Tutorial: Protección de los eventos de inicio de sesión de usuario mediante Azure AD Multi-Factor Authentication

La autenticación multifactor (MFA) es un proceso por el que, durante un evento de inicio de sesión, se solicitan a un usuario otras formas de identificación. Por ejemplo, se le puede pedir que introduzca un código en el teléfono móvil o el escaneado de la huella digital. Al exigir una segunda forma de autenticación, aumenta la seguridad, porque este factor adicional no es fácil de obtener o duplicar para un atacante.

La autenticación multifactor y las directivas de acceso condicional de Azure AD proporcionan la flexibilidad necesaria para solicitar MFA a los usuarios durante eventos de inicio de sesión específicos. Para información general sobre MFA, se recomienda ver este vídeo: Configuración y aplicación de la autenticación multifactor en el inquilino.

Importante

Este tutorial muestra al administrador cómo habilitar Azure AD Multi-Factor Authentication.

Si el equipo de TI no ha habilitado la función para usar la autenticación multifactor de Azure AD o si surgen problemas para iniciar sesión, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.

En este tutorial, aprenderá a:

  • Crear una directiva de acceso condicional que permita la autenticación multifactor de Azure AD para un grupo de usuarios.
  • Configurar las condiciones de la directiva que solicitan la autenticación multifactor.
  • Proba la configuración y el uso de la autenticación multifactor como usuario.

Requisitos previos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

  • Un inquilino de Azure AD activo con al menos una licencia de Azure AD Premium P1 o de prueba habilitada.

  • Una cuenta con privilegios de administrador global. Un administrador de directivas de autenticación también puede administrar algunos valores de MFA. Para más información, consulte Administrador de directivas de autenticación.

  • Una cuenta que no sea de administrador con una contraseña que conozca. Para los fines de este tutorial, hemos creado una cuenta de este tipo, denominada testuser. En este tutorial, probará la experiencia del usuario final de configurar y usar la autenticación multifactor de Azure AD.

  • Un grupo del que sea miembro el usuario que no es administrador. Para los fines de este tutorial, se ha creado un grupo de este tipo, denominado MFA-Test-Group. En este tutorial, habilitará la autenticación multifactor de Azure AD para este grupo.

Creación de una directiva de acceso condicional

Se recomienda habilitar y usar Azure AD Multi-Factor Authentication con directivas de acceso condicional. El acceso condicional permite crear y definir directivas que reaccionan a los eventos de inicio de sesión y solicitan acciones adicionales antes de que se conceda a un usuario el acceso a una aplicación o un servicio.

Overview diagram of how Conditional Access works to secure the sign-in process

Las directivas de acceso condicional se pueden aplicar a usuarios, grupos y aplicaciones específicos. El objetivo es proteger su organización y, al mismo tiempo, proporcionar los niveles adecuados de acceso a los usuarios que lo necesitan.

En este tutorial, se va a crear una directiva básica de acceso condicional para solicitar autenticación multifactor cuando un usuario inicie sesión en Azure Portal. En un tutorial posterior de esta serie, se configurará la autenticación multifactor de Azure AD mediante una directiva de acceso condicional basado en riesgo.

En primer lugar, cree una directiva de acceso condicional y asigne el grupo de usuarios de prueba de la siguiente manera:

  1. Inicie sesión en Azure Portal mediante una cuenta con permisos de administrador global.

  2. Busque y seleccione Azure Active Directory. Luego, seleccione Seguridad en el menú del lado izquierdo.

  3. Seleccione Acceso condicional, + Nueva directiva y, luego, elija Crear nueva directiva.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  4. Escriba un nombre para la directiva, como Piloto de MFA.

  5. En Asignaciones, seleccione el valor actual en Users or workload identities(Usuarios o identidades de carga de trabajo).

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  6. En What does this policy apply to? (¿A qué se aplica esta directiva?), compruebe que Usuarios y grupos está seleccionado.

  7. En Incluir, elija Seleccionar usuarios y grupos y, luego, elija Usuarios y grupos.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Puesto que todavía no se ha asignado ninguno, la lista de usuarios y grupos (que se muestra en el paso siguiente) se abre automáticamente.

  8. Busque y seleccione el grupo de Azure AD, como Grupo-Prueba-MFA y, a continuación, elija Seleccionar.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

Se ha seleccionado el grupo al que se va a aplicar la directiva. En la sección siguiente, se configuran las condiciones en las que se va a aplicar la directiva.

Configuración de las condiciones para la autenticación multifactor

Ahora que ya ha creado la directiva de acceso condicional y ha asignado un grupo de usuarios de prueba, definirá las aplicaciones en la nube o acciones que desencadenarán la directiva. Estas aplicaciones en la nube o acciones son los escenarios que considera que requieren un procesamiento adicional, como solicitar la autenticación multifactor. Por ejemplo, puede decidir que el acceso a una aplicación financiera o al uso de las herramientas de administración requiere una solicitud de autenticación adicional.

Configuración de las aplicaciones que requieren autenticación multifactor

En este tutorial, configurará la directiva de acceso condicional para que se solicite autenticación multifactor cuando un usuario inicie sesión en Azure Portal.

  1. Seleccione el valor actual en Aplicaciones en la nube o acciones y, luego, en Seleccionar a qué se aplica esta directiva, compruebe que Aplicaciones en la nube está seleccionada.

  2. En Incluir, elija Seleccionar aplicaciones.

    Puesto que aún no hay ninguna aplicación seleccionada, la lista de aplicaciones (que se muestra en el paso siguiente) se abre automáticamente.

    Sugerencia

    Puede decidir si aplica la directiva de acceso condicional a Todas las aplicaciones en la nube o bien si va a elegir la opción para Seleccionar aplicaciones. Para proporcionar flexibilidad, también puede excluir determinadas aplicaciones de la directiva.

  3. Examine la lista de eventos de inicio de sesión disponibles que se pueden usar. En este tutorial, elija Microsoft Azure Management para que la directiva se aplique a los eventos de inicio de sesión en Azure Portal. Luego, elija Seleccionar.

    A screenshot of the Conditional Access page, where you select the app, Microsoft Azure Management, to which the new policy will apply.

Configuración de la autenticación para el acceso

A continuación, configure los controles de acceso. Los controles de acceso permiten definir los requisitos para que se conceda acceso a un usuario. Es posible que deba usar una aplicación cliente aprobada o un dispositivo unido a Azure AD en un entorno híbrido.

En este tutorial, se configurarán los controles de acceso para que se solicite la autenticación multifactor durante un evento de inicio de sesión en Azure Portal.

  1. En Controles de acceso, seleccione el valor actual en Conceder y, luego, elija Conceder acceso.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Seleccione Se necesita autenticación multifactor y, después, elija Seleccionar.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

Activación de la directiva

Las directivas de acceso condicional se pueden establecer en Solo informe, si quiere ver cómo afectaría la configuración a los usuarios, o en Desactivada, si no quiere usar la directiva en este momento. Como este tutorial está destinado a un grupo de usuarios de prueba, se va a habilitar la directiva y, después, se probará la autenticación multifactor de Azure AD.

  1. En Habilitar directiva, seleccione Activar.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. Para aplicar la directiva de acceso condicional, seleccione Crear.

Prueba de Azure AD Multi-Factor Authentication

Veamos la directiva de acceso condicional y Azure AD Multi-Factor Authentication en acción.

En primer lugar, inicie sesión en un recurso que no requiera la autenticación multifactor:

  1. Abra una nueva ventana del explorador en InPrivate o en modo de incógnito y vaya a https://account.activedirectory.windowsazure.com.

    El uso de un modo privado para el explorador impide que las credenciales existentes afecten a este evento de inicio de sesión.

  2. Inicie sesión con el usuario de prueba que no es administrador, como usuarioDePrueba. Asegúrese de incluir @ y el nombre de dominio de la cuenta de usuario.

    Si es la primera vez que inicia sesión con esta cuenta, se le pedirá que cambie la contraseña. Sin embargo, no hay ningún mensaje para configurar o usar la autenticación multifactor.

  3. Cierre la ventana del explorador.

Ha configurado la directiva de acceso condicional para solicitar autenticación adicional en Azure Portal. Debido a esa configuración, se le pide que use la autenticación multifactor de Azure AD o que configure un método si aún no lo ha hecho. Para probar este nuevo requisito, inicie sesión en Azure Portal:

  1. Abra una nueva ventana del explorador en modo de incógnito o InPrivate, y vaya a https://portal.azure.com.

  2. Inicie sesión con el usuario de prueba que no es administrador, como usuarioDePrueba. Asegúrese de incluir @ y el nombre de dominio de la cuenta de usuario.

    Se le solicitará que se registre en Azure AD Multi-Factor Authentication y que use este método.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. Seleccione Siguiente para comenzar el proceso.

    Puede optar por configurar un teléfono de autenticación, un teléfono del trabajo o una aplicación móvil para la autenticación. El teléfono de autenticación admite mensajes de texto y llamadas telefónicas, el teléfono del trabajo admite llamadas a números que tienen una extensión y la aplicación móvil admite el uso de una aplicación móvil para recibir notificaciones de autenticación o para generar códigos de autenticación.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Siga las instrucciones de la pantalla para configurar el método de autenticación multifactor que ha seleccionado.

  5. Cierre la ventana del explorador e inicie sesión de nuevo en https://portal.azure.com para probar el método de autenticación que ha configurado. Por ejemplo, si configuró una aplicación móvil para la autenticación, debería ver un mensaje como el siguiente.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multi-factor authentication.

  6. Cierre la ventana del explorador.

Limpieza de recursos

Si ya no quiere usar la directiva de acceso condicional que configuró en este tutorial, elimínela siguiendo estos pasos:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Azure Active Directory y, luego, elija Seguridad en el menú del lado izquierdo.

  3. Seleccione Acceso condicional y, luego, seleccione la directiva que ha creado, por ejemplo, MFA piloto.

  4. Seleccione Eliminar y confirme que quiere eliminar la directiva.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Pasos siguientes

En este tutorial, ha habilitado la autenticación multifactor de Azure AD mediante directivas de acceso condicional para un grupo de usuarios seleccionado. Ha aprendido a:

  • Crear una directiva de acceso condicional para habilitar la autenticación multifactor de Azure AD en un grupo de usuarios de Azure AD.
  • Configurar las condiciones de directiva que solicitan la autenticación multifactor.
  • Proba la configuración y el uso de la autenticación multifactor como usuario.