Editar

Administración de métodos de autenticación de usuario para la autenticación multifactor de Microsoft Entra

  • Instrucciones

Los usuarios de Microsoft Entra ID tienen dos conjuntos distintos de información de contacto:

  • Información de contacto de perfil público, que se administra en el perfil del usuario y es visible para los miembros de la organización. En el caso de los usuarios sincronizados desde Windows Server AD, esta información se administra en la instancia local de Windows Server Active Directory Domain Services.
  • Los métodos de autenticación, que siempre se mantienen privados y solo se usan para la autenticación, incluida la opción de autenticación multifactor. Los administradores pueden administrar estos métodos en la hoja del método de autenticación de un usuario, y los usuarios pueden administrar sus métodos en la página Información de seguridad de sus cuentas.

Al administrar los métodos de Microsoft Entra autenticación multifactor para los usuarios, los administradores de autenticación pueden:

  • Agregar métodos de autenticación para un usuario específico, incluidos los números de teléfono usados para MFA.
  • Restablezca la contraseña de un usuario.
  • Requerir que un usuario vuelva a registrarse para MFA.
  • Revocar las sesiones de MFA existentes.
  • Eliminar todas las contraseñas de aplicación existentes del usuario.

Requisitos previos

Autenticación multifactor de Microsoft Entra, que está habilitada de forma predeterminada.

Incorporación de métodos de autenticación para un usuario

Puede agregar métodos de autenticación para un usuario mediante el centro de administración de Microsoft Entra o Microsoft Graph.

Nota:

Por motivos de seguridad, los campos de información pública de contacto del usuario no deben usarse para realizar MFA. En su lugar, los usuarios deben rellenar los números del método de autenticación que se usarán para MFA.

Captura de pantalla de la adición de métodos de autenticación desde el Centro de administración de Microsoft Entra.

Para agregar métodos de autenticación para un usuario en el Centro de administración de Microsoft Entra:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.
  2. Vaya aIdentidad>Usuarios>Todos los usuarios.
  3. Elija el usuario para el que quiere agregar un método de autenticación y seleccione Métodos de autenticación.
  4. En la parte superior de la ventana, seleccione + Agregar método de autenticación.
    • Seleccione un método (número de teléfono o correo electrónico). El correo electrónico se puede usar para restablecer la contraseña automáticamente, pero no para la autenticación. Al agregar un número de teléfono, seleccione un tipo de teléfono y escriba un número de teléfono con un formato válido (por ejemplo, +1 4255551234).
    • Seleccione Agregar.

Nota:

La experiencia de versión preliminar permite a los administradores agregar cualquiera de los métodos de autenticación disponibles para los usuarios, mientras que la experiencia original solo permite actualizar los métodos de teléfono y teléfono alternativo.

Administración de métodos mediante PowerShell

Instale el módulo de PowerShell Microsoft.Graph.Identity.Signins con los siguientes comandos.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Administración de opciones de autenticación de usuarios

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Si tiene asignado el rol de administrador de autenticación, puede requerir a los usuarios que restablezcan su contraseña, que vuelvan a registrarse para MFA o que revoquen las sesiones de MFA desde su objeto de usuario. Para administrar la configuración de usuario, complete los siguientes pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.

  2. Vaya aIdentidad>Usuarios>Todos los usuarios.

  3. Elija el usuario en el que quiere realizar una acción y seleccione Métodos de autenticación. En la parte superior de la ventana, elija una de las siguientes opciones para el usuario:

    • Restablecer contraseña restablece la contraseña del usuario y asigna una contraseña temporal que se debe cambiar en el siguiente inicio de sesión.
    • El doble registro necesario MFA desactiva los tokens OATH del hardware del usuario y elimina los siguientes métodos de autenticación de este usuario: números de teléfono, la aplicación Microsoft Authenticator y los tokens OATH de software. Si es necesario, se solicita al usuario que configure un nuevo método de autenticación MFA la próxima vez que inicie sesión.
    • Revocar sesiones de MFA borra las sesiones de MFA recordadas del usuario y le pide que realice MFA la próxima vez que la directiva lo exija en el dispositivo.

    Captura de pantalla de la administración de métodos de autenticación desde el Centro de administración de Microsoft Entra.

Eliminación de las contraseñas de aplicación existentes de los usuarios

En el caso de los usuarios que hayan definido contraseñas de aplicación, los administradores también pueden eliminar esas contraseñas, lo que provocará un error en la autenticación heredada en esas aplicaciones. Estas acciones pueden ser necesarias si necesita proporcionar asistencia a un usuario o necesita restablecer sus métodos de autenticación. Las aplicaciones sin explorador asociadas con estas contraseñas de aplicación dejarán de funcionar hasta que se cree una nueva contraseña de aplicación.

Para eliminar las contraseñas de aplicación de un usuario, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.

  2. Vaya aIdentidad>Usuarios>Todos los usuarios.

  3. Seleccione Autenticación multifactor. Es posible que tenga que desplazarse hacia la derecha para ver esta opción de menú. Seleccione la siguiente captura de pantalla de ejemplo para ver la ventana completa y la ubicación del menú: Captura de pantalla de la selección de la autenticación multifactor en la ventana Usuarios de Microsoft Entra ID.

  4. Active la casilla junto al usuario o usuarios que desea administrar. Aparecerá una lista de opciones de paso rápido a la derecha.

  5. Seleccione Administrar configuración de usuario y active la casilla Eliminar todas las contraseñas de aplicación existentes generadas por los usuarios seleccionados, tal como se muestra en el ejemplo siguiente: Captura de pantalla de la eliminación de todas las contraseñas de aplicación existentes.

  6. Seleccione Guardar y luego Cerrar.

Contenido relacionado