El MFA tiene dos líneas generales de su funcionamiento:
VPN - Para conectarse a este servicio, siempre se le pedirá contraseña del usuario y MFA, esto es, por naturaleza del servicio.
El resto de las aplicaciones solicitarán la autenticación si:
- El usuario se conecta desde un dispositivo desde el que no se ha conectado nunca.
- Dentro de un dispositivo ya validado cambia a otro navegador.
- Haya expirado la sesión en un dispositivo. El tiempo de la sesión si está conectado desde la UAM es de 30 días. Este tiempo, se puede reducir si está conectando desde otras ubicaciones.
- El perfil de riesgo del usuario supera un umbral establecido. La medición de este umbral depende del comportamiento del usuario o de que su usuario haya sufrido un ataque o actividad anómala, actualización del navegador, etc. El algoritmo que modula el riesgo lo implementa Microsoft. Esto es automático y las variables que pueden influir son variadas.
No debe solicitar MFA:
- Sí el dispositivo/navegador se ha conectado con MFA previamente en los últimos 30 días y en este tiempo no ha hecho logout de su sesión.