Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator

Microsoft Authenticator se puede utilizar para iniciar sesión en cualquier cuenta de Microsoft Entra sin utilizar una contraseña. Microsoft Authenticator usa la autenticación basada en claves para habilitar una credencial de usuario vinculada a un dispositivo que usa un PIN o un elemento biométrico. Windows Hello para empresas usa una tecnología similar.

Esta tecnología de autenticación se puede usar en cualquier plataforma de dispositivos, incluidas plataformas para dispositivos móviles. Esta tecnología también se puede usar con cualquier aplicación o sitio web que se integre con las bibliotecas de autenticación de Microsoft.

Screenshot that shows an example of a browser sign-in asking for the user to approve the sign-in.

Las personas que habilitaron el inicio de sesión en el teléfono desde Authenticator ven un mensaje que les pide que pulsen un número en su aplicación. No se solicita ningún nombre de usuario ni contraseña. Para completar el proceso de inicio de sesión en la aplicación, el usuario debe realizar las siguientes acciones:

  1. Indique el número que se ve en la pantalla de inicio de sesión en el cuadro de diálogo referente a la aplicación Authenticator.
  2. Elija Aprobar.
  3. Proporcionar su PIN o elemento biométrico.

Varias cuentas en iOS

Puede habilitar el inicio de sesión telefónico sin contraseña para varias cuentas en Microsoft Authenticator en cualquier dispositivo iOS compatible. Los consultores, los alumnos y otros con varias cuentas de Microsoft Entra ID pueden agregar las cuentas a Microsoft Authenticator y usar el inicio de sesión telefónico sin contraseña para todas ellas desde el mismo dispositivo iOS.

Anteriormente, los administradores podían no requerir el inicio de sesión sin contraseña para los usuarios con varias cuentas, ya que requiere que tengan más dispositivos para el inicio de sesión. Al quitar la limitación del inicio de sesión de un usuario desde un dispositivo, los administradores pueden animar a los usuarios a registrar el inicio de sesión telefónico sin contraseña y usarlo como método de inicio de sesión predeterminado.

Las cuentas de Microsoft Entra pueden estar en el mismo inquilino o en inquilinos diferentes. No se admiten cuentas de invitado para los inicios de sesión de varias cuentas desde un dispositivo.

Prerrequisitos

Para usar el inicio de sesión telefónico sin contraseña con Authenticator, se deben cumplir los siguientes requisitos previos:

  • Recomendado: autenticación multifactor de Microsoft Entra, con notificaciones de inserción permitidas como método de verificación. Las notificaciones de inserción en su smartphone o tableta ayudan a la aplicación Authenticator a impedir el acceso no autorizado a las cuentas y a detener las transacciones fraudulentas. La aplicación Authenticator genera automáticamente códigos cuando se configuran para realizar notificaciones push. Un usuario tiene un método de inicio de sesión de copia de seguridad incluso si su dispositivo no tiene conectividad.
  • Tener instalada la versión más reciente de Microsoft Authenticator en dispositivos con iOS o Android.
  • En el caso de Android, el dispositivo que ejecuta Microsoft Authenticator debe estar registrado en un usuario individual. Estamos trabajando activamente para habilitar varias cuentas en Android.
  • En el caso de iOS, el dispositivo debe registrarse en cada inquilino donde se usa para iniciar sesión. Por ejemplo, el siguiente dispositivo debe registrarse en Contoso y Wingtiptoys para permitir que todas las cuentas inicien sesión:
    • balas@contoso.com
    • balas@wingtiptoys.com y bsandhu@wingtiptoys

Para usar la autenticación sin contraseña en Microsoft Entra ID, habilite primero la experiencia de registro combinado y, luego, el método sin contraseña para los usuarios.

Habilitar métodos de autenticación de inicio de sesión en el teléfono sin contraseña

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Microsoft Entra ID le permite elegir los métodos de autenticación que se pueden usar durante el proceso de inicio de sesión. A continuación, los usuarios se registran en los métodos que desean usar. La directiva del método de autenticación Microsoft Authenticator administra el método tradicional de inserción de la autenticación multifactor y el método de autenticación sin contraseña.

Nota:

Si habilitó el inicio de sesión sin contraseña de Microsoft Authenticator mediante PowerShell, se habilitó para todo el directorio. Si habilita el uso de este nuevo método, reemplaza a la directiva de PowerShell. Se recomienda habilitarla para todos los usuarios del inquilino mediante el nuevo menú Métodos de autenticación; de lo contrario, los usuarios que no estén en la nueva directiva no pueden iniciar sesión sin una contraseña.

Siga estos pasos para habilitar el método de autenticación para el inicio de sesión en teléfono sin contraseña:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Protección>Métodos de autenticación>Directivas.

  3. En Microsoft Authenticator, elija las opciones siguientes:

    1. Habilitar: Sí o No
    2. Destino: Todos los usuarios o Seleccionar usuarios
  4. Cada grupo o usuario agregado está habilitado de manera predeterminada para usar Microsoft Authenticator en los modos de notificación push y sin contraseña (modo "Cualquiera"). A fin de cambiar el modo, para cada fila del Modo de autenticación, elija Cualquiera o Sin contraseña. Al elegir Insertar se impide el uso de la credencial de inicio de sesión telefónico sin contraseña.

  5. Para aplicar la nueva directiva, haga clic en Guardar.

    Nota:

    Si ve un error al intentar guardar, la causa podría deberse al número de usuarios o grupos que se agregan. Como solución alternativa, reemplace los usuarios y grupos que está intentando agregar por un único grupo en la misma operación y, después, seleccione Guardar otra vez.

Registro de usuarios

Los usuarios se registran directamente en el método de autenticación sin contraseña de Microsoft Entra ID. Para los usuarios que ya han registrado la aplicación Microsoft Authenticator para la autenticación multifactor, vaya a la sección siguiente, Habilitación del inicio de sesión en el teléfono.

Registro directo de inicio de sesión telefónico

Los usuarios pueden registrarse para el inicio de sesión telefónico sin contraseña directamente en la aplicación Microsoft Authenticator sin necesidad de registrar Microsoft Authenticator en su cuenta, todo esto sin adquirir jamás una contraseña. A continuación se muestra cómo hacerlo:

  1. Adquiera un pase de acceso temporal del administrador o la organización.
  2. Descargue e instale la aplicación Microsoft Authenticator en su dispositivo móvil.
  3. Abra Microsoft Authenticator y haga clic en Agregar cuenta y, a continuación, elija Cuenta profesional o educativa.
  4. Elija Iniciar sesión.
  5. Siga las instrucciones para iniciar sesión con su cuenta mediante el pase de acceso temporal proporcionado por el administrador o la organización.
  6. Una vez que haya iniciado sesión, siga los pasos adicionales para configurar el inicio de sesión telefónico.

Registro guiado con Mis inicios de sesión

Nota

Los usuarios solo podrán registrar Microsoft Authenticator a través del registro combinado si el modo de autenticación de Microsoft Authenticator estuviera en Cualquiera o Inserción.

Para registrar la aplicación Microsoft Authenticator, siga estos pasos:

  1. Vaya a https://aka.ms/mysecurityinfo.
  2. Inicie sesión y, después, seleccione Agregar método>Aplicación Authenticator>Agregar para agregar Microsoft Authenticator.
  3. Siga las instrucciones para instalar y configurar la aplicación Microsoft Authenticator en el dispositivo.
  4. Seleccione Listo para completar la configuración de Microsoft Authenticator.

Habilitación de inicio de sesión telefónico

Una vez que los usuarios se hayan registrado en la aplicación Microsoft Authenticator, deben habilitar el inicio de sesión en el teléfono:

  1. En Microsoft Authenticator, seleccione la cuenta registrada.
  2. Seleccione Habilitar inicio de sesión en el teléfono.
  3. Siga las instrucciones de la aplicación para terminar de registrar la cuenta para el inicio de sesión en el teléfono sin contraseña.

Una organización puede dirigir a sus usuarios para que inicien sesión con sus teléfonos, sin usar una contraseña. Para obtener más información sobre la configuración de Microsoft Authenticator y la habilitación del inicio de sesión en el teléfono, consulte Inicio de sesión en sus cuentas mediante la aplicación Microsoft Authenticator.

Nota

Los usuarios a los que la directiva no permite usar el inicio de sesión con el teléfono ya no pueden habilitarlo en la aplicación Authenticator.

Iniciar sesión con credenciales sin contraseña

Un usuario puede empezar a emplear el inicio de sesión sin contraseña una vez completadas todas las acciones siguientes:

  • Un administrador ha habilitado el inquilino del usuario.
  • El usuario ha añadido la aplicación Authenticator como método de inicio de sesión.

La primera vez que un usuario inicia el proceso de inicio de sesión en el teléfono, realiza los pasos siguientes:

  1. Escriba su nombre en la página de inicio de sesión.
  2. Selecciona Siguiente.
  3. Si es necesario, selecciona Otras formas de iniciar sesión.
  4. Selecciona Aprobar una solicitud en la aplicación Authenticator.

A continuación, se presenta un número al usuario. La aplicación solicita al usuario que se autentique y escriba el número adecuado, en lugar de una contraseña.

Una vez que el usuario ha utilizado el inicio de sesión en el teléfono sin contraseña, la aplicación continúa guiando al usuario por este método. El usuario también verá la opción para elegir otro método.

Screenshot that shows an example of a browser sign-in using the Microsoft Authenticator app.

Administración

La directiva de métodos de autenticación es la manera recomendada de administrar Microsoft Authenticator. Los administradores de directivas de autenticación pueden editar esta directiva para que habilite o deshabilite Microsoft Authenticator. Los administradores pueden incluir o excluir a usuarios y grupos específicos de su uso.

Los administradores también pueden configurar parámetros para controlar mejor cómo se puede usar Microsoft Authenticator. Por ejemplo, pueden agregar la ubicación o el nombre de la aplicación a la solicitud de inicio de sesión para que los usuarios tengan un contexto mayor antes de aprobarla.

Los administradores globales también pueden administrar Microsoft Authenticator en todo el inquilino mediante directivas heredadas de MFA y SSPR. Estas directivas permiten habilitar o deshabilitar Microsoft Authenticator para todos los usuarios del inquilino. No hay opciones para incluir o excluir a nadie, ni controlar cómo se puede usar Microsoft Authenticator para el inicio de sesión.

Problemas conocidos

Existen los siguientes problemas conocidos.

No se ve la opción para el inicio de sesión con el teléfono sin contraseña.

En un escenario, un usuario puede tener una verificación de inicio de sesión en el teléfono sin contraseña que está pendiente de respuesta. Si el usuario intenta iniciar sesión de nuevo, es posible que solo vea la opción de escribir una contraseña.

Siga estos pasos para resolver este escenario:

  1. Abrir la aplicación Authenticator.
  2. Responda a los mensajes de notificación.

Después, el usuario puede continuar usando el inicio de sesión en el teléfono sin contraseña.

No se admite AuthenticatorAppSignInPolicy

AuthenticatorAppSignInPolicy es una directiva heredada no admitida con Microsoft Authenticator. Para habilitar a los usuarios para que puedan usar notificaciones de inserción o inicio de sesión telefónico sin contraseña con la aplicación Authenticator, use la directiva Métodos de autenticación.

Cuentas federadas

Cuando un usuario ha habilitado una credencial sin contraseña, el proceso de inicio de sesión de Microsoft Entra deja de usar login_hint. Por lo tanto, el proceso ya no guía al usuario hacia una ubicación de inicio de sesión federada.

Por lo general, esta lógica impide que se dirija a un usuario de un inquilino híbrido a Active Directory Federated Services (AD FS) para la verificación del inicio de sesión. Sin embargo, el usuario sigue teniendo la opción de hacer clic en Use su contraseña en su lugar.

Usuarios locales

Se puede habilitar la autenticación multifactor para un usuario final mediante un proveedor de identidades local. El usuario puede seguir creando y usando una única credencial de inicio de sesión de teléfono sin contraseña.

Si el usuario intenta actualizar varias instalaciones (más de 5) de la aplicación Authenticator con la credencial de inicio de sesión en el teléfono sin contraseña, este cambio puede dar lugar a un error.

Pasos siguientes

Para obtener información sobre la autenticación de Microsoft Entra y los métodos sin contraseña, consulte los siguientes artículos: