Configuración de Azure AD Multi-Factor Authentication

Para personalizar la experiencia de usuario final de Azure AD Multi-Factor Authentication, puede configurar opciones para valores como los umbrales de bloqueo de cuentas o las alertas y notificaciones de fraude. Algunos valores están disponibles directamente en Azure Portal para Azure Active Directory (Azure AD) y otros en un portal de Azure AD Multi-Factor Authentication independiente.

Los siguientes valores de Azure AD Multi-Factor Authentication están disponibles en Azure Portal:

Característica Descripción
Bloqueo de cuenta Evite temporalmente que las cuentas usen Azure AD Multi-Factor Authentication si hay demasiados intentos de autenticación denegados en una fila. Esta característica solo se aplica a los usuarios que escriben un PIN para autenticarse. (Solo servidor de MFA)
Bloqueo y desbloqueo de usuarios Evite que usuarios específicos puedan recibir solicitudes de Azure AD Multi-Factor Authentication. Todos los intentos de autenticación para los usuarios bloqueados se denegarán automáticamente. Los usuarios permanecen bloqueados durante 90 días a partir del momento en que se bloquean o cuando se desbloquean manualmente.
Alerta de fraude Defina configuraciones que permitan a los usuarios notificar solicitudes de comprobación fraudulentas.
Notificaciones Permite notificaciones de eventos desde el Servidor MFA.
Tokens OATH Se usa en entornos de Azure AD Multi-Factor Authentication basados en la nube para administrar tokens de tipo OATH para los usuarios.
Configuración de las llamadas telefónicas Configure valores relacionados con llamadas de teléfono y saludos para entornos locales y en la nube.
Proveedores Se mostrarán los proveedores de autenticación existentes que pueden haberse asociado con su cuenta. La adición de nuevos proveedores estará deshabilitada a partir del 1 de septiembre de 2018.

Azure portal - Azure AD Multi-Factor Authentication settings

Bloqueo de cuenta

Para evitar intentos repetidos de MFA como parte de un ataque, la configuración de bloqueo de cuenta le permite especificar el número de intentos erróneos que se permiten antes de que la cuenta quede bloqueada durante un período de tiempo. La configuración de bloqueo de la cuenta solo se aplica cuando se especifica un código PIN para el aviso de MFA.

Las siguientes configuraciones están disponibles:

  • Número de denegaciones de MFA para desencadenar el bloqueo de cuenta
  • Minutos hasta que se restablezca el contador de bloqueos de cuenta
  • Minutos hasta que la cuenta se desbloquee automáticamente

Para configurar las opciones de bloqueo de cuenta, complete los siguientes pasos:

  1. Inicie sesión en Azure Portal como administrador.

  2. Vaya a Azure Active Directory>Seguridad>MFA>Bloqueo de cuenta.

  3. Escriba los valores necesarios para el entorno y seleccione Guardar.

    Screenshot that shows the account lockout settings in the Azure portal.

Bloqueo y desbloqueo de usuarios

Si el dispositivo de un usuario se ha perdido o ha sido robado, puede bloquear los intentos de Azure AD Multi-Factor Authentication de la cuenta asociada. Todos los intentos de Azure AD Multi-Factor Authentication de usuarios bloqueados se deniegan automáticamente. Los usuarios permanecen bloqueados durante 90 días a partir del momento en que se bloqueen. Para ver un vídeo en el que se explica cómo hacerlo, consulte Cómo bloquear y desbloquear usuarios en el inquilino.

Bloquear a un usuario

Para bloquear a un usuario, complete los siguientes pasos.

Vea un breve vídeo que describe este proceso.

  1. Vaya a Azure Active Directory>Seguridad>MFA>bloqueo/desbloqueo de usuarios.
  2. Seleccione Agregar para bloquear a un usuario.
  3. Escriba el nombre de usuario del usuario bloqueado en el formato username@domain.com y, a continuación, proporcione un comentario en el cuadro Motivo.
  4. Seleccione Aceptar para bloquear al usuario.

Desbloquear a un usuario

Para desbloquear a un usuario, complete los siguientes pasos:

  1. Vaya a Azure Active Directory>Seguridad>MFA>Bloqueo/Desbloqueo de usuarios.
  2. En la columna Acción situada junto al usuario, seleccione Desbloquear.
  3. Escriba un comentario en el campo Motivo para desbloquear.
  4. Seleccione Aceptar para desbloquear al usuario.

Alerta de fraude

La característica de alerta de fraude permite a los usuarios informar sobre intentos fraudulentos de acceso a sus recursos. Cuando se recibe un mensaje de MFA desconocido y sospechoso, los usuarios pueden informar del intento de fraude mediante la aplicación Microsoft Authenticator o a través de su teléfono.

Están disponibles las siguientes opciones de configuración de alertas de fraude:

  • Bloquear automáticamente a los usuarios que notifican fraudes. Si un usuario notifica un fraude, los intentos de autenticación de Azure AD Multi-Factor Authentication de la cuenta de usuario se bloquean durante 90 días o hasta que un administrador desbloquea esa cuenta. Un administrador puede revisar los inicios de sesión usando el informe de inicio de sesión y puede tomar las medidas adecuadas para prevenir el fraude en el futuro. El administrador puede, a continuación, desbloquear la cuenta de usuario.

  • Código para notificar fraudes durante el saludo inicial. Cuando los usuarios reciben una llamada telefónica para realizar la autenticación multifactor, normalmente presionan # para confirmar el inicio de sesión. Si desea notificar un fraude, el usuario introduce un código antes de presionar # . De manera predeterminada, dicho código es 0, pero se puede personalizar.

    Nota:

    El saludo predeterminado de Microsoft solicita a los usuarios que presionen 0# para enviar una alerta de fraude. Si quiere usar un código distinto a 0, grabe y cargue su propio saludo personalizado con las instrucciones adecuadas para sus usuarios.

Para habilitar y configurar las alertas de fraude, complete los pasos siguientes:

  1. Vaya a Azure Active Directory>Seguridad>MFA>Alertas de fraude.
  2. Establezca Permitir a los usuarios enviar alertas de fraude a Activado.
  3. Configure las opciones Bloquear automáticamente a los usuarios que notifican fraudes o Código para notificar fraudes durante el saludo inicial según sea necesario.
  4. Seleccione Guardar.

Visualización de notificaciones de fraude

Cuando un usuario informa de un fraude, el evento se muestra en el informe de inicios de sesión (como un inicio de sesión que el usuario rechazó) y en los registros de auditoría.

  • Para ver los informes de fraude en el informe de inicios de sesión, haga clic en Azure Active Directory>Inicios de sesión>Detalles de autenticación. El informe de fraude forma parte del informe de inicios de sesión de Azure AD estándar y aparece en Detalle del resultado como la denegación de MFA y el código de fraude especificado.

  • Para ver los informes de fraude en los registros de auditoría, haga clic en Azure Active Directory>Registros de auditoría. El informe de fraude aparece en tipo de actividad Fraude informado: el usuario está bloqueado para MFA o Fraude notificado: no se toman medidas en función de la configuración de nivel de inquilino para el informe de fraude.

Notificaciones

Puede configurar Azure AD para enviar notificaciones por correo electrónico cuando los usuarios informen de alertas de fraude. Normalmente, estas notificaciones se envían a los administradores de identidad, ya que es probable que las credenciales de la cuenta del usuario estén en peligro. En el ejemplo siguiente se muestra el aspecto de un correo electrónico de notificación de alerta de fraude:

Screenshot that shows a fraud alert notification email.

Para configurar notificaciones de alertas de fraude:

  1. Vaya a Azure Active Directory>Seguridad>Autenticación multifactor>Notificaciones.
  2. Escriba la dirección de correo electrónico a la que enviar la notificación.
  3. Para quitar una dirección de correo electrónico existente, seleccione la opción ... situada junto a la dirección de correo electrónico y, a continuación, seleccione Eliminar.
  4. Seleccione Guardar.

Tokens OATH

Azure AD admite el uso de tokens TOTP SHA-1 de OATH, que actualizan los códigos cada 30 o 60 segundos. Puede adquirir estos tokens a través del proveedor de su elección.

Los tokens de hardware TOTP de OATH suelen incluir una clave secreta, o valor de inicialización, programada previamente en el token. Estas claves se deben introducir en Azure AD, tal como se describe en los pasos siguientes. Las claves secretas se limitan a 128 caracteres lo que puede no ser compatible con todos los tokens. La clave secreta solo puede contener los caracteres a-z o A-Z y los dígitos 1-7. Debe estar codificada en Base32.

Los tokens de hardware TOTP de OATH programables que se pueden reinicializar también se pueden configurar con Azure AD en el flujo de configuración de los tokens de software.

Los tokens de hardware OATH se admiten como parte de una versión preliminar pública. Para más información sobre las versiones preliminares, consulte Términos de uso complementarios de las versiones preliminares de Microsoft Azure.

Screenshot that shows the OATH tokens section.

Después de adquirir tokens, debe cargarlos en un formato de archivo de valores separados por comas (CSV). Incluya el UPN, el número de serie, la clave secreta, el intervalo de tiempo, el fabricante y el modelo, tal como se muestra en este ejemplo:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Nota

Asegúrese de incluir la fila de encabezado en el archivo CSV.

Un administrador puede iniciar sesión en Azure Portal, ir a Azure Active Directory > Seguridad > MFA > Tokens OATH y cargar el archivo CSV.

En función del tamaño del archivo CSV, puede tardar unos minutos en procesarse. Seleccione Actualizar para obtener el estado. Si hay algún error en el archivo, puede descargar un archivo CSV que enumere los errores. Los nombres de campo del archivo CSV descargado son diferentes de los de la versión cargada.

Una vez solucionados los errores, para activar cada clave, el administrador puede seleccionar Activar en el token y escribir el valor de OTP que se muestra en el token.

Los usuarios pueden tener una combinación de hasta cinco tokens de hardware OATH o aplicaciones de autenticación, como la aplicación Microsoft Authenticator, que está configurada para utilizarse en cualquier momento.

Configuración de la llamada telefónica

Si los usuarios reciben llamadas telefónicas de solicitudes de MFA, puede configurar su experiencia, como el identificador del autor de la llamada o el saludo de voz que escuchan.

En los Estados Unidos, si no ha configurado el identificador del autor de la llamada de MFA, las llamadas de voz de Microsoft proceden del número siguiente. Los usos con filtros de spam deben excluir este número.

  • +1 (855) 330-8653

Nota:

A veces, cuando las llamadas de Azure AD Multi-Factor Authentication se realizan mediante la red telefónica pública, se enrutan a través de un operador que no admite el id. del autor de la llamada. Por este motivo, el id. del autor de la llamada no se garantiza, aunque Azure AD Multi-Factor Authentication lo envíe siempre. Esto se aplica a las llamadas de teléfono y a los mensajes de texto que haya proporcionado Azure AD Multi-Factor Authentication. Si tiene que confirmar si un mensaje de texto procede de Azure AD Multi-Factor Authentication, consulte ¿Qué códigos cortos de SMS se usan para enviar mensajes?

Para configurar su propio número de identificador del autor de la llamada, complete los pasos siguientes:

  1. Vaya a Azure Active Directory>Seguridad>MFA>Configuración de llamadas telefónicas.
  2. Establezca el Número de id. del autor de llamada de MFA en el número que quiera que los usuarios vean en sus teléfonos. Solo se permiten números de Estados Unidos.
  3. Seleccione Guardar.

Mensajes de voz personalizados

Puede usar sus propias grabaciones o saludos para Azure AD Multi-Factor Authentication. Se pueden usar estos mensajes además de las grabaciones de Microsoft predeterminadas o para reemplazarlas.

Antes de comenzar, tenga en cuenta las restricciones siguientes:

  • Los formatos de archivo compatibles son .wav y. mp3.
  • El límite de tamaño de archivo es de 1 MB.
  • Los mensajes de autenticación deben durar menos de 20 segundos. Los mensajes que duren más de 20 segundos pueden hacer que la verificación cause error. Si el usuario no responde antes de que finalice el mensaje se agota el tiempo de espera de la verificación.

Comportamiento de idioma de mensaje personalizado

Cuando se reproduce un mensaje de voz personalizado para el usuario, el idioma del mensaje depende de los siguientes factores:

  • Idioma del usuario.
    • El idioma detectado en el explorador del usuario.
    • Otros escenarios de autenticación pueden comportarse de manera diferente.
  • El idioma de otros mensajes personalizados disponibles.
    • El idioma lo elige el administrador, cuando se agrega un mensaje personalizado.

Por ejemplo, si solo hay un mensaje personalizado y está en alemán:

  • Un usuario que se autentique en alemán oirá el mensaje personalizado en ese idioma.
  • Un usuario que se autentique en inglés oirá el mensaje personalizado en ese idioma.

Valores predeterminados de los mensajes de voz personalizados

Puede usar los siguientes scripts de ejemplo para crear sus propios mensajes personalizados. Estas frases son las predeterminadas si no configura sus propios mensajes personalizados.

Nombre del mensaje Script
Autenticación correcta Su inicio de sesión se comprobó correctamente. Adiós.
Solicitud de extensión Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla de la almohadilla para continuar.
Confirmación de fraude Se ha enviado una alerta de fraude. Para desbloquear su cuenta, póngase en contacto con el departamento de soporte técnico de TI de su empresa.
Saludo de fraude (estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación. Si no inició esta comprobación, es posible que otra persona esté intentando acceder a su cuenta. Presione cero para enviar una alerta de fraude. Se enviará una notificación al equipo de TI de su empresa y se bloqueará cualquier otro intento de comprobación.
Fraude notificado Se ha enviado una alerta de fraude. Para desbloquear su cuenta, póngase en contacto con el departamento de soporte técnico de TI de su empresa.
Activación Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Reintento tras denegación de autenticación Comprobación denegada.
Reintento (estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Saludo (estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Saludo (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.
Saludo de fraude (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación. Si no inició esta comprobación, es posible que otra persona esté intentando acceder a su cuenta. Presione cero para enviar una alerta de fraude. Se enviará una notificación al equipo de TI de su empresa y se bloqueará cualquier otro intento de comprobación.
Reintento (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.
Solicitud de extensión tras dígitos Si ya se encuentra conectado a esta extensión, presione la tecla almohadilla para continuar.
Autenticación denegada Lo sentimos, no puede iniciar sesión en este momento. Inténtelo de nuevo más tarde.
Saludo de activación (estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Reintento de activación (estándar) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Presione la tecla almohadilla para finalizar la comprobación.
Saludo de activación (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.
Solicitud de extensión antes de dígitos Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft. Transfiera esta llamada a la extensión <extensión>.

Configuración de un mensaje personalizado

Para usar sus propios mensajes personalizados, complete los pasos siguientes:

  1. Vaya a Azure Active Directory>Seguridad>MFA>Configuración de llamadas telefónicas.
  2. Seleccione Agregar saludo.
  3. Elija un tipo de saludo en Tipo, como Saludo (Estándar) o Autenticación correcta.
  4. Seleccione el idioma. Consulte la sección anterior sobre el comportamiento del lenguaje de mensajes personalizados.
  5. Busque y seleccione un archivo de sonido .mp3 o .wav para cargarlo.
  6. Seleccione Agregar y, después, Guardar.

Configuración del servicio MFA

La configuración contraseñas de aplicación, la IP de confianza, las opciones de verificación y la opción recordar la autenticación multifactor en dispositivos de confianza están disponibles en la configuración del servicio. Este es un portal heredado. No forma parte del portal normal de Azure AD.

Puede obtener acceso a la configuración del servicio desde Azure Portal, para ello, vaya a Azure Active Directory>Seguridad>MFA>Introducción>Configurar>Configuración adicional de MFA basada en la nube. Se abre una ventana o pestaña con opciones adicionales de configuración del servicio.

IP de confianza

La característica de la IP de confianza de Azure AD Multi-Factor Authentication omite las solicitudes de autenticación multifactor de los usuarios que inician sesión desde un intervalo de direcciones IP definido. Puede establecer intervalos de IP de confianza en los entornos locales. Cuando los usuarios se encuentran en una de estas ubicaciones, no hay ningún mensaje de Azure AD Multi-Factor Authentication. La característica de IP de confianza requiere la edición Azure AD Premium P1.

Nota:

Las direcciones IP de confianza pueden incluir intervalos de direcciones IP privadas solo cuando se usa un servidor MFA. En el caso de la instancia de Azure AD Multi-Factor Authentication basada en la nube, solo puede usar intervalos de direcciones IP públicas.

Los intervalos de IPv6 solo se admiten en la interfaz de Ubicación con nombre (versión preliminar).

Si su organización implementa la extensión NPS para proporcionar MFA en aplicaciones locales, tenga en cuenta que la dirección IP de origen siempre parecerá ser el servidor NPS a través del que fluye el intento de autenticación.

Tipo de inquilino de Azure AD Opciones de características de direcciones IP de confianza
Administrado Intervalos específicos de direcciones IP: los administradores pueden especificar un intervalo de direcciones IP que puede omitir la autenticación multifactor para los usuarios que inician sesión desde la intranet de la empresa. Se puede configurar un máximo de cincuenta intervalos de direcciones IP de confianza.
Federado Todos los usuarios federados: todos los usuarios federados que inician sesión desde la organización pueden omitir el proceso de autenticación multifactor. Los usuarios pueden omitir la verificación mediante el uso de una notificación que emiten los servicios de federación de Active Directory (AD FS).
Intervalos específicos de direcciones IP: los administradores pueden especificar un intervalo de direcciones IP que puede omitir la autenticación multifactor para los usuarios que inician sesión desde la intranet de la empresa.

La omisión de las direcciones IP de confianza solo funciona desde la intranet de la empresa. Si selecciona la opción Todos los usuarios federados y un usuario inicia sesión desde fuera de la intranet de la empresa, el usuario tendrá que autenticarse mediante la autenticación multifactor. El proceso es el mismo, incluso si el usuario presenta una notificación de AD FS.

Experiencia del usuario dentro de la red corporativa

Cuando se deshabilita la característica de direcciones IP de confianza, la autenticación multifactor es necesaria para los flujos del explorador. Se necesitan contraseñas de aplicación para las anteriores aplicaciones de cliente enriquecidas.

Cuando se usan direcciones IP de confianza, no se requiere la autenticación multifactor para los flujos del explorador. Las contraseñas de aplicación no son obligatorias para las anteriores aplicaciones de cliente enriquecidas, siempre que el usuario no haya creado una contraseña de aplicación. Después de que la contraseña de aplicación esté en uso, recuerde que esa contraseña sigue siendo necesaria.

Experiencia del usuario fuera de la red corporativa

Independientemente de si se han definido direcciones IP de confianza, la autenticación multifactor es necesaria para los flujos del explorador. Se necesitan contraseñas de aplicación para las anteriores aplicaciones de cliente enriquecidas.

Habilitación de las ubicaciones con nombre mediante el acceso condicional

Puede usar las reglas de acceso condicional para definir ubicaciones con nombre mediante los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y, a continuación, vaya a Seguridad>Acceso condicional>Ubicaciones con nombre.
  2. Seleccione Nueva ubicación.
  3. Escriba un nombre para la ubicación.
  4. Seleccione Marcar como ubicación de confianza.
  5. Escriba el intervalo de direcciones IP en la notación CIDR del entorno. Por ejemplo, 40.77.182.32/27.
  6. Seleccione Crear.

Habilite la característica de direcciones IP de confianza mediante el acceso condicional.

Para habilitar direcciones IP de confianza mediante directivas de acceso condicional, realice los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y, a continuación, vaya a Seguridad>Acceso condicional>Ubicaciones con nombre.

  2. Seleccione Configurar IP de confianza de MFA.

  3. En la página Configuración del servicio, en IP de confianza, elija una de estas opciones:

    • Para solicitudes de usuarios federados cuyo origen esté en mi intranet: para elegir esta opción, active la casilla. Todos los usuarios federados que inicien sesión desde la red corporativa omitirán la autenticación multifactor mediante una notificación que haya emitido AD FS. Asegúrese de que AD FS tiene una regla para agregar la notificación de intranet al tráfico adecuado. Si la regla no existe, cree la siguiente regla en AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitudes de un intervalo específico de IP públicas: para elegir esta opción, escriba las direcciones IP en el cuadro de texto mediante la notación CIDR.

      • Para las direcciones IP que se encuentran en el intervalo xxx.xxx.xxx.1 mediante xxx.xxx.xxx.254, use una notación comoxxx.xxx.xxx.0/24.
      • Para una única dirección IP, use una notación como xxx.xxx.xxx.xxx/32.
      • Especifique un máximo de 50 intervalos de direcciones IP. Los usuarios que inician sesión desde estas direcciones IP omiten la autenticación multifactor.
  4. Seleccione Guardar.

Habilite la característica de direcciones IP de confianza mediante la configuración del servicio.

Si no quiere usar directivas de acceso condicional para habilitar direcciones IP de confianza, puede definir la configuración del servicio de Azure AD Multi-Factor Authentication mediante los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y,a continuación, elija Usuarios.

  2. Seleccione MFA por usuario.

  3. En la opción Autenticación multifactor que está en la parte superior de la página, seleccione Configuración del servicio.

  4. En la página Configuración del servicio, en IP de confianza, seleccione una de las opciones siguientes (o ambas):

    • Para solicitudes de usuarios federados en mi intranet: para elegir esta opción, active la casilla. Todos los usuarios federados que inicien sesión desde la red corporativa omitirán la autenticación multifactor mediante una notificación que haya emitido AD FS. Asegúrese de que AD FS tiene una regla para agregar la notificación de intranet al tráfico adecuado. Si la regla no existe, cree la siguiente regla en AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitudes de un intervalo específico de subredes de direcciones IP: para elegir esta opción, escriba las direcciones IP en el cuadro de texto mediante la notación CIDR.

      • Para las direcciones IP que se encuentran en el intervalo xxx.xxx.xxx.1 mediante xxx.xxx.xxx.254, use una notación comoxxx.xxx.xxx.0/24.
      • Para una única dirección IP, use una notación como xxx.xxx.xxx.xxx/32.
      • Especifique un máximo de 50 intervalos de direcciones IP. Los usuarios que inician sesión desde estas direcciones IP omiten la autenticación multifactor.
  5. Seleccione Guardar.

Métodos de comprobación

Puede elegir los métodos de verificación que estén disponibles para los usuarios en el portal de configuración del servicio. Cuando los usuarios inscriben sus cuentas en Azure AD Multi-Factor Authentication, eligen su método de verificación preferido entre las opciones que ha habilitado. Las instrucciones para el proceso de inscripción de los usuarios se proporcionan en Configuración de mi cuenta para la autenticación multifactor.

Están disponibles los siguientes métodos de verificación:

Método Descripción
Llamada al teléfono Hace una llamada de voz automática. El usuario responde a la llamada y pulsa la tecla # del teléfono para autenticarse. El número de teléfono no se sincroniza con la instancia local de Active Directory.
Mensaje de texto al teléfono Envía un mensaje de texto que contiene un código de verificación. Se pide al usuario que escriba el código de verificación en la interfaz de inicio de sesión. Este proceso se llama "SMS unidireccional". SMS bidireccional significa que el usuario debe devolver un mensaje de texto con un código determinado. SMS bidireccional se encuentra en desuso y no se admitirá después del 14 de noviembre de 2018. Los administradores deben habilitar otro método para los usuarios que antes usaban SMS bidireccional.
Notificación a través de aplicación móvil Envía una notificación push al teléfono o dispositivo registrado del usuario. El usuario ve la notificación y selecciona Comprobar para completar la comprobación. La aplicación Microsoft Authenticator está disponible para Windows Phone, Android e IOS.
Código de verificación de aplicación móvil o token de hardware La aplicación Microsoft Authenticator genera un nuevo código de verificación de OATH cada 30 segundos. El usuario escribe el código de verificación en la interfaz de inicio de sesión. La aplicación Microsoft Authenticator está disponible para Windows Phone, Android e IOS.

Para obtener más información, consulte ¿Qué métodos de autenticación y verificación hay disponibles en Azure Active Directory?

Habilitar y deshabilitar los métodos de verificación

Para habilitar o deshabilitar los métodos de verificación, complete los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y,a continuación, elija Usuarios.
  2. Seleccione MFA por usuario.
  3. En la opción Autenticación multifactor que está en la parte superior de la página, seleccione Configuración del servicio.
  4. En la página de Configuración del servicio, en Opciones de verificación, active o desactive las casillas adecuadas.
  5. Seleccione Guardar.

Recordar la autenticación multifactor

La característica Recordar la autenticación multifactor permite a los usuarios omitir las verificaciones posteriores durante un número especificado de días, una vez hayan iniciado sesión correctamente en un dispositivo mediante MFA. Para mejorar la facilidad de uso y minimizar el número de veces que un usuario tiene que realizar MFA en un dispositivo, seleccione una duración de 90 días o más.

Importante

Si una cuenta o un dispositivo corren peligro, el hecho de recordar MFA para los dispositivos de confianza puede afectar a la seguridad. Si una cuenta corporativa se pone en peligro o un dispositivo de confianza es objeto de pérdida o robo, debe revocar las sesiones de MFA.

La acción de revocación revoca el estado de confianza de todos los dispositivos y el usuario debe volver a realizar la autenticación multifactor. También puede pedir a los usuarios que restauren el estado de MFA original en sus propios dispositivos, tal y como se indica en Administración de la configuración de la autenticación multifactor.

Cómo funciona la característica

La característica Recordar la autenticación multifactor establece una cookie persistente en el explorador cuando un usuario selecciona la opción No preguntar de nuevo durante X días en el momento del inicio de sesión. No se volverá a pedir al usuario que use MFA desde ese explorador hasta que la cookie expire. Si el usuario abre un explorador diferente en el mismo dispositivo o borra sus cookies, se le pedirá de nuevo la verificación.

La opción No preguntar de nuevo durante X días no está disponible en las aplicaciones sin explorador, independientemente de si la aplicación admite la autenticación moderna. Estas aplicaciones usan tokens de actualización que proporcionan nuevos tokens de acceso cada hora. Cuando se valida un token de actualización, Azure AD comprueba que la última autenticación multifactor estaba dentro del número de días especificado.

La característica reduce el número de autenticaciones en las aplicaciones web, que normalmente se solicitan siempre. La característica puede aumentar el número de autenticaciones para los clientes de autenticación moderna, que normalmente se solicita cada 180 días, si se configura una duración inferior. También se puede aumentar el número de autenticaciones cuando se combina con las directivas de acceso condicional.

Importante

La característica Recordar la autenticación multifactor no es compatible con la característica Mantener la sesión iniciada de AD FS cuando los usuarios realizan la autenticación multifactor para AD FS mediante el Servidor MFA o una solución de terceros para la autenticación multifactor.

Si los usuarios seleccionan Mantener la sesión iniciada en AD FS y también marcan su dispositivo como de confianza para MFA, no se comprobará el usuario automáticamente después de que expire el número de días de la característica Recordar la autenticación multifactor. Azure AD solicita una nueva autenticación multifactor, pero AD FS devuelve un token con la fecha y la notificación originales de MFA en lugar de volver a realizar la autenticación multifactor. Esta reacción crea un bucle de comprobación entre Azure AD y AD FS.

La característica Recordar la autenticación multifactor no es compatible con los usuarios de B2B y no será visible para ellos cuando inicien sesión en los inquilinos invitados.

Habilitación de la característica Recordar la autenticación multifactor

Para habilitar y configurar la opción para que los usuarios recuerden su estado de MFA y omitan las solicitudes, complete los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure Active Directory y,a continuación, elija Usuarios.
  2. Seleccione MFA por usuario.
  3. En la opción Autenticación multifactor que está en la parte superior de la página, seleccione Configuración del servicio.
  4. En la página Configuración del servicio, en Recordar la autenticación multifactor, seleccione la opción Permitir que los usuarios recuerden la autenticación multifactor en dispositivos de confianza.
  5. Establezca el número de días para permitir que los dispositivos de confianza omitan las autenticaciones multifactor. Para que la experiencia del usuario sea óptima, amplíe la duración a 90 o más días.
  6. Seleccione Guardar.

Marca de un dispositivo como de confianza

Después de habilitar la característica Recordar la autenticación multifactor, los usuarios que inician sesión pueden marcar un dispositivo como de confianza si seleccionan No volver a preguntar.

Pasos siguientes

Para obtener más información, consulte ¿Qué métodos de autenticación y verificación hay disponibles en Azure Active Directory?