Plan de una implementación de Azure AD Multi-Factor AuthenticationPlan an Azure AD Multi-Factor Authentication deployment

Las personas se conectan con recursos de la organización en escenarios cada vez más complicados.People are connecting to organizational resources in increasingly complicated scenarios. Los usuarios se conectan desde dispositivos propiedad de la organización, personales y públicos, desde redes corporativas y no corporativas mediante smartphones, tabletas, PC y equipos portátiles, a menudo en varias plataformas.People connect from organization-owned, personal, and public devices on and off the corporate network using smart phones, tablets, PCs, and laptops, often on multiple platforms. En este mundo conectado siempre, multidispositivo y multiplataforma, la seguridad de las cuentas de usuario es más importante que nunca.In this always-connected, multi-device and multi-platform world, the security of user accounts is more important than ever. Las contraseñas, independientemente de su complejidad, que se usan en varios dispositivos, redes y plataformas ya no son suficientes para garantizar la seguridad de la cuenta de usuario, especialmente cuando los usuarios tienden a reutilizar contraseñas entre cuentas.Passwords, no matter their complexity, used across devices, networks, and platforms are no longer sufficient to ensure the security of the user account, especially when users tend to reuse passwords across accounts. El "phishing" sofisticado y otros ataques de ingeniería social pueden dar lugar a que los nombres de usuario y contraseñas se publiquen y vendan en la web oscura.Sophisticated phishing and other social engineering attacks can result in usernames and passwords being posted and sold across the dark web.

Azure AD Multi-Factor Authentication (MFA) ayuda a salvaguardar el acceso a los datos y las aplicaciones.Azure AD Multi-Factor Authentication (MFA) helps safeguard access to data and applications. Proporciona una capa adicional de seguridad mediante una segunda forma de autenticación.It provides an additional layer of security using a second form of authentication. Las organizaciones pueden usar el acceso condicional para que la solución se ajuste a sus necesidades específicas.Organizations can use Conditional Access to make the solution fit their specific needs.

En esta guía de implementación se muestra cómo planear y luego probar un lanzamiento de Azure AD Multi-Factor Authentication.This deployment guide shows you how to plan and then test an Azure AD Multi-Factor Authentication roll-out.

Para ver rápidamente Azure AD Multi-Factor Authentication en acción y luego volver para entender otras consideraciones de implementación:To quickly see Azure AD Multi-Factor Authentication in action and then come back to understand additional deployment considerations:

PrerrequisitosPrerequisites

Antes de iniciar una implementación de Azure AD Multi-Factor Authentication, existen requisitos previos que deben tenerse en cuenta.Before starting a deployment of Azure AD Multi-Factor Authentication, there are prerequisite items that should be considered.

EscenarioScenario Requisito previoPrerequisite
Entorno de identidades solo en la nube con autenticación moderna.Cloud-only identity environment with modern authentication Sin tareas de requisitos previos adicionales.No additional prerequisite tasks
Escenarios de identidad híbridos.Hybrid identity scenarios Azure AD Connect está implementado y las identidades de usuario están sincronizadas o federadas con la instancia local de Active Directory Domain Services con Azure Active Directory.Azure AD Connect is deployed and user identities are synchronized or federated with the on-premises Active Directory Domain Services with Azure Active Directory.
Aplicaciones heredadas locales que se publican para el acceso a la nube.On-premises legacy applications published for cloud access Azure AD Application Proxy está implementado.Azure AD Application Proxy is deployed.
Empleo de Azure AD MFA con autenticación RADIUSUsing Azure AD MFA with RADIUS Authentication Está implementado un servidor de directivas de redes (NPS).A Network Policy Server (NPS) is deployed.
Los usuarios tienen Microsoft Office 2010 o versiones anteriores, o bien Apple Mail para iOS 11 o versiones anteriores.Users have Microsoft Office 2010 or earlier, or Apple Mail for iOS 11 or earlier Actualización a Microsoft Office 2013 o versiones posteriores, o bien a Apple Mail para iOS 12 o versiones posteriores.Upgrade to Microsoft Office 2013 or later and Apple mail for iOS 12 or later. Los protocolos de autenticación heredada no admiten el acceso condicional.Conditional Access is not supported by legacy authentication protocols.

Planificación del lanzamiento para el usuarioPlan user rollout

El plan de lanzamiento de MFA debe incluir un lanzamiento piloto seguido de fases de implementación dentro de su capacidad admitida.Your MFA rollout plan should include a pilot deployment followed by deployment waves that are within your support capacity. Comience el lanzamiento al aplicar las directivas de acceso condicional a un grupo reducido de usuarios piloto.Begin your rollout by applying your Conditional Access policies to a small group of pilot users. Después de evaluar el efecto en los usuarios piloto, el proceso que se utiliza y los comportamientos de registro, puede agregar más grupos a la directiva o agregar más usuarios a los grupos existentes.After evaluating the effect on the pilot users, process used, and registration behaviors, you can either add more groups to the policy or add more users to the existing groups.

Comunicaciones de los usuariosUser communications

Es fundamental notificar a los usuarios mediante comunicaciones planeadas los próximos cambios, los requisitos de registro de Azure AD MFA y las acciones que debe realizar el usuario.It is critical to inform users, in planned communications, about upcoming changes, Azure AD MFA registration requirements, and any necessary user actions. Se recomienda que las comunicaciones se desarrollen con ayuda de los representantes de su organización; por ejemplo, los departamentos de recursos humanos, administración de cambios o comunicaciones.We recommend communications are developed in concert with representatives from within your organization, such as a Communications, Change Management, or Human Resources departments.

Microsoft proporciona plantillas de comunicación y documentación de usuario final para ayudarle a crear borradores de sus comunicaciones.Microsoft provides communication templates and end-user documentation to help draft your communications. Puede enviar a los usuarios a https://myprofile.microsoft.com para registrarse directamente si seleccionan los vínculos Información de seguridad en la página.You can send users to https://myprofile.microsoft.com to register directly by selecting the Security Info links on that page.

Consideraciones de la implementaciónDeployment considerations

Azure AD Multi-Factor Authentication se implementa mediante la aplicación de directivas con acceso condicional.Azure AD Multi-Factor Authentication is deployed by enforcing policies with Conditional Access. Una directiva de acceso condicional puede requerir que los usuarios realicen la autenticación multifactor cuando se cumplen ciertos criterios, por ejemplo:A Conditional Access policy can require users to perform multi-factor authentication when certain criteria are met such as:

  • Todos los usuarios, un usuario específico, el miembro de un grupo o un rol asignadoAll users, a specific user, member of a group, or assigned role
  • Se accede a una aplicación en la nube específicaSpecific cloud application being accessed
  • Plataforma de dispositivoDevice platform
  • Estado del dispositivoState of device
  • Ubicación de red o ubicación geográfica de dirección IPNetwork location or geo-located IP address
  • Aplicaciones clienteClient applications
  • Riesgo de inicio de sesión (requiere Identity Protection)Sign-in risk (Requires Identity Protection)
  • Dispositivos compatibleCompliant device
  • Dispositivo unido a Azure AD híbridoHybrid Azure AD joined device
  • Aplicación cliente aprobadaApproved client application

Utilice los pósteres y plantillas de correo electrónico personalizables de los materiales de lanzamiento de la autenticación multifactor para lanzar la autenticación multifactor en su organización.Use the customizable posters and email templates in multi-factor authentication rollout materials to roll out multi-factor authentication to your organization.

Habilitación de Multi-Factor Authentication con acceso condicionalEnable Multi-Factor Authentication with Conditional Access

Las directivas de acceso condicional fomentan el registro, ya que los usuarios no registrados deben completar su registro en el primer inicio de sesión, una consideración de seguridad importante.Conditional Access policies enforce registration, requiring unregistered users to complete registration at first sign-in, an important security consideration.

Azure AD Identity Protection contribuye con una directiva de registro y con directivas de detección y corrección automatizadas de riesgos al caso de Azure AD Multi-Factor Authentication.Azure AD Identity Protection contributes both a registration policy for and automated risk detection and remediation policies to the Azure AD Multi-Factor Authentication story. Las directivas se pueden crear para forzar los cambios de contraseña cuando hay una amenaza de identidad en peligro o pueden requerir MFA cuando un inicio de sesión se considera de riesgo según los siguientes eventos:Policies can be created to force password changes when there is a threat of compromised identity or require MFA when a sign-in is deemed risky by the following events:

  • Credenciales con fugasLeaked credentials
  • Inicios de sesión desde direcciones IP anónimasSign-ins from anonymous IP addresses
  • Viaje imposible a ubicaciones inusualesImpossible travel to atypical locations
  • Inicios de sesión desde ubicaciones desconocidasSign-ins from unfamiliar locations
  • Inicios de sesión desde dispositivos infectadosSign-ins from infected devices
  • Inicios de sesión desde direcciones IP con actividad sospechosaSign-ins from IP addresses with suspicious activities

Algunas de las detecciones de riesgos observadas por Azure Active Directory Identity Protection se producen en tiempo real y algunas requieren un procesamiento sin conexión.Some of the risk detections detected by Azure Active Directory Identity Protection occur in real time and some require offline processing. Los administradores pueden bloquear a los usuarios que exhiben comportamientos de riesgo y corregir la situación manualmente, o pueden solicitar una autenticación multifactor como parte de sus directivas de acceso condicional.Administrators can choose to block users who exhibit risky behaviors and remediate manually, require a password change, or require a multi-factor authentication as part of their Conditional Access policies.

Definición de las ubicaciones de redDefine network locations

Se recomienda que las organizaciones usen acceso condicional para definir su red mediante ubicaciones con nombre.We recommend that organizations use Conditional Access to define their network using named locations. Si su organización usa Identity Protection, considere el uso de directivas basadas en riesgos en lugar de ubicaciones con nombre.If your organization is using Identity Protection, consider using risk-based policies instead of named locations.

Configuración de una ubicación con nombreConfiguring a named location

  1. Vaya a Azure Active Directory en Azure Portal.Open Azure Active Directory in the Azure portal
  2. seleccione Seguridad.Select Security
  3. En Administrar, elija Ubicaciones con nombre.Under Manage, choose Named Locations
  4. Seleccione Nueva ubicación.Select New Location
  5. En el campo Nombre escriba un nombre descriptivo.In the Name field, provide a meaningful name
  6. Seleccione si va a definir la ubicación mediante Intervalos IP o bien Países o regiones.Select whether you are defining the location using IP ranges or Countries/Regions
    1. Si usa Intervalos IPIf using IP Ranges
      1. Decida si quiere utilizar la opción Marcar como ubicación de confianza.Decide whether to Mark as trusted location. Iniciar sesión desde una ubicación de confianza reduce el riesgo de inicio de sesión del usuario.Signing in from a trusted location lowers a user's sign-in risk. Solo marque esta ubicación como de confianza si sabe que los intervalos de direcciones IP especificados están establecidos y son confiables en su organización.Only mark this location as trusted if you know the IP ranges entered are established and credible in your organization.
      2. Especifique los intervalos de direcciones IPSpecify the IP Ranges
    2. Si usa Países o regionesIf using Countries/Regions
      1. Expanda el menú desplegable y seleccione los países o regiones que quiere definir para esta ubicación con nombre.Expand the drop-down menu and select the countries or regions you wish to define for this named location.
      2. Decida si quiere utiliza la opción Incluir áreas desconocidas.Decide whether to Include unknown areas. Las áreas desconocidas son direcciones IP que no pueden asignarse a un país o región.Unknown areas are IP addresses that can't be mapped to a country/region.
  7. Seleccione CrearSelect Create

Planificación de métodos de autenticaciónPlan authentication methods

Los administradores pueden elegir los métodos de autenticación que quieren que estén disponibles para los usuarios.Administrators can choose the authentication methods that they want to make available for users. Es importante habilitar más de un método de autenticación para que los usuarios tengan disponible un método alternativo en caso de que su método principal no esté disponible.It is important to allow more than a single authentication method so that users have a backup method available in case their primary method is unavailable. Los métodos siguientes están disponibles para que los administradores los habiliten:The following methods are available for administrators to enable:

Sugerencia

Microsoft recomienda el uso de Microsoft Authenticator (aplicación móvil) como método principal de Azure AD Multi-Factor Authentication para obtener una experiencia de usuario mejorada y más segura.Microsoft recommends using the Microsoft Authenticator (mobile app) as the primary method for Azure AD Multi-Factor Authentication for a more secure and improved user experience. La aplicación Microsoft Authenticator también cumple los niveles de seguridad de Authenticator del National Institute of Standards and Technology.The Microsoft Authenticator app also meets the National Institute of Standards and Technology Authenticator Assurance Levels.

Notificación a través de aplicación móvilNotification through mobile app

Se envía una notificación push a la aplicación Microsoft Authenticator del dispositivo móvil.A push notification is sent to the Microsoft Authenticator app on your mobile device. El usuario ve la notificación y selecciona Aprobar para completar la comprobación.The user views the notification and selects Approve to complete verification. Las notificaciones push a través de una aplicación móvil proporcionan la opción menos intrusiva para los usuarios.Push notifications through a mobile app provide the least intrusive option for users. También son la opción más confiable y segura porque usan una conexión de datos en lugar de una de telefonía.They are also the most reliable and secure option because they use a data connection rather than telephony.

Nota

Si su organización tiene personal que trabaja en China o que va a viajar allí, el método Notificación a través de aplicación móvil en dispositivos Android no funciona en ese país o región.If your organization has staff working in or traveling to China, the Notification through mobile app method on Android devices does not work in that country/region. Para esos usuarios tiene que haber métodos alternativos disponibles.Alternate methods should be made available for those users.

Código de verificación desde aplicación móvilVerification code from mobile app

Una aplicación móvil como la de Microsoft Authenticator genera un nuevo código de verificación de OATH cada 30 segundos.A mobile app like the Microsoft Authenticator app generates a new OATH verification code every 30 seconds. El usuario escribe el código de verificación en la interfaz de inicio de sesión.The user enters the verification code into the sign-in interface. La opción de aplicación móvil puede utilizarse independientemente de si el teléfono tiene una señal de telefonía móvil o datos.The mobile app option can be used whether or not the phone has a data or cellular signal.

Llamada al teléfonoCall to phone

Se realiza una llamada de voz automática al usuario.An automated voice call is placed to the user. El usuario responde a la llamada y pulsa # en el teclado del teléfono para aprobar su autenticación.The user answers the call and presses # on the phone keypad to approve their authentication. La llamada a teléfono es un método alternativo excelente para los códigos de verificación o notificación de una aplicación móvil.Call to phone is a great backup method for notification or verification code from a mobile app.

Mensaje de texto al teléfonoText message to phone

Se envía al usuario un mensaje de texto que contiene un código de verificación; después, se le pide al usuario que escriba el código de verificación en la interfaz de inicio de sesión.A text message that contains a verification code is sent to the user, the user is prompted to enter the verification code into the sign-in interface.

Elección de opciones de comprobaciónChoose verification options

  1. Vaya a Azure Active Directory, Usuarios, Multi-Factor Authentication.Browse to Azure Active Directory, Users, Multi-Factor Authentication.

    Acceso al portal de Multi-factor Authentication desde la hoja de usuarios de Azure AD en Azure Portal

  2. En la nueva pestaña que se abre, vaya a valor de configuración del servicio.In the new tab that opens browse to service settings.

  3. En opciones de comprobación, active todas las casillas para los métodos disponibles para los usuarios.Under verification options, check all of the boxes for methods available to users.

    Configuración de métodos de verificación en la pestaña de configuración del servicio Multi-Factor Authentication

  4. Haga clic en Guardar.Click on Save.

  5. Cierre la pestaña configuración del servicio.Close the service settings tab.

Planificación de la directiva de registroPlan registration policy

Los administradores deben determinar la forma en que los usuarios registrarán sus métodos.Administrators must determine how users will register their methods. Las organizaciones deben habilitar la nueva experiencia de registro combinado para Azure AD MFA y el autoservicio de restablecimiento de contraseña (SSPR).Organizations should enable the new combined registration experience for Azure AD MFA and self-service password reset (SSPR). Dicho servicio permite que los usuarios restablezcan su contraseña de forma segura con los mismos métodos que se usan para la autenticación multifactor.SSPR allows users to reset their password in a secure way using the same methods they use for multi-factor authentication. Se recomienda usar este registro combinado, porque es una excelente experiencia para los usuarios, con la capacidad de registrarse una vez en ambos servicios.We recommend this combined registration because it's a great experience for users, with the ability to register once for both services. La habilitación de los mismos métodos para SSPR y Azure AD MFA permite a los usuarios registrarse para usar ambas características.Enabling the same methods for SSPR and Azure AD MFA will allow your users to be registered to use both features.

Registro con Identity ProtectionRegistration with Identity Protection

Si su organización usa Azure Active Directory Identity Protection, configure la directiva de registro de MFA para pedir a los usuarios que se registren la próxima vez que inicien sesión de forma interactiva.If your organization is using Azure Active Directory Identity Protection, configure the MFA registration policy to prompt your users to register the next time they sign in interactively.

Registro sin Identity ProtectionRegistration without Identity Protection

Si su organización no tiene licencias que habiliten Identity Protection, se pedirá a los usuarios que se registren la próxima vez que se solicite MFA para iniciar de sesión.If your organization does not have licenses that enable Identity Protection, users are prompted to register the next time that MFA is required at sign-in. Los usuarios no se pueden registrar para MFA si no usan aplicaciones protegidas con MFA.Users may not be registered for MFA if they don't use applications protected with MFA. Es importante que todos los usuarios se registren, para que los individuos malintencionados no puedan adivinar la contraseña de un usuario y registrarse para MFA en su nombre, ya que tomarían efectivamente el control de la cuenta.It's important to get all users registered so that bad actors cannot guess the password of a user and register for MFA on their behalf, effectively taking control of the account.

Aplicación del registroEnforcing registration

Mediante los siguientes pasos, una directiva de acceso condicional puede obligar a los usuarios a registrarse para Multi-Factor Authentication.Using the following steps a Conditional Access policy can force users to register for Multi-Factor Authentication

  1. Cree un grupo y agregue a todos los usuarios que no está registrados.Create a group, add all users not currently registered.
  2. Mediante el acceso condicional, exija la autenticación multifactor para este grupo a fin de acceder a todos los recursos.Using Conditional Access, enforce multi-factor authentication for this group for access to all resources.
  3. Periódicamente, vuelva a evaluar la pertenencia al grupo y quite a los usuarios del grupo que ya están registrados.Periodically, reevaluate the group membership, and remove users who have registered from the group.

Puede identificar a los usuarios de Azure AD MFA registrados y no registrados con comandos de PowerShell que se basan en el módulo MSOnline de PowerShell.You may identify registered and non-registered Azure AD MFA users with PowerShell commands that rely on the MSOnline PowerShell module.

Identificación de usuarios registradosIdentify registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods -ne $null} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Identificación de usuarios no registradosIdentify non-registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods.Count -eq 0} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Convertir a los usuarios de MFA por usuario a MFA basado en el acceso condicionalConvert users from per-user MFA to Conditional Access based MFA

Si los usuarios se han habilitado con Azure AD Multi-Factor Authentication por usuario habilitado y aplicado, el siguiente comando de PowerShell puede ayudarle a realizar la conversión a Azure AD Multi-Factor Authentication basado en acceso condicional.If your users were enabled using per-user enabled and enforced Azure AD Multi-Factor Authentication the following PowerShell can assist you in making the conversion to Conditional Access based Azure AD Multi-Factor Authentication.

Ejecútelo en una ventana de ISE o guárdelo como un archivo .PS1 para ejecutarlo localmente.Run this PowerShell in an ISE window or save as a .PS1 file to run locally.

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}

# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Nota

Recientemente hemos cambiado el comportamiento y el script de PowerShell anterior en consecuencia.We recently changed the behavior and PowerShell script above accordingly. Anteriormente, el script se guardaba fuera de los métodos de MFA, se deshabilitó MFA y restauraba los métodos.Previously, the script saved off the MFA methods, disabled MFA, and restored the methods. Ahora, ya no es necesario que el comportamiento predeterminado para deshabilitar no borre los métodos.This is no longer necessary now that the default behavior for disable doesn't clear the methods.

Planificación de directivas de acceso condicionalPlan Conditional Access policies

Para planear la estrategia de directiva de acceso condicional, que determinará cuándo se solicitan MFA y otros controles, consulte Directivas de acceso condicional habituales.To plan your Conditional Access policy strategy, which will determine when MFA and other controls are required, refer to Common Conditional Access policies.

Es importante que evite bloquearse accidentalmente del inquilino de Azure AD.It is important that you prevent being inadvertently locked out of your Azure AD tenant. Puede mitigar el efecto de esta falta involuntaria de acceso administrativo si crea de dos o más cuentas de acceso de emergencia en su inquilino y no las incluye en su directiva de acceso condicional.You can mitigate the impact of this inadvertent lack of administrative access by creating two or more emergency access accounts in your tenant and excluding them from your Conditional Access policy.

Creación de una directiva de acceso condicionalCreate Conditional Access policy

  1. Inicie sesión en Azure Portal con una cuenta de administrador global.Sign in to the Azure portal using a global administrator account.
  2. Vaya a Azure Active Directory > Seguridad > Acceso condicional.Browse to Azure Active Directory > Security > Conditional Access.
  3. Seleccione Nueva directiva.Select New policy. Creación de una directiva de acceso condicional que habilite MFA para los usuarios de Azure Portal en el grupo pilotoCreate a Conditional Access policy to enable MFA for Azure portal users in pilot group
  4. Escriba un nombre descriptivo para la directiva.Provide a meaningful name for your policy.
  5. En usuarios y grupos:Under users and groups:
    • En la pestaña Incluir, seleccione el botón de radio Todos los usuarios.On the Include tab, select the All users radio button
    • En la pestaña Excluir, active la casilla para Usuarios y grupos y elija las cuentas de acceso de emergencia.On the Exclude tab, check the box for Users and groups and choose your emergency access accounts.
    • Haga clic en Done(Listo).Click Done.
  6. En Aplicaciones en la nube, seleccione el botón de selección Todas las aplicaciones en la nube.Under Cloud apps, select the All cloud apps radio button.
    • OPCIONAL: En la pestaña Excluir, elija aplicaciones en la nube para las que su organización no requiere MFA.OPTIONALLY: On the Exclude tab, choose cloud apps that your organization does not require MFA for.
    • Haga clic en Done(Listo).Click Done.
  7. En la sección Condiciones:Under Conditions section:
    • OPCIONAL: Si ha habilitado Azure Identity Protection, puede optar por integrar la evaluación de riesgos de inicio de sesión en la directiva.OPTIONALLY: If you have enabled Azure Identity Protection, you can choose to evaluate sign-in risk as part of the policy.
    • OPCIONAL: Si ha configurado ubicaciones de confianza o ubicaciones con nombre, puede especificar que se incluyan o excluyan esas ubicaciones de la directiva.OPTIONALLY: If you have configured trusted locations or named locations, you can specify to include or exclude those locations from the policy.
  8. En Conceder, asegúrese de que el botón de selección Conceder acceso está seleccionado.Under Grant, make sure the Grant access radio button is selected.
    • Active la casilla Requerir autenticación multifactor.Check the box for Require multi-factor authentication.
    • Haga clic en Seleccionar.Click Select.
  9. Omita la sección Sesión.Skip the Session section.
  10. Establezca la opción Habilitar directiva en Activada.Set the Enable policy toggle to On.
  11. Haga clic en Crear.Click Create.

Planificación de la integración con sistemas localesPlan integration with on-premises systems

Algunas aplicaciones heredadas y locales que no se autentican directamente en Azure AD requieren pasos adicionales para usar MFA, incluidas:Some legacy and on-premises applications that do not authenticate directly against Azure AD require additional steps to use MFA including:

  • Aplicaciones heredadas locales, que deben usar Application Proxy.Legacy on-premises applications, which will need to use Application proxy.
  • Aplicaciones locales de RADIUS, que deben usar el adaptador de MFA con el servidor NPS.On-premises RADIUS applications, which will need to use MFA adapter with NPS server.
  • Aplicaciones locales de AD FS, que deben usar el adaptador de MFA con AD FS 2016 o posterior.On-premises AD FS applications, which will need to use MFA adapter with AD FS 2016 or newer.

Las aplicaciones que se autentican directamente con Azure AD y tienen autenticación moderna (WS-Fed, SAML, OAuth, OpenID Connect) pueden hacer uso directo de las directivas de acceso condicional.Applications that authenticate directly with Azure AD and have modern authentication (WS-Fed, SAML, OAuth, OpenID Connect) can make use of Conditional Access policies directly.

Uso de Azure AD MFA con Azure AD Application ProxyUse Azure AD MFA with Azure AD Application Proxy

Las aplicaciones que residen en el entorno local se pueden publicar en el inquilino de Azure AD por medio de Azure AD Application Proxy y pueden aprovechar las ventajas de Azure AD Multi-Factor Authentication si están configuradas para usar la autenticación previa de Azure AD.Applications residing on-premises can be published to your Azure AD tenant via Azure AD Application Proxy and can take advantage of Azure AD Multi-Factor Authentication if they are configured to use Azure AD pre-authentication.

Estas aplicaciones están sujetas a directivas de acceso condicional que exigen Azure AD Multi-Factor Authentication, al igual que cualquier otra aplicación integrada en Azure AD.These applications are subject to Conditional Access policies that enforce Azure AD Multi-Factor Authentication, just like any other Azure AD-integrated application.

Del mismo modo, si se exige el uso de Azure AD Multi-Factor Authentication para todos los inicios de sesión de usuario, las aplicaciones locales publicadas con Azure AD Active Directory Application Proxy están protegidas.Likewise, if Azure AD Multi-Factor Authentication is enforced for all user sign-ins, on-premises applications published with Azure AD Application Proxy will be protected.

Integración de Azure AD Multi-Factor Authentication con Servidor de directivas de redesIntegrating Azure AD Multi-Factor Authentication with Network Policy Server

La extensión Servidor de directivas de redes (NPS) de Azure AD MFA agrega capacidades de MFA basadas en la nube a la infraestructura de autenticación mediante los servidores existentes.The Network Policy Server (NPS) extension for Azure AD MFA adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. Con la extensión NPS, podrá agregar mecanismos de verificación mediante llamadas de teléfono, mensajes de texto o aplicaciones de teléfono al flujo de autenticación existente.With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow. Esta integración tiene las siguientes limitaciones:This integration has the following limitations:

  • Con el protocolo CHAPv2, solo se admiten las notificaciones push y llamadas de voz de la aplicación autenticadora.With the CHAPv2 protocol, only authenticator app push notifications and voice call are supported.
  • No se pueden aplicar las directivas de acceso condicional.Conditional Access policies cannot be applied.

La extensión NPS actúa como un adaptador entre RADIUS y Azure AD MFA basado en la nube para proporcionar un segundo factor de autenticación a fin de proteger la VPN, las conexiones de puerta de enlace de Escritorio remoto u otras aplicaciones con funcionalidad RADIUS.The NPS extension acts as an adapter between RADIUS and cloud-based Azure AD MFA to provide a second factor of authentication to protect VPN, Remote Desktop Gateway connections, or other RADIUS capable applications. Los usuarios que se registran en Azure AD MFA en este entorno se han de enfrentar a todos los intentos de autenticación, ya que la falta de directivas de acceso condicional conlleva que siempre se requiera MFA.Users that register for Azure AD MFA in this environment will be challenged for all authentication attempts, the lack of Conditional Access policies means MFA is always required.

Implementación del servidor de NPSImplementing your NPS server

Si tiene una instancia de NPS implementada y ya en uso, vea Integración de la infraestructura existente del servidor de directivas de redes (NPS) con Azure AD Multi-Factor Authentication.If you have an NPS instance deployed and in use already, reference Integrate your existing NPS Infrastructure with Azure AD Multi-Factor Authentication. Si está configurando NPS por primera vez, consulte el artículo Servidor de directivas de redes (NPS) para obtener instrucciones.If you are setting up NPS for the first time, refer to Network Policy Server (NPS) for instructions. Puede encontrar una guía de solución de problemas en el artículo Resolución de mensajes de error de la extensión de NPS para Azure AD Multi-Factor Authentication.Troubleshooting guidance can be found in the article Resolve error messages from the NPS extension for Azure AD Multi-Factor Authentication.

Preparación de los usuarios NPS que no están inscritos en MFAPrepare NPS for users that aren't enrolled for MFA

Elija lo que sucede cuando los usuarios que no están inscritos en MFA intentan autenticarse.Choose what happens when users that aren't enrolled with MFA try to authenticate. Use la configuración del registro REQUIRE_USER_MATCH en la ruta de acceso del registro HKLM\Software\Microsoft\AzureMFA para controlar el comportamiento de la característica.Use the registry setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA to control the feature behavior. Esta opción tiene una única opción de configuración.This setting has a single configuration option.

ClaveKey ValueValue Valor predeterminadoDefault
REQUIRE_USER_MATCH TRUE/FALSETRUE / FALSE No establecido (equivalente a TRUE)Not set (equivalent to TRUE)

El propósito de esta configuración es determinar qué hacer cuando un usuario no está inscrito en MFA.The purpose of this setting is to determine what to do when a user is not enrolled for MFA. Los efectos de modificar esta configuración se muestran en la tabla siguiente.The effects of changing this setting are listed in the table below.

ConfiguraciónSettings Estado de MFA del usuarioUser MFA Status EfectosEffects
La clave no existeKey does not exist No inscritoNot enrolled El desafío de MFA no se realizó correctamenteMFA challenge is unsuccessful
Valor establecido en True o sin establecerValue set to True / not set No inscritoNot enrolled El desafío de MFA no se realizó correctamenteMFA challenge is unsuccessful
Clave establecida en FalseKey set to False No inscritoNot enrolled Autenticación con MFAAuthentication without MFA
Clave establecida en False o TrueKey set to False or True InscritoEnrolled Debe autenticarse con MFAMust authenticate with MFA

Integración con Servicios de federación de Active Directory (AD FS)Integrate with Active Directory Federation Services

Si la organización está federada con Azure AD, puede usar Azure AD Multi-Factor Authentication para proteger los recursos de AD FS, tanto en entornos locales como en la nube.If your organization is federated with Azure AD, you can use Azure AD Multi-Factor Authentication to secure AD FS resources, both on-premises and in the cloud. Azure AD MFA permite reducir el número de contraseñas y proporciona una manera más segura de autenticarse.Azure AD MFA enables you to reduce passwords and provide a more secure way to authenticate. A partir de Windows Server 2016, puede configurar Azure AD MFA para la autenticación principal.Starting with Windows Server 2016, you can now configure Azure AD MFA for primary authentication.

A diferencia de AD FS en Windows Server 2012 R2, el adaptador de Azure AD MFA para AD FS 2016 se integra directamente con Azure AD y no requiere un servidor local de Azure MFA.Unlike with AD FS in Windows Server 2012 R2, the AD FS 2016 Azure AD MFA adapter integrates directly with Azure AD and does not require an on-premises Azure MFA server. El adaptador de Azure AD MFA está integrado en Windows Server 2016, por lo que no se necesita una instalación adicional.The Azure AD MFA adapter is built into Windows Server 2016, and there is no need for an additional installation.

Cuando se usa Azure AD MFA con AD FS 2016 y la aplicación de destino está sujeta a una directiva de acceso condicional, existen consideraciones adicionales:When using Azure AD MFA with AD FS 2016 and the target application is subject to Conditional Access policy, there are additional considerations:

  • El acceso condicional está disponible cuando la aplicación es un usuario de confianza de Azure AD y está federada con AD FS 2016 o posterior.Conditional Access is available when the application is a relying party to Azure AD, federated with AD FS 2016 or newer.
  • El acceso condicional no está disponible cuando la aplicación es un usuario de confianza de AD FS 2016 o AD FS 2019 y está federada o administrada con AD FS 2016 o AD FS 2019.Conditional Access is not available when the application is a relying party to AD FS 2016 or AD FS 2019 and is managed or federated with AD FS 2016 or AD FS 2019.
  • Además, el acceso condicional no está disponible si AD FS 2016 o AD FS 2019 se ha configurado para usar Azure AD MFA como método de autenticación principal.Conditional Access is also not available when AD FS 2016 or AD FS 2019 is configured to use Azure AD MFA as the primary authentication method.

Registro de AD FSAD FS logging

La escritura de registros estándar de AD FS 2016 y 2019 en el registro de seguridad de Windows y el registro de administración de AD FS contiene información sobre las solicitudes de autenticación y si se realizaron correctamente o no.Standard AD FS 2016 and 2019 logging in both the Windows Security Log and the AD FS Admin log, contains information about authentication requests and their success or failure. Los datos del registro de eventos de estos eventos indican si se ha usado Azure AD MFA.Event log data within these events will indicate whether Azure AD MFA was used. Por ejemplo, un evento de auditoría de AD FS con ID 1200 puede contener:For example, an AD FS Auditing Event ID 1200 may contain:

<MfaPerformed>true</MfaPerformed>
<MfaMethod>MFA</MfaMethod>

Renovación y administración de certificadosRenew and manage certificates

En todos los servidores de AD FS del equipo local My Store hay un certificado de Azure AD MFA autofirmado con el título OU=Microsoft AD FS Azure MFA que contiene la fecha de expiración del certificado.On each AD FS server, in the local computer My Store, there will be a self-signed Azure AD MFA certificate titled OU=Microsoft AD FS Azure MFA, which contains the certificate expiration date. Compruebe el período de validez de este certificado en cada servidor de AD FS para determinar la fecha de expiración.Check the validity period of this certificate on each AD FS server to determine the expiration date.

Si el período de validez de los certificados está próximo a expirar, genere y compruebe un nuevo certificado MFA en cada servidor de AD FS.If the validity period of your certificates is nearing expiration, generate and verify a new MFA certificate on each AD FS server.

En la guía siguiente se detalla cómo administrar los certificados de Azure AD MFA en los servidores de AD FS.The following guidance details how to manage the Azure AD MFA certificates on your AD FS servers. Cuando se configura AD FS con Azure AD MFA, los certificados que se generan por medio del cmdlet New-AdfsAzureMfaTenantCertificate de PowerShell son válidos durante dos años.When you configure AD FS with Azure AD MFA, the certificates generated via the New-AdfsAzureMfaTenantCertificate PowerShell cmdlet are valid for two years. Renueve e instale los certificados renovados antes de que expiren para evitar interrupciones en el servicio de MFA.Renew and install the renewed certificates prior to expiration to ovoid disruptions in MFA service.

Implementación del planImplement your plan

Ahora que ha planeado la solución, puede implementarla mediante los siguientes pasos:Now that you have planned your solution, you can implement by following the steps below:

  1. Cumpla con los requisitos previos necesarios.Meet any necessary prerequisites
    1. Implemente Azure AD Connect para los escenarios híbridos.Deploy Azure AD Connect for any hybrid scenarios
    2. Implemente Azure AD Application Proxy en todas las aplicaciones locales publicadas para el acceso a la nube.Deploy Azure AD Application Proxy for on any on-premises apps published for cloud access
    3. Implemente NPS para todas las autenticaciones de RADIUS.Deploy NPS for any RADIUS authentication
    4. Asegúrese de que los usuarios están actualizados a las versiones compatibles de Microsoft Office con la autenticación moderna habilitada.Ensure users have upgraded to supported versions of Microsoft Office with modern authentication enabled
  2. Configure los métodos de autenticación que eligió.Configure chosen authentication methods
  3. Defina las ubicaciones de red con nombre.Define your named network locations
  4. Seleccione grupos para comenzar el lanzamiento de MFA.Select groups to begin rolling out MFA.
  5. Configure las directivas de acceso condicional.Configure your Conditional Access policies
  6. Configure la directiva de registro MFA.Configure your MFA registration policy
    1. MFA y SSPR combinadosCombined MFA and SSPR
    2. Con Identity ProtectionWith Identity Protection
  7. Envíe las comunicaciones de usuario y haga que los usuarios se inscriban en https://aka.ms/mfasetup.Send user communications and get users to enroll at https://aka.ms/mfasetup
  8. Realice un seguimiento de quién está inscrito.Keep track of who's enrolled

Sugerencia

Los usuarios de la nube de administración pública pueden inscribirse en https://aka.ms/GovtMFASetupGovernment cloud users can enroll at https://aka.ms/GovtMFASetup

Administración de la soluciónManage your solution

Informes de Azure AD MFAReports for Azure AD MFA

Azure AD Multi-Factor Authentication proporciona informes por medio de Azure Portal:Azure AD Multi-Factor Authentication provides reports through the Azure portal:

InformeReport LocationLocation DescripciónDescription
Alertas de fraude y de usoUsage and fraud alerts Azure AD > Inicios de sesiónAzure AD > Sign-ins Proporciona información sobre el uso general, el resumen del usuario, detalles del usuario; así como un historial de alertas de fraude enviadas durante el intervalo de fechas especificado.Provides information on overall usage, user summary, and user details; as well as a history of fraud alerts submitted during the date range specified.

Solución de problemas de MFATroubleshoot MFA issues

Busque soluciones a problemas habituales de Azure AD MFA en el artículo Solucionar problemas de Azure AD Multi-factor Authentication en el Centro de Soporte técnico de Microsoft.Find solutions for common issues with Azure AD MFA at the Troubleshooting Azure AD Multi-Factor Authentication article on the Microsoft Support Center.

Pasos siguientesNext steps

Para ver Azure AD Multi-Factor Authentication en acción, realice el siguiente tutorial:To see Azure AD Multi-Factor Authentication in action, complete the following tutorial: