Autenticación de dos factores (2FA) de Enterprise – guía del admin

Relevante para: Plan Enterprise
Configurado por: Admins de empresa

Autenticación de dos factores (2FA) para organizaciones 

La 2FA añade una capa adicional de seguridad a los perfiles en línea, yendo más allá del simple nombre de usuario y contraseña. Los admins de empresas del plan Enterprise pueden exigir una prueba de identidad adicional cuando los usuarios acceden a la suscripción de Miro de su organización. Este requisito es aplicable para todos los inicios de sesión usando correo electrónico y contraseña. Para las empresas que utilizan el inicio de sesión único (SSO), la 2FA incluye específicamente a los colaboradores externos; para las organizaciones sin SSO, se extiende a todos los usuarios.

Este artículo explica la autenticación de dos factores (2FA) para planes Enterprise. Para todos los demás planes, consulta Autenticación de dos factores (2FA) en Administración.

Configuración de 2FA obligatoria para tu organización

✏️ Antes de activar la autenticación de dos factores (2FA), es importante informar a todos los usuarios afectados, incluidos tanto los miembros de tu organización como los colaboradores externos. Para asegurar una transición sin problemas, sugerimos compartir nuestra guía de usuario de 2FA para ayudarlos en este proceso.

Cómo habilitar la 2FA para tus usuarios

1. Ve al Consola de admin > Seguridad > Autenticación.
2. Activa la opción Aplicar 2FA para usuarios sin SSO.

Aplicación de la autenticación 2FA para usuarios sin SSO

Confiar en dispositivos de 2FA

Cuando esté habilitada, a tus usuarios de 2FA se les mostrará una casilla que les permitirá omitir la 2FA cada vez que inicien sesión en ese dispositivo durante los próximos X días, donde "X" es el marco de tiempo establecido por el administrador. Puedes permitir que los dispositivos de los usuarios sean de confianza durante 7 a 90 días. De forma predeterminada, la confianza en los dispositivos 2FA está habilitada, aunque puedes deshabilitar la función en tu consola de admin.

⚠️ Si deshabilitar confiar en dispositivos para 2FA está activado, los usuarios tendrán que ingresar un código de 2FA en cada inicio de sesión. Esto ralentizará la experiencia de inicio de sesión.

Se requerirá 2FA nuevamente después de que pase el período de confianza.

2FA no se omitirá si los usuarios inician sesión en un nuevo dispositivo o navegador, o si borran las cookies de su navegador.

Restablecer 2FA para usuarios

Si un usuario pierde el acceso a su método de 2FA, los admins pueden restablecer su 2FA. Una vez que un usuario solicite restablecer su método 2FA, el admin correspondiente recibirá una notificación por correo electrónico. 

Para restablecer el método de 2FA para el usuario:

1. Ve a Consola de administración > Usuarios > pestaña Usuarios activos.
2. Encuentra al usuario que necesita restablecer su método de 2FA.
3. Haz clic en el icono de tres puntos (...) en la fila del usuario.
   
   Restablecer la autenticación de dos factores en la consola de admin
4. Haz clic en Restablecer la autenticación de dos factores.
   Se abrirá un cuadro de diálogo pidiendo confirmación.
5. Haz clic en el botón Reiniciar 2FA en el diálogo.
6. Un mensaje de confirmación aparecerá en la parte superior de tu pantalla confirmando que las instrucciones de restablecimiento han sido enviadas al usuario.

Impacto en la experiencia del usuario

• Se pedirá a los usuarios sin inicio de sesión único que establezcan su segundo factor en el próximo inicio de sesión. Este proceso no cerrará ninguna de sus sesiones activas.
• Se requiere que los usuarios configuren la 2FA utilizando su dispositivo móvil junto con una aplicación de contraseña de un solo uso basada en el tiempo (TOTP), como Microsoft Authenticator, Google Authenticator o Authy.
• Para los usuarios que utilizan 2FA, hay un límite de 3 intentos para introducir un código TOTP válido. Si se excede este límite, deberán comenzar el proceso de autenticación nuevamente.
• Aunque el inicio de sesión con 2FA está disponible en las aplicaciones móviles y para tabletas, el proceso de registro inicial es compatible exclusivamente en aplicaciones de navegador y escritorio.

Lo que debes saber

La 2FA obligatoria solo se aplica a usuarios que se autentican con su correo electrónico y contraseña o mediante enlaces mágicos (enviados por correo electrónico).

• Si un colaborador externo a tu organización Enterprise ya está autenticando usando el inicio de sesión único desde su organización de origen, continuará accediendo a todos los equipos y tableros en Miro usando el inicio de sesión único.
• Si un usuario se autentica a través de una integración de inicio de sesión de terceros (como Google, Microsoft o Slack), mantendrá acceso a todos los equipos y tableros de Miro mediante ese método de inicio de sesión. Los admins tienen la opción de animar a estos usuarios a configurar un segundo factor dentro de su respectiva integración de inicio de sesión. Sin embargo, el flujo de autenticación de Miro no dará instrucción a estos usuarios para que configuren un segundo factor.

Registros de auditoría

Los administradores pueden rastrear a los usuarios que configuraron la 2FA, junto con los inicios de sesión exitosos y fallidos con ese método usando los siguientes eventos de registro de auditoría:

• `mfa_setup_succeeded` - si un usuario ha configurado su segundo factor con éxito
• Actualizar al evento `sign_in_succeeded` para incluir el atributo MfaFactorType si se completa un inicio de sesión exitoso con 2FA
• Actualizar al evento `sign_in_failed` para incluir el atributo MfaFactorType si un inicio de sesión con 2FA no tuvo éxito debido a que el usuario excedió el número máximo de intentos (fallo no técnico)