3.5K
Los nombres de usuario y las contraseñas solían ser el estándar para la seguridad de las cuentas hasta la llegada del phishing y la ingeniería social. Incluso los usuarios experimentados siguen siendo víctimas de contraseñas comprometidas que provocan pérdida de datos, pérdidas financieras y daños a la reputación.
Es por eso que el impulso a la autenticación multifactor (MFA) es más fuerte que nunca. Existen muchas opciones para MFA, incluidas datos biométricos, aplicaciones de autenticación, claves de seguridad de hardware, etc.
MFA es una de las glorias supremas de los proveedores de servicios en la nube en la actualidad, incluido Azure Active Directory. Y en este tutorial, exploraremos cómo habilitar/deshabilitar MFA en Azure Active Directory.
Habilitar o deshabilitar MFA por usuario (heredado) en el portal de Azure AD
MFA por usuario es el método heredado de implementar MFA. Como su nombre lo indica, el estado de MFA cambia por usuario. Como puede imaginar, este método puede resultar difícil de gestionar a medida que aumenta el número de usuarios.
Sin embargo, si este es el método utilizado en su organización, aquí le explicamos cómo puede gestionarlo.
Inicie sesión en el Centro de administración de Azure Active Directory. Navegar a Azure Directorio activo > Todos los usuarios y haga clic MFA por usuario.
en el autenticación multifactor página, verá la lista de usuarios y su estado MFA correspondiente.
- Deshabilitado: MFA está deshabilitado para el usuario.
- Habilitado: MFA está habilitado para el usuario, pero el usuario aún no ha completado el registro de MFA.
- Aplicado: MFA está habilitado para el usuario que ha completado el registro de MFA.
Filtre la lista seleccionando el Estado de autenticación multifactor. En este ejemplo, elegiré Activado. Seleccione el usuario o usuarios y haga clic en Desactivar enlace.
Cuando se le solicite, haga clic en Sí para confirmar la acción.
Una vez completada la operación, haga clic en Cerrar.
Por el contrario, puede realizar los mismos pasos con usuarios deshabilitados con MFA para habilitarlos.
Habilitar o deshabilitar MFA por usuario (heredado) en PowerShell
Administrar el estado de MFA de múltiples usuarios es más eficiente usando PowerShell, lo cual es posible a través de Módulo PowerShell de Azure Active Directory. A continuación se explica cómo habilitar o deshabilitar la MFA por usuario en PowerShell.
Publicación relacionada. ¿Cómo deshabilitar la autenticación multifactor (MFA) en Office 365?
Conéctese a Azure AD PowerShell:
Import-Module MSOnline Connect-MsolService
Deshabilitar MFA para un usuario
Para deshabilitar el MFA de un usuario, ejecute el Set-MsolUser comando, como se muestra a continuación. Reemplace el “UPN” con el nombre principal de usuario del usuario.
Set-MsolUser -UserPrincipalName "UPN" -StrongAuthenticationRequirements @()
Deshabilitar MFA para todos los usuarios
Para deshabilitar MFA para todos los usuarios, ejecute este comando. El primer comando obtiene todos los usuarios de Azure AD y canaliza el resultado al segundo comando para deshabilitar MFA por usuario.
Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements @()
Habilitar MFA para un usuario
Para habilitar la MFA por usuario para un usuario, cree el Requisito de autenticación fuerte objeto primero.
$mfaReq = [Microsoft.Online.Administration.StrongAuthenticationRequirement]@{ RelyingParty = "*" State = "Enabled" }
A continuación, ejecute el siguiente comando para habilitar la MFA del usuario.
Set-MsolUser -UserPrincipalName "AdeleV@org870b.ga" ` -StrongAuthenticationRequirements $mfaReq
Finalmente, confirme que el estado MFA del usuario esté habilitado:
Get-MsolUser -UserPrincipalName "AdeleV@org870b.ga" | ` Select-Object -ExpandProperty StrongAuthenticationRequirements
Habilitar MFA para todos los usuarios
Para habilitar la MFA por usuario para todos los usuarios, ejecute el siguiente código.
$mfaReq = [Microsoft.Online.Administration.StrongAuthenticationRequirement]@{ RelyingParty = "*" State = "Enabled" } Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements $mfaReq
Nota. Los módulos AAD y MSOL PowerShell están en trámite para retirarse en cualquier momento después de diciembre de 2022. Al momento de escribir este artículo, todavía no existe un método equivalente del SDK de API de Microsoft Graph para deshabilitar o habilitar MFA por usuario.
Crear y aplicar una política de acceso condicional
El método más recomendado para aplicar MFA en Azure AD es con acceso condicional.
El acceso condicional es una característica de Azure Active Directory (Azure AD) que permite a los administradores imponer condiciones específicas que deben cumplirse antes de que un usuario obtenga acceso a recursos o aplicaciones. Permite a las organizaciones definir políticas de acceso basadas en factores como la ubicación, el dispositivo, la aplicación o el nivel de riesgo de un usuario.
Al utilizar políticas de acceso condicional, los administradores pueden definir reglas que restringen el acceso a los recursos según la identidad de un usuario o el estado de su dispositivo. Por ejemplo, se puede crear una política para exigir que todos los usuarios utilicen la autenticación multifactor.
Creemos una política de acceso condicional que requiera MFA para usuarios de Azure Active Directory con exclusiones opcionales.
Inicie sesión en el centro de administración de Azure AD y navegue hasta Directorio activo de Azure > Seguridad > Acceso condicional > Políticas.
Hacer clic Nueva política a partir de plantilla. Esta opción le permite elegir una plantilla para su póliza.
A continuación, seleccione el Requerir autenticación multifactor para todos los usuarios opción y haga clic Revisar + Crear.
Deje las opciones predeterminadas por ahora y haga clic en Crear.
Nota. No active la política todavía. Hacerlo puede correr el riesgo de bloquear a sus usuarios y su cuenta.
Haga clic en la nueva política para abrirla.
Ahora, agreguemos usuarios y grupos para excluirlos de la política. Es raro que la mayoría de las organizaciones no tengan exclusiones para MFA. Es posible que sea necesario excluir algunas cuentas, como las de servicio y de emergencia, del requisito de MFA.
Hacer clic Usuarios > Excluir. Agregue los usuarios y grupos para excluir y haga clic Seleccionar.
Notarás que tu cuenta ya fue agregada a la exclusión cuando creaste la póliza. Ahora, haga clic En bajo el Habilitar política sección y haga clic Ahorrar.
Nota. No se recomienda activar la política de acceso condicional sin observar primero su efecto en el modo Solo informe. Asegúrese de asignar suficiente tiempo para analizar el impacto de la política en los usuarios al realizar esto en producción.
El estado de la política de acceso condicional ahora está activado.
Los usuarios se verán obligados a registrar sus métodos MFA si no lo han hecho previamente.