Configuración de Azure MFA como proveedor de autenticación con AD FSConfigure Azure MFA as authentication provider with AD FS

Si su organización está federada con Azure AD, puede usar Azure Multi-Factor Authentication para proteger los recursos de AD FS, tanto en entornos locales como en la nube.If your organization is federated with Azure AD, you can use Azure Multi-Factor Authentication to secure AD FS resources, both on-premises and in the cloud. Azure MFA permite eliminar contraseñas y proporcionar una manera más segura de autenticarse.Azure MFA enables you to eliminate passwords and provide a more secure way to authenticate. A partir de Windows Server 2016, ahora puede configurar Azure MFA para la autenticación principal o usarla como proveedor de autenticación adicional.Starting with Windows Server 2016, you can now configure Azure MFA for primary authentication or use it as an additional authentication provider.

A diferencia de AD FS en Windows Server 2012 R2, el adaptador de Azure MFA de AD FS 2016 se integra directamente con Azure AD y no requiere un servidor Azure MFA local.Unlike with AD FS in Windows Server 2012 R2, the AD FS 2016 Azure MFA adapter integrates directly with Azure AD and does not require an on premises Azure MFA server. El adaptador de Azure MFA está integrado en Windows Server 2016 y no es necesario realizar una instalación adicional.The Azure MFA adapter is built in to Windows Server 2016, and there is no need for additional installation.

Registro de usuarios para Azure MFA con AD FSRegistering users for Azure MFA with AD FS

AD FS no admite la comprobación "en línea" o el registro de la información de comprobación de seguridad de Azure MFA, como el número de teléfono o la aplicación móvil.AD FS does not support inline "proof up", or registration of Azure MFA security verification information such as phone number or mobile app. Esto significa que los usuarios deben probarse visitando antes de usar Azure MFA para https://account.activedirectory.windowsazure.com/Proofup.aspx autenticarse en AD FS aplicaciones.This means users must get proofed up by visiting https://account.activedirectory.windowsazure.com/Proofup.aspx prior to using Azure MFA to authenticate to AD FS applications. Cuando un usuario que aún no se ha registrado en Azure AD intenta autenticarse con Azure MFA en AD FS, recibirá un error AD FS prueba.When a user who has not yet proofed up in Azure AD tries to authenticate with Azure MFA at AD FS, they will get an AD FS error. Como administrador AD FS, puede personalizar esta experiencia de error para guiar al usuario a la página de prueba en su lugar.As an AD FS administrator, you can customize this error experience to guide the user to the proofup page instead. Puede hacerlo mediante una personalización de onload.js para detectar la cadena del mensaje de error dentro de la página de AD FS y mostrar un nuevo mensaje para guiar a los usuarios a visitar y, a continuación, volver a intentar la https://aka.ms/mfasetup autenticación.You can do this using onload.js customization to detect the error message string within the AD FS page and show a new message to guide the users to visit https://aka.ms/mfasetup, then re-attempt authentication. Para obtener instrucciones detalladas, consulte la página web "Personalización de AD FS web para guiar a los usuarios a registrar métodos de comprobación de MFA" a continuación en este artículo.For detailed guidance see the "Customize the AD FS web page to guide users to register MFA verification methods" below in this article.

Nota

Anteriormente, los usuarios tenían que autenticarse con MFA para el registro (visitando https://account.activedirectory.windowsazure.com/Proofup.aspx , por ejemplo a través del acceso directo https://aka.ms/mfasetup ).Previously, users were required to authenticate with MFA for registration (visiting https://account.activedirectory.windowsazure.com/Proofup.aspx, for example via the shortcut https://aka.ms/mfasetup). Ahora, un usuario de AD FS que aún no haya registrado la información de comprobación de MFA puede acceder Azure AD"la página de prueba de Azure AD"a través del acceso directo solo mediante la autenticación principal (como la autenticación integrada de Windows o el nombre de usuario y la contraseña AD FS a través de las páginas web de https://aka.ms/mfasetup AD FS).Now, an AD FS user who has not yet registered MFA verification information can access Azure AD"s proofup page via the shortcut https://aka.ms/mfasetup using only primary authentication (such as Windows Integrated Authentication or username and password via the AD FS web pages). Si el usuario no tiene configurado ningún método de comprobación, Azure AD realizará un registro en línea en el que el usuario ve el mensaje "El administrador ha requerido que configure esta cuenta para un" de comprobación de seguridad adicional y, a continuación, el usuario puede seleccionar "Configurarla ahora".If the user has no verification methods configured, Azure AD will perform inline registration in which the user sees the message "Your admin has required that you set up this account for additional security verification", and the user can then select to "Set it up now". Se seguirá solicitando a los usuarios que ya tienen configurado al menos un método de comprobación de MFA que proporcionen MFA al visitar la página de prueba.Users who already have at least one MFA verification method configured will still be prompted to provide MFA when visiting the proofup page.

Azure MFA como autenticación principalAzure MFA as Primary Authentication

Hay un par de razones excelentes para usar Azure MFA como autenticación principal con AD FS:There are a couple of great reasons to use Azure MFA as Primary Authentication with AD FS:

  • Para evitar contraseñas de inicio de sesión en Azure AD, Office 365 y otras AD FS aplicacionesTo avoid passwords for sign-in to Azure AD, Office 365 and other AD FS apps
  • Para proteger el inicio de sesión basado en contraseñas, se requiere un factor adicional, como el código de verificación antes de la contraseña.To protect password based sign-in by requiring an additional factor such as verification code prior to the password

Si desea usar Azure MFA como método de autenticación principal en AD FS para lograr estas ventajas, es probable que también desee mantener la capacidad de usar el acceso condicional Azure AD ", incluido un verdadero" MFA, solicitando factores adicionales en AD FS.If you wish to use Azure MFA as a primary authentication method in AD FS to achieve these benefits, you probably also want to keep the ability to use Azure AD conditional access including "true MFA" by prompting for additional factors in AD FS.

Ahora puede hacerlo configurando la configuración de dominio Azure AD para realizar MFA localmente (estableciendo "SupportsMfa" en $True).You can now do this by configuring the Azure AD domain setting to do MFA on premises (setting "SupportsMfa" to $True). En esta configuración, AD FS puede solicitar a Azure AD que realice autenticación adicional o "autenticación autenticación verdadera" MFA para escenarios de acceso condicional que lo requieran.In this configuration, AD FS can be prompted by Azure AD to perform additional authentication or "true MFA" for conditional access scenarios that require it.

Como se ha descrito anteriormente, se debe solicitar a cualquier usuario de AD FS que aún no se haya registrado (configurar la información de comprobación de MFA) a través de una página de error personalizada de AD FS para visitar para configurar la información de comprobación y, a continuación, volver AD FS https://aka.ms/mfasetup iniciar sesión.As described above, any AD FS user who has not yet registered (configured MFA verification information) should be prompted via a customized AD FS error page to visit https://aka.ms/mfasetup to configure verification information, then re-attempt AD FS login. Dado que Azure MFA como principal se considera un factor único, después de la configuración inicial, los usuarios tendrán que proporcionar un factor adicional para administrar o actualizar su información de comprobación en Azure AD, o para acceder a otros recursos que requieren MFA.Because Azure MFA as primary is considered a single factor, after initial configuration users will need to provide an additional factor to manage or update their verification information in Azure AD, or to access other resources that require MFA.

Nota

Con ADFS 2019, es necesario realizar una modificación en el tipo de notificación delimitadora para la confianza del proveedor de notificaciones de Active Directory y modificarlo de windowsaccountname a UPN.With ADFS 2019, you are required to make a modification to the anchor claim type for the Active Directory Claims Provider trust and modify this from the windowsaccountname to UPN. Ejecute el cmdlet de PowerShell que se proporciona a continuación.Execute the PowerShell cmdlet provided below. Esto no afecta al funcionamiento interno de la granja AD FS granja.This has no impact on the internal functioning of the AD FS farm. Es posible que observe que es posible que se vuelvan a solicitar credenciales a algunos usuarios una vez que se realiza este cambio.You may notice a few users may be re-prompted for credentials once this change is made. Después de iniciar sesión de nuevo, los usuarios finales no verán ninguna diferencia.After logging in again, end users will see no difference.

Set-AdfsClaimsProviderTrust -AnchorClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -TargetName "Active Directory"

Azure MFA como autenticación adicional para Office 365Azure MFA as Additional authentication to Office 365

El adaptador de Azure MFA AD FS permite a los usuarios realizar MFA en AD FS.Azure MFA adapter for AD FS enables your users to do MFA on AD FS. Para proteger el recurso de Azure AD, se recomienda requerir MFA a través de una directiva de acceso condicional,establecer la configuración de dominio SupportsMfa en $True y emitir la notificación multipleauthn cuando un usuario realiza correctamente la verificación en dos pasos.To secure your Azure AD resource, it is recommended to require MFA through a Conditional Access policy, set the domain setting SupportsMfa to $True and emit the multipleauthn claim when a user performs two-step verification successfully.

Como se describió anteriormente, a cualquier usuario de AD FS que aún no se haya registrado (configurar la información de comprobación de MFA) se le debe solicitar a través de una página de error personalizada de AD FS que visite para configurar la información de comprobación y, a continuación, vuelva AD FS iniciar https://aka.ms/mfasetup sesión.As described above, any AD FS user who has not yet registered (configured MFA verification information) should be prompted via a customized AD FS error page to visit https://aka.ms/mfasetup to configure verification information, then re-attempt AD FS login.

Requisitos previosPre-Requisites

Los siguientes requisitos previos son necesarios al usar Azure MFA para la autenticación con AD FS:The following pre-requisites are required when using Azure MFA for authentication with AD FS:

Nota

Azure AD y Azure MFA se incluyen en Azure AD Premium y Enterprise Mobility Suite (EMS).Azure AD and Azure MFA are included in Azure AD Premium and the Enterprise Mobility Suite (EMS). Si tiene alguna de estas opciones, no necesita suscripciones individuales.If you have either of these you do not need individual subscriptions.

Configurar los servidores AD FS servidorConfigure the AD FS Servers

Para completar la configuración de Azure MFA AD FS, debe configurar cada servidor AD FS mediante los pasos descritos.In order to complete configuration for Azure MFA for AD FS, you need to configure each AD FS server using the steps described.

Nota

Asegúrese de que estos pasos se realizan en todos los AD FS de la granja.Ensure that these steps are performed on all AD FS servers in the farm. Si tiene varios servidores AD FS en la granja, puede realizar la configuración necesaria de forma remota mediante Azure AD PowerShell.If you have multiple AD FS servers in your farm, you can perform the necessary configuration remotely using Azure AD PowerShell.

Paso 1: Generación de un certificado para Azure MFA en cada servidor AD FS mediante el New-AdfsAzureMfaTenantCertificate cmdletStep 1: Generate a certificate for Azure MFA on each AD FS server using the New-AdfsAzureMfaTenantCertificate cmdlet

Lo primero que debe hacer es generar un certificado para que Azure MFA lo use.The first thing you need to do is generate a certificate for Azure MFA to use. Esto se puede hacer mediante PowerShell.This can be done using PowerShell. El certificado generado se puede encontrar en el almacén de certificados de las máquinas locales y se marca con un nombre de sujeto que contiene tenantID para el directorio Azure AD local.The certificate generated can be found in the local machines certificate store, and it is marked with a subject name containing the TenantID for your Azure AD directory.

Captura de pantalla del almacén de certificados de una máquina local que muestra el certificado generado.

Tenga en cuenta que TenantID es el nombre del directorio en Azure AD.Note that TenantID is the name of your directory in Azure AD. Use el siguiente cmdlet de PowerShell para generar el nuevo certificado.Use the following PowerShell cmdlet to generate the new certificate. $certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID <tenantID>

Captura de pantalla de la ventana de PowerShell que muestra el cmdlet anterior.

Paso 2: Agregar las nuevas credenciales a la entidad de servicio de cliente de Azure Multi-FactorAuthStep 2: Add the new credentials to the Azure Multi-Factor Auth Client Service Principal

Para permitir que los servidores AD FS se comuniquen con el cliente de Azure Multi-Factor Auth, debe agregar las credenciales a la entidad de servicio para el cliente de Azure Multi-FactorAuth.In order to enable the AD FS servers to communicate with the Azure Multi-Factor Auth Client, you need to add the credentials to the Service Principal for the Azure Multi-Factor Auth Client. Los certificados generados mediante el New-AdfsAzureMFaTenantCertificate cmdlet servirán como estas credenciales.The certificates generated using the New-AdfsAzureMFaTenantCertificate cmdlet will serve as these credentials. Haga lo siguiente con PowerShell para agregar las nuevas credenciales a la entidad de servicio de cliente de Azure Multi-FactorAuth.Do the following using PowerShell to add the new credentials to the Azure Multi-Factor Auth Client Service Principal.

Nota

Para completar este paso, debe conectarse a la instancia de Azure AD con PowerShell mediante Connect-MsolService .In order to complete this step you need to connect to your instance of Azure AD with PowerShell using Connect-MsolService. En estos pasos se supone que ya se ha conectado a través de PowerShell.These steps assume you have already connected via PowerShell. Para obtener información, vea Connect-MsolService .For information see Connect-MsolService.

Establezca el certificado como la nueva credencial en el cliente de Azure Multi-FactorAuth.Set the certificate as the new credential against the Azure Multi-Factor Auth Client

New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -Type asymmetric -Usage verify -Value $certBase64

Importante

Este comando debe ejecutarse en todos los servidores AD FS en la granja.This command needs to be run on all of the AD FS servers in your farm. Azure AD MFA producirá un error en los servidores que no tienen el certificado establecido como nueva credencial en el cliente de Azure Multi-FactorAuth.Azure AD MFA will fail on servers that have not have the certificate set as the new credential against the Azure Multi-Factor Auth Client.

Nota

981f26a1-7f43-403b-a875-f8b09b8cd720 es el GUID del cliente Azure Multi-Factor Auth.981f26a1-7f43-403b-a875-f8b09b8cd720 is the GUID for Azure Multi-Factor Auth Client.

Configuración de la granja AD FS granjaConfigure the AD FS Farm

Una vez que haya completado la sección anterior en cada servidor AD FS, establezca la información del inquilino de Azure mediante el cmdlet Set-AdfsAzureMfaTenant.Once you have completed the previous section on each AD FS server, set the Azure tenant information using the Set-AdfsAzureMfaTenant cmdlet. Este cmdlet solo debe ejecutarse una vez para una granja AD FS servidor.This cmdlet needs to be executed only once for an AD FS farm.

Abra un símbolo del sistema de PowerShell y escriba su propio tenantId con el cmdlet Set-AdfsAzureMfaTenant.Open a PowerShell prompt and enter your own tenantId with the Set-AdfsAzureMfaTenant cmdlet. Para los clientes que usan Microsoft Azure Government nube, agregue el -Environment USGov parámetro :For customers that use Microsoft Azure Government cloud, add the -Environment USGov parameter:

Nota

Debe reiniciar el servicio de AD FS en cada servidor de la granja antes de que estos cambios sumen efecto.You need to restart the AD FS service on each server in the farm before these changes take affect. Para un impacto mínimo, saque cada servidor AD FS de la rotación NLB de uno en uno y espere a que se agoten todas las conexiones.For minimal impact, take each AD FS server out of the NLB rotation one at a time and wait for all connections to drain.

Set-AdfsAzureMfaTenant -TenantId <tenant ID> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

Captura de pantalla de la ventana de PowerShell que muestra el mensaje de advertencia recibido después de ejecutar Set-AdfsAzureMfaTenant cmdlet.

Windows Server sin el Service Pack más reciente no admite el parámetro -Environment para el cmdlet Set-AdfsAzureMfaTenant.Windows Server without the latest service pack doesn't support the -Environment parameter for the Set-AdfsAzureMfaTenant cmdlet. Si usa Azure Government nube y los pasos anteriores no pudieron configurar el inquilino de Azure debido al parámetro que falta, complete los pasos siguientes para crear manualmente las entradas -Environment del Registro.If you use Azure Government cloud and the previous steps failed to configure your Azure tenant due to the missing -Environment parameter, complete the following steps to manually create the registry entries. Omita estos pasos si el cmdlet anterior registró correctamente la información del inquilino o no está en la Azure Government nube:Skip these steps if the previous cmdlet correctly registered your tenant information or you aren't in the Azure Government cloud:

  1. Abra el Editor del Registro en AD FS servidor.Open Registry Editor on the AD FS server.

  2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS.Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS. Cree los siguientes valores de clave del Registro:Create the following registry key values:

    Clave del RegistroRegistry key ValueValue
    SasUrlSasUrl https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector
    StsUrlStsUrl https://login.microsoftonline.us
    ResourceUriResourceUri https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector
  3. Reinicie el AD FS en cada servidor de la granja antes de que estos cambios sumen efecto.Restart the AD FS service on each server in the farm before these changes take affect. Para un impacto mínimo, saque cada servidor AD FS de la rotación NLB de uno en uno y espere a que se agoten todas las conexiones.For minimal impact, take each AD FS server out of the NLB rotation one at a time and wait for all connections to drain.

Después de esto, verá que Azure MFA está disponible como método de autenticación principal para el uso de intranet y extranet.After this, you will see that Azure MFA is available as a primary authentication method for intranet and extranet use.

Captura de pantalla del cuadro de diálogo Editar métodos de autenticación que muestra la opción Azure M F A resaltada en las secciones Extranet e Intranet.

Renovación y administración AD FS certificados de Azure MFARenew and Manage AD FS Azure MFA Certificates

Las instrucciones siguientes le guían a través de cómo administrar los certificados de Azure MFA en los AD FS virtuales.The following guidance takes you through how to manage the Azure MFA certificates on your AD FS servers. De forma predeterminada, al configurar AD FS con Azure MFA, los certificados generados a través del cmdlet de PowerShell son válidos New-AdfsAzureMfaTenantCertificate durante 2 años.By default, when you configure AD FS with Azure MFA, the certificates generated via the New-AdfsAzureMfaTenantCertificate PowerShell cmdlet are valid for 2 years. Para determinar la fecha de expiración de los certificados y, a continuación, para renovar e instalar nuevos certificados, use el procedimiento siguiente.To determine how close to expiration your certificates are, and then to renew and install new certificates, use the following procedure.

Evaluación de AD FS fecha de expiración del certificado de Azure MFAAssess AD FS Azure MFA certificate expiration date

En cada servidor AD FS, en el equipo local Mi tienda ", habrá un certificado autofirmado con una unidad organizativa de Microsoft AD FS Azure MFA" en el emisor y el firmante.On each AD FS server, in the local computer My store, there will be a self signed certificate with "OU=Microsoft AD FS Azure MFA" in the Issuer and Subject. Este es el certificado de Azure MFA.This is the Azure MFA certificate. Compruebe el período de validez de este certificado en cada servidor de AD FS para determinar la fecha de expiración.Check the validity period of this certificate on each AD FS server to determine the expiration date.

Creación de un AD FS de Azure MFA en cada servidor AD FS servidorCreate new AD FS Azure MFA Certificate on each AD FS server

Si el período de validez de los certificados está a punto de finalizar, inicie el proceso de renovación generando un nuevo certificado de Azure MFA en cada AD FS servidor.If the validity period of your certificates is nearing its end, start the renewal process by generating a new Azure MFA certificate on each AD FS server. En una ventana de comandos de PowerShell, genere un nuevo certificado en cada servidor AD FS con el siguiente cmdlet:In a PowerShell command window, generate a new certificate on each AD FS server using the following cmdlet:

Precaución

Si el certificado ya ha expirado, no agregue el -Renew $true parámetro al comando siguiente.If your certificate has already expired, don't add the -Renew $true parameter to the following command. En este escenario, el certificado expirado existente se reemplaza por uno nuevo en lugar de que se deja en su lugar y se crea un certificado adicional.In this scenario, the existing expired certificate is replaced with a new one instead of being left in place and an additional certificate created.

PS C:\> $newcert = New-AdfsAzureMfaTenantCertificate -TenantId <tenant id such as contoso.onmicrosoft.com> -Renew $true

Si el certificado aún no ha expirado, se genera un nuevo certificado que es válido de 2 días en el futuro a 2 días + 2 años.If the certificate hasn't already expired, a new certificate that is valid from 2 days in the future to 2 days + 2 years is generated. AD FS y las operaciones de Azure MFA no se ven afectadas por este cmdlet o el nuevo certificado.AD FS and Azure MFA operations aren't affected by this cmdlet or the new certificate. (Nota: El retraso de 2 días es intencionado y proporciona tiempo para ejecutar los pasos siguientes para configurar el nuevo certificado en el inquilino antes de que AD FS empiece a usarlo para Azure MFA).(Note: the 2 day delay is intentional and provides time to execute the steps below to configure the new certificate in the tenant before AD FS starts using it for Azure MFA.)

Configuración de cada nuevo AD FS de Azure MFA en el inquilino Azure AD clienteConfigure each new AD FS Azure MFA certificate in the Azure AD tenant

Con el módulo Azure AD PowerShell, para cada nuevo certificado (en cada servidor de AD FS), actualice la configuración del inquilino de Azure AD como se muestra a continuación (Nota: primero debe conectarse al inquilino mediante para ejecutar los siguientes Connect-MsolService comandos).Using the Azure AD PowerShell module, for each new certificate (on each AD FS server), update your Azure AD tenant settings as follows (Note: you must first connect to the tenant using Connect-MsolService to run the following commands).

PS C:/> New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -Type Asymmetric -Usage Verify -Value $newcert

Si el certificado anterior ya había expirado, reinicie AD FS servicio para seleccionar el nuevo certificado.If your previous certificate had already expired, restart the AD FS service to pick up the new certificate. No es necesario reiniciar el servicio de AD FS si renueve un certificado antes de que haya expirado.You don't need to restart the AD FS service if you renewed a certificate before it expired.

Compruebe que los nuevos certificados se usarán para Azure MFA.Verify that the new certificate(s) will be used for Azure MFA

Una vez que los nuevos certificados se vuelvan válidos, AD FS los recogerá y comenzará a usar cada certificado correspondiente para Azure MFA en un plazo de unas horas a un día.Once the new certificate(s) become valid, AD FS will pick them up and start using each respective certificate for Azure MFA within a few hours to a day. Una vez que esto sucede, en cada servidor verá un evento registrado en el registro de eventos AD FS Admin con la siguiente información:Once this occurs, on each server you will see an event logged in the AD FS Admin event log with the following information:

Log Name:      AD FS/Admin
Source:        AD FS
Date:          2/27/2018 7:33:31 PM
Event ID:      547
Task Category: None
Level:         Information
Keywords:      AD FS
User:          DOMAIN\adfssvc
Computer:      ADFS.domain.contoso.com
Description:
The tenant certificate for Azure MFA has been renewed.

TenantId: contoso.onmicrosoft.com.
Old thumbprint: 7CC103D60967318A11D8C51C289EF85214D9FC63.
Old expiration date: 9/15/2019 9:43:17 PM.
New thumbprint: 8110D7415744C9D4D5A4A6309499F7B48B5F3CCF.
New expiration date: 2/27/2020 2:16:07 AM.

Personalización de la AD FS web para guiar a los usuarios a registrar los métodos de comprobación de MFACustomize the AD FS web page to guide users to register MFA verification methods

Use los ejemplos siguientes para personalizar las AD FS web para los usuarios que aún no se han registrado (configuración de la información de comprobación de MFA).Use the following examples to customize your AD FS web pages for users who have not yet proofed up (configured MFA verification information).

Buscar el errorFind the error

En primer lugar, hay un par de mensajes de error AD FS devolverán en caso de que el usuario no tiene información de comprobación.First, there are a couple of different error messages AD FS will return in the case in which the user lacks verification information. Si usa Azure MFA como autenticación principal, el usuario sin prueba verá una página de error AD FS que contiene los mensajes siguientes:If you are using Azure MFA as primary authentication, the un-proofed user will see an AD FS error page containing the following messages:

    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            Authentication attempt failed. Select a different sign in option or close the web browser and sign in again. Contact your administrator for more information.
        </div>

Cuando Azure AD se está intentando la autenticación adicional, el usuario no proofed verá una página de error AD FS que contiene los mensajes siguientes:When Azure AD as additional authentication is being attempted, the un-proofed user will see an AD FS error page containing the following messages:

<div id='mfaGreetingDescription' class='groupMargin'>For security reasons, we require additional information to verify your account (mahesh@jenfield.net)</div>
    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            The selected authentication method is not available for &#39;username@contoso.com&#39;. Choose another authentication method or contact your system administrator for details.
        </div>

Detectar el error y actualizar el texto de la páginaCatch the error and update the page text

Para detectar el error y mostrar la guía personalizada del usuario, basta con anexar el javascript al final del archivo onload.js que forma parte del AD FS web.To catch the error and show the user custom guidance simply append the javascript to the end of the onload.js file that is part of the AD FS web theme. Esto le permite hacer lo siguiente:This allows you to do the following:

  • buscar las cadenas de error de identificaciónsearch for the identifying error string(s)
  • proporcionar contenido web personalizado.provide custom web content.

Nota

Para obtener instrucciones generales sobre cómo personalizar el archivo onload.js, consulte el artículo Personalización avanzada de AD FS páginas de inicio de sesión.For guidance in general on how to customize the onload.js file, see the article Advanced Customization of AD FS Sign-in Pages.

Este es un ejemplo sencillo, es posible que desee ampliar:Here is a simple example, you may want to extend:

  1. Abra Windows PowerShell en el servidor de AD FS principal y cree un nuevo AD FS Web Theme mediante la ejecución del comando siguiente:Open Windows PowerShell on your primary AD FS server and create a new AD FS Web Theme by running the following command:

        New-AdfsWebTheme –Name ProofUp –SourceName default
    
  2. A continuación, cree la carpeta y exporte el AD FS Web Theme:Next, create the folder and export the default AD FS Web Theme:

       New-Item -Path 'c:\Theme' -ItemType Directory;Export-AdfsWebTheme –Name default –DirectoryPath c:\Theme
    
  3. Abra el C:\Theme\script\onload.js en un editor de texto.Open the C:\Theme\script\onload.js file in a text editor

  4. Anexe el código siguiente al final del onload.js archivoAppend the following code to the end of the onload.js file

    //Custom Code
    //Customize MFA exception
    //Begin
    
    var domain_hint = "<YOUR_DOMAIN_NAME_HERE>";
    var mfaSecondFactorErr = "The selected authentication method is not available for";
    var mfaProofupMessage = "You will be automatically redirected in 5 seconds to set up your account for additional security verification. Once you have completed the setup, please return to the application you are attempting to access.<br><br>If you are not redirected automatically, please click <a href='{0}'>here</a>."
    var authArea = document.getElementById("authArea");
    if (authArea) {
        var errorMessage = document.getElementById("errorMessage");
        if (errorMessage) {
            if (errorMessage.innerHTML.indexOf(mfaSecondFactorErr) >= 0) {
    
                //Hide the error message
                var openingMessage = document.getElementById("openingMessage");
                if (openingMessage) {
                    openingMessage.style.display = 'none'
                }
                var errorDetailsLink = document.getElementById("errorDetailsLink");
                if (errorDetailsLink) {
                    errorDetailsLink.style.display = 'none'
                }
    
                //Provide a message and redirect to Azure AD MFA Registration Url
                var mfaRegisterUrl = "https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1&whr=" + domain_hint;
                errorMessage.innerHTML = "<br>" + mfaProofupMessage.replace("{0}", mfaRegisterUrl);
                window.setTimeout(function () { window.location.href = mfaRegisterUrl; }, 5000);
            }
        }
    }
    
    //End Customize MFA Exception
    //End Custom Code
    

    Importante

    Debe cambiar "<YOUR_DOMAIN_NAME_HERE>"; para usar el nombre de dominio.You need to change "<YOUR_DOMAIN_NAME_HERE>"; to use your domain name. Por ejemplo: var domain_hint = "contoso.com";For example: var domain_hint = "contoso.com";

  5. Guardar el archivo onload.js archivoSave the onload.js file

  6. Importe el onload.js en el tema personalizado escribiendo el siguiente Windows PowerShell comando:Import the onload.js file into your custom theme by typing the following Windows PowerShell command:

    Set-AdfsWebTheme -TargetName ProofUp -AdditionalFileResource @{Uri='/adfs/portal/script/onload.js';path="c:\theme\script\onload.js"}
    
  7. Por último, aplique el AD FS web personalizado escribiendo el comando Windows PowerShell siguiente:Finally, apply the custom AD FS Web Theme by typing the following Windows PowerShell command:

    Set-AdfsWebConfig -ActiveThemeName "ProofUp"
    

Pasos siguientesNext steps

Administración de protocolos TLS/SSL y conjuntos de cifrado usados por AD FS y Azure MFAManage TLS/SSL Protocols and Cipher Suites used by AD FS and Azure MFA