Diseñar estrategias de autenticación y credenciales
En este artículo se describen las acciones necesarias para proteger y administrar las credenciales y los métodos de autenticación en una organización educativa que abarca varios inquilinos.
Las credenciales son específicas de la identidad de un usuario. Por ejemplo, su nombre de usuario y contraseña individuales, pin o información biométrica. Cada usuario, incluidos los administradores de TI, los profesores, las personas del personal y los alumnos, tiene credenciales.
Un método de autenticación es la forma en que el usuario envía o atestigua sus credenciales. Por ejemplo, un usuario introduce sus credenciales en una pantalla de inicio de sesión o a través de la aplicación Microsoft Authenticator en la que ha configurado su cuenta.
Los métodos de autenticación también se pueden dividir en categorías o tipos, como:
Autenticación de inicio de sesión
Autenticación de restablecimiento de contraseña
Autenticación multifactor
La autenticación de inicio de sesión es cuando el usuario escribe inicialmente las credenciales. El autoservicio de restablecimiento de contraseña (SSPR) y la autenticación multifactor (MFA) son tipos adicionales de autenticación.
En la tabla siguiente se muestra cómo se pueden usar varios métodos de autenticación en estos escenarios.
| Método de autenticación | Autenticación de inicio de sesión | SSPR y MFA |
|---|---|---|
| Password | Yes | |
| Windows Hello para empresas | Yes | |
| Aplicación Microsoft Authenticator | Sí (versión preliminar) | MFA y SSPR |
| Claves de seguridad FIDO2 | Sí (versión preliminar) | Solo MFA |
| SMS | Sí (versión preliminar) | MFA y SSPR |
| Llamada de voz | No | MFA y SSPR |
| Preguntas de seguridad | No | Solo SSPR |
| Dirección de correo | No | Solo SSPR |
Nota:
Para habilitar la funcionalidad de vista previa para la autenticación de inicio de sesión, abra el Azure Portal, seleccione Microsoft Entra ID > directiva de método de autenticación de métodos > de autenticación de seguridad > (versión preliminar) y habilite los métodos de vista previa que quiera usar demasiado.
Tipos de autenticación
Las contraseñas y los PIN son tipos de credenciales comunes. Entre los tipos menos comunes se incluyen las contraseñas de imagen y los bloqueos de patrón. La autenticación biométrica también está aumentando en popularidad. La biometría identifica a un usuario a través del reconocimiento facial, una huella digital o una huella retinal.
Autenticación sin contraseña
Una solución sin contraseña es el método de autenticación más cómodo y seguro. La autenticación sin contraseña elimina los inconvenientes de tener que recordar contraseñas y responder a la autenticación multifactor. Es más seguro porque reduce el riesgo de ataques de suplantación de identidad (phishing) y de difusión de contraseñas mediante la eliminación de contraseñas como superficie expuesta a ataques. Microsoft admite los siguientes métodos de autenticación sin contraseña
Windows Hello para empresas. Windows Hello para empresas es ideal para los usuarios que tienen un equipo Windows designado. Las credenciales biométricas y de PIN están asociadas al equipo del usuario, lo que impide el acceso de cualquier persona que no sea el usuario designado e impide el acceso no autorizado. Con la integración de la infraestructura de clave pública (PKI) y la compatibilidad integrada con el inicio de sesión único (SSO), Windows Hello para empresas proporciona un método cómodo para acceder sin problemas a los recursos locales y en la nube.
Aplicación Microsoft Authenticator. La aplicación Authenticator convierte tu teléfono iOS o Android en una credencial segura y sin contraseña. Los usuarios pueden iniciar sesión en cualquier plataforma o explorador mediante la obtención de una notificación a su teléfono, la coincidencia de un número mostrado en la pantalla con el de su teléfono y, a continuación, el uso de sus credenciales biométricas (táctiles o faciales) o PIN para confirmar. Aunque este artículo hace referencia a la aplicación Microsoft Authenticator, hay otras aplicaciones de autenticador en el mercado.
Clave de seguridad FIDO2. Las claves de seguridad FIDO2 permiten a los usuarios iniciar sesión en sus recursos sin un nombre de usuario o contraseña mediante una clave de seguridad externa o una clave de plataforma integrada en un dispositivo.
Para obtener más información, consulte Opciones de autenticación sin contraseña para Microsoft Entra ID.
Autenticación de restablecimiento de contraseña
Los restablecimientos de contraseña de los usuarios son una de las principales fuentes de volumen y costo para los servicios de soporte técnico. Microsoft Entra ID autoservicio de restablecimiento de contraseña (SSPR) ofrece a los usuarios la posibilidad de cambiar o restablecer su contraseña, sin la intervención del administrador ni del departamento de soporte técnico. Además de reducir los costos, SSPR mitiga el riesgo del usuario y mejora la posición de seguridad de su organización. Si la cuenta de un usuario está bloqueada o en peligro, o se olvida de su contraseña, puede seguir las indicaciones para desbloquearse y volver a trabajar.
Cualquier cambio de contraseña con SSPR requiere que las contraseñas se ajusten a Microsoft Entra directiva de contraseñas. Estas directivas determinan la complejidad, la longitud, la expiración y los caracteres aceptables necesarios. Si la contraseña no cumple los requisitos de directiva de Microsoft Entra ID (o AD local), se le pedirá al usuario que vuelva a intentarlo.
Autenticación multifactor
Se recomienda requerir MFA para estudiantes universitarios, educadores, el departamento de TI y otro personal. Estos grupos pueden ser más activos en Internet y, por lo tanto, más susceptibles a un ciberataque.
La autenticación multifactor requiere que un usuario proporcione una forma adicional de autenticación. Proporciona seguridad adicional al requerir una segunda forma de autenticación, como:
Código de un mensaje de texto SMS.
Responder a una llamada de voz telefónica.
Proporcionar un código de o información biométrica en la aplicación Microsoft Authenticator.
Uso de un token de hardware de OAUTH.
Habilitación de SSPR y Azure MFA
Habilite SSPR y MFA para mantener el entorno más seguro. Los usuarios deben registrarse para estos servicios.
Habilitación de SSPR
SSPR se administra en el Azure Portal en Microsoft Entra ID > restablecimiento de contraseña y le permite elegir entre la siguiente lista de métodos de autenticación:
Recomendado: en orden de preferencia
Notificación de aplicación móvil (disponible solo cuando Número de métodos necesarios para restablecer está establecido en 2)
Código de aplicación móvil
Correo electrónico
Teléfono móvil (texto SMS)
No se recomienda si existen dos opciones recomendadas
Teléfono de Office (llamada de voz)
Preguntas de seguridad
Nota:
Los métodos de autenticación que habilite estarán disponibles para todos los miembros del inquilino. Dado que las preguntas de seguridad son la opción menos segura, se recomienda no habilitarla a menos que no haya otros métodos disponibles. Una llamada telefónica a un teléfono de la oficina podría estar en peligro y tampoco se recomienda a menos que no haya ninguna otra opción.
Le recomendamos que haga que SSPR esté disponible para todos los usuarios de su inquilino, excepto para los alumnos de primaria y secundaria. Es posible que estos alumnos no tengan acceso a una segunda forma necesaria de autenticación. Para esos alumnos, se debe asignar a los profesores u otro personal el rol de administrador de contraseñas. Para habilitar SSPR para todos los usuarios excepto estos alumnos:
Cree un grupo de Microsoft 365 con un nombre descriptivo como "SSPR" en el Azure Portal. Agregue a todos excepto a los estudiantes de primaria y secundaria. En Microsoft Entra ID, puede crear reglas basadas en atributos para habilitar las pertenencias dinámicas a grupos. Se recomienda este enfoque si ya está capturando atributos que indican el nivel de alumno. Si necesita incluir invitados externos, consulte Grupos dinámicos y Microsoft Entra colaboración B2B.
Vaya a Microsoft Entra ID >Restablecimiento de contraseña de seguridad > , elija Seleccionado y, a continuación, seleccione ese grupo.
Habilitación de Azure MFA
Se recomienda habilitar MFA en los inquilinos y requerir MFA para administradores de TI y cualquier persona con acceso a registros de alumnos que no sean suyos o secundarios. Aplique MFA mediante directivas de acceso condicional.
Una vez habilitada LA MFA, los usuarios deben establecer una de las siguientes opciones como método predeterminado de Multi-Factor Authentication:
Microsoft Authenticator: notificación (más recomendado)
Aplicación Microsoft Authenticator o token de hardware: código
Mensaje de texto SMS
Llamada telefónica (menos recomendada)
Nota:
No se recomienda habilitar MFA para alumnos de primaria, secundaria y secundaria. Mfa se usa generalmente para evitar que un actor incorrecto ponga en peligro la cuenta y dañe la cuenta. Los alumnos deben tener acceso solo a su propia información, con un potencial limitado de daño. Además, es posible que los alumnos más jóvenes no tengan acceso a una segunda forma de autenticación.
Hay dos enfoques para habilitar Azure MFA. Se recomienda usar Protección de Microsoft Entra ID para administrar la implementación mediante la configuración de una directiva de acceso condicional para requerir el registro de MFA. La protección de identidades requiere que los administradores tengan una licencia Microsoft Entra ID P2. consulte How To: Configure the Azure Multi-Factor Authentication registration policy (Cómo: Configurar la directiva de registro de Azure Multi-Factor Authentication).
Si no tiene una licencia Microsoft Entra ID P2, puede seguir usando una directiva de acceso condicional para requerir Azure Multi-Factor Authentication en circunstancias específicas. Si los administradores no tienen licencias de Microsoft Entra ID P2, consulte Tutorial: Protección de eventos de inicio de sesión de usuario con Azure Multi-Factor Authentication.
Habilitación del registro combinado de información de seguridad
Con el registro combinado de información de seguridad, los usuarios pueden registrarse una vez y obtener las ventajas de SSPR y Azure Multi-Factor Authentication (MFA).
Habilite el registro combinado para todos los usuarios y cree una directiva de acceso condicional para requerir el registro de los mismos usuarios para los que ha habilitado SSPR. Puede usar el mismo grupo de Office 365. La necesidad de registro exige cuándo y cómo se registran los usuarios para SSPR y Azure MFA.
SSPR y MFA solo se desencadenan cuando las condiciones de una directiva de acceso condicional requieren que el usuario las haga. Debe crear directivas de acceso condicional para aplicar las directivas de seguridad.
Nota:
Para los inquilinos creados antes de agosto de 2020, debe habilitar el registro combinado de información de seguridad. Para los inquilinos creados después de agosto de 2020, esto está habilitado de forma predeterminada.
Para obtener más información, vea Habilitar el registro combinado de información de seguridad en Microsoft Entra ID.
Formar a los usuarios
Antes de que los usuarios puedan empezar a usar SSPR o MFA, tendrán que registrar su información de seguridad. Se recomienda comprender la experiencia del usuario y, a continuación, desarrollar un plan para compartir el conocimiento y educar a los usuarios según sea necesario.
Para obtener más información, consulte la siguiente documentación del usuario final:
Configuración de la información de seguridad desde un símbolo del sistema de inicio de sesión
Configuración de la aplicación Microsoft Authenticator como método de verificación
Configuración de una aplicación de autenticador como método de verificación en dos fases
Configuración de un dispositivo móvil como método de verificación en dos fases
Configurar un teléfono de oficina como método de verificación en dos fases
Microsoft proporciona plantillas de comunicación de usuario final para MFA y SSPR. Puede modificar estas plantillas para ayudar a educar a los usuarios. También proporcionamos planes de implementación para varios métodos de autenticación. Consulte Implementación de la autenticación.
Instalación de la aplicación Microsoft Authenticator
Los usuarios que usarán la aplicación Microsoft Authenticator para SSPR o MFA deben instalar la versión más reciente de la aplicación Microsoft Authenticator.
Google Android. En el dispositivo Android, vaya a Google Play para descargar e instalar la aplicación Microsoft Authenticator.
Apple iOS. En el dispositivo iOS de Apple, vaya al App Store para descargar e instalar la aplicación Microsoft Authenticator.
Si no se encuentra actualmente en su dispositivo móvil, los usuarios todavía pueden obtener la aplicación Microsoft Authenticator enviándose a sí mismos un vínculo de descarga desde la página Microsoft Authenticator.
protección con contraseña de Microsoft Entra
A pesar de los intentos de proporcionar a los usuarios instrucciones sobre cómo elegir contraseñas, a menudo se producen contraseñas débiles o no seguras. No es raro que los usuarios creen contraseñas basadas en términos fáciles de recordar, como el nombre de la escuela, una mascota del equipo, el nombre de un profesor popular, etc.
Microsoft Entra Protección con contraseña incluye de forma predeterminada listas globales de contraseñas prohibidas. Estas listas se aplican automáticamente a todos los usuarios para detectar y bloquear contraseñas susceptibles a ataques de difusión de contraseñas. Para satisfacer sus propias necesidades de seguridad, puede definir sus propias entradas en una lista personalizada de contraseñas prohibidas. Cuando los usuarios cambian o restablecen sus contraseñas, estas listas de contraseñas prohibidas se comprueban para exigir el uso de contraseñas más seguras.
El bloqueo inteligente también le ayuda a protegerse de actores incorrectos que usan métodos de fuerza bruta para adivinar las contraseñas de los usuarios. De forma predeterminada, el bloqueo inteligente bloquea la cuenta de los intentos de inicio de sesión durante un minuto después de 10 intentos erróneos. La cuenta se bloquea de nuevo después de cada intento de inicio de sesión erróneo, durante un minuto al principio y más en los intentos posteriores. El bloqueo inteligente siempre está activado para todos los clientes Microsoft Entra. La configuración predeterminada ofrece un equilibrio de seguridad y facilidad de uso. La personalización de la configuración de bloqueo inteligente, con valores específicos de su organización, requiere Microsoft Entra ID licencias P1 o posteriores para los usuarios.
Informes de seguridad
Para limitar la exposición a posibles amenazas, use las funcionalidades de generación de informes que están disponibles en Microsoft Entra ID. Microsoft Entra ID admite informes de registro de auditoría e inicio de sesión, informes de seguridad sobre detecciones de riesgos e informes para ayudarle a comprender cómo funcionan los métodos de autenticación para Azure MFA y SSPR en su organización.
Protección de identidad
Microsoft Entra ID tiene muchas funcionalidades que identifican y generan alertas automáticamente para quitar la latencia entre la detección y la respuesta a los ataques. Para aprovechar al máximo estas funcionalidades, se recomienda usar Protección de Microsoft Entra ID. Esta característica requiere una licencia Microsoft Entra ID P2. Como mínimo, se recomienda usar Identity Protection para todos los administradores.
Hay tres informes clave que los administradores usan para las investigaciones en Identity Protection:
Informe de usuarios de riesgo. El riesgo de usuario indica la probabilidad de que la identidad de un usuario esté en peligro y se calcule en función de las detecciones de riesgo del usuario para esa identidad. Una directiva de riesgo de usuario es una directiva de acceso condicional que evalúa el nivel de riesgo para un usuario o grupo específico. En función de los niveles de riesgo Bajo, Medio y Alto, se puede configurar una directiva para bloquear el acceso o requerir un cambio de contraseña seguro mediante la autenticación multifactor.
Informe de inicios de sesión de riesgo. El riesgo de inicio de sesión es la probabilidad de que alguien que no sea el propietario de la cuenta intente iniciar sesión con la identidad. Una directiva de riesgo de inicio de sesión es una directiva de acceso condicional que evalúa el nivel de riesgo para un usuario o grupo específico. En función del nivel de riesgo (alto,medio/bajo), se puede configurar una directiva para bloquear el acceso o forzar la autenticación multifactor. Asegúrese de forzar la autenticación multifactor en inicios de sesión de riesgo medianos o superiores.
Informe de detecciones de riesgo. Permite a los administradores identificar y corregir los siguientes tipos de detecciones de riesgo:
Viaje atípico
Dirección IP anónima
Propiedades de inicio de sesión desconocidas
Dirección IP vinculada a malware
Credenciales filtradas
Microsoft Entra inteligencia sobre amenazas
El siguiente recurso puede ayudarle a poner en marcha las estrategias de administración de riesgos.
Microsoft mantiene la información de los informes de Identity Protection durante un tiempo limitado. Se recomienda exportarlo y archivarlo periódicamente en otras herramientas para una mayor investigación y correlación. Las API de Microsoft Graph le permiten recopilar estos datos para su posterior procesamiento en herramientas como la solución administración de eventos de seguridad e información (SIEM). Para obtener información sobre cómo implementar estos informes, consulte Introducción a Protección de Microsoft Entra ID y Microsoft Graph.
Registros de auditoría e informes de inicio de sesión
El informe de registros de auditoría consolida los informes siguientes:
Informe de auditoría
Actividad de restablecimiento de contraseña
Actividad de registro de restablecimiento de contraseña
Actividad de grupos de autoservicio
Cambios en el nombre del grupo de Office365
Actividad de aprovisionamiento de cuentas
Estado de sustitución de contraseña
Errores de configuración de cuenta
Uso de métodos de autenticación & información
Microsoft Entra ID proporciona informes que puede usar para asegurarse de que los usuarios están registrados para MFA y SSPR. Es posible que los usuarios que no se hayan registrado tengan que recibir información sobre el proceso.
El informe Uso de métodos de autenticación & Insights incluye información sobre el uso de MFA y SSPR y proporciona información sobre cómo funciona cada uno en su organización. Tener acceso a la actividad de inicio de sesión (auditorías y detecciones de riesgos) para Microsoft Entra ID es fundamental para la solución de problemas, el análisis de uso y las investigaciones forenses.
Recomendaciones
Se recomienda que los profesores, administradores y personal de TI usen uno de los métodos de autenticación sin contraseña siempre que sea posible. Cuando tenga que usar contraseñas, consulte la Guía de contraseñas de Microsoft.
Métodos de autenticación
En la tabla siguiente se resumen los tipos de cuenta y nuestras recomendaciones para los tres tipos de autenticación:
| Tipo de cuenta | Inicio de sesión | SSPR | Azure MFA |
|---|---|---|---|
| Estudiantes (escuela primaria) | Password | ||
| Estudiantes (escuela media) | Password | ||
| Estudiantes (secundaria) | Contraseña o PIN Aplicación Authenticator si hay teléfonos inteligentes disponibles |
Correo electrónico personal del estudiante SMS Llamada de voz |
|
| Estudiantes (universidad) | Contraseña o PIN Aplicación Authenticator si hay teléfonos inteligentes disponibles |
Aplicación authenticator SMS Correo electrónico personal |
Aplicación authenticator SMS Phone |
| Profesorado | Windows Hello para empresas (PIN o biométrico) Clave de seguridad FIDO 2 |
•Aplicación authenticator SMS Correo electrónico personal |
Aplicación authenticator SMS Phone |
| Personal de TI | Sin contraseña (PIN, biométrica, clave de seguridad FIDO 2) | Aplicación authenticator SMS Correo electrónico personal |
Aplicación authenticator SMS Phone |
| Padres | Contraseña (Azure AD B2C) | Aplicación authenticator SMS Llamada de voz Correo electrónico personal |
Aplicación authenticator SMS Phone |
Distribución de credenciales
Se recomienda distribuir la autenticación a los alumnos de primaria y secundaria mediante uno de los métodos siguientes:
Correo electrónico del padre
Teléfono móvil o fijo de los padres
Correo electrónico personal del alumno (si existe)
Una copia impresa de la contraseña temporal del alumno entregada a los profesores
Publicación de la contraseña en la dirección registrada del alumno
Para educadores y administradores de TI, otro personal y estudiantes de secundaria o universidad usan uno de los métodos siguientes:
Enviar por correo electrónico la contraseña temporal a la dirección de correo electrónico personal
Envío de una contraseña temporal a través de SMS
Copia impresa de la contraseña temporal
Recomendaciones de seguridad de contraseñas
Los administradores de TI siempre deben
Forzar la expiración de contraseñas iniciales o de primera vez
Implementación de una notificación automatizada de cambio o restablecimiento de contraseña
Además, proporcione a todos los usuarios las siguientes recomendaciones de seguridad de contraseña:
No anote ni almacene la contraseña de forma insegura.
No reutilizar contraseñas: mantenga el historial de contraseñas.
No comparta su contraseña con nadie.
Use una frase de contraseña en lugar de una contraseña.
Cambie la contraseña si sospecha que su cuenta está en peligro.
Restablezca una contraseña proporcionada antes del primer uso.
Desafíos y mitigaciones
La administración de credenciales puede ser un desafío. En esta sección se describen las características de Microsoft Entra ID que pueden ayudarle a mitigar los desafíos más comunes.
Expiración de contraseña
No se recomienda confiar en la expiración de contraseñas como medida de seguridad, ya que las contraseñas pueden expirar durante las vacaciones escolares, lo que podría dar lugar a un gran volumen de soporte técnico. Este gran volumen afectaría especialmente a los alumnos más jóvenes que no estén configurados para SSPR porque es posible que no tengan acceso a formas adicionales de autenticación. La autenticación multifactor, las directivas de acceso condicional y la supervisión de seguridad mitigan los problemas mejor que la expiración de contraseñas.
Si su organización tiene habilitada actualmente la expiración de contraseñas, se recomienda que un administrador global o un administrador de usuarios use el módulo Microsoft Azure AD para Windows PowerShell establecer que las contraseñas de usuario nunca expiren o usar el [cmdlet Set-MsolPasswordPolicy](/powershell/module/msonline/set-msolpasswordpolicy para modificar el período de expiración.
Nota:
Los módulos de PowerShell de Azure AD y MSOnline quedarán obsoletos a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, el soporte técnico de estos módulos se limita a la asistencia para la migración al SDK de Microsoft Graph PowerShell y a las correcciones de seguridad. Los módulos obsoletos seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener respuesta a las preguntas más comunes sobre la migración, consulte las Preguntas frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Actualización de la información del usuario
Los administradores suelen administrar los detalles del usuario: dispositivos, información de seguridad y contraseñas para cada usuario. La actualización manual de esta información es tediosa y lleva mucho tiempo.
Para abordar este desafío, los administradores deben exigir a los usuarios que usen Mi cuenta. Mi cuenta es un portal de autoservicio que permite a los usuarios finales:
Configurar el restablecimiento de contraseña autoasistido
Configurar la autenticación en dos fases
Cambio de una contraseña
Deshabilitación de un dispositivo si se pierde o se roba
Mantenimiento de suscripciones de grupo
Los alumnos y profesores a menudo se encuentran necesitando acceso a grupos con fines de acceso o comunicación. El gran número de grupos y la frecuencia con la que el usuario necesita cambiar en las instituciones educativas puede hacer que la administración de grupos sea una tarea desalentadora para los administradores.
En Microsoft 365 EDU, cada grupo creado a partir de School Data Sync se agrega automáticamente a una unidad administrativa de la escuela para facilitar la administración delegada y con ámbito para los grupos de esa escuela.
Para la delegación y administración de grupos individuales, hay dos opciones adicionales.
La administración de grupos delegados permite a los administradores delegar la administración de la pertenencia a grupos en un propietario empresarial. Por ejemplo, si la escuela tiene una aplicación a la que solo deben acceder los alumnos de un departamento específico, normalmente agrega usuarios a un grupo y asigna el acceso al grupo. A continuación, puede delegar las responsabilidades de administración de pertenencia a un empleado de ese departamento. A continuación, el departamento administrará la pertenencia al grupo, que proporciona acceso a la aplicación. En un entorno académico, se recomienda esto sobre la administración de grupos de autoservicio.
La administración de grupos de autoservicio permite a todos los usuarios, incluidos los alumnos, crear y administrar sus propios grupos de seguridad o grupos de Microsoft 365 en Microsoft Entra ID. El propietario del grupo puede aprobar o denegar solicitudes de pertenencia y puede delegar el control de la pertenencia a grupos. Evalúe exhaustivamente si permitir que los alumnos creen grupos es un estado deseado para su organización.
Nota:
Las características de administración de grupos delegados y administración de grupos de autoservicio solo están disponibles con grupos de Microsoft 365 y Microsoft Entra grupos de seguridad. No están disponibles para grupos de seguridad o listas de distribución habilitados para correo.
Demasiadas contraseñas para recordar
Los alumnos y el personal acceden a varias aplicaciones para completar su trabajo escolar, lo que puede requerir que recuerden varias contraseñas únicas. Microsoft ofrece varias mitigaciones.
Se recomienda habilitar Microsoft Entra inicio de sesión único (SSO) con todas las aplicaciones compatibles para que los usuarios puedan acceder a todos los recursos con sus credenciales de organización.
Windows 10 dispositivos unidos a Microsoft Entra o Microsoft Entra unidos a híbridos accederán sin problemas a las aplicaciones habilitadas para el inicio de sesión único, siempre que el usuario que ha iniciado sesión tenga acceso.
Si su organización es híbrida y tiene equipos que ejecutan versiones de Windows 8 o versiones anteriores, también puede implementar el inicio de sesión único sin problemas. El inicio de sesión único de conexión directa evita las solicitudes de contraseña cuando profesores y personal inician sesión desde la red de la organización.