MIM y Azure SSPR

¿Busca una forma más segura de enviar a los nuevos usuarios sus contraseñas para Azure Active Directly? Si es así, no está solo. Este es un reto común al que se enfrentan las organizaciones y la implementación de un proceso más seguro es clave.

En el pasado, las organizaciones han asignado contraseñas a los usuarios utilizando información relacionada con el usuario que podía ser fácilmente adivinada, o han creado, impreso y entregado físicamente una contraseña asignada al azar al nuevo usuario. Ninguna de estas opciones es infalible y, en consecuencia, las contraseñas tienen una alta probabilidad de verse comprometidas.

Ahora, hay una forma mejor de manejar este escenario. Muchas de estas mismas organizaciones almacenan direcciones de correo electrónico personales e información en la base de datos corporativa de RRHH o SIS. Gracias a Azure Self-Service Password Reset (SSPR) con recuperación de contraseñas y Microsoft Identity Manager (MIM), las direcciones de correo electrónico personales se pueden rellenar ahora en Azure SSPR para que los usuarios puedan recuperar sus propias contraseñas y evitar a la persona intermediaria.

Requisitos previos

  • Azure Self-Service Password Reset (SSPR) con la recuperación de la contraseña activada
  • Microsoft Identity Manager (MIM) 2016 SP1, y debe utilizar el hotfix 4.4.1642.0 KB4021562 o más tarde
  • Microsoft .NET 4.5.2 Framework o instalación posterior en el servidor MIM

Configuración

En Azure Account Directory, se debe registrar una nueva aplicación en Azure AD que tenga los permisos de aplicación anteriores a Microsoft Graph:

  1. Directorio.Leer.Todo
  2. Directorio.LecturaEscritura.Todo
  3. Usuario.Leer.Todo
  4. User.ReadWrite.All

Es necesario descargar el Agente de Gestión de Gráficos (MA) de MIM desde la URL de Microsoft, https://www.microsoft.com/en-us/download/details.aspx?id=51495y se instala en el servidor de sincronización MIM.

Utilizando la MA de MIM Graph (la versión de Graph debe ser BETA), se puede configurar un flujo de atributos para rellenar el atributo "otherMails" en Graph. "otherMails" es el nombre de Graph para el atributo "AlternateEmailAddresses" visible cuando el usuario Azure AD PowerShell v1 como se ve con el comando Get-MsolUser. Azure SSRP utilizará la dirección de correo electrónico rellenada para permitir a los usuarios restablecer sus contraseñas simplemente yendo a https://aka.ms/sspr.

Utilizando las herramientas y consejos explicados anteriormente, los nuevos usuarios pueden ahora recibir sus contraseñas de forma segura utilizando Azure SSPR con escritura de contraseñas, MIM y direcciones de correo electrónico personales. Se elimina el riesgo de que las contraseñas sean adivinadas o vistas por un tercero antes de que el usuario comience, protegiendo así al usuario con otra capa de seguridad.

Si tiene preguntas sobre cómo establecer su propio proceso como se ha indicado anteriormente, póngase en contacto con nosotros en info@fit-prod-web01.azurewebsites.net844.587.4535, o rellene el siguiente formulario. Nuestro equipo está formado por expertos en tecnología Microsoft y está encantado de ayudarle.

 

REFERENCIAS ADICIONALES:

Licencias basadas en grupos en Azure Active Directory (Azure AD): https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-licensing-whatis-azure-portal

Guía paso a paso: Configuración de una aplicación azure: https://forsyteitsolutions.sharepoint.com/Shared%20Documents/MIM/MIM%20Azure%20SSPR%20Integration.docx?web=1 (V2 de la guía: Microsoft cambió la interfaz de usuario desde que se escribió la V1)

[Form id="1″]

 

 

 

 

 

 

Dejar una respuesta

Debes estar conectado para publicar un comentario.

es_CRSpanish