Editar

Compartir vía

Administración de métodos de autenticación de usuario para la autenticación multifactor de Microsoft Entra

  • Procedimientos

Los usuarios de Microsoft Entra ID tienen dos conjuntos distintos de información de contacto:

  • Información de contacto de perfil público, que se administra en el perfil del usuario y es visible para los miembros de la organización. En el caso de los usuarios sincronizados desde Windows Server AD, esta información se administra en la instancia local de Windows Server Active Directory Domain Services.
  • Los métodos de autenticación, que siempre se mantienen privados y solo se usan para la autenticación, incluida la opción de autenticación multifactor. Los administradores pueden administrar estos métodos en la hoja del método de autenticación de un usuario, y los usuarios pueden administrar sus métodos en la página Información de seguridad de sus cuentas.

Al administrar los métodos de Microsoft Entra autenticación multifactor para los usuarios, los administradores de autenticación pueden:

  • Agregar métodos de autenticación para un usuario específico, incluidos los números de teléfono usados para MFA.
  • Restablecer la contraseña de un usuario.
  • Requerir que un usuario vuelva a registrarse para MFA.
  • Revocar las sesiones de MFA existentes.
  • Eliminar todas las contraseñas de aplicación existentes del usuario.

Nota:

Las capturas de pantalla de este tema muestran cómo administrar métodos de autenticación de usuario a través de una experiencia actualizada del Centro de administración Microsoft Entra. También hay una experiencia heredada y los administradores pueden activar una u otra mediante un banner en el centro de administración. La experiencia moderna presenta una paridad completa con la experiencia heredada y administra métodos modernos como el pase de acceso temporal, las llaves de acceso y otras configuraciones. La experiencia heredada en el Centro de administración de Microsoft Entra se retiró el 31 de octubre de 2024. Las organizaciones no deben realizar ninguna acción antes de la retirada.

Requisitos previos

Autenticación multifactor de Microsoft Entra, que está habilitada de forma predeterminada.

Adición o cambio de métodos de autenticación para un usuario

Puede agregar o cambiar métodos de autenticación para un usuario mediante el Centro de administración de Microsoft Entra o Microsoft Graph PowerShell. En el Centro de administración de Microsoft Entra, el método leagcy para administrar los métodos de autenticación de usuario se retiró después del 31 de octubre de 2024.

Nota:

Por motivos de seguridad, los campos de información pública de contacto del usuario no deben usarse para realizar MFA. En su lugar, los usuarios deben rellenar los números del método de autenticación que se usarán para MFA.

Captura de pantalla de cómo agregar métodos de autenticación desde el Centro de administración Microsoft Entra.

Para agregar o cambiar los métodos de autenticación de un usuario en el Centro de administración de Microsoft Entra:

  1. Inicia sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.
  2. Vaya aIdentidad>Usuarios>Todos los usuarios.
  3. Elija el usuario para el que desea agregar o cambiar un método de autenticación y seleccione Métodos de autenticación.
  4. En la parte superior de la ventana, selecciona + Agregar método de autenticación.
    • Selecciona un método (número de teléfono o correo electrónico). El correo electrónico se puede usar para restablecer la contraseña automáticamente, pero no para la autenticación. Al agregar un número de teléfono, selecciona un tipo de teléfono y escribe un número de teléfono con un formato válido (como +1 4255551234).
    • Seleccione Agregar.

Los usuarios pueden agregar o editar sus propios métodos de autenticación en Mis inicios de sesión | Información de seguridad. Por ejemplo, para cambiar el número de teléfono, seleccione Número de teléfono y pulse Cambiar.

Administración de métodos mediante PowerShell

Instala el módulo de PowerShell Microsoft.Graph.Identity.Signins con los siguientes comandos.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Administración de opciones de autenticación de usuarios

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

Los administradores de autenticación pueden requerir a los usuarios que restablezcan su contraseña, que vuelvan a registrarse para MFA o que revoquen las sesiones de MFA desde su objeto de usuario. Los usuarios no pueden actualizar su propio objeto de usuario. Para cambiar o restablecer sus propios métodos de seguridad, los usuarios pueden ir a Información de seguridad o al autoservicio de restablecimiento de contraseña para restablecer su contraseña. Para administrar la configuración de usuario, completa los siguientes pasos:

  1. Inicia sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.

  2. Vaya aIdentidad>Usuarios>Todos los usuarios.

  3. Elige el usuario en el que quieres realizar una acción y selecciona Métodos de autenticación. En la parte superior de la ventana, elige una de las siguientes opciones para el usuario:

    • Restablecer contraseña restablece la contraseña del usuario y asigna una contraseña temporal que se debe cambiar en el siguiente inicio de sesión.
    • El doble registro necesario MFA desactiva los tokens OATH del hardware del usuario y elimina los siguientes métodos de autenticación de este usuario: números de teléfono, la aplicación Microsoft Authenticator y los tokens OATH de software. Si es necesario, se solicita al usuario que configure un nuevo método de autenticación MFA la próxima vez que inicie sesión.
    • Revocar sesiones de MFA borra las sesiones de MFA recordadas del usuario y le pide que realice MFA la próxima vez que la directiva lo exija en el dispositivo.

    Captura de pantalla de la administración de métodos de autenticación desde el Centro de administración de Microsoft Entra.

Eliminación de las contraseñas de aplicación existentes de los usuarios

En el caso de los usuarios que hayan definido contraseñas de aplicación, los administradores también pueden eliminar esas contraseñas, lo que provocará un error en la autenticación heredada en esas aplicaciones. Estas acciones pueden ser necesarias si necesita proporcionar asistencia a un usuario o necesita restablecer sus métodos de autenticación. Las aplicaciones que no son de explorador asociadas a estas contraseñas de aplicación dejan de funcionar hasta que se crea una nueva contraseña de aplicación.

Para eliminar las contraseñas de aplicación de un usuario, siga estos pasos:

  1. Inicia sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.

  2. Vaya aIdentidad>Usuarios>Todos los usuarios.

  3. Seleccione Autenticación multifactor. Es posible que tenga que desplazarse hacia la derecha para ver esta opción de menú. Seleccione la siguiente captura de pantalla de ejemplo para ver la ventana completa y la ubicación del menú: Captura de pantalla de la selección de la autenticación multifactor en la ventana Usuarios de Microsoft Entra ID.

  4. Active la casilla junto al usuario o usuarios que desea administrar. Aparecerá una lista de opciones de paso rápido a la derecha.

  5. Seleccione Administrar configuración de usuario y active la casilla Eliminar todas las contraseñas de aplicación existentes generadas por los usuarios seleccionados, tal como se muestra en el ejemplo siguiente: Captura de pantalla de la eliminación de todas las contraseñas de aplicación existentes.

  6. Seleccione Guardar y luego Cerrar.

Contenido relacionado