Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una seguridad de autenticación es un control de acceso condicional de Microsoft Entra que especifica qué combinaciones de métodos de autenticación los usuarios pueden usar para acceder a un recurso. Los usuarios pueden cumplir los requisitos de intensidad si se autentican con cualquiera de las combinaciones permitidas.
Por ejemplo, una seguridad de autenticación puede requerir que los usuarios usen solo métodos de autenticación resistentes a suplantación de identidad para acceder a un recurso confidencial. Para acceder a un recurso no sensible, los administradores pueden establecer otro nivel de autenticación que permita combinaciones de autenticación multifactor (MFA) menos seguras, como una contraseña y un mensaje de texto.
Una seguridad de autenticación se basa en la directiva para los métodos de autenticación. Es decir, los administradores pueden definir el ámbito de los métodos de autenticación para usuarios y grupos específicos que se usarán en aplicaciones federadas de Id. de Microsoft Entra. Una seguridad de autenticación permite un mayor control sobre el uso de estos métodos, en función de escenarios específicos, como el acceso a recursos confidenciales, el riesgo de usuario y la ubicación.
Requisitos previos
- Para usar el acceso condicional, el inquilino debe tener una licencia de Id. de Microsoft Entra P1. Si no tiene esta licencia, puede iniciar una evaluación gratuita.
Escenarios para los niveles de intensidad de autenticación
Las intensidades de autenticación pueden ayudar a los clientes a abordar escenarios como estos:
- Requerir métodos de autenticación específicos para acceder a un recurso confidencial.
- Requerir un método de autenticación específico cuando un usuario realiza una acción confidencial dentro de una aplicación (en combinación con el contexto de autenticación de acceso condicional).
- Requerir que los usuarios usen un método de autenticación específico cuando accedan a aplicaciones confidenciales fuera de la red corporativa.
- Requerir métodos de autenticación más seguros para los usuarios de alto riesgo.
- Requerir métodos de autenticación específicos a los usuarios invitados que acceden a un inquilino de recursos (en combinación con los valores de configuración entre inquilinos).
Puntos fuertes de autenticación integrados y personalizados
Los administradores pueden especificar una intensidad de autenticación para acceder a un recurso mediante la creación de una directiva de acceso condicional con el control Require authentication strength (Requerir intensidad de autenticación). Pueden elegir entre tres niveles de intensidad de autenticación integrados: intensidad de autenticación multifactor, intensidad de MFA sin contraseña e intensidad de MFA resistente a la suplantación de identidad (phishing). También pueden crear una seguridad de autenticación personalizada basada en las combinaciones de métodos de autenticación que quieren permitir.
Intensidad de autenticación integrada
Los puntos fuertes de autenticación integrados son combinaciones de métodos de autenticación que Microsoft predefines. La intensidad de autenticación integrada está siempre disponible y no se puede modificar. Microsoft actualiza los puntos fuertes de autenticación integrados cuando los nuevos métodos están disponibles.
Por ejemplo, el nivel de autentificación de MFA resistente al phishing integrado permite combinaciones de:
- Windows Hello para empresas o credenciales de plataforma
- Clave de seguridad FIDO2
- Autenticación basada en certificados de Microsoft Entra (multifactor)
En la tabla siguiente se enumeran las combinaciones de métodos de autenticación para cada intensidad de autenticación integrada. Estas combinaciones incluyen métodos que los usuarios necesitan registrar y que los administradores deben habilitar en la directiva para los métodos de autenticación o la directiva para la configuración de MFA heredada:
- Intensidad de MFA: el mismo conjunto de combinaciones que se pueden usar para satisfacer la configuración Requerir autenticación multifactor .
- Seguridad de MFA sin contraseña: incluye métodos de autenticación que satisfacen MFA, pero no requieren una contraseña.
- Fuerza de MFA resistente a la suplantación de identidad: incluye métodos que requieren una interacción entre el método de autenticación y la superficie de autenticación.
| Combinación de métodos de autenticación | Intensidad de MFA | Seguridad de MFA sin contraseña | Intensidad de MFA resistente a la suplantación de identidad (phishing) |
|---|---|---|---|
| Clave de seguridad FIDO2 | ✅ | ✅ | ✅ |
| Windows Hello para empresas o credenciales de plataforma | ✅ | ✅ | ✅ |
| Autenticación basada en certificados (multifactor) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (inicio de sesión telefónico) | ✅ | ✅ | |
| Pase de acceso temporal (uso único y varios usos) | ✅ | ||
| Contraseña más algo que el usuario tiene1 | ✅ | ||
| Factor único federado más algo que el usuario tiene1 | ✅ | ||
| Multifactor federado | ✅ | ||
| Autenticación basada en certificados (factor único) | |||
| Inicio de sesión con SMS | |||
| Contraseña | |||
| Factor único federado |
1Algo que el usuario tiene hace referencia a uno de los métodos siguientes: mensaje de texto, voz, notificación push, token OATH de software o token OATH de hardware.
Puede usar la siguiente llamada API para enumerar las definiciones de todos los puntos fuertes de autenticación integrados:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Intensidades de autenticación personalizadas
Los administradores de acceso condicional también pueden crear puntos fuertes de autenticación personalizados para satisfacer exactamente sus requisitos de acceso. Para obtener más información, consulte Creación y administración de puntos fuertes de autenticación de acceso condicional personalizados.
Limitaciones
Efecto de una seguridad de autenticación en la autenticación: las directivas de acceso condicional solo se evalúan después de la autenticación inicial. Como resultado, una seguridad de autenticación no restringe la autenticación inicial de un usuario.
Supongamos que usa el nivel de autenticación integrado resistente al phishing de autenticación multifactor (MFA). Un usuario todavía puede escribir una contraseña, pero debe iniciar sesión mediante un método resistente a la suplantación de identidad (phishing), como una clave de seguridad FIDO2, antes de poder continuar.
Combinación no admitida de controles de concesión: no puede usar el control de concesión Requerir autenticación multifactor y el control de concesión Requerir seguridad de autenticación juntos en la misma directiva de acceso condicional. El motivo es que la fuerza de la autenticación multifactor integrada es equivalente al control de concesión "Requerir autenticación multifactor".
Método de autenticación no admitido: el método de autenticación de un solo uso (invitado) de correo electrónico no se admite actualmente en las combinaciones disponibles.
Windows Hello para empresas: si el usuario inicia sesión con Windows Hello para empresas como método de autenticación principal, se puede usar para satisfacer un requisito de seguridad de autenticación que incluya Windows Hello para empresas. Pero si el usuario inicia sesión con otro método (como una contraseña) como método de autenticación principal y la seguridad de autenticación requiere Windows Hello para empresas, no se le pedirá al usuario que inicie sesión con Windows Hello para empresas. El usuario debe reiniciar la sesión, seleccionar Opciones de inicio de sesión y seleccionar un método que requiera la seguridad de autenticación.
Problemas conocidos
Frecuencia de autenticación e inicio de sesión: cuando un recurso requiere una seguridad de autenticación y una frecuencia de inicio de sesión, los usuarios pueden satisfacer ambos requisitos en dos ocasiones diferentes.
Por ejemplo, supongamos que un recurso requiere una clave de acceso (FIDO2) para la seguridad de autenticación, junto con una frecuencia de inicio de sesión de 1 hora. Un usuario inició sesión con una clave de acceso (FIDO2) para acceder al recurso hace 24 horas.
Cuando el usuario desbloquea su dispositivo Windows mediante Windows Hello para empresas, puede acceder de nuevo al recurso. El inicio de sesión de ayer satisface el requisito de seguridad de autenticación y el desbloqueo del dispositivo actual satisface el requisito de frecuencia de inicio de sesión.
Preguntas más frecuentes
¿Debo usar un nivel de seguridad de autenticación o la política para los métodos de autenticación?
Una seguridad de autenticación se basa en la directiva de métodos de autenticación . La directiva de métodos de autenticación ayuda a definir el ámbito y configurar los métodos de autenticación que los usuarios y grupos pueden usar en microsoft Entra ID. Una seguridad de autenticación permite otra restricción de métodos para escenarios específicos, como el acceso a recursos confidenciales, el riesgo de usuario y la ubicación.
Por ejemplo, supongamos que el administrador de una organización denominada Contoso quiere permitir que los usuarios usen Microsoft Authenticator con notificaciones push o modo de autenticación sin contraseña. El administrador va a la configuración de Authenticator en la directiva Métodos de autenticación , limita la directiva para los usuarios pertinentes y establece el modo de autenticación en Cualquiera.
Para el recurso más confidencial de Contoso, el administrador quiere restringir el acceso solo a métodos de autenticación sin contraseña. El administrador crea una nueva directiva de acceso condicional mediante el uso de la seguridad de autenticación MFA sin contraseña integrada.
Como resultado, los usuarios de Contoso pueden acceder a la mayoría de los recursos del inquilino mediante una contraseña y una notificación push de Authenticator, o solo mediante Authenticator (inicio de sesión telefónico). Sin embargo, cuando los usuarios del inquilino acceden a la aplicación confidencial, deben usar Authenticator (inicio de sesión telefónico).