Buenas, hoy toca hablar de la funcionalidad de autenticación Multi-Factor en Office365.
Primero expliquemos que es, cuales son sus beneficios y después procederemos a explicar como habilitarlo, configurarlo y administrarlo, tanto por GUI como por PowerShell…
QUE ES Y QUE BENEFICIOS APORTA?
La funcionalidad de autenticación Multi-Factor es un sistema de validación múltiple que nos permite aumentar la seguridad a la hora de acceder a nuestro sistema, pero no solo eso, también nos permite enterarnos de accesos no deseados o intentos de acceso a nuestra cuenta de Office365 e incluso poder denunciarlos, todo esto desde una sencilla APP para nuestro teléfono, una llamada telefónica a nuestro movil o numero de la oficina, o el envío de un SMS a nuestro teléfono.
Eso significa que tendré que meter un código cada vez que acceda a mi buzón?, no exactamente, salvo que seleccionemos la opción de envío de código mediante mensaje o llamada, nuestra APP instalada en el teléfono se encargará de avisarnos que hay una solicitud de acceso y en cuanto accedamos a la notificación podremos indicar si queremos verificar o declinar el acceso.
Y que ocurre con cada aplicación en la que tengo configurada mi cuenta, tendré que autorizar cada dos por tres los accesos? no, tenemos la opción de configurar una «APP Password» única para cada aplicación y de una única activación.
Eso significa que puedo crear cuantas APP Passwords desee? No, tenemos un limite actual de 40 APP Passwords.
Que aplicaciones puedo utilizar con mi APP Password? Podemos encontrar las mas frecuentes como Microsoft Outlook, Microsoft Lync, La suite de Office 2013, pero también podemos encontrar a el cliente de Lync para movil, El cliente de correo de Windows 8 y 8.1, o la activación de suscripción de Office.
Que APP es la que puedo utilizar para autenticar los accesos? La APP se llama «Multi-Factor Auth» y esta disponible para IOS, Android y Windows Phone por supuesto, y esta disponible desde la tienda de cada plataforma.
Está disponible esta funcionalidad para todos los planes de Office365? No, únicamente para los planes MidSize, Enterprise (E1, E3 y E4) y Standalone (Exchange Online y Sharepoint Online), por lo que en pocas palabras no esta disponible ni para planes de pequeña empresa ni pequeña empresa premium…
COMO HABILITAR LA FUNCIONALIDAD POR GUI
Para disfrutar de esta funcionalidad, tan solo tenemos que acceder a nuestro portal como administrador y habilitarla para los usuarios que queramos:
-
Accedemos a nuestro portal de Office365 (
http://portal.microsoftonline.com) como Administrador y pinchamos en «
Usuarios y Grupos» y luego en «
configurar» dentro de «establecer requisitos de Multi-factor Authentication»:
- En «View» seleccionamos el filtro de usuarios que queramos aplicar, yo en este caso dado que lo estoy habilitando para un usuario normal no administrador, he seleccionado la vista «Usuarios con inicio de sesión permitido«:
- Seleccionamos el usuario o los usuarios a habilitar y hacemos clic en «Habilitar» en el panel de la parte derecha y después le damos a «habilitar multi-factor auth» en el popup:
Una vez hecha la parte de Administrador, procedemos a realizar la parte Usuario. Esto se supone que es lo que el usuario debe hacer y sentira cuando acceda a su portal de Office365. Es Importante que el usuario acceda obligatoriamente al portal antes de hacer nada mas con su cuenta.
-
Accedemos al portal de Office365 (
http://portal.microsoftonline.com) con nuestros datos de usuario y nos encontramos con la siguiente pantalla, en la que pinchamos «
configurar ahora«:
- Esto nos llevará a la configuración de la seguridad adicional, seleccionamos la opción que queramos y continuamos, en nuestro caso, seleccionaremos «Aplicación móvil» y luego haremos clic en «Configurar«:
- Seguimos los pasos que indica la pantalla y hacemos clic en «Listo«:
- Una vez hecho esto, nos preguntará si hacemos uso de aplicaciones como Microsoft Outlook o Lync para poder generar contraseñas de aplicación, en nuestro caso asumimos que el usuario si utiliza Microsoft Outlook, por lo que generaremos un contraseña de aplicación haciendo clic en «generar contraseña de aplicación» y luego en «Crear«:
- Asignamos un nombre a la aplicación y luego copiamos la contraseña única que deberemos pegar en nuestra aplicación (en nuestro caso Microsoft Outlook) cuando nos pida las credenciales de la cuenta. Esta contraseña no será visible nuevamente por lo que es importante copiarla y pegarla directamente:
- Si en algún momento queremos crear mas contraseñas de aplicación o «APP Passwords» o modificar el método de contacto y validación, tan solo tenemos que entrar en nuestro portal de usuario de office365 y en la parte superior derecha hacer clic en el engranaje y luego en «configuración de Office365», Seleccionamos la sección «comprobación de seguridad adicional» y pinchamos en el enlace que muestra la pantalla derecha, esto nos dará acceso a dichas configuraciones y al listado de APP Passwords:
COMO HABILITAR LA FUNCIONALIDAD POR POWERSHELL
Para poder trabajar con Autenticación Multi-Factor , deberemos seguir los siguientes pasos:
-
- Ejecutar las siguientes lineas:
Connect-MsolService
$MultiFactorAuth= New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
$MultiFactorAuth.RelyingParty = «*»
$MultiFactorAuth = @($MultiFactorAuth)
Una vez creado el objeto requerido, procedemos a realizar las distintas opciones:
- Para habilitar la funcionalidad en un usuario:
Set-MsolUser -UserPrincipalName user@domain.com -StrongAuthenticationRequirements $MultiFactorAuth
- Para habilitar la funcionalidad en todos los usuarios:
Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements $MultiFactorAuth
- Listar todos los usuarios con la funcionalidad habilitada:
Get-MsolUser | Where-Object {$_.StrongAuthenticationRequirements -like «*»} | select DisplayName,UserPrincipalName,StrongAuthenticationMethods,StrongAuthenticationRequirements
- Para deshabilitar la funcionalidad de los usuarios (especialmente útil si hay algún problema de autenticación):
$MultiFADisable = @()
Set-MsolUser -UserPrincipalName j.doe@techdaylab.onmicrosoft.com -StrongAuthenticationRequirements $MultiFADisable
Solamente hacer una observacion, si habilitamos esta funcionalidad para un administrador, no podremos utilizar esa cuenta para administrar nuestra suscripción con PowerShell dado que no esta soportada, para ello, Microsoft recomienda crear una cuenta sin licencia asignada y con una contraseña fuerte en la que no se habilite esta funcionalidad y poder utilizarla para PowerShell.
PROBANDO EL ACCESO CON LA APP:
Una vez hagamos inicio de sesión en nuestro portal, nos mostrara una notificación en nuestro móvil donde nos pide verificar o cancelar el acceso, y una vez concedido nos da el visto bueno:
Me gusta:
Me gusta Cargando...