Compartir vía


Autenticación multifactor preferida por el sistema: directiva de métodos de autenticación

La autenticación multifactor (MFA) preferida por el sistema solicita a los usuarios que inicien sesión con el método más seguro que registraron. Es una mejora de seguridad importante para los usuarios que se autentican mediante transportes de telecomunicaciones. Los administradores pueden habilitar la MFA preferida por el sistema para mejorar la seguridad de inicio de sesión y desalentar los métodos de inicio de sesión menos seguros, como los SMS.

Por ejemplo, si un usuario registró SMS y notificaciones push de Microsoft Authenticator como métodos para la MFA, la MFA preferida por el sistema solicitará al usuario que inicie sesión con el método de notificación push, que es más seguro. Aún así, el usuario puede optar por iniciar sesión con otro método, pero primero se le pedirá que pruebe el método más seguro que registró.

La MFA preferida por el sistema es una configuración administrada por Microsoft que consiste en una directiva tristate. El valor administrada por Microsoft de la MFA preferida por el sistema es Habilitado. Si no desea habilitar la MFA preferida por el sistema, cambie el estado de administrada por Microsoft a Deshabilitado o excluya usuarios y grupos de la directiva.

Después de habilitar la MFA preferida por el sistema, el sistema de autenticación realiza todo el trabajo. Los usuarios no necesitan establecer ningún método de autenticación como predeterminado porque el sistema siempre determina y presenta el método más seguro que registraron.

Habilitación de MFA preferida por el sistema en el Centro de administración de Microsoft Entra

De forma predeterminada, la MFA preferida por el sistema es administrada por Microsoft y está deshabilitada para todos los usuarios.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Protección>Métodos de autenticación>Configuración.

  3. Para la Autenticación multifactor preferida por el sistema, elija si habilitar o deshabilitar explícitamente la característica e incluir o excluir a los usuarios. Los grupos excluidos tienen prioridad sobre los grupos de inclusión.

    Por ejemplo, en la captura de pantalla siguiente se muestra cómo habilitar explícitamente la MFA preferida por el sistema solo para el grupo Ingeniería.

    Captura de pantalla que muestra cómo habilitar la configuración de Microsoft Authenticator para el modo de autenticación de inserción.

  4. Cuando termine de realizar los cambios, haga clic en Guardar.

Habilitación de MFA preferida por el sistema mediante Graph API

Para habilitar la MFA preferida por el sistema de antemano, debe elegir un único grupo de destino para la configuración del esquema, como se muestra en el ejemplo de Solicitud.

Propiedades de configuración de las características del método de autenticación

De forma predeterminada, la MFA preferida por el sistema es administrada por Microsoft y está habilitada.

Propiedad Tipo Descripción
excludeTarget featureTarget De esta característica se excluye solo una entidad.
Solo puede excluir un grupo de la MFA preferida por el sistema, que puede ser un grupo dinámico o anidado.
includeTarget featureTarget En esta característica se incluye solo una entidad.
Solo puede incluir un grupo para la MFA preferida por el sistema, que puede ser un grupo dinámico o anidado.
State advancedConfigState Los valores posibles son:
enabled habilita explícitamente la característica para el grupo seleccionado.
disabled deshabilita explícitamente la característica para el grupo seleccionado.
default permite a Microsoft Entra ID administrar si la característica está habilitada o no para el grupo seleccionado.

Propiedades de destino de las características

La MFA preferida por el sistema solo se puede habilitar para un único grupo, que puede ser un grupo dinámico o anidado.

Propiedad Tipo Descripción
ID String Identificador de registro de la entidad.
targetType featureTargetType Tipo de entidad de destino, como grupo, rol o unidad administrativa. Los valores posibles son: "group", "administrativeUnit", "role", "unknownFutureValue".

Use el siguiente punto de conexión de API para habilitar systemCredentialPreferences e incluir o excluir grupos:

https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy

Nota:

En el Explorador de Graph, necesitará dar su consentimiento al permiso Policy.ReadWrite.AuthenticationMethod.

Solicitud

En el ejemplo siguiente se excluye un grupo de destino de ejemplo e incluye a todos los usuarios. Para obtener más información, consulte Update authenticationMethodsPolicy.

PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

Preguntas más frecuentes

¿Cómo determina la MFA preferida por el sistema el método más seguro?

Cuando un usuario inicia sesión, el proceso de autenticación comprueba qué métodos de autenticación se registran para el usuario. Se solicita al usuario que inicie sesión con el método más seguro según el orden siguiente. El orden de los métodos de autenticación es dinámico. Se actualiza a medida que cambia el panorama de seguridad y a medida que surgen mejores métodos de autenticación. Debido a problemas conocidos con la autenticación basada en certificados (CBA) y la MFA preferida por el sistema, hemos movido la CBA a la parte inferior de la lista. Haga clic en el vínculo para obtener más información sobre cada método.

  1. Pase de acceso temporal
  2. Clave de paso (FIDO2)
  3. Notificaciones de Microsoft Authenticator
  4. Contraseñas de un solo uso y duración definida1
  5. Telefonía2
  6. Autenticación basada en certificados

1 Incluye TOTP de hardware o software de Microsoft Authenticator, Authenticator Lite o aplicaciones de terceros.

2 Incluye SMS y llamadas de voz.

¿Cómo afecta la MFA preferida por el sistema a la extensión NPS?

La MFA preferida por el sistema no afecta a los usuarios que inician sesión mediante la extensión del servidor de directivas de red (NPS). Esos usuarios no verán ningún cambio en su experiencia de inicio de sesión.

¿Qué ocurre para los usuarios que no se especifican en la directiva de métodos de autenticación pero están habilitados para la directiva de MFA heredada para todo el inquilino?

La MFA preferida por el sistema también se aplica a los usuarios que están habilitados para MFA en la directiva de MFA heredada.

Captura de pantalla de la configuración de MFA heredada.

Pasos siguientes