Ver fuente

¿Qué es la autenticación Multi-Factor (MFA o 2FA) de Microsoft 365?

La autenticación multifactor (MFA) es un proceso por el que, durante un inicio de sesión de un servicio (VPN, Microsoft 365, teams...), se solicita al usuario una identificación adicional. Por ejemplo, se le puede pedir que introduzca un código enviado a su teléfono o que dé su aprobación en una app del móvil. Al exigir una segunda forma de autenticación, se aumenta la seguridad, porque este factor adicional no es fácil de obtener o duplicar para un atacante.

Dentro de la autenticación multifactor (MFA), hemos optado por una configuración con un doble factor de autenticación (2FA).

¿Qué se necesita para su funcionamiento?

Para poder usar la autenticación multifactor, se necesita:

Activar la autenticación multifactor.
Configurar los métodos de autenticación que permitirán una segunda validación en otro dispositivo.
Un dispositivo móvil donde realizar dicha validación.
OPCIÓN RECOMENDADA: La opción recomendada por su comodidad, es la instalación en el móvil de la app Microsoft Authenticator. Además, se recomienda añadir como método alternativo la llamada telefónica.

¿Cómo activar la autenticación Multi-factor?

La autenticación de doble factor ya está activada por defecto para varios colectivos, entre los que se se encuentra el colectivo de ALUMNOS.
Puedes comprobar si está activada desde la intranet, (dependiendo del colectivo al que pertenezcas, lo encontrarás en el apartado Herramientas o apartado Servicios, dentro del bloque "Office 365" de tú intranet.
Sólo en el caso de que no esté activada, deberás activarla.

Será necesario activar la autenticación multifactor desde su intranet:

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > intranet2fa0.png

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > intranet2fa1.png

¿Cómo configurar la autenticación Multi-Factor?

Lo primero que debemos configurar, son las opciones de autenticación que vamos a usar, para permitirnos la segunda validación. Para ello, debemos acceder al siguiente enlace https://www.upv.es/id/373 y seguir los pasos siguientes:

Introducimos nuestro usuario: usuario@upv.edu.es
Nos aparecerá una ventana, que nos redirigirá a la nuestra intranet para identificarnos.
Nos identificamos en la intranet con nuestras credenciales
Podemos seleccionar que mantenga la sesión iniciada.
Pulsamos en siguiente

En este punto, configuramos las opciones para la validación. De entre los métodos de inicio de sesión disponibles, la opción más recomendable es utilizar notificaciones en la Aplicación móvil, por ser el más cómodo y uno de los más seguros. Esta opción requiere instalar una app en nuestro teléfono móvil, disponible para iOS y Android en el App Store y Google Play respectivamente: https://www.microsoft.com/es-es/security/mobile-authenticator-app

Hay que asegurarse que estamos instalando la aplicación auténtica de microsoft, ya que hay aplicaciones con nombre e icono parecidos. La forma más segura para descargar la aplicación auténtica es accediendo al enlace anterior https://www.microsoft.com/es-es/security/mobile-authenticator-app, y escanear el código QR que aparece, donde nos llevará a la aplicación auténtica directamente.

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > conf_2fa_7d.png

Antes de seguir, si nos hemos decantado por la opción recomendada anterior, seleccionando "aplicación móvil" y "Recibir notificaciones para verificación", debemos instalar la aplicación Microsoft Authenticator en el móvil, si es que no la tenemos ya instalada.
https://www.microsoft.com/es-es/security/mobile-authenticator-app
Una vez instalada la aplicación, ya podemos continuar, pulsando en el botón de configurar, para desde el móvil y abriendo la app Microsoft Authenticator, configurar la cuenta para recibir las notificaciones.
Al pulsar configurar, en el paso anterior, nos saldrá un código QR, necesario para escanear en un paso posterior desde la aplicación del móvil Microsoft Authenticator.
Tras instalar la aplicación en el móvil (si no la teníamos instalada ya), deberemos configurar nuestra cuenta.
Podemos usar el escaneo de código QR del propio dispositivo, y en ese caso, podemos saltar directamente al punto 11, sin necesidad de realizar los pasos del punto 10. ya que la cuenta quedará configurada directamente.
Si no usamos el escaneado de códigos QR del propio dispositivo, debemos seguir los siguientes pasos:
1. Abrimos la app.
2. Pulsamos en el menú "Agregar cuenta"
3. Elegimos "Cuenta profesional o educativa".
4. Seleccionamos la opción de escanear un código QR y enfocar la cámara al de la pantalla.
Si todo funciona correctamente, la cuenta quedará registrada en la app de nuestro móvil, que nos solicitará aprobaciones mediante una notificación en pantalla cada vez que queramos iniciar sesión.
Una vez agregada la cuenta en la app Microsoft Authenticator, podemos continuar en el equipo para añadir una validación alternativa en caso de perder el acceso a la aplicación móvil.

En cualquier momento, podemos acceder a la configuración, para añadir otras alternativas de validación o modificar la configuración actual, accediendo al enlace https://www.upv.es/id/373

¿Cómo iniciar sesión en uno de los servicios disponibles (teams, o365...) con doble factor?

Una vez activada la autenticación de multifactor en la intranet y realizado los pasos de configuración, cualquier inicio de sesión activará el mecanismo para solicitar el doble factor, ya sea mediante una notificación en la app o mediante una llamada telefónica.

En algunos dispositivos móviles, si en la configuración de la aplicación Microsoft Authenticator, está configurado el Bloqueo de aplicación (huella digital o pin), aunque se apruebe la notificación, da un error denegando el acceso. En tal caso, debemos desactivar el bloqueo de aplicación.

Accedemos a la configuración de la aplicación Microsoft Authenticator
Desactivamos el bloqueo de la aplicación y volvemos a probar.

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > bloqueo_authenticator.png

Ejemplo de acceso a la página web de Office 365

Este ejemplo, sería válido, tanto para el acceso a O365, como a cualquiera de sus aplicaciones, como Teams, OneDrive, etc.

Accedemos la web o365.upv.es
Nos identificamos con nuestras credenciales de la UPV.

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > image-2025-10-2_14-35-45.png

Nos aparecerá un mensaje como el siguiente:

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > conf_2fa_10.png

En este caso, la opción preferida es la de la app Microsoft Authenticator, pero si no la tuviéramos disponible en ese momento, podríamos cambiar a otro método de los que hemos configurado pulsando en el enlace que se muestra en pantalla.

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > conf_2fa_11b.png

Manteniendo la opción (recomendada) de "aprobar una solicitud en la aplicación Microsoft Authenticator", veremos que, en el móvil, recibiremos una notificación que deberemos aprobar.

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > aprobacion1.png

Si no pulsamos en el momento, podemos acceder a notificaciones y desplegar la notificación para aprobarla.

Ejemplo de conexión a la VPN

Las capturas de pantalla para la conexión a la VPN, están tomadas desde un Windows 10.

Creamos la configuración VPN siguiendo la guía VPN en Windows10/11

Nos conectamos a la VPN
Introducimos las credenciales de upvnet (usuario@upvnet.upv.es en caso de dominio UPVNET o usuario@alumno.upv.es en caso de ser del dominio ALUMNO)
Una vez introducidas las credenciales, indicará "comprobación de la información de inicio", y estará pendiente de aprobar la solicitud en el dispositivo móvil.
En el móvil, donde tendremos instalada la app Microsoft Authenticator, recibiremos una notificación que deberemos aprobar.

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > aprobacion1.png

Si no pulsamos en el momento, podemos acceder a 'notificaciones' y desplegar la notificación para aprobarla.

Una vez aprobada la notificación en el dispositivo móvil, veremos que la VPN se ha conectado.

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > VPN_2FA2_conectado.png

¿Qué ocurre si cambiamos, perdemos o nos roban un dispositivo en el que tenemos configurada la app Microsoft Authenticator?

En este caso, deberemos desactivar ese dispositivo cuanto antes para evitar que pueda ser utilizado por otra persona.

Para ello, hay que iniciar sesión utilizando un método alternativo (o validarlo con el móvil viejo en caso de cambio y si aún disponemos de él) y dirigirse a la página de configuración del MFA ( https://www.upv.es/id/373 ) para eliminar el dispositivo de la lista.

Si no fuera posible iniciar sesión, al no disponer de otro método alternativo, como pueda ser otro móvil o teléfono, podemos contactar con el CAU (https://cau.upv.es) para solicitar que nos restablezcan la configuración.

Cada dispositivo móvil donde hemos instalado el Microsoft Authenticator aparecerá en la página citada anteriormente, que en realidad, le redirigirá a la página web siguiente:

https://mysignins.microsoft.com/security-info

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > image-2023-11-14_13-49-46.png

En este caso de ejemplo, el usuario tiene configurados dos móviles, por lo que en caso de pérdida de uno de ellos, puede utilizar el otro para autenticarse en los servicios de Microsoft.

Sin embargo, en la parte de bajo, vemos tres móviles registrados con los siguientes identificadores de modelo de móvil: M2101K6G, 23053RN02Y y SM-J415FN.

Es decir, que el usuario en algún momento instaló y configuró la app Microsoft Authenticator en tres móviles, aunque alguno de ellos haya sido destruido físicamente, o restablecido a valores de fábrica, o ya no lo tenga en propiedad.

Sería conveniente pulsar sobre el enlace "Eliminar" para anular el móvil que ya no se esté utilizando.

Si no sabemos cuál es, deberemos buscar (en los móviles que todavía utilizamos) el identificador del modelo del móvil, de modo que solo dejaremos activos los móviles de los que todavía disponemos y por lo tanto, el resto de identificadores podrán ser eliminados como dispositivos válidos de autenticación.

En el caso de Android 13, por ejemplo, podemos ver el modelo de móvil que tenemos desde:

Ajustes

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > image-2023-11-14_13-40-27.png

Seleccionamos dentro de Ajustes la opción denominada: "Sobre el teléfono"

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > image-2023-11-14_13-40-41.png

Elegimos "Información detallada y especificaciones"

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > image-2023-11-14_13-40-52.png

Y accedemos a la información del modelo.

Manuales de las Aplicaciones Corporativas > Configurar la autenticación Multi-Factor (MFA o 2FA) en VPN, Microsoft 365, teams... > image-2023-11-14_13-42-26.png