Jamf Blog
How to . . .

Cómo hacerlo: Acceso condicional en Azure y Jamf Connect

¿Encuentra intentos de inicio de sesión "fallidos" en los registros de inicio de sesión de Azure? Descubra:

  • Cómo se comunican el flujo de trabajo del ROPG y Jamf Connect
  • Cómo hacer un registro de app en Microsoft Azure Active Directory que permita políticas de acceso condicional
  • Cómo hacer que las políticas de acceso condicional NO se apliquen al flujo de trabajo del ROPG

Problema

Los administradores pueden observar intentos de inicio de sesión fallidos en el registro de la aplicación de empresa creada en Microsoft Azure Active Directory cuando se utiliza Jamf Connect y una política de acceso condicional que requiere autenticación multifactor (MFA) para el objetivo de "Todas las apps en la nube". Aunque éste es el comportamiento esperado del flujo de trabajo de Concesión de contraseña del propietario de recursos (ROPG), puede provocar que un usuario aparezca en los informes de seguridad de riesgos de inicio de sesión en Azure Active Directory.

¿Qué está ocurriendo?

El objetivo de "Todas las apps en la nube" aplica políticas mucho más allá de los inicios de sesión en servicios específicos en la nube y aplica políticas a flujos de trabajo no interactivos como los que tienen ROPG. En concreto, "Todas las apps en la nube" parece aplicarse a cualquier aplicación que solicite un inicio de sesión con el alcance de cualquiera de las siguientes:

correo electrónico de perfiles openid

La especificación Open ID Connect 2.0 utiliza estos ámbitos predeterminados para obtener un token de acceso o identidad para una aplicación cliente. En consecuencia, en su configuración predeterminada, el inicio de sesión de Jamf Connect utiliza el ámbito de perfil openid correo electrónico, y la única forma de aplicar una política de CA en este comportamiento predeterminado es aplicar la política a "Todas las apps de la nube" SIN excepciones aplicadas o la política de CA se romperá.

Los administradores tienen varias opciones para aplicar la MFA en la pantalla de inicio de sesión de Jamf Connect:

  • Lo más sencillo, pero lo que más afecta a los inicios de sesión de los usuarios:
    Establecen requisitos estrictos para la MFA mediante el método más antiguo de Autenticación Multifactor de Azure, que aplica un requisito de MFA a TODOS los inicios de sesión en CUALQUIER servicio para un usuario específico. Ignora los inicios de sesión fallidos en los registros de inicio de sesión para las comprobaciones ROPG de la contraseña. (Más adelante encontrará información adicional sobre cómo determinar si un inicio de sesión fallido se debe a que el agente de la barra de menús de Jamf Connect está realizando una solicitud ROPG).
  • Sencillo, pero puede afectar a otros servicios:
    Crea una política de acceso condicional aplicada a "Todas las apps en la nube" que requiera autenticación multifactor para el inicio de sesión. NO utilice una excepción a la política, ya que eso parece romper la funcionalidad de la regla de la CA en las pruebas realizadas el 10DIC2021. Ignora los inicios de sesión fallidos en los registros de inicio de sesión para las comprobaciones ROPG de la contraseña.
  • Complejo, pero exigente:
    Sigue las instrucciones de la publicación de Jamf Nation "Crear un ámbito personalizado para Jamf Connect en Azure para las políticas de acceso condicional" para crear un ámbito personalizado para las aplicaciones de Jamf Connect (tendrá que iniciar sesión en Jamf Nation o crear una cuenta para acceder a él). Compruebe que no se hayan creado políticas que apliquen a "Todas las apps en la nube" para que no afecten al flujo de trabajo del ROPG. La política de CA se aplicará según lo previsto a la aplicación de inicio de sesión de Jamf Connect y aparecerá la comprobación de ROPG como un inicio de sesión correcto en los registros de inicio de sesión.

Autenticación multifactor de Azure frente al Acceso condicional

Los administradores pueden activar los requisitos de autenticación multifactor para una cuenta de usuario de dos formas:

  • Multifactor: Autenticación accesible a través de la lista "Todos los servicios" del portal Azure
  • Acceso condicional: accesible a través de Azure Active Directory en Seguridad

La autenticación multifactor es un sistema de conmutador maestro de todos los intentos de inicio de sesión para todo el sistema para hacer cumplir la MFA en la autenticación. Aunque los rangos de direcciones IP pueden quedar exentos, las normas se aplican a todas las autentificaciones.

El acceso condicional permite aplicar detalles minuciosos cuando se requiere MFA, incluida la exención de MFA para aplicaciones web.

Flujo de trabajo de concesión de contraseña de propietario de recurso

Jamf Connect utiliza un flujo de trabajo ROPG para sincronizar la contraseña del usuario en el proveedor de identidad con la contraseña en la máquina cliente del usuario. El nombre de usuario y la contraseña se envían al proveedor de identidad en un inicio de sesión "no interactivo" para recibir una respuesta. Esto significa que no se pide al usuario ningún tipo de nombre de usuario o contraseña al iniciar la sesión; Jamf Connect utiliza para ello la información almacenada de forma segura en el llavero del usuario.

Para Azure, las respuestas son una de las siguientes:

Éxito, sin requisitos MFA: Un token de acceso, actualización e identificación codificado en HS256

Éxito, MFA requerido a través de una política: Una respuesta de error como:

 AADSTS50076: Debido a un cambio de configuración realizado por su administrador, o porque usted se ha trasladado a una nueva ubicación, debe utilizar la autenticación multifactor para acceder [UUID de la aplicación].
  • Fallo, contraseña o nombre de usuario erróneos: Una respuesta de error del tipo:
 AADSTS50126: Error al validar las credenciales debido a un nombre de usuario o contraseña no válidos.

Siempre que la contraseña del usuario sea correcta, el flujo ROPG ha tenido éxito: se ha validado que la contraseña sea correcta. Mientras que Jamf Connect no necesita el token de acceso, actualización e identificación para mantener la contraseña local sincronizada con el proveedor de identidad, una respuesta de error adecuada se interpreta como una comprobación correcta de la contraseña.

Referencia: https://docs.jamf.com/jamf-connect/administrator-guide/Authentication_Protocols.html

Diagnóstico de MFA contra contraseña fallida en los registros de Azure

Navegue hacia Azure Active Directory → Aplicaciones de empresa y selecciona el nombre de su aplicación Jamf Connect en Azure. Navegue hacia Actividad → Inicio de sesión para abrir los registros de uso de los usuarios.

Example logs from a sample Microsoft Azure instance

Arriba se muestran dos inicios de sesión que parecen fallidos. En la columna "Autenticación requerida", el primer inicio de sesión dice "Autenticación multifactor". Si hace clic en el renglón, aparecerán detalles adicionales sobre el intento de conexión.

Details on a non-interactive login from Jamf Connect via ROPG:

En Detalles de autenticación, el "Detalle del resultado" permitirá a un administrador determinar si el inicio de sesión se ha realizado correctamente o ha sido un fracaso. En este ejemplo, el inicio de sesión fue un éxito: el detalle del Resultado muestra que el "Usuario no superó el desafío MFA (no interactivo)". Este inicio de sesión puede interpretarse en el sentido de que se exigió al usuario que utilizara la MFA mediante una política de acceso condicional o a través de la autenticación multifactor de Azure.

En el segundo ejemplo, un usuario con MFA obligatorio no introdujo su contraseña correcta:

Details on a failed non-interactive login due to an incorrect password.

La columna Autenticación requerida muestra "Autenticación de factor único" y los Detalles de autenticación muestran "Nombre de usuario o contraseña no válidos o Nombre de usuario o contraseña locales no válidos". Aunque el usuario debe utilizar la autenticación multifactor, falló en el primer factor único y, por tanto, nunca se le solicitó la autenticación multifactor.

Creación de un ámbito personalizado para las políticas de Jamf Connect y de acceso condicional

Resumen del flujo de trabajo:

  • Crear una registro de aplicaciones "de terminales privadas" con una API personalizada
    • Con permisos API para "Usuario.read"
    • Con el ámbito "Exponer una API" creado
    • Definir roles como "Administrador" y "Estándar" para elevar los permisos de las cuentas de macOS
  • Crear una "terminal pública" de registro de aplicaciones para que OIDC llame a esa API personalizada
    • Eliminar los permisos de la API para "Usuario.read"
    • Añadir el permiso API para "Mis API" para el nombre de la aplicación creada en el paso 1 y el ámbito creado en el paso 1
  • Crear una política de acceso condicional de Azure para exigir la autenticación multifactor
    • Aplicar a la aplicación creada en el paso 1
  • Eliminar todas las políticas de CA aplicadas a "Todas las apps en la nube" que requieran MFA.
  • Crear un perfil de configuración de inicio de sesión en Jamf Connect
    • Azure como proveedor de identidad
    • Definir un ámbito personalizado
    • Definir la URL de Descubrimiento para OIDC y ROPG
    • Probar con la configuración de Jamf Connect

La última versión de las instrucciones paso a paso sobre cómo configurar la aplicación en Azure está disponible here.

Suscríbase al blog de Jamf

Acceda a las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf recibidas directamente en su bandeja de entrada.

Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.