Configurar MFA para un Equipo o un Servidor

La Logon app te permite requerir autenticación cuando los usuarios inician sesión en un equipo o un servidor. Esto incluye protección para RDP y RD Gateway.

La Logon app tiene dos partes:

Para configurar MFA para un equipo o un servidor, debes configurar un recurso para la Logon app en la AuthPoint management UI y, a continuación, instalar la Logon app en cada equipo o servidor que desees proteger. Para las conexiones de Escritorio Remoto y RDS, debes instalar la Logon app en los hosts en los que los usuarios se autentican. Para proteger el propio servidor de RD Gateway, debes instalar la Logon app en el servidor. Para proteger los hosts que están detrás de RD Gateway, debes instalar la Logon app en los hosts.

Cuando instalas la Logon app, la autenticación es un requisito para iniciar sesión. En la pantalla de inicio de sesión, los usuarios deben escribir su contraseña y, a continuación, seleccionar uno de los métodos de autenticación permitidos (notificación push, contraseña de un solo uso o código QR).

La Logon app solo admite la autenticación de contraseña para el inicio de sesión del usuario inicial. Si instalas la Logon app en un equipo que admite funcionalidades biométricas, como Touch ID o Windows Hello, los usuarios no pueden usar esas funcionalidades para iniciar sesión. Los usuarios deben iniciar sesión con una contraseña y la MFA AuthPoint. Después del inicio de sesión inicial, los usuarios pueden usar la biometría.

Los usuarios pueden iniciar sesión con cuentas de usuarios locales o de dominio, pero todos los usuarios deben tener una cuenta de usuarios de AuthPoint activa con una política de autenticación para la Logon app. Los usuarios que no tienen una cuenta de usuarios de AuthPoint con una política de autenticación para la Logon app no pueden autenticarse e iniciar sesión en un equipo con la Logon app instalada, a menos que habilites la opción de permitir que usuarios específicos que no tienen AuthPoint inicien sesión sin MFA.

Si tu licencia de AuthPoint caduca o si borras el recurso de la Logon app, los usuarios pueden iniciar sesión en sus equipos solo con su contraseña.

Puedes descargar la Logon app desde la página Descargas en la AuthPoint management UI.

Requisitos

Cuando establezcas y despliegues la Logon app, ten en cuenta estos requisitos:

  • Todos los usuarios locales y de dominio deben tener una cuenta de usuarios de AuthPoint activa y formar parte de un grupo de AuthPoint con una política de autenticación para la Logon app para autenticarse e iniciar sesión

    Puedes habilitar la opción para permitir que usuarios específicos que no tienen AuthPoint inicien sesión sin MFA para los usuarios que no tienen una cuenta de usuarios de AuthPoint.

  • El nombre de usuario para usuarios locales y de dominio debe ser el mismo que su nombre de usuario de AuthPoint
  • Para iniciar sesión como usuario local (que no forma parte del dominio), debes tener una cuenta de usuarios de AuthPoint con un token activo
  • Si tu usuario local tiene el mismo nombre de usuario que tu usuario de dominio, puedes usar el mismo usuario de AuthPoint para autenticarte e iniciar sesión en ambas cuentas
  • Si tu nombre de usuario local es diferente de tu nombre de usuario de dominio, debes tener un usuario de AuthPoint independiente para cada cuenta de usuarios (uno para el usuario de dominio y otro para el usuario local)
  • Cuando instalas la Logon app, el equipo debe estar conectado a Internet antes de que inicies sesión por primera vez
  • Si instalas la Logon app en un equipo en un dominio de Active Directory, debes configurar una política de grupo para permitir que los usuarios del dominio se autentiquen (inicien sesión) localmente
  • Si instalas la Logon app en un equipo que admite funcionalidades biométricas, como Touch ID o Windows Hello, los usuarios no pueden usar esas funcionalidades para iniciar sesión
Componente de AuthPoint Windows 8.1 y 10 Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2016 R2 Windows Server 2019
Logon App para Windows (64 bits)  
Logon App para Windows (32 bits)    
Componente de AuthPoint El Capitan (10.11) Sierra (10.12) High Sierra (10.13) Mojave (10.14) Catalina (10.15)
Logon App para macOS

No instales la Logon app en equipos que ejecutan Windows 7 o inferior ni en servidores que ejecutan Windows 2008 R2 o inferior.

Añadir un Recurso de la Logon App

Para comenzar, debes añadir un recurso para la Logon app. No necesitas un recurso de la Logon app independiente para cada equipo en el que está instalada la Logon app. Puedes usar un recurso de la Logon app para todas tus políticas de autenticación, independientemente del OS.

Después de añadir un recurso de la Logon app en AuthPoint, debes añadir el recurso a tus políticas de autenticación existentes o añadir nuevas políticas de autenticación para el recurso de la Logon app que incluyan los grupos de usuarios que deben autenticarse para iniciar sesión en sus equipos.

Para añadir un recurso de la Logon app:

  1. Selecciona Recursos.
  2. En la lista desplegable Elegir un tipo de recurso, selecciona Logon App. Haz clic en Añadir Recurso.

  1. En la página Logon App, en el cuadro de texto Nombre, escribe un nombre para este recurso.
  2. (Opcional) En el cuadro de texto Mensaje de Soporte, escribe un mensaje para mostrar en la pantalla de inicio de sesión.
  3. Para permitir que usuarios específicos que no tienen una cuenta de usuarios de AuthPoint inicien sesión sin MFA, habilita el botón de alternancia Permitir que usuarios específicos inicien sesión sin MFA.

    Los usuarios sin AuthPoint solo pueden iniciar sesión sin MFA si no existe una cuenta de AuthPoint con el mismo nombre de usuario.

  1. En el cuadro de texto Añadir Nombres de Usuario, escribe el nombre de usuario de cada usuario que no tiene AuthPoint y que puede iniciar sesión sin MFA. Puedes especificar hasta 50 usuarios que no tienen AuthPoint y que pueden iniciar sesión sin MFA.

  1. Haz clic en Guardar.
  2. Añade el recurso de la Logon app a tus políticas de autenticación existentes o añade nuevas políticas de autenticación para el recurso de la Logon app (consulta Acerca de las Políticas de Autenticación de AuthPoint). Recomendamos que la política de autenticación para la Logon app incluya las opciones de autenticación OTP o código QR para que los usuarios puedan autenticarse cuando no están conectados a Internet.

Descargar e Instalar la Logon App

Puedes usar un símbolo del sistema de Windows para instalar la Logon app. También puedes usar la opción de la línea de comandos para el despliegue mediante Objetos de Directiva de Grupo (GPO) de Active Directory. Para instalar la Logon app desde un símbolo del sistema de Windows, debes descargar el archivo de configuración y el archivo del instalador .MSI de la Logon app.

Cuando instalas la Logon app, el equipo donde la instalas la Logon app debe estar conectado a Internet antes de que el usuario inicie sesión por primera vez. Esto es necesario para que la Logon app pueda comunicarse con AuthPoint a fin de comprobar las políticas de autenticación.

La Logon app almacena una copia de las políticas de autenticación localmente en el equipo. La Logon app usa esta política local cuando un usuario se autentica sin conexión, y se actualiza la siguiente vez que el equipo se conecta a Internet.

Descargar el Archivo de Configuración y del Instalador de la Logon App

Para descargar el archivo de configuración y del instalador de la Logon app:

  1. En el menú de navegación, selecciona Descargas.
    Aparece la página Descargas.
  2. En la sección Logon App, junto a tu sistema operativo, haz clic en Descargar Instalador.
  3. Para descargar el archivo de configuración para la Logon app, haz clic en Descargar Configuración. Puedes usar el mismo archivo de configuración para todas las instalaciones de la Logon app, independientemente del sistema operativo.

Instalar Manualmente la Logon App

Para instalar manualmente la Logon app en tu equipo, mueve el archivo de configuración descargado al mismo directorio que el instalador de la Logon app (archivo .MSI). Ejecuta el instalador de la Logon app e instala la Logon app en el equipo o el servidor que deseas proteger.

Instalar la Logon App desde un Símbolo del Sistema de Windows

Para instalar la Logon app desde un símbolo del sistema de Windows:

  1. En el menú Inicio de Windows, haz clic con el botón derecho en Símbolo del Sistema y selecciona Ejecutar como Administrator.
    Aparece una ventana del Símbolo del Sistema de Windows.
  2. Cambia el directorio a la ubicación del archivo .MSI.
  3. Para ejecutar el instalador de la Logon app, ejecuta uno de estos comandos:
    • Para pasar la ruta de acceso al archivo de configuración:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_PATH="C:/wlconfig.cfg"
    • Para pasar el contenido del archivo de configuración:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_CONTENT="config_file_content_without_spaces"
    • Si el archivo de configuración y el del instalador están en la misma ubicación:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi

    Asegúrate de actualizar el comando para que coincida con la versión del instalador que deseas ejecutar.

    Para instalar la Logon app silenciosamente, sin necesidad de interacción del usuario, añade /q o /qn al comando. Para evitar que un equipo se reinicie cuando se complete la instalación, añade /norestart al comando. Para obtener más información, consulta la Documentación de Microsoft para el comando msiexec.

Usar un GPO de Active Directory para Instalar la Logon App

Puedes usar los comandos descritos en el procedimiento anterior para instalar la Logon app de forma remota en varios equipos con un Objeto de Directiva de Grupo (GPO) de Active Directory. Debes usar un método de instalación que admita parámetros de línea de comandos.

Hay dos métodos para configurar un GPO para instalarlo desde un archivo .MSI con parámetros de línea de comandos:

Configura un GPO para un script de arranque o un script de inicio de sesión que ejecuta un archivo por lotes que instala la Logon app. El archivo por lotes contiene solo una línea, que especifica la ruta de acceso de red al archivo .MSI. Los otros parámetros son los mismos que se describen en el procedimiento anterior para la instalación desde un símbolo del sistema de Windows.

  • Para pasar la ruta de acceso al archivo de configuración:
    msiexec -i "[ruta de acceso]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_PATH="C:/wlconfig.cfg"
  • Para pasar el contenido del archivo de configuración:
    msiexec -i "[ruta de acceso]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_CONTENT="config_file_content_without_spaces"
  • Si el archivo de configuración y el del instalador están en la misma ubicación:
    msiexec -i "[ruta de acceso]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi"

Asegúrate de actualizar el comando para que coincida con la versión del instalador que deseas ejecutar.

Crea un archivo de transformación (.MST) que contenga los parámetros de línea de comandos requeridos. La herramienta Orca para crear el archivo .MST está en el Windows SDK, que está disponible en Microsoft.

Para crear el archivo .MST en Orca:

  1. Abre Orca.
  2. Selecciona Archivo > Abrir y selecciona el archivo .MSI que has descargado.
  3. Para comenzar una nueva transformación, selecciona Transformación > Nueva Transformación.
  4. En la lista Propiedad, añade una propiedad:
    • Para pasar la ruta de acceso al archivo de configuración, añade la propiedad CONFIG_PATH con la ruta de acceso al archivo de configuración.
    • Para pasar el contenido del archivo de configuración, añade la propiedad CONFIG_CONTENT con el contenido del archivo de configuración (sin espacios).
    • Si el archivo de configuración y el del instalador están en la misma ubicación, no tienes que añadir una propiedad.
  5. Para generar el archivo de transformación, selecciona Transformación > Generar Transformación.
  6. Para guardar el archivo de transformación, selecciona Archivo > Guardar Transformado Como.
  7. Copia el archivo .MSI original en el directorio que contiene el archivo .MST.
  8. Para probar manualmente la instalación, escribe este comando: 
    install: msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi -q TRANSFORMS=[Logon app mst file]

    Asegúrate de actualizar el comando para que coincida con la versión del instalador que deseas ejecutar.

Después de crear el archivo .MST, crea un GPO de Instalación de Software que incluya los archivos .MSI y .MST.

Para crear el GPO de Instalación de Software:

  1. Abre el Editor de Gestión de Políticas de Grupo.
  2. Navegue hasta los ajustes de instalación del software.
  3. Haz clic con el botón derecho y selecciona Nuevo > Paquete.
  4. Especifica la ruta de acceso de red al archivo .MSI.
  5. Selecciona Avanzado.
  6. Selecciona la pestaña Modificaciones.
  7. Haz clic en Añadir.
  8. Especifica la ruta de acceso de red al archivo .MST.
  9. Haz clic en Aceptar.
  10. En el menú Inicio de Windows, haz clic con el botón derecho en Símbolo del Sistema y selecciona Ejecutar como Administrator.
    Aparece una ventana del Símbolo del Sistema de Windows.
  11. Usa gpupdate para actualizar los ajustes de la política de grupo.
  12. Para probar el GPO, reinicia un equipo en el dominio.

Actualizar la Logon App

La Logon app no se actualiza automáticamente a la versión más reciente. Para actualizar la Logon app, debes descargar e instalar la versión actualizada del agent for Windows o el agent for macOS. La versión más actual del agente está disponible en la página Descargas.

No tienes que desinstalar la Logon app ni descargar un nuevo archivo de configuración cuando instalas una versión actualizada del agente.

Para actualizar el agent for Windows:

  1. En la AuthPoint management UI, selecciona Descargas.
  2. En la sección Logon App, junto a tu sistema operativo, haz clic en Descargar Instalador. No tienes que descargar el archivo de configuración.

  1. Ejecuta el instalador de la Logon app descargado en el equipo o sigue los pasos de las secciones anteriores para instalar el agente con la línea de comandos o con un GPO.

Desinstalar la Logon App

Puedes desinstalar la Logon app cuando ya no necesites proteger un equipo o un servidor con la MFA AuthPoint.

Si tu licencia de AuthPoint caduca y la Logon app está instalada, los usuarios pueden iniciar sesión en sus equipos solo con su contraseña.

  1. Abre el menú Inicio de Windows y selecciona Ajustes.
  2. Navega hasta Aplicaciones y Funcionalidades.
  3. Selecciona Agent for Windows de AuthPoint.
  4. Haz clic en Desinstalar.
  5. Después de desinstalar la Logon app, reinicia tu equipo.

Para desinstalar la versión 1.5.21 o superior de la Logon app para macOS, debes ejecutar el archivo de paquete Logon_App_for_Mac_uninstall.pkg.

  1. Navega hasta /Users/$USER/Applications/WatchGuard.
  2. Ejecuta el archivo de paquete Logon_App_for_Mac_uninstall.pkg.
  3. Sigue los pasos del asistente. Cuando termines, debes reiniciar tu equipo.

Para desinstalar la versión 1.5.20 o inferior de la Logon app para macOS, debes usar la aplicación Terminal para ejecutar el script uninstall.sh. Puedes encontrar el script uninstall.sh en la carpeta Aplicaciones (/Users/$USER/Applications/WatchGuard/uninstall.sh).

  1. Cuando el equipo se inicie, presiona Command + S para entrar en el Modo de Usuario Único.
  2. Para establecer el disco para lectura y escritura, escribe el comando mount -o update /.
  3. Para ejecutar el script de desinstalación, escribe el comando sudo sh /Applications/WatchGuard/Logon\ App\ for\ Mac/uninstall.sh.
  4. Después de desinstalar la Logon app, reinicia tu equipo.

Si tu inicio de sesión de usuario falla, puedes desinstalar la Logon APP con tu equipo en Modo Seguro.

El Instalador de Windows (msiserver) no funciona de forma predeterminada en Modo Seguro. Para habilitar el Instalador de Windows en Modo Seguro, debes modificar una clave del registro.

  1. Inicia tu equipo en Modo Seguro.
  2. Una vez que hayas iniciado sesión, escribe cmd en el cuadro de búsqueda de Cortana.
  3. Haz clic con el botón derecho en la aplicación Símbolo del Sistema y selecciona Ejecutar como administrador.
    Aparece el cuadro de diálogo Control de Cuentas de Usuarios.
  4. Haz clic en .
  5. En el cuadro de diálogo Símbolo del Sistema, escribe uno de estos comandos y pulsa la tecla Enter:
    • Si tu equipo está en Modo Seguro, escribe reg add "hklm\system\currentcontrolset\control\safeboot\minimal\msiserver" /ve /t reg_sz /f /d "service".
    • Si tu equipo está en Modo Seguro con Conexión de Red, escribe reg add "hklm\system\currentcontrolset\control\safeboot\network\msiserver" /ve /t reg_sz /f /d "service".
  6. Para iniciar el msiserver, en el cuadro de diálogo Símbolo del Sistema, escribe net start msiserver. Presiona Enter.
  7. Ahora puedes desinstalar la Logon app en Modo Seguro:
    1. Abre el menú Inicio de Windows y selecciona Ajustes.
    2. Navega hasta Aplicaciones y Funcionalidades.
    3. Selecciona Agent for Windows de AuthPoint.
    4. Haz clic en Desinstalar.
  8. Después de desinstalar la Logon app, reinicia tu equipo.
  1. Cuando el equipo se inicie, mantén pulsada inmediatamente la tecla Mayús.
    Aparece el logotipo de Apple.
  2. Suelta la tecla Mayús cuando veas la página de inicio de sesión.
  3. Abre una ventana de Terminal.
  4. En la ventana de Terminal, escribe el comando cd /Volumes/Macintosh\ HD/Applications/WatchGuard/Logon\ App\ for\ Mac/.
  5. Escribe el comando sh .recovery.sh.
  6. Escribe reboot.
  7. Para desinstalar la Logon app, navega hasta /Users/$USER/Applications/WatchGuard.
  8. Ejecuta el archivo de paquete Logon_App_for_Mac_uninstall.pkg.
  9. Sigue los pasos del asistente. Cuando termines, debes reiniciar tu equipo.

Autenticación con la Logon App

Cuando la Logon app está instalada en un equipo, la autenticación es un requisito para iniciar sesión. En la pantalla de inicio de sesión, los usuarios deben escribir su contraseña y, a continuación, seleccionar uno de los métodos de autenticación permitidos. La política de autenticación más alta que incluye el grupo del usuario y el recurso de la Logon app determina los métodos de autenticación disponibles.

Si la autenticación push está habilitada, los usuarios pueden marcar la casilla de selección Enviar automáticamente una notificación push cuando inicio sesión para facilitar el proceso de autenticación. Cuando se selecciona esta opción, la Logon app envía automáticamente una notificación push al usuario después de que introduce su nombre de usuario y su contraseña.

La Logon app no admite el inicio de sesión automático para Windows.

Para iniciar sesión en un equipo con la Logon app instalada:

  1. En el cuadro de texto Nombre de Usuario, escribe el nombre de usuario para tu usuario de dominio. Para iniciar sesión como usuario local, escribe tu nombre de usuario como <hostname>\<username>.
  2. En el cuadro de texto Contraseña, escribe tu contraseña de Windows o Mac. Para las cuentas de usuarios de Active Directory, escribe tu contraseña de AD.
  3. Haz clic en Siguiente.
    Si se requiere MFA, verás la pantalla de autenticación. Si la política de autenticación de tu grupo solo requiere una contraseña, habrás iniciado sesión.
  4. Si se requiere MFA, debajo de las Opciones de inicio de sesión, selecciona una opción de autenticación. Push es el método de autenticación predeterminado. Si seleccionas una opción de autenticación diferente, esa opción se convierte en el método de autenticación predeterminado.

    Si tu equipo no tiene conexión a Internet y se requiere MFA, debes seleccionar las opciones de autenticación de código QR o contraseña de un solo uso para autenticarte sin conexión.

  5. Presiona la tecla Enter o de Retorno y autentícate.
    • Push — Aprueba la notificación push que se envía a tu dispositivo móvil.
    • Código QR — Usa la aplicación móvil AuthPoint para escanear el código QR y, a continuación, escribe el código de verificación que se muestra en la aplicación.
    • Contraseña de Un Solo Uso — Escribe la contraseña de un solo uso para tu token.

Si no tienes tu token, debes usar la funcionalidad He Olvidado el Token para iniciar sesión en un equipo con la Logon app instalada. Para obtener más información, consulta Autenticación Sin Tu Dispositivo Móvil.

Ver También

Configurar MFA

Acerca de las Políticas de Autenticación de AuthPoint

Acerca de la Autenticación