Tutorial: Protección de los eventos de inicio de sesión de usuario mediante Azure AD Multi-Factor AuthenticationTutorial: Secure user sign-in events with Azure AD Multi-Factor Authentication

La autenticación multifactor (MFA) es un proceso por el que, durante un evento de inicio de sesión, se solicitan a un usuario otras formas de identificación.Multi-factor authentication (MFA) is a process where a user is prompted during a sign-in event for additional forms of identification. En esta solicitud se puede pedir la introducción de un código en el teléfono móvil o el escaneado de la huella digital.This prompt could be to enter a code on their cellphone or to provide a fingerprint scan. Al exigir una segunda forma de autenticación, aumenta la seguridad, ya que este factor adicional no es algo que resulte fácil de obtener o duplicar para un atacante.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Azure AD Multi-Factor Authentication y las directivas de acceso condicional proporcionan la flexibilidad necesaria a fin de habilitar la autenticación multifactor para los usuarios durante eventos de inicio de sesión específicos.Azure AD Multi-Factor Authentication and Conditional Access policies give the flexibility to enable MFA for users during specific sign-in events. Consulte este vídeo sobre Configuración y aplicación de la autenticación multifactor en el inquilino (recomendado).Here's a video on How to configure and enforce multi-factor authentication in your tenant (Recommended)

Importante

Este tutorial muestra al administrador cómo habilitar Azure AD Multi-Factor Authentication.This tutorial shows an administrator how to enable Azure AD Multi-Factor Authentication.

Si el equipo de TI no ha habilitado la función para usar Azure AD Multi-Factor Authentication o si surgen problemas para iniciar sesión, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.If your IT team hasn't enabled the ability to use Azure AD Multi-Factor Authentication or you have problems during sign-in, reach out to your helpdesk for additional assistance.

En este tutorial, aprenderá a:In this tutorial you learn how to:

  • Crear una directiva de acceso condicional a fin de habilitar Azure AD Multi-Factor Authentication para un grupo de usuariosCreate a Conditional Access policy to enable Azure AD Multi-Factor Authentication for a group of users
  • Configurar las condiciones de la directiva que solicitan la autenticación multifactorConfigure the policy conditions that prompt for MFA
  • Probar el proceso de autenticación multifactor como usuarioTest the MFA process as a user

Requisitos previosPrerequisites

Para completar este tutorial, necesitará los siguientes recursos y privilegios:To complete this tutorial, you need the following resources and privileges:

  • Un inquilino de Azure AD activo con al menos una licencia de Azure AD Premium P1 o de prueba habilitada.A working Azure AD tenant with at least an Azure AD Premium P1 or trial license enabled.
  • Una cuenta con privilegios de administrador global.An account with global administrator privileges.
  • Un usuario que no sea administrador con una contraseña que conozca, como usuarioDePrueba.A non-administrator user with a password you know, such as testuser. Utilizará esta cuenta para probar la experiencia de Azure AD Multi-Factor Authentication por parte del usuario final en este tutorial.You test the end-user Azure AD Multi-Factor Authentication experience using this account in this tutorial.
  • Un grupo del que sea miembro el usuario que no es administrador, como Grupo-Prueba-MFA.A group that the non-administrator user is a member of, such as MFA-Test-Group. En este tutorial, habilitará Azure AD Multi-Factor Authentication para este grupo.You enable Azure AD Multi-Factor Authentication for this group in this tutorial.

Creación de una directiva de acceso condicionalCreate a Conditional Access policy

Se recomienda habilitar y usar Azure AD Multi-Factor Authentication con directivas de acceso condicional.The recommended way to enable and use Azure AD Multi-Factor Authentication is with Conditional Access policies. El acceso condicional permite crear y definir directivas que reaccionan a los eventos de inicio de sesión y solicitan acciones adicionales antes de que se conceda a un usuario el acceso a una aplicación o un servicio.Conditional Access lets you create and define policies that react to sign in events and request additional actions before a user is granted access to an application or service.

Diagrama general sobre el funcionamiento del acceso condicional para proteger el proceso de inicio de sesión

Las directivas de acceso condicional pueden ser pormenorizadas y específicas, con el objetivo de permitir que los usuarios sean productivos en todo lugar y momento, pero también de proteger la organización.Conditional Access policies can be granular and specific, with the goal to empower users to be productive wherever and whenever, but also protect your organization. En este tutorial, crearemos una directiva de acceso condicional básica para solicitar la autenticación multifactor cuando un usuario inicie sesión en Azure Portal.In this tutorial, let's create a basic Conditional Access policy to prompt for MFA when a user signs in to the Azure portal. En un tutorial posterior de esta serie, se configurará Azure AD Multi-Factor Authentication mediante una directiva de acceso condicional basado en riesgos.In a later tutorial in this series, you configure Azure AD Multi-Factor Authentication using a risk-based Conditional Access policy.

En primer lugar, cree una directiva de acceso condicional y asigne el grupo de usuarios de prueba de la siguiente manera:First, create a Conditional Access policy and assign your test group of users as follows:

  1. Inicie sesión en Azure Portal mediante una cuenta con permisos de administrador global.Sign in to the Azure portal using an account with global administrator permissions.

  2. Busque y seleccione Azure Active Directory y, a continuación, elija Seguridad en el menú del lado izquierdo.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.

  3. Seleccione Acceso condicional y, a continuación, elija + Nueva directiva.Select Conditional Access, then choose + New policy.

  4. Escriba un nombre para la directiva, como Piloto de MFA.Enter a name for the policy, such as MFA Pilot.

  5. En Asignaciones, elija Usuarios y grupos y, a continuación, el botón de radio Seleccionar usuarios y grupos.Under Assignments, choose Users and groups, then the Select users and groups radio button.

  6. Active la casilla de Usuarios y grupos, y elija la opción Seleccionar para examinar los usuarios y grupos de Azure AD disponibles.Check the box for Users and groups, then Select to browse the available Azure AD users and groups.

  7. Busque y seleccione el grupo de Azure AD, como Grupo-Prueba-MFA y, a continuación, elija Seleccionar.Browse for and select your Azure AD group, such as MFA-Test-Group, then choose Select.

    Selección del grupo de Azure AD que se usará con la directiva de acceso condicional Select your Azure AD group to use with the Conditional Access policy

  8. Para aplicar la directiva de acceso condicional para el grupo, seleccione Listo.To apply the Conditional Access policy for the group, select Done.

Configuración de las condiciones para la autenticación multifactorConfigure the conditions for multi-factor authentication

Ahora que ya ha creado la directiva de acceso condicional y ha asignado un grupo de usuarios de prueba, definirá las aplicaciones en la nube o las acciones que desencadenarán la directiva.With the Conditional Access policy created and a test group of users assigned, now define the cloud apps or actions that trigger the policy. Estas aplicaciones en la nube o acciones son los escenarios para los que decide que se necesita un procesamiento adicional, como la solicitud de autenticación multifactor.These cloud apps or actions are the scenarios you decide require additional processing, such as to prompt for MFA. Por ejemplo, puede decidir que el acceso a una aplicación financiera o al uso de las herramientas de administración requiere una solicitud de verificación adicional.For example, you could decide that access to a financial application or use of management tools requires as an additional verification prompt.

En este tutorial, configurará la directiva de acceso condicional para que se pida la autenticación multifactor cuando un usuario inicie sesión en Azure Portal.For this tutorial, configure the Conditional Access policy to require MFA when a user signs in to the Azure portal.

  1. Seleccione Aplicaciones en la nube o acciones.Select Cloud apps or actions. Puede decidir si aplica la directiva de acceso condicional a Todas las aplicaciones en la nube o bien si va a elegir la opción para Seleccionar aplicaciones.You can choose to apply the Conditional Access policy to All cloud apps or Select apps. Para proporcionar flexibilidad, también puede excluir determinadas aplicaciones de la directiva.To provide flexibility, you can also exclude certain apps from the policy.

    En este tutorial, en la página Incluir, elija el botón de radio Seleccionar aplicaciones.For this tutorial, on the Include page, choose the Select apps radio button.

  2. Elija Seleccionar y examine la lista de eventos de inicio de sesión disponibles que se pueden usar.Choose Select, then browse the list of available sign-in events that can be used.

    En este tutorial, elija Microsoft Azure Management para que la directiva se aplique a los eventos de inicio de sesión en Azure Portal.For this tutorial, choose Microsoft Azure Management so the policy applies to sign-in events to the Azure portal.

  3. Para aplicar la selección de aplicaciones, elija Seleccionar y, después, haga clic en Listo.To apply the select apps, choose Select, then Done.

    Selección de la aplicación Microsoft Azure Management para incluir en la directiva de acceso condicional

Los controles de acceso permiten definir los requisitos para que se conceda acceso a un usuario, como la necesidad de una aplicación cliente aprobada o el uso de un dispositivo unido a Azure AD híbrido.Access controls let you define the requirements for a user to be granted access, such as needing an approved client app or using a device that's Hybrid Azure AD joined. En este tutorial, se configurarán los controles de acceso para que se solicite la autenticación multifactor durante un evento de inicio de sesión en Azure Portal.In this tutorial, configure the access controls to require MFA during a sign-in event to the Azure portal.

  1. En Controles de acceso, elija Conceder y asegúrese de que el botón de radio Conceder acceso esté seleccionado.Under Access controls, choose Grant, then make sure the Grant access radio button is selected.
  2. Active la casilla Requerir autenticación multifactor y, después, elija Seleccionar.Check the box for Require multi-factor authentication, then choose Select.

Las directivas de acceso condicional se pueden establecer en Solo informe, si desea ver cómo afectaría la configuración a los usuarios, o en Desactivada, si no desea usar la directiva en este momento.Conditional Access policies can be set to Report-only if you want to see how the configuration would impact users, or Off if you don't want to the use policy right now. Como este tutorial está destinado a un grupo de prueba de usuarios, vamos a habilitar la directiva y, después, probaremos Azure AD Multi-Factor Authentication.As a test group of users was targeted for this tutorial, lets enable the policy and then test Azure AD Multi-Factor Authentication.

  1. Establezca la opción Habilitar directiva en Activada.Set the Enable policy toggle to On.
  2. Para aplicar la directiva de acceso condicional, seleccione Crear.To apply the Conditional Access policy, select Create.

Prueba de Azure AD Multi-Factor AuthenticationTest Azure AD Multi-Factor Authentication

Veamos la directiva de acceso condicional y Azure AD Multi-Factor Authentication en acción.Let's see your Conditional Access policy and Azure AD Multi-Factor Authentication in action. En primer lugar, inicie sesión en un recurso que no requiera la autenticación multifactor, como se indica a continuación:First, sign in to a resource that doesn't require MFA as follows:

  1. Abra una nueva ventana del explorador en modo de incógnito o InPrivate y vaya a https://account.activedirectory.windowsazure.com.Open a new browser window in InPrivate or incognito mode and browse to https://account.activedirectory.windowsazure.com
  2. Inicie sesión con el usuario de prueba que no es administrador, como usuarioDePrueba.Sign in with your non-administrator test user, such as testuser. No se le pide que complete la autenticación multifactor.There's no prompt for you to complete MFA.
  3. Cierre la ventana del explorador.Close the browser window.

Inicie sesión en Azure Portal.Now sign in to the Azure portal. Dado que Azure Portal se configuró en la directiva de acceso condicional para requerir una verificación adicional, el usuario recibirá una solicitud de Azure AD Multi-Factor Authentication.As the Azure portal was configured in the Conditional Access policy to require additional verification, you get an Azure AD Multi-Factor Authentication prompt.

  1. Abra una nueva ventana del explorador en modo de incógnito o InPrivate, y vaya a https://portal.azure.com.Open a new browser window in InPrivate or incognito mode and browse to https://portal.azure.com.

  2. Inicie sesión con el usuario de prueba que no es administrador, como usuarioDePrueba.Sign in with your non-administrator test user, such as testuser. Se le solicitará que se registre en Azure AD Multi-Factor Authentication y que use este método.You're required to register for and use Azure AD Multi-Factor Authentication. Siga las indicaciones para completar el proceso y verifique que inicia sesión correctamente en Azure Portal.Follow the prompts to complete the process and verify you successfully sign in to the Azure portal.

    Siga las indicaciones del explorador y de la solicitud de autenticación multifactor registrada para iniciar sesión.

  3. Cierre la ventana del explorador.Close the browser window.

Limpieza de recursosClean up resources

Si ya no desea usar la directiva de acceso condicional para habilitar el método Azure AD Multi-Factor Authentication configurado como parte de este tutorial, elimine la directiva mediante estos pasos:If you no longer want to use the Conditional Access policy to enable Azure AD Multi-Factor Authentication configured as part of this tutorial, delete the policy using the following steps:

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.
  2. Busque y seleccione Azure Active Directory y, a continuación, elija Seguridad en el menú del lado izquierdo.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.
  3. Seleccione Acceso condicional y, a continuación, elija la directiva que creó, como Piloto de MFA.Select Conditional access, then choose the policy you created, such as MFA Pilot
  4. Elija Eliminar y confirme que desea eliminar la directiva.Choose Delete, then confirm you wish to delete the policy.

Pasos siguientesNext steps

En este tutorial, ha habilitado Azure AD Multi-Factor Authentication mediante directivas de acceso condicional para un grupo seleccionado de usuarios.In this tutorial, you enabled Azure AD Multi-Factor Authentication using Conditional Access policies for a selected group of users. Ha aprendido a:You learned how to:

  • Crear una directiva de acceso condicional para habilitar Azure AD Multi-Factor Authentication en un grupo de usuarios de Azure ADCreate a Conditional Access policy to enable Azure AD Multi-Factor Authentication for a group of Azure AD users
  • Configurar las condiciones de la directiva que solicitan la autenticación multifactorConfigure the policy conditions that prompt for MFA
  • Probar el proceso de autenticación multifactor como usuarioTest the MFA process as a user