Tutorial: Aplicación de la autenticación multifactor para usuarios invitados de B2BTutorial: Enforce multi-factor authentication for B2B guest users

Al colaborar con los usuarios externos invitados de B2B, es una buena idea proteger sus aplicaciones con directivas de autenticación multifactor (MFA).When collaborating with external B2B guest users, it’s a good idea to protect your apps with multi-factor authentication (MFA) policies. Después, los usuarios externos necesitarán más de un nombre de usuario y una contraseña para acceder a los recursos.Then external users will need more than just a user name and password to access your resources. En Azure Active Directory (Azure AD), puede lograr este objetivo con una directiva de acceso condicional que precisa de MFA para el acceso.In Azure Active Directory (Azure AD), you can accomplish this goal with a Conditional Access policy that requires MFA for access. Las directivas de MFA se pueden exigir en el nivel de inquilino, aplicación o usuario invitado individual, del mismo modo que pueden habilitarse para miembros de la organización.MFA policies can be enforced at the tenant, app, or individual guest user level, the same way that they are enabled for members of your own organization.

Ejemplo:Example:

Diagrama que muestra que un usuario invitado inicia sesión en una aplicación de una empresa

  1. Un administrador o un empleado de la empresa A invita a un usuario invitado para usar una aplicación local o en la nube que está configurada para requerir MFA para el acceso.An admin or employee at Company A invites a guest user to use a cloud or on-premises application that is configured to require MFA for access.
  2. El usuario invitado inicia sesión con su identidad profesional, educativa o social.The guest user signs in with their own work, school, or social identity.
  3. Al usuario se le pide que complete un desafío de MFA.The user is asked to complete an MFA challenge.
  4. El usuario configura su MFA con la empresa A y elegir su opción de MFA.The user sets up MFA with Company A and chooses their MFA option. El usuario puede tener acceso a la aplicación.The user is allowed access to the application.

En este tutorial, aprenderá lo siguiente:In this tutorial, you will:

  • Probar la experiencia de inicio de sesión antes de la configuración de MFA.Test the sign-in experience before MFA setup.
  • Crear una directiva de acceso condicional que requiere MFA para acceder a una aplicación en la nube en su entorno.Create a Conditional Access policy that requires MFA for access to a cloud app in your environment. En este tutorial, vamos a usar la aplicación de administración de Microsoft Azure para ilustrar el proceso.In this tutorial, we’ll use the Microsoft Azure Management app to illustrate the process.
  • Use la herramienta What If para simular el inicio de sesión con MFA.Use the What If tool to simulate MFA sign-in.
  • Pruebe la directiva de acceso condicional.Test your Conditional Access policy.
  • Limpie el usuario de prueba y la directiva.Clean up the test user and policy.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.If you don’t have an Azure subscription, create a free account before you begin.

PrerequisitesPrerequisites

Para completar el escenario de este tutorial, necesita:To complete the scenario in this tutorial, you need:

  • Acceder a la edición Azure AD Premium, que incluye funcionalidades de directiva de acceso condicional.Access to Azure AD Premium edition, which includes Conditional Access policy capabilities. Para exigir MFA, debe crear una directiva de acceso condicional de Azure AD.To enforce MFA, you need to create an Azure AD Conditional Access policy. Tenga en cuenta que siempre se aplican directivas de MFA en su organización, independientemente de si el asociado tiene funcionalidades de MFA.Note that MFA policies are always enforced at your organization, regardless of whether the partner has MFA capabilities. Si configura MFA para su organización, debe asegurarse de que haya suficientes licencias de Azure AD Premium para sus usuarios invitados.If you set up MFA for your organization, you’ll need to make sure you have sufficient Azure AD Premium licenses for your guest users.
  • Una cuenta válida de correo electrónico externa que puede agregar a su directorio de inquilino como un usuario invitado y usarla para iniciar sesión.A valid external email account that you can add to your tenant directory as a guest user and use to sign in. Si no sabe cómo crear una cuenta de invitado, vea Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal.If you don't know how to create a guest account, see Add a B2B guest user in the Azure portal.

Creación de un usuario invitado de prueba en Azure ADCreate a test guest user in Azure AD

  1. Inicie sesión en Azure Portal como administrador de Azure AD.Sign in to the Azure portal as an Azure AD administrator.

  2. En el panel izquierdo, seleccione Azure Active Directory.In the left pane, select Azure Active Directory.

  3. En Administrar, seleccione Usuarios.Under Manage, select Users.

  4. Seleccione Nuevo usuario invitado.Select New guest user.

    Captura de pantalla que muestra dónde se selecciona la opción Nuevo usuario invitado

  5. En Nombre de usuario, escriba la dirección de correo electrónico del usuario externo.Under User name, enter the email address of the external user. Opcionalmente, puede incluir un mensaje de bienvenida.Optionally, include a welcome message.

    Captura de pantalla que muestra dónde se escribe el mensaje de invitación

  6. Seleccione Invitar para enviar automáticamente la invitación al usuario invitado.Select Invite to automatically send the invitation to the guest user. Aparece un mensaje Usuario invitado correctamente.A Successfully invited user message appears.

  7. Después de enviar la invitación, la cuenta de usuario se agrega automáticamente al directorio como invitado.After you send the invitation, the user account is automatically added to the directory as a guest.

Probar la experiencia de inicio de sesión antes de la configuración de MFATest the sign-in experience before MFA setup

  1. Use la contraseña y el nombre de usuario invitado para iniciar sesión en Azure Portal.Use your test user name and password to sign in to your Azure portal.
  2. Tenga en cuenta que podrá acceder a Azure Portal solo con sus credenciales de inicio de sesión.Note that you’re able to access the Azure portal using just your sign-in credentials. No se requiere la autenticación adicional.No additional authentication is required.
  3. Cierre la sesión.Sign out.

Creación de una directiva de acceso condicional que requiere MFACreate a Conditional Access policy that requires MFA

  1. Inicie sesión en Azure Portal como administrador de seguridad o administrador de acceso condicional.Sign in to your Azure portal as a security administrator or a Conditional Access administrator.

  2. En Azure Portal, seleccione Azure Active Directory.In the Azure portal, select Azure Active Directory.

  3. En la página Azure Active Directory, en la sección Seguridad, seleccione Acceso condicional.On the Azure Active Directory page, in the Security section, select Conditional Access.

  4. En la página Acceso condicional, en la barra de herramientas de la parte superior, seleccione Nueva directiva.On the Conditional Access page, in the toolbar on the top, select New policy.

  5. En la página Nuevo, en el cuadro de texto Nombre, escriba Requerir MFA para acceder al portal de B2B.On the New page, in the Name textbox, type Require MFA for B2B portal access.

  6. En la sección Asignaciones, seleccione Usuarios y grupos.In the Assignments section, select Users and groups.

  7. En la página Usuarios y grupos, elija Seleccionar usuarios y grupos y luego seleccione Todos los usuarios invitados (versión preliminar) .On the Users and groups page, choose Select users and groups, and then select All guest users (preview).

    Captura de pantalla que muestra cómo se seleccionan todos los usuarios invitados

  8. Seleccione Listo.Select Done.

  9. En la página Nuevo, en la sección Asignaciones, seleccione Aplicaciones en la nube.On the New page, in the Assignments section, select Cloud apps.

  10. En la página Aplicaciones en la nube, haga clic en Seleccionar aplicaciones y después haga clic en Seleccionar.On the Cloud apps page, choose Select apps, and then choose Select.

    Captura de pantalla que muestra la página Aplicaciones en la nube y la opción Seleccionar

  11. En la página Seleccionar, elija Administración de Microsoft Azure y después haga clic en Seleccionar.On the Select page, choose Microsoft Azure Management, and then choose Select.

    Captura de pantalla que muestra la aplicación Microsoft Azure Management seleccionada

  12. En la página Aplicaciones en la nube, seleccione Listo.On the Cloud apps page, select Done.

  13. En la página Nuevo, en la sección Controles de acceso, seleccione Conceder.On the New page, in the Access controls section, select Grant.

  14. En la página Conceder, elija Conceder acceso, marque la casilla Requerir autenticación multifactor y luego haga clic en Seleccionar.On the Grant page, choose Grant access, select the Require multi-factor authentication check box, and then choose Select.

    Captura de pantalla que muestra la opción Requerir autenticación multifactor

  15. En Habilitar directiva, seleccione Activar.Under Enable policy, select On.

    Captura de pantalla que muestra que la opción Habilitar directiva se ha seleccionado Activar

  16. Seleccione Crear.Select Create.

Uso de la opción What If para simular el inicio de sesiónUse the What If option to simulate sign-in

  1. En la página Acceso condicional - Directivas, seleccione What If.On the Conditional Access - Policies page, select What If.

    Captura de pantalla que muestra dónde se selecciona la opción What if

  2. Seleccione Usuario, elija el usuario invitado de prueba y después haga clic en Seleccionar.Select User, choose your test guest user, and then choose Select.

    Captura de pantalla que muestra usuario invitado seleccionado

  3. Seleccione Aplicaciones en la nube.Select Cloud apps.

  4. En la página Aplicaciones en la nube, haga clic en Seleccionar aplicaciones y después haga clic en Seleccionar.On the Cloud apps page, choose Select apps and then click Select. En la lista de aplicaciones, seleccione Administración de Microsoft Azure y luego haga clic en Seleccionar.In the applications list, select Microsoft Azure Management, and then click Select.

    Captura de pantalla que muestra la aplicación Microsoft Azure Management seleccionada

  5. En la página Aplicaciones en la nube, seleccione Listo.On the Cloud apps page, select Done.

  6. Seleccione What If y verifique que la nueva directiva aparece en Resultados de evaluación en la pestaña Directivas que se aplicarán.Select What If, and verify that your new policy appears under Evaluation results on the Policies that will apply tab.

    Captura de pantalla que muestra dónde se selecciona la opción What if

Prueba de la directiva de acceso condicionalTest your Conditional Access policy

  1. Use la contraseña y el nombre de usuario invitado para iniciar sesión en Azure Portal.Use your test user name and password to sign in to your Azure portal.

  2. Debería ver una solicitud para los métodos de autenticación adicionales.You should see a request for additional authentication methods. Tenga en cuenta que la directiva puede tardar algún tiempo en aplicarse.Note that it could take some time for the policy to take effect.

    Captura de pantalla que muestra el mensaje Se necesita más información

  3. Cierre la sesión.Sign out.

Limpieza de recursosClean up resources

Cuando ya no sean necesarios, elimine el usuario de prueba y la directiva de acceso condicional de prueba.When no longer needed, remove the test user and the test Conditional Access policy.

  1. Inicie sesión en Azure Portal como administrador de Azure AD.Sign in to the Azure portal as an Azure AD administrator.
  2. En el panel izquierdo, seleccione Azure Active Directory.In the left pane, select Azure Active Directory.
  3. En Administrar, seleccione Usuarios.Under Manage, select Users.
  4. Seleccione el usuario de prueba y después Eliminar usuario.Select the test user, and then select Delete user.
  5. En el panel izquierdo, seleccione Azure Active Directory.In the left pane, select Azure Active Directory.
  6. En Seguridad, seleccione Acceso condicional.Under Security, select Conditional Access.
  7. En la lista Nombre de la directiva, seleccione el menú contextual (…) de la directiva de prueba y después seleccione Eliminar.In the Policy Name list, select the context menu (…) for your test policy, and then select Delete. Seleccione para confirmar la acción.Select Yes to confirm.

Pasos siguientesNext steps

En este tutorial, ha creado una directiva de acceso condicional que requiere que los usuarios invitados usen MFA al iniciar sesión en una de las aplicaciones en la nube.In this tutorial, you’ve created a Conditional Access policy that requires guest users to use MFA when signing in to one of your cloud apps. Para más información sobre cómo agregar usuarios invitados para la colaboración, vea Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal.To learn more about adding guest users for collaboration, see Add Azure Active Directory B2B collaboration users in the Azure portal.