Cerrar
InicioAzureMicrosoft Azure: Forzar MFA filtrando por dispositivo mediante el Acceso Condicional

Microsoft Azure: Forzar MFA filtrando por dispositivo mediante el Acceso Condicional

A buen seguro que, para los que habéis habilitado MFA para vuestros usuarios los cuales utilizan AVD, os habéis encontrado la situación de que si publicáis aplicaciones y tenéis habilitado el MFA algún problema os habréis encontrado. La típica aplicación que luego quiere abrir nuestro Outlook para hacer envíos y le solicita al usuario la autenticación doble factor y .. no es para nada práctico.

Todos entendemos que el MFA es de las cosas más importante para “garantizar” la seguridad de nuestros usuarios, pero al igual que tenemos mecanismos para evitar que siempre se nos pida la autenticación de doble factor (sesiones vía DFS, IP Públicas, etc..) también buscamos en ocasiones el poder evitar la autenticación desde determinados dispositivos.

Voy a mostraros como podemos habilitar el MFA para los usuarios pero utilizando el acceso condicional, el cual, nos permitirá forzar MFA evitando que se aplique bajo determinadas condiciones. Bajo mi punto de vista esto es mejor que forzar el MFA por usuario directamente, puesto que ahí siempre les solicitará a los usuarios la doble autenticación a excepción de que excepcionemos la IP Pública, etc.. pero algo poco operativo y flexible. Con el acceso condicional podemos elegir cuando forzar el MFA a nivel de aplicaciones, ubicaciones de red, etc. y también dispositivos que es justo lo que vamos a ver ahora.

Antes de nada, os voy a dejar por aquí la infografía al respecto:

El objetivo de la siguiente configuración es evitar MFA en los dispositivos que nosotros queramos, eso si, esto hacerlo bajo la responsabilidad de tener una infraestructura de Firewall, EDR, etc.. lo suficientemente robusta para evitar problemas de seguridad por querer “esquivar” el MFA para los usuarios.

Antes de nada, aquí os dejo algunos artículos sobre MFA que he publicado con anterioridad, porque me voy a centrar exclusivamente en la configuración de exclusión de MFA por dispositivos:

Comentado esto, veréis lo sencillo que resulta habilitar MFA para nuestros usuarios utilizando las reglas de Acceso Condicional. Esto se resume en tres capturas de pantalla que os voy a mostrar a continuación:

  • Se aplica a todos los usuarios o grupos de usuarios [a vuestra elección]
  • Aplicaciones: lo suyo sería elegir Todas las aplicaciones de la nube, pero yo he elegido solo Exchange Online

Ahora en la condiciones habilitamos la sección Filtros para dispositivos y elegimos incluir o excluir los dispositivos filtrados por la directiva según más nos convenga:

Y por último, en el control de acceso elegimos Comprobación con MFA y Requerir uno de los controles seleccionados:

Listo, fácil y rápido!!! Con esto, ya tenemos habilitado MFA para los usuarios seleccionados para Exchange Online pero no en los equipos filtrados.

El acceso condicional nos da mucho juego, nos permite habilitar MFA sin forzarlo a nivel de usuario pero si a nivel de aplicación. Además, como se ha forzado el MFA por aplicación, ya se fuerza al usuario final a registrar los diferentes métodos de autenticación (Microsoft Authenticator, SMS, llamada de teléfono, Fido[Autenticación Sin Contraseña de Azure Active Directory y Windows 10 con FIDO2]), vamos, un todo en uno :-).

Espero que os sea de utilidad y a pensar que configuraciones podéis aplicar gracias al Acceso Condicional!!

Windows Firewall: Ap
Buenas Prácticas: U
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This