Habilitación de Azure AD Multi-Factor Authentication por usuario para proteger los eventos de inicio de sesiónEnable per-user Azure AD Multi-Factor Authentication to secure sign-in events

Para proteger los eventos de inicio de sesión de usuario en Azure AD, puede ser necesaria la autenticación multifactor (MFA).To secure user sign-in events in Azure AD, you can require multi-factor authentication (MFA). La habilitación de Azure AD Multi-Factor Authentication mediante directivas de acceso condicional es el enfoque recomendado.Enabling Azure AD Multi-Factor Authentication using Conditional Access policies is the recommended approach to protect users. El acceso condicional es una característica de Azure AD Premium P1 o P2 que permite aplicar reglas para exigir MFA según sea necesario en determinados escenarios.Conditional Access is an Azure AD Premium P1 or P2 feature that lets you apply rules to require MFA as needed in certain scenarios. Para empezar a usar el acceso condicional, consulte Tutorial: Protección de los eventos de inicio de sesión de usuario mediante Azure AD Multi-Factor Authentication.To get started using Conditional Access, see Tutorial: Secure user sign-in events with Azure AD Multi-Factor Authentication.

En el caso de inquilinos gratuitos de Azure AD sin acceso condicional, puede usar valores predeterminados de seguridad para proteger a los usuarios.For Azure AD free tenants without Conditional Access, you can use security defaults to protect users. A los usuarios se les solicita MFA según sea necesario, pero no puede definir sus propias reglas para controlar el comportamiento.Users are prompted for MFA as needed, but you can't define your own rules to control the behavior.

En cambio, si es necesario, puede habilitar cada cuenta para Azure AD Multi-Factor Authentication por usuario.If needed, you can instead enable each account for per-user Azure AD Multi-Factor Authentication. Cuando los usuarios están habilitados de forma individual, realizan la autenticación multifactor cada vez que inician sesión (con algunas excepciones, como cuando inician sesión desde direcciones IP de confianza o si la característica para recordar MFA en dispositivos de confianza) está activada.When users are enabled individually, they perform multi-factor authentication each time they sign in (with some exceptions, such as when they sign in from trusted IP addresses or when the remember MFA on trusted devices feature is turned on).

No se recomienda cambiar los estados del usuario a menos que las licencias de Azure AD no incluyan acceso condicional y no quiera usar los valores predeterminados de seguridad.Changing user states isn't recommended unless your Azure AD licenses don't include Conditional Access and you don't want to use security defaults. Para más información sobre las distintas formas de habilitar MFA, consulte Características y licencias de Azure AD Multi-Factor Authentication.For more information on the different ways to enable MFA, see Features and licenses for Azure AD Multi-Factor Authentication.

Importante

En este artículo se detalla cómo ver y cambiar el estado de Azure AD Multi-Factor Authentication por usuario.This article details how to view and change the status for per-user Azure AD Multi-Factor Authentication. Si usa el acceso condicional o los valores predeterminados de seguridad, no revise ni habilite las cuentas de usuario mediante estos pasos.If you use Conditional Access or security defaults, you don't review or enable user accounts using these steps.

Al habilitar Azure AD Multi-Factor Authentication mediante una directiva de acceso condicional, no se cambia el estado del usuario.Enabling Azure AD Multi-Factor Authentication through a Conditional Access policy doesn't change the state of the user. No se alarme si los usuarios aparecen deshabilitados.Don't be alarmed if users appear disabled. El acceso condicional no cambia el estado.Conditional Access doesn't change the state.

No habilite ni aplique Azure AD Multi-Factor Authentication por usuario si usa directivas de acceso condicional.Don't enable or enforce per-user Azure AD Multi-Factor Authentication if you use Conditional Access policies.

Estados de usuario de Azure AD Multi-Factor AuthenticationAzure AD Multi-Factor Authentication user states

El estado de un usuario refleja si un administrador lo ha inscrito en Azure AD Multi-Factor Authentication por usuario.A user's state reflects whether an admin has enrolled them in per-user Azure AD Multi-Factor Authentication. Las cuentas de usuario de Azure AD Multi-Factor Authentication tienen los siguientes tres estados:User accounts in Azure AD Multi-Factor Authentication have the following three distinct states:

StateState DescripciónDescription Autenticación heredada afectadaLegacy authentication affected Aplicaciones que son de explorador afectadasBrowser apps affected Autenticación moderna afectadaModern authentication affected
DisabledDisabled Estado predeterminado de un usuario no inscrito en Azure AD Multi-Factor Authentication por usuario.The default state for a user not enrolled in per-user Azure AD Multi-Factor Authentication. NoNo NoNo NoNo
habilitadoEnabled El usuario está inscrito en Azure AD Multi-Factor Authentication por usuario, pero puede seguir usando su contraseña en la autenticación heredada.The user is enrolled in per-user Azure AD Multi-Factor Authentication, but can still use their password for legacy authentication. Si el usuario todavía no ha registrado métodos de autenticación MFA, recibirá un aviso para que lo haga la próxima vez que inicie sesión con la autenticación moderna (por ejemplo, a través de un explorador web).If the user hasn't yet registered MFA authentication methods, they receive a prompt to register the next time they sign in using modern authentication (such as via a web browser). No.No. La autenticación heredada sigue funcionando hasta que se completa el proceso de registro.Legacy authentication continues to work until the registration process is completed. Sí.Yes. Una vez que expire la sesión, se requerirá el registro en Azure AD Multi-Factor Authentication.After the session expires, Azure AD Multi-Factor Authentication registration is required. Sí.Yes. Una vez que expire el token de acceso, se requerirá el registro en Azure AD Multi-Factor Authentication.After the access token expires, Azure AD Multi-Factor Authentication registration is required.
AplicadoEnforced El usuario está inscrito en Azure AD Multi-Factor Authentication por usuario.The user is enrolled per-user in Azure AD Multi-Factor Authentication. Si el usuario aún no ha registrado métodos de autenticación, recibirá un aviso para que lo haga la próxima vez que inicie sesión con la autenticación moderna (por ejemplo, a través de un explorador web).If the user hasn't yet registered authentication methods, they receive a prompt to register the next time they sign in using modern authentication (such as via a web browser). Los usuarios que completen el registro mientras están en el estado Habilitado pasan automáticamente al estado Enforced (Aplicado).Users who complete registration while in the Enabled state are automatically moved to the Enforced state. Sí.Yes. Las aplicaciones requieren contraseñas de aplicación.Apps require app passwords. Sí.Yes. Se requiere Azure AD Multi-Factor Authentication en el inicio de sesión.Azure AD Multi-Factor Authentication is required at sign-in. Sí.Yes. Se requiere Azure AD Multi-Factor Authentication en el inicio de sesión.Azure AD Multi-Factor Authentication is required at sign-in.

Todos los usuarios comienzan con el estado Deshabilitado.All users start out Disabled. Cuando se inscribe a los usuarios en Azure AD Multi-Factor Authentication por usuario, su estado cambia a Habilitado.When you enroll users in per-user Azure AD Multi-Factor Authentication, their state changes to Enabled. Cuando los usuarios habilitados inician sesión y completan el proceso de registro, el estado cambia a Aplicado.When enabled users sign in and complete the registration process, their state changes to Enforced. Los administradores pueden mover a los usuarios entre estados, por ejemplo, de Enforced (Aplicado) a Habilitado o a Deshabilitado.Administrators may move users between states, including from Enforced to Enabled or Disabled.

Nota

Si MFP por usuario se vuelve a habilitar en un usuario y este no se registra de nuevo, su estado de MFA no pasa de Habilitado a Enforced (Aplicado) en la interfaz de usuario de administración de MFA.If per-user MFA is re-enabled on a user and the user doesn't re-register, their MFA state doesn't transition from Enabled to Enforced in MFA management UI. El administrador debe mover al usuario directamente a Enfoced (Aplicado).The administrator must move the user directly to Enforced.

Ver el estado de un usuarioView the status for a user

Para ver y administrar estados de usuario, haga lo siguiente para acceder a la página de Azure Portal:To view and manage user states, complete the following steps to access the Azure portal page:

  1. Inicie sesión en Azure Portal como administrador.Sign in to the Azure portal as an administrator.
  2. Busque y seleccione Azure Active Directory y, a continuación, seleccione Usuarios > Todos los usuarios.Search for and select Azure Active Directory, then select Users > All users.
  3. Seleccione Multi-Factor Authentication.Select Multi-Factor Authentication. Es posible que tenga que desplazarse hacia la derecha para ver esta opción de menú.You may need to scroll to the right to see this menu option. Seleccione la siguiente captura de pantalla de ejemplo para ver la ventana de Azure Portal completa y la ubicación del menú: Selección de Multi-Factor Authentication desde la ventana Usuarios en Azure AD.Select the example screenshot below to see the full Azure portal window and menu location: Select Multi-Factor Authentication from the Users window in Azure AD.
  4. Se abre una nueva página que muestra el estado del usuario, tal y como se muestra en el ejemplo siguiente.A new page opens that displays the user state, as shown in the following example. Captura de pantalla que muestra información de ejemplo del estado del usuario de Azure AD Multi-Factor AuthenticationScreenshot that shows example user state information for Azure AD Multi-Factor Authentication

Cambiar el estado de un usuarioChange the status for a user

Para cambiar el estado de Azure AD Multi-Factor Authentication por usuario de un usuario, realice los pasos siguientes:To change the per-user Azure AD Multi-Factor Authentication state for a user, complete the following steps:

  1. Siga los pasos anteriores para acceder a la página Usuarios de Azure AD Multi-Factor Authentication y ver el estado de un usuario.Use the previous steps to view the status for a user to get to the Azure AD Multi-Factor Authentication users page.

  2. Busque el usuario para el que quiere habilitar Azure AD Multi-Factor Authentication.Find the user you want to enable for per-user Azure AD Multi-Factor Authentication. Puede que necesite cambiar la vista en la parte superior a usuarios.You might need to change the view at the top to users. Seleccione el usuario para cambiar su estado desde la pestaña de usuariosSelect the user to change status for from the users tab

  3. Active la casilla situada junto a los nombres de los usuarios a los que desea cambiar el estado.Check the box next to the name(s) of the user(s) to change the state for.

  4. En el lado derecho, en Pasos rápidos, elija Habilitar o Deshabilitar.On the right-hand side, under quick steps, choose Enable or Disable. En el ejemplo siguiente, el usuario John Smith tiene una casilla junto a su nombre y se va a habilitar para su uso: Habilite el usuario seleccionado haciendo clic en Habilitar en el menú de pasos rápidosIn the following example, the user John Smith has a check next to their name and is being enabled for use: Enable selected user by clicking Enable on the quick steps menu

    Sugerencia

    Los usuarios con estado Habilitado cambian automáticamente a Aplicado cuando se registran en Azure AD Multi-Factor Authentication.Enabled users are automatically switched to Enforced when they register for Azure AD Multi-Factor Authentication. No cambie manualmente el estado del usuario a Enforced (Aplicado) a menos que el usuario ya esté registrado o si es admisible que experimente interrupciones en las conexiones a protocolos de autenticación heredados.Don't manually change the user state to Enforced unless the user is already registered or if it is acceptable for the user to experience interruption in connections to legacy authentication protocols.

  5. Confirme la selección en la ventana emergente que se abre.Confirm your selection in the pop-up window that opens.

Después de habilitar los usuarios, notifíquelos por correo electrónico.After you enable users, notify them via email. Indique a los usuarios que aparecerá un mensaje para solicitarles que se registren la próxima vez que inicien sesión.Tell the users that a prompt is displayed to ask them to register the next time they sign in. Además, si su organización utiliza aplicaciones sin explorador que no son compatibles con la autenticación moderna, deben crear contraseñas de aplicación.Also, if your organization uses non-browser apps that don't support modern authentication, they need to create app passwords. Para más información, consulte la guía del usuario final de Azure AD Multi-Factor Authentication para ayudarle a empezar.For more information, see the Azure AD Multi-Factor Authentication end-user guide to help them get started.

Cambio del estado mediante PowerShellChange state using PowerShell

Para cambiar el estado del usuario mediante PowerShell de Azure AD, cambie el parámetro $st.State de una cuenta de usuario.To change the user state by using Azure AD PowerShell, you change the $st.State parameter for a user account. Hay tres estados posibles para una cuenta de usuario:There are three possible states for a user account:

  • EnabledEnabled
  • AplicadoEnforced
  • DeshabilitadaDisabled

En general, no mueva los usuarios directamente al estado Enforced (Aplicado) a menos que ya estén registrados para MFA.In general, don't move users directly to the Enforced state unless they are already registered for MFA. Si lo hace, las aplicaciones de autenticación heredadas dejarán de funcionar porque el usuario no ha pasado el proceso de registro de Azure AD Multi-Factor Authentication ni ha obtenido una contraseña de aplicación.If you do so, legacy authentication apps stop working because the user hasn't gone through Azure AD Multi-Factor Authentication registration and obtained an app password. En algunos casos, este comportamiento puede ser el deseado, pero afecta a la experiencia del usuario hasta que este se registra.In some cases this behavior may be desired, but impacts user experience until the user registers.

Para empezar, instale el módulo MSOnline mediante Install-Module como se indica a continuación:To get started, install the MSOnline module using Install-Module as follows:

Install-Module MSOnline

A continuación, conéctese mediante Connect-MsolService:Next, connect using Connect-MsolService:

Connect-MsolService

El siguiente ejemplo de script de PowerShell habilita MFA para un usuario individual llamado bsimon@contoso.com :The following example PowerShell script enables MFA for an individual user named bsimon@contoso.com:

$st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
$st.RelyingParty = "*"
$st.State = "Enabled"
$sta = @($st)

# Change the following UserPrincipalName to the user you wish to change state
Set-MsolUser -UserPrincipalName bsimon@contoso.com -StrongAuthenticationRequirements $sta

El uso de PowerShell es una buena opción cuando necesite habilitar usuarios de forma masiva.Using PowerShell is a good option when you need to bulk enable users. El script siguiente recorre en bucle una lista de usuarios y habilita MFA en sus cuentas.The following script loops through a list of users and enables MFA on their accounts. Defina las cuentas de usuario y establézcalas en la primera línea para $users, como se indica a continuación:Define the user accounts set it in the first line for $users as follows:

# Define your list of users to update state in bulk
$users = "bsimon@contoso.com","jsmith@contoso.com","ljacobson@contoso.com"

foreach ($user in $users)
{
    $st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
    $st.RelyingParty = "*"
    $st.State = "Enabled"
    $sta = @($st)
    Set-MsolUser -UserPrincipalName $user -StrongAuthenticationRequirements $sta
}

Para deshabilitar MFA, en el ejemplo siguiente se obtiene un usuario con Get-MsolUser y, a continuación, se elimina cualquier elemento StrongAuthenticationRequirements establecido para el usuario definido mediante Set-MsolUser:To disable MFA, the following example gets a user with Get-MsolUser, then removes any StrongAuthenticationRequirements set for the defined user using Set-MsolUser:

Get-MsolUser -UserPrincipalName bsimon@contoso.com | Set-MsolUser -StrongAuthenticationRequirements @()

También puede deshabilitar directamente MFA para un usuario con Set-MsolUser como se indica a continuación:You could also directly disable MFA for a user using Set-MsolUser as follows:

Set-MsolUser -UserPrincipalName bsimon@contoso.com -StrongAuthenticationRequirements @()

Conversión de los usuarios de MFA por usuario a acceso condicionalConvert users from per-user MFA to Conditional Access

El siguiente comando de PowerShell puede ayudarle a realizar la conversión a Azure AD Multi-Factor Authentication basado en el acceso condicional.The following PowerShell can assist you in making the conversion to Conditional Access based Azure AD Multi-Factor Authentication.

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}

# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Nota

Si MFA se vuelve a habilitar en un usuario y este no se registra de nuevo, su estado de MFA no pasa de Habilitado a Enforced (Aplicado) en la interfaz de usuario de administración de MFA.If MFA is re-enabled on a user and the user doesn't re-register, their MFA state doesn't transition from Enabled to Enforced in MFA management UI. En este caso, el administrador debe mover al usuario directamente a Enforced (Aplicado).In this case, the administrator must move the user directly to Enforced.

Pasos siguientesNext steps

Para configurar las opciones de Azure AD Multi-Factor Authentication, consulte Configuración de Azure AD Multi-Factor Authentication.To configure Azure AD Multi-Factor Authentication settings, see Configure Azure AD Multi-Factor Authentication settings.

Para administrar la configuración del usuario de Azure AD Multi-factor Authentication, consulte Administración de la configuración del usuario con Azure AD Multi-Factor Authentication.To manage user settings for Azure AD Multi-Factor Authentication, see Manage user settings with Azure AD Multi-Factor Authentication.

Para saber por qué se ha solicitado o no a un usuario que realice MFA, consulte Informes de Azure AD Multi-Factor Authentication.To understand why a user was prompted or not prompted to perform MFA, see Azure AD Multi-Factor Authentication reports.