Inicie sesión en Visual Studio con cuentas que requieran autenticación multifactor (MFA)

En este artículo, aprenderá a usar Visual Studio con cuentas que requieren autenticación multifactor (MFA).

¿Por qué habilitar políticas de MFA?

Al colaborar con los usuarios externos invitados, es una buena idea proteger sus aplicaciones y datos con directivas de acceso condicional (CA) como, por ejemplo, autenticación multifactor (MFA).

Una vez habilitado, los usuarios invitados necesitarán más que un nombre de usuario y una contraseña para acceder a los recursos y deben cumplir los requisitos de seguridad adicionales. Las directivas de MFA se pueden aplicar a nivel de entidad, aplicación, o usuario invitado individual, de la misma manera que se habilitan para los miembros de su propia organización.

Nota

Las versiones de Visual Studio anteriores a la 16.6 pueden tener experiencias de autenticación degradadas cuando se usan con cuentas que tienen directivas de CA habilitadas, como MFA, y están asociadas a dos o más inquilinos.

Estos problemas pueden provocar que la instancia de Visual Studio solicite la reautenticación varias veces al día. Es posible que tenga que volver a escribir las credenciales de los inquilinos autenticados previamente, incluso durante el transcurso de la misma sesión de Visual Studio.

Uso de Visual Studio con directivas de MFA

Con visual Studio 2022, versión 17.11, el agente de autenticación de Windows es ahora el flujo de trabajo predeterminado para agregar y volver a autenticar cuentas en Visual Studio.

El agente de autenticación de Windows usa administrador de cuentas web (WAM) y ofrece muchas ventajas, como seguridad, compatibilidad mejorada con MFA e integración sin problemas entre las cuentas agregadas al sistema operativo y Visual Studio. El uso de WAM como mecanismo de autenticación en Visual Studio facilita el acceso a los recursos protegidos mediante directivas de CA, como MFA.

Si tiene problemas con al usar WAM, se recomienda usar el explorador web del sistema como alternativa para agregar y volver a autenticar cuentas de Visual Studio.

Advertencia

No usar este flujo de trabajo podría desencadenar una experiencia degradada, lo que da lugar a varias solicitudes de autenticación adicionales al agregar o volver a autenticar cuentas de Visual Studio.

Uso del agente de autenticación de Windows

Para empezar a usar WAM como mecanismo de autenticación en Visual Studio:

1. Actualice a Visual Studio 2022 versión 17.11 o posterior.

2. Seleccione una cuenta en el cuadro de diálogo WAM cuando se le solicite. Si la cuenta no aparece, agréguela mediante Agregar una cuenta.

   

Puede administrar las cuentas desde el cuadro de diálogo Configuración de la cuenta en Visual Studio.

El uso del Administrador de cuentas de Windows (WAM) como mecanismo de autenticación en Visual Studio es el flujo de trabajo recomendado para agregar y volver a autenticar cuentas. Sin embargo, si tiene algún problema con al usar WAM, puede cambiar al navegador web del sistema.

Habilitación del explorador web del sistema

Nota

Para obtener la mejor experiencia, se recomienda borrar los datos predeterminados del explorador web del sistema antes de continuar con este flujo de trabajo. Además, si tienes cuentas de trabajo o escuela en la configuración de Windows 10 bajo Acceso a trabajo o escuela, por favor verifica que estén autenticadas correctamente.

Para habilitar el flujo de trabajo de explorador web del sistema, vaya al cuadro de diálogo Opciones de Visual Studio (Herramientas > Opciones...), seleccione la pestaña Cuentas y elija Explorador web del sistema en la lista desplegable Agregar y volver a autenticar cuentas con:.

Inicio de sesión en cuentas adicionales con directivas de MFA

Puede iniciar sesión o agregar cuentas a Visual Studio mediante la tarjeta de perfil o el cuadro de diálogo de Configuración de la cuenta (Archivo > Configuración de la cuenta…).

Agente de autenticación de Windows

Una vez habilitado el flujo de trabajo del agente de autenticación de Windows, puede iniciar sesión o agregar cuentas a Visual Studio como lo haría normalmente. El Administrador de cuentas web (WAM) simplifica la experiencia de inicio de sesión al permitir que los usuarios inicien sesión con cuentas conocidas para Windows, como la cuenta que inició sesión en la sesión de Windows.

navegador web del sistema

Una vez habilitado el flujo de trabajo del explorador web del sistema, puede iniciar sesión o agregar cuentas a Visual Studio como lo haría normalmente.

Esta acción abrirá el explorador web predeterminado del sistema, le pedirá que inicie sesión en su cuenta y valide cualquier directiva MFA necesaria.

Durante el proceso de inicio de sesión, puede recibir un mensaje adicional que le pida que permanezca conectado. Es probable que este mensaje aparezca la segunda vez que se usa una cuenta para iniciar sesión. Para minimizar la necesidad de volver a escribir las credenciales, se recomienda seleccionar Sí, ya que esto garantiza que las credenciales se conservan en las sesiones del explorador.

En función de las actividades de desarrollo y la configuración de recursos, es posible que se le pida que vuelva a escribir sus credenciales durante la sesión. Esto puede ocurrir cuando se agrega un nuevo recurso o se intenta acceder a un recurso sin haber cumplido previamente sus requisitos de autorización de CA/MFA.

Volver a autenticar una cuenta

Si hay un problema con su cuenta, Visual Studio puede pedirle que vuelva a escribir las credenciales de la cuenta.

Al hacer clic en Vuelva a escribir sus credenciales abrirá el explorador web predeterminado del sistema e intentará actualizar automáticamente sus credenciales. Si no tiene éxito, se le pedirá que inicie sesión en su cuenta y valide cualquier directiva de CA/MFA necesaria.

Si su cuenta está asociada a varios directorios de Azure Active Directory y se encuentra en un problema de acceso con uno o varios de ellos, el cuadro de diálogo Volver a escribir las credenciales mostrará los directorios afectados y los códigos de error de AADSTS asociados.

Podrá anular la selección de los directorios que no quiera volver a autenticar y continuar con una operación de inicio de sesión normal con el directorio principal, así como con los inquilinos invitados que permanezcan seleccionados. Los directorios deseleccionados no se podrán utilizar en el futuro hasta que se quite el filtro de cuenta .

Nota

Para obtener la mejor experiencia, mantenga el navegador abierto hasta que se validen todas las directivas de CA/MFA para sus recursos. Cerrar el explorador puede dar lugar a la pérdida del estado MFA compilado anteriormente y puede solicitar solicitudes de autorización adicionales.

Solución de problemas de inicio de sesión

Problemas de CA/MFA

Si experimenta problemas de CA/MFA o no puede iniciar sesión incluso cuando use el explorador web del sistema, pruebe los pasos siguientes para resolver el problema:

1. Cierre la sesión de la cuenta en Visual Studio.
2. Seleccione Herramientas>Opciones>Cuentas> Desactive Autenticar en todos los directorios de Azure Active Directory.
3. Vuelva a iniciar sesión.

Nota

Después de estos pasos, es probable que pueda iniciar sesión, pero la cuenta se colocará en un estado filtrado. Mientras se encuentra en un estado filtrado, solo estarán disponibles los recursos y el inquilino predeterminados de la cuenta. El resto de inquilinos y recursos de Microsoft Entra quedarán inaccesibles, pero puede volver a agregarlos manualmente.

Problemas de autorización previa

A partir de la versión 17.5 de Visual Studio 2022, si ve el cuadro de diálogo de error anterior, pruebe los pasos siguientes para resolver el problema:

1. Cierre la sesión de la cuenta en Visual Studio.
2. Vuelva a iniciar sesión.
3. Cree un nuevo ticket Informe de un Problema explicando la actividad que estaba realizando o el recurso al que estaba intentando acceder antes de encontrar el problema.

Nota

Crear un ticket nos ayudará a identificar áreas problemáticas y proporcionar los registros necesarios para investigar y solucionar el problema.

Errores del Administrador de cuentas web (WAM)

Si se producen errores al usar el flujo de trabajo del agente de autenticación de Windows para iniciar sesión en Visual Studio, siga la acción que aparece en el cuadro de diálogo de error para resolver o notificar el problema. Use los vínculos del cuadro de diálogo para obtener más información sobre el error o para ver los registros de errores.

Error de TPM (módulo de plataforma segura)

Por ejemplo, si ve el siguiente cuadro de diálogo de error, puede intentar resolver el problema siguiendo las instrucciones Solución de problemas de errores de TPM.

Si necesita cambiar a un mecanismo de autenticación distinto de Windows Broker, puede cambiar siguiendo las instrucciones para habilitar el explorador web del sistema. Si esas instrucciones no funcionan y tiene un contrato de soporte, abra una incidencia en Soporte técnico

Cómo no usar un inquilino específico de Microsoft Entra en Visual Studio

Visual Studio 2019, versión 16.6 y versiones posteriores, ofrece la flexibilidad de filtrar los inquilinos de forma individual o global y ocultarlos de forma eficaz desde Visual Studio. El filtrado elimina la necesidad de autenticarse con ese inquilino, pero también significa que no podrá acceder a ningún recurso asociado.

Esta funcionalidad es útil cuando tiene varios inquilinos, pero quiere optimizar el entorno de desarrollo enfocándose en un subconjunto específico. También puede ser útil en casos en los que no se pueda validar una política de Acceso Condicional o de Autenticación Multifactor específica, ya que puede filtrar el cliente problemático.

Cómo filtrar todos los inquilinos

Para filtrar globalmente todos los inquilinos, abra el cuadro de diálogo Configuración de la cuenta (Archivo > Configuración de la cuenta...> Opciones de cuenta) y desactive la casilla Autenticar en todas las instancias de Azure Active Directory.

Al deseleccionar esa opción, se asegura de que solo se autenticará con el inquilino predeterminado de la cuenta. También significa que no podrá acceder a los recursos asociados a otros inquilinos en los que la cuenta podría ser un invitado.

Cómo filtrar inquilinos individuales

Para filtrar los inquilinos asociados a su cuenta de Visual Studio, abra el cuadro de diálogo Configuración de la cuenta (Archivo > Configuración de la cuenta…) y haga clic en Aplicar filtro.

Aparecerá el cuadro de diálogo Filtro de cuenta, que le permite seleccionar qué inquilinos desea usar con su cuenta.

Después de anular la selección del inquilino para filtrar, los cuadros de diálogo Configuración de la cuenta y Filtrar la cuenta mostrarán el estado filtrado.

Errores de red con Visual Studio

Durante el inicio de sesión, Visual Studio puede experimentar errores relacionados con la red que normalmente no son problemas de producto de Visual Studio y es posible que deba investigarse mediante el soporte técnico de TI local.

Error "Se requiere autorización de proxy

Si la máquina u organización usa medidas de seguridad como un firewall o un servidor proxy, asegúrese de seguir los requisitos de para usar Visual Studio detrás de un proxy o firewall.

Errores de SSL

Los errores SSL pueden aparecer en una variedad de formas. Algunos ejemplos son:

• "Se cerró la conexión subyacente"
• "No se pudo establecer la conexión SSL"
• "No se pudo crear el canal seguro SSL/TLS"
• "El host remoto cerró forzadamente una conexión existente". (Esto también puede deberse a firewalls que bloquean la conexión).
• "Se cerró la conexión subyacente: se produjo un error inesperado en el envío"

Estos errores pueden deberse a lo siguiente:

1. Proxy corporativo o firewall que bloquea determinadas versiones de TLS
2. TLS 1.3 está habilitado en la máquina, pero la red no la admite. Puede intentar deshabilitar TLS 1.3 en la máquina para probar si este es el caso.
3. Directiva de grupo que restringe qué algoritmos SSL se permiten y esta lista permitida no coincide con lo que espera el servidor.

Los siguientes recursos pueden resultar útiles para solucionar problemas de SSL:

• Verificador de preparación para la transición a TLS 1.2 de Azure DevOps
• Procedimientos recomendados de seguridad de la capa de transporte (TLS) con .NET Framework
• configuración del Registro TLS

Deshabilitación de TLS 1.3

1.3: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000

Errores de conexión rechazada

"No se pudo establecer ninguna conexión porque la máquina de destino la rechazó activamente"

Este error significa que, cuando Visual Studio intenta establecer una conexión a un punto de conexión de Internet, la máquina rechazó la conexión.

Causas comunes:

• Si la dirección "127.0.0.1" se encuentra en el mensaje de error, significa que se intentó establecer una conexión a un servidor proxy local, pero el servidor proxy local no se estaba ejecutando.

• Conexión VPN: intente desconectar de las VPN e inténtelo de nuevo. Si funciona, querrá realizar un seguimiento con el proveedor de VPN o el administrador de red. Esto incluye vpn corporativa o servicios VPN de terceros.

• DNS: la búsqueda de dominio en la máquina se ha resuelto en una dirección que no apunta al servidor esperado. Esto significa que la conexión va a una máquina diferente que no ejecuta los servicios esperados y rechaza la conexión. Para depurar este problema, puede usar herramientas como NsLookup y compararlo con los intervalos de IP de Azure y etiquetas de servicio.

• IPV6: algunos equipos tienen habilitado IPV6, pero la red no admite el protocolo. En este caso, es posible que vea un mensaje rechazado de conexión porque no se encontró el servidor. Intente deshabilitar IPV6 en la máquina para ver si la conexión funciona.

• Problemas de SSL: consulte errores de SSL.

• Proxy o firewalls en la red: si hay un proxy o un firewall en la red, será el primer dispositivo con el que intenta comunicarse la conexión y puede ser el que rechaza la conexión. Puede determinar si el firewall o el servidor proxy está bloqueando las conexiones solicitando al administrador de red. Como alternativa, examinar los seguimientos de red puede indicar a qué máquina se está realizando la conexión e identificar quién la rechaza. Si es una dirección de red interna, significa que el proxy o el firewall bloquearon la conexión. Si se trata de una dirección IP externa, normalmente significa problemas de DNS, IPV6 o SSL.

Compatibilidad con problemas relacionados con la red

Normalmente, los problemas relacionados con la red están relacionados con la configuración de la máquina o de red en lugar de Visual Studio. developer Community puede proporcionar cierta compatibilidad, pero se centra en las características de Visual Studio en lugar de en la configuración de la máquina. Para obtener soporte técnico específico de la red, la Comunidad de soporte técnico de Microsoft o el Soporte técnico de Microsoft.

Errores al iniciarse por primera vez

Es posible que se produzcan errores al iniciar Visual Studio por primera vez. El cuadro de diálogo de error mostrará el problema que impedía que Visual Studio se abriera.

Acceso denegado

Es posible que vea uno de los siguientes errores:

Si se producen estos errores, cierre las instancias abiertas de Visual Studio y elimine el archivo o directorio mencionado en el mensaje de error para resolver el problema.

Antes de eliminar el archivo, compruebe los permisos de seguridad en el archivo y considere crear un ticket de comentarios en la Developer Community. Esto nos ayudará a comprender mejor por qué se deniega el acceso a estos archivos o directorios.

En su ticket de comentarios, incluya la siguiente información para que podamos investigar el problema:

1. Descripción o captura de pantalla de los grupos y usuarios con permisos para el archivo o directorio mencionado en el error. Para ver esto, haga clic con el botón derecho en el archivo o directorio y seleccione Propiedades>Security.
2. La cuenta de usuario que usa para ejecutar Visual Studio.
3. Si el error persiste al iniciar Visual Studio una segunda vez.

Contenido relacionado

• iniciar sesión en Visual Studio