Métodos de autenticación en Microsoft Entra ID: aplicación de autenticación de Microsoft

Microsoft Authenticator proporciona otro nivel de seguridad a su cuenta profesional o educativa de Microsoft Entra o a su cuenta Microsoft. Está disponible para Android e iOS. Con la aplicación Microsoft Authenticator, los usuarios pueden autenticarse de forma sin contraseña durante el inicio de sesión. También pueden usarlo como opción de verificación durante el autoservicio de restablecimiento de contraseña (SSPR) o eventos de autenticación multifactor (MFA).

Microsoft Authenticator admite la clave de acceso, el inicio de sesión sin contraseña y MFA mediante notificaciones y códigos de verificación.

  • Los usuarios pueden iniciar sesión con una clave de acceso en la aplicación Authenticator y completar la autenticación resistente a la suplantación de identidad con su PIN de dispositivo o inicio de sesión biométrico.
  • Los usuarios pueden configurar notificaciones de Authenticator e iniciar sesión con Authenticator en lugar de su nombre de usuario y contraseña.
  • Los usuarios pueden recibir una solicitud de MFA en su dispositivo móvil y aprobar o denegar el intento de inicio de sesión desde su teléfono.
  • También pueden usar un código de verificación OATH en la aplicación Authenticator y escribirlo en una interfaz de inicio de sesión.

Para obtener más información, consulte Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator.

Nota:

Los usuarios no tienen la opción de registrar su aplicación móvil cuando habilitan el autoservicio de restablecimiento de contraseña. En su lugar, los usuarios pueden registrar su aplicación móvil en https://aka.ms/mfasetup o como parte del registro de información de seguridad combinado en https://aka.ms/setupsecurityinfo. Es posible que la aplicación Authenticator no se admita en versiones beta de iOS y Android. Además, a partir del 20 de octubre de 2023, la aplicación Authenticator en Android ya no admite versiones anteriores de Portal de empresa para Android. Los usuarios de Android con versiones del Portal de empresa inferiores a 2111 (5.0.5333.0) no pueden volver a registrar ni registrar nuevas instancias de Authenticator hasta que actualicen su aplicación portal de empresa a una versión más reciente.

Inicio de sesión con contraseña (versión preliminar)

Authenticator es una solución de clave de acceso gratuita que permite a los usuarios realizar autenticaciones resistentes a suplantación de identidad sin contraseña desde sus propios teléfonos. Algunas ventajas clave de usar claves de acceso en la aplicación Authenticator:

  • Las claves de paso se pueden implementar fácilmente a gran escala. Las claves de acceso están disponibles en el teléfono de un usuario para escenarios de administración de dispositivos móviles (MDM) y traiga su propio dispositivo (BYOD).
  • Las claves de paso en Authenticator no tienen más costo y viajan con el usuario dondequiera que vayan.
  • Las claves de paso en Authenticator están enlazadas al dispositivo, lo que garantiza que la clave de acceso no deje el dispositivo en el que se creó.
  • Los usuarios se mantienen al día con la última innovación de clave de paso en función de los estándares abiertos de WebAuthn.
  • Las empresas pueden superponer otras funcionalidades sobre los flujos de autenticación, como el cumplimiento de los estándares federales de procesamiento de información (FIPS) 140.

Clave de acceso enlazada al dispositivo

Las claves de acceso de la aplicación Authenticator están enlazadas al dispositivo para asegurarse de que nunca dejan el dispositivo en el que se crearon. En un dispositivo iOS, Authenticator usa Secure Enclave para crear la clave de acceso. En Android, creamos la clave de acceso en el Secure Element en los dispositivos que lo admiten o se revierte al entorno de ejecución de confianza (TEE).

Funcionamiento de la atestación de clave de acceso con Authenticator

Cuando la atestación está habilitada en la directiva Passkey (FIDO2), Microsoft Entra ID intenta comprobar la legitimidad del modelo de clave de seguridad o el proveedor de claves de acceso donde se crea la clave de acceso. Cuando un usuario registra una clave de acceso en Authenticator, la atestación comprueba que la aplicación legítima de Microsoft Authenticator creó la clave de acceso mediante los servicios de Apple y Google. Estos son los detalles sobre cómo funciona la atestación para cada plataforma:

  • iOS: la atestación de authenticator usa el servicio de atestación de aplicaciones de iOS para garantizar la legitimidad de la aplicación Authenticator antes de registrar la clave de acceso.

  • Android:

    • Para la atestación de integridad de la reproducción, la atestación authenticator usa play Integrity API para garantizar la legitimidad de la aplicación Authenticator antes de registrar la clave de acceso.
    • Para la atestación de claves, la atestación de Authenticator usa la atestación de claves por Android para comprobar que la clave de acceso registrada está respaldada por hardware.

Nota:

Para iOS y Android, la atestación authenticator se basa en los servicios de Apple y Google para comprobar la autenticidad de la aplicación Authenticator. El uso intensivo del servicio puede hacer que se produzca un error en el registro de la clave de acceso y es posible que los usuarios necesiten volver a intentarlo. Si los servicios de Apple y Google están inactivos, la atestación authenticator bloquea el registro que requiere atestación hasta que se restauren los servicios. Para supervisar el estado del servicio de integridad de Google Play, consulta El panel de estado de Google Play. Para supervisar el estado del servicio de atestación de aplicaciones de iOS, consulte Estado del sistema.

Para obtener más información sobre cómo configurar la atestación, consulte Habilitación de claves de acceso en Microsoft Authenticator para el identificador de Entra de Microsoft.

Inicio de sesión sin contraseña mediante notificaciones

En lugar de ver una solicitud de contraseña después de escribir un nombre de usuario, los usuarios que han habilitado el inicio de sesión en el teléfono desde la aplicación Authenticator ven un mensaje para indicar un número en su aplicación. Una vez seleccionado el número correcto, se completa el proceso de inicio de sesión.

Ejemplo de un inicio de sesión de explorador que solicita al usuario que apruebe el inicio de sesión.

Este método de autenticación proporciona un alto nivel de seguridad y elimina la necesidad de que el usuario proporcione una contraseña en el inicio de sesión.

Para empezar a usar el inicio de sesión sin contraseña, consulte Habilitar el inicio de sesión sin contraseña en Azure AD con Microsoft Authenticator.

MFA a través de notificaciones a través de la aplicación móvil

La aplicación Authenticator puede ayudar a impedir el acceso no autorizado a las cuentas y detener las transacciones fraudulentas mediante el envío de una notificación al smartphone o a la tableta. Los usuarios ven la notificación y, si es legítima, seleccionan Comprobar. De lo contrario, pueden seleccionar Denegar.

Nota:

A partir de agosto de 2023, los inicios de sesión anómalos no generan notificaciones, de forma similar a cómo los inicios de sesión desde ubicaciones desconocidas no generan notificaciones. Para aprobar un inicio de sesión anómalo, los usuarios pueden abrir Microsoft Authenticator o Authenticator Lite en una aplicación complementaria relevante como Outlook. A continuación, pueden deslizar hacia abajo para actualizar o pulsar Actualizar y aprobar la solicitud.

Captura de pantalla del aviso de ejemplo en el explorador web para la notificación de la aplicación Authenticator para completar el proceso de inicio de sesión.

En China, el método de Notificación a través de la aplicación móvil en dispositivos Android no funciona porque los servicios de Google Play (incluidas las notificaciones push) están bloqueados en la región. Sin embargo, las notificaciones de iOS sí funcionan. Para los dispositivos Android, deben ponerse a disposición de esos usuarios métodos de autenticación alternativos.

Código de verificación desde aplicación móvil

La aplicación Authenticator puede utilizarse como un token de software para generar un código de verificación de OATH. Después de escribir el nombre de usuario y la contraseña, especifique el código que facilita la aplicación Authenticator en la interfaz de inicio de sesión. El código de verificación es una forma adicional de autenticación.

Nota

Los códigos de verificación OATH generados por Authenticator no se admiten para la autenticación basada en certificados.

Los usuarios pueden tener una combinación de hasta cinco tokens de hardware OATH o aplicaciones de autenticación, como la aplicación Authenticator, configurada para utilizarse en cualquier momento.

Compatible con FIPS 140 para la autenticación Microsoft Entra

De acuerdo con las directrices descritas en la publicación especial de NIST 800-63B, los autenticadores usados por las agencias gubernamentales de ESTADOS Unidos deben usar criptografía validada fiPS 140. Esta guía ayuda a las agencias gubernamentales de Estados Unidos a cumplir los requisitos de la Orden Ejecutiva (EO) 14028. Además, esta guía ayuda a otras industrias reguladas, como las organizaciones sanitarias que trabajan con recetas electrónicas para sustancias controladas (EPCS) a cumplir sus requisitos normativos.

FIPS 140 es un estándar del gobierno de EE. UU. que define los requisitos mínimos de seguridad para los módulos criptográficos en sistemas y productos de tecnologías de la información. El Programa de validación de módulos criptográficos (CMVP) mantiene las pruebas con el estándar FIPS 140.

Microsoft Authenticator para iOS

A partir de la versión 6.6.8, Microsoft Authenticator para iOS usa el módulo nativo Apple CoreCrypto para la criptografía validada por FIPS en dispositivos compatibles con FIPS 140 de iOS de Apple. Todas las autenticaciones de Microsoft Entra mediante claves de acceso enlazadas a dispositivos resistentes a suplantación de identidad, autenticaciones multifactor (MFA) de inserción, Inicio de sesión con teléfono sin contraseña (PSI) y códigos de acceso de un solo uso (TOTP) basados en tiempo usan la criptografía FIPS.

Para obtener más información sobre los módulos criptográficos validados FIPS 140 que se usan y los dispositivos iOS compatibles, consulte certificaciones de seguridad de iOS de Apple.

Microsoft Authenticator para Android

A partir de la versión 6.2409.6094 en Microsoft Authenticator para Android, todas las autenticaciones de Microsoft Entra ID, incluidas las claves de acceso, se consideran compatibles con FIPS. Authenticator usa el módulo criptográfico wolfSSL Inc.para lograr el cumplimiento de FIPS 140, nivel de seguridad 1 en dispositivos Android. Para obtener más información sobre la certificación, consulte Programa de validación de módulos criptográficos.

Determinar el tipo de registro de Microsoft Authenticator en Información de seguridad

Los usuarios pueden acceder a la información de seguridad (consulte las direcciones URL de la sección siguiente) o seleccionando Información de seguridad de MyAccount para administrar y agregar más registros de Microsoft Authenticator. Los iconos específicos se usan para diferenciar si el registro de Microsoft Authenticator tiene habilitado el inicio de sesión telefónico sin contraseña o MFA.

Tipo de registro de Authenticator Icono
Microsoft Authenticator: inicio de sesión en el teléfono sin contraseña Microsoft Authenticator es compatible con el inicio de sesión sin contraseña
Microsoft Authenticator (código de notificación) Microsoft Authenticator compatible con MFA
Nube Dirección URL de información de seguridad
Comercial de Azure (incluye Government Community Cloud (GCC)) https://aka.ms/MySecurityInfo
Azure para la Administración Pública de EE. UU. (incluye GCC High y DoD) https://aka.ms/MySecurityInfo-us

Actualizaciones de Authenticator

Microsoft actualiza continuamente Authenticator para mantener un alto nivel de seguridad. Para asegurarse de que los usuarios obtengan la mejor experiencia posible, se recomienda que actualicen continuamente su aplicación Authenticator. En el caso de actualizaciones de seguridad críticas, es posible que las versiones de la aplicación que no estén actualizadas no funcionen y puedan impedir que los usuarios completen su autenticación. Si un usuario usa una versión de la aplicación que no se admite, se le pedirá que actualice a la versión más reciente antes de continuar con el inicio de sesión.

Microsoft también retira periódicamente las versiones anteriores de la aplicación Authenticator para mantener una barra de seguridad alta para su organización. Si el dispositivo de un usuario no admite versiones modernas de Microsoft Authenticator, no podrá iniciar sesión con la aplicación. Se recomienda que estos usuarios inicien sesión con un código de verificación OATH en Microsoft Authenticator para completar MFA.

Pasos siguientes