Activar/desactivar MFA en Azure Active Directory – TrucosInformaticos

General

Los nombres de usuario y las contraseñas solían ser el estándar para la seguridad de las cuentas hasta la llegada del phishing y la ingeniería social. Incluso los usuarios experimentados siguen siendo víctimas de contraseñas comprometidas que provocan pérdida de datos, pérdidas financieras y daños a la reputación.

Es por eso que el impulso a la autenticación multifactor (MFA) es más fuerte que nunca. Existen muchas opciones para MFA, incluidas datos biométricos, aplicaciones de autenticación, claves de seguridad de hardware, etc.

MFA es una de las glorias supremas de los proveedores de servicios en la nube en la actualidad, incluido Azure Active Directory. Y en este tutorial, exploraremos cómo habilitar/deshabilitar MFA en Azure Active Directory.

Habilitar o deshabilitar MFA por usuario (heredado) en el portal de Azure AD

MFA por usuario es el método heredado de implementar MFA. Como su nombre lo indica, el estado de MFA cambia por usuario. Como puede imaginar, este método puede resultar difícil de gestionar a medida que aumenta el número de usuarios.

Sin embargo, si este es el método utilizado en su organización, aquí le explicamos cómo puede gestionarlo.

Inicie sesión en el Centro de administración de Azure Active Directory. Navegar a Azure Directorio activo > Todos los usuarios y haga clic MFA por usuario.

en el autenticación multifactor página, verá la lista de usuarios y su estado MFA correspondiente.

  • Deshabilitado: MFA está deshabilitado para el usuario.
  • Habilitado: MFA está habilitado para el usuario, pero el usuario aún no ha completado el registro de MFA.
  • Aplicado: MFA está habilitado para el usuario que ha completado el registro de MFA.

Filtre la lista seleccionando el Estado de autenticación multifactor. En este ejemplo, elegiré Activado. Seleccione el usuario o usuarios y haga clic en Desactivar enlace.

Azure deshabilita mfa para un solo usuario

Cuando se le solicite, haga clic en Sí para confirmar la acción.

desactivar mfa azul

Una vez completada la operación, haga clic en Cerrar.

deshabilitar el anuncio mfa azure

Por el contrario, puede realizar los mismos pasos con usuarios deshabilitados con MFA para habilitarlos.

deshabilitar mfa para el usuario en azul

Habilitar o deshabilitar MFA por usuario (heredado) en PowerShell

Administrar el estado de MFA de múltiples usuarios es más eficiente usando PowerShell, lo cual es posible a través de Módulo PowerShell de Azure Active Directory. A continuación se explica cómo habilitar o deshabilitar la MFA por usuario en PowerShell.

Publicación relacionada. ¿Cómo deshabilitar la autenticación multifactor (MFA) en Office 365?

Conéctese a Azure AD PowerShell:

Import-Module MSOnline 
Connect-MsolService

cómo deshabilitar mfa para un usuario en azul

Deshabilitar MFA para un usuario

Para deshabilitar el MFA de un usuario, ejecute el Set-MsolUser comando, como se muestra a continuación. Reemplace el “UPN” con el nombre principal de usuario del usuario.

Set-MsolUser -UserPrincipalName "UPN" -StrongAuthenticationRequirements @()

Deshabilitar MFA para todos los usuarios

Para deshabilitar MFA para todos los usuarios, ejecute este comando. El primer comando obtiene todos los usuarios de Azure AD y canaliza el resultado al segundo comando para deshabilitar MFA por usuario.

Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements @()

Habilitar MFA para un usuario

Para habilitar la MFA por usuario para un usuario, cree el Requisito de autenticación fuerte objeto primero.

$mfaReq = [Microsoft.Online.Administration.StrongAuthenticationRequirement]@{ 
RelyingParty = "*" 
State = "Enabled" 
}

A continuación, ejecute el siguiente comando para habilitar la MFA del usuario.

Set-MsolUser -UserPrincipalName "AdeleV@org870b.ga" ` 
-StrongAuthenticationRequirements $mfaReq

Finalmente, confirme que el estado MFA del usuario esté habilitado:

Get-MsolUser -UserPrincipalName "AdeleV@org870b.ga" | ` 
Select-Object -ExpandProperty StrongAuthenticationRequirements

anuncio azul deshabilitar mfa

Habilitar MFA para todos los usuarios

Para habilitar la MFA por usuario para todos los usuarios, ejecute el siguiente código.

$mfaReq = [Microsoft.Online.Administration.StrongAuthenticationRequirement]@{ 
RelyingParty = "*" 
State = "Enabled" 
} 
Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements $mfaReq

Nota. Los módulos AAD y MSOL PowerShell están en trámite para retirarse en cualquier momento después de diciembre de 2022. Al momento de escribir este artículo, todavía no existe un método equivalente del SDK de API de Microsoft Graph para deshabilitar o habilitar MFA por usuario.

Crear y aplicar una política de acceso condicional

El método más recomendado para aplicar MFA en Azure AD es con acceso condicional.

El acceso condicional es una característica de Azure Active Directory (Azure AD) que permite a los administradores imponer condiciones específicas que deben cumplirse antes de que un usuario obtenga acceso a recursos o aplicaciones. Permite a las organizaciones definir políticas de acceso basadas en factores como la ubicación, el dispositivo, la aplicación o el nivel de riesgo de un usuario.

Al utilizar políticas de acceso condicional, los administradores pueden definir reglas que restringen el acceso a los recursos según la identidad de un usuario o el estado de su dispositivo. Por ejemplo, se puede crear una política para exigir que todos los usuarios utilicen la autenticación multifactor.

Creemos una política de acceso condicional que requiera MFA para usuarios de Azure Active Directory con exclusiones opcionales.

Inicie sesión en el centro de administración de Azure AD y navegue hasta Directorio activo de Azure > Seguridad > Acceso condicional > Políticas.

Hacer clic Nueva política a partir de plantilla. Esta opción le permite elegir una plantilla para su póliza.

deshabilitar mfa requerido en el anuncio azul

A continuación, seleccione el Requerir autenticación multifactor para todos los usuarios opción y haga clic Revisar + Crear.

deshabilitar mfa para un usuario en Azure Ad

Deje las opciones predeterminadas por ahora y haga clic en Crear.

Nota. No active la política todavía. Hacerlo puede correr el riesgo de bloquear a sus usuarios y su cuenta.

desactivar mfa en azul

Haga clic en la nueva política para abrirla.

apagar mfa azul

Ahora, agreguemos usuarios y grupos para excluirlos de la política. Es raro que la mayoría de las organizaciones no tengan exclusiones para MFA. Es posible que sea necesario excluir algunas cuentas, como las de servicio y de emergencia, del requisito de MFA.

Hacer clic Usuarios > Excluir. Agregue los usuarios y grupos para excluir y haga clic Seleccionar.

cómo deshabilitar mfa en azure para un usuario

Notarás que tu cuenta ya fue agregada a la exclusión cuando creaste la póliza. Ahora, haga clic En bajo el Habilitar política sección y haga clic Ahorrar.

Nota. No se recomienda activar la política de acceso condicional sin observar primero su efecto en el modo Solo informe. Asegúrese de asignar suficiente tiempo para analizar el impacto de la política en los usuarios al realizar esto en producción.

cómo eliminar mfa para un usuario en azure ad

El estado de la política de acceso condicional ahora está activado.

mfa requerido en azure ad deshabilitar

Los usuarios se verán obligados a registrar sus métodos MFA si no lo han hecho previamente.

Valora este post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *