Compartir a través de

Tutorial: Migración de directivas de inicio de sesión de Okta a Microsoft Entra acceso condicional

En este tutorial, aprenderá a migrar una organización desde directivas de inicio de sesión globales o de nivel de aplicación en El acceso condicional de Okta en Microsoft Entra ID. Las directivas de acceso condicional protegen el acceso de usuario en Microsoft Entra ID y las aplicaciones conectadas.

Más información: ¿Qué es el acceso condicional?

En este tutorial se asume que dispone de:

  • Inquilino de Office 365 federado en Okta para el inicio de sesión y la autenticación multifactor
  • Microsoft Entra servidor connect o agentes de aprovisionamiento en la nube de Microsoft Entra Connect configurados para el aprovisionamiento de usuarios para Microsoft Entra ID

Requisitos previos

Consulte las dos secciones siguientes para conocer los requisitos previos de licencia y credenciales.

Licencias

Hay requisitos de licencia si cambia del inicio de sesión de Okta al acceso condicional. El proceso requiere una licencia Microsoft Entra ID P1 para habilitar el registro para Microsoft Entra autenticación multifactor.

Más información: Asignación o eliminación de licencias en el Centro de administración de Microsoft Entra

Credenciales del administrador de empresa

Para configurar el registro de punto de conexión de servicio (SCP), asegúrese de que tiene credenciales de administrador de empresa en el bosque local.

Evaluación de las directivas de inicio de sesión de Okta para la transición

Busque y evalúe las directivas de inicio de sesión de Okta para determinar qué se pasará a Microsoft Entra ID.

  1. En Okta, vaya a Seguridad>Autenticación>Inicio de sesión.

    Captura de pantalla de las entradas de la directiva de inicio de sesión de MFA global en la página Autenticación.

  2. Vaya a Aplicaciones.

  3. En el submenú, seleccione Aplicaciones.

  4. En la lista Aplicaciones activas, seleccione la instancia conectada de Microsoft Office 365.

    Captura de pantalla de la configuración en Inicio de sesión para Microsoft Office 365.

  5. Seleccione Iniciar sesión.

  6. Desplácese hasta la parte inferior de la página.

La directiva de inicio de sesión de Microsoft Office 365 aplicación tiene cuatro reglas:

  • Exigir MFA para sesiones móviles : requiere MFA de sesiones modernas de autenticación o explorador en iOS o Android
  • Permitir dispositivos Windows de confianza - previene la comprobación innecesaria o las solicitudes de factor para dispositivos Okta confiables
  • Requerir MFA desde dispositivos Windows que no son de confianza : requiere MFA desde la autenticación moderna o las sesiones del explorador en dispositivos Windows que no son de confianza.
  • Bloquear la autenticación heredada : impide que los clientes de autenticación heredados se conecten al servicio.

La captura de pantalla siguiente es condiciones y acciones para las cuatro reglas, en la pantalla Directiva de inicio de sesión.

Captura de pantalla de las condiciones y acciones de las cuatro reglas, en la pantalla Política de inicio de sesión.

Configuración de directivas de acceso condicional

Configure las directivas de acceso condicional para que coincidan con las condiciones de Okta. Sin embargo, en algunos escenarios, es posible que necesite más configuración:

  • Ubicaciones de red de Okta en ubicaciones con nombre en Microsoft Entra ID
  • Confianza del dispositivo de Okta en el acceso condicional basado en dispositivos (dos opciones para evaluar los dispositivos de usuario):
    • Consulte la sección siguiente, Configuración de unión híbrida de Microsoft Entra para sincronizar dispositivos Windows, como Windows 10, Windows Server 2016 y 2019, con microsoft Entra ID.
    • Consulte la sección siguiente : Configuración del cumplimiento de dispositivos
    • Vea Uso de la unión híbrida de Microsoft Entra, una característica en el servidor de Microsoft Entra Connect que sincroniza dispositivos Windows, como Windows 10, Windows Server 2016 y Windows Server 2019, con Microsoft Entra ID.
    • Consulte Inscripción del dispositivo en Microsoft Intune y asignación de una directiva de cumplimiento.

Configurar la unión híbrida Microsoft Entra

Para habilitar Microsoft Entra unión híbrida en el servidor de Microsoft Entra Connect, ejecute el Asistente para configuración. Después de la configuración, inscriba dispositivos.

Nota

Microsoft Entra unión híbrida no se admite con los agentes de aprovisionamiento en la nube de Microsoft Entra Connect.

  1. Configure la unión híbrida de Microsoft Entra.

  2. En la página configuración de SCP , seleccione la lista desplegable Servicio de autenticación .

    Captura de pantalla de la lista desplegable Servicio de autenticación en el cuadro de diálogo Microsoft Entra Connect.

  3. Seleccione una dirección URL del proveedor de federación de Okta.

  4. Seleccione Agregar.

  5. Escriba sus credenciales de administrador de empresa local

  6. Seleccione Siguiente.

    Sugerencia

    Si ha bloqueado la autenticación heredada en los clientes de Windows en la directiva de inicio de sesión global o de nivel de aplicación, cree una regla que permita que finalice el proceso de Unión a Microsoft Entra híbrido. Permita la pila de autenticación heredada para los clientes de Windows.
    Para habilitar cadenas de cliente personalizadas en las directivas de aplicación, póngase en contacto con el Centro de ayuda de Okta.

Configurar la compatibilidad del dispositivo

Unión a Microsoft Entra híbrido es un reemplazo de la confianza de dispositivo Okta en Windows. Las directivas de acceso condicional reconocen el cumplimiento de los dispositivos inscritos en Microsoft Intune.

Directiva de cumplimiento de dispositivos

inscripción de Windows 10/11, iOS, iPadOS y Android

Si ha optado por implementar Unión a Microsoft Entra híbrido, puede implementar otra directiva de grupo para completar la inscripción automática de estos dispositivos en Intune.

Configuración Microsoft Entra configuración del inquilino de autenticación multifactor

Antes de realizar la conversión al acceso condicional, confirme la configuración base del inquilino del MFA de la organización.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como administrador de identidades híbridas.

  2. Vaya a Entra ID>Usuarios.

  3. Seleccione MFA por usuario en el menú superior del panel Usuarios .

  4. Aparece el portal de autenticación multifactor heredado Microsoft Entra. O bien, seleccione El portal de autenticación multifactor de Microsoft Entra.

    Captura de pantalla de la pantalla de autenticación multifactor.

  5. Confirme que no hay usuarios habilitados para MFA heredado: en el menú Autenticación multifactor, en el estado de autenticación multifactor, seleccione Habilitado y Forzado. Si el inquilino tiene usuarios en las siguientes vistas, deshabilítelos en el menú heredado.

    Captura de pantalla de la pantalla de autenticación multifactor con la característica de búsqueda resaltada.

  6. Asegúrese de que el campo Aplicado está vacío.

  7. Seleccione la opción Configuración del servicio .

  8. Cambie la selección Contraseñas de aplicación a No permitir que los usuarios creen contraseñas de aplicación para iniciar sesión en aplicaciones que no son de explorador.

    Captura de pantalla de la pantalla de autenticación multifactor con la configuración del servicio resaltada.

  9. Desmarque las casillas de verificación para omitir la autenticación multifactor para las solicitudes de usuarios federados en mi intranet y permitir que los usuarios recuerden la autenticación multifactor en los dispositivos en los que confían (entre uno y 365 días).

  10. Seleccione Guardar.

    Captura de pantalla de las casillas desactivadas en la pantalla Requerir dispositivos de confianza para el acceso.

    Nota

    Consulte Optimización de las solicitudes de reautenticación y descripción de la duración de la sesión para la autenticación multifactor de Microsoft Entra.

Compile una directiva de acceso condicional

Para configurar directivas de acceso condicional, consulte Procedimientos recomendados para implementar y diseñar el acceso condicional.

Después de configurar los requisitos previos y la configuración base establecida, puede crear la directiva de acceso condicional. La directiva puede estar dirigida a una aplicación, a probar un grupo de usuarios o a ambos casos.

Antes de comenzar:

  1. Inicie sesión en el Centro de administración de Microsoft Entra.

  2. Vaya a Entra ID>Acceso condicional.

  3. Para obtener información sobre cómo crear una directiva en Microsoft Entra ID. Consulte Directiva de acceso condicional común: Requerir MFA para todos los usuarios.

  4. Cree una regla de acceso condicional basada en la confianza del dispositivo.

    Captura de pantalla de las entradas para Requerir dispositivos de confianza para el acceso, en Acceso condicional.

    Captura de pantalla del cuadro de diálogo 'Mantener tu cuenta segura' con el mensaje de éxito.

  5. Después de configurar la directiva basada en ubicación y la directiva de confianza de dispositivos, bloquee la autenticación heredada con Microsoft Entra ID con acceso condicional.

Con estas tres directivas de acceso condicional, la experiencia de directivas de inicio de sesión de Okta original se replica en Microsoft Entra ID.

Inscripción de miembros piloto en MFA

Los usuarios se registran para los métodos de MFA.

Para el registro individual, los usuarios van al panel de inicio de sesión de Microsoft.

Para administrar el registro, los usuarios van a Microsoft My Sign-Ins | Información de seguridad.

Más información: Habilitar el registro de información de seguridad combinado en microsoft Entra ID.

Nota

Si los usuarios se registran, se le redirigirá a la página Mi seguridad , después de satisfacer MFA.

Habilitar directivas de acceso condicional

  1. Para probarlo, cambie las directivas creadas a Habilitado para el inicio de sesión del usuario de prueba.

    Captura de pantalla de las directivas en la pantalla Acceso condicional, Directivas.

  2. En el siguiente panel de inicio de sesión de Office 365 se pide al usuario de prueba John Smith que inicie sesión con MFA de Okta y autenticación multifactor de Microsoft Entra.

  3. Complete la comprobación de MFA mediante Okta.

    Captura de pantalla de la comprobación de MFA a través de Okta.

  4. Se solicita al usuario acceso condicional.

  5. Asegúrese de que las directivas están configuradas para desencadenar en MFA.

    Captura de pantalla de la comprobación de MFA mediante Okta en la que se solicita acceso condicional.

Agregar miembros de la organización a directivas de acceso condicional

Después de realizar pruebas en miembros piloto, agregue los miembros restantes de la organización a las directivas de acceso condicional, después del registro.

Para evitar la solicitud doble entre la autenticación multifactor de Azure y la MFA de Okta, anule la MFA de Okta mediante la modificación de las directivas de inicio de sesión.

  1. Vaya a la consola de administración de Okta

  2. Seleccione Autenticación de seguridad.>

  3. Vaya a Directiva de inicio de sesión.

    Nota

    Establezca directivas globales en Inactivo si todas las aplicaciones de Okta están protegidas por directivas de inicio de sesión de aplicaciones.

  4. Establezca la directiva Aplicar MFA en Inactiva. Puede asignar la directiva a un nuevo grupo que no incluya usuarios de Microsoft Entra.

    Captura de pantalla de la directiva de inicio de sesión de MFA global como inactiva.

  5. En el panel de la directiva de inicio de sesión a nivel de aplicación, seleccione la opción Regla deshabilitada.

  6. Seleccione Inactivo. Puede asignar la directiva a un nuevo grupo que no incluya usuarios de Microsoft Entra.

  7. Asegúrese de que hay al menos una directiva de inicio de sesión de nivel de aplicación habilitada para la aplicación que permite el acceso sin MFA.

    Captura de pantalla del acceso a la aplicación sin MFA.

  8. Se solicita a los usuarios el acceso condicional la próxima vez que inicien sesión.

Pasos siguientes