Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La autenticación preferida por el sistema pide a los usuarios que inicien sesión con el método más seguro que han registrado. Es una mejora de seguridad importante para los usuarios que se autentican mediante métodos basados en teléfono. Los administradores pueden habilitar la autenticación preferida por el sistema para mejorar la seguridad de inicio de sesión y desalentar métodos de inicio de sesión menos seguros, como Short Message Service (SMS).
Por ejemplo, si un usuario registró notificaciones push de SMS y Microsoft Authenticator como métodos para MFA, la autenticación preferida por el sistema solicita al usuario que inicie sesión mediante el método de notificación de inserción más seguro. Aún así, el usuario puede optar por iniciar sesión con otro método, pero primero se le pedirá que pruebe el método más seguro que registró.
La autenticación preferida por el sistema es una configuración administrada de Microsoft, que es una directiva tristate:
- Habilitado : solo aplica la autenticación preferida por el sistema al segundo factor (MFA).
- Administrado por Microsoft : mientras está en versión preliminar, un botón de alternancia Aplicar a la autenticación principal y multifactor (versión preliminar) controla si la característica también se aplica a la autenticación principal. Cuando el botón de alternancia está desactivado (valor predeterminado), la autenticación preferida por el sistema solo se aplica al segundo factor. Cuando el interruptor está activado, se aplica tanto al primer como al segundo factor.
- Deshabilitado : desactiva la autenticación preferida por el sistema.
Si no desea habilitar la autenticación preferida por el sistema, cambie el estado a Deshabilitado o excluya usuarios y grupos de la directiva.
Una vez habilitada la autenticación preferida por el sistema, el sistema de autenticación realiza todo el trabajo. Los usuarios no necesitan establecer ningún método de autenticación como predeterminado porque el sistema siempre determina y presenta el método más seguro que registraron.
Limitaciones conocidas
- Al cambiar la directiva de un grupo de destino, es posible que el cambio no surta efecto en el siguiente inicio de sesión del usuario. Se aplica a todos los inicios de sesión posteriores después de eso.
- La directiva de acceso condicional solo se valida para MFA y no se aplica a la autenticación en primer factor.
Habilitación de la autenticación preferida por el sistema en el Centro de administración de Microsoft Entra
Para habilitar la autenticación preferida por el sistema, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.
Vaya aMicrosoft Entra ID>Métodos de autenticación>Configuración.
En Autenticación preferida por el sistema, elija un estado (Administrado por Microsoft o Habilitado) en función de si desea aplicar la autenticación preferida por el sistema a ambos factores o solo al segundo factor. También puede incluir o excluir usuarios o grupos. Los grupos excluidos tienen prioridad sobre los grupos incluidos.
Al establecer el estado en Administrado por Microsoft, aparece un interruptor para Aplicar tanto a la autenticación primaria como a la multifactor (vista previa). Activa el conmutador para aplicar la autenticación preferida del sistema tanto a la autenticación principal como a la secundaria. Cuando el botón de alternancia está desactivado (valor predeterminado), la autenticación preferida por el sistema solo se aplica al segundo factor.
Por ejemplo, en la captura de pantalla siguiente se muestra cómo habilitar la autenticación preferida por el sistema solo para el grupo Ingeniería.
Después de terminar de realizar los cambios, seleccione Guardar.
Habilitación de la autenticación preferida por el sistema mediante graph API
Para habilitar la autenticación preferida por el sistema de antemano, debe elegir un único grupo de destino para la configuración del esquema, como se muestra en el ejemplo de solicitud .
Propiedades de configuración de las características del método de autenticación
De forma predeterminada, la autenticación preferida por el sistema es administrada por Microsoft.
| Propiedad | Tipo | Descripción |
|---|---|---|
| excludeTarget | featureTarget | De esta característica se excluye solo una entidad. Solo puede excluir un grupo de la autenticación preferida por el sistema, que puede ser un grupo dinámico o anidado. |
| includeTarget | featureTarget | En esta característica se incluye solo una entidad. Solo puede incluir un grupo para la autenticación preferida por el sistema, que puede ser un grupo dinámico o anidado. |
| Estado | advancedConfigState | Los valores posibles son: habilitado explícitamente habilita la característica para el grupo seleccionado. Solo se aplica al segundo factor (MFA). disabled deshabilita explícitamente la característica para el grupo seleccionado. el valor predeterminado permite a Microsoft Entra ID administrar si la característica está habilitada o no para el grupo seleccionado. |
Propiedades de destino de las características
La autenticación preferida por el sistema solo se puede habilitar para un único grupo, que puede ser un grupo dinámico o anidado.
| Propiedad | Tipo | Descripción |
|---|---|---|
| identificación | Cuerda | Identificador de registro de la entidad. |
| targetType | featureTargetType | Tipo de entidad de destino, como grupo, rol o unidad administrativa. Los valores posibles son: "group", "administrativeUnit", "role", "unknownFutureValue". |
Use el siguiente punto de conexión de API para habilitar systemCredentialPreferences e incluir o excluir grupos:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Nota
En el Explorador de Graph, debe dar su consentimiento al permiso Policy.ReadWrite.AuthenticationMethod .
Solicitud
En el ejemplo siguiente se excluye un grupo de destino de ejemplo e incluye a todos los usuarios. Para obtener más información, consulte Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Preguntas más frecuentes
¿Cómo determina la autenticación preferida por el sistema el método más seguro?
Cuando un usuario inicia sesión, el proceso de autenticación comprueba qué métodos de autenticación se registran para el usuario. Se pide al usuario que inicie sesión con el método más seguro según el orden siguiente. El orden de los métodos de autenticación es dinámico y se actualiza a medida que cambia el panorama de seguridad y a medida que surgen mejores métodos de autenticación. Los usuarios siempre pueden cancelar y elegir otro método de inicio de sesión disponible. Si su organización tiene directivas de acceso condicional que requieren métodos de autenticación específicos, esas directivas siguen teniendo prioridad sobre el orden de autenticación preferido por el sistema.
| Rango | Credencial | Categoría | Cumple con los requisitos de |
|---|---|---|---|
| 1 | Pase de acceso temporal (TAP) | Recuperación | Autenticación de un solo factor (1FA) + Autenticación multifactor (MFA) |
| 2 | Clave de paso1 | Resistente a la suplantación de identidad (phishing) | Autenticación de un solo factor (1FA) + Autenticación multifactor (MFA) |
| 3 | Autenticación basada en certificados (CBA) | Resistente a la suplantación de identidad (phishing) | 1FA o 1FA + MFA |
| 4 | Notificaciones de Microsoft Authenticator | Autenticación sin contraseña | Autenticación de un solo factor (1FA) + Autenticación multifactor (MFA) |
| 5 | Autenticación multifactor externa (MFA) | — | AMF |
| 6 | Contraseña única basada en el tiempo (TOTP)2 | — | AMF |
| 7 | Telefonía3 | — | AMF |
| 8 | Código QR | Trabajador de primera línea | 1FA |
| 9 | Contraseña | — | 1FA |
1Incluye claves de seguridad, claves de acceso en la aplicación Authenticator, claves de acceso sincronizadas, Windows Hello para empresas y SSO de la plataforma macOS.
2Incluye TOTP de hardware o software de Microsoft Authenticator, Authenticator Lite o aplicaciones de terceros.
3Incluye SMS y llamadas de voz.
Importante
La autenticación basada en certificados (CBA) se colocó anteriormente en el último orden de autenticación preferido por el sistema debido a problemas conocidos con CBA y autenticación preferida por el sistema. Ahora que esos problemas se resuelven, a partir del 18 de marzo de 2026, la autenticación basada en certificados se movió a la tercera posición en el orden de autenticación.
¿Cómo afecta la autenticación preferida por el sistema a la extensión NPS?
La autenticación preferida por el sistema no afecta a los usuarios que inician sesión mediante la extensión Servidor de directivas de red (NPS). Esos usuarios no verán ningún cambio en su experiencia de inicio de sesión.
¿Qué ocurre para los usuarios que no se especifican en la directiva de métodos de autenticación pero están habilitados para la directiva de MFA heredada para todo el inquilino?
La autenticación preferida por el sistema también se aplica a los usuarios que están habilitados para MFA en la directiva de MFA heredada.
¿Pueden los usuarios elegir un método de inicio de sesión diferente?
Sí. La autenticación preferida por el sistema solicita a los usuarios que tengan la credencial registrada más segura, pero los usuarios todavía pueden elegir otros métodos permitidos durante el inicio de sesión.