MFA
      Volver al inicio
      1. Centro de ayuda
      2. Buenas prácticas
      3. MFA

      Configuración de MFA en un servidor Exchange local

      El objetivo de este artículo es proporcionar la información necesaria para configurar una autenticación robusta en los buzones de correo alojados en un servidor Microsoft Exchange local (on-premise).

      Es importante tener en cuenta que varios editores, como Duo y Okta, ofrecen soluciones de gestión de identidades que permiten configurar la MFA (autenticación multifactor). Sin embargo, su modelo de precios, basado en una cuota mensual por usuario, puede resultar prohibitivo para algunas empresas. La solución que presentamos a continuación no ofrece la misma exhaustividad que estas soluciones comerciales, pero tiene la ventaja de ser totalmente gratuita.

      Etapas de instalación

      1. Creación, si es necesario, de una suscripción gratuita a Azure y un Entra ID/Azure tenant asociado;
      2. Instalación de Microsoft Entra Connect, para sincronizar su Directorio Activo con su nuevo entorno Cloud;
      3. Configuración de la hibridación del servidor Exchange;
      4. Instalación del mecanismo HMA para delegar la autenticación a Azure;
      5. Activación de Security Defaults, requiriendo a sus empleados el uso de MFA.

      Etapa 1: Créacion de un tenant Entra / Azure

      Este paso puede ser opcional si ya dispone de un entorno Azure para asociar a sus usuarios. De lo contrario, cree una suscripción de Azure y un inquilino asociado siguiendo esta documentación.

      Etapa 2 : Instalacion de Microsoft Entra Connect

      Puede omitir este paso si ya dispone de un mecanismo para sincronizar sus identidades entre su Active Directory local y su Azure AD. De lo contrario, despliegue Microsoft Entra Connect siguiendo la documentación oficial de Microsoft o poniéndose en contacto con nuestro equipo de ingeniería. Asegúrese de dejar activada la opción «Sincronización de hash de contraseñas».

      Puede omitir este paso si ya tiene un mecanismo para sincronizar sus identidades dentro de su Directorio Activo local y su Azure AD.

      Etapa 3: Configuracion de la hibridación

      Configure la hibridación del servidor Exchange siguiendo los requisitos previos y los pasos descritos en este artículo.

      Etapa 4: Configuracion del mecanismo HTA

      Este artículo describe el procedimiento para configurar Hybrid Modern Authentication (HMA). Una vez completada esta etapa, la autenticación de los usuarios del servidor Exchange se realizará a través de su tenant de Azure, como se ilustra en este diagrama:

      Etapa 5 : Activacion de los Security Defaults

      En este artículo se describe cómo activar Security Defaults en un tenant de Azure. Aunque esta solución es totalmente gratuita, requiere la instalación de una aplicación para generar tokens de un solo uso (TOTP).

      Esta aplicación se puede instalar :

      • En los smartphones de los empleados (Microsoft Authenticator, Google Authenticator, etc.);
      • En los puestos de trabajo de los empleados (WinAuth, Keepassxc, etc.). La primera vez que accedan a su buzón, tendrán que introducir su contraseña y, a continuación, copiar el token de 6 dígitos (generado desde su teléfono u ordenador) y pegarlo en el patrón de prueba de autenticación. La documentación específica está disponible en este artículo.

      Tenga en cuenta que este paso adicional sólo será necesario para la primera conexión desde su cliente pesado. Una vez conectado el cliente pesado, todos los accesos posteriores serán perfectamente transparentes.