Exigencia de verificación en dos pasos para un usuarioHow to require two-step verification for a user

Puede utilizar uno de estos dos métodos para requerir la verificación en dos pasos, los cuales requieren el uso de una cuenta de administrador global.You can take one of two approaches for requiring two-step verification, both of which require using a global administrator account. La primera opción consiste en habilitar a cada usuario para Azure Multi-factor Authentication (MFA).The first option is to enable each user for Azure Multi-Factor Authentication (MFA). Cuando los usuarios se habilitan de forma individual, realizan la verificación en dos pasos cada vez que inician sesión (con algunas excepciones, como cuando inician sesión desde direcciones IP de confianza o si se activa la característica recordar dispositivos).When users are enabled individually, they perform two-step verification each time they sign in (with some exceptions, such as when they sign in from trusted IP addresses or when the remembered devices feature is turned on). La segunda opción consiste en configurar una directiva de acceso condicional que requiere la verificación en dos pasos en determinadas condiciones.The second option is to set up a Conditional Access policy that requires two-step verification under certain conditions.

Sugerencia

La habilitación de Azure Multi-Factor Authentication mediante directivas de acceso condicional es el enfoque recomendado.Enabling Azure Multi-Factor Authentication using Conditional Access policies is the recommended approach. El cambio de estado del usuario ya no se recomienda, a menos que las licencias no incluyan el acceso condicional, ya que esto requerirá que los usuarios realicen MFA cada vez que inicien sesión.Changing user states is no longer recommended unless your licenses do not include Conditional Access as it will require users to perform MFA every time they sign in.

Elección del modo de habilitaciónChoose how to enable

Enabled by changing user state (Habilitada mediante el cambio de estado de usuario): se trata del método tradicional para exigir la verificación en dos pasos y se describe en este artículo.Enabled by changing user state - This is the traditional method for requiring two-step verification and is discussed in this article. Funciona tanto en Azure MFA en la nube como en el servidor de Azure MFA.It works with both Azure MFA in the cloud and Azure MFA Server. El uso de este método requiere que los usuarios realicen la verificación en dos pasos cada vez que inicien sesión e invalida las directivas de acceso condicional.Using this method requires users to perform two-step verification every time they sign in and overrides Conditional Access policies.

Enabled by conditional access policy (Habilitada mediante la directiva de acceso condicional): se trata del medio más flexible para habilitar la verificación en dos pasos para los usuarios.Enabled by Conditional Access policy - This is the most flexible means to enable two-step verification for your users. La habilitación de la directiva de acceso condicional solo funciona con Azure MFA en la nube y es una característica premium de Azure AD.Enabling using Conditional Access policy only works for Azure MFA in the cloud and is a premium feature of Azure AD. Puede encontrar más información sobre este método en Implementación de Azure Multi-factor Authentication en la nube.More information on this method can be found in Deploy cloud-based Azure Multi-Factor Authentication.

Enabled by Azure AD Identity Protection (Habilitada por Azure AD Identity Protection): este método utiliza la directiva de riesgos de Azure AD Identity Protection para exigir la verificación en dos pasos solo según el riesgo de inicio de sesión para todas las aplicaciones en la nube.Enabled by Azure AD Identity Protection - This method uses the Azure AD Identity Protection risk policy to require two-step verification based only on sign-in risk for all cloud applications. Este método requiere una licencia de Azure Active Directory P2.This method requires Azure Active Directory P2 licensing. Para más información sobre este método, vea Azure Active Directory Identity Protection.More information on this method can be found in Azure Active Directory Identity Protection

Nota

Puede encontrar más información sobre licencias y precios en las páginas de precios de Azure AD y Multi-factor Authentication.More information about licenses and pricing can be found on the Azure AD and Multi-Factor Authentication pricing pages.

Habilitar Azure MFA mediante el cambio de estado del usuarioEnable Azure MFA by changing user state

Las cuentas de usuario de Azure Multi-Factor Authentication tienen los siguientes tres estados:User accounts in Azure Multi-Factor Authentication have the following three distinct states:

StatusStatus DESCRIPCIÓNDescription Aplicaciones que no son de explorador afectadasNon-browser apps affected Aplicaciones que son de explorador afectadasBrowser apps affected Autenticación moderna afectadaModern authentication affected
DisabledDisabled Estado predeterminado para un usuario nuevo no inscrito en Azure MFA.The default state for a new user not enrolled in Azure MFA. SinNo NoNo SinNo
habilitadoEnabled El usuario se ha inscrito en Azure MFA, pero no se ha registrado.The user has been enrolled in Azure MFA, but has not registered. La próxima vez que inicie sesión, se le pedirá registrarse.They receive a prompt to register the next time they sign in. No.No. Continúa funcionando hasta que se complete el proceso de registro.They continue to work until the registration process is completed. Sí.Yes. Una vez que expire la sesión, se requerirá el registro de Azure MFA.After the session expires, Azure MFA registration is required. Sí.Yes. Una vez que expire el token de acceso, se requerirá el registro de Azure MFA.After the access token expires, Azure MFA registration is required.
AplicadoEnforced El usuario se ha inscrito y ha completado el proceso de registro de Azure MFA.The user has been enrolled and has completed the registration process for Azure MFA. Sí.Yes. Las aplicaciones requieren contraseñas de aplicación.Apps require app passwords. Sí.Yes. Se requiere Azure MFA en el inicio de sesión.Azure MFA is required at login. Sí.Yes. Se requiere Azure MFA en el inicio de sesión.Azure MFA is required at login.

El estado de un usuario refleja si un administrador lo ha inscrito en Azure MFA, y si ha completado el proceso de registro.A user's state reflects whether an admin has enrolled them in Azure MFA, and whether they completed the registration process.

Todos los usuarios comienzan con el estado Deshabilitado.All users start out Disabled. Cuando inscribe usuarios en Azure MFA, cambia a Habilitado.When you enroll users in Azure MFA, their state changes to Enabled. Cuando los usuarios habilitados inician sesión y completan el proceso de registro, el estado cambia a Aplicado.When enabled users sign in and complete the registration process, their state changes to Enforced.

Ver el estado de un usuarioView the status for a user

Para acceder a la página donde puede ver y administrar los estados de usuario, siga estos pasos:Use the following steps to access the page where you can view and manage user states:

  1. Inicie sesión en Azure Portal como administrador.Sign in to the Azure portal as an administrator.
  2. Vaya a Azure Active Directory > Usuarios y grupos > Todos los usuarios.Go to Azure Active Directory > Users and groups > All users.
  3. Seleccione Multi-Factor Authentication.Select Multi-Factor Authentication. Seleccione Multi-Factor AuthenticationSelect Multi-Factor Authentication
  4. Se abre una nueva página que muestra los estados de usuario.A new page that displays the user states opens. Estado de usuario de Multi-Factor Authentication (captura de pantalla)multi-factor authentication user status - screenshot

Cambiar el estado de un usuarioChange the status for a user

  1. Use los pasos anteriores para acceder a la página de usuarios de Azure Multi-Factor Authentication.Use the preceding steps to get to the Azure Multi-Factor Authentication users page.

  2. Busque el usuario que desea habilitar para Azure MFA.Find the user you want to enable for Azure MFA. Puede que necesite cambiar la vista en la parte superior.You might need to change the view at the top. Seleccione el usuario para cambiar su estado desde la pestaña de usuariosSelect the user to change status for from the users tab

  3. Active la casilla situada junto a su nombre.Check the box next to their name.

  4. En el lado derecho, bajo los pasos rápidos, elija Habilitar o Deshabilitar.On the right, under quick steps, choose Enable or Disable. Habilite el usuario seleccionado haciendo clic en Habilitar en el menú de pasos rápidosEnable selected user by clicking Enable on the quick steps menu

    Sugerencia

    Habilitado significa que los usuarios cambian automáticamente a Aplicado cuando se registren en Azure MFA.Enabled users are automatically switched to Enforced when they register for Azure MFA. No cambie manualmente el estado de usuario a Aplicado.Do not manually change the user state to Enforced.

  5. Confirme la selección en la ventana emergente que se abre.Confirm your selection in the pop-up window that opens.

Después de habilitar los usuarios, notifíquelos por correo electrónico.After you enable users, notify them via email. Debe indicarles que se les pedirá que se registren la próxima vez que inicien sesión.Tell them that they'll be asked to register the next time they sign in. Además, si su organización utiliza aplicaciones sin explorador que no son compatibles con la autenticación moderna, deben crear contraseñas de aplicación.Also, if your organization uses non-browser apps that don't support modern authentication, they need to create app passwords. También puede incluir un vínculo a la Guía del usuario final de Azure MFA, que les ayudará a empezar a trabajar.You can also include a link to the Azure MFA end-user guide to help them get started.

Uso de PowerShellUse PowerShell

Para cambiar el estado del usuario mediante Azure AD PowerShell, debe cambiar $st.State.To change the user state by using Azure AD PowerShell, change $st.State. Hay tres estados posibles:There are three possible states:

  • habilitadoEnabled
  • AplicadoEnforced
  • DisabledDisabled

No mueva a los usuarios directamente a estado Aplicado.Don't move users directly to the Enforced state. Si lo hace, las aplicaciones que no son de explorador dejan de funcionar porque el usuario no ha pasado a través del proceso de registro de Azure MFA y obtenido una contraseña de aplicación.If you do, non-browser-based apps stop working because the user has not gone through Azure MFA registration and obtained an app password.

Instale el módulo en primer lugar, mediante:Install the Module first, using:

Install-Module MSOnline

Sugerencia

No se olvide de conectarse primero con Connect-MsolServiceDon't forget to connect first using Connect-MsolService

Este ejemplo de script de PowerShell habilita MFA para un usuario individual:This example PowerShell script enables MFA for an individual user:

Import-Module MSOnline
$st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
$st.RelyingParty = "*"
$st.State = "Enabled"
$sta = @($st)
Set-MsolUser -UserPrincipalName bsimon@contoso.com -StrongAuthenticationRequirements $sta

El uso de PowerShell es una buena opción cuando necesite habilitar usuarios de forma masiva.Using PowerShell is a good option when you need to bulk enable users. Por ejemplo, el script siguiente recorre en bucle una lista de usuarios y habilita MFA en sus cuentas:As an example, the following script loops through a list of users and enables MFA on their accounts:

$users = "bsimon@contoso.com","jsmith@contoso.com","ljacobson@contoso.com"
foreach ($user in $users)
{
    $st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
    $st.RelyingParty = "*"
    $st.State = "Enabled"
    $sta = @($st)
    Set-MsolUser -UserPrincipalName $user -StrongAuthenticationRequirements $sta
}

Para deshabilitar MFA, use este script:To disable MFA, use this script:

Get-MsolUser -UserPrincipalName user@domain.com | Set-MsolUser -StrongAuthenticationMethods @()

que también se puede abreviar como:which can also be shortened to:

Set-MsolUser -UserPrincipalName user@domain.com -StrongAuthenticationRequirements @()

Convertir a los usuarios de MFA por usuario a MFA basado en el acceso condicionalConvert users from per-user MFA to Conditional Access based MFA

El siguiente comando de PowerShell puede ayudarle a realizar la conversión a Azure Multi-Factor Authentication basado en el acceso condicional.The following PowerShell can assist you in making the conversion to Conditional Access based Azure Multi-Factor Authentication.

Ejecútelo en una ventana de ISE o guárdelo como un archivo .PS1 para ejecutarlo localmente.Run this PowerShell in an ISE window or save as a .PS1 file to run locally.

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}

# Wrapper to disable MFA with the option to keep the MFA methods (to avoid having to proof-up again later)
function Disable-Mfa {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipeline=$True)]
        $User,
        [switch] $KeepMethods
    )

    Process {

        Write-Verbose ("Disabling MFA for user '{0}'" -f $User.UserPrincipalName)
        $User | Set-MfaState -State Disabled

        if ($KeepMethods) {
            # Restore the MFA methods which got cleared when disabling MFA
            Set-MsolUser -ObjectId $User.ObjectId `
                         -StrongAuthenticationMethods $User.StrongAuthenticationMethods
        }
    }
}

# Disable MFA for all users, keeping their MFA methods intact
Get-MsolUser -All | Disable-MFA -KeepMethods

Pasos siguientesNext steps