Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Authenticator proporciona otro nivel de seguridad a su cuenta profesional o educativa de Microsoft Entra o a su cuenta Microsoft. Ya se encuentra disponible para Android e iOS. Con la aplicación Microsoft Authenticator los usuarios pueden autenticarse sin contraseña durante el inicio de sesión. También pueden usarlo como opción de verificación durante el restablecimiento de contraseña en autoservicio (SSPR) o para autenticación multifactor (MFA).
Microsoft Authenticator admite clave de acceso, inicio de sesión sin contraseña y MFA mediante notificaciones y códigos de verificación.
- Los usuarios pueden iniciar sesión con una clave de acceso en la aplicación Authenticator y completar un proceso de autenticación resistente a la suplantación de identidad con su PIN de dispositivo o mediante un inicio de sesión biométrico.
- Los usuarios pueden configurar las notificaciones de Authenticator e iniciar sesión con Authenticator en lugar de con su nombre de usuario y contraseña.
- Los usuarios pueden recibir una solicitud MFA en su dispositivo móvil, y aprobar o denegar el intento de inicio de sesión desde su teléfono móvil.
- También pueden usar un código de verificación OATH en la aplicación Authenticator y escribirlo en una interfaz de inicio de sesión.
Para más información, véase Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator.
Nota
Los usuarios de Android con versiones del Portal de empresa inferiores a 2111 (5.0.5333.0) no pueden registrar Authenticator hasta que actualicen su aplicación portal de empresa a una versión más reciente.
Inicio de sesión con clave de acceso
Authenticator es una solución de clave de acceso gratuita que permite a los usuarios realizar autenticaciones resistentes a suplantación de identidad sin contraseña desde sus propios teléfonos. Algunas ventajas clave de usar claves de acceso en la aplicación Authenticator:
- Las claves de paso se pueden implementar fácilmente a gran escala. Las claves de acceso están disponibles en el teléfono del usuario tanto para escenarios de administración de dispositivos móviles (MDM) como para escenarios BYOD.
- Las claves de paso en Authenticator no tienen más costo y viajan con el usuario dondequiera que vayan.
- Las claves de paso en Authenticator están enlazadas al dispositivo, lo que garantiza que la clave de acceso no deje el dispositivo en el que se creó.
- Los usuarios se mantienen al día con la última innovación de clave de paso en función de los estándares abiertos de WebAuthn.
- Las empresas pueden superponer otras funcionalidades sobre flujos de autenticación, como Estándares federales de procesamiento de información (FIPS) 140.
Clave de acceso enlazada al dispositivo
Las claves de acceso de la aplicación Authenticator están enlazadas al dispositivo para asegurarse de que nunca dejan el dispositivo en el que se crearon. En un dispositivo iOS, Authenticator usa Secure Enclave para crear la clave de acceso. En Android, creamos la clave de acceso en el Secure Element en los dispositivos que lo admiten o se revierte al entorno de ejecución de confianza (TEE).
Funcionamiento de la atestación de clave de acceso con Authenticator
Cuando la atestación se encuentra habilitada en la directiva de Clave de acceso (FIDO2), Microsoft Entra ID intenta comprobar la legitimidad del modelo de clave de seguridad o el proveedor de claves de acceso donde se ha creado la clave de acceso. Cuando un usuario registra una clave de paso en Authenticator la atestación comprueba que una aplicación Microsoft Authenticator legítima ha creado la clave de acceso, por medio de los servicios de Apple y Google. Estos son los detalles sobre la manera en la que funciona la atestación para cada plataforma:
iOS: la atestación de Authenticator hace uso del Servicio de atestación de aplicaciones de iOS para garantizar la legitimidad de la aplicación Authenticator antes de registrar la clave de paso.
Androide:
- En el caso de atestación Play Integrity, la atestación de Authenticator utiliza la API Play Integrity para garantizar la legitimidad de la aplicación Authenticator antes de registrar la clave de paso.
- Para la atestación de claves, la atestación de Authenticator usa la atestación de claves de Android para comprobar que la clave de paso que está siendo registrada está respaldada por hardware.
Nota
Tanto para iOS como para Android, la atestación Authenticator se basa en los servicios de Apple y Google para comprobar la autenticidad de la aplicación Authenticator. Un uso intensivo del servicio puede hacer que se produzca un error en el registro de la clave de paso y es posible que los usuarios necesiten volver a intentarlo. Si los servicios de Apple y Google se encuentran caídos la atestación Authenticator bloquea el registro que requiere atestación hasta que se restauren dichos servicios. Para supervisar el estado del servicio Google Play Integrity, consulte Panel de estado de Google Play. Para supervisar el estado del App Attest de iOS, consulte Estado del sistema.
Para más información sobre cómo configurar la atestación, véase Habilitación de claves de paso en Microsoft Authenticator para Microsoft Entra ID.
Inicio de sesión sin contraseña mediante notificaciones
En lugar de ver una solicitud de contraseña después de escribir un nombre de usuario, los usuarios que han habilitado el inicio de sesión en el teléfono desde la aplicación Authenticator ven un mensaje para indicar un número en su aplicación. Una vez seleccionado el número correcto, se completa el proceso de inicio de sesión.
Este método de autenticación proporciona un alto nivel de seguridad y elimina la necesidad de que el usuario proporcione una contraseña en el inicio de sesión.
Para empezar a usar el inicio de sesión sin contraseña, consulte Habilitar el inicio de sesión sin contraseña en Azure AD con Microsoft Authenticator.
MFA a través de notificaciones de la aplicación móvil
La aplicación Authenticator puede ayudar a impedir el acceso no autorizado a las cuentas y detener las transacciones fraudulentas mediante el envío de una notificación al smartphone o a la tableta. Los usuarios ven la notificación y, si es legítima, seleccionan Comprobar. De lo contrario, pueden seleccionar Denegar.
Nota
A partir de agosto de 2023, los inicios de sesión anómalos no generan notificaciones, de forma similar a cómo los inicios de sesión desde ubicaciones desconocidas no generan notificaciones. Para aprobar un inicio de sesión anómalo, los usuarios pueden abrir Microsoft Authenticator o Authenticator Lite en una aplicación complementaria relevante como Outlook. A continuación, pueden deslizar hacia abajo para actualizar o pulsar Actualizar y aprobar la solicitud.
En China, el método de Notificación a través de la aplicación móvil en dispositivos Android no funciona porque los servicios de Google Play (incluidas las notificaciones push) están bloqueados en la región. Sin embargo, las notificaciones de iOS sí funcionan. Para los dispositivos Android, deben ponerse a disposición de esos usuarios métodos de autenticación alternativos.
Código de verificación desde aplicación móvil
La aplicación Authenticator puede utilizarse como un token de software para generar un código de verificación de OATH. Después de escribir el nombre de usuario y la contraseña, especifique el código que facilita la aplicación Authenticator en la interfaz de inicio de sesión. El código de verificación es una forma adicional de autenticación.
Nota
Los códigos de verificación OATH generados por Authenticator no se admiten para la autenticación basada en certificados.
Los usuarios pueden tener una combinación de hasta cinco tokens de hardware OATH o aplicaciones de autenticación, como la aplicación Authenticator, configurada para utilizarse en cualquier momento.
Compatible con FIPS 140 para la autenticación de Microsoft Entra
De conformidad con las directrices descritas en la publicación especial 800-63B del Instituto Nacional de Estándares y Tecnologías (NIST), los autenticadores utilizados por las agencias gubernamentales de ESTADOS Unidos deben usar criptografía validada fiPS 140. Esta guía ayuda a las agencias gubernamentales de Estados Unidos a cumplir los requisitos de la Orden Ejecutiva (EO) 14028. Además, esta guía ayuda a otras industrias reguladas, como las organizaciones sanitarias que trabajan con recetas electrónicas para sustancias controladas (EPCS) a cumplir sus requisitos normativos.
FIPS 140 es un estándar del gobierno de EE. UU. que define los requisitos mínimos de seguridad para los módulos criptográficos en sistemas y productos de tecnologías de la información. El Programa de validación de módulos criptográficos (CMVP) mantiene las pruebas con el estándar FIPS 140.
Microsoft Authenticator para iOS
A partir de la versión 6.6.8, Microsoft Authenticator para iOS usa el módulo nativo Apple CoreCrypto para la criptografía validada por FIPS en dispositivos compatibles con FIPS 140 de iOS de Apple. Todas las autenticaciones de Microsoft Entra mediante claves de acceso enlazadas a dispositivos resistentes a suplantación de identidad, autenticaciones multifactor (MFA) de inserción, Inicio de sesión con teléfono sin contraseña (PSI) y códigos de acceso de un solo uso (TOTP) basados en tiempo usan la criptografía FIPS.
Para obtener más información sobre los módulos criptográficos validados fiPS 140 que se usan y los dispositivos iOS compatibles, consulte Certificaciones de seguridad de Apple iOS.
Microsoft Authenticator para Android
A partir de la versión 6.2409.6094 de Microsoft Authenticator para Android, todas las autenticaciones de Microsoft Entra ID, incluidas las claves de paso, se consideran conformes con FIPS. Authenticator usa el módulo criptográfico wolfSSL Inc. para lograr el cumplimiento de FIPS 140, nivel de seguridad 1 en dispositivos Android. Para obtener más información sobre la certificación, vea Programa de validación de módulos criptográficos.
Determinar el tipo de registro de Microsoft Authenticator en Información de seguridad
Los usuarios pueden acceder a Información de seguridad (consulte las direcciones URL en la sección siguiente) o seleccionando Información de seguridad de MyAccount para administrar y añadir más registros Microsoft Authenticator. Los iconos específicos se usan para diferenciar si el registro de Microsoft Authenticator tiene habilitado el inicio de sesión telefónico sin contraseña o MFA.
| Tipo de registro de Authenticator | Icono |
|---|---|
| Microsoft Authenticator: inicio de sesión en el teléfono sin contraseña |  |
| Microsoft Authenticator (código de notificación) |  |
Vínculos SecurityInfo
| Nube | URL de la información de seguridad |
|---|---|
| Azure Commercial (incluye Government Community Cloud (GCC)) | https://aka.ms/MySecurityInfo |
| Azure para la Administración Pública de EE. UU. (incluye GCC High y DoD) | https://aka.ms/MySecurityInfo-us |
Actualizaciones de Authenticator
Microsoft actualiza continuamente Authenticator para mantener un alto nivel de seguridad. Para asegurarse de que los usuarios obtengan la mejor experiencia posible, se recomienda que actualicen continuamente su aplicación Authenticator. En el caso de actualizaciones de seguridad críticas, es posible que las versiones de la aplicación que no estén actualizadas no funcionen y puedan impedir que los usuarios completen su autenticación. Si un usuario utiliza una versión de la aplicación que no está soportada, se le pedirá que actualice a la versión más reciente antes de continuar con el inicio de sesión.
Microsoft también retira de forma periódica las versiones anteriores de la aplicación Authenticator para así proporcionar una protección de alta seguridad a su organización. Si el dispositivo de un usuario no admite versiones modernas de Microsoft Authenticator, no podrá iniciar sesión con la aplicación. Se recomienda iniciar sesión con un código de verificación OATH en Microsoft Authenticator para completar MFA.
Pasos siguientes
Para empezar a trabajar con claves de paso, consulte Habilitación de claves de paso en Microsoft Authenticator para Microsoft Entra ID.
Para más información sobre el inicio de sesión sin contraseña, consulte Habilitar el inicio de sesión sin contraseña en Azure AD con Microsoft Authenticator.
Más información sobre la configuración de métodos de autenticación con la API REST de Microsoft Graph.