Habilitar/Deshabilitar MFA en Azure Active Directory – 2xsoftware

Los nombres de usuario y las contraseñas solían ser el estándar para la seguridad de las cuentas hasta la llegada del phishing y la ingeniería social. Incluso los usuarios experimentados siguen siendo víctimas del compromiso de la contraseña, lo que lleva a la pérdida de datos, pérdidas financieras y daño a la reputación.

Esta es la razón por la que el impulso de la autenticación multifactor (MFA) es más fuerte que nunca. Existen muchas opciones para MFA, que incluyen datos biométricos, aplicaciones de autenticación, claves de seguridad de hardware, etc.

MFA es una de las glorias supremas de los proveedores de servicios en la nube en la actualidad, incluido Azure Active Directory. Y en este tutorial, exploraremos cómo habilitar/deshabilitar MFA en Azure Active Directory.

Habilitar o deshabilitar MFA por usuario (heredado) en el portal de Azure AD

MFA por usuario es el método heredado para implementar MFA. Como su nombre lo indica, el estado de MFA se cambia por usuario. Como puede imaginar, este método puede convertirse en un desafío de administrar a medida que aumenta el número de usuarios.

Sin embargo, si este es el método utilizado en su organización, así es como puede administrarlo.

Inicie sesión en el Centro de administración de Azure Active Directory. Navegar a Azure Directorio Activo > Todos los usuarios y haga clic MFA por usuario.

Sobre el autenticación multifactor página, verá la lista de usuarios y su estado de MFA correspondiente.

  • Deshabilitado: MFA está deshabilitado para el usuario.
  • Habilitado: MFA está habilitado para el usuario, pero el usuario aún no ha completado el registro de MFA.
  • Aplicado: MFA está habilitado para el usuario que ha completado el registro de MFA.

Filtre la lista seleccionando el Estado de autenticación multifactor. En este ejemplo, elegiré Activado. Seleccione el usuario o usuarios y haga clic en el Desactivar enlace.

azure deshabilitar mfa para un solo usuario

Cuando se le solicite, haga clic en Sí para confirmar la acción.

deshabilitar mfa azul

Una vez completada la operación, haga clic en Cerrar.

deshabilitar el anuncio azul mfa

Por el contrario, puede realizar los mismos pasos con usuarios deshabilitados para MFA para habilitarlos.

deshabilitar mfa para el usuario en azure

Habilitar o deshabilitar MFA por usuario (heredado) en PowerShell

Administrar el estado de MFA de múltiples usuarios es más eficiente con PowerShell, que es posible a través de Módulo PowerShell de Azure Active Directory. Aquí se explica cómo habilitar o deshabilitar el MFA por usuario en PowerShell.

Publicación relacionada. ¿Cómo deshabilitar la autenticación multifactor (MFA) en Office 365?

Conéctese a Azure AD PowerShell:

Import-Module MSOnline 
Connect-MsolService

cómo deshabilitar mfa para un usuario en azure

Deshabilitar MFA para un usuario

Para deshabilitar el MFA de un usuario, ejecute el Establecer-MsolUser comando, como se muestra a continuación. Reemplace la “UPN” con el nombre principal de usuario del usuario.

Set-MsolUser -UserPrincipalName "UPN" -StrongAuthenticationRequirements @()

Deshabilitar MFA para todos los usuarios

Para deshabilitar MFA para todos los usuarios, ejecute este comando. El primer comando obtiene todos los usuarios de Azure AD y canaliza el resultado al segundo comando para deshabilitar MFA por usuario.

Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements @()

Habilitar MFA para un usuario

Para habilitar el MFA por usuario para un usuario, cree el Requisito de autenticación fuerte objeto primero.

$mfaReq = [Microsoft.Online.Administration.StrongAuthenticationRequirement]@{ 
RelyingParty = "*" 
State = "Enabled" 
}

A continuación, ejecute el siguiente comando para habilitar el MFA del usuario.

Set-MsolUser -UserPrincipalName "[email protected]" ` 
-StrongAuthenticationRequirements $mfaReq

Finalmente, confirme que el estado MFA del usuario está habilitado:

Get-MsolUser -UserPrincipalName "[email protected]" | ` 
Select-Object -ExpandProperty StrongAuthenticationRequirements

anuncio azul deshabilitar mfa

Habilitar MFA para todos los usuarios

Para habilitar el MFA por usuario para todos los usuarios, ejecute el siguiente código.

$mfaReq = [Microsoft.Online.Administration.StrongAuthenticationRequirement]@{ 
RelyingParty = "*" 
State = "Enabled" 
} 
Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements $mfaReq

Nota. Los módulos AAD y MSOL PowerShell están en proceso de retiro en cualquier momento después de diciembre de 2022. Al momento de escribir este artículo, aún no existe un método equivalente del SDK de la API de Microsoft Graph para deshabilitar o habilitar MFA por usuario.

Habilitar o deshabilitar valores predeterminados de seguridad en Azure AD

Otra forma de habilitar o deshabilitar MFA en Azure Active Directory es a través de los valores predeterminados de seguridad. Esta opción afecta a todos los usuarios de la organización y no se puede personalizar.

Nota. Obtenga información sobre cómo habilitar la autenticación de paso de Azure AD.

Microsoft proporciona un nivel de seguridad predeterminado para los arrendatarios de Azure AD. La siguiente configuración se aplicará cuando el valor predeterminado de seguridad esté activado en el arrendatario.

  • Requerir que todos los usuarios se registren para la autenticación multifactor de Azure AD.
  • Exigir a los administradores que realicen la autenticación multifactor.
  • Exigir a los usuarios que realicen la autenticación multifactor cuando sea necesario.
  • Bloqueo de protocolos de autenticación heredados.
  • Proteger actividades privilegiadas como el acceso a Azure Portal.

Fuente: Valores predeterminados de seguridad en Azure AD

Algunas organizaciones pueden considerar que los valores predeterminados de seguridad son suficientes, pero algunas pueden preferir personalizar sus políticas de seguridad.

Para ver la configuración predeterminada de seguridad actual en su arrendatario de Azure Active Directory, inicie sesión en el centro de administración de Azure Active Directory. Navegar a Directorio activo de Azure > Descripción general > Propiedades.

En la pestaña Propiedades, verá el estado de los valores predeterminados de seguridad. La siguiente imagen muestra el mensaje cuando los valores predeterminados de seguridad están desactivados.

acceso condicional deshabilitar mfa

Para habilitar, haga clic en el Administrar valores predeterminados de seguridad enlace, seleccione Activadoy haga clic en Ahorrar.

azul deshabilitar mfa

El estado de los valores predeterminados de seguridad cambia y ahora se aplica.

eliminar mfa de la cuenta de anuncios de Azure

Para deshabilitar los valores predeterminados de seguridad, haga clic en el Administrar valores predeterminados de seguridad enlace, seleccione Desactivadoseleccione un motivo de inhabilitación y haga clic Ahorrar.

azure ad eliminar mfa para el usuario

En el mensaje de confirmación, haga clic en Desactivar.

azure desactivar mfa para un usuario

Crear y aplicar una política de acceso condicional

El método más recomendado para aplicar MFA en Azure AD es el acceso condicional.

El acceso condicional es una característica de Azure Active Directory (Azure AD) que permite a los administradores aplicar condiciones específicas que deben cumplirse antes de que un usuario tenga acceso a recursos o aplicaciones. Permite a las organizaciones definir políticas de acceso en función de factores como la ubicación, el dispositivo, la aplicación o el nivel de riesgo de un usuario.

Con las políticas de acceso condicional, los administradores pueden definir reglas que restrinjan el acceso a los recursos según la identidad de un usuario o el estado de su dispositivo. Por ejemplo, se puede crear una política para exigir que todos los usuarios utilicen la autenticación multifactor.

Vamos a crear una política de acceso condicional que requiera MFA para los usuarios de Azure Active Directory con exclusiones opcionales.

Inicie sesión en el centro de administración de Azure AD y vaya a Directorio activo de Azure > Seguridad > Acceso condicional > Políticas.

Hacer clic Nueva política de la plantilla. Esta opción le permite elegir una plantilla para su póliza.

deshabilitar mfa requerido en azure ad

A continuación, seleccione el Requerir autenticación multifactor para todos los usuarios opción y haga clic Revisar + Crear.

deshabilitar mfa para un usuario en azure ad

Deje las opciones predeterminadas por ahora y haga clic en Crear.

Nota. No active la política todavía. Si lo hace, puede correr el riesgo de bloquear a sus usuarios y su cuenta.

deshabilitar mfa en azure

Haga clic en la nueva política para abrirla.

desactivar mfa azul

Ahora, agreguemos usuarios y grupos para excluirlos de la política. Es raro que la mayoría de las organizaciones no tengan exclusiones para MFA. Es posible que algunas cuentas, como las cuentas de servicio y de emergencia, deban excluirse del requisito de MFA.

Hacer clic Usuarios > Excluir. Agregue los usuarios y grupos para excluir y haga clic en Seleccionar.

cómo deshabilitar mfa en azure para un usuario

Notará que su cuenta ya se agregó a la exclusión cuando creó la política. Ahora, haz clic En bajo la Habilitar política sección y haga clic Ahorrar.

Nota. No se recomienda activar la política de acceso condicional sin observar primero su efecto en el modo Solo informe. Asegúrese de asignar suficiente tiempo para analizar el impacto de la política en los usuarios cuando realice esto en producción.

cómo eliminar mfa para un usuario en azure ad

El estado de la política de acceso condicional ahora está activado.

se requiere mfa en la desactivación de anuncios de Azure

Los usuarios se verán obligados a registrar sus métodos MFA si no lo han hecho anteriormente.

Conclusión

La autenticación multifactor (MFA) es una característica de seguridad esencial que toda organización debe habilitar para proteger sus datos y recursos confidenciales del acceso no autorizado. Azure Active Directory proporciona capacidades sólidas de MFA que son fáciles de configurar y administrar.

En esta publicación de blog, hemos discutido cómo habilitar y deshabilitar MFA en Azure Active Directory usando diferentes métodos. También hemos explorado la configuración de políticas de MFA y la administración de usuarios de MFA. Al seguir estas pautas, las organizaciones pueden fortalecer su postura de seguridad y reducir el riesgo de filtraciones de datos y ataques cibernéticos.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *