Soporte de claves de acceso en Authenticator en el inquilino Microsoft Entra ID

En este artículo se tratan los problemas que pueden ver los usuarios cuando usan claves de acceso en Authenticator y las posibles formas de que los administradores los resuelvan.

Almacenar claves de paso en perfiles de Android

Las claves de acceso en Android solo se usan desde el perfil donde se almacenan. Si una clave de acceso se almacena en un perfil de Android Work, se usa desde ese perfil. Si una clave de acceso se almacena en un perfil de Android Personal, se usa desde ese perfil. Para asegurarse de que los usuarios pueden acceder y usar la clave de acceso que necesitan, los usuarios con un perfil de Android Personal y un perfil de Android Work deben crear sus claves de acceso en Authenticator para cada perfil.

Soluciones alternativas

Use las siguientes soluciones alternativas para problemas de clave de paso de Authenticator.

Soluciones alternativas para un bucle de directiva de acceso condicional de seguridad de autenticación

Los usuarios pueden entrar en un bucle cuando intentan agregar una clave de acceso en Authenticator si una directiva de acceso condicional requiere autenticación resistente a la suplantación de identidad para acceder a Todos los recursos (anteriormente"Todas las aplicaciones en la nube"). Por ejemplo:

• Condición: Todos los dispositivos (Windows, Linux, macOS, Windows, Android)
• Recurso de destino: todos los recursos (anteriormente "Todas las aplicaciones en la nube")
• Concesión de control: Seguridad de la autenticación: requerir la clave de acceso en Authenticator

La directiva obliga a los usuarios dirigidos a usar una clave de acceso para iniciar sesión en todas las aplicaciones en la nube, lo que incluye la aplicación Authenticator. Requiere que los usuarios usen una clave de acceso cuando intenten agregar una clave de acceso en Authenticator en Android o iOS.

Estas son algunas soluciones alternativas:

• Puede filtrar por aplicaciones y pasar el destino de directiva de Todos los recursos (anteriormente "Todas las aplicaciones en la nube") a aplicaciones específicas. Comience con una revisión de las aplicaciones que se usan en el inquilino. Use filtros para etiquetar Authenticator y otras aplicaciones.

• Para reducir aún más los costos de soporte técnico, puede ejecutar una campaña interna para ayudar a los usuarios a adoptar claves de acceso antes de aplicarlas. Cuando esté listo para aplicar el uso de la clave de acceso, cree dos directivas de acceso condicional:

  • Una directiva para las versiones del sistema operativo móvil (SO)
  • Una directiva para las versiones del sistema operativo de escritorio

  Requerir una seguridad de autenticación diferente para cada directiva y configurar otras opciones de directiva enumeradas en la tabla siguiente. Puede habilitar un pase de acceso temporal (TAP) para los usuarios o habilitar otros métodos de autenticación para ayudar a los usuarios a registrar la clave de paso.

  Un TAP limita el tiempo en que los usuarios pueden registrar una clave de acceso. Solo puede aceptarlo en plataformas móviles en las que permita el registro de la clave de acceso.

  Directiva de acceso condicional	Sistema operativo de escritorio	Sistema operativo móvil
  Nombre	Requerir una clave de acceso en Authenticator para acceder a un sistema operativo de escritorio.	Requerir un TAP, una credencial resistente a la suplantación de identidad o cualquier otro método de autenticación especificado para acceder a un sistema operativo móvil.
  Condición	Dispositivos específicos (sistemas operativos de escritorio).	Dispositivos específicos (sistemas operativos móviles).
  Dispositivos	N/A.	Android, iOS.
  Excluir dispositivos	Android, iOS.	N/A.
  Recurso de destino	Todos los recursos.	Todos los recursos.
  Conceder control	Seguridad de autenticación.	Seguridad de autenticación.1
  Métodos	Clave de paso en Authenticator.	Pulse clave de acceso en Authenticator.
  Resultado de la directiva	Los usuarios que no pueden iniciar sesión con una clave de paso en Authenticator se dirigen al modo del asistente Mis inicios de sesión. Después del registro, se les pide que inicien sesión en Authenticator en su dispositivo móvil.	Los usuarios que inician sesión en Authenticator con un TAP u otro método permitido pueden registrar una clave de paso directamente en Authenticator. No se produce ningún bucle porque el usuario cumple los requisitos de autenticación.

  ¹Para que los usuarios registren nuevos métodos de inicio de sesión, el control de concesión de la directiva móvil debe coincidir con la directiva de acceso condicional para registrar Información de seguridad.

Nota:

Con cualquiera de las soluciones alternativas, los usuarios también deben cumplir cualquier directiva de acceso condicional que tenga como destino Registrar información de seguridado no puedan registrar la clave de paso. Si tiene otras condiciones configuradas con las directivas Todos los recursos, dichas condiciones deberán cumplirse cuando se registre la clave de acceso.

Usuarios que no pueden registrar claves de acceso debido a la directiva Requerir aplicación cliente aprobada o Requerir protección de aplicación Controles de concesión de acceso condicional

Los usuarios no pueden registrar claves de acceso en Authenticator si se incluyen en la siguiente directiva de acceso condicional:

• Condición: Todos los dispositivos (Windows, Linux, macOS, Windows, Android)
• Recurso de destino: todos los recursos (anteriormente "Todas las aplicaciones en la nube")
• Conceder control: Requerir aplicación cliente aprobada o Requerir directiva de protección de aplicaciones

La directiva obliga a los usuarios a iniciar sesión en todas las aplicaciones en la nube mediante una aplicación compatible con Directivas de protección de aplicaciones de Microsoft Intune. Authenticator no admite esta directiva en Android o iOS.

Estas son algunas soluciones alternativas:

• Puede filtrar por aplicaciones y pasar el destino de directiva de Todos los recursos (anteriormente "Todas las aplicaciones en la nube") a aplicaciones específicas. Comience con una revisión de las aplicaciones que se usan en el inquilino. Use filtros para etiquetar las aplicaciones adecuadas.

• Puede usar la administración de dispositivos móviles (MDM) y el control Requerir que el dispositivo se marque como compatible. Authenticator puede satisfacer este control de concesión si MDM administra completamente el dispositivo y es compatible. Por ejemplo:

  • Condición: Todos los dispositivos (Windows, Linux, macOS, Windows, Android)
  • Recurso de destino: todos los recursos (anteriormente "Todas las aplicaciones en la nube")
  • Conceder control: Requerir aplicación cliente aprobada, o Requerir directiva de protección de aplicaciones, o Requerir que el dispositivo se marque como compatible.

• Puede conceder a los usuarios una exención temporal de la directiva de acceso condicional. Se recomienda usar uno o varios controles de compensación:

  • Permita la exención solo durante un período de tiempo limitado. Comunicarse con el usuario cuando se le permite registrar una clave de acceso. Quite la exención después del período de tiempo. Después, dirija a los usuarios para que llamen al departamento de soporte técnico si han perdido su tiempo.
  • Use otra directiva de acceso condicional para requerir que los usuarios solo se registren desde una ubicación de red específica o un dispositivo compatible.

Nota:

Con cualquier solución alternativa propuesta, los usuarios también deben satisfacer cualquier directiva de acceso condicional que tenga como destino Registrar información de seguridad o no puedan registrar la clave de acceso. Si tiene otras condiciones configuradas con las directivas Todos los recursos, también deben cumplirse antes de que los usuarios puedan registrar una clave de acceso.

Restricción del uso de Bluetooth para las claves de acceso en Authenticator

Algunas organizaciones restringen el uso de Bluetooth, que incluye el uso de claves de acceso. En tales casos, las organizaciones pueden permitir el emparejamiento de Bluetooth exclusivamente con autenticadores FIDO2 habilitados para la clave de paso. Para obtener más información sobre cómo configurar el uso de Bluetooth solo para claves de paso, consulte Claves de paso en entornos restringidos por Bluetooth.

Contenido relacionado

• Para obtener más información sobre las claves de paso en Authenticator, consulte Método de autenticación de Microsoft Authenticator.
• Para habilitar las claves de paso en Authenticator como una manera de que los usuarios inicien sesión, consulte Habilitar claves de acceso en Microsoft Authenticator.