de dominio. No se puede auditar la actividad de las cuentas que no están asociadas con el dominio porque un usuario puede desconectar la cuenta o dejar el dominio en cualquier momento.
Restablecimiento de una contraseña
Solo el propietario de una cuenta de Microsoft puede cambiar la contraseña asociada a la cuenta. Un usuario puede cambiar la contraseña de su cuenta de Microsoft en el portal de inicio de sesión de la cuenta de Microsoft.
Restricción de la instalación y el uso de aplicaciones
Dentro de su organización, puede establecer directivas de control de aplicaciones para regular la instalación y el uso de aplicaciones con cuentas de Microsoft. Para obtener más información sobre las aplicaciones empaquetadas, consulte AppLocker y Aplicaciones empaquetadas y reglas del instalador de aplicaciones empaquetadas en AppLocker.