Compartir a través de

Protección de recursos en la nube con la autenticación multifactor de Microsoft Entra y AD FS

  • Artículo

Si su organización está federada con el identificador de Microsoft Entra, use la autenticación multifactor de Microsoft Entra o los Servicios de federación de Active Directory (AD FS) para proteger los recursos a los que accede el identificador de Microsoft Entra. Use los procedimientos siguientes para proteger los recursos de Microsoft Entra con la autenticación multifactor de Microsoft Entra o los servicios de federación de Active Directory.

Nota

Establezca la configuración del dominio federatedIdpMfaBehavior en enforceMfaByFederatedIdp (opción recomendada) o la de SupportsMFA en $True. La configuración de federatedIdpMfaBehavior invalida SupportsMFA cuando se establecen ambos.

Protección de recursos de Microsoft Entra mediante AD FS

Para proteger el recurso en la nube, configure una regla de notificaciones para que los Servicios de federación de Active Directory emitan la notificación multipleauthn cuando un usuario realiza la comprobación en dos pasos correctamente. Esta solicitud se pasa a Microsoft Entra ID. Siga este procedimiento para seguir los pasos:

  1. Abra Administración de AD FS.

  2. A la izquierda, seleccione Relaciones de confianza para usuario autenticado.

  3. Seleccione con el botón derecho Plataforma de identidad de Microsoft Office 365 y seleccione Editar reglas de notificaciones.

    Console ADFS - Confianzas de la Parte Confidente Consola de ADFS: confianzas de usuarios de confianza

  4. En Reglas de transformación de emisión, seleccione Agregar regla.

    Edición de las reglas de transformación de emisión

  5. En el Asistente para agregar regla de notificaciones de transformación, seleccione Pasar por una notificación entrante o filtrarla en la lista desplegable y seleccione Siguiente.

    Captura de pantalla que muestra el Asistente para agregar regla de notificaciones de transformación donde se selecciona una plantilla de regla de notificaciones.

  6. Asigne un nombre a la regla.

  7. Seleccione Referencias de métodos de autenticación como tipo de notificación entrante.

  8. Seleccione Pasar a través todos los valores de notificaciones.

    Captura de pantalla que muestra el Asistente para agregar regla de notificaciones de transformación donde se selecciona Pasar a través todos los valores de notificaciones.

  9. Seleccione Finalizar. Cierre la consola de administración de AD FS.

Direcciones IP de confianza para usuarios federados

Las direcciones IP de confianza permiten a los administradores omitir la verificación en dos pasos para direcciones IP específicas o para usuarios federados que tienen solicitudes procedentes de su propia intranet. En las secciones siguientes se describe cómo configurar el bypass mediante direcciones IP de confianza. Esto se consigue configurando AD FS para usar un paso a través o filtrar una plantilla de notificación entrante con el tipo de notificación dentro de la red corporativa.

En este ejemplo se utiliza Microsoft 365 para las relaciones de confianza del usuario de confianza.

Configurar las reglas de reclamaciones de AD FS

Lo primero que debemos hacer es configurar las claims de AD FS. Cree dos reglas de notificaciones, una para el tipo de notificación dentro de la red corporativa y otra adicional para mantener a nuestros usuarios con la sesión iniciada.

  1. Abra Administración de AD FS.

  2. A la izquierda, seleccione Relaciones de confianza para usuario autenticado.

  3. Seleccione con el botón derecho Plataforma de identidad de Microsoft Office 365 y seleccione Editar reglas de notificaciones…

    Consola de ADFS de Consola de ADFS: editar reglas de notificación

  4. En Reglas de transformación de emisión, seleccione Agregar regla.

    agregar una regla de reclamación

  5. En el Asistente para agregar regla de notificaciones de transformación, seleccione Pasar por una notificación entrante o filtrarla en la lista desplegable y seleccione Siguiente.

    Captura de pantalla que muestra el Asistente para agregar regla de notificaciones de transformación donde se selecciona Pasar por una notificación entrante o filtrarla.

  6. En el cuadro situado junto a Nombre de regla de reclamación, asigne un nombre a la regla. Por ejemplo: InsideCorpNet.

  7. En la lista desplegable, junto a Tipo de notificación entrante, seleccione Dentro de la red corporativa.

    Agregar una notificación de una red corporativa

  8. Seleccione Finalizar.

  9. En Reglas de transformación de emisión, seleccione Agregar regla.

  10. En el Asistente para agregar regla de notificaciones de transformación, seleccione Enviar notificaciones mediante regla personalizada en la lista desplegable y seleccione Siguiente.

  11. En el cuadro situado bajo el nombre de la regla de notificación: escriba Mantener a los usuarios con la sesión iniciada.

  12. En el cuadro Regla personalizada, escriba:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Crear reclamación personalizada para mantener a los usuarios conectados

  13. Seleccione Finalizar.

  14. Seleccione Aplicar.

  15. Seleccione Aceptar.

  16. Cerrar la administración de AD FS.

Configurar las ID de confianza con autenticación multifactor de Microsoft Entra con usuarios federados

Ahora que las notificaciones están listas, podemos configurar direcciones IP de confianza.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Acceso condicional>Ubicaciones con nombre.

  3. Desde la hoja Acceso condicional: ubicaciones con nombre, seleccione Configurar direcciones IP de confianza de MFA

    Acceso condicional de Microsoft Entra, ubicaciones con nombre, Configurar direcciones IP de confianza de MFA

  4. En la página Configuración del servicio, en direcciones IP de confianza, seleccione Omitir la autenticación multifactor para las solicitudes de los usuarios federados en mi intranet.

  5. Seleccione guardar.

¡Eso es todo! En este momento, los usuarios federados de Microsoft 365 solo deben tener que usar MFA cuando una notificación se origina desde fuera de la intranet corporativa.