1.4K
Autenticación multifactor (MFA) en Microsoft 365 (por ejemplo, Office 365) es un método de autenticación que requiere que se use más de un factor para autenticar a un usuario. MFA proporciona seguridad adicional al realizar la autenticación de usuario. En este artículo, veremos cómo deshabilitar MFA en Microsoft 365 para varios usuarios o uno solo.
MFA en Microsoft 365 se basa en el servicio Azure Multi-Factor Authentication. Además de la contraseña, se recomienda a los usuarios de Microsoft 365 que utilicen uno (o varios) de los siguientes métodos de verificación de MFA:
- Confirmación con una contraseña de un solo uso a través de SMS mensaje;
- Confirmación de contraseña de un solo uso por parte de un llamada telefónica;
- Utilizando el Autenticador de Microsoft aplicación móvil (disponible en Google Play para Android y App Store para dispositivos iOS). En la aplicación Microsoft Authenticator, puede usar una contraseña de un solo uso (6 dígitos) para confirmar el inicio de sesión.
Importante. Microsoft recomienda que siempre use MFA para proteger las cuentas de usuario de ataques de phishing y contraseñas comprometidas.
Actualmente, MFA está habilitado de forma predeterminada para todos los nuevos inquilinos de Azure. Para permitir la desactivación de MFA para sus usuarios de Microsoft 365, debe desactivar los valores predeterminados de seguridad en Office 365 para su inquilino.
Nota. Valores predeterminados de seguridad es un conjunto de configuraciones de seguridad que están habilitadas de forma predeterminada para su inquilino de Microsoft 365 y todas las cuentas de usuario. Una de las opciones predeterminadas de seguridad de Azure habilitadas es que cada usuario y administrador debe asegurarse de configurar la autenticación multifactor en el primer inicio de sesión (aparece una solicitud para configurar MFA en cada inicio de sesión de usuario).
Para deshabilitar los valores predeterminados de seguridad en Azure:
- Vaya a Azure Portal https://portal.azure.com e inicie sesión con la cuenta de administrador global para su arrendatario;
- Ir a Directorio activo de Azure > Propiedades > hacer clic Administrar valores predeterminados de seguridad enlace;
- Aparecerá un interruptor Habilitar valores predeterminados de seguridad (Sí/No);
- Cambia su valor a No y especifique una de las razones por las que está deshabilitando este mecanismo de seguridad.
- Después de eso, ya no se les recordará a los usuarios cada vez que configuren la autenticación multifactor al iniciar sesión.
Ahora puede deshabilitar MFA para un usuario a través de la interfaz web del Centro de administración de Microsoft 365 o mediante PowerShell.
Deshabilitar MFA a través del portal del centro de administración de Microsoft 365
- Vaya al Centro de administración de Microsoft 365 (https://admin.microsoft.com/) e inicie sesión con una cuenta con permisos de administrador global de arrendatario;
- Vaya a Usuarios > Usuarios activos;
- Haga clic en Autenticación multifactor;
- Aparecerá una página con una lista de usuarios en su inquilino de Microsoft 365 y el estado de MFA para cada uno de ellos (esta ventana no muestra si el usuario completó el proceso de MFA y no indica qué opción de autorización de MFA habilitó el usuario). );
- Para deshabilitar MFA para un usuario, haga clic en él;
- Aparecerán varios botones en la columna de la derecha (Pasos rápidos) que le permitirán habilitar, deshabilitar MFA o configurar los ajustes del usuario;
- Haga clic en Desactivar y confirme para deshabilitar MFA para el usuario.
Sobre el Configuración del servicio pestaña, puede configurar opciones adicionales de MFA.
Aquí puedes:
- Agregue una lista de subredes IP de confianza, que los usuarios no necesitan para usar MFA;
- Habilitar/deshabilitar ciertos métodos MFA;
- Permita que los usuarios recuerden la autenticación multifactor en los dispositivos en los que confían (entre uno y 365 días).
¿Cómo deshabilitar MFA en Microsoft 365 con PowerShell?
Puede habilitar o deshabilitar MFA para un usuario de Microsoft 365 (Office 365) mediante PowerShell. Para realizar esta tarea, debe usar el módulo MSOnline PowerShell.
Compruebe si el módulo MSOnline está instalado en su computadora:
Get-Module -Name MSOnline
Si falta el módulo, instálelo:
Install-Module MSOnline
Conéctese a su inquilino de Microsoft 365:
$MSOCred = Get-Credential Connect-MsolService -Credential $MSOCred
Pista. El cmdlet Get-MsolUser se usa en el módulo MSOnline para obtener los detalles de la cuenta de usuario.
Para verificar si MFA está habilitado o deshabilitado para un usuario específico, ejecute los comandos:
$user=Get-MsolUser –UserPrincipalName [email protected] $user| select DisplayName,UserPrincipalName,@{N="MFA Status"; E={ if( $_.StrongAuthenticationMethods.IsDefault -eq $true) {($_.StrongAuthenticationMethods | Where IsDefault -eq $True).MethodType} else { "Disabled"}}}
En este ejemplo, MFA está habilitado para el usuario a través de la aplicación móvil Microsoft Authenticator (PhoneAppNotification).
Pista. Se puede habilitar uno de los cuatro métodos MFA para el usuario:
-
TeléfonoAplicaciónOTP
-
PhoneAppNotificación
-
SMS unidireccional
-
DosVíasVozMóvil
Para mostrar el estado de MFA para todos los usuarios de inquilinos de Microsoft 365, ejecute:
$users= Get-MsolUser -all $users| select DisplayName,UserPrincipalName,@{N="MFA Status"; E={ if( $_.StrongAuthenticationMethods.IsDefault -eq $true) {($_.StrongAuthenticationMethods | Where IsDefault -eq $True).MethodType} else { "Disabled"}}}|Format-Table
Este script de PowerShell devuelve el estado de MFA = Deshabilitado si el usuario no está configurado o MFA está deshabilitado. Si MFA está habilitado, este campo indica qué método de autenticación está configurado para el usuario.
Para deshabilitar MFA para un usuario específico, ejecute el comando:
Get-MsolUser -UserPrincipalName [email protected]| Set-MsolUser -StrongAuthenticationRequirements @()
Para deshabilitar MFA para todas las cuentas de usuario de Microsoft 365:
Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements @()
En este artículo, asumimos que administra MFA por usuario (MFA por usuario) y no utiliza el acceso condicional de Azure. Si tiene una licencia de Azure AD Premium plan 1 o 2, puede configurar Azure MFA mediante políticas de acceso condicional de Azure (Azure portal > Políticas de acceso condicional).
Aquí puede crear y configurar políticas de seguridad avanzadas con MFA. Por ejemplo, puede aplicar MFA para los administradores globales o deshabilitar MFA para una cuenta específica (que se usan en aplicaciones heredadas que no admiten MFA).