Autenticación multifactor de inquilinos externos
Se aplica a: inquilinos de personal inquilinos externos (más información)
La autenticación multifactor (MFA) agrega una capa de seguridad a tus aplicaciones al requerir que los usuarios proporcionen un segundo método para comprobar su identidad durante el registro o el inicio de sesión. Los inquilinos externos admiten dos métodos para la autenticación como segundo factor:
- Código de acceso de un solo uso de correo electrónico
- Autenticación basada en SMS, disponible como complemento (vea los detalles).
La aplicación de MFA mejora la seguridad de la organización al agregar una capa adicional de comprobación, lo que dificulta que los usuarios no autorizados obtengan acceso.
Creación de una directiva de MFA
En un inquilino externo, puedes usar el acceso condicional de Microsoft Entra para crear una normativa que solicite MFA a los usuarios cuando se registren o inicien sesión en tu aplicación. Esta directiva se crea en el centro de administración Microsoft Entra, en el acceso condicional de la sección Protección. Puedes especificar a qué usuarios y grupos se aplica la directiva, incluyendo todos los usuarios y excluyendo cualquier cuenta de acceso de emergencia.
En la directiva, definirás las aplicaciones que requieren MFA. Puedes aplicar la directiva a todas las aplicaciones en la nube o seleccionar aplicaciones específicas, excluyendo cualquier aplicación que no requiera MFA. A continuación, configura la directiva para que conceda acceso solo si los usuarios completan el requisito de MFA.
Para obtener más información, consulta cómo crear una directiva de acceso condicional en un inquilino externo.
Habilitación de métodos MFA
Al seleccionar las opciones del proveedor de identidades en los flujos de usuario, se definen los métodos de autenticación en primer factor para el registro y el inicio de sesión. Los métodos de verificación en segundo lugar para MFA se configuran en una sección independiente del Centro administración de Microsoft Entra, en Métodos de autenticación en la sección Protección.
Dependiendo de la opción que elijas como primer factor, hay disponibles diferentes métodos de verificación en el segundo factor para la autenticación multifactor (MFA).
- Correo electrónico con contraseña y proveedores de identidades sociales: para cualquiera de estos métodos de primer factor, puedes habilitar el código de acceso de un solo uso por correo electrónico, SMS o ambos como métodos de verificación en segundo factor para MFA.
- Código de acceso de un solo uso por correo electrónico: cuando se selecciona el correo electrónico con código de acceso de un solo uso como método de autenticación de primer factor, no se puede usar para la verificación en segundo factor. Por lo tanto, solo se puede habilitar la comprobación basada en SMS para MFA.
Para obtener más información, consulta cómo habilitar métodos MFA en un inquilino externo.
Código de acceso de un solo uso de correo electrónico
La autenticación de código de acceso de un solo uso de correo electrónico está disponible en un inquilino externo como método de verificación en primer y segundo factor. Para permitir el uso de códigos de acceso de un solo uso de correo electrónico para MFA, el método de autenticación de tu cuenta local debe estar configurado como Correo electrónico con contraseña. Si eliges Correo electrónico con código de acceso de un solo uso, los clientes que usen este método para el inicio de sesión principal no podrán usarlo para la verificación secundaria MFA.
Cuando el código de acceso de un solo uso de correo electrónico está habilitado para MFA, el usuario inicia sesión con su método de inicio de sesión principal y se le notifica que se enviará un código a la dirección de correo electrónico del usuario. El usuario elige enviar el código, recupera el código de acceso de su bandeja de entrada de correo electrónico y lo escribe en la ventana de inicio de sesión. El usuario debe completar este proceso de comprobación en un plazo de 10 minutos.
Autenticación basada en SMS
SMS está disponible a un coste adicional para la verificación en segundo factor en inquilinos externos. Actualmente, SMS no están disponible para la autenticación en primer factor ni para el autoservicio de restablecimiento de contraseña en inquilinos externos.
Cuando se habilita SMS para MFA, los usuarios inician sesión con su método principal y se les pide que comprueben su identidad con un código enviado a través del texto. Escriben su número de teléfono y reciben un SMS con el código de verificación.
El identificador externo mitiga los registros fraudulentos y los inicios de sesión mediante SMS al aplicar las siguientes medidas:
- Los límites de limitación de telefonía ayudan a evitar interrupciones y ralentizaciones. Consulta Límites y restricciones del servicio.
- CAPTCHA para SMS MFA ayuda a evitar ataques automatizados al distinguir a los usuarios humanos de los bots automatizados. Si se detecta un usuario de riesgo, se impide que el usuario inicie sesión o pida al usuario que complete un CAPTCHA antes de enviar un código de verificación por SMS.
Planes de tarifa de SMS por país o región
En la tabla siguiente se proporcionan detalles sobre los distintos planes de tarifa para los servicios de autenticación basados en SMS en varios países o regiones. Para obtener información sobre los precios, consulta Precios de Id. externa de Microsoft Entra.
SMS es una característica de complemento y requiere una suscripción vinculada. Si la suscripción expira o se cancela, los usuarios finales ya no podrán autenticarse mediante SMS, lo que podría impedir que inicien sesión en función de la directiva de MFA.
Nivel | Países o regiones |
---|---|
Autenticación telefónica de bajo coste | Australia, Brasil, Brunéi, Canadá, Chile, China, Colombia, Chipre, Macedonia del Norte, Polonia, Portugal, Corea del Sur, Tailandia, Turquía, Estados Unidos |
Autenticación telefónica de bajo coste medio | Groenlandia, Albania, Samoa Americana, Austria, Bahamas, Bahrein, Bosnia y Herzegovina, Botsuana, Costa Rica, República Checa, Dinamarca, Estonia, Islas Feroe, Finlandia, Francia, Grecia, Hong Kong, Hungría, Irlanda, Islandia, Italia, Japón, Letonia, Lituania, Luxemburgo, Macao, Malta, México, Micronesia, Moldavia, Namibia, Nueva Zelanda, Nicaragua, Noruega, Rumanía, Santo Tomé y Príncipe, República de Seychelles, Singapur, Eslovaquia, Islas Salomón, España, Suecia, Suiza, Taiwán, Reino Unido, Islas Vírgenes de los Estados Unidos, Uruguay |
Autenticación telefónica de coste medio-alto | Andorra, Angola, Anguila, Antártida, Antigua y Barbuda, Argentina, Armenia, Aruba, Ascensión, Barbados, Bélgica, Benin, Bolivia, Islas Vírgenes Británicas, Bulgaria, Burkina Faso, Camerún, Islas Caimán, República Centroafricana, Islas Cook, Croacia, Diego García, Yibuti, República Dominicana, República Dominicana, República Dominicana, Timor Oriental, Ecuador, El Salvador, Eritrea, Islas Malvinas, Fiji, Guayana Francesa, Polinesia Francesa, Gambia, Georgia, Alemania, Gibraltar, Granada, Guadalupe, Guam, Guinea, Guyana, Honduras, India, Costa de Marfil, Kenia, Kiribati, Laos, Liberia, Malasia, Islas Marshall, Martinica, Mauricio, Mónaco, Montenegro, Montserrat, Países Bajos, Antillas Neerlandesas, Nueva Caledonia, Niue, Omán, Palaos, Panamá, Paraguay, Perú, Puerto Rico, Reunión, Ruanda, Santa Elena, San Cristóbal y Nieves, Santa Lucía, San Pedro y Miquelón, San Vicente y las Granadinas, Saipán, Samoa, San Marino, Arabia Saudí, San Martín, Eslovenia, Sudáfrica, Sudán del Sur, Surinam, Suazilandia (el nuevo nombre es Reino de Eswatini), Tokelau, Tonga, Turcas y Caicos, Tuvalu, Emiratos Árabes Unidos, Vanuatu, Venezuela, Vietnam, Wallis y Futuna |
Autenticación telefónica de alto coste | Liechtenstein, Bermudas, Camboya, Cabo Verde, República Democrática del Congo, Dominica, Egipto, Guinea Ecuatorial, Ghana, Guatemala, Guinea-Bissau, Israel, Jamaica, Kosovo, Lesoto, Maldivas, Malí, Marruecos, Mauritania, Mozambique, Papúa Nueva Guinea, Filipinas, Qatar, Sierra Leona, Trinidad y Tobago, Ucrania, Zimbabue, Afganistán, Argelia, Azerbaiyán, Bangladesh, Bielorrusia, Belice, Bhután, Burundi, Chad, Comoras, Congo, Etiopía, República Gabonesa, Haití, Indonesia, Iraq, Jordania, Kuwait, Kirguistán, Líbano, Libia, Madagascar, Malawi, Mongolia, Myanmar, Nauru, Nepal, Níger, Nigeria, Pakistán, Autoridad Nacional Palestina, Rusia, Senegal, Serbia, Somalia, Sri Lanka, Sudán, Tayikistán, Tanzania, República Togolesa, Túnez, Turkmenistán, Uganda, Uzbekistán, Yemen, Zambia |