Planeamiento de una implementación de autenticación sin contraseña en Id. de Microsoft Entra

Las contraseñas son un vector de ataque principal. Los actores con malas intenciones usan ataques de ingeniería social, suplantación de identidad (phishing) y ataques de difusión de contraseñas para ponerlas en peligro. Una estrategia de autenticación sin contraseña mitiga el riesgo de estos ataques.

Microsoft ofrece las tres opciones siguientes de autenticación sin contraseña que se integran con Microsoft Entra ID:

  • Microsoft Authenticator: convierte cualquier teléfono iOS o Android en una credencial segura sin contraseña, ya que permite a los usuarios iniciar sesión en cualquier plataforma o explorador.

  • Claves de seguridad compatibles con FIDO2: son útiles para los usuarios que inician sesión en máquinas compartidas, como quioscos, en situaciones en las que se restringe el uso de teléfonos, y para identidades con privilegios elevados.

  • Windows Hello para empresas: está más indicado para los usuarios que trabajan en sus equipos Windows dedicados.

Nota:

Para crear una versión sin conexión de este plan con todos los vínculos, utilice la funcionalidad de impresión en PDF del explorador.

Uso del asistente para métodos sin contraseña

El centro de administración de Microsoft Entra tiene ahora un asistente para los métodos sin contraseña que le ayudará a seleccionar el método adecuado para cada una de las audiencias. Si aún no ha determinado los métodos adecuados, vea https://aka.ms/passwordlesswizard, y vuelva a este artículo para seguir planeando los métodos seleccionados. Necesita derechos de administrador para acceder a este asistente.

Escenarios de autenticación sin contraseña

Los métodos de autenticación sin contraseña de Microsoft permiten muchos escenarios. Tenga en cuenta las necesidades de su organización, los requisitos previos y las funcionalidades de cada método de autenticación para seleccionar su estrategia de autenticación sin contraseña.

En la tabla siguiente se enumeran los métodos de autenticación sin contraseña por tipo de dispositivo. Nuestras recomendaciones se indican en negrita y cursiva.

Tipos de dispositivo Método de autenticación sin contraseña
Dispositivos dedicados que no son Windows
  • Microsoft Authenticator
  • Llaves de seguridad
  • Equipos Windows 10 dedicados (versión 1703 y posteriores)
  • Windows Hello para empresas
  • Llaves de seguridad
  • Equipos Windows 10 dedicados (anteriores a la versión 1703)
  • Windows Hello para empresas
  • Aplicación Microsoft Authenticator
  • Dispositivos compartidos: tabletas y dispositivos móviles
  • Microsoft Authenticator
  • Inicio de sesión con contraseña de un solo uso
  • Quioscos (heredado) Microsoft Authenticator
    Quioscos y equipos compartidos ‎(Windows 10)
  • Llaves de seguridad
  • Aplicación Microsoft Authenticator
  • Requisitos previos

    Asegúrese de cumplir los requisitos previos antes de iniciar la implementación sin contraseña.

    Roles necesarios

    Estos son los roles con privilegios mínimos necesarios para esta implementación:

    Rol de Microsoft Entra Descripción
    Administrador de usuarios o administrador global Para implementar la experiencia de registro combinado.
    Administrador de autenticación Para implementar y administrar métodos de autenticación.
    Usuario Para configurar la aplicación Authenticator en el dispositivo, o para inscribir el dispositivo de clave de seguridad para el inicio de sesión web o de Windows 10.

    Como parte de este plan de implementación, se recomienda habilitar la autenticación sin contraseña para todas las cuentas con privilegios.

    Aplicación Microsoft Authenticator y claves de seguridad

    Los requisitos previos se determinan por los métodos de autenticación sin contraseña seleccionados.

    Requisito previo Microsoft Authenticator Llaves de seguridad FIDO2
    Se ha habilitado el registro combinado en autenticación multifactor de Microsoft Entra ID y el autoservicio de restablecimiento de contraseña (SSPR)
    Los usuarios pueden realizar la autenticación multifactor de Microsoft Entra
    Los usuarios se han registrado para la autenticación multifactor de Microsoft Entra y SSPR
    Los usuarios han registrado sus dispositivos móviles para Microsoft Entra ID
    Windows 10 versión 1809 o superior con un explorador admitido, como Microsoft Edge o Mozilla Firefox (versión 67 o superior). Microsoft recomienda la versión 1903 o posteriores para tener compatibilidad nativa.
    Claves de seguridad compatibles Asegúrese de que usa una clave de seguridad FIDO2 verificada y probada por Microsoft, o cualquier otra clave de seguridad FIDO2 compatible.

    Windows Hello para empresas

    Los requisitos previos y las rutas de implementación de Windows Hello para empresas dependen en gran medida de si la implementación se realiza en una configuración local, híbrida o solo en la nube. También depende de la estrategia de conexión del dispositivo.

    Seleccione Windows Hello para empresas y complete el asistente para determinar los requisitos previos y la implementación adecuados para su organización.

    Select Windows Hello for Business in the wizard

    El asistente usará las entradas para confeccionar un plan paso a paso que puede seguir.

    Planeamiento del proyecto

    Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que involucra a las partes interesadas adecuadas y que estas conocen bien sus roles.

    Planeamiento de un piloto

    Al implementar la autenticación sin contraseña, debe habilitar primero uno o varios grupos piloto. Puede crear grupos específicamente para este propósito. Agregue a los grupos los usuarios que van a participar en la prueba piloto. A continuación, habilite los nuevos métodos de autenticación sin contraseña para los grupos seleccionados. Consulte Procedimientos recomendados para un piloto.

    Planeamiento de las comunicaciones

    Las comunicaciones con los usuarios finales deben incluir la información siguiente:

    Microsoft proporciona plantillas de comunicación para los usuarios finales. Descargue el material de lanzamiento de autenticación para ayudar a esbozar las comunicaciones. Los materiales de lanzamiento incluyen pósteres personalizables y plantillas de correo electrónico que puede usar para informar a los usuarios sobre las próximas opciones de autenticación sin contraseña de su organización.

    Planeamiento del registro del usuario

    Los usuarios registran su método sin contraseña como parte del flujo de trabajo de información de seguridad combinado en https://aka.ms/mysecurityinfo. Microsoft Entra registra el registro de claves de seguridad y la aplicación Authenticator, y cualquier otro cambio en los métodos de autenticación.

    En el caso de que sea la primera vez para un usuario que no tiene una contraseña, los administradores pueden proporcionar un código de pase de acceso temporal para registrar su información de seguridad en https://aka.ms/mysecurityinfo. Se trata de un código de acceso con un tiempo limitado y satisface los requisitos de autenticación sólida. El Pase de acceso temporal es un proceso que se realiza por usuario.

    Este método también se puede usar para facilitar la recuperación cuando el usuario ha perdido u olvidado su factor de autenticación, como una llave de seguridad o la aplicación Authenticator, pero debe iniciar sesión para registrar un nuevo método de autenticación sólida.

    Nota:

    Si no puede usar la clave de seguridad o la aplicación Authenticator en algunos escenarios, se puede usar la autenticación multifactor con un nombre de usuario y contraseña, junto con otro método registrado como opción de reserva.

    Planeación e implementación de Microsoft Authenticator

    Microsoft Authenticator convierte cualquier teléfono Android o iOS en una credencial segura sin contraseña. Se puede descargar gratis de Google Play o Apple App Store. Haga que los usuarios descarguen Microsoft Authenticator y que sigan las instrucciones para habilitar el inicio de sesión en el teléfono.

    Consideraciones técnicas

    Servicios de federación de Active Directory (AD FS): cuando un usuario habilita la credencial sin contraseña de Authenticator, la autenticación predeterminada para ese usuario siempre es enviar una notificación para su aprobación. Se impide que los usuarios de un inquilino híbrido se dirijan a AD FS para iniciar sesión a menos que seleccionen "Usar la contraseña en su lugar". Este proceso también omite las directivas de acceso condicional locales y los flujos de autenticación transferida (PTA). Sin embargo, si se especifica login_hint, el usuario se reenvía a AD FS y se omite la opción de usar la credencial sin contraseña. En el caso de las aplicaciones que no son de Microsoft 365 que usan AD FS para la autenticación, las directivas de acceso condicional de Microsoft Entra no se aplicarán y deberán configurar directivas de control de acceso en AD FS.

    Servidor MFA: los usuarios finales habilitados para la autenticación multifactor mediante un servidor MFA local de la organización pueden crear y usar una credencial de inicio de sesión único telefónico sin contraseña. Si el usuario intenta actualizar varias instalaciones (5 o más) de la aplicación Authenticator con la credencial, este cambio puede dar lugar a un error.

    Importante

    En septiembre de 2022, Microsoft anunció la entrada en desuso del Servidor Multi-Factor Authentication de Azure. A partir del 30 de septiembre de 2024, las implementaciones del Servidor Azure Multi-Factor Authentication ya no atenderán las solicitudes de autenticación multifactor, lo que podría provocar un error en las autenticaciones de su organización. Para garantizar que los servicios de autenticación funcionen sin interrupciones y sigan siendo compatibles, las organizaciones deben migrar los datos de autenticación de los usuarios al servicio Azure MFA basado en la nube mediante la utilidad de migración más reciente incluida en la última actualización del Servidor Azure MFA. Para más información, consulte Migración del Servidor Azure MFA.

    Registro de dispositivos: para usar la aplicación Authenticator para la autenticación sin contraseña, el dispositivo debe estar registrado en el inquilino de Microsoft Entra y no puede ser un dispositivo compartido. Un dispositivo solo se puede registrar en un único inquilino. Este límite significa que solo se admite una cuenta profesional o educativa para el inicio de sesión en el teléfono con la aplicación Authenticator.

    Implementación del inicio de sesión en el teléfono con la aplicación Authenticator

    Siga los pasos del artículo Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator para habilitar la aplicación Authenticator como método de autenticación sin contraseña en la organización.

    Prueba de la aplicación Authenticator

    Los siguientes son casos de prueba de ejemplo para la autenticación sin contraseña mediante la aplicación Authenticator:

    Escenario Resultados esperados
    El usuario puede registrar la aplicación Authenticator. El usuario puede registrar la aplicación desde https://aka.ms/mysecurityinfo.
    El usuario puede habilitar el inicio de sesión en el teléfono El inicio de sesión en el teléfono se ha configurado para una cuenta profesional.
    El usuario puede acceder a una aplicación mediante el inicio de sesión en el teléfono. El usuario pasa por el flujo de inicio de sesión en el teléfono y llega a la aplicación.
    Pruebe la reversión del registro de inicio de sesión en el teléfono desactivando el inicio de sesión sin contraseña en la aplicación Authenticator. Haga esto en la pantalla Métodos de autenticación en el Centro de administración de Microsoft Entra Los usuarios habilitados anteriormente no pueden usar el inicio de sesión sin contraseña desde la aplicación Authenticator.
    Eliminación del inicio de sesión en el teléfono mediante la aplicación Authenticator La cuenta profesional ya no está disponible en la aplicación Authenticator.

    Solución de problemas de inicio de sesión en el teléfono

    Escenario Solución
    El usuario no puede realizar el registro combinado. Asegúrese de que el registro combinado está habilitado.
    El usuario no puede habilitar el inicio de sesión en el teléfono en la aplicación Authenticator. Asegúrese de que el usuario está en el ámbito de la implementación.
    El usuario NO está en el ámbito de la autenticación sin contraseña, pero se le ofrece la opción de inicio de sesión sin contraseña, que no puede completar. Se produce cuando el usuario ha habilitado el inicio de sesión de la aplicación en el teléfono antes de que se haya creado la directiva. Para habilitar el inicio de sesión, agregue el usuario al grupo de usuarios habilitados para el inicio de sesión sin contraseña. Para bloquear el inicio de sesión: pida al usuario que quite sus credenciales de la aplicación.

    Planeación e implementación de claves de seguridad compatibles con FIDO2

    Habilite claves de seguridad compatibles. Esta es una lista de proveedores de claves de seguridad FIDO2 que proporcionan claves que se sabe que son compatibles con la experiencia sin contraseña.

    Planeación del ciclo de vida de las claves de seguridad

    Prepare y planee el ciclo de vida de las claves.

    Distribución de las claves: planee cómo aprovisionará las claves a su organización. Puede tener un proceso de aprovisionamiento centralizado o permitir que los usuarios finales compren llaves compatibles con FIDO 2.0.

    Activación de las claves: los usuarios finales deben activar la clave de seguridad. Los usuarios finales registran sus llaves de seguridad en https://aka.ms/mysecurityinfo y habilitan el segundo factor (PIN o biométrico) al usarlas por primera vez. En el caso de que sea la primera vez, los usuarios pueden usar TAP para registrar su información de seguridad.

    Deshabilitación de una clave: si un administrador quiere quitar una clave FIDO2 asociada a una cuenta de usuario, puede hacerlo mediante la eliminación de la clave del método de autenticación del usuario, como se muestra a continuación. Para más información, vea Deshabilitación de una clave.

    Emisión de una nueva clave: el usuario puede registrar la nueva clave FIDO2 yendo a https://aka.ms/mysecurityinfo

    Consideraciones técnicas

    Hay tres tipos de implementaciones de inicio de sesión sin contraseña disponibles con las claves de seguridad:

    • Aplicaciones web de Microsoft Entra en un explorador compatible

    • Dispositivos Windows 10 unido a Microsoft Entra

    • Dispositivos Windows 10 híbridos unidos a Microsoft Entra

    Para aplicaciones web de Microsoft Entra y dispositivos Windows unidos a Microsoft Entra, use:

    • Windows 10 versión 1809 o superior con un explorador admitido, como Microsoft Edge o Mozilla Firefox (versión 67 o superior).

    • La versión 1809 de Windows 10 admite el inicio de sesión de FIDO2 y puede requerir la implementación del software del fabricante de la clave de FIDO2. Se recomienda utilizar la versión 1903 o posterior.

    Para dispositivos unidos a un dominio de Microsoft Entra híbrido, use:

    • Windows 10, versión 2004 o posterior.

    • Servidores de dominio totalmente revisados que ejecutan Windows Server 2016 o 2019.

    • Versión más reciente de Microsoft Entra Connect.

    Habilitación de la compatibilidad con Windows 10

    Para habilitar el inicio de sesión de Windows 10 con claves de seguridad FIDO2, es necesario habilitar la funcionalidad del proveedor de credenciales en Windows 10. Elija alguna de las acciones siguientes:

    Habilitación de la integración local

    Siga los pasos del artículo Habilitación del inicio de sesión con una clave de seguridad sin contraseña en recursos locales (versión preliminar).

    Importante

    Estos pasos también se deben completar para que los dispositivos unidos a Microsoft Entra híbrido usen claves de seguridad FIDO2 para el inicio de sesión de Windows 10.

    Directiva de restricciones de claves

    Al implementar la clave de seguridad, también puede restringir el uso de claves FIDO2 solo a fabricantes específicos aprobados por su organización. La restricción de claves requiere el GUID de atestación de Authenticator (AAGUID). Existen dos formas de obtener el AAGUID.

    How to enforce key restrictions

    Si la clave de seguridad está restringida y el usuario intenta registrar la clave de seguridad FIDO2, recibe el siguiente error:

    Security key error when key is restricted

    Si el AAGUID se restringe después de que el usuario haya registrado la clave de seguridad, verá el mensaje siguiente:

    View for user when AAGUID is restricted

    *Clave FIDO2 bloqueada por directiva de restricción de claves

    Implementación del inicio de sesión con clave de seguridad FIDO2

    Siga los pasos descritos en el artículo Habilitación del inicio de sesión sin contraseña con clave de seguridad para habilitar las claves de seguridad FIDO2 como método de autenticación sin contraseña en su organización.

    Prueba de las llaves de seguridad

    Los siguientes son casos de prueba de ejemplo para la autenticación sin contraseña con claves de seguridad.

    Inicio de sesión FIDO sin contraseña en dispositivos Windows 10 unidos a Microsoft Entra

    Escenario (compilación de Windows) Resultados esperados
    El usuario puede registrar el dispositivo FIDO2 (1809) El usuario puede registrar el dispositivo FIDO2 en Configuración > Cuentas > Opciones de inicio de sesión > Clave de seguridad
    El usuario puede restablecer el dispositivo FIDO2 (1809) El usuario puede restablecer el dispositivo FIDO2 mediante el software del fabricante
    El usuario puede iniciar sesión con el dispositivo FIDO2 (1809) El usuario puede seleccionar la opción Clave de seguridad en la ventana de inicio de sesión e iniciar sesión correctamente.
    El usuario puede registrar el dispositivo FIDO2 (1903) El usuario puede registrar el dispositivo FIDO2 en Configuración > Cuentas > Opciones de inicio de sesión > Clave de seguridad
    El usuario puede restablecer el dispositivo FIDO2 (1903) El usuario puede restablecer el dispositivo FIDO2 en Configuración > Cuentas > Opciones de inicio de sesión > Clave de seguridad
    El usuario puede iniciar sesión con el dispositivo FIDO2 (1903) El usuario puede seleccionar la opción Clave de seguridad en la ventana de inicio de sesión e iniciar sesión correctamente.

    Inicio de sesión FIDO sin contraseña en aplicaciones web de Microsoft Entra

    Escenario Resultados esperados
    El usuario puede registrar el dispositivo FIDO2 en aka.ms/mysecurityinfo con Microsoft Edge El registro se realizará correctamente
    El usuario puede registrar el dispositivo FIDO2 en aka.ms/mysecurityinfo con Firefox El registro se realizará correctamente
    El usuario puede iniciar sesión en OneDrive en línea mediante el dispositivo FIDO2 con Microsoft Edge El inicio de sesión debería realizarse correctamente
    El usuario puede iniciar sesión en OneDrive en línea mediante el dispositivo FIDO2 con Firefox El inicio de sesión debería realizarse correctamente
    Pruebe a revertir el registro de dispositivos FIDO2 mediante la desactivación de las claves de seguridad FIDO2 en la ventana de métodos de autenticación del centro de administración de Microsoft Entra Los usuarios:
  • Se les solicitará que inicien sesión con su clave de seguridad.
  • Iniciaran sesión correctamente y verán el siguiente error: "Your company policy requires that you use a different method to sign in" (La directiva de la empresa requiere que use otro método para iniciar sesión).
  • Pueden seleccionar un método diferente e iniciar sesión correctamente. Cierre la ventana e inicie sesión de nuevo para comprobar que no ven el mismo mensaje de error.
  • Solución de problemas de inicio de sesión con clave de seguridad

    Escenario Solución
    El usuario no puede realizar el registro combinado. Asegúrese de que el registro combinado está habilitado.
    El usuario no puede agregar una clave de seguridad a la configuración de seguridad. Asegúrese de que las llaves de seguridad estén habilitadas.
    El usuario no puede agregar una clave de seguridad en las opciones de inicio de sesión de Windows 10. Asegúrese de que las claves de seguridad para el inicio de sesión de Windows estén habilitadas.
    Mensaje de error: Hemos detectado que este sistema operativo o explorador no admite las claves de seguridad FIDO2. Los dispositivos de seguridad FIDO2 sin contraseña solo se pueden registrar en exploradores compatibles (Microsoft Edge, Firefox versión 67) en Windows 10 versión 1809 o posteriores.
    Mensaje de error: La directiva de la empresa requiere que use otro método para iniciar sesión. Asegúrese de que las claves de seguridad estén habilitadas en el inquilino.
    El usuario no puede administrar mi llave de seguridad en la versión 1809 de Windows 10 La versión 1809 requiere que use el software de administración de llaves de seguridad proporcionado por el proveedor de llaves FIDO2. Póngase en contacto con el proveedor para obtener soporte técnico.
    Creo que mi clave de seguridad FIDO2 puede ser defectuosa, ¿cómo puedo probarla? Vaya a https://webauthntest.azurewebsites.net/, escriba las credenciales de una cuenta de prueba, conecte la clave de seguridad sospechosa, seleccione el botón + situado en la parte superior derecha de la pantalla, seleccione Crear y continúe con el proceso de creación. Si se produce un error en este escenario, es posible que el dispositivo esté defectuoso.

    Administración de la autenticación sin contraseña

    Para administrar los métodos de autenticación sin contraseña del usuario en el centro de administración de Microsoft Entra, seleccione su cuenta de usuario y, después, seleccione Métodos de autenticación.

    Microsoft Graph API

    También puede administrar los métodos de autenticación sin contraseña mediante la API de métodos de autenticación de Microsoft Graph. Por ejemplo:

    • Puede recuperar los detalles de la clave de seguridad FIDO2 de un usuario y eliminarla si el usuario ha perdido la clave.

    • Si el usuario ha perdido el teléfono, es posible recuperar detalles del registro de la aplicación Authenticator del usuario y eliminarlos.

    • Administre las directivas del método de autenticación para las claves de seguridad y la aplicación Authenticator.

    Para más información sobre los métodos de autenticación que se pueden administrar en Microsoft Graph, consulte Introducción a la API de métodos de autenticación de Microsoft Entra.

    Reversión

    Sugerencia

    Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

    Aunque la autenticación sin contraseña es una característica ligera con un impacto mínimo en los usuarios finales, puede que sea necesario revertirla.

    Para ello, es necesario que el administrador inicie sesión en el centro de administración de Microsoft Entra, seleccione los métodos de autenticación seguros que quiera y cambie la opción Habilitar a No. Este proceso desactiva la funcionalidad sin contraseña para todos los usuarios.

    Screenshot of the Polices page in the Microsoft Entra admin center.

    A los usuarios que ya han registrado dispositivos de seguridad FIDO2 se les pide que utilicen el dispositivo de seguridad en el siguiente inicio de sesión y, a continuación, se les muestra el siguiente error:

    Error window for password rollback

    Creación de informes y supervisión

    Microsoft Entra ID tiene informes que proporcionan información técnica y empresarial. Haga que los propietarios de las aplicaciones empresariales y técnicas asuman la propiedad de estos informes y los consuman en función de los requisitos de su organización.

    En la tabla siguiente se proporcionan algunos ejemplos de escenarios de informes típicos:

    Administración de los riesgos. Aumento de la productividad Gobernanza y cumplimiento otro
    Tipos de informes Métodos de autenticación: usuarios registrados para el registro de seguridad combinado Métodos de autenticación: usuarios registrados para la notificación de aplicaciones Inicios de sesión: revisar quién tiene acceso al inquilino y cómo.
    Acciones posibles Dirigirse a los usuarios no registrados todavía Adopción de la aplicación Authenticator o claves de seguridad Revocar el acceso o aplicar directivas de seguridad adicionales para administradores

    Uso y conclusiones del seguimiento

    Microsoft Entra ID agrega entradas a los registros de auditoría cuando:

    • Un administrador realiza cambios en la sección Métodos de autenticación.

    • Un usuario realiza cualquier tipo de cambio en sus credenciales dentro de Microsoft Entra ID.

    • Un usuario habilita o deshabilita su cuenta en una clave de seguridad o restablece el segundo factor para la clave de seguridad en su máquina Win 10. Consulte los ID de evento: 4670 y 5382.

    Microsoft Entra ID conserva la mayoría de los datos de auditoría durante 30 días y hace que estén disponibles en la API o el centro de administración de Microsoft Entra para que pueda descargarlos en sus sistemas de análisis. Si necesita una retención más larga, exporte y consuma los registros en una herramienta SIEM como Microsoft Sentinel, Splunk o Sumo Logic. Se recomienda una retención más larga para la auditoría, el análisis de tendencias y otras necesidades empresariales según corresponda.

    Hay dos pestañas en el panel de actividad Métodos de autenticación: Registro y Uso.

    En la pestaña Registro se muestra el número de usuarios que pueden realizar la autenticación sin contraseña, así como otros métodos de autenticación. En esta pestaña se muestran dos gráficos:

    • Usuarios registrados por método de autenticación.

    • Registro reciente por método de autenticación.

    Registration tab to view auth methods

    En la pestaña Uso se muestran los inicios de sesión por método de autenticación.

    Screenshot of the Activity page to view auth methods.

    Para más información, consulte Seguimiento de los métodos de autenticación registrados y el uso en la organización de Microsoft Entra.

    Informes de actividad de inicio de sesión

    Use el informe de actividad de inicio de sesión para realizar un seguimiento de los métodos de autenticación usados para iniciar sesión en las distintas aplicaciones.

    Seleccione la fila del usuario y, a continuación, seleccione la pestaña Detalles de la autenticación para ver qué método de autenticación se usó para qué actividad de inicio de sesión.

    Reporting sign-in activity

    Pasos siguientes