Tutorial: Aplicación de la autenticación multifactor para usuarios invitados de B2B

  • Artículo

Al colaborar con los usuarios externos invitados de B2B, es una buena idea proteger sus aplicaciones con directivas de autenticación multifactor. Después, los usuarios externos necesitarán más de un nombre de usuario y una contraseña para acceder a los recursos. En Microsoft Entra ID, puede lograr este objetivo con una directiva de acceso condicional que precisa de MFA para el acceso. Las directivas de MFA se pueden exigir en el nivel de inquilino, aplicación o usuario invitado individual, del mismo modo que pueden habilitarse para miembros de la organización. El inquilino de recursos siempre es responsable de la autenticación multifactor de Microsoft Entra para los usuarios, incluso si la organización del usuario invitado tiene funcionalidades de autenticación multifactor.

Ejemplo:

Diagram showing a guest user signing into a company's apps.

  1. Un administrador o un empleado de la empresa A invita a un usuario invitado para usar una aplicación local o en la nube que está configurada para requerir MFA para el acceso.
  2. El usuario invitado inicia sesión con su identidad profesional, educativa o social.
  3. Al usuario se le pide que complete un desafío de MFA.
  4. El usuario configura su MFA con la empresa A y elegir su opción de MFA. El usuario puede tener acceso a la aplicación.

Nota:

La autenticación multifactor de Microsoft Entra se realiza en el inquilino de recursos para garantizar la previsibilidad. Cuando el usuario invitado inicie sesión, verá la página de inicio de sesión del inquilino de recursos en segundo plano, y su propia página de inicio de sesión del inquilino principal y el logotipo de la empresa en primer plano.

En este tutorial, aprenderá lo siguiente:

  • Probar la experiencia de inicio de sesión antes de la configuración de MFA.
  • Crear una directiva de acceso condicional que requiere MFA para acceder a una aplicación en la nube en su entorno. En este tutorial, vamos a usar la aplicación de Service Management API de Microsoft Azure para ilustrar el proceso.
  • Use la herramienta What If para simular el inicio de sesión con MFA.
  • Pruebe la directiva de acceso condicional.
  • Limpie el usuario de prueba y la directiva.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

Para completar el escenario de este tutorial, necesita:

  • Acceso a Microsoft Entra ID P1 o P2, que incluye funcionalidades de directiva de acceso condicional. Para exigir MFA, debe crear una directiva de acceso condicional de Microsoft Entra. En la organización siempre se aplican directivas de MFA, independientemente de si el asociado tiene funcionalidades de MFA.
  • Una cuenta válida de correo electrónico externa que puede agregar a su directorio de inquilino como un usuario invitado y usarla para iniciar sesión. Si no sabe cómo crear una cuenta de invitado, vea Incorporación de usuarios de colaboración B2B de Azure Active Directory en el Centro de administración de Microsoft Entra.

Creación de un usuario invitado de prueba en Microsoft Entra ID

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.

  2. Vaya aIdentidad>Usuarios>Todos los usuarios.

  3. Seleccione Nuevo usuario y después Invitar a un usuario externo.

    Screenshot showing where to select the new guest user option.

  4. En Identidad, en la pestaña Básicos, introduzca la dirección de correo electrónico del usuario externo. Opcionalmente, incluya un nombre y un mensaje de bienvenida.

    Screenshot showing where to enter the guest email.

  5. Opcionalmente, puede agregar más detalles al usuario en las pestañas Propiedades y asignaciones .

  6. Seleccione Revisar + invitar para enviar automáticamente la invitación al usuario invitado. Aparece un mensaje Usuario invitado correctamente.

  7. Después de enviar la invitación, la cuenta de usuario se agrega automáticamente al directorio como invitado.

Probar la experiencia de inicio de sesión antes de la configuración de MFA

  1. Use el nombre de usuario de prueba y la contraseña para iniciar sesión en el Centro de administración de Microsoft Entra.
  2. Debe poder acceder al Centro de administración de Microsoft Entra solo con sus credenciales de inicio de sesión. No se necesita más autenticación.
  3. Cierre la sesión.

Creación de una directiva de acceso condicional que requiere MFA

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.

  2. Vaya a Identidad>Protección>Security Center.

  3. En Proteger, seleccione Acceso condicional.

  4. En la página Acceso condicional, en la barra de herramientas de la parte superior, seleccione Crear nueva directiva.

  5. En la página Nuevo, en el cuadro de texto Nombre, escriba Requerir MFA para acceder al portal de B2B.

  6. En la sección Asignaciones, elija el vínculo situado en Usuarios y grupos.

  7. En la página Usuarios y grupos, elija Seleccionar usuarios y grupos y Usuarios externos e invitados. Puede asignar la política a diferentes tipos de usuarios externos, roles de directorio integrados o usuarios y grupos.

    Screenshot showing selecting all guest users.

  8. En la sección Asignaciones, elija el vínculo situado en Aplicaciones en la nube o acciones.

  9. Elija Seleccionar aplicaciones y, a continuación, elija el vínculo situado en Seleccionar.

    Screenshot showing the Cloud apps page and the Select option.

  10. En la página Seleccionar, elige Service Management API de Microsoft Azure y después haz clic en Seleccionar.

  11. En la página Nuevo, en la sección Controles de acceso, seleccione el vínculo situado en Conceder.

  12. En la página Conceder, elija Conceder acceso, marque la casilla Requerir autenticación multifactor y luego haga clic en Seleccionar.

    Screenshot showing the Require multifactor authentication option.

  13. En Habilitar directiva, seleccione Activar.

    Screenshot showing the Enable policy option set to On.

  14. Seleccione Crear.

Uso de la opción What If para simular el inicio de sesión

  1. En la página Acceso condicional | Directivas, seleccione What If.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. Seleccione el vínculo situado en Usuario.

  3. En el cuadro de búsqueda, escriba el nombre del usuario invitado de prueba. En los resultados de la búsqueda, elija el usuario y, a continuación, Seleccionar.

    Screenshot showing a guest user selected.

  4. Seleccione el vínculo situado en Cloud apps, actions, or authentication content (Aplicaciones en la nube, acciones o contenido de autenticación). Elija Seleccionar aplicaciones y, a continuación, elija el vínculo situado en Seleccionar.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. En la página Aplicaciones en la nube, en la lista de aplicaciones, elige Service Management API de Windows Azure y, a continuación, elige Seleccionar.

  6. Elija What If y compruebe que la nueva directiva aparezca en Resultados de la evaluación en la pestaña Directivas que se aplicarán.

    Screenshot showing the results of the What If evaluation.

Prueba de la directiva de acceso condicional

  1. Use el nombre de usuario de prueba y la contraseña para iniciar sesión en el Centro de administración de Microsoft Entra.

  2. Debería ver una solicitud para más métodos de autenticación. Tenga en cuenta que la directiva puede tardar algún tiempo en aplicarse.

    Screenshot showing the More information required message.

    Nota:

    También puede configurar opciones de acceso entre inquilinos para confiar en la autenticación multifactor desde el inquilino principal de Microsoft Entra. Esto permite que los usuarios externos de Microsoft Entra usen la autenticación multifactor registrada en su propio inquilino en lugar de registrarse en el inquilino del recurso.

  3. Cierre la sesión.

Limpieza de recursos

Cuando ya no sean necesarios, elimine el usuario de prueba y la directiva de acceso condicional de prueba.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Vaya aIdentidad>Usuarios>Todos los usuarios.
  3. Seleccione el usuario de prueba y después Eliminar usuario.
  4. Vaya a Identidad>Protección>Security Center.
  5. En Proteger, seleccione Acceso condicional.
  6. En la lista Nombre de la directiva, seleccione el menú contextual (…) de la directiva de prueba y después seleccione Eliminar. Seleccione para confirmar la acción.

Pasos siguientes

En este tutorial, ha creado una directiva de acceso condicional que requiere que los usuarios invitados usen MFA al iniciar sesión en una de las aplicaciones en la nube. Para obtener más información sobre cómo agregar usuarios invitados para la colaboración, consulte Agregar usuarios de colaboración B2B de Microsoft Entra en Azure Portal.