Configuración de Azure Multi-Factor AuthenticationConfigure Azure Multi-Factor Authentication settings

Este artículo le ayuda a administrar la configuración de Multi-Factor Authentication en Azure Portal.This article helps you to manage Multi-Factor Authentication settings in the Azure portal. Abarca varios temas que le permitirán sacar el máximo partido de Azure Multi-Factor Authentication.It covers various topics that help you to get the most out of Azure Multi-Factor Authentication. No todas estas características están disponibles en cada una de las versiones de Azure Multi-Factor Authentication.Not all of the features are available in every version of Azure Multi-Factor Authentication.

Puede acceder a la configuración relacionada con Azure Multi-Factor Authentication desde Azure Portal; para ello, vaya a Azure Active Directory > MFA.You can access settings related to Azure Multi-Factor Authentication from the Azure portal by browsing to Azure Active Directory > MFA.

Azure Portal: Configuración de Multi-Factor Authentication de Azure AD

ConfiguraciónSettings

Algunas de estas opciones se aplican al Servidor MFA, Azure MFA o ambos.Some of these settings apply to MFA Server, Azure MFA, or both.

CaracterísticaFeature DESCRIPCIÓNDescription
Bloqueo de cuentaAccount lockout Bloquea temporalmente las cuentas del servicio de autenticación multifactor si hay demasiados intentos de autenticación denegados en una fila.Temporarily lock accounts in the multi-factor authentication service if there are too many denied authentication attempts in a row. Esta característica solo se aplica a los usuarios que escriben un PIN para autenticarse.This feature only applies to users who enter a PIN to authenticate. (Servidor MFA)(MFA Server)
Bloqueo y desbloqueo de usuariosBlock/unblock users Se usa para impedir que usuarios específicos puedan recibir solicitudes de Multi-Factor Authentication.Used to block specific users from being able to receive Multi-Factor Authentication requests. Todos los intentos de autenticación para los usuarios bloqueados se denegarán automáticamente.Any authentication attempts for blocked users are automatically denied. Los usuarios permanecen bloqueados durante 90 días a partir del momento en que se bloqueen.Users remain blocked for 90 days from the time that they are blocked.
Alerta de fraudeFraud alert Configure valores relacionados con la capacidad de los usuarios para notificar solicitudes de comprobación fraudulentas.Configure settings related to users ability to report fraudulent verification requests
NotificationsNotifications Permite notificaciones de eventos desde el Servidor MFA.Enable notifications of events from MFA Server.
Tokens OATHOATH tokens Se usa en entornos de Azure MFA basados en la nube para administrar tokens de OATH para los usuarios.Used in cloud-based Azure MFA environments to manage OATH tokens for users.
Configuración de las llamadas telefónicasPhone call settings Configure valores relacionados con llamadas de teléfono y saludos para entornos locales y en la nube.Configure settings related to phone calls and greetings for cloud and on-premises environments.
ProveedoresProviders Se mostrarán los proveedores de autenticación existentes que pueden haberse asociado con su cuenta.This will show any existing authentication providers that you may have associated with your account. A partir del 1 de septiembre de 2018 no se pueden crear nuevos proveedores de autenticación.New authentication providers may not be created as of September 1, 2018

Administración del Servidor MFAManage MFA Server

Los valores de configuración de esta sección son solo para el Servidor MFA.Settings in this section are for MFA Server only.

CaracterísticaFeature DESCRIPCIÓNDescription
Configuración del servidorServer settings Descarga el Servidor MFA y genera credenciales de activación para inicializar el entorno.Download MFA Server and generate activation credentials to initialize your environment
Omisión por única vezOne-time bypass Permite que un usuario se autentique sin necesidad de realizar la verificación en dos pasos por un tiempo limitado.Allow a user to authenticate without performing two-step verification for a limited time.
Reglas de cachéCaching rules El almacenamiento en caché se utiliza principalmente cuando sistemas locales, como VPN, envían varias solicitudes de comprobación mientras la primera solicitud aún está en curso.Caching is primarily used when on-premises systems, such as VPN, send multiple verification requests while the first request is still in progress. Esta característica permite que las solicitudes posteriores se realicen correctamente de forma automática después de que el usuario lleve a cabo correctamente la primera comprobación en curso.This feature allows the subsequent requests to succeed automatically, after the user succeeds the first verification in progress.
Estado del servidorServer status Permite ver el estado de los servidores MFA locales, lo que incluye la versión, el estado, la dirección IP y la última fecha y hora de comunicación.See the status of your on-premises MFA servers including version, status, IP, and last communication time and date.

Informe de actividadActivity report

Los informes aquí disponibles son específicos del Servidor MFA (local).The reporting available here is specific to MFA Server (on-premises). Para información sobre los informes de Azure MFA (nube), consulte el informe de inicios de sesión de Azure AD.For Azure MFA (cloud) reports see the sign-ins report in Azure AD.

Bloqueo y desbloqueo de usuariosBlock and unblock users

Utilice la característica de bloqueo y desbloqueo de usuarios para impedirles recibir solicitudes de autenticación.Use the block and unblock users feature to prevent users from receiving authentication requests. Todos los intentos de autenticación para los usuarios bloqueados se denegarán automáticamente.Any authentication attempts for blocked users are automatically denied. Los usuarios permanecen bloqueados durante 90 días a partir del momento en que se bloqueen.Users remain blocked for 90 days from the time that they are blocked.

Bloquear a un usuarioBlock a user

  1. Inicie sesión en Azure Portal como administrador.Sign in to the Azure portal as an administrator.
  2. Vaya a Azure Active Directory > MFA > Bloquear o desbloquear usuarios.Browse to Azure Active Directory > MFA > Block/unblock users.
  3. Seleccione Agregar para bloquear a un usuario.Select Add to block a user.
  4. Seleccione el Grupo de replicación.Select the Replication Group. Escriba el nombre de usuario del usuario bloqueado como nombre de usuario@dominio.com.Enter the username for the blocked user as username@domain.com. Escriba un comentario en el campo Motivo.Enter a comment in the Reason field.
  5. Seleccione Agregar para acabar de bloquear al usuario.Select Add to finish blocking the user.

Desbloquear a un usuarioUnblock a user

  1. Inicie sesión en Azure Portal como administrador.Sign in to the Azure portal as an administrator.
  2. Vaya a Azure Active Directory > MFA > Bloquear o desbloquear usuarios.Browse to Azure Active Directory > MFA > Block/unblock users.
  3. Seleccione Desbloquear en la columna Acción situada junto al usuario que quiere desbloquear.Select Unblock in the Action column next to the user to unblock.
  4. Escriba un comentario en el campo Motivo para desbloquear.Enter a comment in the Reason for unblocking field.
  5. Seleccione Desbloquear para acabar de desbloquear al usuario.Select Unblock to finish unblocking the user.

Alerta de fraudeFraud alert

Configure la característica de alerta de fraude para que los usuarios puedan informar sobre intentos fraudulentos de acceso a sus recursos.Configure the fraud alert feature so that your users can report fraudulent attempts to access their resources. Los usuarios pueden informar de los intentos de fraude con la aplicación móvil o mediante su teléfono.Users can report fraud attempts by using the mobile app or through their phone.

Activación de alertas de fraudeTurn on fraud alerts

  1. Inicie sesión en Azure Portal como administrador.Sign in to the Azure portal as an administrator.
  2. Vaya a Azure Active Directory > MFA > Alerta de fraude.Browse to Azure Active Directory > MFA > Fraud alert.
  3. Establezca la configuración Permitir a los usuarios enviar alertas de fraude en Activado.Set the Allow users to submit fraud alerts setting to On.
  4. Seleccione Guardar.Select Save.

Opciones de configuraciónConfiguration options

  • Bloquear usuario al notificarse fraudes: si se informa de que un usuario ha cometido fraude, su cuenta se bloquea durante 90 días o hasta que un administrador la desbloquee.Block user when fraud is reported: If a user reports fraud, their account is blocked for 90 days or until an administrator unblocks their account. Un administrador puede revisar los inicios de sesión usando el informe de inicio de sesión y puede tomar las medidas adecuadas para prevenir el fraude en el futuro.An administrator can review sign-ins by using the sign-in report, and take appropriate action to prevent future fraud. El administrador puede, a continuación, desbloquear la cuenta de usuario.An administrator can then unblock the user's account.

  • Código para notificar fraudes durante el saludo inicial: cuando los usuarios reciben una llamada telefónica al realizar la verificación en dos pasos, normalmente presionan # para confirmar el inicio de sesión.Code to report fraud during initial greeting: When users receive a phone call to perform two-step verification, they normally press # to confirm their sign-in. Si desea notificar un fraude, el usuario introduce un código antes de presionar # .To report fraud, the user enters a code before pressing #. De manera predeterminada, dicho código es 0, pero se puede personalizar.This code is 0 by default, but you can customize it.

    Nota

    El saludo predeterminado de Microsoft solicita a los usuarios que presionen 0# para enviar una alerta de fraude.The default voice greetings from Microsoft instruct users to press 0# to submit a fraud alert. Si quiere usar un código distinto a 0, grabe y cargue su propio saludo personalizado con las instrucciones adecuadas para sus usuarios.If you want to use a code other than 0, record and upload your own custom voice greetings with appropriate instructions for your users.

Visualización de notificaciones de fraudeView fraud reports

  1. Inicie sesión en el Azure Portal.Sign in to the Azure portal.
  2. Seleccione Azure Active Directory > Inicios de sesión. El informe de fraude ahora forma parte del informe de inicios de sesión de Azure AD estándar.Select Azure Active Directory > Sign-ins. The fraud report is now part of the standard Azure AD Sign-ins report.

NotificacionesNotifications

Configure aquí las direcciones de correo electrónico para los usuarios que recibirán correos electrónicos de alertas de fraude.Configure email addresses here for users who will receive fraud alert emails.

Ejemplo de correo electrónico de notificación de alerta de fraude

Configuración de la llamada telefónicaPhone call settings

Identificador de llamadaCaller ID

Número de identificador de llamada de MFA: es el número que verán los usuarios en su teléfono.MFA caller ID number - This is the number your users will see on their phone. Solo se permiten números de Estados Unidos.Only US-based numbers are allowed.

Nota

A veces, cuando las llamadas de Multi-Factor Authentication se realizan a través de la red telefónica pública, se enrutan a través de un operador que no admite la característica de identificación de llamadas.When Multi-Factor Authentication calls are placed through the public telephone network, sometimes they are routed through a carrier that doesn't support caller ID. Por este motivo, los identificadores de llamada no están garantizados, aunque el sistema de Multi-Factor Authentication los envíe siempre.Because of this, caller ID is not guaranteed, even though the Multi-Factor Authentication system always sends it.

Mensajes de voz personalizadosCustom voice messages

Puede usar sus propias grabaciones o saludos para la verificación en dos pasos con la característica de los mensajes de voz personalizados.You can use your own recordings or greetings for two-step verification with the custom voice messages feature. Además, pueden utilizarse estos mensajes o reemplazarse por grabaciones de Microsoft.These messages can be used in addition to or to replace the Microsoft recordings.

Antes de comenzar, tenga en cuenta las restricciones siguientes:Before you begin, be aware of the following restrictions:

  • Los formatos de archivo compatibles son .wav y. mp3.The supported file formats are .wav and .mp3.
  • El límite de tamaño de archivo es 5 MB.The file size limit is 5 MB.
  • Los mensajes de autenticación deben durar menos de 20 segundos.Authentication messages should be shorter than 20 seconds. Los mensajes que duren más de 20 segundos pueden hacer que la verificación cause error.Messages that are longer than 20 seconds can cause the verification to fail. El usuario podría no responder antes de que finalice el mensaje y se agote el tiempo de espera de la verificación.The user might not respond before the message finishes and the verification times out.

Comportamiento de idioma de mensaje personalizadoCustom message language behavior

Cuando se reproduce un mensaje de voz personalizado para el usuario, el idioma del mensaje depende de estos factores:When a custom voice message is played to the user, the language of the message depends on these factors:

  • El idioma del usuario actual.The language of the current user.
    • El idioma detectado en el explorador del usuario.The language detected by the user's browser.
    • Otros escenarios de autenticación pueden comportarse de manera diferente.Other authentication scenarios may behave differently.
  • El idioma de otros mensajes personalizados disponibles.The language of any available custom messages.
    • Este idioma lo elige el administrador, cuando se agrega un mensaje personalizado.This language is chosen by the administrator, when a custom message is added.

Por ejemplo, si hay solo un mensaje personalizado en alemán:For example, if there is only one custom message, with a language of German:

  • Un usuario que se autentique en alemán oirá el mensaje personalizado en ese idioma.A user who authenticates in the German language will hear the custom German message.
  • Un usuario que se autentique en inglés oirá el mensaje personalizado en ese idioma.A user who authenticates in English will hear the standard English message.

Configuración de un mensaje personalizadoSet up a custom message

  1. Inicie sesión en Azure Portal como administrador.Sign in to the Azure portal as an administrator.
  2. Vaya a Azure Active Directory > MFA > Configuración de la llamada telefónica.Browse to Azure Active Directory > MFA > Phone call settings.
  3. Seleccione Agregar saludo.Select Add greeting.
  4. Elija el tipo de saludo.Choose the type of greeting.
  5. Elija el idioma.Choose the language.
  6. Seleccione un archivo de sonido. mp3 o .wav para cargar.Select an .mp3 or .wav sound file to upload.
  7. Seleccione Agregar.Select Add.

Valores predeterminados de los mensajes de voz personalizadosCustom voice message defaults

Scripts de ejemplo para crear mensajes personalizados.Sample scripts for creating custom messages.

Nombre del mensajeMessage name ScriptScript
Autenticación correctaAuthentication successful Su inicio de sesión se comprobó correctamente.Your sign in was successfully verified. Adiós.Goodbye.
Solicitud de extensiónExtension prompt Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using Microsoft's sign-in verification system. Presione la tecla almohadilla para continuar.Please press pound key to continue.
Confirmación de fraudeFraud Confirmation Se ha enviado una alerta de fraude.A fraud alert has been submitted. Para desbloquear su cuenta, póngase en contacto con el departamento de soporte técnico de TI de su empresa.To unblock your account, please contact your company's IT help desk.
Saludo de fraude (Estándar)Fraud greeting (Standard) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using Microsoft's sign-in verification system. Presione la tecla almohadilla para finalizar la comprobación.Please press the pound key to finish your verification. Si no inició esta comprobación, es posible que otra persona esté intentando acceder a su cuenta.If you did not initiate this verification, someone may be trying to access your account. Presione cero para enviar una alerta de fraude.Please press zero pound to submit a fraud alert. Se enviará una notificación al equipo de TI de su empresa y se bloqueará cualquier otro intento de comprobación.This will notify your company's IT team and block further verification attempts.
Fraude notificado: se ha enviado una alerta de fraude.Fraud reported A fraud alert has been submitted. Para desbloquear su cuenta, póngase en contacto con el departamento de soporte técnico de TI de su empresa.To unblock your account, please contact your company's IT help desk.
ActivaciónActivation Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using the Microsoft's sign-in verification system. Presione la tecla almohadilla para finalizar la comprobación.Please press the pound key to finish your verification.
Reintento tras denegación de autenticaciónAuthentication denied retry Comprobación denegada.Verification denied.
Reintento (Estándar)Retry (Standard) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using the Microsoft's sign-in verification system. Presione la tecla almohadilla para finalizar la comprobación.Please press the pound key to finish your verification.
Saludo (Estándar)Greeting (Standard) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using the Microsoft's sign-in verification system. Presione la tecla almohadilla para finalizar la comprobación.Please press the pound key to finish your verification.
Saludo (PIN)Greeting (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using Microsoft's sign-in verification system. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.Please enter your PIN followed by the pound key to finish your verification.
Saludo de fraude (PIN)Fraud greeting (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using Microsoft's sign-in verification system. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.Please enter your PIN followed by the pound key to finish your verification. Si no inició esta comprobación, es posible que otra persona esté intentando acceder a su cuenta.If you did not initiate this verification, someone may be trying to access your account. Presione cero para enviar una alerta de fraude.Please press zero pound to submit a fraud alert. Se enviará una notificación al equipo de TI de su empresa y se bloqueará cualquier otro intento de comprobación.This will notify your company's IT team and block further verification attempts.
Reintento (PIN)Retry(PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using Microsoft's sign-in verification system. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.Please enter your PIN followed by the pound key to finish your verification.
Solicitud de extensión tras dígitosExtension prompt after digits Si ya se encuentra conectado a esta extensión, presione la tecla almohadilla para continuar.If already at this extension, press the pound key to continue.
Autenticación denegadaAuthentication denied Lo sentimos, no puede iniciar sesión en este momento.I'm sorry, we cannot sign you in at this time. Inténtelo de nuevo más tarde.Please try again later.
Saludo de activación (Estándar)Activation greeting (Standard) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using the Microsoft's sign-in verification system. Presione la tecla almohadilla para finalizar la comprobación.Please press the pound key to finish your verification.
Reintento de activación (Estándar)Activation retry (Standard) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using the Microsoft's sign-in verification system. Presione la tecla almohadilla para finalizar la comprobación.Please press the pound key to finish your verification.
Saludo de activación (PIN)Activation greeting (PIN) Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using Microsoft's sign-in verification system. Escriba el PIN seguido de la tecla almohadilla para finalizar la comprobación.Please enter your PIN followed by the pound key to finish your verification.
Solicitud de extensión antes de dígitosExtension prompt before digits Gracias por usar el sistema de comprobación de inicio de sesión de Microsoft.Thank you for using Microsoft's sign-in verification system. Transfiera esta llamada a la extensión…Please transfer this call to extension …

Omisión por única vezOne-time bypass

La característica de omisión por única vez permite a un usuario autenticarse una sola vez y, por consiguiente, no realizar la verificación en dos pasos.The one-time bypass feature allows a user to authenticate a single time without performing two-step verification. La omisión es temporal y expira una vez que ha pasado el número especificado de segundos.The bypass is temporary and expires after a specified number of seconds. En las situaciones en las que la aplicación móvil o el teléfono no reciben una notificación o una llamada, puede habilitar una omisión por única vez para que el usuario pueda acceder al recurso deseado.In situations where the mobile app or phone is not receiving a notification or phone call, you can allow a one-time bypass so the user can access the desired resource.

Creación de una omisión por única vezCreate a one-time bypass

  1. Inicie sesión en Azure Portal como administrador.Sign in to the Azure portal as an administrator.
  2. Vaya a Azure Active Directory > MFA > Omisión por única vez.Browse to Azure Active Directory > MFA > One-time bypass.
  3. Seleccione Agregar.Select Add.
  4. Si es necesario, seleccione el grupo de replicación para esta omisión.If necessary, select the replication group for the bypass.
  5. Escriba el nombre de usuario como nombre de usuario@dominio.com.Enter the username as username@domain.com. Escriba el número de segundos que debería durar la omisión.Enter the number of seconds that the bypass should last. Escriba el motivo de la omisión.Enter the reason for the bypass.
  6. Seleccione Agregar.Select Add. El límite de tiempo entra en vigor inmediatamente.The time limit goes into effect immediately. El usuario tiene que iniciar sesión antes de que expire la omisión por única vez.The user needs to sign in before the one-time bypass expires.

Visualización del informe de omisión por única vezView the one-time bypass report

  1. Inicie sesión en el Azure Portal.Sign in to the Azure portal.
  2. Vaya a Azure Active Directory > MFA > Omisión por única vez.Browse to Azure Active Directory > MFA > One-time bypass.

Reglas de cachéCaching rules

Puede establecer un período de tiempo para permitir intentos de autenticación cuando se autentica un usuario mediante el uso de la característica almacenamiento en caché.You can set a time period to allow authentication attempts after a user is authenticated by using the caching feature. Los intentos de autenticación posteriores para el usuario dentro del período de tiempo especificado se realizan correctamente de forma automática.Subsequent authentication attempts for the user within the specified time period succeed automatically. El almacenamiento en caché se utiliza principalmente cuando sistemas locales, como VPN, envían varias solicitudes de comprobación mientras la primera solicitud aún está en curso.Caching is primarily used when on-premises systems, such as VPN, send multiple verification requests while the first request is still in progress. Esta característica permite que las solicitudes posteriores se realicen correctamente de forma automática después de que el usuario lleve a cabo correctamente la primera comprobación en curso.This feature allows the subsequent requests to succeed automatically, after the user succeeds the first verification in progress.

Nota

La característica de almacenamiento en caché no está destinada a utilizarse para inicios de sesión en Azure Active Directory (Azure AD).The caching feature is not intended to be used for sign-ins to Azure Active Directory (Azure AD).

Configuración del almacenamiento en cachéSet up caching

  1. Inicie sesión en Azure Portal como administrador.Sign in to the Azure portal as an administrator.
  2. Vaya a Azure Active Directory > MFA > Reglas de caché.Browse to Azure Active Directory > MFA > Caching rules.
  3. Seleccione Agregar.Select Add.
  4. Seleccione un tipo de caché de la lista desplegable.Select the cache type from the drop-down list. Escriba el número máximo de segundos de caché.Enter the maximum number of cache seconds.
  5. Si es necesario, seleccione un tipo de autenticación y especifique una aplicación.If necessary, select an authentication type and specify an application.
  6. Seleccione Agregar.Select Add.

Configuración del servicio MFAMFA service settings

La configuración para contraseñas de aplicación, IP de confianza, opciones de comprobación y recordar Multi-factor Authentication de Azure Multi-Factor Authentication se pueden encontrar en la configuración del servicio.Settings for app passwords, trusted IPs, verification options, and remember multi-factor authentication for Azure Multi-Factor Authentication can be found in service settings. Se puede acceder a la configuración del servicio desde Azure Portal; para ello, vaya a Azure Active Directory > MFA > Inicio > Configurar > Configuración adicional de MFA basado en la nube.Service settings can be accessed from the Azure portal by browsing to Azure Active Directory > MFA > Getting started > Configure > Additional cloud-based MFA settings.

Configuración del servicio Azure Multi-Factor Authentication

Contraseñas de aplicaciónApp passwords

Algunas aplicaciones, como Office 2010 o versiones anteriores y Apple Mail anterior a iOS 11, no admiten la verificación en dos pasos.Some applications, like Office 2010 or earlier and Apple Mail before iOS 11, don't support two-step verification. Las aplicaciones no están configuradas para aceptar una segunda comprobación.The apps aren't configured to accept a second verification. Para usar estas aplicaciones, aprovéchese de la característica contraseñas de aplicación.To use these applications, take advantage of the app passwords feature. Puede usar una contraseña de aplicación en lugar de su contraseña habitual para permitir que una aplicación omita la verificación en dos pasos y siga funcionando.You can use an app password in place of your traditional password to allow an app to bypass two-step verification and continue working.

La autenticación moderna se admite en los clientes de Microsoft Office 2013 y versiones posteriores.Modern authentication is supported for the Microsoft Office 2013 clients and later. Los clientes de Office 2013 (incluido Outlook), admiten protocolos de autenticación modernos y se pueden habilitar para que funcionen con la comprobación en dos pasos.Office 2013 clients including Outlook, support modern authentication protocols and can be enabled to work with two-step verification. Después de que se habilite el cliente, las contraseñas de aplicación no le serán necesarias.After the client is enabled, app passwords aren't required for the client.

Nota

Las contraseñas de aplicación no funcionan con directivas de autenticación multifactor basadas en el acceso condicional y la autenticación moderna.App passwords do not work with Conditional Access based multi-factor authentication policies and modern authentication.

Consideraciones acerca de las contraseñas de aplicaciónConsiderations about app passwords

Al utilizar las contraseñas de aplicación, considere los siguientes puntos importantes:When using app passwords, consider the following important points:

  • Las contraseñas de aplicación solo se escriben una vez por cada aplicación.App passwords are only entered once per application. No es necesario que los usuarios realicen un seguimiento de las contraseñas y las escriban en cada ocasión.Users don't have to keep track of the passwords or enter them every time.
  • La contraseña real se genera automáticamente y no la proporciona el usuario.The actual password is automatically generated and is not supplied by the user. Las contraseñas generadas automáticamente son más difíciles de adivinar y, por tanto, más seguras.The automatically generated password is harder for an attacker to guess and is more secure.
  • Hay un límite de 40 contraseñas por usuario.There is a limit of 40 passwords per user.
  • Las aplicaciones que almacenan en caché las contraseñas y las usan en escenarios locales pueden comenzar a dar error porque no se conoce la contraseña de aplicación fuera de la cuenta profesional o educativa.Applications that cache passwords and use them in on-premises scenarios can start to fail because the app password isn't known outside the work or school account. Un ejemplo de este escenario es el de los mensajes de correo electrónico de Exchange que son locales pero se archivan en la nube.An example of this scenario is Exchange emails that are on-premises, but the archived mail is in the cloud. En este escenario, no funciona la misma contraseña.In this scenario, the same password doesn't work.
  • Una vez habilitada Multi-Factor Authentication en una cuenta de usuario, se pueden usar las contraseñas de aplicación con la mayoría de los clientes sin explorador como Outlook y Microsoft Skype Empresarial.After Multi-Factor Authentication is enabled on a user's account, app passwords can be used with most non-browser clients like Outlook and Microsoft Skype for Business. No se pueden realizar acciones administrativas con contraseñas de aplicación mediante aplicaciones sin explorador como Windows PowerShell.Administrative actions can't be performed by using app passwords through non-browser applications, such as Windows PowerShell. No se pueden realizar las acciones, incluso cuando el usuario tiene una cuenta administrativa.The actions can't be performed even when the user has an administrative account. Para ejecutar scripts de PowerShell, cree una cuenta de servicio con una contraseña segura y no la habilite para la verificación en dos pasos.To run PowerShell scripts, create a service account with a strong password and don't enable the account for two-step verification.

Advertencia

Las contraseñas de aplicación no funcionan en entornos híbridos donde los clientes se comunican con los puntos de conexión de detección automática locales y en la nube.App passwords don't work in hybrid environments where clients communicate with both on-premises and cloud auto-discover endpoints. Las contraseñas de dominio deben autenticarse en local.Domain passwords are required to authenticate on-premises. Las contraseñas de aplicación deben autenticarse con la nube.App passwords are required to authenticate with the cloud.

Guía de nombres para las contraseñas de aplicaciónGuidance for app password names

Los nombres de las contraseñas de aplicación deberían reflejar el dispositivo en el que se usan.App password names should reflect the device on which they're used. Si tiene un portátil con aplicaciones sin explorador como Outlook, Word y Excel, cree una contraseña de aplicación denominada Portátil para estas aplicaciones.If you have a laptop that has non-browser applications like Outlook, Word, and Excel, create one app password named Laptop for these apps. Cree otra contraseña de aplicación denominada Escritorio para las mismas aplicaciones que se ejecutan en el equipo de escritorio.Create another app password named Desktop for the same applications that run on your desktop computer.

Nota

Se recomienda crear una contraseña de aplicación por dispositivo, en lugar de por aplicación.We recommend that you create one app password per device, rather than one app password per application.

Contraseñas de aplicaciones de inicio de sesión único o federadoFederated or single sign-on app passwords

Azure AD admite la federación, o el inicio de sesión único (SSO), con Active Directory Domain Services (AD DS) local de Windows Server.Azure AD supports federation, or single sign-on (SSO), with on-premises Windows Server Active Directory Domain Services (AD DS). Si su organización está federada con Azure AD y está usando Azure Multi-Factor Authentication, considere los siguientes puntos acerca de las contraseñas de aplicación.If your organization is federated with Azure AD and you're using Azure Multi-Factor Authentication, consider the following points about app passwords.

Nota

Los siguientes puntos solo se aplican a los clientes federados (SSO).The following points apply only to federated (SSO) customers.

  • Azure AD comprueba las contraseñas de aplicación y, por tanto, se omite la federación.App passwords are verified by Azure AD, and therefore, bypass federation. La federación solo se usa activamente al configurar la contraseñas de aplicación.Federation is actively used only when setting up app passwords.

  • En el caso de los usuarios federados (SSO), nunca se contacta con el proveedor de identidades (IdP), a diferencia del flujo pasivo.The Identity Provider (IdP) is not contacted for federated (SSO) users, unlike the passive flow. Las contraseñas de aplicación se almacenan en la cuenta profesional o educativa.The app passwords are stored in the work or school account. Si un usuario deja la empresa, su información fluye hacia la cuenta profesional o educativa utilizando DirSync en tiempo real.If a user leaves the company, the user's information flows to the work or school account by using DirSync in real time. La deshabilitación o eliminación de la cuenta puede tardar hasta tres horas en sincronizarse, lo que puede retrasar la deshabilitación o eliminación de la contraseña de aplicación en Azure AD.The disable/deletion of the account can take up to three hours to synchronize, which can delay the disable/deletion of the app password in Azure AD.

  • La configuración de Access Control de cliente local no se cumple con la característica de las contraseñas de aplicación.On-premises client Access Control settings aren't honored by the app passwords feature.

  • No hay ningún registro o funcionalidad de auditoría en la autenticación local que esté disponible para usarse con la característica de las contraseñas de aplicación.No on-premises authentication logging/auditing capability is available for use with the app passwords feature.

  • Algunas arquitecturas avanzadas requieren una combinación de credenciales para la verificación de dos pasos con los clientes.Some advanced architectures require a combination of credentials for two-step verification with clients. Estas credenciales pueden incluir una contraseña o nombre de usuario de una cuenta profesional o educativa y las contraseñas de aplicación.These credentials can include a work or school account username and passwords, and app passwords. Los requisitos dependen de cómo se realiza la autenticación.The requirements depend on how the authentication is performed. Para los clientes que se autentican en una infraestructura local, se necesitará una contraseña y un nombre de usuario para la cuenta profesional o educativa.For clients that authenticate against an on-premises infrastructure, a work or school account username and password a required. Para los clientes que se autentican en Azure AD, se necesitará una contraseña de aplicación.For clients that authenticate against Azure AD, an app password is required.

    Por ejemplo, supongamos que tiene la siguiente arquitectura:For example, suppose you have the following architecture:

    • Su instancia local de Active Directory está federada con Azure AD.Your on-premises instance of Active Directory is federated with Azure AD.
    • Está usando Exchange Online.You're using Exchange online.
    • Está usando Skype Empresarial local.You're using Skype for Business on-premises.
    • Está usando Azure Multi-Factor Authentication.You're using Azure Multi-Factor Authentication.

    En este escenario, utilice las credenciales siguientes:In this scenario, you use the following credentials:

    • Para iniciar sesión en Skype Empresarial, utilice el nombre de usuario y contraseña de la cuenta profesional o educativa.To sign in to Skype for Business, use your work or school account username and password.
    • Para acceder a la libreta de direcciones a través de un cliente de Outlook que se conecta a Exchange Online, utilice una contraseña de aplicación.To access the address book from an Outlook client that connects to Exchange online, use an app password.

Permita que los usuarios creen contraseñas de aplicaciónAllow users to create app passwords

De forma predeterminada, los usuarios no pueden crear contraseñas de aplicación.By default, users can't create app passwords. Debe habilitarse la característica de las contraseñas de aplicación.The app passwords feature must be enabled. Para dar a los usuarios la posibilidad de crear contraseñas de aplicación, use el procedimiento siguiente:To give users the ability to create app passwords, use the following procedure:

  1. Inicie sesión en el Azure Portal.Sign in to the Azure portal.
  2. En la parte izquierda, seleccione Azure Active Directory > Usuarios.On the left, select Azure Active Directory > Users.
  3. Seleccione Multi-Factor Authentication.Select Multi-Factor Authentication.
  4. En Multi-Factor Authentication, seleccione Configuración del servicio.Under Multi-Factor Authentication, select service settings.
  5. En la página Configuración del servicio, seleccione la opción Permitir a los usuarios crear contraseñas de aplicación para iniciar sesión en aplicaciones sin explorador.On the Service Settings page, select the Allow users to create app passwords to sign in to non-browser apps option.

Creación de contraseñas de aplicaciónCreate app passwords

Los usuarios pueden crear contraseñas de aplicación durante el registro inicial.Users can create app passwords during their initial registration. El usuario tiene la opción de crear contraseñas de aplicación al final del proceso de registro.The user has the option to create app passwords at the end of the registration process.

Los usuarios también pueden crear contraseñas de aplicación después del registro.Users can also create app passwords after registration. Para más información e instrucciones detalladas para los usuarios, consulte ¿Qué son las contraseñas de aplicación de Azure Multi-Factor Authentication?For more information and detailed steps for your users, see What are app passwords in Azure Multi-Factor Authentication?

IP de confianzaTrusted IPs

Los administradores de un inquilino administrado o federado utilizan la característica de IP de confianza de Azure Multi-Factor Authentication.The Trusted IPs feature of Azure Multi-Factor Authentication is used by administrators of a managed or federated tenant. La característica omite la verificación en dos pasos para los usuarios que inician sesión desde la intranet de la empresa.The feature bypasses two-step verification for users who sign in from the company intranet. La característica está disponible con la versión completa de Azure Multi-Factor Authentication y no la versión que es gratis para administradores.The feature is available with the full version of Azure Multi-Factor Authentication, and not the free version for administrators. Para más información sobre cómo obtener la versión completa de Azure Multi-Factor Authentication, consulte Azure Multi-Factor Authentication.For details on how to get the full version of Azure Multi-Factor Authentication, see Azure Multi-Factor Authentication.

Nota

Las direcciones IP de confianza de Multi-Factor Authentication y las ubicaciones con nombre del acceso condicional solo funcionan con direcciones IPV4.MFA trusted IPs and Conditional Access named locations only work with IPV4 addresses.

Si su organización implementa la extensión NPS para proporcionar Multi-Factor Authentication en aplicaciones locales, tenga en cuenta que la dirección IP de origen siempre parecerá ser el servidor NPS a través del que fluye el intento de autenticación.If your organization deploys the NPS extension to provide MFA to on-premises applications note the source IP address will always appear to be the NPS server the authentication attempt flows through.

Tipo de inquilino de Azure ADAzure AD tenant type Opciones de características de IP de confianzaTrusted IPs feature options
AdministradoManaged Intervalos específicos de direcciones IP: los administradores pueden especificar un intervalo de direcciones IP que puede omitir la verificación en dos pasos para los usuarios que inician sesión desde la intranet de la empresa.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet.
FederadoFederated Todos los usuarios federados: todos los usuarios federados que inician sesión desde dentro de la organización pueden omitir la verificación en dos pasos.All Federated Users: All federated users who sign in from inside of the organization can bypass two-step verification. Los usuarios omiten la verificación mediante el uso de una notificación que emiten los servicios de federación de Active Directory (AD FS).The users bypass verification by using a claim that is issued by Active Directory Federation Services (AD FS).
Intervalos específicos de direcciones IP: los administradores pueden especificar un intervalo de direcciones IP que puede omitir la verificación en dos pasos para los usuarios que inician sesión desde la intranet de la empresa.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet.

La omisión de las direcciones IP de confianza solo funciona desde dentro de la intranet de la empresa.The Trusted IPs bypass works only from inside of the company intranet. Si selecciona la opción Todos los usuarios federados y un usuario inicia sesión desde fuera de la intranet de la empresa, el usuario tendrá que autenticarse mediante la verificación en dos pasos.If you select the All Federated Users option and a user signs in from outside the company intranet, the user has to authenticate by using two-step verification. El proceso es el mismo, incluso si el usuario presenta una notificación de AD FS.The process is the same even if the user presents an AD FS claim.

Experiencia del usuario final dentro de la red corporativaEnd-user experience inside of corpnet

Cuando se deshabilita la característica de la IP de confianza, la verificación en dos pasos es necesaria para los flujos del explorador.When the Trusted IPs feature is disabled, two-step verification is required for browser flows. Se necesitan contraseñas de aplicación para anteriores aplicaciones de cliente enriquecidas.App passwords are required for older rich client applications.

Cuando se habilita la característica de la IP de confianza, la verificación en dos pasos no es necesaria para los flujos del explorador.When the Trusted IPs feature is enabled, two-step verification is not required for browser flows. Las contraseñas de aplicación no son obligatorias para las anteriores aplicaciones de cliente enriquecidas, siempre que el usuario no haya creado una contraseña de aplicación.App passwords are not required for older rich client applications, provided that the user hasn't created an app password. Después de que la contraseña de aplicación esté en uso, la contraseña sigue siendo necesaria.After an app password is in use, the password remains required.

Experiencia del usuario final fuera de la red corporativaEnd-user experience outside corpnet

Independientemente de si la característica de la IP de confianza está habilitada, la verificación en dos pasos es necesaria para los flujos del explorador.Regardless of whether the Trusted IPs feature is enabled, two-step verification is required for browser flows. Se necesitan contraseñas de aplicación para anteriores aplicaciones de cliente enriquecidas.App passwords are required for older rich client applications.

Habilitación de las ubicaciones con nombre mediante el acceso condicionalEnable named locations by using Conditional Access

  1. Inicie sesión en el Azure Portal.Sign in to the Azure portal.
  2. En el lado izquierdo, seleccione Azure Active Directory > Seguridad > Acceso condicional > Ubicaciones con nombre.On the left, select Azure Active Directory > Security > Conditional Access > Named locations.
  3. Seleccione Nueva ubicación.Select New location.
  4. Escriba un nombre para la ubicación.Enter a name for the location.
  5. Seleccione Marcar como ubicación de confianza.Select Mark as trusted location.
  6. Escriba el intervalo de IP en la notación CIDR como 192.168.1.1/24.Enter the IP Range in CIDR notation like 192.168.1.1/24.
  7. Seleccione Crear.Select Create.

Habilite la característica de direcciones IP de confianza mediante el acceso condicionalEnable the Trusted IPs feature by using Conditional Access

  1. Inicie sesión en el Azure Portal.Sign in to the Azure portal.

  2. En el lado izquierdo, seleccione Azure Active Directory > Seguridad > Acceso condicional > Ubicaciones con nombre.On the left, select Azure Active Directory > Security > Conditional Access > Named locations.

  3. Seleccione Configurar IP de confianza de MFA.Select Configure MFA trusted IPs.

  4. En la página Configuración del servicio, en IP de confianza, seleccione una de las dos opciones siguientes:On the Service Settings page, under Trusted IPs, choose from any of the following two options:

    • Para solicitudes de usuarios federados cuyo origen esté en mi intranet: Para elegir esta opción, seleccione la casilla.For requests from federated users originating from my intranet: To choose this option, select the check box. Todos los usuarios federados que inicien sesión desde la red corporativa omitirán la verificación en dos pasos mediante una notificación emitida por AD FS.All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. Asegúrese de que AD FS tiene una regla para agregar la notificación de intranet al tráfico adecuado.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Si la regla no existe, cree la siguiente regla en AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitudes de un intervalo de IP públicas específico: para elegir esta opción, escriba las direcciones IP en el cuadro de texto mediante la notación CIDR.For requests from a specific range of public IPs: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Para las direcciones IP que se encuentran en el intervalo xxx.xxx.xxx.1 mediante xxx.xxx.xxx.254, use una notación como xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Para una única dirección IP, use esta notación: xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Especifique un máximo de 50 intervalos de direcciones IP.Enter up to 50 IP address ranges. Los usuarios que inician sesión desde estas direcciones IP omiten la comprobación en dos pasos.Users who sign in from these IP addresses bypass two-step verification.
  5. Seleccione Guardar.Select Save.

Habilite la característica de direcciones IP de confianza mediante la configuración del servicioEnable the Trusted IPs feature by using service settings

  1. Inicie sesión en el Azure Portal.Sign in to the Azure portal.

  2. En la parte izquierda, seleccione Azure Active Directory > Usuarios.On the left, select Azure Active Directory > Users.

  3. Seleccione Multi-Factor Authentication.Select Multi-Factor Authentication.

  4. En Multi-Factor Authentication, seleccione Configuración del servicio.Under Multi-Factor Authentication, select service settings.

  5. En la página Configuración del servicio, en IP de confianza, seleccione una de las opciones siguientes (o ambas):On the Service Settings page, under Trusted IPs, choose one (or both) of the following two options:

    • Para solicitudes de usuarios federados en mi intranet: Para elegir esta opción, seleccione la casilla.For requests from federated users on my intranet: To choose this option, select the check box. Todos los usuarios federados que inicien sesión desde la red corporativa omitirán la verificación en dos pasos mediante una notificación emitida por AD FS.All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. Asegúrese de que AD FS tiene una regla para agregar la notificación de intranet al tráfico adecuado.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Si la regla no existe, cree la siguiente regla en AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitudes de un intervalo específico de subredes de direcciones IP: para elegir esta opción, escriba las direcciones IP en el cuadro de texto mediante la notación CIDR.For requests from a specified range of IP address subnets: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Para las direcciones IP que se encuentran en el intervalo xxx.xxx.xxx.1 mediante xxx.xxx.xxx.254, use una notación como xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Para una única dirección IP, use esta notación: xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Especifique un máximo de 50 intervalos de direcciones IP.Enter up to 50 IP address ranges. Los usuarios que inician sesión desde estas direcciones IP omiten la comprobación en dos pasos.Users who sign in from these IP addresses bypass two-step verification.
  6. Seleccione Guardar.Select Save.

Métodos de comprobaciónVerification methods

Puede elegir los métodos de comprobación que estén disponibles para los usuarios.You can choose the verification methods that are available for your users. En la tabla siguiente se proporciona una breve información general de los métodos.The following table provides a brief overview of the methods.

Cuando los usuarios inscriben sus cuentas en Azure Multi-Factor Authentication, deciden su método de verificación preferido de las opciones que ha habilitado.When your users enroll their accounts for Azure Multi-Factor Authentication, they choose their preferred verification method from the options that you have enabled. Las instrucciones para el proceso de inscripción de los usuarios se proporcionan en Configuración de mi cuenta para la verificación en dos pasos.Guidance for the user enrollment process is provided in Set up my account for two-step verification.

MétodoMethod DESCRIPCIÓNDescription
Llamada al teléfonoCall to phone Hace una llamada de voz automática.Places an automated voice call. El usuario responde a la llamada y pulsa la # del teclado del teléfono para autenticarse.The user answers the call and presses # in the phone keypad to authenticate. El número de teléfono no se sincroniza con Active Directory local.The phone number is not synchronized to on-premises Active Directory.
Mensaje de texto al teléfonoText message to phone Envía un mensaje de texto que contiene un código de verificación.Sends a text message that contains a verification code. Se pide al usuario que escriba el código de verificación en la interfaz de inicio de sesión.The user is prompted to enter the verification code into the sign-in interface. Este proceso se llama "SMS unidireccional".This process is called one-way SMS. SMS bidireccional significa que el usuario debe devolver un mensaje de texto con un código determinado.Two-way SMS means that the user must text back a particular code. SMS bidireccional se encuentra en desuso y no se admitirá después del 14 de noviembre de 2018.Two-way SMS is deprecated and not supported after November 14, 2018. Los usuarios configurados para usar SMS bidireccional pasarán automáticamente a la verificación de Llamada telefónica en ese momento.Users who are configured for two-way SMS are automatically switched to call to phone verification at that time.
Notificación a través de aplicación móvilNotification through mobile app Envía una notificación push a su teléfono o dispositivo registrado.Sends a push notification to your phone or registered device. El usuario ve la notificación y selecciona Comprobar para completar la comprobación.The user views the notification and selects Verify to complete verification. La aplicación Microsoft Authenticator está disponible para Windows Phone, Android e IOS.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.
Código de verificación de aplicación móvil o token de hardwareVerification code from mobile app or hardware token La aplicación Microsoft Authenticator genera un nuevo código de verificación de OATH cada 30 segundos.The Microsoft Authenticator app generates a new OATH verification code every 30 seconds. El usuario escribe el código de verificación en la interfaz de inicio de sesión.The user enters the verification code into the sign-in interface. La aplicación Microsoft Authenticator está disponible para Windows Phone, Android e IOS.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.

Habilitar y deshabilitar los métodos de verificaciónEnable and disable verification methods

  1. Inicie sesión en el Azure Portal.Sign in to the Azure portal.
  2. En la parte izquierda, seleccione Azure Active Directory > Usuarios.On the left, select Azure Active Directory > Users.
  3. Seleccione Multi-Factor Authentication.Select Multi-Factor Authentication.
  4. En Multi-Factor Authentication, seleccione Configuración del servicio.Under Multi-Factor Authentication, select service settings.
  5. En la página Configuración del servicio, en Opciones de verificación, active o desactive los métodos para proporcionar a los usuarios.On the Service Settings page, under verification options, select/unselect the methods to provide to your users.
  6. Haga clic en Save(Guardar).Click Save.

Se pueden encontrar detalles adicionales sobre el uso de métodos de autenticación en el artículo ¿Qué son los métodos de autenticación?Additional details about the use of authentication methods can be found in the article What are authentication methods.

Recordar Multi-Factor AuthenticationRemember Multi-Factor Authentication

La característica Recordar Multi-Factor Authentication para dispositivos y exploradores que el usuario considera de confianza es gratis para todos los usuarios de Multi-Factor Authentication.The remember Multi-Factor Authentication feature for devices and browsers that are trusted by the user is a free feature for all Multi-Factor Authentication users. Los usuarios pueden omitir las verificaciones posteriores durante un número especificado de días, una vez hayan iniciado sesión correctamente en un dispositivo mediante el uso de Multi-Factor Authentication.Users can bypass subsequent verifications for a specified number of days, after they've successfully signed-in to a device by using Multi-Factor Authentication. Esta característica permite mejorar la facilidad de uso, ya que minimiza el número de veces que un usuario puede realizar la verificación en dos pasos en el mismo dispositivo.The feature enhances usability by minimizing the number of times a user has to perform two-step verification on the same device.

Importante

Si una cuenta o un dispositivo corren peligro, el hecho de recordar Multi-Factor Authentication para los dispositivos de confianza puede afectar a la seguridad.If an account or device is compromised, remembering Multi-Factor Authentication for trusted devices can affect security. Si una cuenta corporativa se pone en peligro o un dispositivo de confianza es objeto de pérdida o robo, debe restaurar Multi-Factor Authentication en todos los dispositivos.If a corporate account becomes compromised or a trusted device is lost or stolen, you should restore Multi-Factor Authentication on all devices.

La acción de restauración revoca el estado de confianza de todos los dispositivos y el usuario debe volver a realizar la verificación en dos pasos.The restore action revokes the trusted status from all devices, and the user is required to perform two-step verification again. También puede pedir a los usuarios que restauren Multi-Factor Authentication en sus propios dispositivos con las instrucciones que se indican en Administración de la configuración de la verificación en dos pasos.You can also instruct your users to restore Multi-Factor Authentication on their own devices with the instructions in Manage your settings for two-step verification.

Cómo funciona la característicaHow the feature works

La característica Recordar Multi-Factor Authentication establece una cookie persistente en el explorador cuando un usuario selecciona la opción No preguntar de nuevo durante X días en el momento del inicio de sesión.The remember Multi-Factor Authentication feature sets a persistent cookie on the browser when a user selects the Don't ask again for X days option at sign-in. Al usuario no se le volverá a solicitar Multi-Factor Authentication desde ese mismo explorador hasta que expire la cookie.The user isn't prompted again for Multi-Factor Authentication from that same browser until the cookie expires. Si el usuario abre un explorador diferente en el mismo dispositivo o borra sus cookies, se le pedirá de nuevo la verificación.If the user opens a different browser on the same device or clears their cookies, they're prompted again to verify.

La opción No preguntar de nuevo durante X días no está disponible en las aplicaciones sin explorador, independientemente de si la aplicación admite la autenticación moderna.The Don't ask again for X days option isn't shown on non-browser applications, regardless of whether the app supports modern authentication. Estas aplicaciones usan tokens de actualización que proporcionan nuevos tokens de acceso cada hora.These apps use refresh tokens that provide new access tokens every hour. Cuando se valida un token de actualización, Azure AD comprueba que la última verificación en dos pasos estaba dentro del número de días especificado.When a refresh token is validated, Azure AD checks that the last two-step verification occurred within the specified number of days.

La característica reduce el número de autenticaciones en las aplicaciones web, que normalmente se solicitan siempre.The feature reduces the number of authentications on web apps, which normally prompt every time. La característica aumenta el número de autenticaciones para los clientes de autenticación moderna, que normalmente se solicita cada 90 días.The feature increases the number of authentications for modern authentication clients that normally prompt every 90 days. También se puede aumentar el número de autenticaciones cuando se combina con las directivas de acceso condicional.May also increase the number of authentications when combined with Conditional Access policies.

Importante

La característica Recordar Multi-Factor Authentication no es compatible con la característica Mantener la sesión iniciada de AD FS cuando los usuarios realizan la verificación en dos pasos para AD FS mediante el Servidor Azure Multi-Factor Authentication o una solución de terceros para la autenticación multifactor.The remember Multi-Factor Authentication feature is not compatible with the keep me signed in feature of AD FS, when users perform two-step verification for AD FS through Azure Multi-Factor Authentication Server or a third-party multi-factor authentication solution.

Si los usuarios seleccionan Mantener la sesión iniciada en AD FS y también marcan su dispositivo como de confianza para Multi-Factor Authentication, no se comprobará el usuario automáticamente después de que expire el número de días de la característica Recordar Multi-Factor Authentication.If your users select keep me signed in on AD FS and also mark their device as trusted for Multi-Factor Authentication, the user isn't automatically verified after the remember multi-factor authentication number of days expires. Azure AD solicita una nueva verificación en dos pasos, pero AD FS devuelve un token con la fecha y la notificación originales de Multi-Factor Authentication en lugar de volver a realizar la verificación en dos pasos.Azure AD requests a fresh two-step verification, but AD FS returns a token with the original Multi-Factor Authentication claim and date, rather than performing two-step verification again. Esta reacción crea un bucle de comprobación entre Azure AD y AD FS.This reaction sets off a verification loop between Azure AD and AD FS.

La característica Recordar Multi-Factor Authentication no es compatible con los usuarios de B2B y no será visible para ellos al iniciar sesión en los inquilinos invitados.The remember Multi-Factor Authentication feature is not compatible with B2B users and will not be visible for B2B users when signing into the invited tenants.

Habilitación de Recordar Multi-Factor AuthenticationEnable remember Multi-Factor Authentication

  1. Inicie sesión en el Azure Portal.Sign in to the Azure portal.
  2. En la parte izquierda, seleccione Azure Active Directory > Usuarios.On the left, select Azure Active Directory > Users.
  3. Seleccione Multi-Factor Authentication.Select Multi-Factor Authentication.
  4. En Multi-Factor Authentication, seleccione Configuración del servicio.Under Multi-Factor Authentication, select service settings.
  5. En la página Configuración del servicio, administre Recordar Multi-Factor Authentication y seleccione la opción Permitir que los usuarios recuerden la autenticación multifactor en dispositivos de confianza.On the Service Settings page, manage remember multi-factor authentication, select the Allow users to remember multi-factor authentication on devices they trust option.
  6. Establezca el número de días para permitir que los dispositivos de confianza omitan la verificación en dos pasos.Set the number of days to allow trusted devices to bypass two-step verification. El valor predeterminado es 14 días.The default is 14 days.
  7. Seleccione Guardar.Select Save.

Marca de un dispositivo como de confianzaMark a device as trusted

Después de habilitar la característica Recordar Multi-Factor Authentication, al iniciar sesión los usuarios pueden marcar un dispositivo como de confianza si seleccionan No volver a preguntar.After you enable the remember Multi-Factor Authentication feature, users can mark a device as trusted when they sign in by selecting Don't ask again.

Pasos siguientesNext steps

Modificación de la personalización de marca de la página de inicio de sesión de Azure ADModify Azure AD sign-in page branding