Saltar al contenido
Inicio / Azure / Microsoft Azure: Requerir Intensidad de Autenticación (FIDO2) con las Reglas de Acceso Condicional

Microsoft Azure: Requerir Intensidad de Autenticación (FIDO2) con las Reglas de Acceso Condicional

Aunque aún esté en versión preliminar, voy a mostraros algo tanto interesante como necesario para la protección de nuestras cuentas de AzureAD: Phishing resistant authentication. Esto es “básicamente” la posibilidad de forzar MFA a nuestros usuarios pero exigiendo alguno de los siguientes métodos de autenticación:

Voy a mostraros como podéis forzar a que vuestros usuarios utilice FIDO2 para autenticarse en diferentes servicios, en este caso, voy a mostrar cómo podemos forzar dicha autenticación solo para el Portal de Azure y todo con las reglas de acceso condicional:

En la infografía lo que trato de mostrar es un usuario que tiene asignadas dos reglas de acceso condicional, cada cual gestiona el acceso a diferentes aplicaciones con autenticación diferente:

  • Office: utilizaremos MFA (“tradicional”)
  • Portal de Azure: Phishing Resistant MFA

No voy comentar mucho sobre la reglas de acceso condicional, solo me voy a centrar en la configuración para este artículo, pero si os voy a dejar a continuación una serie de artículos que había publicado al respecto:

  1. Microsoft Azure: Forzar MFA filtrando por dispositivo mediante el Acceso Condicional
  2. Azure Virtual Desktop: Aumentando la Seguridad con Acceso Condicional + MFA + Intune
  3. Azure MFA: Acceso Condicional

Antes de continuar, os voy a mostrar un vídeo de Miguel Hernández donde explica en un video como romper la seguridad de MFA y donde muestra claramente que utilizar FIDO2 es la solución: Acceso a cuenta saltándonos la contraseña y mfa + APP Authenticator. Primer ver el vídeo y luego continuar con este artículo, merece mucho la pena entender la problemática real que tenemos ahora mismo con las contraseñas, MFA, etc..

Voy a mostrar la parte de la configuración del acceso condicional donde para acceder al Portal de Azure vamos a exigir una llave FIDO2, el resto de configuraciones para la parte de acceder a servicios de o365 la voy a omitir porque sería básicamente lo mismo pero cambiando la aplicación y el método de autenticación.

1. Elegimos a los usuarios a los que va a afectar esta directiva (siempre mejor grupos, pero para la prueba he elegido mi usuario)

2. Elegimos la aplicación(es) sobre las que queremos aplicar la directiva, en mi caso, Microsoft Azure Management

3. Aquí la parte donde concedemos el acceso si cumplimos con el control de acceso habilitado, debemos elegir Requerir intensidad de autenticación (versión preliminar) y elegimos la opción Autenticación multifactor resistente a la suplantación de identidad (FIDO2):

5 Fin .. ¿fácil, eh? Pues ahora simplemente probamos a acceder al Portal de Azure y … como vemos nos pide utilizar nuestra security key (nuestra FIDO2):  

Introducimos el PIN …

Y estamos dentro …

Si ahora revisamos los registros de inicio de sesión y podemos comprobar cómo se aplican las directivas aplicadas y está la de Authentication Strength(s) que es la que hemos configurado ahora mismo: 

Para que todo esto resulte tan sencillo, claramente, debéis tener ya configurada vuestra llave FIDO2, etc.. pero si eso lo tenéis listo, el proceso es súper fácil.

Ahora, como siempre, os toca probarlo a vosotros!!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!