Características y licencias de Azure AD Multi-Factor Authentication

Para proteger las cuentas de usuario de la organización, se debe usar la autenticación multifactor. Esta característica resulta especialmente importante en las cuentas que tienen acceso con privilegios a los recursos. Los usuarios y administradores globales de Microsoft 365 y Azure Active Directory (Azure AD) disponen de las características básicas de la autenticación multifactor sin cargo adicional. Si quiere actualizar las características de los administradores o extender la autenticación multifactor al resto de los usuarios con más métodos de autenticación y un mayor control, puede adquirir Azure AD Multi-Factor Authentication de varias maneras.

Importante

En este artículo se detallan las diferentes licencias y formas de uso de Azure AD Multi-Factor Authentication. Para obtener información específica sobre precios y facturación, consulte Página de precios de Azure AD.

Versiones disponibles de Azure AD Multi-Factor Authentication

Existen varias licencias distintas de Azure AD Multi-Factor Authentication, y formas de usarlo, en función de las necesidades de la organización. Todos los inquilinos tienen derecho a características básicas de autenticación multifactor a través de valores predeterminados de seguridad. Es posible que ya pueda usar las características avanzadas de Azure AD Multi-Factor Authentication conforme a la licencia de Azure AD, EMS o Microsoft 365 que tenga actualmente. Por ejemplo, los primeros 50 000 usuarios activos mensuales de Azure AD External Identities pueden usar MFA y otras características de Premium P1 o P2 de forma gratuita. Para obtener más información, consulte Precios de Azure Active Directory for External Identities.

En la tabla siguiente se detallan las diferentes formas de obtener Azure AD Multi-Factor Authentication y algunas de las características y los casos de uso de cada una de ellas.

Si es usuario de Funcionalidades y casos de uso
Microsoft 365 Business Premium y EMS o Microsoft 365 E3 y E5 EMS E3, Microsoft 365 E3 y Microsoft 365 Empresa Premium incluye Azure AD Premium P1. EMS E5 o Microsoft 365 E5 incluyen Azure AD Premium P2. Puede usar las mismas características de acceso condicional que se indican en las siguientes secciones para proporcionar la autenticación multifactor a los usuarios.
Azure AD Premium P1 Puede usar el acceso condicional de Azure AD para solicitar a los usuarios la autenticación multifactor en determinados escenarios o eventos y adaptarse así a los requisitos empresariales.
Azure AD Premium P2 Proporciona la opción de seguridad más potente y una experiencia de usuario mejorada. Agrega acceso condicional basado en riesgos a las características de Azure AD Premium P1; se adapta a los patrones del usuario y reduce el número de solicitudes de la autenticación multifactor.
Todos los planes de Microsoft 365 Azure AD Multi-Factor Authentication puede habilitarse para todos los usuarios con los valores predeterminados de seguridad. La administración de Azure AD Multi-Factor Authentication se realiza en el portal de Microsoft 365. Para mejorar la experiencia del usuario, actualice a Azure AD Premium P1 o P2 y use el acceso condicional. Para obtener más información, consulte el artículo sobre la protección de los recursos de Microsoft 365 con la autenticación multifactor.
Office 365 gratis
Azure AD Gratis
Puede usar los valores predeterminados de seguridad para solicitar a los usuarios la autenticación multifactor según sea necesario y, aunque no tiene un control pormenorizado de los usuarios o escenarios habilitados, sí se proporciona ese paso de seguridad adicional.
Incluso cuando no se usan los valores predeterminados de seguridad para habilitar la autenticación multifactor para todos los usuarios, se puede configurar el rol de administrador global de Azure AD para usar la autenticación multifactor. Esta característica del nivel de servicio gratuito garantiza que las cuentas de administrador críticas están protegidas por la autenticación multifactor.

Comparación de las características en función de las licencias

En la tabla siguiente se proporciona una lista de las características que están disponibles en las distintas versiones de Azure AD Multi-Factor Authentication. Planee sus necesidades de protección para la autenticación de usuarios y, a continuación, determine qué enfoque cumple esos requisitos. Por ejemplo, aunque Azure AD Free aporta valores predeterminados de seguridad que proporcionan Azure AD Multi-Factor Authentication, en la solicitud de autenticación solo se puede usar la aplicación de autenticación para dispositivos móviles, no una llamada telefónica ni un SMS. Este enfoque puede ser una limitación si no se puede garantizar que la aplicación de autenticación para dispositivos móviles esté instalada en el dispositivo personal de un usuario. Consulte Nivel Azure AD Free más adelante en este tema para obtener más información.

Característica Azure AD Free: valores predeterminados de seguridad (habilitados para todos los usuarios) Azure AD Free: solo administradores globales Office 365 Azure AD Premium P1 Azure AD Premium P2
Protección de cuentas de administración de inquilinos de Azure AD con MFA ● (solo cuentas de administrador global de Azure AD)
Aplicación móvil como segundo factor
Llamada de teléfono como segundo factor
SMS como segundo factor
Control administrativo sobre métodos de comprobación
Alerta de fraude
Informes de MFA
Saludos personalizados para las llamadas de teléfono
Identificador de llamada personalizado para llamadas telefónicas
IP de confianza
Recordar MFA para dispositivos de confianza
MFA para aplicaciones locales
Acceso condicional
Acceso condicional basado en el riesgo
Identity Protection (inicios de sesión de riesgo, usuarios de riesgo)
Revisiones de acceso
Administración de derechos
Privileged Identity Management (PIM), acceso Just-In-Time

Comparación de las directivas de autenticación multifactor

Nuestro enfoque recomendado para aplicar MFA es usar el acceso condicional. Revise la tabla siguiente para determinar qué funcionalidades se incluyen en las licencias.

Directiva de Valores predeterminados de seguridad Acceso condicional MFA por usuario
Administración
Conjunto estándar de reglas de seguridad para proteger su empresa
Activación y desactivación con un solo clic
Se incluye en las licencias de Office 365 (consulte las consideraciones de licencias)
Plantillas preconfiguradas en el asistente del centro de administración de Microsoft 365
Flexibilidad de configuración
Funcionalidad
Exención de usuarios de la directiva
Autenticación mediante llamada de teléfono o SMS
Autenticación mediante tokens de software y Microsoft Authenticator
Autenticación mediante FIDO2, Windows Hello para empresas y tokens de hardware
Bloqueo de los protocolos de autenticación heredados
Protección automática de los nuevos empleados
Desencadenadores de MFA dinámicos basados en eventos de riesgo
Directivas de autenticación y autorización
Configurable en función de la ubicación y el estado del dispositivo
Compatibilidad con el modo "solo informe"
Capacidad de bloquear completamente usuarios o servicios

Compra y habilitación de Azure AD Multi-Factor Authentication

Para usar Azure AD Multi-Factor Authentication, regístrese o compre un nivel de Azure AD válido. Azure AD está disponible en cuatro ediciones: Free, Office 365, Premium P1 y Premium P2.

La edición Free se incluye con una suscripción de Azure. Consulte la sección siguiente para obtener información sobre cómo usar los valores predeterminados de seguridad o cómo proteger las cuentas con el rol de administrador global de Azure AD.

Las ediciones de Azure AD Premium están disponibles a través del representante de Microsoft, el programas de licencias por volumen Open y el programa de proveedores de soluciones en la nube. Los suscriptores de Azure y Microsoft 365 también pueden comprar Azure Active Directory Premium P1 y P2 en línea. Inicie sesión para comprar.

Una vez que haya adquirido el nivel de Azure AD necesario, planee e implemente Azure AD Multi-Factor Authentication.

Nivel Azure AD Free

Todos los usuarios de un inquilino de Azure AD Free pueden usar Azure AD Multi-Factor Authentication mediante el uso de los valores predeterminados de seguridad. Cuando se emplean los valores predeterminados de seguridad de Azure AD Free, el único método que se puede usar para Azure AD Multi-Factor Authentication es la aplicación de autenticación para dispositivos móviles.

Si no quiere habilitar Azure AD Multi-Factor Authentication para todos los usuarios, puede optar por proteger solo las cuentas de usuario con el rol de administrador global de Azure AD. Este enfoque proporciona más solicitudes de autenticación para las cuentas de administrador críticas. Puede habilitar Azure AD Multi-Factor Authentication de una de las siguientes maneras, según el tipo de cuenta que use:

Pasos siguientes