Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La autenticación preferida por el sistema pide a los usuarios que inicien sesión con el método más seguro que han registrado. Es una mejora de seguridad importante para los usuarios que se autentican mediante métodos menos seguros, como contraseñas o SMS.
Por ejemplo, si un usuario registró una contraseña y una clave de acceso, la autenticación preferida por el sistema solicita al usuario que inicie sesión con la clave de acceso en lugar de la contraseña. Aún así, el usuario puede optar por iniciar sesión con otro método, pero primero se le pedirá que pruebe el método más seguro que registró.
La autenticación preferida por el sistema es una configuración administrada por Microsoft, que es una directiva de tres estados (habilitada, deshabilitada o administrada por Microsoft). Si no desea habilitar la autenticación preferida por el sistema, cambie el estado de Microsoft managed a Disabled o excluya usuarios y grupos de la directiva.
Una vez habilitada la autenticación preferida por el sistema, el sistema de autenticación realiza todo el trabajo. Los usuarios no necesitan establecer ningún método de autenticación como predeterminado porque el sistema siempre determina y presenta el método más seguro que registraron.
Cómo se aplica la autenticación preferida por el sistema al inicio de sesión
La autenticación preferida por el sistema tiene tres modos:
- Deshabilitado: no hay ningún cambio en la lógica de inicio de sesión.
- Habilitado : la autenticación preferida por el sistema solo se aplica a segundo factor. El comportamiento de inicio de sesión existente continúa aplicándose a la autenticación en primer factor.
- Microsoft managed: la autenticación preferida por el sistema se aplica tanto a la autenticación de primer factor como a la autenticación en segundo factor. El sistema evalúa qué credenciales se registran para el usuario y selecciona el método clasificado más alto para cada paso de autenticación.
Los modos habilitados y administrados de Microsoft permiten a los administradores incluir o excluir usuarios o grupos específicos.
Sugerencia
Si no desea que la autenticación preferida por el sistema se aplique a la autenticación en primer factor, cambie de Microsoft managed a Enabled. El estado Enabled aplica la lógica preferida por el sistema solo a segundo factor.
Nota:
La autenticación preferida por el sistema se limita a los usuarios, no a los dispositivos. Los administradores incluyen o excluyen usuarios o grupos, pero no pueden asignar la característica a dispositivos o grupos de dispositivos específicos.
Limitaciones conocidas
- Al cambiar la directiva de un grupo de destino, es posible que el cambio no surta efecto en el siguiente inicio de sesión del usuario. Se aplica a todos los inicios de sesión posteriores después de eso.
- La directiva de acceso condicional solo se valida para la autenticación en segundo factor y no se aplica a la autenticación en primer factor. La autenticación se produce primero y, a continuación, el acceso condicional evalúa la autorización. La autenticación preferida por el sistema no invalida las directivas de acceso condicional ni los requisitos de seguridad de autenticación.
Habilitación de la autenticación preferida por el sistema en el Centro de administración de Microsoft Entra
De forma predeterminada, la autenticación preferida del sistema está administrada por Microsoft para todos los usuarios.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
- Vaya aMicrosoft Entra ID>Métodos de autenticación>Configuración.
- Para autenticación preferida del sistema, elija administrado por Microsoft, Habilitado o Deshabilitado, e incluya o excluya usuarios. Los grupos excluidos tienen prioridad sobre los grupos de inclusión.
- Después de terminar de realizar los cambios, seleccione Guardar.
Habilitación de la autenticación preferida por el sistema mediante graph API
Para habilitar la autenticación preferida por el sistema de antemano, elija un único grupo de destino para la configuración del esquema, como se muestra en el ejemplo de solicitud .
Propiedades de configuración de las características del método de autenticación
De forma predeterminada, la autenticación preferida por el sistema es administrada por Microsoft.
| Propiedad | Tipo | Descripción |
|---|---|---|
| excludeTarget | featureTarget | De esta característica se excluye solo una entidad. Solo puede excluir un grupo de la autenticación preferida por el sistema, que puede ser un grupo dinámico o anidado. |
| includeTarget | featureTarget | En esta característica se incluye solo una entidad. Solo puede incluir un grupo para la autenticación preferida por el sistema, que puede ser un grupo dinámico o anidado. |
| Estado | advancedConfigState | Los valores posibles son: habilitado explícitamente habilita la característica para el grupo seleccionado. disabled deshabilita explícitamente la característica para el grupo seleccionado. el valor predeterminado permite a Microsoft Entra ID administrar si la característica está habilitada o no para el grupo seleccionado. |
Propiedades de destino de las características
La autenticación preferida por el sistema solo se puede habilitar para un único grupo, que puede ser un grupo dinámico o anidado.
| Propiedad | Tipo | Descripción |
|---|---|---|
| ID | String | Identificador de registro de la entidad. |
| tipoObjetivo | featureTargetType | Tipo de entidad de destino, como grupo, rol o unidad administrativa. Los valores posibles son: "group", "administrativeUnit", "role", "unknownFutureValue". |
Use el siguiente punto de conexión de API para habilitar systemCredentialPreferences e incluir o excluir grupos:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Nota:
En el Explorador de Graph, debe dar su consentimiento al permiso Policy.ReadWrite.AuthenticationMethod .
Solicitud
En el ejemplo siguiente se excluye un grupo de destino de ejemplo e incluye a todos los usuarios. Para obtener más información, consulte Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Preguntas más frecuentes
¿Cómo determina la autenticación preferida por el sistema el método más seguro?
Cuando un usuario inicia sesión, el proceso de autenticación comprueba qué métodos se registran. Se pide al usuario que inicie sesión con el método más seguro según el orden siguiente. El orden del método es dinámico y se actualiza a medida que cambia el panorama de seguridad. Los usuarios siempre pueden cancelar y elegir otro método de inicio de sesión disponible. Si su organización tiene directivas de acceso condicional que requieren métodos de autenticación específicos, esas directivas siguen teniendo prioridad sobre el orden de autenticación preferido por el sistema.
Cuando se encuentra en el estado Microsoft administrado, el sistema evalúa las credenciales disponibles y selecciona el método de clasificación más alta para la autenticación en primer y segundo factor.
| Rank | Credencial | Category | Cumple con los requisitos de |
|---|---|---|---|
| 1 | Pase de acceso temporal (TAP) | Recuperación | Autenticación de un solo factor (1FA) + Autenticación multifactor (MFA) |
| 2 | Clave de paso1 | Resistente a la suplantación de identidad (phishing) | Autenticación de un solo factor (1FA) + Autenticación multifactor (MFA) |
| 3 | Autenticación basada en certificados (CBA) | Resistente a la suplantación de identidad (phishing) | 1FA o 1FA + MFA |
| 4 | Notificaciones de Microsoft Authenticator | Autenticación sin contraseña | Autenticación de un solo factor (1FA) + Autenticación multifactor (MFA) |
| 5 | Autenticación multifactor externa (MFA) | — | MFA |
| 6 | Contraseña única basada en el tiempo (TOTP)2 | — | MFA |
| 7 | Telefonía3 | — | MFA |
| 8 | Código QR | Trabajador de primera línea | 1FA |
| 9 | Contraseña | — | 1FA |
1Incluye claves de seguridad, claves de acceso en la aplicación Authenticator, claves de acceso sincronizadas, Windows Hello para empresas y SSO de la plataforma macOS.
2Incluye TOTP de hardware o software de Microsoft Authenticator, Authenticator Lite o aplicaciones de terceros.
3Incluye SMS y llamadas de voz.
Importante
La autenticación basada en certificados (CBA) se colocó anteriormente en el último orden de autenticación preferido por el sistema debido a problemas conocidos con CBA y autenticación preferida por el sistema. Ahora que esos problemas se resuelven, a partir del 18 de marzo de 2026, la autenticación basada en certificados se movió a la tercera posición en el orden de autenticación.
Con el comportamiento administrado de Microsoft actual, los usuarios se dirigen a los mejores métodos de autenticación disponibles para los factores primero y segundo en función del orden de MFA preferido por el sistema. Aunque esto evita mostrar la página de contraseña de forma predeterminada, los usuarios que usen dispositivos sin certificados fallarán inmediatamente durante la CBA y deberán seleccionar manualmente Iniciar sesión de otro modo para continuar con un método alternativo.
¿Cómo afecta la autenticación preferida por el sistema a la extensión NPS?
La autenticación preferida por el sistema no afecta a los usuarios que inician sesión mediante la extensión Servidor de directivas de red (NPS). Esos usuarios no verán ningún cambio en su experiencia de inicio de sesión.
¿Cómo afecta la autenticación preferida por el sistema al inicio de sesión en primer factor?
Cuando se establece en Microsoft managed, el sistema aplica la clasificación de credenciales a la autenticación en primer factor y en segundo factor. Por ejemplo, si un usuario tiene una contraseña y una clave de acceso registradas, se le pedirá la clave de acceso al inicio de sesión en primer factor en lugar de la contraseña. El usuario todavía puede seleccionar otras opciones de inicio de sesión.
Cuando se establece en Habilitado, la clasificación de credenciales solo se aplica a la autenticación en segundo factor. El comportamiento del inicio de sesión en primer factor permanece sin cambios.
¿Pueden los usuarios elegir un método de inicio de sesión diferente?
Yes. La autenticación preferida por el sistema solicita a los usuarios la credencial de clasificación más alta, pero los usuarios todavía pueden elegir otros métodos permitidos durante el inicio de sesión.