Configura autenticació sense contrasenya al vostre compte de Microsoft

La autenticació sense contrasenya en comptes de Microsoft ja no és futurista ni exclusiu d'entorns molt avançats. Avui qualsevol pot iniciar sessió a Microsoft 365, Entra ID (abans Azure AD) o al vostre compte personal de Microsoft usant el mòbil, biometria o claus de seguretat, sense teclejar ni una sola contrasenya. A més de ser més còmode, és una mesura clau per reduir robatoris de credencials i atacs de pesca.

En aquest article veurem, amb força detall, com funciona l'inici de sessió sense contrasenya amb Microsoft Authenticator i passkeys, què necessita la vostra organització per implantar-lo, com habilitar-lo com a administrador a Microsoft Entra ID, què poden fer els usuaris finals i quines limitacions o problemes coneguts existeixen. També veurem per què Microsoft insisteix tant a abandonar la contrasenya tradicional i com encaixa tot això dins una estratègia de seguretat de Confiança Zero.

Per què Microsoft vol acabar amb les contrasenyes

Les contrasenyes s'han convertit en el principal vector d'atac en entorns corporatius i personals. Es reutilitzen, es filtren en bretxes de dades, s'endevinen, es roben amb phishing o codi maliciós i, a la mínima, un atacant aconsegueix accés complet a comptes de correu, documents i aplicacions crítiques.

Els models clàssics de seguretat basats en «usuari + contrasenya» més un segon factor bàsic (per exemple un SMS) són millors que la contrasenya sola, però continuen tenint força punts febles: els missatges de text es poden interceptar, els usuaris segueixen caient en webs de pesca i continuen existint robatoris de credencials a gran escala.

Per reduir tot aquest risc, Microsoft recomana passar a mètodes d'autenticació sense contrasenya resistents a la suplantació d'identitat. Aquests mètodes es recolzen en credencials lligades a un dispositiu físic (mòbil, portàtil, clau, etc.) i exigeixen alguna cosa que tens (el dispositiu) i alguna cosa que saps o ets (PIN, empremta, rostre), complint MFA de forma integrada, sense obligar l'usuari a recordar res.

A més, els inicis de sessió amb passkeys o credencials FIDO2 són molt més àgils. Segons les dades internes de Microsoft, una autenticació amb contrasenya pot rondar els 24 segons, mentre que una clau d'accés típica es valida en uns 8 segons, i fins i tot menys (al voltant de 3 segons) si és una passkey sincronitzada a gestors com Google Password Manager o iCloud Keychain.

Aquesta combinació de més seguretat i menys fricció per a l'usuari final és la raó per la qual Microsoft està empenyent tan forta la seva plataforma sense contrasenya a Microsoft Entra ID ia tot l'ecosistema de Microsoft 365 i Windows.

Opcions d'autenticació sense contrasenya a Microsoft Entra ID

Microsoft Entra ID ofereix diverses formes de iniciar sessió sense introduir contrasenyes, pensades tant per a dispositius personals com corporatius i per a diferents tipus d'usuari i escenari. Les principals categories que contempla actualment són:

En primer lloc, hi ha les claus de pas (FIDO2 / passkeys). Són credencials basades en estàndards FIDO2 que s'emmagatzemen en un dispositiu (per exemple, una clau de seguretat o una passkey de plataforma). Poden ser claus sincronitzades a través de gestors com ara Google Password Manager o iCloud, o bé claus basades en maquinari físic tipus YubiKey i similars.

En segon lloc, Microsoft inclou Windows Hello per a empreses. Aquesta tecnologia crea una credencial lligada a l'equip Windows, protegida per PIN o biometria (empremta o reconeixement facial). És la base per a inicis de sessió sense contrasenya a l'escriptori de Windows quan el dispositiu està unit a Microsoft Entra ID o gestionat adequadament.

Una altra opció són les claus d'accés de Microsoft Entra a Windows (en versió preliminar) i les credencials de plataforma per a macOS (també en vista prèvia). Totes dues faciliten que el sistema operatiu gestioni credencials sense contrasenya directament integrades amb Entrada ID, simplificant l'inici de sessió segur en entorns moderns.

Dins del món mòbil, destaquen les claus d'accés a l'aplicació Microsoft Authenticator. Aquí és on entra en joc l'inici de sessió telefònic sense contrasenya: l'usuari aprova una notificació a l'app, introdueix el número que apareix a la pantalla i confirma amb PIN o biometria del dispositiu sense escriure la contrasenya del compte.

Finalment, Microsoft segueix donant suport a targetes intel·ligents i autenticació basada en certificats, que es poden considerar credencials sense contrasenya en molts entorns empresarials i que també resisteixen bé els intents de pesca quan s'implanten correctament.

Com funciona Microsoft Authenticator per iniciar sessió sense contrasenya

L'aplicació Autenticador de Microsoft és una peça clau de lestratègia sense contrasenya de Microsoft. Està disponible per a iOS i Android i permet tant l'autenticació multifactor clàssica (MFA amb notificacions push o codis) com el inici de sessió telefònic sense contrasenya.

Darrere Authenticator hi ha una autenticació basada en claus. Bàsicament, es genera una credencial associada a lusuari i vinculada a un dispositiu concret. Per utilitzar aquesta credencial, el dispositiu exigeix ​​un factor local com un PIN, empremta o reconeixement facial. Windows Hello per a empreses utilitza una tecnologia molt similar, però centrada en el propi equip Windows.

El flux dús típic del inici de sessió al telèfon és molt senzill. A la pantalla inicial de sessió de Microsoft 365 o qualsevol app integrada amb Entra ID, l'usuari escriu només el nom d'usuari (correu corporatiu o d'estudi). Després, en lloc de teclejar la contrasenya, seleccioneu l'opció d'aprovar una sol·licitud a l'app Authenticator.

En aquell moment apareix un número a la pantalla d'inici de sessió. El mòbil mostra una notificació d'Authenticator demanant que es confirmi l'accés. L'usuari ha de seleccionar el compte adequat i escriure a l'app el número que veu a la web. Aquesta verificació de número creuat impedeix que algú aprovi per error una notificació que no correspon.

Un cop introduït el número, el dispositiu demanarà PIN o biometria per validar que qui aprova és realment el propietari del mòbil. Només es completa l'inici de sessió i es concedeix l'accés al compte sense haver introduït la contrasenya en cap moment.

Un detall important és que es poden configurar diversos comptes de Microsoft Entra ID a la mateixa aplicació Authenticator i habilitar l'inici de sessió telefònic sense contrasenya a totes elles, sempre que el dispositiu estigui registrat a cada llogater corresponent. No obstant això, els comptes de convidat (guest) no estan suportats per al model de diversos comptes en un mateix dispositiu.

Requisits previs per utilitzar l'inici de sessió telefònic sense contrasenya

Abans de llançar-se a activar l'inici de sessió sense contrasenya per a tothom, cal assegurar-se que es compleixen alguns requisits mínims a nivell tècnic i organitzatiu. Microsoft recomana revisar aquests punts per evitar problemes posteriors.

D'una banda, és molt aconsellable tenir Microsoft Entra Multi-Factor Authentication (MFA) configurat a l'organització, permetent l'ús de notificacions push com a mètode de verificació. Les notificacions ajuden a bloquejar accessos no autoritzats i transaccions fraudulentes, ia més l'app Authenticator genera codis automàticament per tenir un mètode de seguretat si el dispositiu es queda sense connexió.

A més, és obligatori que el dispositiu on s'utilitzarà Authenticator estigui registrat a cada llogater d'Entrada ID on voleu habilitar l'inici de sessió telefònic. Per exemple, si una persona treballa amb comptes com balas@contoso.com i balas@wingtiptoys.com, el mòbil s'ha de registrar a tots dos llogaters (Contoso i Wingtip Toys) per permetre l'ús sense contrasenya amb totes aquestes identitats.

Per a la part d'administració, cal activar primer la trucada experiència de registre combinada a Microsoft Entra ID. Aquesta experiència unifica el registre de mètodes de seguretat (MFA, restabliment de contrasenya, etc.) i simplifica la incorporació de Authenticator com a mètode sense contrasenya.

Des del punt de vista de llicenciament, el mer fet de registrar i iniciar sessió amb mètodes sense contrasenya no requereix una llicència específica. Tot i així, Microsoft recomana tenir almenys una llicència P1 de Microsoft Entra ID per aprofitar tot el conjunt de funcionalitats: accés condicional per forçar credencials resistents a phishing, informes d'ús de mètodes d'autenticació, etc.

Finalment, és crític identificar a els equips de treball que intervindran en el projecteAdministració d'identitats i accés, arquitectura de seguretat, operacions de seguretat, equip d'auditoria, suport tècnic i l'àrea de comunicacions a l'usuari final. Si no s'alineen aquests grups, la implantació es pot quedar a mitges o generar massa incidències.

Com habilitar Microsoft Authenticator sense contrasenya com a administrador

Des de la consola d'administració de Microsoft Entra ID, els administradors tenen la capacitat de definir quins mètodes d'autenticació estan permesos per a lorganització. És aquí on s'habilita Microsoft Authenticator tant per a MFA tradicional com per a mode sense contrasenya.

El punt de partida és accedir al Centre d'administració de Microsoft Entra amb un compte que tingui, com a mínim, el rol d'administrador de directives d'autenticació. Un cop a dins, cal anar a la secció Entra ID i des d'aquí a Mètodes d'autenticació i Directives, on es gestionen les regles d'ús de cada mètode.

Dins de la configuració de mètodes, es pot activar Microsoft Authenticator i decidir si es permet la inserció MFA clàssica (notificació push per confirmar-la amb contrasenya) i/o l'inici de sessió telefònic sense contrasenya. Cada grup d'usuaris es pot configurar perquè pugui utilitzar qualsevol de les maneres o limitar-lo segons les necessitats de seguretat.

Per defecte, els grups solen estar configurats per utilitzar «qualsevol manera» amb Authenticator, el que significa que els seus membres poden iniciar sessió bé aprovant una notificació push estàndard o bé utilitzant linici de sessió telefònic sense contrasenya, si ho han registrat correctament a la seva app.

Un dubte molt habitual entre administradors és si es pot forçar de forma absoluta l'ús sense contrasenya, impedint que l'usuari torni a autenticar-se amb la contrasenya fins i tot després de configurar-ho tot. La realitat és que, encara que pots empènyer molt fort cap al model sense contrasenya mitjançant polítiques d'accés condicional i restriccions de mètodes permesos, Microsoft continua mantenint la possibilitat d'usar la contrasenya en escenaris puntuals, per exemple per a recuperació o compatibilitat amb certes aplicacions heretades.

Tot i així, usant la combinació de directiva de mètodes d'autenticació i accés condicional, es pot acostar força a un escenari on els nous usuaris, després de registrar Authenticator i completar el seu primer inici de sessió, pràcticament sempre utilitzin el telèfon o altres mètodes sense contrasenya, reduint lús de contrasenya a circumstàncies excepcionals.

Registre dels usuaris a l'aplicació Authenticator

Un cop habilitat Microsoft Authenticator com a mètode a l'organització, toca abordar el registre dels usuaris finals, que es pot fer de dues maneres principals: mitjançant un registre guiat des de la pàgina d'Informació de seguretat o usant un passi d'accés temporal proporcionat per l'administrador.

Al registre guiat estàndard, l'usuari accedeix en un navegador a la pàgina de Informació de seguretat del vostre compte, inicieu sessió amb les credencials actuals i seleccioneu l'opció Afegeix mètode. Des d'aquí tria «aplicació Authenticator» i segueix les instruccions per instal·lar-la al dispositiu i vincular el compte mitjançant codi QR o procediment similar.

Quan acaba aquest procés, Authenticator queda registrat almenys com mètode de MFA. A la secció Informació de seguretat del compte apareixerà un mètode de tipus Microsoft Authenticator, que pot ser «sense contrasenya» o «inserció de MFA» segons el que estigui permès i s'hagi registrat.

Si l'organització vol que l'usuari ni tan sols hagi de fer servir una contrasenya al principi, pot optar pel registre directe amb passi d'accés temporal. En aquest cas, primer l'administrador genera un temporary access pass (TAP) per a l'usuari, que actua com a credencial temporal segura per a la primera configuració.

Amb aquest passi d'accés temporal, l'usuari instal·la Microsoft Authenticator al mòbil, obre l'app, selecciona Afegeix compte, tria Compte professional o educatiu i s'identifica fent servir el TAP en lloc de la contrasenya. Després, completeu els passos que l'aplicació va indicant per activar l'inici de sessió telefònic sense contrasenya.

En entorns on s'habilita el autoservei de restabliment de contrasenya, el TAP pot utilitzar-se també perquè el mateix usuari registri Authenticator com a mètode d'inici de sessió sense necessitat que conegui o faci servir una contrasenya tradicional en cap moment, reforçant l'enfocament completament passwordless des del primer dia.

Activar l'inici de sessió telefònic a l'app Authenticator

Registrar l'aplicació no és suficient: l'usuari ha de habilitar explícitament l'inici de sessió telefònic sense contrasenya per a cada compte que voleu utilitzar d'aquesta manera. Aquest pas sol passar desapercebut, però és imprescindible.

Per activar-lo, l'usuari obre l'aplicació Microsoft Authenticator al mòbil i selecciona la compte professional o educatiu prèviament registrat. Dins de les opcions disponibles, veureu una cosa semblant a «Configura sol·licituds d'inici de sessió sense contrasenya» o «Habilitar inici de sessió telefònic».

En prémer aquesta opció, l'aplicació inicia un breu flux de configuració que pot requerir confirmar la identitat de l'usuari amb un inici de sessió al navegador, aprovar una notificació o validar alguna dada addicional. Després de completar aquests passos, el compte queda marcat com a apte per a inicis de sessió telefònics sense contrasenya.

A partir d'aquest moment, quan l'usuari intenti iniciar sessió a Microsoft 365, Entra ID o qualsevol aplicació integrada, en escriure el vostre nom d'usuari podrà triar l'opció de «Aprovar una sol·licitud a la meva aplicació Authenticator». El web mostrarà un número, i l'app demanarà a l'usuari que seleccioneu aquest número i confirmeu amb PIN o biometria.

Quan l'usuari ha començat a iniciar sessió d'aquesta manera, el sistema sol mantenir aquest mètode com a preferent, mostrant sempre l'opció d'aprovar la sol·licitud al telèfon, encara que segueixi existint la possibilitat d'escollir un altre mètode alternatiu si cal.

Per a organitzacions que volen orientar de forma activa els seus usuaris, es pot proporcionar documentació interna indicant que, després de registrar Authenticator, accedeixin a l'app i activin expressament l'inici de sessió telefònic, de manera que quedi clar què han de fer i es redueixi el nombre d'incidències en suport.

Experiència d'inici de sessió sense contrasenya per a l'usuari

Quan ja estan configurats tots els elements (inquilí habilitat, Authenticator registrat i l'inici de sessió telefònic activat), l'experiència d'usuari canvia de manera notable. En lloc de dependre de la contrasenya, l'usuari recorre gairebé sempre al vostre dispositiu mòbil ia la biometria.

En el primer intent típic, la persona escriu el seu nom d'usuari al tauler d'inici de sessió de Microsoft 365 o de l'app en qüestió i prem Següent. En cas que no aparegui per defecte, podeu fer clic a Altres maneres d'iniciar sessió per seleccionar l'opció d'Aprovar una sol·licitud a la meva aplicació Authenticator.

La pantalla mostrarà un nombre aleatori. Gairebé en paral·lel, el mòbil de l'usuari rebrà una notificació d'Authenticator avisant que s'està intentant un inici de sessió. En obrir-la, l'app demanarà que l'usuari esculli el nombre correcte que està veient al PC o navegador, cosa que ajuda a evitar aprovacions cegues o enganyoses.

A l'últim pas, el sistema demanarà a l'usuari que desbloquegeu el dispositiu amb el PIN, la petjada o la cara. Aquesta combinació d'alguna cosa que té (el mòbil) i quelcom que és o sap (PIN o biometria) fa que l'autenticació expliqui com a MFA robusta, sense dependre de codis enviats per SMS o correus electrònics, que són més vulnerables.

Després de diversos inicis de sessió amb aquest mètode, la majoria d'usuaris acaben oblidar-se de la contrasenya en el dia a dia, ja que el flux amb Authenticator es torna la seva forma natural dentrar a Office, Teams, OneDrive o qualsevol altra aplicació vinculada a lorganització.

En cas que per alguna raó cal un altre mètode (per exemple, perquè el mòbil s'ha perdut o està sense bateria), sempre queda l'opció de recórrer a altres factors d'autenticació si l'administrador els ha permès: passkeys, claus de seguretat FIDO2, Windows Hello, targeta intel·ligent o altres mecanismes configurats.

Gestió, control i equips implicats en el projecte sense contrasenya

La forma més recomanable d'administrar Microsoft Authenticator i els diferents mètodes d'autenticació és fer servir la directiva de mètodes d'autenticació de Microsoft Entra. Des d'aquesta, els administradors poden habilitar o deshabilitar Authenticator, així com incloure o excloure usuaris i grups específics.

Dins aquesta directiva, es poden definir paràmetres per donar més context a les sol·licituds d'inici de sessió. Per exemple, afegir la ubicació aproximada o el nom de l'aplicació que demaneu accés, de manera que l'usuari tingui més informació abans de prémer Aprovar o Rebutjar al mòbil.

En el pla organitzatiu, és clau que lequip de Administració d'identitats i accés (IAM) porteu el dia a dia de la configuració, mentre que l'àrea d'Arquitectura de seguretat dissenya l'estratègia sense contrasenya dins del marc de seguretat global. Operacions de seguretat, per part seva, monitoritza els esdeveniments d'autenticació, investiga possibles amenaces i aplica mesures quan es detecten anomalies.

L'equip de Seguretat i auditoria té la responsabilitat de verificar el compliment de normatives internes i externes, revisant periòdicament els processos d'autenticació, avaluant riscos i proposant millores. Tot això es complementa amb el treball del suport tècnic, que ajuda els usuaris finals en els primers passos amb l'autenticació sense contrasenya i resol incidències concretes.

Finalment, l'àrea de comunicacions a l'usuari final juga un paper fonamental. Un canvi tan rellevant com abandonar les contrasenyes requereix missatges clars: què canviarà, què ha de fer lusuari, per què és més segur i què fer si perden el mòbil o canvien de dispositiu.

En paral·lel, la integració d'aplicacions amb Microsoft Entra ID és un altre front imprescindible. Com més aplicacions (SaaS, LOB, on-premises publicades, etc.) estiguin integrades amb Entra ID, més es pot aprofitar l'autenticació sense contrasenya i aplicar accés condicional per exigir mètodes resistents a phishing de forma homogènia.

Problemes coneguts i limitacions de l'autenticació sense contrasenya

Tot i que el model sense contrasenya és molt robust, Microsoft documenta diversos problemes coneguts i restriccions que convé tenir presents per evitar sorpreses durant la implantació o el suport.

Un dels casos més freqüents és quan un usuari no veieu l'opció d'inici de sessió telefònic sense contrasenya a la pantalla d'autenticació, malgrat tenir Authenticator configurat. De vegades això és perquè hi ha una verificació pendent a Authenticator; si l'usuari intenta tornar a iniciar sessió mentre aquesta sol·licitud continua sense respondre, el sistema només pot mostrar l'opció d'introduir la contrasenya.

La solució en aquest escenari és senzilla: l'usuari deu obrir l'app Microsoft Authenticator al mòbil i respondre (aprovar o rebutjar) les notificacions que tingui a la cua. Un cop s'alliberin aquestes sol·licituds, en els propers intents d'inici de sessió l'opció de telèfon sense contrasenya tornarà a aparèixer normalment.

Una altra limitació important és que l'antiga directiva AuthenticatorAppSignInPolicy és obsoleta i ja no s'admet per controlar Authenticator. Per permetre notificacions push o inici de sessió telefònic sense contrasenya, sempre cal fer servir la directiva de Mètodes d'autenticació, que és la que Microsoft manté i actualitza.

En entorns amb comptes federats o híbrids (per exemple, amb Serveis de federació d'Active Directory, AD FS), quan un usuari habilita qualsevol credencial sense contrasenya, el procés d'inici de sessió de Microsoft Entra deixa de fer servir el paràmetre login_hint. Això implica que el flux ja no força l'usuari de manera automàtica cap a un punt d'inici de sessió federat com passava abans.

Normalment, aquest comportament impedeix que un usuari d'un llogater híbrid sigui redirigit a AD FS per validar les seves credencials, ja que s'afavoreix l'autenticació directa amb mètodes sense contrasenya recolzats per Entra ID. Tot i així, sol continuar existint l'opció manual per seleccionar “Usar la contrasenya al seu lloc” si la configuració així ho permet.

En el cas d'usuaris gestionats per un proveïdor d'identitats local però habilitats per a MFA, és possible que aquests usuaris només puguin crear i utilitzar una única credencial d'inici de sessió telefònic sense contrasenya. Si intenteu actualitzar massa instal·lacions d'Authenticator (per exemple, més de cinc dispositius diferents) amb la mateixa credencial sense contrasenya, poden aparèixer errors en intentar registrar noves instàncies.

Com en qualsevol projecte de seguretat, aquestes limitacions no impedeixen adoptar el model sense contrasenya, però sí que obliguen a planificar bé l'arquitectura d'identitats, especialment en organitzacions molt grans, híbrides o amb necessitats especials de federació i autenticació local.

Al final, l'autenticació sense contrasenya a Microsoft Entra ID, especialment amb Microsoft Authenticator i passkeys, permet a les organitzacions reduir dràsticament el risc associat a contrasenyes febles o robades i, alhora, fer que el procés d'inici de sessió sigui més ràpid i còmode per als usuaris. Si combineu bé les directives de mètodes d'autenticació, l'accés condicional i una bona comunicació interna, la contrasenya passa a un segon pla i el mòbil, la biometria i les claus de seguretat es converteixen en l'eix d'una identitat més segura i difícil de suplantar.