Introducción a Servidor Azure Multi-Factor AuthenticationGetting started with the Azure Multi-Factor Authentication Server

Introducción al Servidor MFA local

Getting started with MFA Server on-premises

Esta página describe una nueva instalación del servidor y su configuración con una instancia loal de Active Directory.This page covers a new installation of the server and setting it up with on-premises Active Directory. Si ya tiene instalado el servidor MFA y desea actualizarlo, consulte Upgrade to the latest Azure Multi-Factor Authentication Server (Actualización a la versión más reciente del Servidor Microsoft Azure Multi-Factor Authentication).If you already have the MFA server installed and are looking to upgrade, see Upgrade to the latest Azure Multi-Factor Authentication Server. Para más información sobre cómo instalar solo el servicio web, consulte Implementación del servicio web móvil de la aplicación móvil del Servidor Azure Multi-Factor Authentication.If you're looking for information on installing just the web service, see Deploying the Azure Multi-Factor Authentication Server Mobile App Web Service.

Importante

A partir del 1 de julio de 2019, Microsoft ya no ofrecerá el Servidor MFA para implementaciones nuevas.As of July 1, 2019, Microsoft will no longer offer MFA Server for new deployments. Los clientes nuevos que quieran exigir la autenticación multifactor a sus usuarios deben usar Azure Multi-Factor Authentication basado en la nube.New customers who would like to require multi-factor authentication from their users should use cloud-based Azure Multi-Factor Authentication. Los clientes existentes que hayan activado el Servidor MFA antes del 1 de julio podrán descargar la versión más reciente y las actualizaciones futuras, así como generar credenciales de activación, como de costumbre.Existing customers who have activated MFA Server prior to July 1 will be able to download the latest version, future updates and generate activation credentials as usual.

Planeamiento de la implementaciónPlan your deployment

Advertencia

A partir de marzo de 2019, las descargas del Servidor MFA solo estarán disponibles para los inquilinos con versiones de pago.Starting in March of 2019 MFA Server downloads will only be available to paid tenants. Los inquilinos con versiones de prueba o gratuitas ya no podrán descargar ni generar y usar credenciales de activación.Free/trial tenants will no longer be able to download or generate and use activation credentials.

Antes de descargar el servidor Azure Multi-Factor Authentication, piense cuáles son sus requisitos de alta disponibilidad y carga.Before you download the Azure Multi-Factor Authentication Server, think about what your load and high availability requirements are. Use esta información para decidir cómo y dónde realizar la implementación.Use this information to decide how and where to deploy.

Una buena directriz para saber la cantidad de memoria que se necesita es el número de usuarios que se espera autenticar de forma regular.A good guideline for the amount of memory you need is the number of users you expect to authenticate on a regular basis.

UsuariosUsers RAMRAM
1-10,0001-10,000 4 GB4 GB
10,001-50,00010,001-50,000 8 GB8 GB
50,001-100,00050,001-100,000 12 GB12 GB
100,000-200,001100,000-200,001 16 GB16 GB
200,001+200,001+ 32 GB32 GB

¿Necesita configurar varios servidores para lograr alta disponibilidad o un equilibrio de carga?Do you need to set up multiple servers for high availability or load balancing? Hay varias maneras de definir esta configuración con el Servidor Azure MFA.There are a number of ways to set up this configuration with Azure MFA Server. Cuando se instala el primer Servidor Azure MFA, pasa a ser el maestro.When you install your first Azure MFA Server, it becomes the master. Los servidores adicionales pasan a ser los subordinados y sincronizan automáticamente los usuarios y la configuración con el maestro.Any additional servers become subordinate, and automatically synchronize users and configuration with the master. A continuación, puede configurar un servidor principal y hacer que el resto actúen como copia de seguridad, o bien puede configurar el equilibrio de carga entre todos los servidores.Then, you can configure one primary server and have the rest act as backup, or you can set up load balancing among all the servers.

Aunque se desconecte un Servidor Azure MFA maestro, los servidores subordinados pueden procesar solicitudes de comprobación de dos pasos.When a master Azure MFA Server goes offline, the subordinate servers can still process two-step verification requests. Sin embargo, no puede agregar usuarios nuevos y los existentes no pueden actualizar su configuración hasta que el servidor maestro vuelva a estar conectado o se promocione un servidor subordinado.However, you can't add new users and existing users can't update their settings until the master is back online or a subordinate gets promoted.

Preparación del entornoPrepare your environment

Asegúrese de que el servidor que usa para Azure Multi-Factor Authentication cumple los requisitos siguientes:Make sure the server that you're using for Azure Multi-Factor Authentication meets the following requirements:

Requisitos del Servidor Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication Server Requirements DESCRIPCIÓNDescription
HardwareHardware
  • 200 MB de espacio de disco duro200 MB of hard disk space
  • Procesador compatible con x32 o x64x32 or x64 capable processor
  • 1 GB o más de RAM1 GB or greater RAM
  • SoftwareSoftware
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008, SP1, SP2Windows Server 2008, SP1, SP2
  • Windows Server 2003 R2Windows Server 2003 R2
  • Windows Server 2003, SP1, SP2Windows Server 2003, SP1, SP2
  • Windows 10Windows 10
  • Windows 8.1, todas las edicionesWindows 8.1, all editions
  • Windows 8, todas las edicionesWindows 8, all editions
  • Windows 7, todas las edicionesWindows 7, all editions
  • Windows Vista, todas las ediciones, SP1, SP2Windows Vista, all editions, SP1, SP2
  • Microsoft .NET 4.0 FrameworkMicrosoft .NET 4.0 Framework
  • IIS 7.0 o superior si está instalado el SDK de servicio web o el portal de usuarioIIS 7.0 or greater if installing the user portal or web service SDK
  • PermisosPermissions Cuenta de administrador de dominio o administrador de empresa para registrar con Active DirectoryDomain Administrator or Enterprise Administrator account to register with Active Directory

    Componentes del servidor Azure MFAAzure MFA Server Components

    Hay tres componentes web que componen el servidor Azure MFA:There are three web components that make up Azure MFA Server:

    • El SDK del servicio web: permite la comunicación con los demás componentes y se instala en el servidor de aplicaciones de Azure MFAWeb Service SDK - Enables communication with the other components and is installed on the Azure MFA application server
    • El Portal de usuarios: un sitio web de IIS que permite a los usuarios inscribirse en Azure Multi-Factor Authentication (MFA) y mantener sus cuentas.User Portal - An IIS web site that allows users to enroll in Azure Multi-Factor Authentication (MFA) and maintain their accounts.
    • El servicio web de aplicación móvil: permite el uso de una aplicación móvil como Microsoft Authenticator para la verificación en dos pasos.Mobile App Web Service - Enables using a mobile app like the Microsoft Authenticator app for two-step verification.

    Los tres componentes se pueden instalar en el mismo servidor si este tiene conexión a Internet.All three components can be installed on the same server if the server is internet-facing. Si es necesario separar los componentes, el SDK del servicio web se puede instalar en el servidor de aplicaciones Azure MFA y el Portal de usuarios y el servicio web de aplicación móvil en un servidor con conexión a Internet.If breaking up the components, the Web Service SDK is installed on the Azure MFA application server and the User Portal and Mobile App Web Service are installed on an internet-facing server.

    Requisitos de firewall del Servidor Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication Server firewall requirements

    Cada servidor MFA debe ser capaz de comunicarse en el puerto 443 de salida a las siguientes direcciones:Each MFA server must be able to communicate on port 443 outbound to the following addresses:

    Si los firewalls de salida están restringidos en el puerto 443, deberán abrirse los siguientes intervalos de direcciones IP:If outbound firewalls are restricted on port 443, open the following IP address ranges:

    Subred IPIP Subnet Máscara de redNetmask Rango de direcciones IPIP Range
    134.170.116.0/25134.170.116.0/25 255.255.255.128255.255.255.128 134.170.116.1 – 134.170.116.126134.170.116.1 – 134.170.116.126
    134.170.165.0/25134.170.165.0/25 255.255.255.128255.255.255.128 134.170.165.1 – 134.170.165.126134.170.165.1 – 134.170.165.126
    70.37.154.128/2570.37.154.128/25 255.255.255.128255.255.255.128 70.37.154.129 – 70.37.154.25470.37.154.129 – 70.37.154.254

    Si no está usando la característica de confirmación de eventos y los usuarios no usan aplicaciones móviles para comprobar desde dispositivos de la red corporativa, solo necesita los siguientes intervalos:If you aren't using the Event Confirmation feature, and your users aren't using mobile apps to verify from devices on the corporate network, you only need the following ranges:

    Subred IPIP Subnet Máscara de redNetmask Rango de direcciones IPIP Range
    134.170.116.72/29134.170.116.72/29 255.255.255.248255.255.255.248 134.170.116.72 – 134.170.116.79134.170.116.72 – 134.170.116.79
    134.170.165.72/29134.170.165.72/29 255.255.255.248255.255.255.248 134.170.165.72 – 134.170.165.79134.170.165.72 – 134.170.165.79
    70.37.154.200/2970.37.154.200/29 255.255.255.248255.255.255.248 70.37.154.201 – 70.37.154.20670.37.154.201 – 70.37.154.206

    Descarga del servidor MFADownload the MFA Server

    Advertencia

    A partir de marzo de 2019, las descargas del Servidor MFA solo estarán disponibles para los inquilinos de pago.Starting in March of 2019 MFA Server downloads will only be available to paid tenants. Los inquilinos de prueba o evaluación ya no podrán descargar ni generar y usar credenciales de activación.Free/trial tenants will no longer be able to download or generate and use activation credentials.

    Para descargar el Servidor Azure Multi-Factor Authentication desde Azure Portal, siga estos pasos:Follow these steps to download the Azure Multi-Factor Authentication Server from the Azure portal:

    1. Inicie sesión en Azure Portal como administrador.Sign in to the Azure portal as an administrator.

    2. Seleccione Azure Active Directory > MFA Server (Servidor MFA).Select Azure Active Directory > MFA Server.

    3. Seleccione Configuración del servidor.Select Server settings.

    4. Seleccione Descargar y siga las instrucciones que aparecen en la página de descarga para guardar el programa de instalación.Select Download and follow the instructions on the download page to save the installer.

      Descargar el Servidor MFA desde Azure Portal

    5. Mantenga esta página abierta ya que habrá que consultarla después de ejecutar el programa de instalación.Keep this page open as we will refer to it after running the installer.

    Instalación y configuración del servidor MFAInstall and configure the MFA Server

    Una vez descargado el servidor, ya se puede instalar y configurar.Now that you have downloaded the server you can install and configure it. Asegúrese de que el servidor en el que va a instalarlo cumple los requisitos que se enumeran en la sección de planificación.Be sure that the server you are installing it on meets requirements listed in the planning section.

    1. Haga doble clic en el archivo ejecutable.Double-click the executable.

    2. En la pantalla Seleccionar carpeta de instalación, asegúrese de que la carpeta sea correcta y haga clic en Siguiente.On the Select Installation Folder screen, make sure that the folder is correct and click Next.

    3. Una vez completada la instalación, haga clic en Finalizar.Once the installation is complete, click Finish. Se inicia el asistente para configuración.The configuration wizard launches.

    4. En la pantalla de bienvenida del asistente para configuración, active Omitir el uso del Asistente para configuración de autenticación y haga clic en Siguiente.On the configuration wizard welcome screen, check Skip using the Authentication Configuration Wizard and click Next. El asistente se cierra y el servidor se inicia.The wizard closes and the server starts.

      Omitir el uso del Asistente para configuración de autenticación

    5. De vuelta en la página desde la que se ha descargado el servidor, haga clic en el botón Generar credenciales de activación.Back on the page that you downloaded the server from, click the Generate Activation Credentials button. Copie esta información en Servidor Azure Multi-Factor Authentication en los cuadros correspondientes y haga clic en Activar.Copy this information into the Azure MFA Server in the boxes provided and click Activate.

    Enviar un correo electrónico a los usuariosSend users an email

    Para facilitar la implementación, permita que el servidor MFA se comunique con otros usuarios.To ease rollout, allow MFA Server to communicate with your users. El servidor MFA puede enviar un correo electrónico para informarles de que se les ha inscrito en la verificación en dos pasos.MFA Server can send an email to inform them that they have been enrolled for two-step verification.

    El correo electrónico que envíe estará determinado por cómo haya configurado la verificación en dos pasos para los usuarios.The email you send should be determined by how you configure your users for two-step verification. Por ejemplo, si puede importar los números de teléfono del directorio de la empresa, el mensaje de correo electrónico deberá incluir los números de teléfono predeterminados para que los usuarios sepan qué pueden esperar.For example, if you are able to import phone numbers from the company directory, the email should include the default phone numbers so that users know what to expect. Si no los ha importado o los usuarios van a usar la aplicación móvil, envíeles un mensaje de correo electrónico que les indique que deben completar la inscripción de su cuenta.If you do not import phone numbers, or your users are going to use the mobile app, send them an email that directs them to complete their account enrollment. Incluya un hipervínculo al portal de usuarios de Azure Multi-factor Authentication en el correo electrónico.Include a hyperlink to the Azure Multi-Factor Authentication User Portal in the email.

    El contenido del correo electrónico variará según el método de autenticación que se haya establecido para el usuario (llamada de teléfono, SMS o aplicación móvil).The content of the email also varies depending on the method of verification that has been set for the user (phone call, SMS, or mobile app). Por ejemplo, si el usuario debe usar un PIN para autenticarse, el correo electrónico le indica el PIN inicial que se ha establecido.For example, if the user is required to use a PIN when they authenticate, the email tells them what their initial PIN has been set to. Los usuarios deben cambiar su código PIN durante su primera autenticación.Users are required to change their PIN during their first verification.

    Configuración del correo electrónico y las plantillas de correo electrónicoConfigure email and email templates

    Haga clic en el icono de correo electrónico situado a la izquierda para configurar las opciones de envío de estos correos electrónicos.Click the email icon on the left to set up the settings for sending these emails. En esta página puede especificar la información de SMTP del servidor de correo electrónico y seleccionar la casilla Enviar correos electrónicos a los usuarios para enviar correo electrónico.This page is where you can enter the SMTP information of your mail server and send email by checking the Send emails to users check box.

    Configuración del correo electrónico del servidor MFA

    En la pestaña Contenido del mensaje de correo electrónico, verá las plantillas de correo electrónico que hay disponibles.On the Email Content tab, you can see the email templates that are available to choose from. Elija la plantilla más adecuada según cómo haya configurado la verificación en dos pasos para los usuarios.Depending on how you have configured your users to perform two-step verification, choose the template that best suits you.

    Plantillas de correo electrónico del Servidor MFA en la consola

    Importación de usuarios desde Active DirectoryImport users from Active Directory

    Ahora que está instalado el servidor, probablemente querrá agregar usuarios.Now that the server is installed you want to add users. Puede decidir crearlos manualmente, importar los usuarios desde Active Directory o configurar la sincronización automática con Active Directory.You can choose to create them manually, import users from Active Directory, or configure automated synchronization with Active Directory.

    Importación manual desde Active DirectoryManual import from Active Directory

    1. En Servidor Azure Multi-Factor Authentication, a la izquierda, seleccione Usuarios.In the Azure MFA Server, on the left, select Users.

    2. En la parte inferior, seleccione Importar desde Active Directory.At the bottom, select Import from Active Directory.

    3. Ahora puede buscar usuarios individuales o buscar en el directorio de AD las unidades organizativas con usuarios en ellas.Now you can either search for individual users or search the AD directory for OUs with users in them. En este caso, se especifican las unidades organizativas de los usuarios.In this case, we specify the users OU.

    4. Resalte todos los usuarios de la derecha y haga clic en Importar.Highlight all the users on the right and click Import. Debe aparecer una ventana emergente que le indica que la operación se realizó correctamente.You should receive a pop-up telling you that you were successful. Cierre la ventana de importación.Close the import window.

      Importación de usuarios del Servidor MFA desde Active Directory

    Sincronización automática con Active DirectoryAutomated synchronization with Active Directory

    1. En el Servidor Azure MFA, a la izquierda, seleccione Integración de directorios.In the Azure MFA Server, on the left, select Directory Integration.
    2. Vaya a la pestaña Sincronización.Navigate to the Synchronization tab.
    3. En la parte inferior, elija Agregar.At the bottom, choose Add
    4. En el cuadro de diálogo Agregar elemento de sincronización que aparece, elija el dominio, la unidad organizativa o grupo de seguridad, la configuración, y los valores predeterminados de métodos e idiomas para esta tarea de sincronización, y haga clic en Agregar.In the Add Synchronization Item box that appears choose the Domain, OU or security group, Settings, Method Defaults, and Language Defaults for this synchronization task and click Add.
    5. Active la casilla denominada Habilitar sincronización con Active Directory y elija un intervalo de sincronización entre un minuto y 24 horas.Check the box labeled Enable synchronization with Active Directory and choose a Synchronization interval between one minute and 24 hours.

    ¿Cómo controla el Servidor Azure Multi-Factor Authentication los datos de usuario?How the Azure Multi-Factor Authentication Server handles user data

    Cuando se usa Servidor Azure Multi-Factor Authentication (MFA) local, los datos de un usuario se almacenan en los servidores locales.When you use the Multi-Factor Authentication (MFA) Server on-premises, a user’s data is stored in the on-premises servers. Los datos de usuario persistentes no se almacenan en la nube.No persistent user data is stored in the cloud. Cuando el usuario realiza una verificación en dos pasos, Servidor MFA envía los datos al servicio en la nube Azure MFA para realizar la verificación.When the user performs a two-step verification, the MFA Server sends data to the Azure MFA cloud service to perform the verification. Cuando estas solicitudes de autenticación se envían al servicio en la nube, en la solicitud y los registros se incluyen los siguientes campos para que estén disponibles en los informes de uso/autenticación del cliente.When these authentication requests are sent to the cloud service, the following fields are sent in the request and logs so that they are available in the customer's authentication/usage reports. Algunos de los campos son opcionales y se pueden habilitar o deshabilitar en Servidor Multi-Factor Authentication.Some of the fields are optional so they can be enabled or disabled within the Multi-Factor Authentication Server. La comunicación desde Servidor MFA al servicio en la nube MFA usa SSL/TLS en el puerto 443 de salida.The communication from the MFA Server to the MFA cloud service uses SSL/TLS over port 443 outbound. Estos campos son:These fields are:

    • Id. exclusivo: nombre de usuario o Id. interno de Servidor MFAUnique ID - either username or internal MFA server ID
    • Nombre y apellidos (opcional)First and last name (optional)
    • Dirección de correo electrónico (opcional)Email address (optional)
    • Número de teléfono: al realizar una llamada de voz o autenticación por SMSPhone number - when doing a voice call or SMS authentication
    • Token de dispositivo: al realizar la autenticación de una aplicación móvilDevice token - when doing mobile app authentication
    • Modo de autenticaciónAuthentication mode
    • Resultado de autenticaciónAuthentication result
    • Nombre de Servidor MFAMFA Server name
    • IP de Servidor MFAMFA Server IP
    • IP de cliente: si está disponibleClient IP – if available

    Además de los campos anteriores, el resultado (éxito o denegación) de la verificación y el motivo de las denegaciones también se almacenan con los datos de autenticación y están disponibles en informes de uso y autenticación.In addition to the fields above, the verification result (success/denial) and reason for any denials is also stored with the authentication data and available through the authentication/usage reports.

    Importante

    A partir de marzo de 2019, las opciones de llamada de teléfono no estarán disponibles para los usuarios del Servidor MFA en inquilinos de Azure AD gratis o de evaluación.Starting in March of 2019 the phone call options will not be available to MFA Server users in free/trial Azure AD tenants. Los mensajes SMS no se ven afectados por este cambio.SMS messages are not impacted by this change. Las llamadas de teléfono seguirán estando disponibles para los usuarios de inquilinos de Azure AD de pago.Phone call will continue to be available to users in paid Azure AD tenants. Este cambio solo afecta a los inquilinos de Azure AD gratis o de evaluación.This change only impacts free/trial Azure AD tenants.

    Copia de seguridad y restauración del servidor Azure MFABack up and restore Azure MFA Server

    Asegurarse de que tiene una copia de seguridad actualizada es un paso importante que debe realizar con cualquier sistema.Making sure that you have a good backup is an important step to take with any system.

    Para hacer una copia de seguridad del servidor Azure MFA, asegúrese de que tiene una copia de la carpeta C:\Archivos de programa\Multi-Factor Authentication Server\Data incluido el archivo PhoneFactor.pfdata.To back up Azure MFA Server, ensure that you have a copy of the C:\Program Files\Multi-Factor Authentication Server\Data folder including the PhoneFactor.pfdata file.

    En caso de que sea necesaria una restauración, realice los pasos siguientes:In case a restore is needed complete the following steps:

    1. Vuelva a instalar el servidor Azure MFA en un servidor nuevo.Reinstall Azure MFA Server on a new server.
    2. Active el nuevo servidor Azure MFA.Activate the new Azure MFA Server.
    3. Detenga el servicio MultiFactorAuth.Stop the MultiFactorAuth service.
    4. Sobrescriba el archivo PhoneFactor.pfdata con el de la copia de seguridad.Overwrite the PhoneFactor.pfdata with the backed-up copy.
    5. Inicie el servicio MultiFactorAuth.Start the MultiFactorAuth service.

    El nuevo servidor está ahora en funcionamiento con los datos de usuario y la configuración originales procedentes de la copia de seguridad.The new server is now up and running with the original backed-up configuration and user data.

    Administración de los protocolos TLS/SSL y conjuntos de cifradoManaging the TLS/SSL Protocols and Cipher Suites

    Una vez que ha actualizado a la versión 8.x o superior de Servidor de MFA, o la ha instalado, se recomienda deshabilitar o quitar los conjuntos de cifrado más antiguos o débiles a menos que los exija la organización.Once you have upgraded to or installed MFA Server version 8.x or higher, it is recommended that older and weaker cipher suites be disabled or removed unless required by your organization. Se puede encontrar información sobre cómo completar esta tarea en el artículo sobre Administración de conjuntos de cifrado y protocolos SSL/TLS de AD FS.Information on how to complete this task can be found in the article Managing SSL/TLS Protocols and Cipher Suites for AD FS

    Pasos siguientesNext steps