Entra ID

El servicio de identidad de Microsoft (Entra ID) permite que Specops Authentication se integre con las Bibliotecas de Autenticación de Microsoft. Esto significa que Microsoft Authenticator se puede usar para autenticarse con Specops Authentication sin usar una contraseña. Más información sobre el inicio de sesión sin contraseña se puede encontrar aquí.

Para habilitar la integración de Specops Authentication con Entra ID, necesita configurar la conexión. La sección Solo autenticación (autenticación sin contraseña) a continuación describe los pasos para configurar la autenticación sin contraseña, donde Entra ID se utiliza exclusivamente para autenticar a los usuarios sincronizados. Otra opción, que ofrece un control más detallado sobre la integración, se describe en Personalizado.

Solo autenticación (autenticación sin contraseña)

Para habilitar el método de autenticación de inicio de sesión telefónico sin contraseña, se requiere configuración tanto por parte de los administradores como de los usuarios individuales.

Configuración para administradores

Nota

Para obtener la información más actualizada sobre la configuración de la autenticación sin contraseña, visite las páginas de soporte de Microsoft aquí.

Inicie sesión en el centro de administración de Microsoft Entra como al menos un Administrador de Políticas de Autenticación.
Vaya a Protección > Métodos de autenticación > Políticas.
Bajo Microsoft Authenticator, elija las siguientes opciones:
- Habilitar: Sí o No
- Objetivo: Todos los usuarios o Seleccionar usuarios
Cada grupo o usuario agregado está habilitado por defecto para usar Microsoft Authenticator en modos sin contraseña y de notificación push (modo "Cualquiera"). Para cambiar el modo, para cada fila de Modo de autenticación - elija Cualquiera, o Sin contraseña. Elegir Push impide el uso de la credencial de inicio de sesión telefónico sin contraseña.
Para aplicar la nueva política, haga clic en Guardar.

Configuración para usuarios

Nota

Para obtener la información más actualizada sobre la configuración de la autenticación sin contraseña, visite las páginas de soporte de Microsoft aquí.

Para registrar la aplicación Microsoft Authenticator, siga estos pasos:

Vaya a https://aka.ms/mysecurityinfo.
Inicie sesión, luego seleccione Agregar método > Aplicación Authenticator > Agregar para agregar Microsoft Authenticator.
Siga las instrucciones para instalar y configurar la aplicación Microsoft Authenticator en su dispositivo.
Seleccione Hecho para completar la configuración de Microsoft Authenticator.

Habilitar inicio de sesión telefónico

Después de que los usuarios se registren en la aplicación Microsoft Authenticator, necesitan habilitar el inicio de sesión telefónico:

En Microsoft Authenticator, seleccione la cuenta registrada.
Seleccione Habilitar inicio de sesión telefónico.
Siga las instrucciones en la aplicación para finalizar el registro de la cuenta para el inicio de sesión telefónico sin contraseña.

Nota

Para la verificación de Secure Service Desk, debido a que los usuarios deben responder Sí o No al mensaje Permanecer conectado después de iniciar sesión a través de Microsoft 365 para que el proceso de verificación se complete completamente, los administradores pueden considerar deshabilitar el mensaje Permanecer conectado en Azure.

Revisar configuraciones de Microsoft Authenticator

Vaya al centro de administración de Microsoft Entra.
En Métodos de autenticación de Microsoft Entra, vaya a la sección Políticas en el panel izquierdo, luego seleccione Microsoft Authenticator.
En la pestaña Habilitar y Objetivo, Objetivo "Todos los usuarios", el Modo de autenticación no debe estar configurado en Push en la lista desplegable (si se configura en Push, deshabilitaría la autenticación sin contraseña).

Configurar en Specops Authentication Web

Navegue a Microsoft Entra ID en Specops Authentication y haga clic en Conexión.
En la lista desplegable de Detalles de conexión de Microsoft Entra ID, seleccione Solo autenticación.
Ingrese su Tenant ID de Entra ID.
Si el valor de Entra ID ImmutableId (también conocido como ancla de origen) se almacena en un atributo personalizado, ingrese ese atributo en el campo Atributo de usuario.

Nota

El atributo predeterminado es objectGUID.
Haga clic en Probar conexión para verificar que todo esté configurado correctamente.
Haga clic en Otorgar consentimiento. Esto lo redirigirá al mensaje de inicio de sesión de Microsoft.
Se muestra un cuadro de diálogo de consentimiento de Microsoft. Inicie sesión con su cuenta de administrador de cliente de Entra ID para dar acceso a la aplicación para iniciar sesión y leer el perfil del usuario.

Nota

Al aceptar los permisos, le da a la aplicación acceso a los recursos especificados para todos los usuarios de su organización.

Para aceptar los permisos, haga clic en Aceptar. Si hace clic en Cancelar, será redirigido al Portal de Administración de Specops Authentication.
Haga clic en Guardar.

Personalizado

Use esta opción para un control más detallado sobre la integración. Para configurar una integración personalizada, necesita registrar una aplicación cliente en el cliente de la organización.

Instrucciones detalladas y actualizadas sobre cómo registrar una nueva aplicación se pueden encontrar en la documentación de Microsoft. A continuación se muestra una versión abreviada del procedimiento de configuración.

Una vez que haya registrado su aplicación, se requiere la siguiente información para configurar Specops Authentication:

Tenant ID (más información sobre dónde encontrar su Tenant ID)
Application Client ID (más información sobre dónde encontrar su Application Client ID)
Application Client Secret (más información sobre cómo registrar su Application Client Secret)

Crear un registro de aplicación en Azure Portal (Azure Portal)

Vaya a Microsoft Entra ID > Registros de aplicaciones > Nuevo registro.
Proporcione un nombre, por ejemplo "Microsoft MFA para Specops uReset".
En la sección Tipos de cuenta admitidos, seleccione una opción (el valor predeterminado es "Cuenta en este directorio organizacional solamente (Solo Directorio Predeterminado - Cliente único)).
En la sección URI de redirección, seleccione Web de la lista desplegable e ingrese la URL de la configuración de Servicios de Identidad Microsoft de Specops Authentication: https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback.
Haga clic en Registrar.
En la sección de Descripción general del registro de la aplicación, copie lo siguiente:
- ID de directorio (cliente)
- ID de aplicación (cliente)

Configurar el registro de la aplicación

Vaya a Microsoft Entra ID > Registros de aplicaciones > Pestaña de todas las aplicaciones > Microsoft MFA para Specops uReset (u otro nombre de registro de aplicación si se eligió) > Autenticación.
En la sección Concesión implícita y flujos híbridos, habilite Tokens de ID (usados para flujos implícitos e híbridos).
Vaya a Microsoft Entra ID > Registros de aplicaciones > Todas las aplicaciones > Microsoft MFA para Specops uReset (u otro nombre de registro de aplicación si se eligió) > Certificados y secretos > pestaña Secretos de cliente.
Haga clic en Nuevo secreto de cliente.
Proporcione una descripción, por ejemplo Microsoft MFA para Specops uReset Client Secret.
En la lista desplegable Expira, seleccione el tiempo que el secreto de cliente expirará, por ejemplo 730 días (24 meses).
Haga clic en Agregar.
Copie el valor del secreto de cliente.

Nota

En el primer uso, un administrador de Azure puede necesitar aprobar el registro de la aplicación antes de que realmente pueda usarse: vea https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.

Configurar en Specops Authentication Web

Navegue a Microsoft Entra ID en Specops Authentication y haga clic en Conexión.
En la lista desplegable de Detalles de conexión de Microsoft Entra ID, seleccione Personalizado.
Ingrese los valores requeridos para:
- Tenant ID
- Application Client ID
- Application Client Secret
En el campo Instancia de Azure, seleccione la instancia de Entra ID que desea usar: Global, Gobierno de EE. UU., o China, dependiendo de sus requisitos.
Copie el valor de Uri de redirección. En la aplicación cliente de Entra ID, vaya a Autenticación, luego haga clic en Agregar una plataforma, seleccione Web, e ingrese el URI en el campo URIs de redirección personalizados. Más información se puede encontrar aquí: Registrar una aplicación en Microsoft Entra ID.
Haga clic en Probar conexión para verificar que todo esté configurado correctamente.
Haga clic en Guardar.