[Tutorial] Office 365 | Configuración de Autenticación Multi-Factor (Multi-Factor Authentication) para usuarios
El acceso seguro y confiable a las aplicaciones de Office 365 (correo, calendario, contactos, tareas, portal de colaboración, etc) es un aspecto que preocupa cada vez más a los administradores de IT y organizaciones.
Ya sea por la “desconfianza” inicial a la nube (quizás porque los procesos de autenticación y autorización no están “on-premise”) o porque han tenido experiencias (locales o en la nube) de accesos no autorizados por contraseñas “fáciles de adivinar”, este tema está presente en cada vez más charlas de pre-venta y workshops de presentación de estas herramientas de colaboración.
Office 365 provee una solución al respecto: la autenticación multi-factor integrada. A través de esta solución, los Administradores de IT y Organizaciones pueden fácilmente requerir a los usuarios agregar un factor adicional de autenticación (además del clásico usuario y contraseña).
En esta publicación vamos a conocer cómo activarlo y utilizarlo para una suscripción de Office 365.
[toc]
Introducción
Objetivo
Esta publicación tiene como objetivo demostrar a los Administradores de IT y organizaciones cómo pueden hacer uso de la autenticación multi-factor (multifactor authentication) para los usuarios de Office 365, en pos de brindar un mecanismo adicional de segurización durante el proceso de autenticación.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Alcance Técnico
Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el objetivo técnico, tecnologías alcanzadas, escenario de trabajo y plan de trabajo en alto nivel.
Objetivo Técnico
El objetivo técnico de este tutorial es:
- Configurar la activación de la autenticación multi-factor para un usuario de Office 365.
- Demostrar cómo configurar su primer uso.
- Demostrar cómo funciona en una autenticación vía web browser.
- Demostrar cómo configurar una contraseña de aplicación para, por ejemplo, Outlook.
Tecnologías Alcanzadas
Las tecnologías alcanzadas por esta publicación son las siguientes:
- Office 365.
- Outlook en Windows.
Escenario de Trabajo
El escenario de trabajo que da marco a esta publicación es el siguiente:
- Una suscripción activa de Office 365 con posibilidades de configurar autenticación multi-factor.
- Un equipo con Windows 8.1 e internet.
- Outlook instalado en el equipo.
Plan de Trabajo
El plan de trabajo a desarrollar en esta publicación es el siguiente:
- Repaso de Requisitos.
- Habilitación de la Autenticación Multi-Factor para uno o varioas usuarios.
- Configuración de la Autenticación Multi-Factor.
- Configuración de Primer Uso y Contraseña de Aplicación.
- Deshabilitación de la Autenticación Multi-Factor para uno o varios usuarios.
Desarrollo
Requisitos de Autenticación Multi-Factor en Office365
En la actualidad, Microsoft tiene tres “sabores” relacionados a la autenticación multi-factor en sus servicios online:
En nuestro caso, nos basta con tener la posibilidad de configurar Multi-Factor Autentication para Office 365 incluido en el SKU de nuestra suscripción (y justamente, es el ejemplo que vamos a desarrollar).
Habilitación de Autenticación Multi-Factor en Office 365
Vamos a mostrar los pasos necesarios para realizar la habilitación de la autenticación multi-factor para Office 365.
Habilitación Inicial
Existen dos formas de realizar la autenticación: por usuario o masiva.
Habilitación por Usuario
Para realizar la habilitación por usuario, vsmos ingresar al panel de control de Office 365 y en la solapa “Active Users” vamos a hacer clic en “Set Multi-factor authentication requirements”, en el link de “Set up”:
En la siguiente pantalla vamos a elegir el usuario al que queremos habilitarlo con esta funcionalidad y, una vez seleccionado, haremos clic en “Enable” al costado derecho:
El proceso nos pedirá confirmación sobre esta acción, la cual confirmamos haciendo clic en “Enable multi-factor auth”:
Aguardamos que el proceso finalice:
Y luego de la confirmación exitosa cerramos el cuadro:
De esta forma hemos confirmado la habilitación de la autenticación multi-factor para un usuario en particular.
Habilitación Masiva
Para una habilitación masiva, podemos seleccionar a más de un usuario desde el panel de control y elegir “Enable”.
Configuración Inicial de Autenticación Multi-Factor
Una vez habilitada la funcionalidad para uno o varios usuarios, llegó el momento de configurarla. La configuración, en forma predeterminada, la realiza cada usuario que se loguea en el sistema en su próximo inicio de sesión.
Configuración de Doble Factor
Vamos a ingresar a alguno de los servicios web de Office 365 con el usuario “pdiloreto” que fue configurado para utilizarse con esta funcionalidad:
Una vez ingresado el usuario y password (como se haría en cualquier otro inicio de sesión) nos aparecerá una pantalla que nos indicará que el administrador ha aprobado configurar para esta cuenta verificaciones adicionales. Allí hacemos clic en “Set it up now”:
Durante el proceso de configuración el sistema nospedirá un método para utilizar por defecto. En este sentido tenemos para elegir:
- Authentication Phone: teléfono al cual se recibirá un mensaje de texto o llamada.
- Office Phone: teléfono donde se recibirá un llamado.
- Mobile app: aplicación instalada en un Smartphone que generará un código aleatorio que debemos ingresar o autorizar desde esa misma aplicación para completar el inicio de sesión cada vez que éste sea requerido.
Las opciones comentadas son las siguientes:
En nuestro caso, vamos a utilizar (y recomendar) la aplicación telefónica (Mobile App):
Esta aplicación telefónica se descarga desde la tienda de Windows Phone, Android o iOS y se llama “Azure Authenticator”. En Android luce de la siguiente manera:
Desde el asistente que estamos utilizando vía web, tendremos un link directo para cada marca en la pantalla. Una vez instalada la aplicación, vamos a tener que utilizar el código QR en pantalla para capturar la inicialización y ponerlo en funcionamiento:
En el caso de Android el look & feel de la aplicación es la siguiente:
Como vemos remarcado en la imagen anterior en rojo, si hacemos clic en el código QR se nos habilitará la cámara para escanear el código de la pantalla del asistente:
Luego de dicho escaneo, el sistema avanzará hacia el siguiente paso:
Verificación de la Autenticación Doble Factor
Como medida adicional, el asistente nos pedirá confirmación de verificación para demostrar que el código generado ha funcionado:
Una vez que apretamos el botón de “Verify Now” notaremos que la web se quedará esperando una confirmación, que debería llegarnos a nuestro teléfono:
En nuestro teléfono, por otro lado, debería aparecer algo similar a lo siguiente:
Una vez autorizado el ingreso, la web lo confirmará:
Como medida adicional de resguardo (en el caso de pérdida de la aplicación) el sistema nos permitirá ingresar un número de teléfono celular:
Y por último, el sistema nos propondrá crear contraseña de aplicaciones para esta cuenta. Una contraseña de aplicación es una contraseña compleja creada para que aplicaciones que no soportan la autenticación multi-factor (como Outlook de Office) puedan loguearse y utilizar los servicios. En vez de utilizar la contraseña de la cuenta, se utilizará esta contraseña llamada de “Aplicación”:
Configuración de Contraseñas de Aplicación
Vamos a crear una contraseña de aplicación. Para ello hacemos clic en “Create”:
Nos pedirá un nombre de referencia para esta contraseña. Este nombre NO ES la contraseña, sino la forma de identificar para que la queremos utilizar. En nuestro caso vamos a llamarla “Outlook” porque la misma será utilizada para el Outlook:
Se generará la contraseña de aplicación automáticamente:
Y la podremos ver listada como una contraseña de aplicación en nuestro asistente:
Esta contraseña (que debemos anotar bien) será la utilizada por nuestro Outlook para iniciar sesión y descargar el correo electrónico por Outlook Anywhere. Podemos crear las contraseñas de aplicación que sean necesarias para conectarnos desde otros dispositivos que no soporten autenticación multi-factor.
Inicio de Sesión desde Windows Cliente por Navegador Web
Cuando iniciemos sesión a través de un navegador, debemos ingresar el clásico usuario y contraseña:
La web nos avisará que ha enviado un requerimiento de autenticación al dispositivo móvil que debemos aceptar para continuar:
En el caso que demoremos mucho en el proceso de aprobación, el sistema nos desplegará opciones adicionales para otros métodos de autenticación:
Estos métodos son los siguientes:
Utilizado alguno de ellos, podremos ingresar a nuestro portal o aplicación web de Office 365.
Reconfiguración de Dispositivos Windows / Phone
En el caso de dispositivos móviles y Windows, debemos utilizar las contraseñas de aplicación creadas en pasos anteriores e ingresarlas como una contraseña normal. Por ejemplo para Outlook:
Tan simple como ello, y ya estaremos consumiendo Office 365 desde la aplicación en cuestión.
Deshabilitación de Autenticación Multi-Factor en Office 365
Para deshabilitar la autenticación multi-factor, debemos ingresar a la misma pantalla desde la cual la configuramos, seleccionar al usuario al que queremos deshabilitarlo y elegir “Disable”.
Conclusiones
Hemos podido comprobar que la configuración de autenticación multi-factor de Office 365 es muy simple de configurar y, en unos pocos clics, la tenemos habilitada para uno o varios usuarios de la suite.
Claramente este tipo de autenticación es un valor agregado que nos permite segurizar y brindar mayores niveles de tranquilidad a usuarios críticos, dado que el ingreso está supeditado a algo que “tienen” o conocen estos usuarios. En nuestro ejemplo hemos utilizado la aplicación multi-factor de Azure, pero existen otros métodos como mensajes de texto o llamadas.
Esperamos que esta publicación les haya resultado de interés. ¡Hasta pronto!
Referencias y Links
- Multi-Factor Authentication for Office 365: https://msdn.microsoft.com/en-us/library/azure/dn383636.aspx
- Multi-Factor Authentication for Office 365: http://blogs.office.com/2014/02/10/multi-factor-authentication-for-office-365/
Acerca del Autor
Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Engineering Manager at MODO (https://modo.com.ar), the payment solution that allows you to connect your money and your world to simplify everyday life. Modo is a payment solution in which you can send, order and pay from your mobile device in the safest, most practical and convenient way. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.
Pablo, buen día. Soy usuario de office 365. He podido satisfactoriamente configurar el doble factor de autenticación contra llamada por teléfono desde Microsoft. Lo único que no me ha quedado claro es como configurar por ejemplo mi Tablet o BlackBerry ya que en ambos dispositivos, tengo activada la sincronización de contactos, calendario y el push de emails. Muchas gracias por tu respuesta