Cómo funciona: autenticación multifactor de Microsoft Entra

La autenticación multifactor es un proceso en el que se solicita a los usuarios durante el proceso de inicio de sesión una forma adicional de identificación, como un código en su teléfono móvil o un escáner de huellas dactilares.

Si solo usa una contraseña para autentificar a un usuario, deja un vector desprotegido frente a los ataques. Si la contraseña es débil o se ha expuesto en otro lugar, un atacante podría usarla para obtener acceso. Al exigir una segunda forma de autentificación, aumenta la seguridad, porque este factor adicional no es algo que resulte fácil de obtener o duplicar para un atacante.

Imagen conceptual de las diversas formas de autenticación multifactor.

El funcionamiento de la autenticación multifactor de Microsoft Entra se basa en exigir uno o varios de los siguientes métodos de autenticación:

  • Algo que conoce, normalmente una contraseña.
  • Algo que tiene, como un dispositivo de confianza que no se puede duplicar con facilidad (por ejemplo, un teléfono o una clave de hardware).
  • Algo que forma parte de usted, información biométrica como una huella digital o una detección de rostro.

La autenticación multifactor de Microsoft Entra también puede proteger aún más el restablecimiento de contraseña. Cuando los usuarios se registran con autenticación multifactor de Microsoft Entra, también pueden registrarse para el autoservicio de restablecimiento de contraseña en un paso. Los administradores pueden elegir formas de autenticación secundaria y configurar desafíos para MFA en función de las decisiones de configuración.

No es necesario cambiar las aplicaciones y los servicios para usar la autenticación multifactor de Microsoft Entra. Los mensajes de comprobación forman parte del inicio de sesión de Microsoft Entra, que solicita y procesa automáticamente el desafío de MFA cuando es necesario.

Nota:

El idioma de la solicitud viene determinado por la configuración regional del explorador. Si usa saludos personalizados, pero no tiene uno para el idioma identificado en la configuración regional del explorador, se usará el inglés de manera predeterminada. El servidor de directivas de red (NPS) siempre usará el inglés de manera predeterminada, independientemente de los saludos personalizados. El inglés también se usa de manera predeterminada si no se puede identificar la configuración regional del explorador.

Pantalla de inicio de sesión de MFA.

Métodos de comprobación disponibles

Cuando los usuarios inician sesión en una aplicación o servicio, y reciben un mensaje de MFA, pueden elegir uno de sus formularios registrados de comprobación adicional. Los usuarios pueden acceder a Mi perfil para editar o agregar métodos de comprobación.

Con la autenticación multifactor de Microsoft Entra, se pueden usar las siguientes formas adicionales de verificación:

  • Microsoft Authenticator
  • Authenticator Lite (en Outlook)
  • Windows Hello para empresas
  • Clave de paso (FIDO2)
  • Clave de paso en Microsoft Authenticator (versión preliminar)
  • Autenticación basada en certificados (cuando se configura para la autenticación multifactor)
  • Métodos de autenticación externa (versión preliminar)
  • Pase de acceso temporal (TAP)
  • Token de hardware OATH (versión preliminar)
  • Token de software OATH
  • sms
  • Llamada de voz

Habilitación y uso de la autenticación multifactor de Microsoft Entra

Puede usar los valores predeterminados de seguridad en los inquilinos de Microsoft Entra para habilitar rápidamente la aplicación Microsoft Authenticator para todos los usuarios. Puede habilitar la autenticación multifactor de Microsoft Entra para solicitar a los usuarios y a los grupos una verificación adicional durante el inicio de sesión.

Para tener controles más pormenorizados, puede usar directivas de acceso condicional para definir los eventos o aplicaciones que requieren MFA. Estas directivas pueden permitir inicios de sesión regulares cuando el usuario se encuentra en la red corporativa o en un dispositivo registrado, pero solicitar más factores de comprobación cuando el usuario se encuentra en un dispositivo personal o en un entorno remoto.

Diagrama que muestra cómo funciona el acceso condicional para proteger el proceso de inicio de sesión.

Pasos siguientes

Para saber más sobre las licencias, consulte Características y licencias de la autenticación multifactor de Microsoft Entra.

Para obtener más información sobre los distintos métodos de autenticación y validación, vea Métodos de autenticación en Microsoft Entra ID.

Para ver la MFA en acción, habilite la autenticación multifactor de Microsoft Entra para un conjunto de usuarios de prueba en el siguiente tutorial: