Iniciar sesión en Microsoft Teams
Usuarios de Windows
Microsoft recomienda que las organizaciones usen las versiones más recientes de Windows 10 con una configuración de Hybrid Domain Join o Azure AD Join. Usar las últimas versiones garantiza que las cuentas de los usuarios estén desbloqueadas en el Administrador de cuentas web de Windows, el cual, a su vez, activará el inicio de sesión único para Teams y para otras aplicaciones de Microsoft. El inicio de sesión único ofrece una mejor experiencia de usuario (inicio de sesión silencioso) y una mejor posición de seguridad.
Microsoft Teams usa la autenticación moderna para mantener la experiencia de inicio de sesión sencilla y segura. Para ver cómo inician sesión en Teams los usuarios, consulte Iniciar sesión en Teams.
Cómo funciona la autenticación moderna
La autenticación moderna es un proceso que permite a Teams saber si un usuario ya ingresó sus credenciales (como su correo electrónico y contraseña de trabajo) en otro lugar, por lo que no es necesario volver a escribirlos para iniciar la aplicación. La experiencia variará de acuerdo con un par de factores, como si los usuarios están trabajando en Windows o en Mac. También puede variar en función de si la organización tiene habilitada la autenticación de un solo factor o la autenticación multifactor. Generalmente, la autenticación multifactor requiere comprobar las credenciales a través de un teléfono, proporcionar un código único, escribir un PIN o presentar una huella digital. Este es un resumen de cada escenario de autenticación moderna.
La autenticación moderna está disponible para cualquier organización que use Teams. Si los usuarios no pueden completar el proceso, puede haber un problema subyacente en la configuración de Azure AD de su organización. Para obtener más información, vea ¿por qué tengo problemas para iniciar sesión en Microsoft Teams?
Si los usuarios ya han iniciado sesión en Windows o en otras aplicaciones de Office con su cuenta profesional o educativa, cuando inicien Teams, se les dirigirá directamente a la aplicación. No es necesario que escriban sus credenciales.
Microsoft recomienda usar la versión 1903 o posterior de Windows 10 para disfrutar de la mejor experiencia de inicio de sesión único.
Si los usuarios no han iniciado sesión en su cuenta profesional o educativa de Microsoft en ningún otro lugar, cuando inicien Teams, se les pedirá que proporcionen la autenticación multifactor o de un solo factor (SFA o MFA). Este proceso depende de lo que su organización haya decidido que quiere que requiera el procedimiento de inicio de sesión.
Si los usuarios han iniciado sesión en un equipo unido a un dominio, al iniciar Teams, es posible que se les pida que realicen un paso de autenticación más, en función de si su organización optó por requerir MFA o si su equipo ya requiere MFA para iniciar sesión. Si su equipo ya requiere MFA para iniciar sesión, cuando abra Teams, la aplicación se iniciará automáticamente.
En equipos unidos a un dominio, cuando el SSO no es posible, Teams puede rellenar previamente la pantalla de inicio de sesión con el nombre de usuario principal (UPN). Hay casos en los que es posible que no quiera esto, especialmente si su organización usa diferentes UPN locales y en Azure Active Directory. Si ese es el caso, puede usar la siguiente clave del registro de Windows para desactivar el rellenado previo del UPN:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
SkipUpnPrefill(REG_DWORD)
0x00000001 (1)Nota
La opción para omitir o ignorar el rellenado previo para los nombres de usuario que terminan en ".local" o ".corp" está activada de forma predeterminada, por lo que no es necesario establecer una clave del registro para desactivarlos.
Iniciar sesión en otra cuenta en un equipo unido a un dominio
Es posible que los usuarios del equipo unido a un dominio no puedan iniciar sesión en Teams con otra cuenta en el mismo dominio de Active Directory.
Usuarios de MacOS
En MacOS, Teams solicitará a los usuarios que escriban su nombre de usuario y credenciales, y también podría pedir una autenticación multifactor en función de la configuración de su organización. Una vez que los usuarios escriben sus credenciales, no se les pedirá que las proporcionen nuevamente. A partir de ese momento, Teams se inicia automáticamente siempre y cuando estén trabajando en el mismo equipo.
Teams para usuarios de iOS y Android
Al iniciar sesión, los usuarios de dispositivos móviles verán una lista de todas las cuentas de Microsoft 365 que tengan la sesión actualmente iniciada o que hayan iniciado sesión anteriormente en su dispositivo. Los usuarios pueden pulsar en cualquiera de las cuentas para iniciar sesión. Hay dos escenarios para el inicio de sesión en los móviles:
Si la cuenta seleccionada está actualmente conectada a otras aplicaciones de Office 365 o Microsoft 365, entonces el usuario será llevado directamente a Teams. No es necesario que el usuario escriba sus credenciales.
Si el usuario no ha iniciado sesión en su cuenta de Microsoft 365 en ningún otro lugar, se le pedirá que proporcione una autenticación de factor único o una autenticación multifactor (SFA o MFA), dependiendo de las directivas de inicio de sesión desde un dispositivo móvil configuradas para la organización.
Nota
Para que los usuarios puedan experimentar la experiencia de inicio de sesión tal y como se describe en esta sección, sus dispositivos deben ejecutar Teams para iOS, versión 2.0.13 (compilación 2020061704) o posterior, o bien Teams para Android, versión 1416/1.0.0.2020061702 o posterior.
Usar Teams con varias cuentas
Teams para iOS y Android son compatibles con el uso de varias cuentas de trabajo o escuela, y varias cuentas personales, una junto a la otra. Las aplicaciones de escritorio de Teams son compatibles con una cuenta profesional o educativa y una sola en paralelo en diciembre de 2020, con soporte técnico para varias cuentas de trabajo o escuela en una fecha posterior.
Las siguientes imágenes muestran cómo los usuarios pueden agregar varias cuentas en aplicaciones móviles de Teams.
Restringir el inicio de sesión en Teams
Es posible que la organización quiera restringir el uso de aplicaciones aprobadas por la empresa en los dispositivos administrados, por ejemplo, para restringir la capacidad de los estudiantes o empleados de acceder a los datos de otras organizaciones e incluso utilizar aplicaciones aprobadas por la empresa para situaciones personales. Estas restricciones se pueden aplicar al establecer directivas de dispositivos que reconozcan las aplicaciones de equipo.
Cómo restringir el inicio de sesión en dispositivos móviles
Teams para iOS y Android ofrece a los administradores de TI la capacidad de enviar configuraciones de cuenta a cuentas de Microsoft 365. Esta capacidad funciona con cualquier proveedor de Administración de dispositivos móviles (MDM) que utilice el canal de Configuración de aplicaciones administradas para iOS o el canal Android Enterprise para Android.
Para los usuarios inscritos en Microsoft Intune, puede desplegar los ajustes de configuración de la cuenta utilizando Intune en el portal de Azure.
Una vez que se haya establecido la configuración de la cuenta en el proveedor de MDM, y después de que el usuario inscriba su dispositivo, en la página de inicio de sesión, Microsoft Teams para iOS y Android solo mostrarán las cuentas permitidas en la página de inicio de sesión de Microsoft Teams. El usuario puede acceder a cualquiera de las cuentas permitidas en esta página para iniciar sesión.
Establezca los siguientes parámetros de configuración en el portal de Azure Intune para los dispositivos administrados.
| Plataforma | Clave | Valor |
|---|---|---|
| iOS | IntuneMAMAllowedAccountsOnly | Habilitado: la única cuenta permitida es la cuenta de usuario administrada definida por la clave IntuneMAMUPN. Deshabilitado (o cualquier valor que no sea una coincidencia insensible a las mayúsculas y minúsculas con Habilitado): cualquier cuenta está permitida. |
| iOS | IntuneMAMUPN | UPN de la cuenta permitida para acceder a Teams. En el caso de los dispositivos inscritos en Intune, se puede utilizar el símbolo {{userprincipalname}} para representar la cuenta de usuario inscrito. |
| Android | com.microsoft.intune.mam.AllowedAccountUPNs | Sólo se permiten las cuentas de usuario administradas definidas por esta clave. Uno o más punto y coma ;]- UPN delimitados. En el caso de los dispositivos inscritos en Intune, se puede utilizar el símbolo {{userprincipalname}} para representar la cuenta de usuario inscrito. |
Una vez que se haya establecido la configuración de la cuenta, Teams restringirá la posibilidad de iniciar sesión, de modo que sólo se concederá acceso a las cuentas permitidas en los dispositivos inscritos.
Para crear una directiva de configuración de la aplicación para dispositivos iOS/iPad administrados, veaAgregar directivas de configuración de la aplicación para dispositivos iOS/iPad administrados.
Para crear una directiva de configuración de aplicaciones para dispositivos Android administrados, vea Agregar directivas de configuración de aplicaciones para dispositivos Android administrados .
Cómo restringir el inicio de sesión en dispositivos de escritorio
Las aplicaciones de Teams en Windows y macOS son compatibles con las directivas de dispositivos que restringen el inicio de sesión en su organización. Las directivas se pueden establecer mediante soluciones usuales de administración de dispositivos como MDM (administración de dispositivos móviles) o GPO (objeto de directiva de grupo).
Cuando esta directiva está configurada en un dispositivo, los usuarios solo pueden iniciar sesión con las cuentas hospedadas en un inquilino de Azure AD que se incluye en la "lista de permitidos de inquilino" definida en la directiva. La directiva se aplica a todos los inicios de sesión, entre los que se incluyen la primera cuenta y las cuentas adicionales. Si su organización abarca varios inquilinos de Azure AD, puede incluir varios Id. de inquilinos en la lista de permitidos. Es posible que los vínculos para agregar otra cuenta sigan siendo visibles en la aplicación de Teams, pero en este caso no se podrán utilizar.
Nota
- La directiva solo restringe los inicios de sesión. No restringe la capacidad de los usuarios de ser agregados como invitados en otros espacios empresariales de Azure AD o cambiar a otros espacios empresariales (donde se ha invitado a los usuarios como invitados).
- La directiva requiere Microsoft Teams para Windows versión 1.3.00.30866 o superior, y Microsoft Teams para MacOS versión 1.3.00.30882 (lanzado a mediados de noviembre de 2020).
Las directivas para los archivos de la plantilla administrativa (ADMX/ADML) de Windows están disponibles en el Centro de descargas (el nombre descriptivo de la configuración de directiva en el archivo de plantilla administrativa es "Restringir el inicio de sesión en Teams a cuentas de espacios empresariales específicos"). Además, puede establecer de forma manual las claves en el Registro de Windows:
- Nombre del valor: RestrictTeamsSignInToAccountsFromTenantList
- Tipo de valor: cadena
- Datos de valor: Id. de inquilino o lista separada por comas de Id. de inquilino
- Ruta de acceso: use uno de los siguientes
Equipo \ HKEY_CURRENT_USER \SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams equipo \ HKEY_CURRENT_USER \SOFTWARE\Policies\Microsoft\Office\16.0\Teams equipo \ HKEY_CURRENT_USER \SOFTWARE\Microsoft\Office\16.0\Teams
Ejemplo: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID o SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 1,Tenant ID 2,Tenant ID 3
Directivas para macOS Para dispositivos administrados por macOS, use .plist para implementar restricciones de inicio de sesión. El perfil de configuración es un archivo. plist que está formado por entradas identificadas por una clave (lo que denota el nombre de la preferencia), seguido de un valor, que depende de la naturaleza de la preferencia. Los valores pueden ser sencillos (como un valor numérico) o complejos, como una lista anidada de preferencias.
- Dominio: com.microsoft.teams
- Key: RestrictTeamsSignInToAccountsFromTenantList
- Tipo de datos: cadena
- Comentarios: escriba una lista separada por comas de los Id. de inquilino de Azure AD
Inicio de sesión global
La aplicación de Android de Teams ahora es compatible con el inicio de sesión global para que los trabajadores de primera línea pueden iniciar sesión sin problemas. Los empleados pueden elegir un dispositivo del grupo de dispositivos compartidos y realizar un inicio de sesión único para "hacerlo suyo" por la duración del turno. Una vez finalizado su turno, deberían ser capaces de realizar la sesión de forma global en el dispositivo. Consulte Cerrar sesión en Teams para más información. Este proceso quita toda su información personal y de la compañía del dispositivo para que pueda devolverlo al grupo de dispositivos. Para obtener esta funcionalidad, el dispositivo debe estar en modo compartido. Para obtener información sobre cómo configurar un dispositivo compartido, consulte Cómo usar un modo de dispositivo compartido en Android.
La experiencia de inicio de sesión es similar a nuestra experiencia de inicio de sesión estándar de Teams.
Intervalos de direcciones IP y URL
Teams requiere conexión a internet. Para obtener más información sobre los puntos de conexión que deben ser accesibles para los clientes que usan Teams en los planes de Office 365, así como en la nube de la administración pública y otras nubes, consulte Intervalos de direcciones IP y URL de Office 365.