Qué son los pases de acceso temporal en Azure AD

Hace unos días les mostraba paso a paso cómo habilitar el inicio de sesión sin contraseñas en Azure AD. Ahora que ya sabemos cómo preparar nuestro tenant para soportar llaves de autenticación -como la YubiKey 5C NFC de Yubico- vamos a hablar de los pases de acceso temporal.

Pensando en el escenario ideal, donde la organización ya ha adoptado la autenticación sin contraseñas en un 100%, estos pases le permiten a los administradores devolverle al usuario el acceso a su cuenta para volver a registrar métodos de autenticación sin contraseña si ha perdido todos los que tenía registrados.

Lo primero que debemos hacer es habilitar la política de pases de acceso temporal en nuestro tenant. Para ello:

  1. Ingresamos a https://portal.azure.com/.
  2. Seleccionamos Azure Active Directory y luego Seguridad.
  3. Una vez allí seleccionamos Métodos de autenticación. Por defecto, Pase de acceso temporal estará deshabilitado.

4. Seleccionamos Pase de acceso temporal.

5. En el panel de configuración, cambiamos Habilitar a  y destino a Todos los usuarios (o Seleccionar usuarios en caso de querer restringir el acceso a esta funcionalidad a un grupo selecto de usuarios).

Desde aquí también podremos ajustar los parámetros de los pases, como la duración máxima y mínima, la duración predeterminada, la cantidad de usos de cada pase, y su longitud.

6. Por último, hacemos clic en Guardar.

Generar y probar

Vamos a suponer ahora que el usuario Alex Wilber se comunica con la mesa de ayuda porque perdió la única llave de autenticación FIDO2 que tenía asociada a su cuenta.

Para devolver a Alex el acceso a su cuenta, un administrador global o un administrador de autenticación deben abrir las propiedades del usuario en Azure AD y generar un pase de acceso temporal:

  1. Seleccionamos Métodos de autenticación en el panel de navegación izquierdo.
    NOTA: Si estamos utilizando la experiencia nativa de la página de métodos de autenticación, debemos hacer click primero en el banner Pruebe la nueva experiencia de métodos de autenticación de usuarios.
  2. Hacemos click en el botón Agregar método de autenticación.

3. Seleccionamos Pase de acceso temporal y configuramos los detalles del pase.

4. Por último, hacemos click en Agregar para visualizar el pase de acceso temporal y proporcionárselo a Alex. En este punto es una buena idea revocar los dispositivos que el usuario haya perdido.

Ahora que Alex ya cuenta con un pase de acceso temporal, debe dirigirse a https://aka.ms/mysecurityinfo y colocar su nombre de usuario.

En el siguiente paso, Azure AD le solicitará que ingreso su pase de acceso temporal.

Luego de validado el pase, Alex habrá recuperado el acceso a su cuenta y podrá agregar nuevos mecanismos de autenticación sin contraseñas.

Publicado por Pablo Alejandro Fain

Senior Cloud Engineer at Toyota Argentina. IT professional focused on Azure, Microsoft 365, Identity, and Cybersecurity. You can find me on Twitter as @FainPablo.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s