Paso a paso: Configurar la autenticación multifactor (MFA) en Azure AD

Paso a paso: Configurar la autenticación multifactor (MFA) en Azure AD

01/02/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración e implementación de la autenticación multifactor (MFA) en Azure Active Directory (ahora Microsoft Entra ID). MFA es una capa de seguridad esencial que requiere que los usuarios proporcionen dos o más formas de verificación para demostrar su identidad antes de obtener acceso, lo que reduce significativamente el riesgo de que la cuenta se vea comprometida [1].

Introducción

En el panorama actual de amenazas cibernéticas, las contraseñas por sí solas ya no son suficientes para proteger las cuentas de los usuarios. Los ataques de phishing, la difusión de contraseñas y el robo de credenciales son tácticas comunes utilizadas por los atacantes. La autenticación multifactor (MFA) agrega una capa crítica de seguridad al requerir que los usuarios proporcionen algo que saben (contraseña), algo que tienen (teléfono, token de hardware) o algo que son (huella digital, reconocimiento facial). La implementación de MFA es una de las medidas de seguridad más efectivas que una organización puede tomar para proteger sus recursos en Microsoft Entra ID y los servicios asociados [2].

Esta guía práctica cubrirá los pasos para configurar MFA en Azure AD, centrándose en diferentes métodos de implementación, desde configuraciones básicas hasta el uso de políticas de acceso condicional para un control más granular. Se proporcionarán instrucciones paso a paso, configuraciones de ejemplo y métodos de validación para garantizar que el lector pueda aplicar MFA de manera efectiva en su entorno.

¿Por qué es crucial la AMF?

  • Reducción de riesgos: reduce drásticamente la probabilidad de que la cuenta se vea comprometida, incluso si se roban las contraseñas.
  • Cumplimiento: muchos estándares y regulaciones de seguridad requieren la implementación de MFA para proteger datos confidenciales.
  • Protección contra phishing: Agrega una barrera contra ataques de phishing, ya que el atacante necesitaría no solo la contraseña, sino también el segundo factor.
  • Flexibilidad: Azure AD ofrece múltiples opciones de segundo factor, como la aplicación Microsoft Authenticator, SMS, llamadas telefónicas y tokens de hardware, lo que permite a los usuarios elegir el método más conveniente y seguro.

Requisitos previos

Para configurar MFA en Azure AD, necesitará los siguientes elementos:

  1. Licencia: una licencia que incluye características de Azure AD MFA. Puede ser Azure AD Free (con valores predeterminados de seguridad), Azure AD Premium P1 o P2 (para acceso condicional) o licencias de Microsoft 365 que incluyen Azure AD Premium [3].
  2. Acceso administrativo: una cuenta con permisos de Administrador global o Administrador de autenticación en Azure Portal (portal.azure.com) o el centro de administración de Microsoft Entra (entra.microsoft.com).
  3. Dispositivos de prueba: Al menos una cuenta de usuario de prueba y un dispositivo (teléfono inteligente) para configurar y validar MFA.
  4. Cuentas de acceso de emergencia: Es una buena práctica crear y proteger cuentas de emergencia que estén exentas de MFA para evitar bloqueos en caso de problemas con el sistema MFA [4].

Paso a paso: configurar la autenticación multifactor (MFA) en Azure AD

Hay varias formas de habilitar MFA en Azure AD. Cubriremos los dos más comunes: Valores predeterminados de seguridad (para configuraciones básicas y rápidas) y Políticas de acceso condicional (para control granular).

Opción 1: habilitar MFA usando los valores predeterminados de seguridad (recomendado para pequeñas y medianas empresas)

Los valores predeterminados de seguridad proporcionan un conjunto básico de políticas de seguridad recomendadas por Microsoft, incluido el requisito de MFA para todos los usuarios y administradores. Es una forma sencilla y eficaz de aumentar rápidamente la seguridad.

  1. Acceda al centro de administración de Microsoft Entra: https://entra.microsoft.com.
  2. En el panel de navegación izquierdo, vaya a Protección > Descripción general de seguridad.
  3. En la sección Habilitar valores predeterminados de seguridad, haga clic en Administrar valores predeterminados de seguridad.
  4. En el panel Valores predeterminados de seguridad, establezca la opción Habilitar valores predeterminados de seguridad en .
  5. Haga clic en Guardar.

Nota: Una vez habilitado, los valores predeterminados de seguridad requerirán que todos los usuarios configuren MFA en su próximo inicio de sesión. Se les pedirá que registren la aplicación Microsoft Authenticator. Los valores predeterminados de seguridad son ideales para organizaciones que no tienenm Licencias de Azure AD Premium P1 o P2 y necesitan una implementación MFA rápida y estandarizada. No es posible utilizar el acceso condicional y los valores predeterminados de seguridad simultáneamente; uno desactiva al otro.

Opción 2: habilitar MFA mediante políticas de acceso condicional (recomendado para control granular y empresas más grandes)

Las políticas de acceso condicional (CA) le permiten definir condiciones específicas bajo las cuales se requerirá MFA, ofreciendo mucha más flexibilidad que los valores predeterminados de seguridad. Esta opción requiere una licencia de Azure AD Premium P1 o P2.

2.1. Crear un grupo de usuarios de prueba

Es una buena práctica probar las políticas de acceso condicional en un pequeño grupo de usuarios antes de implementarlas en toda su organización.

  1. En el centro de administración de inicio de sesión de Microsoft, vaya a Identidad > Grupos > Todos los grupos.
  2. Haga clic en Nuevo grupo.
  3. Complete los detalles:
    • Tipo de grupo: Seguridad
    • Nombre del grupo: MFA_Users_Test
    • Se pueden asignar roles de Azure AD al grupo: No
    • Tipo de membresía: Asignado
  4. Agregue usuarios de prueba como miembros y haga clic en Crear.

2.2. Cree una política de acceso condicional para requerir MFA

  1. En el centro de administración de inicio de sesión de Microsoft, vaya a Protección > Acceso condicional.
  2. Haga clic en Nueva política > Crear nueva política.
  3. Nombre: Requerir MFA para todos los usuarios (o Requerir MFA para el grupo de prueba si se realiza la prueba).
  4. Responsabilidades:
    • Identity Users or Workloads: Select All Users (or the MFA_Users_Test group for testing).
    • Eliminar: Es fundamental eliminar aquí tus cuentas de acceso de emergencia para evitar que te bloqueen. Agregue también cualquier cuenta de servicio que no pueda usar MFA.
  5. Recursos o acciones en la nube: seleccione Todas las aplicaciones en la nube.
  6. Condiciones (Opcional, para mayor granularidad):
    • Puede configurar condiciones basadas en la ubicación, dispositivos, aplicaciones cliente, etc. Por ejemplo, requerir MFA solo para acceso desde fuera de la red corporativa.
  7. Conceder:
    • Seleccione Conceder acceso.
    • Marque Requerir autenticación multifactor.
    • Haga clic en Seleccionar.
  8. Sesión (Opcional):
    • Puede configurar el control de frecuencia de inicio de sesión o la persistencia de la sesión.
  9. Habilitar política: configúrelo en Solo informar para probar el impacto antes de aplicar, o Activado para aplicar inmediatamente.
  10. Haga clic en Crear.

2.3. Configurar métodos de autenticación

Es importante definir qué métodos MFA están disponibles para los usuarios.

  1. En el centro de administración de inicio de sesión de Microsoft, vaya a Protección > Métodos de autenticación > Políticas.
  2. Aquí puede habilitar o deshabilitar métodos como Microsoft Authenticator, SMS, llamadas de voz, etc. Se recomienda habilitar Microsoft Authenticator y SMS como métodos principales.
  3. Configure las opciones para cada método, como el modo de registro del Autenticador (sin contraseña o notificación automática).

Validación y pruebas

Después de configurar MFA, es fundamental validar que esté funcionando como se esperaba.

1. Pruebe el inicio de sesión de un usuario

  1. Abra una ventana del navegador en modo incógnito/privado.
  2. Navegue hasta una aplicación que cubra la política de MFA (por ejemplo: portal.office.com).
  3. Inicie sesión con la cuenta de un usuario incluido en la política de MFA.
  4. Se debe pedir al usuario que configure MFA (si este es el primer inicio de sesión después de habilitarlo) o que proporcione el segundo factor (por ejemplo, aprobar la notificación en Microsoft Authenticator, ingresar el código SMS).

2. Verifique el estado de registro de MFA

  1. En el centro de administración de inicio de sesión de Microsoft, vaya a Identidad > Usuarios > Todos los usuarios.
  2. Haga clic en un usuario y luego en Métodos de autenticación.
  3. Verifique los métodos de autenticación registrados para el usuario. Esto confirmará que el usuario ha configurado MFA correctamente.

3. Utilice el modo Solo informe (para acceso condicional)

Si configuró la política de acceso condicional en el modo Solo informar, puede verificar los resultados sin necesidad de aplicarlos.

  1. En el centro de administración de inicio de sesión de Microsoft, vaya a Protección > Acceso condicional.
  2. Haga clic en la política que creó y vaya a la pestaña Solo informar.
  3. Analice los resultados para ver qué usuarios y aplicaciones se verían afectados por la política y si se requeriría MFA.

Consejos de seguridad y mejores prácticas

  • Requerir MFA para administradores: Exija siempre MFA para cuentas administrativas, independientemente de otras políticas. Estas cuentas son los principales objetivos de los ataques.
  • Educación del usuario: capacite a los usuarios sobre la importancia de MFA y cómo configurarlo y utilizarlo correctamente. Explique cómo identificar y denunciar intentos de phishing de MFA.
  • Microsoft Authenticator: Promociona el uso de la aplicación Microsoft Authenticator con notificaciones push, ya que se considera uno de los métodos más seguros y fáciles de usar, además de ser resistente a algunos tipos de ataques de phishing.
  • Políticas de acceso condicional granular: utilice el acceso condicional para refinar cuándo se requiere MFA (por ejemplo, fuera de la red corporativa, para aplicaciones de alto riesgo, para usuarios con roles privilegiados).
  • Revisión periódica: revise periódicamente sus políticas de MFA y los métodos de autenticación de usuarios registrados para asegurarse de que sigan siendo efectivos y seguros.
  • Cuentas de emergencia: mantenga un proceso riguroso para las cuentas de acceso de emergencia, incluido el almacenamiento seguro de credenciales y la auditoría periódica de su uso.

Solución de problemas comunes

  • El usuario no puede configurar MFA: Verifique que el usuario tenga una licencia adecuada y que los métodos de autenticación deseados estén habilitados. Guíe al usuario para que siga cuidadosamente las instrucciones de registro.
  • Usuario bloqueado después de habilitar MFA: verifique si el usuario ha sido excluido de una política de acceso condicional o si hay un problema con el método MFA configurado. Utilice cuentas de acceso de emergencia si es necesario.
  • No se solicita MFA: Verifique que la política de acceso condicional esté habilitada y asignada a los usuarios y aplicaciones correctos. Si utiliza valores predeterminados de seguridad, asegúrese de que no haya políticas de acceso condicional en conflicto.
  • Problemas con la aplicación Authenticator: verifique la conectividad de red de su dispositivo móvil y si las notificaciones están habilitadas para la aplicación. Intente eliminar y agregar la cuenta nuevamente en la aplicación.

Conclusión

La autenticación multifactor es un pilar fundamental de la seguridad de la identidad moderna. La configuración de MFA en Azure AD, especialmente a través de políticas de acceso condicional, proporciona una defensa sólida contra el acceso no autorizado. Si sigue las pautas de este artículo, su organización estará mejor equipada para proteger las identidades de los usuarios y los recursos críticos, mitigando los riesgos y fortaleciendo su postura general de seguridad. Recuerde, la seguridad es un proceso continuo que requiere adaptación y mejora constante.

Referencias:

[1] Microsoft aprende. ¿Qué es la autenticación multifactor?. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft aprende. Planifique una implementación de autenticación multifactor de Microsoft Entra. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft aprende. Licencia de autenticación multifactor de Microsoft Entra. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft aprende. Crear cuentas de acceso de emergencia en Microsoft Entra ID. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts