Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
En septiembre de 2022, Microsoft anunció la entrada en desuso del Servidor Multi-Factor Authentication de Azure. A partir del 30 de septiembre de 2024, las implementaciones del servidor Azure Multi-Factor Authentication ya no aservicion las solicitudes de autenticación multifactor (MFA). Los clientes de Azure Multi-Factor Authentication Server deben pasar a usar en su lugar proveedores de MFA personalizados o autenticación basada en tarjetas inteligentes o Windows Hello en AD.
Al configurar un rol de PAM, puede elegir cómo autorizar a los usuarios que solicitan activar el rol. Las opciones que implementa la actividad de autorización de PAM son:
- Aprobación del propietario de rol
- autenticación multifactor personalizada
Si ninguna de las comprobaciones está habilitada, los usuarios candidatos se activan automáticamente para el rol correspondiente.
Nota:
El enfoque pam con un entorno bastión proporcionado por MIM está diseñado para usarse en una arquitectura personalizada para entornos aislados en los que el acceso a Internet no está disponible, donde esta configuración es necesaria por regulación o en entornos aislados de alto impacto, como laboratorios de investigación sin conexión y tecnología operativa desconectada o control de supervisión y entornos de adquisición de datos. Si Active Directory forma parte de un entorno conectado a Internet, consulte Protección del acceso con privilegios en el punto de inicio.
Requisitos previos
Para usar la autenticación multifactor personalizada con MIM PAM, necesita:
- MIM configurado para la autenticación multifactor personalizada
- Números de teléfono de todos los usuarios candidatos.
Configuración de usuarios de PAM para la autenticación multifactor personalizada
Para que un usuario active un rol que requiera autenticación multifactor personalizada, el número de teléfono del usuario debe almacenarse en MIM. Hay dos formas de establecer este atributo.
En primer lugar, el New-PAMUser comando copia un atributo de número de teléfono de la entrada de directorio del usuario en el dominio CORP, en la base de datos del servicio MIM. Tenga en cuenta que se trata de una operación única.
En segundo lugar, el Set-PAMUser comando actualiza el atributo de número de teléfono en la base de datos del servicio MIM. Por ejemplo,el código siguiente reemplaza un número de teléfono existente de un usuario de PAM en el servicio MIM. La entrada de directorio no se modifica.
Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212
Configuración de roles de PAM para la autenticación multifactor
Una vez que todos los usuarios candidatos para un rol de PAM tienen sus números de teléfono almacenados en la base de datos del servicio MIM, el rol se puede configurar para requerir la autenticación multifactor personalizada. Esto se realiza mediante los New-PAMRole comandos o Set-PAMRole . Por ejemplo,
Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1
La autenticación multifactor se puede deshabilitar para un rol especificando el parámetro "-MFAEnabled 0" en el Set-PAMRole comando .
Solución de problemas
Los siguientes eventos pueden encontrarse en el registro de eventos de Privileged Access Management:
| ID | Gravedad | Generado por | Descripción |
|---|---|---|---|
| 101 | Error | MIM Service (Servicio MIM) | El usuario no completó la autenticación multifactor personalizada (por ejemplo, no respondió al teléfono). |
| 103 | Información | MIM Service (Servicio MIM) | El usuario completó la autenticación multifactor personalizada durante la activación |
| 825 | Advertencia | Servicio de supervisión de PAM | El número de teléfono ha cambiado. |