Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: 
Inquilinos de la fuerza laboral (más información)
Al colaborar con usuarios invitados B2B externos, proteja las aplicaciones con directivas de autenticación multifactor. Los usuarios externos necesitan más que un nombre de usuario y una contraseña para acceder a los recursos. En Microsoft Entra ID, puede lograr este objetivo con una directiva de acceso condicional que precisa de MFA para el acceso. Puede aplicar directivas de autenticación multifactor en el nivel de inquilino, aplicación o usuario invitado individual, tal como para los miembros de su propia organización. El inquilino de recursos es responsable de la autenticación multifactor de Microsoft Entra para los usuarios, incluso si la organización del usuario invitado tiene funcionalidades de autenticación multifactor.
Ejemplo:
- Un administrador o un empleado de la empresa A invita a un usuario invitado para usar una aplicación local o en la nube que está configurada para requerir MFA para el acceso.
- El usuario invitado inicia sesión con su identidad profesional, educativa o social.
- Al usuario se le pide que complete un desafío de MFA.
- El usuario configura su MFA con la empresa A y elegir su opción de MFA. El usuario puede tener acceso a la aplicación.
Nota
La autenticación multifactor de Microsoft Entra se realiza en el inquilino de recursos para garantizar la previsibilidad. Cuando el usuario invitado inicia sesión, ve la página de inicio de sesión del inquilino de recursos que se muestra en segundo plano y su propia página de inicio de sesión de inquilino principal y el logotipo de la empresa en primer plano.
En este tutorial, aprenderá lo siguiente:
- Pruebe la experiencia de inicio de sesión antes de configurar MFA.
- Crear una directiva de acceso condicional que requiere MFA para acceder a una aplicación en la nube en su entorno. En este tutorial, usaremos la aplicación Azure Resource Manager para ilustrar el proceso.
- Use la herramienta What If para simular el inicio de sesión con MFA.
- Pruebe la directiva de acceso condicional.
- Limpie el usuario de prueba y la directiva.
Si no tiene una suscripción de Azure, cree una cuenta gratuita para empezar.
Requisitos previos
Para completar el escenario de este tutorial, necesita:
- Acceso a la edición P1 o P2 de Microsoft Entra ID, que incluye capacidades de políticas de acceso condicional. Para aplicar la MFA, cree una directiva de acceso condicional de Microsoft Entra. Las directivas de MFA siempre se aplican en su organización, incluso si el asociado no tiene funcionalidades de MFA.
- Una cuenta de correo electrónico externa válida que puede agregar al directorio del inquilino como usuario invitado y usar para iniciar sesión. Si no sabe cómo crear una cuenta de invitado, siga los pasos descritos en Agregar un usuario invitado B2B en el Centro de administración de Microsoft Entra.
Creación de un usuario invitado de prueba en Microsoft Entra ID
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de usuarios.
Vaya a Entra ID>Usuarios.
Seleccione Nuevo usuario y, a continuación, Invite external user (Invitar a un usuario externo).
En Identidad en la pestaña Aspectos básicos , escriba la dirección de correo electrónico del usuario externo. Opcionalmente, puede incluir un nombre para mostrar y un mensaje de bienvenida.
Opcionalmente, puede agregar más detalles al usuario en las pestañas Propiedades y Asignaciones.
Seleccione Revisar e invitar para enviar automáticamente la invitación al usuario invitado. Aparece un mensaje de usuario invitado exitosamente.
Después de enviar la invitación, la cuenta de usuario se agrega al directorio como invitado.
Probar la experiencia de inicio de sesión antes de la configuración de MFA
- Inicie sesión en el Centro de administración de Microsoft Entra con el nombre de usuario y la contraseña de prueba.
- Acceda al Centro de administración de Microsoft Entra con solo sus credenciales de inicio de sesión. No se necesita más autenticación.
- Cierre la sesión del centro de administración de Microsoft Entra.
Creación de una directiva de acceso condicional que requiere MFA
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
Vaya a Entra ID>Acceso condicional>Directivas.
Seleccione Nueva directiva.
Asigne un nombre a la directiva; por ejemplo, Exigir MFA para obtener acceso al portal B2B. Cree un estándar significativo para las normas de nombramiento.
En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
- En Incluir, elija Seleccionar usuarios y grupos y, a continuación, seleccione Usuarios invitados o externos. Puede asignar la directiva a diferentes tipos de usuario externos, roles de directorio integrados o usuarios y grupos.
En Recursos de destino>(anteriormente aplicaciones en la nube)>Incluya>Seleccionar recursos, elija Azure Resource Manager y, a continuación, Seleccione el recurso.
En Controles de acceso>, seleccione Conceder acceso, seleccione Requerir autenticación multifactor y seleccione.
En Habilitar directiva, seleccione Activar.
Seleccione Crear.
Uso de la opción What If para simular el inicio de sesión
La herramienta de directiva What If de acceso condicional le ayuda a comprender los efectos de las directivas de acceso condicional en su entorno. En lugar de probar manualmente las directivas con varios inicios de sesión, puede usar esta herramienta para simular el inicio de sesión de un usuario. La simulación predice cómo afectará este inicio de sesión a las directivas y genera un informe. Para obtener más información, vea Usar la herramienta What If para comprender las directivas de acceso condicional.
Prueba de la directiva de acceso condicional
Use el nombre de usuario y la contraseña de prueba para iniciar sesión en el Centro de administración de Microsoft Entra.
Debería ver una solicitud para más métodos de autenticación. Tenga en cuenta que la directiva puede tardar algún tiempo en aplicarse.
Nota
También puede configurar opciones de acceso entre inquilinos para confiar en la autenticación multifactor desde el inquilino principal de Microsoft Entra. Esto permite que los usuarios externos de Microsoft Entra usen la autenticación multifactor registrada en su propio inquilino en lugar de registrarse en el inquilino del recurso.
Cierre la sesión.
Limpieza de recursos
Cuando ya no sean necesarios, elimine el usuario de prueba y la directiva de acceso condicional de prueba.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de usuarios.
Vaya a Entra ID>Usuarios.
Seleccione el usuario de prueba y, a continuación, seleccione Eliminar usuario.
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
Vaya a Entra ID>Acceso condicional>Directivas.
En la lista Nombre de directiva, seleccione el menú contextual (...) de la directiva de prueba y, a continuación, seleccione Eliminar y confirme seleccionando Sí.
Pasos siguientes
En este tutorial, ha creado una directiva de acceso condicional que requiere que los usuarios invitados usen MFA al iniciar sesión en una de las aplicaciones en la nube. Para obtener más información sobre cómo agregar usuarios invitados para la colaboración, vaya a Agregar usuarios de colaboración de Microsoft Entra B2B en el Centro de administración de Microsoft Entra.