Compartir a través de

Habilitar la autenticación multifactor (MFA) para la VPN de P2S: autenticación de Microsoft Entra ID

  • Artículo

Si quiere que se solicite a los usuarios un segundo factor de autenticación antes de conceder acceso, puede configurar la autenticación multifactor (MFA) de Microsoft Entra. Puede configurar MFA por usuario o bien aprovechar MFA a través del acceso condicional.

  • MFA por usuario puede habilitarse sin ningún costo adicional. Cuando habilita MFA por usuario, se solicita al usuario una autenticación de segundo factor en todas las aplicaciones vinculadas al inquilino de Microsoft Entra. Consulte la Opción 1 para ver los pasos.
  • El acceso condicional permite un control más específico sobre cómo se debe promover un segundo factor. Puede permitir la asignación de MFA únicamente a VPN, así como excluir otras aplicaciones vinculadas al inquilino de Microsoft Entra. Consulte la opción 2 para conocer los pasos de configuración. Para obtener más información sobre el acceso condicional, consulte ¿Qué es el acceso condicional?

Enable authentication (Habilitar autenticación)

  1. Vaya a Microsoft Entra ID -> Aplicaciones empresariales -> Todas las aplicaciones.
  2. En la página Aplicaciones empresariales - Todas las aplicaciones, seleccione VPN de Azure.

Configuración de las opciones de inicio de sesión

En la página VPN de Azure - Propiedades, configure las opciones de inicio de sesión.

  1. En ¿Habilitado para que los usuarios inicien sesión?, seleccione . Esta configuración permite que todos los usuarios del inquilino de AD se conecten correctamente a la VPN.
  2. En Asignación de usuarios necesaria, seleccione si quiere limitar el inicio de sesión solo a los usuarios que tienen permisos para la VPN de Azure.
  3. Guarde los cambios.

Opción 1: Acceso por usuario

Abrir la página de MFA

  1. Inicie sesión en Azure Portal.
  2. Vaya a Microsoft Entra ID -> Usuarios.
  3. En la página Usuarios - Todos los usuarios, seleccione MFA por usuario para abrir la página Autenticación multifactor por usuario.

Seleccionar usuarios

  1. En la página de la autenticación multifactor, seleccione los usuarios para los que quiera habilitar MFA.
  2. Seleccione Habilitar MFA.

Opción 2: Acceso condicional

Se recomienda habilitar y usar la autenticación multifactor Microsoft Entra con directivas de acceso condicional. Para conocer los pasos de configuración detallados, consulte el tutorial: Requerir autenticación multifactor.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.

  2. Vaya a Protección>Security Center>Acceso condicional, seleccione + Nueva directiva y, luego, Crear nueva directiva.

  3. En el panel Nueva, escriba un nombre para la directiva, como directiva de VPN.

  4. Rellene los siguientes campos:

    Campo Value
    ¿A qué se aplica esta directiva? Usuarios y grupos
    Asignaciones Usuarios específicos incluidos
    Incluir Seleccione usuarios y grupos. Active la casilla Usuarios y grupos
    Seleccionar Seleccione al menos un usuario o grupo

  5. En la página Seleccionar, busque y seleccione el usuario o grupo de Microsoft Entra al que desea que se aplique esta directiva. Por ejemplo, Usuarios de VPN y, luego, elija Seleccionar.

A continuación, configure las condiciones para la autenticación multifactor. En los pasos siguientes, configurará la aplicación cliente VPN de Azure para requerir la autenticación multifactor cuando un usuario inicie sesión. Para obtener más información, consulteConfigurar las condiciones.

  1. Seleccione el valor actual en Aplicaciones en la nube o acciones y, luego, en Seleccionar a qué se aplica esta directiva, compruebe que Aplicaciones en la nube está seleccionada.

  2. En Incluir, elija Seleccionar recursos. Puesto que aún no hay ninguna aplicación seleccionada, la lista de aplicaciones se abre automáticamente.

  3. En el panel Seleccionar, seleccione la aplicación Cliente VPN de Azure y, luego, Seleccionar.

A continuación, configure los controles de acceso para requerir la autenticación multifactor durante un evento de inicio de sesión.

  1. En Controles de acceso, seleccione Concedery, luego, Conceder acceso.

  2. Seleccione Requerir autenticación multifactor.

  3. Para varios controles, seleccione Requerir todos los controles seleccionados.

Ahora, active la directiva.

  1. En Habilitar directiva, seleccione Activar.

  2. Para aplicar la directiva de acceso condicional, seleccione Crear.

Pasos siguientes

Para conectarse a la red virtual, debe crear y configurar un perfil de cliente VPN. Consulte Creación de una conexión VPN de usuario P2S mediante Azure Virtual WAN: autenticación de Microsoft Entra.