Iniciar sesión sin contraseña utilizando Microsoft Authenticator en servicios de O365 y Azure
Ahora tenemos la posibilidad de iniciar sesión sin contraseña cuando utilizamos cuentas de Azure AD, utilizando para ello su aplicación Microsoft Authentication App. Su funcionamiento es muy sencillo, una vez que hemos introducido la dirección de inicio de sesión lo siguiente no es solicitarnos nuestra contraseña, sino que nos mostrará un código que debe coincidir con el que nos llegue a la Microsoft Authentication App. El funcionamiento sería muy similar al utilizado con Windows Hello, pero esta vez utilizando la app de autenticación de Microsoft.
Su configuración es muy sencilla, sobre todo si ya tenemos la aplicación instalada y configurada en los usuarios finales, lo único que nos quedar por hacer es los siguiente:
- Configurar una política de autenticación de AzureAD
- Habilitar el inicio de sesión en el teléfono
La parte de crear una política de autenticación de AzureAd se tiene que hacer realizar vía PowerShell, claramente desde una cuenta con privilegios para ello. Pues bien, lo primero, conectarnos a Azure vía PowerShell: Connect-AzureAd y ejecutar el siguiente cmdlet:
New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition ‘{“AuthenticatorAppSignInPolicy”:{“Enabled”:true}}’ -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn
En la versión preview no hay forma de asignar la directiva a usuarios de forma individual, una vez creada la directiva se asigna a todos los usuarios.
Ahora nos toca configurar a nivel de usuario la aplicación Authenticator para que podamos iniciar sesión utilizando nuestro teléfono, el proceso es muy sencillo y rápido. Ya doy por hecho que tenemos la aplicación instalada/configurada para autenticar vía MFA (por lo menos yo). Una vez abierta la aplicación, tenemos que ir a la cuenta que queramos configurar para habilitar el inicio de sesión en el teléfono, pulsamos en la flecha que está a la derecha de la cuenta y pulsamos en Habilitar inicio de sesión en el teléfono:
Pulsamos en Continuar
Ahora nos solicita mis credenciales para habilitar dicha funcionalidad, en mi caso como tengo MFA pues me solicita primero los códigos de MFA:
Y listo, ya la tenemos configurada
Ahora toca probarlo, así que nos vamos al portal de Azure u Office 365 y tratamos de iniciar sesión: https://portal.azure.com y como vemos nos muestra un número que luego debemos seleccionar en la ventana que nos sale en el móvil (se ve claramente cual es la captura del móvil):
Como vemos es muy sencillo y más seguro/práctico que introducir nuestra contraseña cada vez que iniciemos sesión, eso si, debemos tener el teléfono cerca (hoy esto entiendo que no es un problema).
El único problema que le veo es que sólo podemos configurar el inicio de sesión en el teléfono en una cuenta en la aplicación de autenticación y esto en mi caso, es un problema, porque tengo varias cuentas. Como os muestro, si queremos configurar el inicio de sesión en el teléfono .. nos dirá que ya tenemos una cuenta registrada (la app de autenticación) en otra organización y no nos dejará:
Entiendo que esto no es lo normal y menos para el usuario final, así que, está muy muy bien esta nueva funcionalidad!!
Fermin Bernaus / 22 octubre, 2019
Estupendo artículo.
Llevo tiempo persiguiendo esta funcionalidad. Para quienes sólo tenemos directorio activo on premise y usamos azure ad connect para sincronizar con Office 365, ¿hay alguna alternativa? Si no estoy equivocado subir los controladores de dominio a servidores azure obliga a una suscripción de office 365 más cara. ¿Alguien conoce alguna alternativa? Gracias
Santiago Buitrago Reis / Autor / 22 octubre, 2019
Buenas tardes Fermín,
Esta funcionalidad es para autenticar contra servicios de O365 y/o aplicaciones registradas en Azure, también para acceso al portal de Azure. Para poder tener autenticación MFA mínimo necesitas el AzureAD Premium 1 mínimo (5,4€/Usuario/Mes). Si ya tienes tu Active Directory sincronizado con AzureAD, únicamente necesitas habilitarlo pagando previamente la licencia correspondiente. Para usuarios con el rol de Global Admin hace unos meses era gratuito, pero para el resto de usuarios hay que pagar.
Un saludo