Protección de recursos en la nube con la autenticación multifactor de Microsoft Entra y AD FS

  • Artículo

Si su organización está federada con Microsoft Entra ID, use la autenticación multifactor de Microsoft Entra o los Servicios de federación de Active Directory (AD FS) para proteger los recursos a los que accede Microsoft Entra ID. Utilice los siguientes procedimientos para proteger recursos de Microsoft Entra mediante la autenticación multifactor de Microsoft Entra o Servicios de federación de Active Directory.

Nota:

Establezca la configuración del dominio federatedIdpMfaBehavior en enforceMfaByFederatedIdp (opción recomendada) o la de SupportsMFA en $True. La configuración de federatedIdpMfaBehavior invalida SupportsMFA cuando se establecen ambos.

Protección de recursos de Microsoft Entra con AD FS

Para proteger los recursos de la nube, configure una regla de notificaciones para que los servicios de federación de Active Directory emitan la notificación multipleauthn cuando un usuario realice correctamente la verificación en dos pasos. Esta notificación se pasa al identificador de Microsoft Entra. Siga este procedimiento para realizar los pasos:

  1. Abra Administración de AD FS.

  2. A la izquierda, seleccione Relaciones de confianza para usuario autenticado.

  3. Haga clic con el botón derecho en Plataforma de identidad de Microsoft Office 365 y seleccione Editar reglas de notificaciones.

    ADFS Console - Relying Party Trusts

  4. En Reglas de transformación de emisión, haga clic en Agregar regla.

    Editing Issuance Transform Rules

  5. En el Asistente para agregar regla de notificaciones de transformación, seleccione Pasar por una notificación entrante o filtrarla en la lista desplegable y haga clic en Siguiente.

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. Asigne un nombre a la regla.

  7. Seleccione Referencias de métodos de autenticación como tipo de notificación entrante.

  8. Seleccione Pasar a través todos los valores de notificaciones.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. Haga clic en Finalizar Cierre la consola de administración de AD FS.

Direcciones IP de confianza para usuarios federados

Las direcciones IP de confianza permiten a los administradores omitir la verificación en dos pasos para una dirección IP específica o para usuarios federados que tienen solicitudes que se originan dentro de su propia intranet. En las secciones siguientes se describe cómo configurar la omisión mediante direcciones IP de confianza. Esto se consigue configurando AD FS para usar un paso a través o filtrar una plantilla de notificación entrante con el tipo de notificación dentro de la red corporativa.

En este ejemplo se utiliza Microsoft 365 para las relaciones de confianza del usuario de confianza.

Configurar las reglas de notificaciones de AD FS

Utilice el procedimiento siguiente para configurar las notificaciones de AD FS. Cree dos reglas de notificaciones, una para el tipo de notificación dentro de la red corporativa y otra adicional para mantener a nuestros usuarios con la sesión iniciada.

  1. Abra Administración de AD FS.

  2. A la izquierda, seleccione Relaciones de confianza para usuario autenticado.

  3. Haga clic con el botón derecho en Plataforma de identidad de Microsoft Office 365 y seleccione Editar reglas de notificaciones…

    ADFS Console - Edit Claim Rules

  4. En Reglas de transformación de emisión, haga clic en Agregar regla.

    Adding a Claim Rule

  5. En el Asistente para agregar regla de notificaciones de transformación, seleccione Pasar por una notificación entrante o filtrarla en la lista desplegable y haga clic en Siguiente.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. En el cuadro situado junto al nombre de la regla de notificación, asigne un nombre a la regla. Por ejemplo: InsideCorpNet.

  7. En la lista desplegable, junto a Tipo de notificación entrante, seleccione Dentro de la red corporativa.

    Adding Inside Corporate Network claim

  8. Haga clic en Finalizar

  9. En Reglas de transformación de emisión, haga clic en Agregar regla.

  10. En el Asistente para agregar regla de notificaciones de transformación, seleccione Enviar notificaciones mediante regla personalizada en la lista desplegable y haga clic en Siguiente.

  11. En el cuadro situado bajo el nombre de la regla de notificación: escriba Mantener a los usuarios con la sesión iniciada.

  12. En el cuadro de regla personalizada, escriba:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. Haga clic en Finalizar

  14. Haga clic en Aplicar.

  15. Haga clic en Aceptar.

  16. Cierre Administración de AD FS.

Configurar las ID de confianza con autenticación multifactor de Microsoft Entra con usuarios federados

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Ahora que las notificaciones están listas, podemos configurar direcciones IP de confianza.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Acceso condicional>Ubicaciones con nombre.

  3. Desde la hoja Acceso condicional: ubicaciones con nombre, seleccione Configurar direcciones IP de confianza de MFA

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. En la página Configuración del servicio, en direcciones IP de confianza, seleccione Omitir autenticación multifactor para solicitudes de usuarios federados en mi intranet.

  5. Haga clic en Guardar.

Eso es todo. En este punto, los usuarios federados de Microsoft 365 solo deberán usar MFA cuando una notificación se origine fuera de la intranet corporativa.