Cómo configurar la autenticación multifactor en Office 365

En las últimas semanas, he estado trabajando en la implementación de la autenticación multifactor de Office 365. El principal desafío no fue la configuración de MFA en Office 365, pero con la implementación de esto en nuestra organización fue informar a nuestros usuarios, de modo que no recibamos demasiados tickets de soporte técnico una vez que se habilita MFA, y elaborar un buen plan de implementación. .


Configurar la oficina de autenticación multifactor 365

En este artículo, lo guiaré a través del proceso de configuración de la autenticación multifactor de Office 365 y le daré algunos consejos sobre cómo implementarlo en su organización.

Nota

Asegúrese de haber habilitado la autenticación moderna. Especialmente en inquilinos más antiguos, esto debe habilitarse manualmente.

Índice

Licencia MFA de Office 365

Antes de comenzar con la configuración de MFA en Office 365, echaremos un vistazo rápido a la licencia. La autenticación multifactor es parte de los planes empresariales de Microsoft 365 (y Office 365). Con Office 365 MFA solo puede proteger las aplicaciones de Office 365.

Esto significa que todas las aplicaciones de Office 365 Online están protegidas y también el cliente de OneDrive y la aplicación de Outlook. Lo que no está protegido con MFA es, por ejemplo, iniciar sesión en su computadora.

Multi-Factor Authentication para Office 365 no ofrece todas las características de seguridad que están disponibles en la versión Azure MFA. Pero más que suficiente para una buena capa de seguridad adicional en los inicios de sesión de sus usuarios.

Las siguientes características están disponibles:

  • Aplicación móvil (aplicación Microsoft Authenticator)
  • Llamada telefónica
  • SMS
  • Contraseña de la aplicación para clientes que no admiten MFA (aplicación de Gmail en Android, por ejemplo)
  • Recuerde MFA para dispositivos confiables

Una de las características que realmente extraño en comparación con la versión de Azure MFA es la omisión única y las IP de confianza.

Configurar mfa office 365

Debe ser administrador de inquilinos para configurar MFA para su inquilino de Office 365.

  1. Abra el Centro de administración y vaya a Usuarios > Usuarios activos

  2. Autenticación multifactor abierta

    No seleccione ningún usuario todavía, simplemente abra la pantalla de autenticación multifactor. Encontrará el botón en la barra de herramientas.
    Office 365 Habilitar MFA

  3. Abra la configuración del servicio

    Antes de comenzar a habilitar MFA para los usuarios, primero revisamos la configuración del servicio. El botón de la pantalla de configuración no se destaca, pero está justo debajo del título.
    Configuración del servicio de autenticación multifactor de Office 365

  4. Configurar MFA Office 365

    Algunas configuraciones son importantes aquí:

    Asegúrate de revisar "No permitir que el usuario cree una contraseña de la aplicación". Esto solo es necesario para las aplicaciones que no admiten la autenticación multifactor. Debe evitar el uso de este tipo de aplicaciones en su espacio empresarial.

    Celular a teléfono y mensaje de texto a teléfono también es menos seguro. Habilítelos solo cuando realmente los necesite.

    Asegúrese de que los dispositivos de confianza estén configurados para 90 días como mínimo.


    configurar la autenticación de múltiples fábricas

  5. Habilitar MFA para usuarios de Office 365

    Una vez que haya configurado la configuración a su gusto, haga clic en Guardar y luego en Usuarios (justo debajo del título Autenticación multifactor).

    Vuelve a ver la lista de tus usuarios. Aquí puede seleccionar uno o varios usuarios para habilitar MFA.

    En el momento en que habilita Office 365 MFA para un usuario, puede obtener la pantalla de configuración tan pronto como los usuarios busquen uno de los productos de Office 365.


    Habilitar MFA para usuarios en Office 365

Uso de la función de actualización masiva

También puede habilitar la autenticación multifactor con la función de actualización masiva. Esto funciona con un archivo de Excel simple que contiene los nombres de usuario y el estado requerido (habilitar, deshabilitar). Simplemente haga clic en el botón de actualización masiva y descargue el archivo de muestra

Uso de PowerShell para habilitar MFA

Otra opción es usar PowerShell para habilitar MFA. La ventaja de usar PowerShell es que puede automatizarlo, por lo que nunca olvidará habilitarlo para un usuario.

Creé un pequeño script para habilitar MFA con PowerShell que puede encontrar aquí. También creé un script para obtener el estado de MFA de sus usuarios que puede encontrar en este artículo.

Habilitar coincidencia de ubicación y número

De manera predeterminada, la solicitud de MFA en su teléfono solo pregunta si desea mejorar o rechazar la solicitud. No puede ver de dónde proviene la solicitud, lo cual es un riesgo de seguridad.

Para mitigar el riesgo, puede habilitar la coincidencia de números o agregar contexto adicional (ubicación y aplicación) a la solicitud de MFA.

Lea más sobre esas características en este artículo.

Planificación del despliegue

Cuando habilita MFA para un usuario, en el próximo inicio de sesión, obtendrá una pantalla que indica que se requiere una medida de seguridad adicional. Así que asegúrese de haber informado a su usuario por adelantado con una guía de usuario clara sobre los pasos que debe seguir.

Algunos de los pozos de caída con los que me encuentro son:

  • Algunos usuarios no se dieron cuenta de que tenían que seleccionar la aplicación móvil en el paso 1. Así que recibieron un mensaje de texto SMS que no es realmente fácil de usar.
  • Asegúrese de que sus usuarios seleccionen “Recibir notificación para verificación
  • Los usuarios con Apple deben permitir la notificación automática para la aplicación Microsoft Authenticator. No todos los usuarios de Apple saben dónde encontrar eso (lo que resulta en llamadas al servicio de asistencia)
  • Si los usuarios inician el proceso MFA ellos mismos, a través de https://aka.ms/mfasetupno pueden crear una contraseña de aplicación inmediatamente

Crear grupo piloto con diferentes tipos de usuarios. Comienzo con 15 usuarios repartidos por toda la empresa para probar MFA durante 6 semanas. Esto me permitió mejorar el manual y detectar cualquier problema que pudiera surgir.

Si tiene una organización grande, asegúrese de implementarla en lotes. No importa cuán bueno sea el manual, dará como resultado un aumento en los tickets de la mesa de ayuda.

Cambiar las preferencias del usuario

Los usuarios pueden cambiar fácilmente sus preferencias o administrar los teléfonos móviles conectados a través de la página de su cuenta de Office 365. Además, el propio usuario puede crear aquí una contraseña de aplicación adicional.

  1. Iniciar sesión en micuenta.microsoft.com
  2. Ir Información de seguridad en el menú del lado izquierdo

En la parte superior, puede cambiar el método de inicio de sesión predeterminado. La opción más fácil de usar aquí es usar el Autenticador de Microsoft: notificación.

autenticación multifactor en office 365

En la lista, puede agregar diferentes métodos de autenticación, que siempre es una buena idea tener en caso de que la aplicación no funcione o si ha cambiado de teléfono y la aplicación aún no se ha instalado.

El usuario puede crear una contraseña de aplicación. Se puede usar una contraseña para varias aplicaciones, pero es mejor crear contraseñas de aplicación únicas para cada aplicación que no pueda manejar MFA.

Conclusión

No hay razón para no usar la autenticación multifactor en Office 365. La configuración se realiza en un par de minutos y el impacto del usuario es mínimo. Agrega una capa adicional de seguridad a una parte de su entorno de TI, lo que siempre es bueno.

Asegúrese de consultar la Guía de mejores prácticas para proteger Office 365 con más de 18 consejos de seguridad.

El siguiente video de Microsoft es realmente excelente para informar a sus usuarios, por lo que incluso el usuario más inexperto puede habilitar MFA.

También puede interesarle este artículo sobre el uso de OneDrive para almacenar de forma segura el escritorio, los documentos y la carpeta de imágenes del usuario.


Si quieres conocer otros artículos similares a Cómo configurar la autenticación multifactor en Office 365 puedes visitar la categoría Office 365.

Artículos de interés

Subir

Si continuas utilizando este sitio aceptas el uso de cookies. Más información