¿Qué métodos de autenticación y verificación hay disponibles en Azure Active Directory?

Microsoft recomienda los métodos de autenticación sin contraseña, como Windows Hello, las claves de seguridad FIDO2 y la aplicación Microsoft Authenticator, ya que son los proporcionan un inicio de sesión más seguro. Aunque los usuarios pueden iniciar sesión con otros métodos comunes, como un nombre de usuario y una contraseña, las contraseñas deben reemplazarse por métodos de autenticación más seguros.

Tabla de puntos fuertes y métodos de autenticación preferidos en Azure AD

Multi-Factor Authentication (MFA) de Azure AD aporta seguridad adicional al mero uso de una contraseña cuando un usuario inicia sesión. Se pueden solicitar al usuario formas adicionales de autenticación, como responder a una notificación push, especificar un código de un token de software o hardware, o responder a un SMS o a una llamada de teléfono.

Para simplificar la experiencia de incorporación de los usuarios y registrarse tanto para MFA como para el autoservicio de restablecimiento de contraseña (SSPR), se recomienda habilitar el registro de información de seguridad combinada. Para mejorar la resistencia, se recomienda exigir a los usuarios que registren varios métodos de autenticación. Así, si un usuario no tiene disponible un método durante el inicio de sesión o el autoservicio de restablecimiento de contraseña, puede elegir autenticarse con otro método. Para obtener más información, consulte Crear una estrategia de administración de control de acceso resistente con Azure Active Directory.

Este es un vídeo que hemos creado para ayudarle a elegir el mejor método de autenticación para mantener la seguridad de su organización.

Seguridad del método de autenticación

Cuando implemente características, como Multi-Factor Authentication de Azure AD en su organización, revise los métodos de autenticación disponibles. Elija los métodos que cumplan o superen sus requisitos en cuanto a seguridad, facilidad de uso y disponibilidad. Siempre que sea posible, use métodos de autenticación con el nivel de seguridad más alto.

En la tabla siguiente se describen las consideraciones sobre seguridad que se deben tener en cuenta en los métodos de autenticación disponibles. La disponibilidad es una indicación de que el usuario puede usar el método de autenticación, no de la disponibilidad del servicio en Azure AD:

Método de autenticación Seguridad Facilidad de uso Disponibilidad
Windows Hello para empresas Alto Alto Alto
Aplicación Microsoft Authenticator Alto Alto Alto
Clave de seguridad FIDO2 Alto Alto Alto
Tokens de hardware OATH (versión preliminar) Media Media Alto
Tokens de software OATH Media Media Alto
SMS Media Alto Media
Voz Media Media Media
Contraseña Bajo Alto Alto

Para obtener la información más reciente sobre seguridad, consulte nuestras entradas de blog:

Sugerencia

Para mejorar la flexibilidad y facilidad de uso, se recomienda usar la aplicación Microsoft Authenticator. Este método de autenticación ofrece la mejor experiencia de usuario y varios modos, como la opción sin contraseña, las notificaciones push MFA y los códigos OATH.

Funcionamiento de cada método de autenticación

Algunos métodos de autenticación se pueden usar como factor principal al iniciar sesión en una aplicación o un dispositivo, como el uso de una clave de seguridad FIDO2 o una contraseña. Otros métodos de autenticación solo están disponibles como factor secundario cuando se usa Multi-Factor Authentication de Azure AD o SSPR.

En la tabla siguiente se describe cuándo se puede usar un método de autenticación en un evento de inicio de sesión:

Método Autenticación principal Autenticación secundaria
Windows Hello para empresas MFA
Aplicación Microsoft Authenticator MFA y SSPR
Clave de seguridad FIDO2 MFA
Tokens de hardware OATH (versión preliminar) No MFA y SSPR
Tokens de software OATH No MFA y SSPR
SMS MFA y SSPR
Llamada de voz No MFA y SSPR
Contraseña

Todos estos métodos de autenticación se pueden configurar en Azure Portal y, cada vez más, con la API REST de Microsoft Graph.

Para obtener más información sobre cómo funciona cada método de autenticación, consulte los siguientes artículos conceptuales independientes:

Nota

En Azure AD, la contraseña suele ser uno de los métodos de autenticación principales. El método de autenticación de contraseña no se puede deshabilitar. Si usa una contraseña como factor de autenticación principal, aumente la seguridad de los eventos de inicio de sesión con Multi-Factor Authentication de Azure AD.

En algunos escenarios se pueden usar los siguientes métodos de verificación adicional:

Pasos siguientes

Para comenzar, consulte el tutorial del autoservicio de restablecimiento de contraseña y Azure AD Multi-Factor Authentication.

Para obtener más información sobre los conceptos del SSPR, consulte Funcionamiento: Autoservicio de restablecimiento de contraseña de Azure AD.

Para más información sobre los conceptos de MFA, consulte Funcionamiento: Multi-Factor Authentication de Azure AD.

Más información sobre la configuración de métodos de autenticación con la API REST de Microsoft Graph.

Para revisar qué métodos de autenticación están en uso, consulte Análisis de métodos de autenticación de Multi-Factor Authentication de Azure AD con PowerShell.