Identificación y autenticación

Estudia los conceptos de identificación y autenticación en Office 365: la identificación como

medio para que los usuarios puedan asegurar su identidad (a través de cuentas de usuario); y la
autenticación, como método para demostrar esa identidad. Describe la configuración necesaria en
un entorno híbrido a través de la herramienta Azure AD Connect y demuestra la forma de
implementar los inicios de sesión único y la autenticación multifactor. Contenido:
1. Introducción.
2. Azure Active Directory.
3. Modelos de identificación.
4. La herramienta Azure AD Connect.
5. Inicio de sesión único (SSO).
6. Autenticación multifactor (MFA)

1. INTRODUCCIÓN
Una de las tareas más importantes que tiene el administrador de Office 365, sobre todo al
principio, es establecer los medios necesarios para asegurar la identidad de los usuarios que
acceden al servicio. En la mayoría de los casos, esto significa establecer la base de datos de
usuarios que estarán autorizados a utilizar dicho servicio (es decir, establecer identidades) y
proporcionar los métodos para que dichos usuarios puedan demostrar su identidad (es decir,
establecer los métodos de autenticación). Estos asuntos se pueden ver al estudiar Office 365,
pero en una empresa normalmente ya se habrán tratado, existiendo una base de datos de usuarios
para acceder a las aplicaciones empresariales o simplemente a la red empresarial. Así pues, en un
entorno empresarial basado en Windows, será habitual que la empresa haya distribuido sus
equipos y usuarios bien en una configuración de grupos de trabajo o, si es una empresa de cierta
entidad, en un dominio de Windows Server. Por ello, en muchos casos la empresa ya dispondrá
de un sistema de usuarios. Pues bien, al trasladar este asunto a Office 365 nos podemos encontrar
entonces con dos escenarios:
Que la empresa quiera utilizar esas cuentas de usuario que ya tiene para poder identificar a
los usuarios que utilizarán Office 365.
Que la empresa no quiera o no disponga de esas cuentas de usuario, por lo que la
identificación se realizará creándolas en el propio servicio de Office 365.
Elegir entre una opción u otra es una decisión que se debe tomar al principio de la configuración
de Office 365, ya que posteriormente será difícil cambiarla. Por ello, se deben considerar las
opciones que tenemos para determinar cuáles son las que mejor se adaptan a nuestras
necesidades.
Ese es el propósito de esta lección.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

2. AZURE ACTIVE DIRECTORY

Office 365 se basa en Azure Active Directory para configurar su base de usuarios y
autenticación. Azure Active Directory es la versión "online" del ya veterano sistema de directorio
de la familia Windows Server. Cuando creamos un dominio en Windows Server estamos
utilizado el servicio de directorio Active Directory para ello. Pues bien, ese sistema de
directorio pasa a ser Azure Active Directory cuando se proporciona a través de los servicios en
la nube de Microsoft.
Una suscripción a Office 365 incluye también el servicio de Azure Active Directory (a partir de
ahora simplemente Azure AD), ya que el sistema de identidades y autenticación se basa en él.
Cuando creamos usuarios y grupos, realmente los estaremos creando en el servicio de Azure
AD, aunque lo hagamos desde el centro de administración de Office.
Por ello, si necesitamos configurar algo más de este servicio, necesitaremos acceder a su centro
de administración.
Pulsa en Mostrar todo en el menú de la izquierda. Y ahora en Centros de administración.
Pulsa en el enlace al centro de administración de Azure Active Directory.
Aquí lo vemos. La suscripción a un plan de Office 365 incluye el servicio de Azure AD, aunque
no con todas las posibilidades del mismo.
Por ello, en ocasiones veremos que en este centro de administración se nos indica que deberemos
ampliar la suscripción si queremos utilizar una característica no incluida en el plan que hemos
contratado de Office 365.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Bueno, pues presentados los dos asuntos que vamos a estudiar: identidades y autenticación; así
como el componente de software que se encarga de ello (Azure AD), vamos a empezar a ver las
posibilidades que tenemos.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

3. MODELOS DE IDENTIFICACIÓN
Dentro de los modelos de identificación que tenemos disponibles en Office 365 encontramos
tres principales:
Identidades que existen solo online.
Identidades sincronizadas.
Identidades federadas.
Y una nueva opción que recoge ventajas de los dos últimos, la Autenticación de paso a través
(PTA).
Identidades que existen solo online:
Es decir, las cuentas de usuario se crean exclusivamente en el tenant de Office 365 (ya sabemos
que a través de Azure Active Directory).
Esto significa que los usuarios tienen una cuenta de usuario en Office 365 distinta a la que
puedan tener en su red empresarial.
Este escenario podría ser válido en una pequeña empresa, donde solo algunos usuarios tienen
que tener acceso a los servicios de Office 365, por lo que disponer de dos cuentas de usuario
(con sus correspondientes contraseñas) no es demasiado molesto para ellos.
Por lo tanto, en este escenario es Azure AD el que autentica al usuario, como hemos visto hasta
ahora.
Identidades sincronizadas:
Es decir, que las cuentas de usuario de la red empresarial (del dominio de Active Directory) se
sincronizan con las cuentas que se utilizan en Office 365 (en Azure AD). Normalmente esto
incluye sincronizar las contraseñas de esas cuentas, pero no es obligatorio.
Eso tiene la ventaja de que el usuario solo tiene que recordar y utilizar una cuenta para acceder
tanto a los recursos de la red empresarial como a los servicios que utiliza en Office 365. La
autenticación se sigue haciendo en el Azure AD en este caso, que mantiene una copia
sincronizada de la base de datos.
Identidades federadas:
En este escenario se utiliza un tercer servicio para autenticar a los usuarios. Estos tienen una
única cuenta que se almacena on-premises, por lo que es Active Directory (a través de un
componente especial) el que determina si un usuario se autentica con éxito o no para utilizar
Office 365.
Este escenario es el que ha sido elegido por muchas empresas que desean tener la base de datos de
los usuarios en sus servidores y no en la nube de Microsoft. Además, les ha permitido forzar
políticas de seguridad, como: cuándo tienen que cambiar las contraseñas los usuarios, establecer
requisitos de complejidad de las contraseñas que utilizan los usuarios, establecer horarios
Copyright © Computer Aided Elearning, S.A.
 Identificación y autenticación

permitidos y prohibidos de inicio de sesión, etc. Sin embargo, se trata de una configuración de
complejidad alta al tener que trabajar con distintos componentes. Por una parte, tenemos el
componente de la nube, Azure AD; por otra, el componente on-premises, Active Directory; y,
finalmente, el tercer componente que facilita la autenticación, como puede ser los Servicios de
Federación de Active Directory.
Autenticación de paso a través:
Microsoft ha añadido una cuarta opción llamada "Autenticación de paso a través" (Pass-
through Authentication), que permite obtener los requerimientos de seguridad de las identidades
federadas con una configuración mucho más sencilla.
Utilizado Autenticación de paso a través, los usuarios se validan únicamente en los servidores
locales (on-premises), por lo que Azure AD tampoco mantiene la información de las cuentas de
usuario.
Lo que ocurre es que cuando un usuario se valida en Office 365 y está activado este modo,
Azure AD preguntará al correspondiente Active Directory local si ese usuario es válido.
En función de la respuesta que reciba, le permitirá acceder al servicio o no.
Es un resultado parecido al que se obtiene con las identidades federadas, pero sin la necesidad de
configurar ningún intermediario ni servicio de federación de terceros, por lo que la configuración
es mucho más sencilla.
En el caso del modelo de identidades solo online no se requiere nada más que crear las cuentas
de usuario a través del centro de administración de Office o de Azure AD.
Por ello, veremos más tarde cómo hacerlo, ya que elegiremos este modelo para el curso.

Si se utiliza uno de los modelos en los que se implica un directorio on-premises de

Active Directory, entonces tenemos un escenario híbrido, ya que por una parte
tenemos las identidades online de Azure Active Directory y, por otra, las propias del dominio
de Active Directory.

Sin embargo, para los otros casos, es necesario utilizar una aplicación pensada expresamente para
facilitar el trabajo entre los servicios on-premises y en la nube. Esta aplicación es Azure AD
Connect.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

4. LA HERRAMIENTA AZURE AD CONNECT

Azure AD Connect se ejecuta en uno de los servidores locales de Windows Server para
configurar bien la sincronización, bien la federación o bien la Autenticación de paso a través.
Pulsa en el enlace Sincronizar usuarios y grupos del directorio local a Azure AD, en el
apartado Recomendado.
A través de esta página tenemos acceso a descargar la herramienta Azure AD Connect, que es la
única autorizada por Microsoft para realizar esta tarea.

Pulsa en Descargar Azure AD Connect.

Pulsa en el botón Download.
Pulsa en Guardar.
Por lo tanto, ahora deberíamos ejecutar esta aplicación en uno de los servidores con Windows
Server que mantenga el directorio de Active Directory.
Pues eso es lo que hemos hecho. Ahora estamos en un equipo con Windows Server que es
controlador de un dominio de Active Directory.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Lo que queremos es ejecutar la herramienta Azure AD Connect para configurar el entorno

híbrido entre una instalación de Office 365 con su servicio Azure AD y esta instalación on-
premises de Active Directory.
En la pantalla de bienvenida de Azure AD Connect se nos describe para qué se utiliza esta
herramienta. Lo único que tenemos que hacer es aceptar los términos de licencia y el aviso de
privacidad.
Activa la correspondiente casilla y pulsa en Continuar.
Ahora tenemos la opción de usar la configuración rápida o de personalizar lo que queremos
hacer.
La configuración rápida utilizará el método de identidades sincronizadas, incluyendo no solo las
cuentas sino también sus contraseñas. Si ese es el método que deseas utilizar, es suficiente con
elegir esta configuración rápida.
Pero veamos cómo podríamos configurar cualquiera de las opciones disponibles que hemos
mencionado.
Pulsa en Personalizar.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Si queremos elegir las cuentas de usuario de Active Directory a sincronizar o enlazar,

deberemos activar la opción Especificar grupos de sincronización personalizados.
Si queremos que el proceso afecte a todas las cuentas de usuario, no hace falta activar esta
opción.

En este paso podríamos configurar otros aspectos de la instalación de la propia aplicación Azure
AD Connect en los que no nos vamos a parar ahora.
Pulsa en Instalar sin activar ninguna de las opciones.
En este paso es dónde realmente podemos ver las opciones que tenemos a nuestra disposición:

Sincronización de hash de contraseñas.

Se trata del método de sincronizar las identidades en las que Azure AD recibe también las
contraseñas de las cuentas de usuario.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Es importante saber que realmente no se sincronizarán las contraseñas en sí sino un hash o

codificación de esas contraseñas.
De esta forma, no se envían mediante Internet las contraseñas de los usuarios sino su
codificación, que es la que realmente utilizará Azure AD para autenticar a los usuarios.
Autenticación de paso a través.
Se trata de la opción más moderna en la que la base de datos de usuarios sigue residiendo en los
servidores locales (on-premises), pero con una configuración mucho más sencilla.
El propósito de Microsoft es que se utilice esta opción en lugar de la federación, que siempre
implica una configuración más compleja y difícil de administrar.
Federación con AD FS.
Se trata de la opción de identidades federadas utilizando los Servicios de Federación de Active
Directory.
Federación con PingFederate.
Se trata de otra opción de identidades federadas utilizando un servicio de terceros.
Por lo tanto, lo que habría que hacer aquí es elegir el método que queremos implementar en el
escenario híbrido entre Azure AD y Active Directory on-premises.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

5. INICIO DE SESIÓN ÚNICO (SSO)

La verdad es que todo esto es bastante complejo, pero podrás comprobar que la herramienta
Azure AD Connect facilita mucho el proceso.
Lo importante es entender qué opciones tenemos y, sobre todo, qué implica cada una de ellas.
Pues todavía queda un aspecto importante que nos permite configurar esta herramienta. Se trata
de la posibilidad de crear lo que se conoce como un "Inicio de sesión único" o SSO. La idea es
que el usuario solo tenga que autenticarse una vez cuando inicie sesión en la red empresarial y,
que, a partir de ese momento, pueda acceder tanto a los servicios de la red local como a los
servicios de Office 365. Por ejemplo, cuando el usuario inicia sesión en un equipo que pertenece
a un dominio de Windows, tiene que introducir su nombre de usuario y contraseña en la pantalla
de identificación de Windows.

SSO es compatible con la Autenticación multifactor que después veremos.

Pues bien, una vez se ha autenticado correctamente, ya no tendrá que volver a hacerlo en Office
365. Normalmente esta es una buena opción para facilitar el trabajo de los usuarios. Y es que, si
no la habilitamos, entonces los usuarios tendrán que volver a introducir sus credenciales de
Active Directory al acceder a Office 365, aunque se trate de la misma cuenta en ambos casos.
Marca la casilla Habilitar el inicio de sesión único.
Por lo tanto, ahora tendríamos configurado un método de sincronización con hash de
contraseñas e inicio de sesión único.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Pulsa en Siguiente.
Ahora ya empieza el proceso. Lo primero es identificarnos en Azure AD.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Haz clic en el campo NOMBRE DE USUARIO y escribe: admin@office365-course.com

Introduciré la contraseña por ti...
Pulsa en Siguiente.
Y ahora tendríamos que hacer lo propio con el directorio de Active Directory.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Introduciendo las credenciales de un usuario administrador tanto de Azure AD como de Active

Directory on-premises, la herramienta podrá completar la sincronización de usuarios en ambos
directorios.
No vamos a continuar, cierra la ventana de Azure Active Directory Connect.
Pulsa en el botón Sí.
Por sencillez, vamos a mantener un escenario en el que las cuentas de usuario serán únicamente
online, es decir, creadas a través del servicio Azure AD que está incluido en Office 365.
Pero ya sabes cómo deberías actuar si quisieras configurar un entorno híbrido de identificación y
autenticación.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

6. AUTENTICACIÓN MULTIFACTOR (MFA)

Finalizaremos el estudio que hemos hecho de las identidades y la autenticación en Office 365
conociendo lo que se conoce como Autenticación multifactor (MFA), que cada vez se utiliza
más para conseguir un entorno de alta seguridad. La idea es sencilla, se basa en que para
autenticar un usuario se requerirá de al menos dos de los siguientes métodos de verificación:
Algo que conoce el usuario (habitualmente una contraseña, pero también podría ser un
PIN).
Algo que tiene el usuario (por ejemplo, un móvil donde poder enviar un mensaje de texto,
realizar una llamada de comprobación o ejecutar una aplicación de seguridad; pero también
podría ser una tarjeta inteligente).
Algo del propio usuario (donde entra cualquier característica biométrica, como la huella
digital o la lectura del iris de los ojos, reconocimiento facial, etc.).
Así pues, configurando la Autenticación multifactor, ya no será suficiente con conocer la
contraseña de una cuenta de usuario, sino que el usuario tendrá que pasar un segundo control de
seguridad para ser autenticado con éxito. Podemos configurar la Autenticación multifactor
desde el Centro de administración de Microsoft 365 o desde el propio de Azure AD.
Veámoslo en este último caso. Pulsa en el apartado Usuarios del menú de la izquierda.

Próximamente veremos cómo crear usuarios y grupos.

Aquí vemos que tenemos ya tres usuarios de Office 365, siendo el Administrador global el que
se creó durante la configuración del tenant de Office 365 y el único que hemos utilizado hasta el
momento. Además, en la columna ORIGEN podemos comprobar que se trata de identidades
online. Fíjate que se indica que el origen en los tres casos es Azure Active Directory y no un
directorio local.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Pues desde aquí puedes configurar la Autenticación multifactor, que es una característica que se
puede establecer para cada usuario de forma particular.
Pulsa en los tres puntos que aparecen a la izquierda de la palabra Más.
Elige Multi-Factor Authentication.
Por ejemplo, vamos a habilitarla para el tercer usuario, de nombre Prueba.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Activa la casilla a la izquierda del usuario Prueba.

Pulsa en Habilitar.
Confirma la acción pulsando en habilitar multi-factor auth.
Pulsa en Cerrar.
Una vez habilitada la autenticación multifactor para este usuario en particular, veamos cómo
funciona.

Esta característica del navegador Microsoft Edge es similar a la navegación de

incógnito de Chrome o privada de Firefox.

Para ello, iniciaré sesión con esa cuenta de usuario, pero lo haré en una ventana InPrivate del
navegador para que no detecte que tengo una sesión iniciada con la cuenta del Administrador
global.
Pulsa en los tres puntos del menú del navegador. Están en la parte superior derecha de la
ventana.
Elige Ventana InPrivate nueva.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Escribe portal.office.com y acepta con .

Escribe el nombre de usuario prueba@office365-course.com y pulsa en Siguiente.

Por ahora la autenticación funciona igual que siempre, requiriendo una contraseña.
La introduciré por ti...
Pulsa en Iniciar sesión.
Ahora sí que vemos algo distinto. Como este usuario tiene la Autenticación multifactor
habilitada, se nos indica que tenemos que proporcionar más información.

Pulsa en Siguiente.
Al ser la primera vez que el usuario inicia sesión teniendo habilitada esta característica, tendrá
que configurar cómo desea proporcionar la información adicional.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Despliega la lista donde pone Teléfono de autenticación.

En el caso de la Autenticación multifactor de Office 365 están disponibles tres métodos:
indicar un teléfono de autenticación para bien recibir un mensaje de texto o una llamada de
comprobación; utilizar un teléfono de trabajo que habrá habilitado el administrador entre los
detalles de la cuenta del usuario; o habilitar el uso de una aplicación móvil de seguridad.
Elige esta tercera opción.
Fíjate que, si eliges autenticarte mediante la aplicación de seguridad, puedes elegir entre recibir
una notificación y aceptarla; o recibir un código que tendrás que introducir posteriormente.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Aquí puedes ver esta aplicación:

La aplicación en concreto es Microsoft Autheticator.

Pulsa en Configurar.
Mediante los enlaces que ves aquí podrías descargarla y configurarla adecuadamente en tu móvil.
Pulsa en Cancelar.
La verdad que la opción de disponer de la aplicación móvil Microsoft Authenticator es muy
cómoda, pero puede que prefieras simplemente recibir un mensaje de texto o una llamada de
comprobación. Por ejemplo, de esta forma, funcionará aunque no tengas cobertura de Internet en
tu móvil.
Despliega de nuevo la lista y elige Teléfono de autenticación.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Ahora debes elegir el país e introducir el número del correspondiente teléfono móvil.
Lo he hecho por ti...
Elige Enviarme un código mediante mensaje de texto.

Sin embargo, el administrador podría requerir volver a realizar este paso

posteriormente.

Normalmente introducir el método de contacto solo será necesario la primera vez que inicies
sesión.
Pulsa en Siguiente.
Ahora deberás tener a mano tu móvil para introducir aquí el código que se te ha enviado.
Lo he hecho por ti.
Pulsa en Comprobar.
Pulsa en Listo.
Ya hemos accedido al portal de este usuario.
Por lo tanto, a partir de este momento, cada vez que inicie sesión este usuario no solo tendrá que
conocer su correspondiente contraseña, sino que tendrá que introducir un código que será enviado
a su teléfono móvil. La seguridad se refuerza mucho de esta forma.
Fíjate que aquí ya pone que el estado de la Autenticación multifactor para este usuario es
forzado, es decir, que se requiere.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

Selecciona el usuario Prueba.

Podrías deshabilitarla igual que lo has hecho para habilitarla.
Pulsa en Administrar configuración de usuario.
Además, también puedes requerir que el usuario vuelva a proporcionar métodos de contacto (por
eso te decía que normalmente se hace una vez pero que puede ocurrir en más de una ocasión), así
como restaurar la autenticación multifactor en los dispositivos donde la ha utilizado el usuario.

Pulsa en Cancelar.

Copyright © Computer Aided Elearning, S.A.

 Identificación y autenticación

A través del Centro de administración de Azure Active Directory, es posible

hablitar una directiva para forzar la Autenticación multifactor para los usuarios de tipo
administrador.
Esta directiva se habillitará automáticamente en todos los tenant de Office 365, pero
podemos habilitarla manualmente a través del apartado Acceso condicional. Se trata de la
directiva Baseline policy: Require MFA for admins.
Pulsando en dicha directiva, podrás hablitarla inmediatamente o deshabilitarla, si es tu deseo.

Microsoft recomienda el uso de la Autenticación multifactor, sobre todo en el caso de las

cuentas de usuario de tipo administrativo. "Hackear" una cuenta de este tipo podría implicar
comprometer la seguridad de todo el tenant.

Copyright © Computer Aided Elearning, S.A.