Compartir vía


Administración de métodos de autenticación para el Id. de Microsoft Entra

El identificador de Microsoft Entra permite el uso de una variedad de métodos de autenticación para dar cabida a una amplia variedad de escenarios de inicio de sesión. Los administradores pueden configurar específicamente cada método para cumplir sus objetivos de experiencia y seguridad de los usuarios. En este tema se explica cómo administrar los métodos de autenticación para identificador de Microsoft Entra y cómo afectan las opciones de configuración a los escenarios de inicio de sesión de usuario y restablecimiento de contraseña.

Directiva de métodos de autenticación

La directiva de métodos de autenticación es la manera recomendada de administrar métodos de autenticación, incluidos métodos modernos como la autenticación sin contraseña. Los administradores de directivas de autenticación pueden editar esta directiva para habilitar métodos de autenticación para todos los usuarios o grupos específicos.

Los métodos habilitados en la directiva de métodos de autenticación normalmente se pueden usar en cualquier lugar de Microsoft Entra ID, tanto en escenarios de autenticación como de restablecimiento de contraseña. La excepción es que algunos métodos están intrínsecamente limitados a su uso en la autenticación, como FIDO2 y Windows Hello para empresas, y otros están limitados a su uso en el restablecimiento de la contraseña, como las preguntas de seguridad. Para obtener más control sobre qué métodos se pueden usar en un escenario de autenticación determinado, considere la posibilidad de usar la característica Intensidad de autenticación.

La mayoría de los métodos también tienen parámetros de configuración para controlar de forma más precisa cómo se puede usar ese método. Por ejemplo, si habilita Llamadas de voz, también puede especificar si se puede usar el teléfono del trabajo además del teléfono móvil.

O bien, supongamos que quiere habilitar la autenticación sin contraseña con Microsoft Authenticator. Puede establecer parámetros adicionales, como mostrar la ubicación de inicio de sesión del usuario o el nombre de la aplicación en la que se inicia sesión. Estas opciones proporcionan más contexto para los usuarios cuando inician sesión y ayudan a evitar aprobaciones accidentales de MFA.

Para administrar la directiva de métodos de autenticación, inicie sesión en el Centro de administración de Microsoft Entra con permisos de administrador de directivas de autenticación como mínimo y vaya a Protección>Métodos de autenticación>Directivas.

Captura de pantalla de la directiva de métodos de autenticación.

Solo la experiencia de registro convergente conoce la directiva de métodos de autenticación. Los usuarios en el ámbito de la directiva de métodos de autenticación, pero no de la experiencia de registro convergente, no verán los métodos correctos para registrarse.

Directivas de MFA y SSPR heredadas

Otras dos directivas, ubicadas en la configuración de autenticación multifactor y la configuración de restablecimiento de contraseña, proporcionan una manera heredada de administrar algunos métodos de autenticación para todos los usuarios del inquilino. No puede controlar quién usa un método de autenticación habilitado ni cómo se puede usar el método.

Se necesita un administrador global para administrar esta función.

Importante

En marzo de 2023, anunciamos el desuso de la administración de métodos de autenticación en las directivas heredadas de autenticación multifactor y autoservicio de restablecimiento de contraseña (SSPR). A partir del 30 de septiembre de 2025, los métodos de autenticación no se pueden administrar en estas directivas heredadas de MFA y SSPR. Se recomienda que los clientes usen el control de migración manual para migrar a la directiva de métodos de autenticación por la fecha de desuso.

Para administrar la directiva de MFA heredada, seleccione Seguridad>Autenticación multifactor>Configuración adicional de la autenticación multifactor basada en la nube.

Captura de pantalla de la configuración del servicio MFA.

Para administrar métodos de autenticación para el autoservicio de restablecimiento de contraseña (SSPR), haga clic en Restablecimiento de contraseña>Métodos de autenticación. La opción Teléfono móvil de esta directiva permite enviar llamadas de voz o mensajes de texto a un teléfono móvil. La opción Teléfono del trabajo solo permite llamadas de voz.

Captura de pantalla de la configuración de restablecimiento de contraseña.

Funcionamiento conjunto de las directivas

La configuración no se sincroniza entre las directivas, lo que permite a los administradores administrar cada directiva de forma independiente. Identificador de Microsoft Entra respeta la configuración de todas las directivas para que un usuario que esté habilitado para un método de autenticación en cualquier directiva pueda registrar y usar ese método. Para evitar que los usuarios usen un método, debe deshabilitarlo en todas las directivas.

Veamos un ejemplo en el que un usuario que pertenece al grupo de contabilidad quiere registrar Microsoft Authenticator. El proceso de registro comprueba primero la directiva de métodos de autenticación. Si el grupo de contabilidad está habilitado para Microsoft Authenticator, el usuario puede registrarlo.

Si no es así, el proceso de registro comprueba la directiva de MFA heredada. En esa directiva, cualquier usuario puede registrar Microsoft Authenticator si una de estas opciones está habilitada para MFA:

  • Notificación a través de aplicación móvil
  • Código de verificación de aplicación móvil o token de hardware

Si el usuario no puede registrar Microsoft Authenticator en función de ninguna de esas directivas, el proceso de registro comprueba la directiva de SSPR heredada. En esa directiva también, un usuario puede registrar Microsoft Authenticator si el usuario está habilitado para SSPR y cualquiera de estas configuraciones está habilitada:

  • Notificación en aplicación móvil
  • Código de aplicación móvil

En el caso de los usuarios habilitados para Teléfono móvil en SSPR, el control independiente entre las directivas puede afectar al comportamiento de inicio de sesión. Mientras que las demás directivas tienen opciones distintas para mensajes de texto y llamadas de voz, Teléfono móvil en SSPR permite ambas opciones. Como resultado, cualquier persona que use Teléfono móvil en el método SSPR también puede usar llamadas de voz para el restablecimiento de contraseña, incluso si las demás directivas no permiten este tipo de llamadas.

Del mismo modo, supongamos que habilita Llamadas de voz para un grupo. Después de habilitar esta opción, encontrará que incluso los usuarios que no son miembros del grupo pueden iniciar sesión con una llamada de voz. En este caso, es probable que esos usuarios estén habilitados para Teléfono móvil en la directiva de SSPR heredada o para Llamada al teléfono en la directiva de MFA heredada.

Migración entre directivas

La directiva Métodos de autenticación proporciona una guía de migración para ayudar a unificar la administración de todos los métodos de autenticación. Todos los métodos deseados se pueden habilitar en la directiva Métodos de autenticación si la directiva tiene como destino grupos de usuarios previstos o todos los usuarios. La guía de migración de métodos de autenticación automatiza los pasos para auditar la configuración de directiva actual de MFA y SSPR y consolidarlos en la directiva de métodos de autenticación. Puede acceder a la guía desde el Centro de administración de Microsoft Entra; para ello, vaya a Protección>Métodos de autenticación>Directivas.

Captura de pantalla de la hoja Directiva de métodos de autenticación con el punto de entrada del asistente resaltado.

También puede migrar la configuración de directiva manualmente. La migración tiene tres opciones de configuración para permitirle moverse a su propio ritmo y evitar problemas con el inicio de sesión o el autoservicio de restablecimiento de contraseña durante la transición.

Una vez completada la migración, se pueden deshabilitar los métodos de las directivas de MFA y SSPR heredadas. Puede centralizar el control sobre los métodos de autenticación de inicio de sesión y SSPR en un solo lugar, y se deshabilitarán las directivas de MFA y SSPR heredadas.

Nota:

Las preguntas de seguridad solo se pueden habilitar hoy mediante la directiva de SSPR heredada. Si usa preguntas de seguridad y no quiere deshabilitarlas, asegúrese de mantenerlas habilitadas en la directiva de SSPR heredada hasta que haya disponible un nuevo control. Puede migrar el resto de los métodos de autenticación y seguir administrando las preguntas de seguridad en la directiva de SSPR heredada.

Para ver las opciones de migración, abra la directiva de métodos de autenticación y haga clic en Administrar migración.

Captura de pantalla de las opciones de migración.

En la siguiente tabla se describe cada una de las opciones.

Opción Descripción
Antes de la migración La directiva de métodos de autenticación solo se usa para la autenticación.
Se respeta la configuración de las directivas heredadas.
Migración en curso La directiva de métodos de autenticación se usa para la autenticación y el autoservicio de restablecimiento de contraseña.
Se respeta la configuración de las directivas heredadas.
Migración completada Solo se usa la directiva de métodos de autenticación para la autenticación y el autoservicio de restablecimiento de contraseña.
La configuración de directivas heredadas se omite.

Los inquilinos se establecen en migración previa o migración en curso de forma predeterminada, en función del estado actual de su inquilino. Si empieza en Anterior a la migración, puede moverse a cualquiera de los estados en cualquier momento. Si empieza en Migración en curso, puede cambiar entre Migración en curso y Finalizado en Microsoft en cualquier momento, pero no podrá pasar a Anterior a la migración. Si pasa a migración completada y, luego, decide revertir a un estado anterior, le preguntaremos el motivo para que podemos evaluar el rendimiento del producto.

Captura de pantalla de los motivos de la reversión.

Nota

Después de migrar completamente todos los métodos de autenticación, los siguientes elementos de la directiva de SSPR heredada permanecen activos:

  • Control Número de métodos necesarios para el restablecimiento: los administradores pueden seguir modificando cuántos métodos de autenticación se deben comprobar antes de que un usuario pueda llevar a cabo el SSPR.
  • Directiva de administrador de SSPR: los administradores pueden seguir registrando y usando los métodos enumerados en la directiva de administrador de SSPR heredada o los métodos que están habilitados para su uso en la directiva de métodos de autenticación.

En el futuro, ambas características se integrarán con la directiva de métodos de autenticación.

Problemas y limitaciones conocidos

  • En las actualizaciones recientes se ha quitado la capacidad de dirigirse a usuarios individuales. Los usuarios de destino anteriores permanecerán en la directiva, pero se recomienda moverlos a un grupo de destino.
  • Se puede producir un error en el registro de un método de autenticación si muchos grupos se incluyen en la directiva de métodos de autenticación o en una campaña de registro. Se recomienda consolidar varios grupos en un único grupo para cada método de autenticación. Para mantener el registro de los usuarios durante la consolidación, agregue el nuevo grupo y quite los grupos actuales en la misma operación.

Pasos siguientes