Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo hacer que la autenticación MFA para Office 365 sea más efectiva

[25/01/2020] La autenticación multifactor (MFA) es una herramienta clave para garantizar que su Office 365, y cualquier aplicación en línea, esté segura en la nube. Para aquellos con Microsoft 365, aquí hay algunos consejos para garantizar que proporcione la máxima protección a su implementación de Office 365 sin sacrificar la usabilidad.

Comience configurando la aplicación Microsoft Authenticator en aquellas cuentas que le solicitará a MFA. Recomiendo recorrer el proceso y, preparar capturas de pantalla y procedimientos exactos para los usuarios. Debe comenzar en el sitio de configuración, e iniciar sesión con sus credenciales.

Luego, debe descargar la aplicación Authenticator de la app store en Apple o Android, y agregar una cuenta de trabajo. Llegue a esta ubicación omitiendo las opciones de cuentas personales y de cuentas que no sean de Microsoft. Puede agregar varias cuentas de usuario de MFA a la aplicación Authenticator y, si es necesario, puede añadir la cuenta a otro dispositivo como respaldo. Una vez que haya configurado Microsoft Authenticator, podrá activar y aplicar MFA.

Configuración de cuentas "break glass

Si solicita la autenticación multifactor en toda su organización, incluyendo sus cuentas de administrador global, seguramente querrá asegurarse de tener acceso a sus cuentas de Azure y Office 365. Si los inicios de sesión de MFA tienen un problema, puede iniciar sesión y desactivar la función.

También puede decidir incluir en la lista blanca la ubicación de su empresa (o varias ubicaciones) y la IP estática, excluyéndolas de la MFA.

Comience iniciando sesión en su cuenta de Microsoft 365 y configure al menos dos cuentas "break glass. Conviértalas en administradores globales y use una herramienta de generación de contraseñas (o su herramienta para guardar contraseñas) para generar una larga y compleja. La cuenta puede admitir hasta 256 caracteres. Cree una contraseña de al menos 100. Luego, configure una política de acceso condicional que exija que la MFA excluya estas dos cuentas de la política.

Configuración de una cuenta "break glass.
MFA, autenticación, Office 365

Si tiene acceso a Azure Log Analytics, puede configurar una alerta para que se envíe cada vez que alguien inicie sesión en una cuenta "break glass. Sin embargo, el precio de este producto puede no funcionar para organizaciones más pequeñas.

Configure una política de acceso condicional que excluya estas cuentas de acceso de emergencia como señaló Microsoft siguiendo esta guía:

Primero, inicie sesión en el portal de Azure como administrador global, administrador de seguridad o administrador de acceso condicional. Vaya a "Azure Active Directory", luego a "Seguridad" y finalmente a "Acceso condicional". Ahí, seleccione "Nueva política"; asígnele un nombre -por ejemplo, "PERMITIR Solicitar MFA para administradores"; en asignaciones, elija "Usuarios y grupos"; y en "Incluir" escoja "Roles de directorio (vista previa)" y seleccione, como mínimo, los siguientes roles:

  • Administrador de facturación
  • Administrador de acceso condicional
  • Administrador de Exchange
  • Administrador global
  • Administrador del servicio de asistencia
  • Administrador de contraseña
  • Administrador de seguridad
  • Administrador de SharePoint
  • Administrador de usuarios
Excluir cuentas "break glass de MFA.
MFA, autenticación, Office 365

En "Excluir", seleccione "Usuarios y grupos" y elija el acceso de emergencia o las cuentas "break glass. En este ejemplo, configuré un grupo llamado "Excluido del Acceso Condicional".

Dele clic a "Listo". En "Aplicaciones o acciones en la nube" seleccione "Incluir", "Todas las aplicaciones en la nube" y "Listo". En "Controles de acceso", elija "Conceder", "Conceder acceso", "Solicitar autenticación multifactor" y "Seleccionar". Confirme su configuración y active la opción de "Habilitar política.

Seleccione "Crear" para crear y habilitar su política. Se le avisará, para estar seguros, de que desea aplicar esta política, ya que exigirá el uso de MFA. Asegúrese de que esta esté activada en la cuenta principal antes de habilitar esta política.

Es posible que también deba agregar cuentas de respaldo en la nube de terceros proveedores que usan contraseñas de aplicaciones en lugar de MFA. Asegúrese de que cualquier proveedor que solicite su exclusión de MFA cumpla con las políticas de contraseñas de aplicaciones o frases de contraseña largas.

Limite el inicio de sesión en estas cuentas "break glass a menos que sea una emergencia y solo inicie sesión en esta cuenta usando una estación de trabajo que sepa que está limpia y segura, o considere usar una máquina virtual configurada específicamente para este uso de emergencia, con el objetivo de garantizar que las credenciales no puedan ser cosechadas.

Marca de la empresa

Otra práctica recomendada que he tomado de las guías de prácticas recomendadas de seguridad de Alex Field es "marcar" la página de inicio de sesión con contraseña. Para marcar el proceso de la cuenta de Microsoft, vaya al Centro de Administración de Azure Active Directory y desplácese hacia abajo hasta llegar a la opción "Marca de la empresa. Suba un logo de la empresa en la imagen de fondo y en la del banner, y advierta a sus usuarios que no deben ingresar sus credenciales a menos que vean el logo corporativo.

Configure su marca personalizada.
MFA, autenticación, Office 365

Configurar su marca personalizada en Office 365 asegura que cuando sus usuarios inicien sesión en sus cuentas 365, usted pueda ayudarlos a tomar decisiones más inteligentes. En lugar de la página de inicio de contraseña normal de Microsoft, la página de inicio de sesión resultante informará mejor a sus usuarios de las páginas en las que pueden confiar.

Como puede ver desde arriba, la página resultante informa a sus usuarios de las páginas de confianza. Si es parte de una gran empresa estafada, puede considerar configurar una marca rotativa que se comunique con sus usuarios de forma regular.

Estas dos sugerencias ayudarán a proteger y asegurar tanto las cuentas de usuario como las de administrador para sus suscripciones de Office 365.