Funcionamiento: Azure AD Multi-Factor AuthenticationHow it works: Azure AD Multi-Factor Authentication

La autenticación multifactor es un procedimiento en el que durante el proceso de inicio de sesión se solicita a un usuario una forma adicional de identificación, como especificar un código en su teléfono móvil o escanear su huella digital.Multi-factor authentication is a process where a user is prompted during the sign-in process for an additional form of identification, such as to enter a code on their cellphone or to provide a fingerprint scan.

Si solo usa una contraseña para autenticar a un usuario, deja un vector desprotegido frente a los ataques.If you only use a password to authenticate a user, it leaves an insecure vector for attack. Si la contraseña es débil o se ha expuesto en otro lugar, ¿cómo saber si es el usuario quien inicia sesión realmente con el nombre de usuario y la contraseña y no un atacante?If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password, or is it an attacker? Al exigir una segunda forma de autenticación, aumenta la seguridad, ya que este factor adicional no es algo que resulte fácil de obtener o duplicar para un atacante.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Imagen conceptual de las distintas formas de autenticación multifactor

El funcionamiento de Azure AD Multi-Factor Authentication se basa en exigir uno o varios de los siguientes métodos de autenticación:Azure AD Multi-Factor Authentication works by requiring two or more of the following authentication methods:

  • Algo que conoce, normalmente una contraseña.Something you know, typically a password.
  • Algo que tiene, como un dispositivo de confianza que no se puede duplicar con facilidad (por ejemplo, un teléfono o una clave de hardware).Something you have, such as a trusted device that is not easily duplicated, like a phone or hardware key.
  • Algo que forma parte de usted, información biométrica como una huella digital o una detección de rostro.Something you are - biometrics like a fingerprint or face scan.

Los usuarios pueden registrarse para el autoservicio de restablecimiento de contraseña y Azure AD Multi-Factor Authentication en un solo paso a fin de simplificar la experiencia de incorporación.Users can register themselves for both self-service password reset and Azure AD Multi-Factor Authentication in one step to simplify the on-boarding experience. Los administradores pueden definir qué formas de autenticación secundaria se pueden usar.Administrators can define what forms of secondary authentication can be used. También se puede exigir Azure AD Multi-Factor Authentication cuando los usuarios realizan un autoservicio de restablecimiento de contraseña para proteger mejor ese proceso.Azure AD Multi-Factor Authentication can also be required when users perform a self-service password reset to further secure that process.

Métodos de autenticación en uso en la pantalla de inicio de sesión

Multi-Factor Authentication de Azure AD ayuda a proteger el acceso a los datos y las aplicaciones, al mismo tiempo que mantiene la simplicidad para los usuarios.Azure AD Multi-Factor Authentication helps safeguard access to data and applications while maintaining simplicity for users. Proporciona más seguridad, ya que requiere una segunda forma de autenticación y ofrece autenticación segura a través de una gama de método de autenticación fáciles de usar.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Puede que los usuarios se vean desafiados por la MFA en función de las decisiones de configuración que tome un administrador.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

No es necesario que sus aplicaciones o servicios realicen ningún cambio para usar Multi-Factor Authentication de Azure AD.Your applications or services don't need to make any changes to use Azure AD Multi-Factor Authentication. Los mensajes de comprobación forman parte del evento de inicio de sesión de Azure AD, que solicita y procesa automáticamente el desafío de MFA cuando es necesario.The verification prompts are part of the Azure AD sign-in event, which automatically requests and processes the MFA challenge when required.

Métodos de comprobación disponiblesAvailable verification methods

Cuando un usuario inicia sesión en una aplicación o servicio, y recibe un mensaje de Multi-Factor Authentication, puede elegir uno de sus formularios registrados de comprobación adicional.When a user signs in to an application or service and receive an MFA prompt, they can choose from one of their registered forms of additional verification. Un administrador podría requerir el registro de estos métodos de verificación de Multi-Factor Authentication de Azure AD, o bien el usuario puede acceder a su propia instancia de Mi perfil para editar o agregar métodos de verificación.An administrator could require registration of these Azure AD Multi-Factor Authentication verification methods, or the user can access their own My Profile to edit or add verification methods.

Con Multi-Factor Authentication de Azure AD, se pueden usar las siguientes formas adicionales de verificación:The following additional forms of verification can be used with Azure AD Multi-Factor Authentication:

  • Aplicación Microsoft AuthenticatorMicrosoft Authenticator app
  • Token de hardware OATHOATH Hardware token
  • smsSMS
  • Llamada de vozVoice call

Habilitación y uso de Multi-Factor Authentication de Azure ADHow to enable and use Azure AD Multi-Factor Authentication

Se puede habilitar Multi-Factor Authentication de Azure AD en los usuarios y grupos, de forma que se les solicite una verificación adicional durante el evento de inicio de sesión.Users and groups can be enabled for Azure AD Multi-Factor Authentication to prompt for additional verification during the sign-in event. Los valores predeterminados de seguridad están disponibles para todos los Azure AD inquilinos para habilitar rápidamente el uso de la aplicación Microsoft Authenticator para todos los usuarios.Security defaults are available for all Azure AD tenants to quickly enable the use of the Microsoft Authenticator app for all users.

Para tener controles más pormenorizados, se pueden usar directivas de acceso condicional para definir los eventos o aplicaciones que requieren MFA.For more granular controls, Conditional Access policies can be used to define events or applications that require MFA. Estas directivas pueden permitir eventos de inicio de sesión regulares cuando el usuario se encuentra en la red corporativa o en un dispositivo registrado, pero solicitar más factores de comprobación cuando se encuentra en un dispositivo personal o en un entorno remoto.These policies can allow regular sign-in events when the user is on the corporate network or a registered device, but prompt for additional verification factors when remote or on a personal device.

Diagrama general sobre el funcionamiento del acceso condicional para proteger el proceso de inicio de sesión

Pasos siguientesNext steps

Para información sobre las licencias, consulte Características y licencias de Multi-Factor Authentication de Azure AD.To learn about licensing, see Features and licenses for Azure AD Multi-Factor Authentication.

Para ver MFA en acción, habilite Multi-Factor Authentication de Azure AD en un conjunto de usuarios de prueba en el siguiente tutorial:To see MFA in action, enable Azure AD Multi-Factor Authentication for a set of test users in the following tutorial: