Introducción al registro de información de seguridad combinada para Microsoft Entra

Antes del registro combinado, los usuarios se registraban a los métodos de autenticación para la autenticación multifactor de Microsoft Entra y el autoservicio de restablecimiento de contraseña (SSPR) por separado. La gente estaba confundida por el hecho de que se usaban métodos parecidos para la autenticación multifactor y SSPR pero, aún así, se tenían que registrar en las dos características. Ahora, con el registro combinado, los usuarios pueden registrarse una vez y obtener las ventajas de la autenticación multifactor y SSPR. Se recomienda este vídeo sobre Cómo habilitar y configurar SSPR en Microsoft Entra ID.

Mi cuenta con información de seguridad registrada de un usuario

Antes de habilitar la nueva experiencia, revise esta documentación centrada en el administrador y la documentación centrada en el usuario para asegurarse de que entiende las funciones y los efectos de esta característica. Respalde su entrenamiento en documentación del usuario con el fin de preparar a sus usuarios para la nueva experiencia y ayudar a garantizar un lanzamiento satisfactorio.

Las páginas Mi cuenta están traducidas en función de la configuración de idioma del equipo que accede a la página. Microsoft almacena el idioma usado más recientemente en la memoria caché del explorador, por lo que los posteriores intentos de acceder a las páginas se representarán en el último idioma utilizado. Si se borra la memoria caché, las páginas se vuelven a representar.

Si quiere forzar un idioma específico, puede agregar ?lng=<language> al final de la dirección URL, donde <language> es el código del idioma que quiere representar.

Configuración de SSPR u otros métodos de comprobación de seguridad

Métodos disponibles en el registro combinado

El registro combinado admite los métodos y acciones de autenticación de la tabla siguiente.

Método Register Change Eliminar
Microsoft Authenticator Sí (máximo de 5) No
Aplicación autenticadora distinta Sí (máximo de 5) No
Token de hardware No No
Teléfono Sí (máximo de 2)
Teléfono alternativo
Teléfono del trabajo*
Email
Preguntas de seguridad No
Contraseñas No No
Contraseñas de aplicación* No
Clave de paso (FIDO2)* Sí (máximo de 10) No

Nota

Si habilita Microsoft Authenticator para el modo de autenticación sin contraseña en la directiva Métodos de autenticación, los usuarios también deben habilitar el inicio de sesión sin contraseña en la aplicación Authenticator.

El teléfono alternativo solo se puede registrar en el modo de administración en Información de seguridad y requiere que las llamadas de voz estén habilitadas en la directiva de métodos de autenticación.

El teléfono de la oficina solo se puede registrar en modo de interrupción si se ha establecido la propiedad teléfono del trabajo de los usuarios. El teléfono de la oficina puede ser añadido por los usuarios en Modo de administración desde Información de seguridad sin este requisito.

Las contraseñas de aplicación solo están disponibles para los usuarios a los que se les ha pedido la autenticación multifactor por usuario. Las contraseñas de aplicación no están disponibles para los usuarios que están habilitados para la autenticación multifactor de Microsoft Entra mediante una directiva de acceso condicional.

Las claves de paso (FIDO2) también se pueden aprovisionar mediante un cliente personalizado o la integración de asociados con Microsoft Graph. Para más información, consulta nuestras API.

Como método de autenticación multifactor predeterminado, los usuarios pueden establecer una de las opciones siguientes.

  • Microsoft Authenticator: notificación push o sin contraseña
  • Aplicación Authenticator o token de hardware: código
  • llamada de teléfono
  • mensaje de texto

Nota:

Los números de teléfono virtuales no se admiten en las llamadas de voz ni en los mensajes de texto.

Las aplicaciones de autenticadores de terceros no proporcionan notificaciones de inserción. A medida que agreguemos más métodos de autenticación a Microsoft Entra ID, estos estarán disponibles en el registro combinado.

Modo de registro combinado

Existen dos modalidades de registro combinado:

  • Modo de interrupción es una experiencia de asistente, que se presenta a los usuarios cuando se registran o actualizan su información de seguridad en el inicio de sesión.
  • Modo de administración forma parte del perfil de usuario y permite administrar la información de seguridad a los usuarios.

En ambos modos, los usuarios que han registrado previamente un método que se puede usar para la autenticación multifactor de Microsoft Entra necesitarán ejecutar autenticación multifactor antes de acceder a su información de seguridad. Los usuarios deben confirmar su información antes de continuar usando sus métodos registrados previamente.

Modo de interrupción

El registro combinado cumple las directivas de autenticación multifactor y SSPR, si ambos están habilitados para el inquilino. Estas directivas controlan si se interrumpe a un usuario para que se registre durante el inicio de sesión y los métodos que hay disponibles para el registro. Si solo se habilita una directiva de SSPR, los usuarios podrán omitir (indefinidamente) la interrupción del registro y completarlo más adelante.

Los siguientes son algunos escenarios de ejemplo en los que a los usuarios se les puede solicitar el registro o la actualización de su información de seguridad:

  • Registro de autenticación multifactor exigido mediante Protección de id. de Microsoft Entra: Se le pide a los usuarios que se registren durante el inicio de sesión. Registran los métodos de autenticación multifactor y los métodos SSPR (si el usuario está habilitado para SSPR).
  • Registro de autenticación multifactor exigido mediante autenticación multifactor por cada usuario: Se le pide a los usuarios que se registren durante el inicio de sesión. Registran los métodos de autenticación multifactor y los métodos SSPR (si el usuario está habilitado para SSPR).
  • Registro en autenticación multifactor exigido mediante acceso condicional u otras directivas: Se le pide a los usuarios que se registren cuando usen un recurso que requiera autenticación multifactor. Registran los métodos de autenticación multifactor y los métodos SSPR (si el usuario está habilitado para SSPR).
  • Registro exigido en SSPR: Se les pide a los usuarios que se registren durante el inicio de sesión. Solo registran los métodos SSPR.
  • Actualización de SSPR exigida: Los usuarios deben revisar su información de seguridad en un intervalo que establece el administrador. Se les muestra a los usuarios la información y pueden confirmar la información actual o realizar cambios si es necesario.

Cuando se exige el registro, se les muestra a los usuarios el número mínimo de los métodos necesarios para cumplir las directivas de autenticación multifactor y SSPR, de la más a la menos segura. Los usuarios que pasan por el registro combinado donde se aplican el registro de MFA y SSPR y la directiva de SSPR requiere dos métodos primero para registrar un método MFA como primer método y puede seleccionar otro método específico de MFA o SSPR como el segundo método registrado (como correo electrónico, preguntas de seguridad, etc.)

Considere el escenario de ejemplo siguiente:

  • Un usuario está habilitado para SSPR. La directiva de SSPR requiere dos métodos para restablecer y tiene habilitados la aplicación Microsoft Authenticator, el correo electrónico y el teléfono.
  • Cuando el usuario decide registrarse, se requieren dos métodos:
    • De manera predeterminada, se le muestra al usuario la aplicación Microsoft Authenticator y el teléfono.
    • El usuario puede elegir registrar el correo en lugar de la aplicación Authenticator o el teléfono.

Al configurar Microsoft Authenticator, el usuario puede hacer clic en Quiero configurar un método diferente para registrar otros métodos de autenticación. La lista de métodos disponibles viene determinada por la directiva de métodos de autenticación para el inquilino. 

Captura de pantalla de cómo elegir otro método al configurar Microsoft Authenticator.

El siguiente diagrama de flujo describe los métodos que se muestran a un usuario cuando se le interrumpe para que se registre durante el inicio de sesión:

Diagrama de flujo de información de seguridad combinada

Si tiene autenticación multifactor y SSPR habilitadas, se recomienda que aplique el registro de autenticación multifactor.

Si la directiva SSPR requiere que los usuarios revisen su información de seguridad a intervalos normales, se interrumpe a los usuarios durante el inicio de sesión y se les muestra todos los métodos registrados. Pueden confirmar la información actual si está actualizada o realizar cambios en caso necesario. Los usuarios deben realizar la autenticación multifactor para acceder a esta página.

Modo de administración

Los usuarios pueden ir a Información de seguridad o pueden seleccionar Información de seguridad en Mi cuenta. Ahí, los usuarios pueden agregar métodos, eliminar o cambiar los métodos existentes, cambiar el método predeterminado, entre otras cosas.

Controles de sesión para el registro combinado

De forma predeterminada, el registro combinado exige a todos los usuarios compatibles con MFA una autenticación fuerte antes de registrarse o administrar su información de seguridad. Si un usuario ha iniciado sesión y completó previamente MFA como parte de una sesión válida, no se requerirá MFA adicional de forma predeterminada, a menos que un usuario intente agregar o modificar un método de clave de acceso (FIDO2). Agregar o modificar un método de clave de paso (FIDO2) requiere que los usuarios se hayan autenticado fuertemente en los últimos 5 minutos. Si la MFA no se ha completado en los últimos 5 minutos, se pedirá al usuario que inicie sesión y complete una nueva MFA. Las organizaciones pueden modificar los requisitos de autenticación al definir directivas de acceso condicional para garantizar el registro de información de seguridad..

Las sesiones de registro combinadas solo son válidas durante 15 minutos. Si el registro de un usuario o las acciones de administración duran más de este periodo de tiempo, la sesión expirará y se pedirá al usuario que vuelva a iniciar sesión para continuar.

Escenarios de uso claves

Cambiar una contraseña en MySignIns

Un usuario va a Información de seguridad. Después de iniciar sesión, el usuario puede cambiar su contraseña. Si el usuario se autentica con una contraseña y un método de autenticación multifactor, podrá usar la experiencia de usuario mejorada para cambiar la contraseña sin escribir la ya existente. Cuando termina, el usuario tiene la nueva contraseña actualizada en la página de Información de seguridad. Los métodos de autenticación como el pase de acceso temporal (TAP) no se admiten para el cambio de contraseña a menos que el usuario sepa su contraseña existente.

Nota:

Si tiene algún vínculo que apunte a la experiencia de cambio de contraseña heredada, actualícelos al siguiente vínculo de reenvío para dirigir a los usuarios a la nueva experiencia de cambio de contraseña de inicios de sesión: https://go.microsoft.com/fwlink/?linkid=2224198.

Protección del registro de información de seguridad con acceso condicional

Para proteger cuándo y cómo se registran los usuarios en la autenticación multifactor de Microsoft Entra y el autoservicio de restablecimiento de contraseña, puede aprovechar las acciones del usuario en la directiva de acceso condicional. Esta funcionalidad se puede habilitar en las organizaciones que quieren que los usuarios se registren en la autenticación multifactor de Microsoft Entra y el SSPR desde una ubicación central, como una ubicación de red de confianza durante la incorporación de recursos humanos. Obtenga más información sobre cómo configurar directivas de acceso condicional comunes para proteger el registro de información de seguridad.

Configuración de la información de seguridad durante el inicio de sesión

Un administrador tiene registro forzado.

Un usuario no ha configurado toda la información de seguridad requerida y entra en el centro de administración de Microsoft Entra. Después de que el usuario escriba el nombre de usuario y la contraseña, se le solicita que configure la información de seguridad. Luego, el usuario sigue los pasos que se muestran en el asistente para configurar la información de seguridad requerida. Si la configuración lo permite, el usuario puede configurar otros métodos aparte de los que se muestran de manera predeterminada. Después de que los usuarios completen el asistente, revisan los métodos que han configurado y el método predeterminado para autenticación multifactor. Para completar el proceso de configuración, el usuario confirma la información y continúa al centro de administración de Microsoft Entra.

Configuración de información de seguridad desde Mi cuenta

Un administrador no ha impuesto el registro.

Un usuario que todavía no ha configurado toda la información de seguridad requerida entra en https://myaccount.microsoft.com. El usuario selecciona Información de seguridad en el panel izquierdo. Desde allí, el usuario decide agregar un método, selecciona uno de los que hay disponibles y sigue los pasos para configurarlo. Cuando termina, el usuario ve el método que estaba configurado en la página Información de seguridad.

Configuración de otros métodos después del registro parcial

Si un usuario ha satisfecho parcialmente el registro de MFA o SSPR debido a los registros de métodos de autenticación existentes realizados por el usuario o el administrador, solo se pedirá a los usuarios que registren información adicional permitida por la configuración de directiva de métodos de autenticación cuando se requiera el registro. Si hay más de otro método de autenticación disponible para que el usuario elija y regístrese, se mostrará una opción en la experiencia de registro titulada Quiero configurar otro método y permitir que el usuario configure su método de autenticación deseado.

Captura de pantalla de cómo configurar otro método.

Eliminación de información de seguridad desde Mi cuenta

Un usuario que haya configurado previamente al menos un método navega hasta Información de seguridad. El usuario decide eliminar uno de los métodos previamente registrados. Cuando termina, el usuario ya no ve ese método en la página de Información de seguridad.

Cambio del método predeterminado desde Mi cuenta

Un usuario que haya configurado previamente al menos un método que pueda utilizarse para la autenticación multifactor navega a Información de seguridad. El usuario cambia el método predeterminado actual a un método predeterminado distinto. Cuando termina, el usuario ve ese método predeterminado nuevo en la página de Información de seguridad.

Cambiar de directorio

Es posible que una identidad externa, como un usuario B2B, tenga que cambiar el directorio para cambiar la información de registro de seguridad de un inquilino de terceros. Además, los usuarios que acceden a un inquilino de recursos pueden confundirse cuando cambian la configuración de su inquilino principal, pero no ven los cambios reflejados en el inquilino de recursos.

Por ejemplo, un usuario establece las notificaciones de inserción de Microsoft Authenticator como autenticación principal para iniciar sesión en el inquilino principal y también tiene SMS y texto como otra opción. Este usuario también se configura con la opción de SMS y texto en un inquilino de recursos. Si este usuario quita SMS y texto como una de las opciones de autenticación en su inquilino principal, se confundirá cuando el acceso al inquilino de recursos le pida que responda a un mensaje SMS y texto.

Para cambiar el directorio en el centro de administración de Microsoft Entra, haga clic en el nombre de la cuenta de usuario en la esquina superior derecha y haga clic en Cambiar directorio.

Los usuarios externos pueden cambiar de directorio.

O bien, puede especificar un inquilino por dirección URL para acceder a la información de seguridad.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Nota

Los clientes que intenten registrarse o administrar la información de seguridad mediante el registro combinado o la página Mis inicios de sesión deberían usar un explorador moderno, como Microsoft Edge.

IE11 no se admite oficialmente para crear una vista web o un explorador en aplicaciones, ya que no funcionará según lo previsto en todos los escenarios.

Las aplicaciones que no se han actualizado y siguen usando la biblioteca de autenticación de Azure AD (ADAL) que dependen de vistas web heredadas pueden revertir a versiones anteriores de Internet Explorer. En estos escenarios, los usuarios experimentarán una página en blanco cuando se dirijan a la página Mis inicios de sesión. Para resolver este problema, cambie a un explorador moderno.

Pasos siguientes

Para comenzar, consulte los tutoriales para habilitar el autoservicio de restablecimiento de contraseña y habilitar la autenticación multifactor de Microsoft Entra.

Obtenga información sobre cómo habilitar el registro combinado en su inquilino o cómo obligar a los usuarios a volver a registrar los métodos de autenticación.

Además, puede revisar los métodos disponibles para la autenticación multifactor de Microsoft Entra y SSPR.