Funcionamiento: Azure AD Multi-Factor Authentication

La autenticación multifactor es un procedimiento en el que se solicita a los usuarios durante el inicio de sesión una forma adicional de identificación, como un código en el teléfono móvil o un examen de la huella digital.

Si solo usa una contraseña para autenticar a un usuario, deja un vector desprotegido frente a los ataques. Si la contraseña es débil o se ha expuesto en otro lugar, un atacante podría usarla para obtener acceso. Al exigir una segunda forma de autenticación, aumenta la seguridad, porque este factor adicional no es algo que resulte fácil de obtener o duplicar para un atacante.

Conceptual image of the various forms of multi-factor authentication.

El funcionamiento de Azure AD Multi-Factor Authentication se basa en exigir uno o varios de los siguientes métodos de autenticación:

  • Algo que conoce, normalmente una contraseña.
  • Algo que tiene, como un dispositivo de confianza que no se puede duplicar con facilidad (por ejemplo, un teléfono o una clave de hardware).
  • Algo que forma parte de usted, información biométrica como una huella digital o una detección de rostro.

Azure AD Multi-Factor Authentication también puede proteger aún más el restablecimiento de contraseña. Cuando los usuarios se registran para Azure AD Multi-Factor Authentication, también pueden registrarse para el autoservicio de restablecimiento de contraseña en un paso. Los administradores pueden elegir formas de autenticación secundaria y configurar desafíos para MFA en función de las decisiones de configuración.

No es necesario que cambie las aplicaciones y servicios para usar la autenticación multifactor de Azure AD. Los mensajes de comprobación forman parte del inicio de sesión de Azure AD, que solicita y procesa automáticamente el desafío de MFA cuando es necesario.

Nota

El idioma de la solicitud viene determinado por la configuración regional del explorador. Si usa saludos personalizados, pero no tiene uno para el idioma identificado en la configuración regional del explorador, se usa el inglés de manera predeterminada. El servidor de directivas de red (NPS) siempre usará el inglés de manera predeterminada, independientemente de los saludos personalizados. El inglés también se usa de manera predeterminada si no se puede identificar la configuración regional del explorador.

MFA sign-in screen.

Métodos de comprobación disponibles

Cuando los usuarios inician sesión en una aplicación o servicio, y reciben un mensaje de MFA, pueden elegir uno de sus formularios registrados de comprobación adicional. Los usuarios pueden acceder a Mi perfil para editar o agregar métodos de comprobación.

Con Multi-Factor Authentication de Azure AD, se pueden usar las siguientes formas adicionales de verificación:

  • Aplicación Microsoft Authenticator
  • Windows Hello para empresas
  • Clave de seguridad FIDO2
  • Token de hardware OATH (versión preliminar)
  • Token de software OATH
  • sms
  • Llamada de voz

Habilitación y uso de Multi-Factor Authentication de Azure AD

Puede usar los valores predeterminados de seguridad en inquilinos de Azure AD para habilitar rápidamente la aplicación Microsoft Authenticator para todos los usuarios. Puede habilitar la autenticación multifactor de Azure AD para solicitar a los usuarios y grupos una verificación adicional durante el inicio de sesión.

Para tener controles más pormenorizados, puede usar directivas de acceso condicional para definir los eventos o aplicaciones que requieren MFA. Estas directivas pueden permitir inicios de sesión regulares cuando el usuario se encuentra en la red corporativa o en un dispositivo registrado, pero solicitar más factores de comprobación cuando el usuario se encuentra en un dispositivo personal o en un entorno remoto.

Diagram that shows how Conditional Access works to secure the sign-in process.

Pasos siguientes

Para información sobre las licencias, consulte Características y licencias de Multi-Factor Authentication de Azure AD.

Para obtener más información sobre los distintos métodos de autenticación y validación, vea Métodos de autenticación en Azure Active Directory.

Para ver MFA en acción, habilite Multi-Factor Authentication de Azure AD en un conjunto de usuarios de prueba en el siguiente tutorial: