¿Qué métodos de autenticación y comprobación están disponibles en Microsoft Entra ID?

Microsoft recomienda los métodos de autenticación sin contraseña, como Windows Hello, claves de paso (FIDO2) y la aplicación Microsoft Authenticator, ya que son los proporcionan un inicio de sesión más seguro. Aunque los usuarios pueden iniciar sesión con otros métodos comunes, como un nombre de usuario y una contraseña, las contraseñas deben reemplazarse por métodos de autenticación más seguros.

Ilustración de puntos fuertes y métodos de autenticación preferidos en Microsoft Entra ID.

La autenticación multifactor de Microsoft Entra agrega seguridad adicional con respecto al uso exclusivo de una contraseña cuando un usuario inicia sesión. Se pueden solicitar al usuario formas adicionales de autenticación, como responder a una notificación push, especificar un código de un token de software o hardware, o responder a un SMS o a una llamada de teléfono.

Para simplificar la experiencia de incorporación de los usuarios y registrarse tanto para MFA como para el autoservicio de restablecimiento de contraseña (SSPR), se recomienda habilitar el registro de información de seguridad combinada. Para mejorar la resistencia, se recomienda exigir a los usuarios que registren varios métodos de autenticación. Así, si un usuario no tiene disponible un método durante el inicio de sesión o el autoservicio de restablecimiento de contraseña, puede elegir autenticarse con otro método. Para obtener más información, vea Crear una estrategia de administración de control de acceso resistente en Microsoft Entra ID.

Funcionamiento de cada método de autenticación

Algunos métodos de autenticación se pueden usar como factor principal al iniciar sesión en una aplicación o un dispositivo, como el uso de una clave de seguridad FIDO2 o una contraseña. Otros métodos de autenticación solo están disponibles como factor secundario cuando usa la autenticación multifactor de Microsoft Entra o SSPR.

En la tabla siguiente se describe cuándo se puede usar un método de autenticación en un evento de inicio de sesión:

Método Autenticación principal Autenticación secundaria
Windows Hello para empresas MFA*
Inserción de Microsoft Authenticator No MFA y SSPR
Microsoft Authenticator sin contraseña No*
Clave de paso de Microsoft Authenticator (versión preliminar) MFA
Authenticator Lite No MFA
Clave de paso (FIDO2) MFA
Autenticación basada en certificados MFA
Tokens de hardware OATH (versión preliminar) No MFA y SSPR
Tokens de software OATH No MFA y SSPR
Métodos de autenticación externos (versión preliminar) No MFA
Pase de acceso temporal (TAP) MFA
SMS MFA y SSPR
Llamada de voz No MFA y SSPR
Contraseña No

* Windows Hello para empresas, por sí mismo, no sirve como una credencial de MFA de actualización a edición superior. Por ejemplo, un desafío de MFA de la frecuencia de inicio de sesión o una solicitud SAML que contiene forceAuthn=true. Windows Hello para empresas puede servir como credencial de MFA de actualización a edición superior mediante la autenticación FIDO2. Para ello, es necesario que los usuarios estén registrados para que la autenticación FIDO2 funcione correctamente.

* El inicio de sesión sin contraseña solo se puede usar para la autenticación secundaria si se usa la autenticación basada en certificados (CBA) para la autenticación principal. Para más información, consulte Análisis técnico de la autenticación basada en certificados de Microsoft Entra.

Todos estos métodos de autenticación se pueden configurar en el Centro de administración de Microsoft Entra y, cada vez más, con la API de REST de Microsoft Graph.

Para obtener más información sobre cómo funciona cada método de autenticación, consulte los siguientes artículos conceptuales independientes:

Nota:

EnMicrosoft Entra ID, la contraseña suele ser uno de los métodos de autenticación principales. El método de autenticación de contraseña no se puede deshabilitar. Si usa una contraseña como factor de autenticación principal, aumente la seguridad de los eventos de inicio de sesión mediante la autenticación multifactor de Microsoft Entra.

En algunos escenarios se pueden usar los siguientes métodos de verificación adicional:

Métodos utilizables y no utilizables

Los administradores pueden ver los métodos de autenticación de usuario en el Centro de administración de Microsoft Entra. Los métodos utilizables se enumeran primero, seguidos de métodos no utilizables.

Cada método de autenticación puede dejar de usarse por diferentes motivos. Por ejemplo, un pase de acceso temporal puede expirar o la clave de seguridad FIDO2 puede producir un error en la atestación. El portal se actualizará para proporcionar el motivo por el que el método no se puede usar.

Aquí también se muestran los métodos de autenticación que ya no están disponibles debido a que se requiere volver a registrar la autenticación multifactor.

Captura de pantalla de métodos de autenticación no utilizables.

Pasos siguientes

Para comenzar, vea el tutorial para el restablecimiento de contraseñas de autoservicio (SSPR) y autenticación multifactor de Microsoft Entra.

Para obtener más información sobre los conceptos de SSPR, vea Cómo funciona el restablecimiento de contraseñas de autoservicio de Microsoft Entra.

Para obtener más información sobre los conceptos de MFA, vea Cómo funciona la autenticación multifactor de Microsoft Entra.

Más información sobre la configuración de métodos de autenticación con la API REST de Microsoft Graph.

Para revisar qué métodos de autenticación están en uso, vea Análisis de métodos de autenticación de multi-factor Authentication de Microsoft Entra con PowerShel.