Configuración de Azure AD Multi-Factor Authentication

Para personalizar la experiencia de usuario final de Azure AD Multi-Factor Authentication, puede configurar opciones para valores como los umbrales de bloqueo de cuentas o las alertas y notificaciones de fraude. Algunos valores están directamente en Azure Portal para Azure Active Directory (Azure AD) y otros en un portal de Azure AD Multi-Factor Authentication independiente.

Los siguientes valores de Azure AD Multi-Factor Authentication están disponibles en Azure Portal:

Característica Descripción
Bloqueo de cuenta Evite temporalmente que las cuentas usen Azure AD Multi-Factor Authentication si hay demasiados intentos de autenticación denegados en una fila. Esta característica solo se aplica a los usuarios que escriben un PIN para autenticarse. (Servidor MFA)
Bloqueo y desbloqueo de usuarios Evite que usuarios específicos puedan recibir solicitudes de Azure AD Multi-Factor Authentication. Todos los intentos de autenticación para los usuarios bloqueados se denegarán automáticamente. Los usuarios permanecen bloqueados durante noventa días a partir del momento en que se bloqueen o se desbloquean manualmente.
Alerta de fraude Defina configuraciones que permitan a los usuarios notificar solicitudes de comprobación fraudulentas.
Notificaciones Permite notificaciones de eventos desde el Servidor MFA.
Tokens OATH Se usa en entornos de Azure AD MFA basados en la nube para administrar tokens de OATH para los usuarios.
Configuración de las llamadas telefónicas Configure valores relacionados con llamadas de teléfono y saludos para entornos locales y en la nube.
Proveedores Se mostrarán los proveedores de autenticación existentes que pueden haberse asociado con su cuenta. A partir del 1 de septiembre de 2018 no se pueden crear nuevos proveedores de autenticación.

Azure Portal: Configuración de Multi-Factor Authentication de Azure AD

Bloqueo de cuenta

Para evitar intentos repetidos de MFA como parte de un ataque, la configuración de bloqueo de cuenta le permite especificar el número de intentos erróneos que se permiten antes de que la cuenta quede bloqueada durante un período de tiempo. La configuración de bloqueo de la cuenta solo se aplica cuando se especifica un código PIN para el aviso de MFA.

Las siguientes configuraciones están disponibles:

  • Número de denegaciones de MFA para desencadenar el bloqueo de cuenta
  • Minutos hasta que se restablezca el contador de bloqueos de cuenta
  • Minutos hasta que la cuenta se desbloquee automáticamente

Para definir las configuraciones de bloqueo de cuenta, complete las siguientes configuraciones:

  1. Inicie sesión en Azure Portal como administrador.

  2. Vaya a Azure Active Directory > Seguridad > MFA > Bloqueo de cuenta.

  3. Escriba los valores necesarios para el entorno y seleccione Guardar.

    Captura de pantalla de la configuración de bloqueo de la cuenta en Azure Portal

Bloqueo y desbloqueo de usuarios

Si el dispositivo de un usuario se ha perdido o ha sido robado, puede bloquear los intentos de Azure AD Multi-Factor Authentication de la cuenta asociada. Todos los intentos de Azure AD Multi-Factor Authentication de usuarios bloqueados se deniegan automáticamente. Los usuarios permanecen bloqueados durante 90 días a partir del momento en que se bloqueen. Hemos publicado un vídeo sobre cómo bloquear y desbloquear usuarios en el inquilino para mostrarle cómo hacerlo.

Bloquear a un usuario

Para bloquear a un usuario, complete los pasos siguientes o vea este breve vídeo.

  1. Vaya a Azure Active Directory > Seguridad > MFA > bloqueo/desbloqueo de usuarios.
  2. Seleccione Agregar para bloquear a un usuario.
  3. Escriba el nombre de usuario del usuario bloqueado como username@domain.com y proporcione un comentario en el campo Motivo.
  4. Cuando esté listo, seleccione Aceptar para bloquear al usuario.

Desbloquear a un usuario

Para desbloquear a un usuario, complete los siguientes pasos:

  1. Vaya a Azure Active Directory > Seguridad > MFA > bloqueo/desbloqueo de usuarios.
  2. Seleccione la columna Acción situada junto al usuario que la interesa y seleccione Desbloquear.
  3. Escriba un comentario en el campo Motivo para desbloquear.
  4. Cuando esté listo, seleccione Aceptar para desbloquear al usuario.

Alerta de fraude

La característica de alerta de fraude permite a los usuarios informar sobre intentos fraudulentos de acceso a sus recursos. Cuando se recibe un mensaje de MFA desconocido y sospechoso, los usuarios pueden informar del intento de fraude mediante la aplicación Microsoft Authenticator o a través de su teléfono.

Están disponibles las siguientes opciones de configuración de alertas de fraude:

  • Bloquear automáticamente a los usuarios que notifican fraudes: si un usuario notifica un fraude, los intentos de autenticación de Azure AD MFA de la cuenta de usuario se bloquean durante 90 días o hasta que un administrador desbloquea esa cuenta. Un administrador puede revisar los inicios de sesión usando el informe de inicio de sesión y puede tomar las medidas adecuadas para prevenir el fraude en el futuro. El administrador puede, a continuación, desbloquear la cuenta de usuario.

  • Código para notificar fraudes durante el saludo inicial: cuando los usuarios reciben una llamada telefónica para realizar la autenticación multifactor, normalmente presionan # para confirmar el inicio de sesión. Si desea notificar un fraude, el usuario introduce un código antes de presionar # . De manera predeterminada, dicho código es 0, pero se puede personalizar.

    Nota

    El saludo predeterminado de Microsoft solicita a los usuarios que presionen 0# para enviar una alerta de fraude. Si quiere usar un código distinto a 0, grabe y cargue su propio saludo personalizado con las instrucciones adecuadas para sus usuarios.

Para habilitar y configurar las alertas de fraude, complete los pasos siguientes:

  1. Vaya a Azure Active Directory > Seguridad > MFA > Alertas de fraude.
  2. Establezca la configuración Permitir a los usuarios enviar alertas de fraude en Activado.
  3. Configure las opciones Bloquear automáticamente a los usuarios que notifican fraudes o Código para notificar fraudes durante el saludo inicial según sea necesario.
  4. Cuando esté preparado, seleccione Guardar.

Visualización de notificaciones de fraude

Cuando un usuario informa de un fraude, el evento se muestra en el informe de inicios de sesión (como un inicio de sesión que el usuario rechazó) y en los registros de auditoría.

  • Para ver los informes de fraude en el informe de inicios de sesión, haga clic en Azure Active Directory > Inicios de sesión > Detalles de autenticación. El informe de fraude forma parte del informe de inicios de sesión de Azure AD estándar y aparece en Detalle del resultado como la denegación de MFA y el código de fraude especificado.

  • Para ver los informes de fraude en los registros de auditoría, haga clic en Azure Active Directory > Registros de auditoría . El informe de fraude aparece en tipo de actividad Fraude informado: el usuario está bloqueado para MFA o Fraude notificado: no se toman medidas en función de la configuración de nivel de inquilino para el informe de fraude.

Notificaciones

Las notificaciones por correo electrónico se pueden configurar cuando los usuarios notifican alertas de fraude. Normalmente, estas notificaciones se envían a los administradores de identidad, ya que es probable que las credenciales de la cuenta del usuario estén en peligro. En el ejemplo siguiente se muestra el aspecto de un correo electrónico de notificación de alerta de fraude:

Correo electrónico de notificación de alerta de fraude de ejemplo

Para configurar las notificaciones de alerta de fraude, complete las configuraciones siguientes:

  1. Vaya a Azure Active Directory > Seguridad > Autenticación multifactor > Notificaciones.
  2. Escriba la dirección de correo electrónico que desea agregar en el cuadro siguiente.
  3. Para quitar una dirección de correo electrónico existente, seleccione la opción ... situada junto a la dirección de correo electrónico deseada y luego seleccione Eliminar.
  4. Cuando esté preparado, seleccione Guardar.

Tokens OATH

Azure AD admite el uso de tokens TOTP SHA-1 de OATH, que actualizan los códigos cada 30 o 60 segundos. Los clientes pueden adquirir estos tokens a través del proveedor de su elección.

Los tokens de hardware TOTP de OATH suelen incluir una clave secreta, o valor de inicialización, programada previamente en el token. Estas claves se deben introducir en Azure AD según se describe en los pasos siguientes. Las claves secretas se limitan a 128 caracteres lo que puede no ser compatible con todos los tokens. La clave secreta solo puede contener los caracteres a-z o A-Z y los dígitos 1-7, y debe estar codificada en base 32.

Los tokens de hardware TOTP de OATH programables que se pueden reinicializar también se pueden configurar con Azure AD en el flujo de configuración de los tokens de software.

Los tokens de hardware OATH se admiten como parte de una versión preliminar pública. Para más información sobre las versiones preliminares, consulte Términos de uso complementarios de las versiones preliminares de Microsoft Azure.

Carga de tokens OATH en la hoja de tokens OATH de MFA

Una vez que se adquieren los tokens, se deben cargar en un formato de archivo de valores separados por comas (CSV), incluidos los valores de UPN, número de serie, clave secreta, intervalo de tiempo, fabricante y modelo, como se muestra en el ejemplo siguiente.

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Nota

Asegúrese de incluir la fila de encabezado en el archivo CSV.

Una vez formateado correctamente como archivo CSV, un administrador puede iniciar sesión en Azure Portal e ir a Azure Active Directory > Seguridad > MFA > Tokens OATH y cargar el archivo CSV resultante.

En función del tamaño del archivo CSV, puede tardar unos minutos en procesarse. Seleccione el botón Actualizar para ver el estado actual. Si hay algún error en el archivo, puede descargar un archivo CSV que enumere los errores para poder resolverlos. Los nombres de campo del archivo CSV descargado son diferentes de los de la versión cargada.

Una vez solucionados los errores, para activar cada clave, el administrador puede seleccionar Activar para el token y escribir la OTP que se muestra en el token.

Los usuarios pueden tener una combinación de hasta cinco tokens de hardware OATH o aplicaciones de autenticación, como la aplicación Microsoft Authenticator, configurada para utilizarse en cualquier momento.

Configuración de la llamada telefónica

Si los usuarios reciben llamadas telefónicas de solicitudes de MFA, puede configurar su experiencia, como el identificador del autor de la llamada o el saludo de voz que escuchan.

En Estados Unidos, si no ha configurado el identificador del autor de la llamada de MFA, las llamadas de voz de Microsoft proceden del número siguiente. Si usa filtros de correo no deseado, asegúrese de excluir este número:

  • +1 (855) 330 8653

Nota

A veces, cuando las llamadas de Azure AD Multi-Factor Authentication se realizan mediante la red telefónica pública, se enrutan a través de un operador que no admite el id. del autor de la llamada. Por este motivo, el id. del autor de la llamada no se garantiza, aunque Azure AD Multi-Factor Authentication lo envíe siempre. Esto se aplica a las llamadas de teléfono y a los mensajes de texto proporcionados por Azure AD Multi-Factor Authentication. Si tiene que validar que un mensaje de texto procede de Azure AD Multi-Factor Authentication, vea ¿Qué códigos cortos de SMS se usan para enviar mensajes?

Para configurar su propio número de identificador del autor de la llamada, complete los pasos siguientes:

  1. Vaya a Azure Active Directory > Seguridad > MFA > Configuración de llamada telefónica.
  2. Establezca Número de id. del autor de llamada de MFA en el número que desea que los usuarios en sus teléfonos. Solo se permiten números de Estados Unidos.
  3. Cuando esté preparado, seleccione Guardar.

Mensajes de voz personalizados

Puede usar sus propias grabaciones o saludos para Azure AD Multi-Factor Authentication con la característica de mensajes de voz personalizados. Se pueden utilizar estos mensajes además de las grabaciones de Microsoft predeterminadas; asimismo aquellos pueden reemplazar a estas.

Antes de comenzar, tenga en cuenta las restricciones siguientes:

  • Los formatos de archivo compatibles son .wav y .mp3.
  • El límite de tamaño de archivo es de 1 MB.
  • Los mensajes de autenticación deben durar menos de 20 segundos. Los mensajes que duren más de 20 segundos pueden hacer que la verificación cause error. El usuario podría no responder antes de que finalice el mensaje y se agote el tiempo de espera de la verificación.

Comportamiento de idioma de mensaje personalizado

Cuando se reproduce un mensaje de voz personalizado para el usuario, el idioma del mensaje depende de los siguientes factores:

  • El idioma del usuario actual.
    • El idioma detectado en el explorador del usuario.
    • Otros escenarios de autenticación pueden comportarse de manera diferente.
  • El idioma de otros mensajes personalizados disponibles.
    • Este idioma lo elige el administrador, cuando se agrega un mensaje personalizado.

Por ejemplo, si hay solo un mensaje personalizado en alemán:

  • Un usuario que se autentique en alemán oirá el mensaje personalizado en ese idioma.
  • Un usuario que se autentique en inglés oirá el mensaje personalizado en ese idioma.

Valores predeterminados de los mensajes de voz personalizados

Los siguientes scripts de ejemplo se pueden usar para crear sus propios mensajes personalizados. Estas frases son las predeterminadas si no configura sus propios mensajes personalizados:

Nombre del mensaje Script
Autenticación correcta Su inicio de sesión se comprobó correctamente. Adiós.
Solicitud de extensión Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para continuar.
Confirmación de fraude Se ha enviado una alerta de fraude. Para desbloquear su cuenta, póngase en contacto con el departamento de soporte técnico de TI de su empresa.
Saludo de fraude (Estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación. Si no inició esta comprobación, es posible que otra persona esté intentando acceder a su cuenta. Presione cero para enviar una alerta de fraude. Se enviará una notificación al equipo de TI de su empresa y se bloqueará cualquier otro intento de comprobación.
Fraude notificado: se ha enviado una alerta de fraude. Para desbloquear su cuenta, póngase en contacto con el departamento de soporte técnico de TI de su empresa.
Activación Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Reintento tras denegación de autenticación Comprobación denegada.
Reintento (Estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Saludo (Estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Saludo (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.
Saludo de fraude (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación. Si no inició esta comprobación, es posible que otra persona esté intentando acceder a su cuenta. Presione cero para enviar una alerta de fraude. Se enviará una notificación al equipo de TI de su empresa y se bloqueará cualquier otro intento de comprobación.
Reintento (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.
Solicitud de extensión tras dígitos Si ya se encuentra conectado a esta extensión, presione la tecla almohadilla para continuar.
Autenticación denegada Lo sentimos, no puede iniciar sesión en este momento. Inténtelo de nuevo más tarde.
Saludo de activación (Estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Reintento de activación (Estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Saludo de activación (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.
Solicitud de extensión antes de dígitos Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Transfiera esta llamada a la extensión…

Configuración de un mensaje personalizado

Para usar sus propios mensajes personalizados, complete los pasos siguientes:

  1. Vaya a Azure Active Directory > Seguridad > MFA > Configuración de llamada telefónica.
  2. Seleccione Agregar saludo.
  3. Elija un tipo de saludo en Tipo, como Saludo (Estándar) o Autenticación correcta.
  4. En Idioma seleccione un idioma basándose en la sección anterior Comportamiento de idioma de mensaje personalizado.
  5. Busque y seleccione un archivo de sonido .mp3 o .wav para cargarlo.
  6. Cuando esté listo, seleccione Agregar y después Guardar.

Configuración del servicio MFA

Las opciones de contraseñas de aplicación, IP de confianza, opciones de verificación y recordar la autenticación multifactor de Azure AD Multi-Factor Authentication se pueden encontrar en la configuración del servicio. Este es más de un portal heredado y no forma parte del portal convencional de Azure AD.

Se puede tener acceso a la configuración del servicio desde el Azure Portal, para ello, vaya a Azure Active Directory > Seguridad > MFA > Introducción > Configurar > Configuración de MFA basada en la nube. Se abre una nueva ventana o pestaña con opciones adicionales de configuración del servicio.

IP de confianza

La característica IP de confianza de Azure AD Multi-Factor Authentication omite las solicitudes de autenticación multifactor de los usuarios que inician sesión desde un intervalo de direcciones IP definido. Puede establecer intervalos de direcciones IP de confianza para los entornos locales, de manera que, cuando los usuarios se encuentren en una de esas ubicaciones, Azure AD Multi-Factor Authentication no emita ninguna solicitud. La característica IP de confianza de Azure AD Multi-Factor Authentication requiere la edición Azure AD Premium P1.

Nota

Las direcciones IP de confianza pueden incluir intervalos de direcciones IP privadas solo cuando se usa un servidor MFA. En el caso de Azure AD Multi-Factor Authentication basado en la nube, solo puede usar intervalos de direcciones IP públicas.

Los intervalos de IPv6 solo se admiten en la interfaz de Ubicaciones con nombre (versión preliminar).

Si su organización implementa la extensión NPS para proporcionar Multi-Factor Authentication en aplicaciones locales, tenga en cuenta que la dirección IP de origen siempre parecerá ser el servidor NPS a través del que fluye el intento de autenticación.

Tipo de inquilino de Azure AD Opciones de características de direcciones IP de confianza
Administrado Intervalos específicos de direcciones IP: los administradores pueden especificar un intervalo de direcciones IP que puede omitir la autenticación multifactor para los usuarios que inician sesión desde la intranet de la empresa. Se puede configurar un máximo de cincuenta intervalos de direcciones IP de confianza.
Federado Todos los usuarios federados: todos los usuarios federados que inician sesión desde dentro de la organización pueden omitir la autenticación multifactor. Los usuarios omiten la verificación mediante el uso de una notificación que emiten los servicios de federación de Active Directory (AD FS).
Intervalos específicos de direcciones IP: los administradores pueden especificar un intervalo de direcciones IP que puede omitir la autenticación multifactor para los usuarios que inician sesión desde la intranet de la empresa.

La omisión de las direcciones IP de confianza solo funciona desde dentro de la intranet de la empresa. Si selecciona la opción Todos los usuarios federados y un usuario inicia sesión desde fuera de la intranet de la empresa, el usuario tendrá que autenticarse mediante la autenticación multifactor. El proceso es el mismo, incluso si el usuario presenta una notificación de AD FS.

Experiencia del usuario final dentro de la red corporativa

Cuando se deshabilita la característica de direcciones IP de confianza, la autenticación multifactor es necesaria para los flujos del explorador. Se necesitan contraseñas de aplicación para anteriores aplicaciones de cliente enriquecidas.

Cuando se usan direcciones IP de confianza, no se requiere la autenticación multifactor para los flujos del explorador. Las contraseñas de aplicación no son obligatorias para las anteriores aplicaciones de cliente enriquecidas, siempre que el usuario no haya creado una contraseña de aplicación. Después de que la contraseña de aplicación esté en uso, la contraseña sigue siendo necesaria.

Experiencia del usuario final fuera de la red corporativa

Independientemente de si se han definido direcciones IP de confianza, la autenticación multifactor es necesaria para los flujos del explorador. Se necesitan contraseñas de aplicación para anteriores aplicaciones de cliente enriquecidas.

Habilitación de las ubicaciones con nombre mediante el acceso condicional

Puede usar las reglas de acceso condicional para definir ubicaciones con nombre mediante los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y luego vaya a Seguridad > Acceso condicional > Ubicaciones con nombre.
  2. Seleccione Nueva ubicación.
  3. Escriba un nombre para la ubicación.
  4. Seleccione Marcar como ubicación de confianza.
  5. Escriba el intervalo de direcciones IP en la notación CIDR para su entorno, como 40.77.182.32/27.
  6. Seleccione Crear.

Habilite la característica de direcciones IP de confianza mediante el acceso condicional

Para habilitar direcciones IP de confianza mediante directivas de acceso condicional, realice los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y luego vaya a Seguridad > Acceso condicional > Ubicaciones con nombre.

  2. Seleccione Configurar IP de confianza de MFA.

  3. En la página Configuración del servicio, en IP de confianza, seleccione una de las dos opciones siguientes:

    • Para solicitudes de usuarios federados cuyo origen esté en mi intranet: Para elegir esta opción, seleccione la casilla. Todos los usuarios federados que inicien sesión desde la red corporativa omitirán la autenticación multifactor mediante una notificación emitida por AD FS. Asegúrese de que AD FS tiene una regla para agregar la notificación de intranet al tráfico adecuado. Si la regla no existe, cree la siguiente regla en AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitudes de un intervalo de IP públicas específico: para elegir esta opción, escriba las direcciones IP en el cuadro de texto mediante la notación CIDR.

      • Para las direcciones IP que se encuentran en el intervalo xxx.xxx.xxx.1 mediante xxx.xxx.xxx.254, use una notación como xxx.xxx.xxx.0/24.
      • Para una única dirección IP, use esta notación: xxx.xxx.xxx.xxx/32.
      • Especifique un máximo de 50 intervalos de direcciones IP. Los usuarios que inician sesión desde estas direcciones IP omiten la autenticación multifactor.
  4. Seleccione Guardar.

Habilite la característica de direcciones IP de confianza mediante la configuración del servicio

Si no quiere usar directivas de acceso condicional para habilitar direcciones IP de confianza, puede definir la configuración del servicio de Azure AD Multi-Factor Authentication mediante los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y luego elija Usuarios.

  2. Seleccione Multi-Factor Authentication.

  3. En Multi-Factor Authentication, seleccione Configuración del servicio.

  4. En la página Configuración del servicio, en IP de confianza, seleccione una de las opciones siguientes (o ambas):

    • Para solicitudes de usuarios federados en mi intranet: Para elegir esta opción, seleccione la casilla. Todos los usuarios federados que inicien sesión desde la red corporativa omitirán la autenticación multifactor mediante una notificación emitida por AD FS. Asegúrese de que AD FS tiene una regla para agregar la notificación de intranet al tráfico adecuado. Si la regla no existe, cree la siguiente regla en AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitudes de un intervalo específico de subredes de direcciones IP: para elegir esta opción, escriba las direcciones IP en el cuadro de texto mediante la notación CIDR.

      • Para las direcciones IP que se encuentran en el intervalo xxx.xxx.xxx.1 mediante xxx.xxx.xxx.254, use una notación como xxx.xxx.xxx.0/24.
      • Para una única dirección IP, use esta notación: xxx.xxx.xxx.xxx/32.
      • Especifique un máximo de 50 intervalos de direcciones IP. Los usuarios que inician sesión desde estas direcciones IP omiten la autenticación multifactor.
  5. Seleccione Guardar.

Métodos de comprobación

Puede elegir los métodos de verificación que estén disponibles para los usuarios en el portal de configuración del servicio. Cuando los usuarios inscriben sus cuentas en Azure AD Multi-Factor Authentication, eligen su método de verificación preferido entre las opciones que ha habilitado. Las instrucciones para el proceso de inscripción de los usuarios se proporcionan en Configuración de mi cuenta para la autenticación multifactor.

Están disponibles los siguientes métodos de verificación:

Método Descripción
Llamada al teléfono Hace una llamada de voz automática. El usuario responde a la llamada y pulsa la # del teclado del teléfono para autenticarse. El número de teléfono no se sincroniza con Active Directory local.
Mensaje de texto al teléfono Envía un mensaje de texto que contiene un código de verificación. Se pide al usuario que escriba el código de verificación en la interfaz de inicio de sesión. Este proceso se llama "SMS unidireccional". SMS bidireccional significa que el usuario debe devolver un mensaje de texto con un código determinado. SMS bidireccional se encuentra en desuso y no se admitirá después del 14 de noviembre de 2018. Los administradores deben habilitar otro método para los usuarios que antes usaban SMS bidireccional.
Notificación a través de aplicación móvil Envía una notificación push a su teléfono o dispositivo registrado. El usuario ve la notificación y selecciona Comprobar para completar la comprobación. La aplicación Microsoft Authenticator está disponible para Windows Phone, Android e IOS.
Código de verificación de aplicación móvil o token de hardware La aplicación Microsoft Authenticator genera un nuevo código de verificación de OATH cada 30 segundos. El usuario escribe el código de verificación en la interfaz de inicio de sesión. La aplicación Microsoft Authenticator está disponible para Windows Phone, Android e IOS.

Para más información, consulte ¿Qué métodos de autenticación y verificación hay disponibles en Azure Active Directory?

Habilitar y deshabilitar los métodos de verificación

Para habilitar o deshabilitar los métodos de verificación, complete los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y luego elija Usuarios.
  2. Seleccione Multi-Factor Authentication.
  3. En Multi-Factor Authentication, seleccione Configuración del servicio.
  4. En la página Configuración del servicio, en Opciones de verificación, active o desactive los métodos para proporcionar a los usuarios.
  5. Haga clic en Save(Guardar).

Recordar Multi-Factor Authentication

La característica Recordar Multi-Factor Authentication permite a los usuarios omitir las verificaciones posteriores durante un número especificado de días, una vez hayan iniciado sesión correctamente en un dispositivo mediante el uso de Multi-Factor Authentication. Para mejorar la facilidad de uso y minimizar el número de veces que un usuario tiene que realizar MFA en el mismo dispositivo, seleccione una duración de 90 días o más.

Importante

Si una cuenta o un dispositivo corren peligro, el hecho de recordar Multi-Factor Authentication para los dispositivos de confianza puede afectar a la seguridad. Si una cuenta corporativa se pone en peligro o un dispositivo de confianza es objeto de pérdida o robo, debe revocar las sesiones de MFA.

La acción de restauración revoca el estado de confianza de todos los dispositivos y el usuario debe volver a realizar la autenticación multifactor. También puede pedir a los usuarios que restauren la autenticación multifactor en sus propios dispositivos tal y como se indica en Administración de la configuración de la autenticación multifactor.

Cómo funciona la característica

La característica Recordar Multi-Factor Authentication establece una cookie persistente en el explorador cuando un usuario selecciona la opción No preguntar de nuevo durante X días en el momento del inicio de sesión. Al usuario no se le volverá a solicitar Multi-Factor Authentication desde ese mismo explorador hasta que expire la cookie. Si el usuario abre un explorador diferente en el mismo dispositivo o borra sus cookies, se le pedirá de nuevo la verificación.

La opción No preguntar de nuevo durante X días no está disponible en las aplicaciones sin explorador, independientemente de si la aplicación admite la autenticación moderna. Estas aplicaciones usan tokens de actualización que proporcionan nuevos tokens de acceso cada hora. Cuando se valida un token de actualización, Azure AD comprueba que la última autenticación multifactor estaba dentro del número de días especificado.

La característica reduce el número de autenticaciones en las aplicaciones web, que normalmente se solicitan siempre. La característica puede aumentar el número de autenticaciones para los clientes de autenticación moderna, que normalmente se solicita cada 180 días, si se configura una duración inferior. También se puede aumentar el número de autenticaciones cuando se combina con las directivas de acceso condicional.

Importante

La característica Recordar Multi-Factor Authentication no es compatible con la característica Mantener la sesión iniciada de AD FS cuando los usuarios realizan la autenticación multifactor para AD FS mediante el servidor de Azure Multi-Factor Authentication o una solución de terceros para la autenticación multifactor.

Si los usuarios seleccionan Mantener la sesión iniciada en AD FS y también marcan su dispositivo como de confianza para Multi-Factor Authentication, no se comprobará el usuario automáticamente después de que expire el número de días de la característica Recordar Multi-Factor Authentication. Azure AD solicita una nueva autenticación multifactor, pero AD FS devuelve un token con la fecha y la notificación originales de Multi-Factor Authentication en lugar de volver a realizar la autenticación multifactor. Esta reacción crea un bucle de comprobación entre Azure AD y AD FS.

La característica Recordar Multi-Factor Authentication no es compatible con los usuarios de B2B y no será visible para ellos al iniciar sesión en los inquilinos invitados.

Habilitación de Recordar Multi-Factor Authentication

Para habilitar y configurar la opción para que los usuarios recuerden su estado de MFA y omitan las solicitudes, complete los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y luego elija Usuarios.
  2. Seleccione Multi-Factor Authentication.
  3. En Multi-Factor Authentication, seleccione Configuración del servicio.
  4. En la página Configuración del servicio, en Recordar Multi-Factor Authentication, seleccione la opción Permitir que los usuarios recuerden la autenticación multifactor en dispositivos de confianza.
  5. Establezca el número de días para permitir que los dispositivos de confianza omitan la autenticación multifactor. Para que la experiencia del usuario sea óptima, amplíe la duración a 90 o más días.
  6. Seleccione Guardar.

Marca de un dispositivo como de confianza

Después de habilitar la característica Recordar Multi-Factor Authentication, al iniciar sesión los usuarios pueden marcar un dispositivo como de confianza si seleccionan la opción No volver a preguntar.

Pasos siguientes

Para obtener más información sobre los métodos disponibles para su uso en Azure AD Multi-Factor Authentication, vea ¿Qué métodos de autenticación y verificación hay disponibles en Azure Active Directory?