Autenticación Sin Contraseña de Azure Active Directory y Windows 10 con FIDO2
Con el crecimiento de los ataques a nuestras cuentas de usuario, debemos buscar soluciones en el mercado que nos permitan securizar el acceso de nuestros inicios de sesión en diferentes plataformas. Es por ello que, llevemos años implementando soluciones de doble factor de autenticación y con MSFT concretamente tenemos varias opciones para iniciar sesión sin contraseña:
Los métodos de autenticación sin contraseña resultan más cómodos, ya que la contraseña se quita y se reemplaza por algo que se tiene (llave) más algo que se sabe (PIN). En el artículo de hoy, voy a mostraros como podemos implementar FIDO2 (Fast IDentity Online) para iniciar sesión en O365 + Azure + Windows 10 (Azure ADJoin). Aquí os dejo un enlace sobre FIDO2 en el que MSFT hablar con más nivel de detalle: https://docs.microsoft.com/es-es/azure/active-directory/authentication/concept-authentication-passwordless#fido2-security-keys.
En este caso, yo voy a utilizar una Security Key NFC (Security Key NFC by Yubico | Two Factor Security Key | USB-A & NFC) para configurar FIDO2 en Azure para mi usuario y que pueda ser utilizada en iniciar sesión en Office 365 y mi Windows 10 unido al dominio de Azure AD. Aquí os dejo las características soportadas por esta llave:
Inicialmente en cuanto a licencias no se requiere nada especial para configurar FIDO2, aquí os dejo un texto de MSFT donde lo deja “claro”:
No hay ningún costo adicional para la autenticación sin contraseña, aunque algunos requisitos previos pueden requerir una suscripción prémium. Para más información sobre las características y licencias, consulte la página de licencias de Azure Active Directory.
Una vez que ya más o menos tenemos claro que vamos a necesitar (AzureAD y Llave), veamos que de sencilla es su configuración. Lo primero que haremos será habilitar FIDO globalmente en AzureAD (usuarios y/o grupos) desde la sección de Seguridad dentro de la sección de Azure Active Directory desde el Portal de Azure:
Ahora pulsamos en Métodos de autenticación:
Una vez dentro de la sección de Métodos de autenticación, podemos ver todos los métodos disponibles y habilitados (o no). Entre ellos, tenemos la Llave de seguridad FIDO2 en la cual pulsamos para acceder a su configuración:
Marcamos la opción SÍ en la sección Habilitar, seleccionamos como destino a Todos los usuarios o usuarios específicos (será mi caso) y añadimos a los usuarios que queramos que puedan configurar FIDO2:
Si ahora pulsamos en Configure, tenemos opciones “avanzadas” de configuración:
- Permitir configuración de autoservicio: SI
- Exigir la atestación: No
Y con esto, inicialmente, tenemos suficiente por lo que pulsamos en Guardar:
Y en cuestión de segundos ya tenemos FIDO2 habilitado:
Antes de continuar, quiero comentamos una opción que no he comentado pero que me parece muy interesante en la sección de Configure de FIDO2: Restringir claves específicas. Esto nos permite definir clave de producto específicas por vendedor, de tal forma que evitaremos que nadie configure una llave para FIDO2 que no permitamos explícitamente de esta sección. Su configuración es muy sencilla habilitamos la exigencia de restricciones de clave y en mi caso voy a elegir permitir en la sección restringir claves específicas. De esta forma, solo voy a permitir las llaves de Yubikey:
Dichas claves las podéis obtener del listado que ofrece cada fabricante: https://support.yubico.com/hc/en-us/articles/360016648959-YubiKey-Hardware-FIDO2-AAGUIDs o bien desde la configuración de seguridad del perfil del usuario: https://mysignins.microsoft.com/security-info.
Una vez definida la configuración de permitir únicamente los AAGUID (Authenticator Attestation GUID) específicos, nos quedaría acceder al Información de seguridad de cada usuario para configurar el nuevo método de inicio de sesión. Para ello, accedemos a la siguiente URL: https://mysignins.microsoft.com/security-info, pulsamos en Agregar método y elegimos Llave de seguridad:
Una vez seleccionado, pulsamos en Agregar:
En este momento se iniciará un pequeño asistente de configuración de la llave, pulsamos en Siguiente:
Como hemos visto en la captura anterior, nos indica que debemos primero iniciar sesión con el doble factor de autenticación y una vez hayamos pulsado en siguiente (captura anterior) se iniciará el proceso de inicio de sesión forzando el utilizar el doble factor de autenticación. Yo en vez de escribir el código que va generando la aplicación de Microsoft Autenticator voy a elegir que quiero otro método de autenticación:
Indico que quiero Aprobar una solicitud en la aplicación Microsoft Authenticator (por comodidad nada más), para ello de los métodos que ya tengo habilitados para mi usuario elijo el que mejor me convenga:
Una vez que nos hayamos autenticado correctamente, nos indica el tipo de llave que vamos a configurar, en mi caso voy a elegir Dispositivo USB:
Ahora simplemente seguimos el asistente de configuración:
Las siguientes capturas son fotos de la pantalla de mi Surface hechas desde mi móvil (disculpad la escasa calidad de las mismas), pero bueno, se puede apreciar lo que nos va solicitando:
Creamos un PIN para el acceso a la llave:
Y ahora se queda pendiente de que “aprobemos” esa configuración:
Para completar el proceso, os muestro otra foto de mi Surface con la llave conectada y la parte que os selecciono iluminada a expensas de que pongamos el dedo encima:
Con esto, se da por finalizado el proceso y únicamente nos queda especificar un nombre para esta llave que hemos configurado ahora mismo.
Y listo, FIN de la configuración
Que nos quedaría ahora .. pues probarlo, para ello abrimos un nuevo navegador (en In-Private si queréis) y tratamos de iniciar sesión en Office 365. Ahora, se nos mostrará además de las opciones anteriores de inicio de sesión una nueva opción: Usar una llave de seguridad.
Nos solicitará el PIN de la llave el cual hemos configurado en el setup de la misma y pulsamos en Aceptar:
Volvemos a pulsar con el dedo en la llave
Y ya estamos dentro autenticados vía FIDO2:
Hasta aquí todo correcto, sencillo y muy útil, pero .. y si queremos habilitarlo para iniciar sesión en Windows 10 (versión 1903 o superior) y que tenemos en Intune??? Pues sencillo, primero desde Intune habilitaremos la siguiente opción de “Utilice las claves de seguridad para inicio de sesión” desde la configuración de Windows Hello para empresas en las opciones de Inscripción de dispositivos:
Nota: también se puede configurar para iniciar sesión en equipos en un entorno híbrido, pero no lo tengo como alcance a comentar en este artículo.
Y si todo está bien configurado y funcionando correctamente, cuando vayamos a iniciar sesión en nuestro Windows 10 (unido al dominio de AzureAD), tenemos habilitada la opción de iniciar sesión con Llave (las capturas son fotos hechas desde el móvil):
Introducimos el PIN y aceptamos el inicio de sesión:
Si ahora nos vamos el usuario en cuestión dentro del Portal de Azure, podemos ver los inicios de sesión y encontraremos que se ha iniciado sesión en Windows (Windows Sign In) con FIDO2:
Pues hasta aquí la configuración de nuestra llave de Yubico para iniciar sesión en O365 y Windows 10!! En próximos artículos iré mostrando más sistemas donde podemos utilizar FIDO2 (Google, Facebook, etc..)
Ahora, como siempre, os tocará probarlo a vosotros!!!