Autenticación multifactor con Azure y Office 365

martes, 10 de marzo de 2015


Una característica muy interesante de Microsoft Azure, es precisamente el tema de autenticación multifactor, la plataforma nos provee un mecanismo de autenticación de doble factor, donde el primer factor es algo que conozco (la contraseña), y el segundo factor es algo que tengo, lo cual puede ser un smartphone por ejemplo.

Para ello Multi-factor Authentication, MFA en adelante, nos proporciona varias opciones para el inicio de sesión, como por ejemplo una llamada telefónica, un mensaje de texto, o incluso una aplicación móvil.

MFA puede ser usado en un servidor local para proteger recursos como acceso a escritorios remotos, aplicaciones web, servicios de federación de Active Directory, pero también puede ser usado para aplicaciones en la nube, como por ejemplo Office 365, que es precisamente lo que explicaré en este breve artículo.

Lo interesante en el caso de Office 365, es que el uso de MFA no tiene un costo adicional.

Ahora veamos cómo habilitar MFA para un usuario de Office 365.

En primer lugar abrimos el portal de administración de Azure, nos ubicamos en Active Directory y abrimos la lista de usuarios, luego  hacemos clic en el botón MANAGE MULTI-FACTOR AUTH de la parte inferior de la pantalla.


Se abrirá una nueva página donde podemos empezar a configurar MFA, y lo primero que observaremos es la lista de los usuarios.


Seleccionamos el usuario al cual le deseamos habilitar la característica y hacemos clic en Enable en la parte drerecha de la pantalla, si se desea hacer esta tarea a varios usuarios al mismo tiempo, existe la posibilidad de cargar un archivo csv con los nombres de los usuarios bien sea para habilitar o deshabilitar la característica.


Aparacerá un mensaje para habilitar MFA, hacemos clic en el botón enable multi-factor auth


Al finalizar hacemos clic en el botón close


Y de esta sencilla forma ya tenemos habilitada la autenticación multifactor para una cuenta de Office 365, podemos apreciarlo en la columna de estado.



El proceso anterior fue realizado desde el portal de Azure, pero puede ser realizado de igual forma desde el portal de administración de Office 365, veamos los pasos desde allí.

Nos ubicamos en la parte de usuarios activos del portal de administración de Office 365, y en la parte superior veremos algunas opciones, entre ellas encontramos Multi-Factor Authentication, hacemos clic en Configurar


Se abrirá la página de configuración de MFA, y en adelante es exactamente el mismo proceso que se realizó desde el portal de Azure


Ahora, solo nos resta iniciar sesión desde el portal de Office para ver cuál será el nuevo comportamiento.

después de ingresar las credenciales en la página de inicio sesión, veremos un mensaje indicando que el administrador ha solicitado una verificación adicional.




Después de hacer clic en el botón Configurar ahora se abrirá la página para configurar la seguridad adicional.

Lo primero que solicitará es cómo deseamos ser contactados: Teléfono o aplicación móvil, en este caso elegiremos contacto por teléfono

Seleccionamos la ciudad y escribimos el número de teléfono mediante el cual se pondrán en contacto con nosotros, existe la posibilidad de recibir una llamada o un mensaje de texto con un número de activación.

Luego hacemos clic en el botón Contacto que no alcanza a mostrarse en la imagen, de manera inmediata el sistema intentará ponerse en contacto con el número de teléfono suministrado.


A continuación la imagen de la llamada entrante al número telefónico que suministré.


Al contestar la llamada, la máquina informará que es la llamada de comprobación de Microsoft, solicita presionar la tecla # para finalizar la comprobación, una vez termina el proceso aparecerá la siguiente página.

En este paso nos indica que algunas aplicaciones, como por ejemplo Outlook no son compatibles con MFA, por lo cual no suministra una clave que debemos usar para configurar las aplicaciones que no soportan este mecanismo, podemos usar el icono de hojas al lado de la clave generada para copiarla al portapapeles.

Hacemos clic en el botón Listo e inmediatamente el sistema intentará comunicarse con nosotros, pero esta vez no será para la comprobación sino para iniciar sesión.


Una vez respondamos la llamada, y presionemos la tecla # podremos iniciar sesión en Office 365 de manera satisfactoria y empezar a utilizar las aplicaciones.


Bien, ahora que tal si vemos el proceso de inicio de sesión pero usando la aplicación móvil?

La app está disponible para Windows, iOS y Android, se llama multi-factor

Lo que debemos hacer para configurar la aplicación, es claramente en lugar de elegir la llamda telefónica, seleccionar aplicación móvil


Existen dos posibilidades para configurar la aplicación: Notificación o Contraseña de un solo uso.

Notificación: Nos aparecerá un mensaje en la pantalla del dispositivo, donde debemos presionar un botón para terminar la comprobación.

Contraseña de un solo uso: También conocido como OTP (One-Time Password), lo cual nos mostrará durante un período corto de tiempo un número aleatorio en la pantalla, el cual debemos digitar para terminar la comprobación y poder iniciar sesión.

Para este ejemplo, seleccioné la opción de Notificación y luego hacemos clic en Configurar

Se abrirá la siguiente página donde nos permite configurar la aplicación:



Como podemos ver en la imagen anterior, tenemos todos los pasos para configurar la app, en el punto 1 tenemos los enlaces para descargar las aplicaciones en las diferentes plataformas móviles, lo siguiente es capturar el código qr, o bien podemos digitar la URL y el código que se muestran en el paso 5.

Al finalizar, se notificará que la aplicación móvil se ha configurado de manera correcta



Una vez configurada la aplicación móvil, el sistema intentará comunicación con la misma y lo notificará con el siguiente mensaje:

Ahora, veamos lo que pasa en al app:


Podemos ver que se está activando la aplicación, y luego dado que hemos elegido el método de notificación, aparecerá ne la pantalla la opción para verificar.


Una ves presionemos el botón Verificar, saldrá el siguiente mensaje indicando que se ha iniciado sesión correctamente, esto indica el fin del proceso de configuración de la aplicación móvil.


Después de la correcta configuración de la app, seguirá el paso 3, el cual nos solicita una comprobación adicional en caso de que se pierda el acceso a la aplicación móvil, seleccionamos nuestro país y escribimos un número de teléfono de contacto.

El paso 4, igual que en la comprobación telefónica, nos proporciona la contraseña para aplicaciones que no funcionan con este mecanismo, como por ejemplo Outlook.


Una vez finalizado este paso, el sistema intentará nuevamente el inicio de sesión, pero en esta ocasión debemos utilizar nuestro dispositivo móvil para responder bien sea la notificación o escribir la contraseña aleatoria de un solo uso.


Como se aprecia en la imagen anterior, se ha enviado una notificación al dispositivo móvil, para lo cual ya vimos en la fase de comprobación solo basta con tocar el botón Verificar para obtener acceso a las aplicaciones de Office.

Con esto finalizamos este artículo sobre autenticación multifactor, que espero les sea de utilidad.

No hay comentarios:

 

Aprende en Net University

Aprende en Net University
Aprende más de Azure con los cursos de Net University

MVP Award

MVP Award
Microsoft Azure

Lo más visto

Certificaciones

Comunidad

Comunidad
Comunidad Técnica

Sobre mi

Mi foto
Microsoft Azure MVP MCT|MCSE|MCSA

Visitantes


flags.es