Migración de la configuración de directivas de MFA y SSPR a la directiva de métodos de autenticación para el Id. de Microsoft Entra
Puede migrar la configuración de directivas heredada del Id. de Microsoft Entra que controla por separado la autenticación multifactor y el autoservicio de restablecimiento de contraseña (SSPR) a la administración unificada con la directiva de métodos de autenticación.
Puede migrar la configuración de directivas según su propia programación y el proceso es totalmente reversible. Puede seguir usando directivas de MFA y SSPR en todo el inquilino mientras configura métodos de autenticación de forma más precisa para usuarios y grupos en la directiva de métodos de autenticación. Puede completar la migración en cualquier momento que esté listo para administrar todos los métodos de autenticación juntos en la directiva de métodos de autenticación.
Para más información sobre cómo funcionan conjuntamente estas directivas durante la migración, consulte Administración de métodos de autenticación para el Id. de Microsoft Entra.
Antes de empezar
Para empezar, realice una auditoría de la configuración de directiva existente para cada método de autenticación que esté disponible para los usuarios. Si revierte la operación durante la migración, quizá desee tener un registro de la configuración del método de autenticación de cada una de estas directivas:
- Directiva de MFA
- Directiva de SSPR (si se usa)
- Directiva de métodos de autenticación (si se usa)
Si no usa SSPR y aún no usa la directiva de métodos de autenticación, solo tendrá que obtener la configuración de la directiva de MFA.
Revisión de la directiva de MFA heredada
Empiece por documentar qué métodos están disponibles en la directiva de MFA heredada. Inicie sesión en el centro de administración de Microsoft Entra como administrador global. Vaya a Identidad>Usuarios>Todos los usuarios>MFA por usuario>Valor de configuración del servicio para ver la configuración. Esta configuración es para todo el inquilino, por lo que no se necesita información sobre el usuario o grupo.
Con cada método, mire a ver si está habilitado o no para el inquilino. En la tabla siguiente se enumeran los métodos disponibles en la directiva de MFA heredada y los métodos correspondientes de la directiva de métodos de autenticación.
| Directiva de autenticación multifactor | Directiva de métodos de autenticación |
|---|---|
| Llamada al teléfono | Llamadas de voz |
| Mensaje de texto al teléfono | sms |
| Notificación a través de aplicación móvil | Microsoft Authenticator |
| Código de verificación de aplicación móvil o token de hardware | Tokens OATH de software de terceros Tokens de hardware OATH Microsoft Authenticator |
Revisión de la directiva de SSPR heredada
Para obtener los métodos de autenticación disponibles en la directiva SSPR heredada, vaya a Identidad>Usuarios>Restablecer contraseña>Métodos de autenticación. En la tabla siguiente se enumeran los métodos disponibles en la directiva de SSPR heredada y los métodos correspondientes de la directiva de métodos de autenticación.
Registre qué usuarios están en el ámbito de SSPR (todos los usuarios, un grupo específico o ningún usuario) y los métodos de autenticación que pueden usar. Aunque las preguntas de seguridad aún no están disponibles para administrarse en la directiva de métodos de autenticación, asegúrese de registrarlas para cuando lo estén.
| Métodos de autenticación de SSPR | Directiva de métodos de autenticación |
|---|---|
| Notificación en aplicación móvil | Microsoft Authenticator |
| Código de aplicación móvil | Microsoft Authenticator Tokens OATH de software |
| Correo electrónico OTP | |
| Teléfono móvil | Llamadas de voz sms |
| Teléfono del trabajo | Llamadas de voz |
| Preguntas de seguridad | Aún no disponible; copiar preguntas para más adelante |
Directiva de métodos de autenticación
Para comprobar la configuración de la directiva métodos de autenticación, inicie sesión en el centro de administración de Microsoft Entra como mínimo un administrador de directivas de autenticación y vaya a Protección>Métodos de autenticación>Directivas. Los nuevos inquilinos tienen todos los métodos desactivados de forma predeterminada, lo que facilita la migración, ya que no es necesario combinar la configuración de directiva heredada con la configuración existente.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
- Vaya a Protección>Métodos de autenticación>.
La directiva de métodos de autenticación tiene otros métodos que no están disponibles en las directivas heredadas, como la clave de seguridad FIDO2, el pase de acceso temporal y la autenticación basada en certificados de Microsoft Entra. Estos métodos no están en el ámbito de la migración y no tendrá que realizar ningún cambio en ellos si ya los ha configurado.
Si ha habilitado otros métodos en la directiva de métodos de autenticación, escriba los usuarios y grupos que pueden o no pueden usar esos métodos. Tome nota de los parámetros de configuración que rigen cómo se puede usar el método. Por ejemplo, puede configurar Microsoft Authenticator para proporcionar la ubicación en las notificaciones push. Cree un registro de los usuarios y grupos que están habilitados para parámetros de configuración similares asociados a cada método.
Inicio de la migración
Después de capturar los métodos de autenticación disponibles de las directivas que usa actualmente, puede iniciar la migración. Abra la directiva de métodos de autenticación y seleccione Administrar migración, Migración en curso.
Deberá establecer esta opción antes de realizar cambios, ya que la nueva directiva se aplicará a escenarios de inicio de sesión y restablecimiento de contraseña.
El siguiente paso es actualizar la directiva de métodos de autenticación para que coincida con la auditoría. Es conveniente revisar cada método uno por uno. Si el inquilino usa solo la directiva de MFA heredada y no usa SSPR, la actualización es sencilla: puede habilitar cada método para todos los usuarios y hacer que coincida exactamente con su directiva existente.
Si el inquilino usa MFA y SSPR, deberá tener en cuenta cada método:
- Si el método está habilitado en ambas directivas heredadas, habilítelo para todos los usuarios de la directiva de métodos de autenticación.
- Si el método está desactivado en ambas directivas heredadas, déjelo desactivado para todos los usuarios de la directiva métodos de autenticación.
- Si el método solo está habilitado en una directiva, tiene que decidir si debe estar disponible o no en todas las situaciones.
Cuando las directivas coincidan, puede hacerlo coincidir fácilmente con su estado actual. Cuando haya un error de coincidencia, deberá decidir si habilitar o deshabilitar el método por completo. Por ejemplo, supongamos que la opción Notificación a través de la aplicación móvil está habilitada para permitir notificaciones push para MFA. En la directiva de SSPR heredada, el método Notificación de la aplicación móvil no está habilitado. En ese caso, las directivas heredadas permiten notificaciones push para MFA, pero no para SSPR.
En la directiva de métodos de autenticación, deberá elegir si habilitar Microsoft Authenticator para SSPR y MFA o deshabilitarlo (se recomienda habilitarlo).
Tenga en cuenta que, en la directiva de métodos de autenticación, tiene la opción de habilitar métodos para grupos de usuarios además de todos los usuarios, y también puede excluir grupos de usuarios para que no puedan usar un método determinado. Esto significa que tiene mucha flexibilidad para controlar qué usuarios pueden usar qué métodos. Por ejemplo, puede habilitar Microsoft Authenticator para todos los usuarios y limitar los mensajes SMS y las llamadas de voz a un grupo de 20 usuarios que necesitan esos métodos.
A medida que actualiza cada método en la directiva de métodos de autenticación, algunos métodos tienen parámetros configurables que permiten controlar cómo se puede usar ese método. Por ejemplo, si habilita las llamadas de voz como método de autenticación, puede permitir tanto teléfonos del trabajo como teléfonos móviles, o solo móviles. Recorra el proceso para configurar cada método de autenticación a partir de la auditoría.
Tenga en cuenta que no es necesario que coincida con la directiva actual. Esta es una gran oportunidad para revisar los métodos habilitados y elegir una nueva directiva que maximice la seguridad y la facilidad de uso en el inquilino. Tenga en cuenta que para deshabilitar métodos para los usuarios que ya los usan, puede ser necesario que esos usuarios registren nuevos métodos de autenticación e impedirles que usen métodos registrados anteriormente.
En las secciones siguientes se describe una guía de migración específica para cada método.
Código de acceso de un solo uso de correo electrónico
Hay dos controles para Código de acceso de un solo uso de correo electrónico:
La selección del destino mediante incluir y excluir en la sección Habilitar y destino de la configuración se usa para habilitar el correo electrónico OTP para los miembros de un inquilino para su uso en Restablecimiento de contraseña.
Hay un control aparte, Permitir que los usuarios externos usen correo electrónico OTP, en la sección Configurar, que controla el uso del correo electrónico OTP para el inicio de sesión por los usuarios B2B. Si este control está habilitado, el método de autenticación no se puede deshabilitar.
Microsoft Authenticator
Si la opción Notificación a través de la aplicación móvil está habilitada en la directiva de MFA heredada, habilite Microsoft Authenticator para Todos los usuarios en la directiva de métodos de autenticación. Establezca el modo de autenticación en Cualquiera para permitir notificaciones push o autenticación sin contraseña.
Si la opción Código de verificación de aplicación móvil o de token de hardware está habilitada en la directiva de MFA heredada, establezca Permitir el uso de OTP de Microsoft Authenticator en Sí.
SMS y llamadas de voz
La directiva de MFA heredada tiene controles independientes para SMS y Llamadas telefónicas. Pero también hay un control Teléfono móvil que permite teléfonos móviles tanto para mensajes SMS como para llamadas de voz. Y otro control, Teléfono del trabajo, habilita un teléfono del trabajo solo para llamadas de voz.
La directiva de métodos de autenticación tiene controles para SMS y llamadas de voz, que coinciden con la directiva de MFA heredada. Si el inquilino usa SSPR y está habilitado el control Teléfono móvil, debe habilitar las opciones SMS y Llamada de voz en la directiva de métodos de autenticación. Si el inquilino usa SSPR y está habilitado el control Teléfono del trabajo, debe habilitar la opción Llamada de voz en la directiva de métodos de autenticación y asegurarse de que esté habilitada la opción Teléfono del trabajo.
Nota:
La opción Usar para el inicio de sesión está habilitada de forma predeterminada en la configuración de SMS. Esta opción habilita el inicio de sesión por SMS. Si el inicio de sesión por SMS está habilitado para los usuarios, se omitirán de la sincronización entre inquilinos. Si usa la sincronización entre inquilinos o no quiere habilitar el inicio de sesión de SMS, deshabilite el inicio de sesión de SMS para los usuarios de destino.
Tokens OATH
Los controles de token OATH en las directivas de MFA y SSPR heredadas eran controles únicos que permitían el uso de tres tipos diferentes de tokens OATH: la aplicación Microsoft Authenticator, aplicaciones generadoras de códigos OATH TOTP de software de terceros y tokens OATH de hardware.
La directiva de métodos de autenticación tiene un control granular con controles independientes para cada tipo de token OATH. El uso de OTP de Microsoft Authenticator se controla mediante el control Permitir el uso de OTP de Microsoft Authenticator de la sección Microsoft Authenticator de la directiva. Las aplicaciones de terceros se controlan mediante la sección Tokens OATH de software de terceros de la directiva. Los tokens OATH de hardware se controlan mediante la sección Tokens OATH de hardware de la directiva.
Preguntas de seguridad
Pronto estará disponible un control para preguntas de seguridad. Si usa preguntas de seguridad y no quiere deshabilitarlas, asegúrese de mantenerlas habilitadas en la directiva de SSPR heredada hasta que esté disponible el nuevo control. Puede finalizar la migración como se describe en la sección siguiente con las preguntas de seguridad habilitadas.
Finalización de la migración
Después de actualizar la directiva de métodos de autenticación, revise las directivas de MFA y SSPR heredadas y quite cada método de autenticación uno por uno. Pruebe y valide los cambios de cada método.
Al determinar que MFA y SSPR funcionan según lo previsto y ya no necesita las directivas de MFA y SSPR heredadas, puede cambiar el proceso de migración a Migración completada. En este modo, Microsoft Entra solo sigue la directiva de métodos de autenticación. No se pueden realizar cambios en las directivas heredadas si se establece Migración completada, excepto las preguntas de seguridad de la directiva de SSPR. Si por algún motivo necesita volver a las directivas heredadas, puede devolver el estado de migración a Migración en curso en cualquier momento.
