Configuración de la autenticación basada en SMS con Microsoft Entra ID y habilitación de su uso por parte de los usuarios

La autenticación basada en SMS entra permite a los usuarios iniciar sesión con solo un número de teléfono registrado y un código de acceso de un solo uso (OTP) enviado a través de SMS, sin nombre de usuario ni contraseña necesarios. Esto es diferente de la autenticación multifactor de Entra SMS, que normalmente requiere un nombre de usuario, contraseña y SMS como método MFA. Este método de autenticación está diseñado principalmente para simplificar la experiencia de inicio de sesión de los trabajadores fronline y no se recomienda para los trabajadores de la información (IW).

Entra también tiene una versión preliminar pública de un enfoque alternativo para los trabajadores de primera línea denominado autenticación de código QR que las organizaciones pueden querer tener en cuenta para escenarios de dispositivos compartidos de primera línea.

El resto de este artículo muestra cómo habilitar la autenticación basada en SMS como primer factor para seleccionar usuarios o grupos en microsoft Entra ID. Para ver una lista de las aplicaciones que admiten el uso del inicio de sesión basado en SMS, consulte Compatibilidad con aplicaciones para la autenticación basada en SMS.

Antes de empezar

Estos son algunos puntos importantes antes de empezar:

• Debe habilitar la autenticación por SMS solo para los trabajadores de primera línea.
• Si habilita la autenticación por SMS, asegúrese de seguir los procedimientos recomendados para usar controles de seguridad para el acceso profesional o doméstico a los trabajadores de primera línea. Para obtener más información, consulte Procedimientos recomendados para proteger a los trabajadores de primera línea.
• Si habilita la autenticación por SMS para los trabajadores de primera línea, le sugerimos que considere pasar a usar la autenticación de código QR (versión preliminar), que no es vulnerable a ataques de phishing. Para obtener más información, consulte Métodos de autenticación en Microsoft Entra ID : método de autenticación de código QR (versión preliminar).

Con el fin de simplificar y proteger el inicio de sesión en aplicaciones y servicios, Microsoft Entra ID proporciona varias opciones de autenticación. La autenticación basada en SMS permite a los usuarios, como los trabajadores de frontlone, escribir un código SMS como primer factor para iniciar sesión. Los usuarios no necesitan proporcionar, ni siquiera saber, su nombre de usuario y contraseña.

Después de que un administrador de identidades cree su cuenta, puede escribir su número telefónico en la solicitud de inicio de sesión. Reciben un código de autenticación a través de un mensaje de texto que pueden proporcionar para completar el inicio de sesión. Este método de autenticación simplifica el acceso a las aplicaciones y los servicios, sobre todo para los trabajadores que están en primera línea.

Prerrequisitos

Para completar este artículo, necesitará los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a la suscripción.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Necesita al menos el rol de Administrador de directiva de autenticación en el inquilino de Microsoft Entra para habilitar la autenticación basada en SMS.
• Cada usuario que esté habilitado en la directiva de métodos de autenticación de mensaje de texto debe tener licencia, aunque no la usen. Cada usuario habilitado debe tener una de las siguientes licencias de Microsoft Entra ID, EMS o Microsoft 365:
  • Microsoft 365 F1 o F3
  • Microsoft Entra ID P1 o P2
  • Enterprise Mobility + Security (EMS) E3 o E5 o Microsoft 365 E3 o E5
  • Office 365 F3

Problemas conocidos

A continuación se enumeran algunos problemas conocidos:

• La autenticación basada en SMS no es compatible actualmente con Microsoft Entra Multifactor Authentication.
• A excepción de los Teams, la autenticación basada en SMS no es compatible con las aplicaciones de Office nativas.
• No se admite la autenticación basada en SMS para las cuentas B2B.
• Los usuarios federados no se autenticarán en el inquilino principal. Solo se autentican en la nube.
• Si el método de inicio de sesión predeterminado de un usuario es un mensaje de texto o una llamada al número telefónico, el código SMS o la llamada de voz se envía automáticamente durante la autenticación multifactor. A partir de junio de 2021, algunas aplicaciones pedirán a los usuarios que elijan Texto o Llamada primero. Esta opción evita el envío de demasiados códigos de seguridad para diferentes aplicaciones. Si el método de inicio de sesión predeterminado es la aplicación Microsoft Authenticator (la cual recomendamos encarecidamente), la notificación de la aplicación se enviará automáticamente.
• La sincronización entre inquilinos no admite usuarios con SMS habilitado para el inicio de sesión.

Habilitación del método de autenticación basado en SMS

Para habilitar y usar la autenticación basada en SMS en su organización se necesitan tres pasos principales:

• Habilitar la directiva de métodos de autenticación.
• Seleccionar los usuarios o grupos que pueden usar el método de autenticación basado en SMS.
• Asignar un número telefónico para cada cuenta de usuario.
  • Este número telefónico se puede asignar en el Centro de administración de Microsoft Entra (que se muestra en este artículo) y en Mi personal o Mi cuenta.

Primero vamos a habilitar la autenticación basada en SMS para su inquilino de Microsoft Entra.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

2. Vaya a Entra ID>Métodos de autenticación>Directivas.

3. En la lista de métodos de autenticación disponibles, seleccione Mensaje de texto.

   

4. Seleccione Habilitar y seleccione Usuarios de destino. Puede optar por habilitar la autenticación basada en SMS para Todos los usuarios o Seleccionar usuarios y grupos.

   Nota

   Para configurar la autenticación basada en SMS para el primer factor (es decir, para permitir que los usuarios inicien sesión con este método), active la casilla Usar para inicio de sesión. Si se deja esta opción desactivada, la autenticación basada en SMS solo está disponible para la autenticación multifactor y el autoservicio de restablecimiento de contraseña.

   

Asignación del método de autenticación a usuarios y grupos

Con la autenticación basada en SMS habilitada en su inquilino de Microsoft Entra, seleccione ahora algunos usuarios o grupos a los que va a permitir usar este método de autenticación.

1. En la ventana de la directiva de autenticación de mensajes de texto, establezca Destino en Seleccionar usuarios.
2. Elija Agregar usuarios o grupos y, luego, seleccione Contoso User (Usuario de Contoso) o Contoso SMS Users (Usuarios de SMS de Contoso) como usuario o grupo de prueba.
3. Cuando haya seleccionado los usuarios o grupos, elija Seleccionar y, luego, Guardar la directiva de métodos de autenticación actualizada.

Cada usuario que esté habilitado en la directiva de métodos de autenticación de mensaje de texto debe tener licencia, aunque no la usen. Asegúrese de tener las licencias adecuadas para los usuarios que habilita en la directiva de métodos de autenticación, en especial cuando se habilita la característica para grupos de usuarios de gran tamaño.

Establecimiento de un número telefónico para las cuentas de usuario

Los usuarios ya están habilitados para la autenticación basada en SMS, pero su número telefónico debe estar asociado con el perfil de usuario en Microsoft Entra ID para poder iniciar sesión. El usuario puede establecer este número telefónico por sí mismo en Mi cuenta, o bien se puede asignar mediante el Centro de administración de Microsoft Entra. Los números telefónicos se pueden establecer con al menos el rol de Administrador de autenticación.

Cuando se establece un número telefónico para el inicio de sesión basado en SMS, también se puede usar con Microsoft Entra Multifactor Authentication y el autoservicio de restablecimiento de contraseña.

1. Busque y seleccione Id. de Entra deMicrosoft.

2. En el menú de navegación del lado izquierdo de la ventana de Microsoft Entra, seleccione Usuarios.

3. Seleccione el usuario que habilitó para la autenticación basada en SMS en la sección anterior, por ejemplo, Contoso User (Usuario de Contoso) y, luego, seleccione Métodos de autenticación.

4. Seleccione + Agregar método de autenticación y, después, en el menú desplegable Elegir método, elija número telefónico.

   Escriba el número telefónico del usuario, incluido el código de país, por ejemplo, +1 xxxxxxxxx. El centro de administración de Microsoft Entra valida que el número telefónico tenga el formato correcto.

   A continuación, en el menú desplegable Tipo de teléfono, seleccione Móvil, Teléfono móvil alternativo u Otros según sea necesario.

   

   El número telefónico debe ser único en el inquilino. Si intenta usar el mismo número telefónico para varios usuarios, se muestra un mensaje de error.

5. Para aplicar el número telefónico a la cuenta de un usuario, seleccione Agregar.

Cuando se aprovisiona correctamente, aparece una marca de verificación en SMS Sign-in enabled (Habilitado para el inicio de sesión de SMS).

Prueba del inicio de sesión basado en SMS

Para probar la cuenta de usuario que ahora está habilitada para el inicio de sesión basado en SMS, siga estos pasos:

1. Abra una nueva ventana del explorador web en modo de incógnito o InPrivate en https://www.office.com.

2. En la esquina superior derecha, seleccione Iniciar sesión.

3. En la solicitud de inicio de sesión, escriba el número telefónico asociado al usuario en la sección anterior y, luego, seleccione Siguiente.

   

4. Se envía un mensaje de texto al número telefónico proporcionado. Para completar el proceso de inicio de sesión, escriba el código de 6 dígitos proporcionado en el mensaje de texto en la solicitud de inicio de sesión.

   

5. El usuario ya ha iniciado sesión sin necesidad de proporcionar un nombre de usuario o una contraseña.

Solución de problemas de inicio de sesión basado en SMS

Puede usar los siguientes escenarios y pasos de solución de problemas si tiene problemas con la habilitación y el uso del inicio de sesión basado en SMS. Para ver una lista de las aplicaciones que admiten el uso del inicio de sesión basado en SMS, consulte Compatibilidad con aplicaciones para la autenticación basada en SMS.

número telefónico ya establecido para una cuenta de usuario

Si un usuario ya se ha registrado en Microsoft Entra Multifactor Authentication y/o el autoservicio de restablecimiento de contraseña (SSPR), ya tiene un número telefónico asociado a su cuenta. Este número telefónico no está disponible automáticamente para su uso con el inicio de sesión por SMS.

Los usuarios que tengan un número telefónico ya establecido para su cuenta verán un botón Enable for SMS sign-in (Habilitar para el inicio de sesión único) en su página Mi perfil. Al seleccionar este botón, la cuenta se habilita para usar el inicio de sesión basado en SMS y el registro anterior en Microsoft Entra Multifactor Authentication o SSPR.

Para más información sobre la experiencia de usuario final, consulte Experiencia de usuario de inicio de sesión de SMS para el número telefónico.

Error al intentar establecer un número telefónico en la cuenta de un usuario

Si recibe un error al intentar establecer un número telefónico para una cuenta de usuario en Microsoft Entra, revise los siguientes pasos de solución de problemas:

1. Asegúrese de que está habilitado para el inicio de sesión basado en SMS.
2. Confirme que la cuenta de usuario está habilitada en la directiva de métodos de autenticación de mensaje de texto.
3. Asegúrese de establecer el número telefónico con el formato adecuado, tal como se ha validado en el Centro de administración de Microsoft Entra (por ejemplo, +1 4251234567).
4. Asegúrese de que el número telefónico no se usa en ningún otro lugar del inquilino.
5. Compruebe que no hay ningún número de voz establecido en la cuenta. Si hay establecido un número de voz, elimínelo y vuelva a probar con el número telefónico.

Pasos siguientes

• Para ver una lista de las aplicaciones que admiten el uso del inicio de sesión basado en SMS, consulte Compatibilidad con aplicaciones para la autenticación basada en SMS.
• Para conocer más formas de iniciar sesión en Microsoft Entra ID sin contraseña, como las claves de seguridad de la aplicación Microsoft Authenticator o FIDO2, consulte Opciones de autenticación sin contraseña de Microsoft Entra ID.
• También puede utilizar Microsoft Graph API REST para habilitar o deshabilitar el inicio de sesión basado en SMS.