Compartir a través de

Habilitación de la autenticación multifactor en Azure Active Directory B2C

Importante

A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para ser adquirido por nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.

Antes de empezar, use el selector Elegir un tipo de directiva en la parte superior de esta página para elegir el tipo de directiva que está configurando. Azure Active Directory B2C ofrece dos métodos para definir cómo interactúan los usuarios con las aplicaciones: a través de flujos de usuario predefinidos o mediante directivas personalizadas totalmente configurables. Los pasos necesarios en este artículo son diferentes para cada método.

Azure Active Directory B2C (Azure AD B2C) se integra directamente con la autenticación multifactor de Microsoft Entra para que pueda agregar una segunda capa de seguridad para registrar e iniciar sesión en las aplicaciones. Si ya ha creado flujos de usuario de registro e inicio de sesión, puede habilitar la autenticación multifactor.

Con el uso de esta funcionalidad, las aplicaciones pueden manejar múltiples escenarios, como:

  • Requerir autenticación multifactor para acceder a una aplicación, pero no requerir que acceda a otra. Por ejemplo, un cliente puede iniciar sesión en una aplicación de seguro automático con una cuenta social o local, pero debe comprobar el número de teléfono antes de acceder a la aplicación de seguro de hogar registrada en el mismo directorio.
  • Requerir autenticación multifactor para acceder a una aplicación en general, pero no requerir que acceda a las partes confidenciales dentro de ella. Por ejemplo, un cliente puede iniciar sesión en una aplicación bancaria con una cuenta social o local y comprobar el saldo de la cuenta, pero debe comprobar el número de teléfono antes de intentar una transferencia bancaria.

Prerrequisitos

Métodos de comprobación

El acceso condicional puede o no suponer un desafío de MFA para los usuarios en función las decisiones de configuración que pueda tomar como administrador. Los métodos de la autenticación multifactor son:

  • Correo electrónico : durante el inicio de sesión, se envía un correo electrónico de verificación que contiene una contraseña única (OTP) al usuario. El usuario proporciona el código OTP que se envió en el correo electrónico a la aplicación.
  • SMS o llamada telefónica : durante el primer registro o inicio de sesión, se pide al usuario que proporcione y compruebe un número de teléfono. Durante los inicios de sesión posteriores, se le pedirá al usuario que seleccione la opción Enviar código o Llamarme . Dependiendo de la elección del usuario, se envía un mensaje de texto o se realiza una llamada telefónica al número de teléfono comprobado para identificar al usuario. El usuario proporciona el código OTP enviado a través de un mensaje de texto o aprueba la llamada telefónica.
  • Solo llamada telefónica : funciona de la misma manera que la opción sms o llamada telefónica, pero solo se realiza una llamada telefónica.
  • Solo SMS: funciona de la misma manera que la opción sms o llamada telefónica, pero solo se envía un mensaje de texto.
  • Aplicación autenticación - TOTP - el usuario debe instalar una aplicación de autenticación que admita la verificación de clave única basada en tiempo (TOTP), como la aplicación Microsoft Authenticator, en un dispositivo que posee. Durante el primer registro o inicio de sesión, el usuario escanea un código QR o escribe un código manualmente mediante la aplicación authenticator. Durante los inicios de sesión posteriores, el usuario escribe el código TOTP que aparece en la aplicación autenticadora. Vea cómo configurar la aplicación Microsoft Authenticator.

Importante

Aplicación de autenticación - TOTP proporciona una seguridad más fuerte que el SMS/el teléfono y el correo electrónico es el menos seguro. La autenticación multifactor basada en SMS/Teléfono incurre en cargos independientes del modelo de precios normal de Azure AD B2C MAU.

Establecimiento de la autenticación multifactor

  1. Inicie sesión en Azure Portal.

  2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar a su inquilino de Azure AD B2C desde el menú Directorios y suscripciones.

  3. En el menú izquierdo, seleccione Azure AD B2C. O bien, seleccione Todos los servicios y busque y seleccione Azure AD B2C.

  4. Seleccione Flujos de usuario.

  5. Seleccione el flujo de usuario para el que desea habilitar MFA. Por ejemplo, B2C_1_signinsignup.

  6. Selecciona Propiedades.

  7. En la sección Autenticación multifactor , seleccione el tipo de método deseado. A continuación, en Cumplimiento de MFA , seleccione una opción:

    • Desactivado : MFA nunca se aplica durante el inicio de sesión y no se pide a los usuarios que se inscriban en MFA durante el registro o el inicio de sesión.

    • Always On : MFA siempre es necesario, independientemente de la configuración del acceso condicional. Durante el registro, se pide a los usuarios que se inscriban en MFA. Durante el inicio de sesión, si los usuarios aún no están inscritos en MFA, se les pedirá que se inscriban.

    • Condicional : durante el registro y el inicio de sesión, se pide a los usuarios que se inscriban en MFA (usuarios nuevos y usuarios existentes que no están inscritos en MFA). Durante el inicio de sesión, MFA solo se aplica cuando una evaluación de directiva de acceso condicional activa lo requiere:

      • Si el resultado es un desafío de MFA que no presenta riesgos, se aplica el MFA. Si el usuario aún no está inscrito en MFA, se le pedirá que se inscriba.
      • Si el resultado es un desafío de MFA debido al riesgo y el usuario no está inscrito en MFA, se bloquea el inicio de sesión.

    Nota:

    • Con la disponibilidad general del acceso condicional en Azure AD B2C, ahora se pide a los usuarios que se inscriban en un método MFA durante el registro. Los flujos de usuario de registro que creó antes de la disponibilidad general no reflejarán automáticamente este nuevo comportamiento, pero puede incluir el comportamiento mediante la creación de nuevos flujos de usuario.
    • Si selecciona Condicional, también deberá agregar acceso condicional a los flujos de usuario y especificar las aplicaciones a las que desea que se aplique la directiva.
    • La autenticación multifactor está deshabilitada de forma predeterminada para los flujos de usuario de registro. Puede habilitar MFA en flujos de usuario con registro telefónico, pero dado que se usa un número de teléfono como identificador principal, el código de acceso de un solo uso de correo electrónico es la única opción disponible para el segundo factor de autenticación.

  8. Haga clic en Guardar. MFA ahora está habilitado para este flujo de usuario.

Puede usar Ejecutar flujo de usuario para comprobar la experiencia. Confirme el escenario siguiente:

Se crea una cuenta de cliente en el inquilino antes de que se produzca el paso de autenticación multifactor. Durante el paso, se le pide al cliente que proporcione un número de teléfono y compruebalo. Si la comprobación se realiza correctamente, el número de teléfono se adjunta a la cuenta para su uso posterior. Incluso si el cliente cancela o se retira, se le puede pedir que compruebe de nuevo un número de teléfono en el siguiente inicio de sesión con la autenticación multifactor habilitada.

Para habilitar la autenticación multifactor, obtenga el paquete de inicio de directivas personalizado de GitHub de la siguiente manera:

  • Descargue el archivo .zip o clone el repositorio desde https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpacky, a continuación, actualice los archivos XML en el paquete de inicio SocialAndLocalAccountsWithMFA con el nombre del inquilino de Azure AD B2C. SocialAndLocalAccountsWithMFA habilita las opciones de inicio de sesión local y social, y las opciones de autenticación multifactor, excepto la opción Authenticator app - TOTP.
  • Para admitir la opción Authenticator app - TOTP MFA, descargue los archivos de directiva personalizados de https://github.com/azure-ad-b2c/samples/tree/master/policies/totpy, a continuación, actualice los archivos XML con el nombre de inquilino de Azure AD B2C. Asegúrese de incluir los archivos XML TrustFrameworkExtensions.xml, TrustFrameworkLocalization.xml, y TrustFrameworkBase.xml del paquete de inicio SocialAndLocalAccounts.
  • Actualice el [diseño de página] a la versión 2.1.14. Para obtener más información, vea Seleccionar un diseño de página.

Inscribir un usuario en TOTP con una aplicación autenticadora (para usuarios finales)

Cuando una aplicación de Azure AD B2C usa la opción TOTP para MFA, los usuarios finales deben usar una aplicación autenticadora para generar códigos TOTP. Los usuarios pueden usar la aplicación Microsoft Authenticator o cualquier otra aplicación autenticadora que admita la comprobación de TOTP. Si usa la aplicación Microsoft Authenticator, un administrador del sistema de Azure AD B2C debe aconsejar a los usuarios finales que configuren la aplicación Microsoft Authenticator mediante los pasos siguientes:

  1. Descargue e instale la aplicación Microsoft Authenticator en su dispositivo móvil Android o iOS.
  2. Abra la aplicación de Azure AD B2C que requiere que use TOTP para MFA, por ejemplo, contoso webapp y, a continuación, inicie sesión o regístrese escribiendo la información necesaria.
  3. Si se le pide que inscriba su cuenta examinando un código QR mediante una aplicación autenticadora, abra la aplicación Microsoft Authenticator en el teléfono y, en la esquina superior derecha, seleccione el icono de menú de 3 puntos (para Android) o + el icono de menú (para iOS).
  4. Seleccione + Agregar cuenta.
  5. Seleccione Otra cuenta (Google, Facebook, etc.) y, a continuación, examine el código QR que se muestra en la aplicación de Azure AD B2C para inscribir su cuenta. Si no puede escanear el código QR, puede agregar la cuenta manualmente:
    1. En la aplicación Microsoft Authenticator en el teléfono, seleccione O ESCRIBA CÓDIGO MANUALMENTE.
    2. En la aplicación Azure AD B2C, seleccione ¿Sigue teniendo problemas?. Esto muestra el nombre de la cuenta y el secreto.
    3. Escriba el nombre de la cuenta y el secreto en la aplicación Microsoft Authenticator y, a continuación, seleccione FINALIZAR.
  6. En la aplicación Azure AD B2C, seleccione Continuar.
  7. En Escriba el código, escriba el código que aparece en la aplicación Microsoft Authenticator.
  8. Seleccione Comprobar.
  9. Durante el inicio de sesión posterior en la aplicación, escriba el código que aparece en la aplicación Microsoft Authenticator.

Más información sobre los tokens de software OATH

Eliminar la inscripción del autenticador TOTP de un usuario (para administradores del sistema)

En Azure AD B2C, puede eliminar la inscripción de aplicaciones de autenticación TOTP de un usuario. A continuación, el usuario se verá obligado a volver a inscribir su cuenta para volver a usar la autenticación TOTP. Para eliminar la inscripción TOTP de un usuario, puede usar el portal de Azure o la API de Microsoft Graph.

Nota:

  • La eliminación de la inscripción de una aplicación autenticadora TOTP de un usuario de Azure AD B2C no elimina la cuenta del usuario en la aplicación autenticadora TOTP en su dispositivo. El administrador del sistema debe dirigir al usuario para eliminar manualmente su cuenta de la aplicación de autenticación TOTP en su dispositivo antes de intentar inscribirse de nuevo.
  • Si el usuario elimina accidentalmente su cuenta de la aplicación de autenticación TOTP, debe notificar a un administrador del sistema o propietario de la aplicación que pueda eliminar la inscripción del autenticador TOTP del usuario de Azure AD B2C para que el usuario pueda volver a inscribirse.

Eliminación de la inscripción de aplicaciones autenticadoras TOTP mediante Azure Portal

  1. Inicie sesión en Azure Portal.
  2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar a su inquilino de Azure AD B2C desde el menú Directorios y suscripciones.
  3. En el menú izquierdo, seleccione Usuarios.
  4. Busque y seleccione el usuario para el que desea eliminar la inscripción de la aplicación autenticadora TOTP.
  5. En el menú izquierdo, seleccione Métodos de autenticación.
  6. En Métodos de autenticación utilizables, busque Token OATH de software y, a continuación, seleccione el menú de puntos suspensivos situado junto a él. Si no ve esta interfaz, seleccione la opción "Cambiar a la nueva experiencia de métodos de autenticación de usuario! Haga clic aquí para usarlo ahora" para cambiar a la nueva experiencia de métodos de autenticación.
  7. Seleccione Eliminar y para confirmar.

Captura de pantalla de la página Métodos de autenticación en Azure Portal con el elemento de menú Métodos de autenticación, método de autenticación de token OATH de software y el botón Eliminar resaltado

Eliminación de la inscripción de aplicaciones autenticadoras TOTP mediante Microsoft Graph API

Obtenga información sobre cómo eliminar el método de autenticación de token OATH de software de un usuario mediante Microsoft Graph API.

Planes de tarifa de SMS por país o región

En la tabla siguiente se proporcionan detalles sobre los distintos planes de tarifa para los servicios de autenticación basados en SMS en varios países o regiones. Para más información sobre los precios, consulte Precios de Azure AD B2C.

SMS es una característica de complemento y requiere una suscripción vinculada. Si la suscripción expira o se cancela, los usuarios finales ya no podrán autenticarse mediante SMS, lo que podría impedir que inicien sesión en función de la directiva de MFA.

Categoría Países o regiones
Autenticación telefónica de bajo coste Australia, Brasil, Brunéi, Canadá, Chile, China, Colombia, Chipre, Macedonia del Norte, Polonia, Portugal, Corea del Sur, Tailandia, Türkiye, Estados Unidos
Autenticación telefónica de bajo coste medio Groenlandia, Albania, Samoa Americana, Austria, Bahamas, Bahréin, Bosnia & Herzegovina, Botsuana, Costa Rica, República Checa, Dinamarca, Estonia, Islas Feroe, Finlandia, Francia, Grecia, RaE de Hong Kong, Hungría, Islandia, Irlanda, Italia, Japón, Letonia, Lituania, Luxemburgo, RAE de Macao, Malta, México, Moldova, Namibia, Nueva Zelanda, Nicaragua, Noruega, Rumania, Rumania, São Tomé y Príncipe, República De Singapur, Eslovaquia, Islas Salomón, España, Suecia, Suiza, Taiwán, Reino Unido, Islas Vírgenes de los Estados Unidos, Uruguay
Autenticación telefónica de coste medio-alto Andorra, Angola, Anguila, Antártica, Antigua y Barbuda, Argentina, Armenia, Aruba, Barbados, Bélgica, Benín, Bolivia, Bonaire, Curazao, Saba, San Eustaquio y Sint Maarten, Islas Vírgenes Británicas, Bulgaria, Burkina Faso, Camerún, Islas Caimán, República Africana Central, Islas Cook, Côte d'Ivoire, Croacia, Diego García, Yibuti, República Dominicana, Ecuador, El Salvador, Eritrea, Islas Malvinas, Fiyi, Guayana Francesa, Polinesia francesa, Gambia, Georgia, Alemania, Gibraltar, Granada, Guadalupe, Guam, Guinea, Guyana, Honduras, India, Kenia, Kiribati, Laos, Liberia, Malasia, Islas Marshall, Martinica, Mauricio, Mónaco, Montenegro, Montserrat, Países Bajos, Nueva Caledonia, Niue, Omán, Palau, Panamá, Paraguay, Perú, Puerto Rico, Reunión, Ruanda, Santa Elena, Ascensión y Tristán de Acuña, San Cristóbal y Nieves, Santa Lucía, San Pedro y Miquelón, San Vicente y las Granadinas, Saipán, Samoa, San Marino, Arabia Saudí, Sint Maarten, Eslovenia, Sudáfrica, Sudán del Sur, Surinam, Suazilandia (actualmente Reino de Esuatini), Timor Oriental, Tokelau, Tonga, Turcas y Caicos, Tuvalu, Emiratos Árabes Unidos, Vanuatu, Venezuela, Vietnam, Wallis y Futuna
Autenticación telefónica de alto coste Liechtenstein, Bermuda, Cabo Verde, Camboya, República Democrática del Congo, Dominica, Egipto, Guinea Ecuatorial, Ghana, Guatemala, Guinea-Bissau, Israel, Jamaica, Kosovo, Lesoto, Maldivas, Mali, Mauritania, Marruecos, Mozambique, Papúa Nueva Guinea, Filipinas, Qatar, Sierra Leona, Trinidad & Tobago, Ucrania, Zimbabue, Afganistán, Argelia, Azerbaiyán, Bangladesh, Bielorrusia, Belice, Bután, Burundi, Chad, Comoras, Congo, Etiopía, Gabón, Haití, Indonesia, Irak, Jordania, Kuwait, Kirguistán, Líbano, Libia, Madagascar, Malaui, Mongolia, Myanmar, Nauru, Nepal, Níger, Nigeria, Pakistán, Autoridad Nacional Palestina, Rusia, Senegal, Serbia, Somalia, Sri Lanka, Sudán, Tayikistán, Tanzania, República Togolesa, Túnez, Turkmenistán, Uganda, Uzbekistán, Yemen, Zambia

Pasos siguientes