Iniciar sesión sin contraseña utilizando Microsoft Authenticator en servicios de O365 y Azure

Ahora tenemos la posibilidad de iniciar sesión sin contraseña cuando utilizamos cuentas de Azure AD, utilizando para ello su aplicación Microsoft Authentication App. Su funcionamiento es muy sencillo, una vez que hemos introducido la dirección de inicio de sesión lo siguiente no es solicitarnos nuestra contraseña, sino que nos mostrará un código que debe coincidir con el que nos llegue a la Microsoft Authentication App. El funcionamiento sería muy similar al utilizado con Windows Hello, pero esta vez utilizando la app de autenticación de Microsoft.

Su configuración es muy sencilla, sobre todo si ya tenemos la aplicación instalada y configurada en los usuarios finales, lo único que nos quedar por hacer es los siguiente:

• Configurar una política de autenticación de AzureAD
• Habilitar el inicio de sesión en el teléfono

La parte de crear una política de autenticación de AzureAd se tiene que hacer realizar vía PowerShell, claramente desde una cuenta con privilegios para ello. Pues bien, lo primero, conectarnos a Azure vía PowerShell: Connect-AzureAd y ejecutar el siguiente cmdlet:

New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition ‘{“AuthenticatorAppSignInPolicy”:{“Enabled”:true}}’ -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn

En la versión preview no hay forma de asignar  la directiva a usuarios de forma individual, una vez creada la directiva se asigna a todos los usuarios.

Ahora nos toca configurar a nivel de usuario la aplicación Authenticator para que podamos iniciar sesión utilizando nuestro teléfono, el proceso es muy sencillo y rápido. Ya doy por hecho que tenemos la aplicación instalada/configurada para autenticar vía MFA (por lo menos yo). Una vez abierta la aplicación, tenemos que ir a la cuenta que queramos configurar para habilitar el inicio de sesión en el teléfono, pulsamos en la flecha que está a la derecha de la cuenta y pulsamos en Habilitar  inicio de sesión en el teléfono:

Pulsamos en Continuar

Ahora nos solicita mis credenciales para habilitar dicha funcionalidad, en mi caso como tengo MFA pues me solicita primero los códigos de MFA:

Y listo, ya la tenemos configurada

Ahora toca probarlo, así que nos vamos al portal de Azure u Office 365 y tratamos de iniciar sesión: https://portal.azure.com y como vemos nos muestra un número que luego debemos seleccionar en la ventana que nos sale en el móvil (se ve claramente cual es la captura del móvil):

Como vemos es muy sencillo y más seguro/práctico que introducir nuestra contraseña cada vez que iniciemos sesión, eso si, debemos tener el teléfono cerca (hoy esto entiendo que no es un problema).

El único problema que le veo es que sólo podemos configurar el inicio de sesión en el teléfono en una cuenta en la aplicación de autenticación y esto en mi caso, es un problema, porque tengo varias cuentas. Como os muestro, si queremos configurar el inicio de sesión en el teléfono .. nos dirá que ya tenemos una cuenta registrada (la app de autenticación) en otra organización y no nos dejará:

Entiendo que esto no es lo normal y menos para el usuario final, así que, está muy muy bien esta nueva funcionalidad!!