Aplicación de Multi-Factor Authentication (MFA) para los administradores de suscripcionesEnforce multi-factor authentication (MFA) for subscription administrators

Al crear los administradores, incluida la cuenta de administrador global, es fundamental usar métodos de autenticación muy seguros.When you create your administrators, including your global administrator account, it is essential that you use very strong authentication methods.

Puede realizar la administración diaria mediante la asignación de roles de administrador específicos, como administrador de Exchange o administrador de contraseñas, para cuentas de usuario del personal de TI según sea necesario.You can perform day-to-day administration by assigning specific administrator roles—such as Exchange administrator or Password administrator—to user accounts of IT staff as needed. Además, habilitar Azure Multi-factor Authentication (MFA) para los administradores agrega una segunda capa de seguridad a los inicios de sesión de usuario y las transacciones.Additionally, enabling Azure Multi-factor Authentication (MFA) for your administrators adds a second layer of security to user sign-ins and transactions. Azure MFA también ayuda al equipo de TI a reducir la probabilidad de que se acceda a los datos de la organización mediante credenciales en peligro.Azure MFA also helps IT reduce the likelihood that a compromised credential will have access to organization’s data.

Por ejemplo: Suponga que aplica Azure MFA para los usuarios y lo configura para usar una llamada de teléfono o un mensaje de texto como confirmación.For example: You enforce Azure MFA for your users and configure it to use a phone call or text message as verification. Si las credenciales del usuario se ven comprometidas, el atacante no podrá acceder a los recursos dado que no tendrá acceso al teléfono del usuario.If the user’s credentials are compromised, the attacker won’t be able to access any resource since they will not have access to user’s phone. Las organizaciones que no agregan capas de protección de la identidad adicionales son más susceptibles a ataques de robo de credenciales, lo que puede llevar a poner en peligro la seguridad de los datos.Organizations that do not add extra layers of identity protection are more susceptible for credential theft attack, which may lead to data compromise.

Una alternativa para las organizaciones que quieren mantener todo el control local de la autenticación es usar el Servidor Microsoft Azure Multi-Factor Authentication , también denominado MFA local.One alternative for organizations that want to keep the entire authentication control on-premises is to use Azure Multi-Factor Authentication Server, also called "MFA on-premises". Mediante este método, podrá seguir aplicando Multi-Factor Authentication y mantener el servidor MFA local.By using this method, you will still be able to enforce multi-factor authentication, while keeping the MFA server on-premises.

Para comprobar quién tiene privilegios de administrador en su organización, puede usar el siguiente comando de PowerShell de Microsoft Azure AD V2:To check who in your organization has administrative privileges you can verify by using the following Microsoft Azure AD V2 PowerShell command:

Get-AzureADDirectoryRole | Where { $_.DisplayName -eq "Company Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayName

Habilitación de MFAEnabling MFA

Revise el funcionamiento de MFA antes de continuar.Review how MFA operates before you proceed.

Siempre y cuando los usuarios tengan licencias que incluyen Azure Multi-Factor Authentication, no hay nada que se pueda hacer para activar Azure MFA.As long as your users have licenses that include Azure Multi-Factor Authentication, there's nothing that you need to do to turn on Azure MFA. Puede iniciar la solicitud de la verificación en dos pasos en cada usuario individual.You can start requiring two-step verification on an individual user basis. Las licencias que habilitan Azure MFA son:The licenses that enable Azure MFA are:

  • Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
  • Azure Active Directory PremiumAzure Active Directory Premium
  • Enterprise Mobility + SecurityEnterprise Mobility + Security

Activación de la verificación en dos pasos para los usuariosTurn on two-step verification for users

Utilice uno de los procedimientos enumerados en el artículo Exigencia de verificación en dos pasos para un usuario o grupo para empezar a usar Azure MFA.Use one of the procedures listed in How to require two-step verification for a user or group to start using Azure MFA. Puede elegir exigir la verificación en dos pasos para todos los inicios de sesión o crear directivas de acceso condicional para exigir la verificación en dos pasos únicamente cuando lo necesite.You can choose to enforce two-step verification for all sign-ins, or you can create Conditional Access policies to require two-step verification only when it matters to you.