Inicio de sesión en Visual Studio con cuentas que requieran la autenticación multifactor (MFA)

  • Artículo

En este artículo, obtendrá información sobre cómo utilizar Visual Studio con cuentas que requieren autenticación multifactor (MFA).

¿Por qué habilitar las directivas de MFA?

Al colaborar con los usuarios externos invitados, es una buena idea proteger sus aplicaciones y datos con directivas de acceso condicional (CA) como, por ejemplo, autenticación multifactor (MFA) .

Una vez habilitadas, los usuarios invitados necesitarán algo más que un nombre de usuario y una contraseña para acceder a los recursos y tendrán que cumplir requisitos de seguridad adicionales. Las directivas de MFA se pueden exigir en el nivel de inquilino, aplicación o usuario invitado individual, del mismo modo que pueden habilitarse para miembros de la organización.

¿Cómo afectan las directivas de MFA a la experiencia de Visual Studio?

Es posible que las versiones de Visual Studio anteriores a 16.6 tengan experiencias de autenticación degradadas cuando se usan con cuentas que han habilitado directivas de CA como MFA y están asociadas a dos o más inquilinos.

Estos problemas pueden hacer que la instancia de Visual Studio solicite la reautenticación varias veces al día. Tal vez tenga que volver a escribir sus credenciales para inquilinos anteriormente autenticados, incluso durante el transcurso de una misma sesión de Visual Studio.

Uso de Visual Studio con directivas de MFA

Puede acceder a los recursos protegidos a través de directivas de CA, como MFA en Visual Studio. Para usar este flujo de trabajo mejorado, deberá optar por usar el explorador web predeterminado del sistema como mecanismo para agregar y volver a autenticar las cuentas de Visual Studio.

Puede acceder a los recursos protegidos a través de directivas de CA, como MFA en Visual Studio. Para usar este flujo de trabajo mejorado, deberá optar por usar el explorador web predeterminado del sistema o el agente de autenticación de Windows (disponible en la versión 17.5 de Visual Studio, pero se recomienda usar la versión 17.7 de Visual Studio para obtener una experiencia óptima) como mecanismo para agregar y volver a autenticar cuentas de Visual Studio.

Advertencia

No usar este flujo de trabajo podría desencadenar una experiencia degradada que se tradujese en múltiples peticiones de autenticación adicionales al agregar o volver a autenticar cuentas de Visual Studio.

Habilitar el agente de autenticación de Windows

Nota:

El Administrador de cuentas web (WAM) solo está disponible en Windows 10 y versiones posteriores, así como Windows Server 2019 y versiones posteriores.

Para habilitar este flujo de trabajo, vaya al cuadro de diálogo Opciones de Visual Studio (Herramientas > Opciones...), seleccione la pestaña Cuentas y, a continuación, seleccione Agente de autenticación de Windows en la lista desplegable Agregar y volver a autenticar cuentas con:.

Select web authentication broker from the dropdown.

El agente de autenticación de Windows usa el Administrador de cuentas web (WAM) y ofrece muchas ventajas, como seguridad, compatibilidad mejorada con MFA e integración sin problemas entre las cuentas agregadas al sistema operativo y Visual Studio.

Habilitación del explorador web del sistema

Nota

Para disfrutar de la mejor experiencia, se recomienda que borre los datos predeterminados del explorador web del sistema antes de continuar con este flujo de trabajo. Además, si tiene cuentas profesionales o educativas en la configuración de Windows 10 en Obtener acceso a trabajo o escuela, compruebe que se han autenticado correctamente.

Para habilitar este flujo de trabajo, vaya al cuadro de diálogo Opciones de Visual Studio (Herramientas > Opciones...), seleccione la pestaña Cuentas y elija Explorador web del sistema en la lista desplegable Agregar y volver a autenticar cuentas con:.

Select system web browser from the menu.

Inicio de sesión en cuentas adicionales con directivas de MFA

Agente de autenticación de Windows

Una vez habilitado el flujo de trabajo del agente de autenticación de Windows, puede iniciar sesión o agregar cuentas a Visual Studio como lo haría normalmente, a través del cuadro de diálogo Configuración de la cuenta (Archivo > Configuración de la cuenta…). El Administrador de cuentas web (WAM) simplifica la experiencia de inicio de sesión al permitir que los usuarios inicien sesión con cuentas conocidas para Windows, como la cuenta que inició sesión en la sesión de Windows.

Add additional accounts to Visual Studio with the Windows authentication broker workflow.

Explorador web del sistema

Una vez habilitado el flujo de trabajo del explorador web del sistema, puede iniciar sesión o agregar cuentas a Visual Studio como lo haría normalmente, a través del cuadro de diálogo Configuración de la cuenta (Archivo > Configuración de la cuenta…).

Add a new personalization account to Visual Studio.

Esta acción abrirá el explorador web predeterminado del sistema, le pedirá que inicie sesión en su cuenta y valide cualquier directiva de MFA necesaria.

Durante el proceso de inicio de sesión, es posible que reciba una solicitud adicional que le pida no cerrar la sesión. Es probable que esta solicitud se muestre la segunda vez que se use una cuenta para iniciar sesión. Para minimizar la necesidad de volver a escribir las credenciales, se recomienda que elija , ya que esto garantiza que las credenciales se mantienen entre las distintas sesiones del explorador.

Stay signed in?

En función de las actividades de desarrollo y la configuración de recursos, es posible que de todos modos se le pida que vuelva a escribir sus credenciales durante la sesión. Esto puede ocurrir cuando se agrega un recurso nuevo o se intenta acceder a un recurso sin haber cumplido previamente sus requisitos de autorización de CA o MFA.

Reautenticación de una cuenta

Si hay algún problema con su cuenta, es posible que Visual Studio le pida que vuelva a escribir sus credenciales de cuenta.

Screenshot showing account that needs reauthentication.

Al hacer clic en Vuelva a escribir las credenciales se abrirá el explorador web predeterminado del sistema e intentará actualizar las credenciales automáticamente. Si no se realiza correctamente, se le pedirá que inicie sesión en su cuenta y valide cualquier directiva de CA o MFA necesaria.

Si su cuenta está asociada a varios directorios de Azure Active Directory y surge un problema de acceso a uno o varios de ellos, en el cuadro de diálogo Vuelva a escribir sus credenciales le mostrará los directorios afectados y los códigos de error de AADSTS asociados.

Podrá anular la selección de los directorios que no quiera volver a autenticar y continuar con una operación de inicio de sesión normal con el directorio principal, así como con los inquilinos invitados que permanezcan seleccionados. No se podrá acceder a los directorios cuya selección se haya anulado hasta que se quite el filtro de cuenta.

Reauthenticate your Visual Studio account.

Nota:

Para disfrutar de la mejor experiencia, mantenga el explorador abierto hasta que se validen todas las directivas de CA o MFA para los recursos. Si cierra el explorador, se puede perder el estado de MFA creado previamente y puede solicitar mensajes de autorización adicionales.

Solución de problemas con el inicio de sesión

Problemas de CA/MFA

Si tiene problemas de CA o MFA o no puede iniciar sesión incluso cuando usa el explorador web del sistema, pruebe los pasos siguientes para resolver el problema:

  1. Cierre la sesión de la cuenta en Visual Studio.
  2. Seleccione Herramientas>Opciones>Cuentas> Desactive Autenticar en todos los directorios de Azure Active Directory.
  3. Vuelva a iniciar sesión.

Nota

Después de estos pasos, es probable que pueda iniciar sesión, pero la cuenta se colocará en un estado filtrado. Mientras se encuentra en un estado filtrado, solo estarán disponibles los recursos y el inquilino predeterminados de la cuenta. El resto de inquilinos y recursos de Microsoft Entra quedarán inaccesibles, pero puede volver a agregarlos manualmente.

Problemas de autorización previa

Screenshot of a pre-authorization error dialog.

A partir de la versión 17.5 de Visual Studio 2022, si ve el cuadro de diálogo de error anterior, pruebe los pasos siguientes para resolver el problema:

  1. Cierre la sesión de la cuenta en Visual Studio.
  2. Vuelva a iniciar sesión.
  3. Cree un vale Notificar un problema que explique la actividad que estaba realizando o el recurso al que estaba intentando acceder antes de encontrar el problema.

Nota

La creación de un vale nos ayudará a identificar áreas problemáticas y proporcionar los registros necesarios para investigar y solucionar el problema.

Problemas de inicio de sesión con nubes gubernamentales

Screenshot of a sign-in error when trying to access government clouds.

A partir de la versión 17.5 de Visual Studio 2022, si ve el cuadro de diálogo de error anterior o experimenta problemas durante las operaciones de inicio de sesión, pruebe los pasos siguientes para resolver el problema:

  1. Cierre Visual Studio.
  2. Abra el "Símbolo del sistema para desarrolladores" para la instalación específica de Visual Studio.
  3. Escriba Set DisableWAMClientIdForVS=true. Como alternativa, puede usar Setx DisableWAMClientIdForVS true para establecer una variable de usuario en el sistema. Una vez que haya configurado una variable de usuario, no tendrá que hacerlo de nuevo.
  4. Después de establecer la variable de usuario, abra Visual Studio desde el Símbolo del sistema para desarrolladores: devenv.
  5. Vuelva a iniciar sesión.

Cómo no usar un inquilino específico de Microsoft Entra en Visual Studio

Visual Studio 2019 versión 16.6, y posteriores, ofrecen la flexibilidad de filtrar inquilinos de forma individual o global, lo que permite ocultarlos de manera eficaz en Visual Studio. El filtrado elimina la necesidad de autenticarse con ese inquilino, pero también significa que no se podrá acceder a los recursos asociados.

Esta funcionalidad resulta útil cuando se tienen varios inquilinos, pero se quiere optimizar el entorno de desarrollo teniendo como destino un subconjunto específico. También puede ayudar en aquellos casos en los que no se puede validar una directiva de entidad de certificación o MFA determinada, ya que se puede filtrar el inquilino en conflicto.

Procedimiento para filtrar todos los inquilinos

Para filtrar globalmente todos los inquilinos, abra el cuadro de diálogo Configuración de la cuenta (Archivo > Configuración de la cuenta...> Opciones de cuenta) y desactive la casilla Autenticar en todas las instancias de Azure Active Directory.

Al desactivar esa opción se asegura de que solo se autenticará con el inquilino predeterminado de la cuenta. También significa que no podrá acceder a los recursos asociados a otros inquilinos en los que la cuenta podría ser un invitado.

Procedimiento para filtrar inquilinos individuales

Para filtrar inquilinos asociados a su cuenta de Visual Studio, abra el cuadro de diálogo Configuración de la cuenta (Archivo > Configuración de la cuenta...) y haga clic en Aplicar filtro.

Apply filter.

Aparecerá el cuadro de diálogo Filtro de cuenta, que le permite seleccionar qué inquilinos desea usar con su cuenta.

Select account to filter.

Después de anular la selección del inquilino para filtrar, los cuadros de diálogo Configuración de la cuenta y Filtrar la cuenta mostrarán el estado filtrado.

Screenshot showing the filtered tenant state on the Account Settings and the Filter Account dialogs

Contenido relacionado