Cerrar
InicioAzureAzure: Configuración Inicial de Autenticación Multifactor (MFA)

Azure: Configuración Inicial de Autenticación Multifactor (MFA)

Con la oleada de ataques de phishing para conseguir las contraseñas de usuarios de Office 365, ya no es suficiente con tener una contraseña “segura” (tamaño, números de cambios por mes, etc..) sino que debemos aplicar un segundo factor de autenticación. Me ha gustado una descripción sobre la autenticación de doble factor de la web de Incibe, aquí os la dejo:

Además de autenticarnos con una contraseña o con PIN, es decir con «algo que sé», también podemos hacerlo con «algo que tengo» (un token USB o una tarjeta de coordenadas) o con «algo que soy» (la huella, el iris, la voz o el rostro) o bien con varios de estos elementos o factores. Algunos bancos llevan haciendo esto desde hace tiempo. Es lo que se llama autenticación de doble (o triple) factor. No hay que confundirlo con la autenticación en dos pasos en la que se utilizan dos factores del tipo «algo que sé» por ejemplo contraseña y un código que nos envían por SMS o email.

Más o menos aclarado dicho término, creo que es más que obligatorio el uso de la autenticación multifactor para los administradores de diferentes servicios, en este caso hablo de servicios de Office 365 y Azure. Es esencial que los administradores tengamos la autenticación multifactor habilitada, sino lo tenéis habilitado, hacerlo cuanto antes!!

Voy a comentar como habilitar la autenticación multifactor en Azure para usuarios de Azure AD, desde la creación de un usuario, asignación de licencia y configuración de la sesión y aplicación multifactor para su móvil.

Lo primero, os dejo una pequeña infografía sobre MFA:

El requisito esencial para configurar MFA es que tengamos a los usuarios con licenciamiento Azure Premium 1 como mínimo, sin esto, sería imposible configurar Azure MFA a nuestros usuarios. Si ya las tenemos, debemos verlo en Azure AD:

Además, claro está, de un dispositivo móvil para que el usuario pueda recibir los códigos de autenticación o invitaciones de inicio de sesión vía app.

MFA para usuarios invitados: podemos habilitar MFA a nuestros usuarios invitados, por cada licencia de Azure Premium 1 adquirida para nuestros usuarios, disponemos de 5 usuarios para invitados.

Dicho esto, vamos a empezar a configurar un usuario de prueba TestMFA desde cero, tan de cero que es un usuario recién creado en AzureAD (pero puede ser un usuarios sincronizado con Azure AD Connect).

Este paso es opcional, que desde el punto de vista del administrador cubrir en la sección de Métodos de Autenticación el teléfono y correo electrónico diferente al corporativo, el cual se podrán utilizar para realizar la autenticación multifactor:

Como a este usuario no le he asignado la licencia, antes de nada, lo que haré será establecer  la ubicación de uso antes de asignarle las licencias correspondientes, sino nos dará un error a la hora de asignarle las licencias desde Azure:

Ahora que ya lo tenemos “preparado”, nos quedará asignarle licencias, para ello en la sección de Licencias de las opciones de usuario, pulsamos en Agregar:

En mi caso le asignaré licencias para Office y para seguridad:

  • Office 365 E3
  • Enterprise Mobility + Security E3: incluye Azure Active Directory Premium P1, Microsoft Intune, Azure Information Protection P1, Microsoft Advanced Threat Analytics, Azure Rights Management (parte de Azure Information Protection) y los derechos de Windows Server CAL

Seleccionamos dichas licencias y pulsamos en seleccionar:

Ahora pulsamos en Asignar y toca esperar unos minutos para que se complete el proceso (creación de buzón, oneDrive, etc..):

En cuestión de segundos ya vemos que tenemos las licencias signadas:

Pasados unos minutos para que le de tiempo a preparar todos los servicios del usuario, lo primero que trato de hacer es iniciar sesión en el portal de Office, escribimos el nombre de usuario y pulsamos en siguiente:

Introducimos la contraseña del usuario y pulsamos en Iniciar sesión:

Como la contraseña asignada en la creación del usuario es de un sólo uso, la primera vez que iniciamos sesión nos obligará a cambiarla, por lo que debemos completar dicho proceso (entiendo que nada que comentar al respecto):

Una vez hayamos completado el proceso, nos indica que necesitamos introducir información adicional para securizar nuestra cuenta, para ello pulsamos en Siguiente:

En la siguiente pantalla tenemos que validar tanto el número de teléfono y e-mail asociado al usuario, sino el administrador no lo hubiese cubierto previamente, aquí le pedirá al usuario que los establezca él mismo.

El primer paso, validar el número de teléfono que teníamos asignado el usuario, pulsamos en comprobar (para completar el proceso completo tenemos 15 minutos):

Revisamos que el número de teléfono está correcto, si es así, pulsamos en enviarme mensaje de texto y esperamos a que nos llegue un código para introducir en la siguiente ventana:

Introducimos el código que nos ha llegado al móvil que hemos especificado previamente y pulsamos en comprobar:

Este mismo proceso lo haremos con el envío de un código de autenticación a la dirección de correo que hemos puesto previamente, sino fuese así, la podemos especificar en este mismo momento. Como antes pulsamos en comprobar:

Si la dirección de correo está correcta, pulsamos en Enviarme un mensaje de correo electrónico, si la dirección no es la que queremos utilizar, simplemente la cambiamos y volvemos a pulsar en Enviarme un mensaje de correo electrónico:

Accedemos a nuestro buzón de correo alternativo que hemos puesto previamente, revisamos si tenemos el código enviado por Microsoft, copiamos dicho código, lo pegamos en la casilla correspondiente y pulsamos en Comprobar:

Una vez que hemos completado el proceso, pulsamos en Finalizar:

Como hemos iniciado sesión en el portal de Office 365, una vez hemos iniciado sesión y actualizada la información de nuestra cuenta, nos muestra la pantalla de Office 365. Lo primero que nos solicita es la información sobre la zona horaria, pues la podemos establecer pulsando en establezca la zona hora para el calendario:

Ahora nos cambia a la URL de Outlook vía Web (https://outlook.office365.com)

Establecemos la zona hora en la que hemos creado el usuario y simplemente continuamos con el proceso de configuración básica para el Outlook:

Una vez lo hayamos completado, ya estamos dentro de nuestro buzón de Exchange Online.

Si ahora revisamos los inicios de sesión de este usuario, vemos que se ha iniciado en los diferentes servicios pero no se ha utilizado de momento autenticación multifactor. El usuario tiene toda la información actualizada en la cuenta para ello, pero aún no se lo hemos habilitado.

Pues ahora que ya tenemos el usuario ya preparado, vamos a configurar la autenticación multifactor. El proceso es muy sencillo, vamos a Azure Active Directory y en la sección de Usuarios – Todos los usuarios pulsamos en la opción Multi-Factor Authentication

Ahora ya en la consola de configuración de autenticación multifactor, buscamos al usuario (o usuarios) en cuestión y pulsamos en Habilitar:

Y pulamos en habilitar multi-factor auth

Pulsamos en cerrar

Si volvemos a iniciar sesión, ahora nos mostrará el número de teléfono que habíamos definido en su momento y seleccionamos la opción de como queremos que se comunique MSFT Authenticator con nosotros, en mi caso voy a elegir  que me haga llegar un SMS:

Una vez nos haya llegado el SMS, simplemente escribimos el código que nos ha llegado en el siguiente recuadro y luego pulsamos en Comprobar:

Como no hemos tocado nada en cuanto a la configuración de MFA, nos creará automáticamente una contraseña de aplicación. Esta contraseña la debemos utilizar en vez de nuestra contraseña para iniciar sesión en aplicaciones que no soportan MFA (Outlook, Skype, etc..). Aquí os dejo un enlace sobre la contraseñas de aplicación: Administración de las contraseñas de aplicaciones para la verificación en dos pasos

La copiaremos y luego pulsamos en listo para completar el proceso

Pues ya hemos iniciado sesión por primera vez con MFA, ahora ya estamos dentro del portal de Office

Si en vez de recibir una llamada o sms queremos recibir una notificación via aplicación, tenemos que configurarlo ya en la sesión del usuario. Para ello, nos vamos a Mi cuenta

Ahora en la sección de Seguridad y privacidad, pulsamos en Comprobación de seguridad adicional

Pulsamos en Actualice los números de teléfono que usa para la seguridad de la cuenta

Desde aquí podemos actualizar el número de teléfono para la recepción del código de texto que necesitaremos para iniciar sesión si es el método elegido para ello:

Yo personalmente prefiero utilizar las notificaciones en la aplicación Microsoft Authenticator, la cual podéis bajar desde el store de vuestro dispositivo móvil, buscáis por Microsoft Authenticator, la descargáis e instaláis. Lo primero que haremos será elegir como método preferido de contacto la opción Notificarme a través de la aplicación

Ahora marcamos la casilla Aplicación autenticador o toke y pulsamos en Configuracion aplicación autenticadora y automáticamente se nos mostrará una imagen que debemos escanear desde nuestro terminal móvil para autoconfigurar la cuenta.

Mientras tenemos la web de Office abierta con el código en pantalla, abrimos la aplicación que nos hemos descargado y pulsamos en el botón de + para agregar una cuenta (en mi caso ya tengo la aplicación con varias cuentas)

Elegimos Cuenta profesional o educativa

Previamente la aplicación nos ha solicitado permiso para acceder a nuestra cámara, debemos permitirlo, porque ahora mismo es cuando debemos utilizarla para escanear el código QR que tenemos en la web hemos dejado abierta

Con tal solo enforcar el móvil hacia el código, automáticamente configurará dicha cuenta y ya nos enviará una solicitud para aprobarla

Y automáticamente nos saldrá la notificación en el móvil para aprobarla

Por último, pulsamos en Guardar 

Y volverá a enviarnos otra notificación a la aplicación del móvil (porque es la opción que hemos elegido como predeterminada), para ello, pulsamos en Comprobar opción preferida

Nosotros aprobamos la solicitud ..

Y damos por completado el proceso:

Si ahora comprobamos los inicios de sesión del usuario, veremos que ha utilizado MFA

Como vemos el proceso es muy sencillo, ahora ya tenemos a nuestro usuario utilizando MFA en cuestión de 4 minutos de configuración. Esta configuración nos permite securizar las cuentas de nuestros usuarios, ahora que, desde cualquier parte del mundo podemos conectarnos a los servicios de nube .. sino tenemos un sistema de autenticación multifactor .. alguien podría tener nuestra contraseña y acceder sin restricciones a nuestros servicios.

Es vital que los administradores conozcan este tipo de soluciones, porque necesitamos ayudar a los usuarios a protegerse ante los innumerables ataques de Phishing que en los últimos tiempos estamos sufriendo. En ocasiones para los usuarios es complejo distinguir donde están introduciendo sus contraseñas, ejemplo de página de login de MSFT:

Lo único que es igual es la imagen de fondo (y ni tampoco, porque está cortada), porque tanto la URL como cuadro de inicio de sesión no se parece nada a esto:

Al final los usuarios introducen sus credenciales en webs no legítimas y ya les han “robado” sus credenciales, pero si tiene habilitado MFA el tener las credenciales no le servirá de nada al atacante.

En los próximos artículos hablaré de:

  • MFA con Acceso Condicional
  • Acceso Condicional en Teams (muy interesante)

Ahora como siempre, os toca a vosotros probarlo!!

Azure Firewall: Cent
Azure MFA: Acceso Co
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This