Configurar la MFA para una Computadora o Servidor

La Logon app le permite requerir autenticación cuando los usuarios inician sesión en una computadora o servidor. Esto incluye protección para RDP y RD Gateway.

La Logon app tiene dos partes:

Para configurar la MFA para una computadora o servidor, debe configurar un recurso para la Logon app en la AuthPoint management UI y luego instalar la Logon app en cada computadora o servidor que desee proteger. Para las conexiones de Escritorio Remoto y RDS, instale la Logon app en los hosts donde los usuarios se autentican. Para proteger el propio servidor de la RD Gateway, instale la Logon app en el servidor. Para proteger los hosts detrás de la RD Gateway, instale la Logon app en los hosts.

Cuando instala la Logon app, la autenticación es un requisito para iniciar sesión. En la pantalla de inicio de sesión, los usuarios deben escribir su contraseña y luego seleccionar uno de los métodos de autenticación permitidos (notificación push, contraseña de un solo uso o código QR).

La Logon app solo admite la autenticación con contraseña para el inicio de sesión del usuario inicial. Si instala la Logon app en una computadora que admite funciones biométricas, como Touch ID o Windows Hello, los usuarios no pueden usar esas funciones para iniciar sesión. Los usuarios deben iniciar sesión con una contraseña y la AuthPoint MFA. Después del inicio de sesión inicial, los usuarios pueden utilizar datos biométricos.

Los usuarios pueden iniciar sesión con cuentas de usuario locales o de dominio, pero todos los usuarios deben tener una cuenta de usuario AuthPoint activa con una política de autenticación para la Logon app. Los usuarios que no tienen una cuenta de usuario de AuthPoint con una política de autenticación para la Logon app no pueden autenticarse e iniciar sesión en una computadora con la Logon app instalada, a menos que habilite la opción de permitir que usuarios sin AuthPoint específicos inicien sesión sin la MFA.

Si su licencia de AuthPoint expira, o si elimina el recurso de la Logon app, los usuarios pueden iniciar sesión en sus computadoras solo con su contraseña.

Puede descargar la Logon app desde la página Descargas en la AuthPoint management UI.

Requisitos

Cuando configure e implemente la Logon app, tenga en cuenta estos requisitos:

  • Todos los usuarios locales y de dominio deben tener una cuenta de usuario de AuthPoint activa y ser parte de un grupo de AuthPoint con una política de autenticación para que la Logon app se autentique e inicie sesión

    Puede habilitar la opción para permitir que usuarios sin AuthPoint específicos inicien sesión sin la MFA para los usuarios que no tienen una cuenta de usuario de AuthPoint.

  • El nombre de usuario para usuarios locales y de dominio debe ser el mismo que su nombre de usuario de AuthPoint
  • Para iniciar sesión como usuario local (que no forma parte del dominio), debe tener una cuenta de usuario de AuthPoint con un token activo
  • Si su usuario local tiene el mismo nombre de usuario que su usuario de dominio, puede usar el mismo usuario de AuthPoint para autenticarse e iniciar sesión en ambas cuentas
  • Si su nombre de usuario local es diferente de su nombre de usuario de dominio, debe tener un usuario de AuthPoint separado para cada cuenta de usuario (uno para el usuario de dominio y otro para el usuario local)
  • Cuando instala la Logon app, la computadora debe estar conectada a Internet antes de iniciar sesión por primera vez
  • Si instala la Logon app en una computadora en un dominio de Active Directory, debe configurar una política de grupo para permitir que los usuarios del dominio se autentiquen (inicien sesión) localmente
  • Si instala la Logon app en una computadora que admite funciones biométricas, como Touch ID o Windows Hello, los usuarios no pueden usar esas funciones para iniciar sesión
Componente AuthPoint Windows 8.1 y 10 Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2016 R2 Windows Server 2019
Logon App para Windows (64 bits)  
Logon App para Windows (32 bits)    
Componente AuthPoint El Capitan (10.11) Sierra (10.12) High Sierra (10.13) Mojave (10.14) Catalina (10.15)
Logon App para macOS

No instale la Logon app en computadoras que ejecutan Windows 7 o inferior o en servidores que ejecutan Windows 2008 R2 o inferior.

Agregar un Recurso de la Logon App

Para comenzar, debe agregar un recurso para la Logon app. No necesita un recurso de la Logon app separado para cada computadora en la que está instalada. Puede utilizar un recurso de la Logon app para todas sus políticas de autenticación del sistema operativo (OS).

Después de agregar un recurso de la Logon app en AuthPoint, debe agregar el recurso a sus políticas de autenticación existentes o agregar nuevas políticas de autenticación para el recurso de la Logon app que incluyen los grupos de usuarios que deben autenticarse para iniciar sesión en sus computadoras.

Para agregar un recurso de la Logon app:

  1. Seleccione Recursos.
  2. En la lista desplegable Seleccionar un tipo de recurso, seleccione Logon App. Haga clic en Agregar Recurso.

  1. En la página Logon App, en el cuadro de texto Nombre, escriba un nombre para este recurso.
  2. (Opcional) En el cuadro de texto Mensaje de Soporte, escriba un mensaje para mostrar en la pantalla de inicio de sesión.
  3. Para permitir que usuarios específicos que no tienen una cuenta de usuario de AuthPoint inicien sesión sin la MFA, habilite la opción Permitir que usuarios específicos sin AuthPoint inicien sesión sin la MFA.

    Los usuarios sin AuthPoint solo pueden iniciar sesión sin la MFA si no existe una cuenta de AuthPoint con el mismo nombre de usuario.

  1. En el cuadro de texto Agregar Nombres de Usuario, escriba el nombre de usuario de cada usuario sin AuthPoint y que puede iniciar sesión sin la MFA. Puede especificar hasta 50 usuarios sin AuthPoint para iniciar sesión sin la MFA.

  1. Haga clic en Guardar.
  2. Agregue el recurso de la Logon app a sus políticas de autenticación existentes o agregue nuevas políticas de autenticación para el recurso de la Logon app (consulte Acerca de las Políticas de Autenticación de AuthPoint). Recomendamos que la política de autenticación para la Logon app incluya el código QR o las opciones de autenticación OTP para que los usuarios puedan autenticarse cuando no están conectados a Internet.

Descargar e Instalar la Logon App

Puede usar un símbolo del sistema de Windows para instalar la Logon app. También puede usar la opción de la línea de comandos para la implementación a través de Objetos de Política de Grupo (GPO) de Active Directory. Para instalar la Logon app desde un símbolo del sistema de Windows, debe descargar el archivo de instalación .MSI y el archivo de configuración de la Logon app.

Cuando instala la Logon app, la computadora donde la instala debe estar conectada a Internet antes de que el usuario inicie sesión por primera vez. Esto es necesario para que la Logon app pueda comunicarse con AuthPoint a fin de verificar las políticas de autenticación.

La Logon app almacena una copia de las políticas de autenticación localmente en la computadora. La Logon app usa esta política local cuando un usuario se autentica sin conexión, y luego se actualiza cuando la computadora se conecta a Internet.

Descargar el Archivo de Instalación y Configuración de la Logon App

Para descargar el archivo de instalación y configuración de la Logon app:

  1. En el menú de navegación, seleccione Descargas.
    Aparece la página Descargas.
  2. En la sección Logon App, junto a su sistema operativo, haga clic en Descargar Instalador.
  3. Para descargar el archivo de configuración para la Logon app, haga clic en Descargar Config. Puede usar el mismo archivo de configuración para cada instalación de la Logon app, independientemente del sistema operativo.

Instalar Manualmente la Logon App

Para instalar manualmente la Logon app en su computadora, mueva el archivo de configuración descargado al mismo directorio que el instalador de la Logon app (archivo .MSI). Ejecute el instalador de la Logon app e instálela en la computadora o servidor que desea proteger.

Instalar la Logon App desde un Símbolo del Sistema de Windows

Para instalar la Logon app desde un símbolo del sistema de Windows:

  1. En el menú Inicio de Windows, haga clic con el botón derecho en Símbolo del Sistema y seleccione Ejecutar como Administrador.
    Aparece una ventana del Símbolo del Sistema de Windows.
  2. Cambie el directorio a la ubicación del archivo .MSI.
  3. Ejecute el instalador de la Logon app con uno de estos comandos:
    • Para pasar la ruta al archivo de configuración:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_PATH="C:/wlconfig.cfg"
    • Para pasar el contenido del archivo de configuración:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_CONTENT="config_file_content_without_spaces"
    • Si el instalador y el archivo de configuración están en la misma ubicación:
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi

    Asegúrese de actualizar el comando para que coincida con la versión del instalador que desea ejecutar.

    Para instalar la Logon app de forma silenciosa, sin necesidad de interacción del usuario, agregue /q o /qn al comando. Para evitar que la computadora se reinicie cuando se complete la instalación, agregue /norestart al comando. Para obtener más información, consulte la Documentación de Microsoft para el comando msiexec.

Utilizar un GPO de Active Directory para Instalar la Logon App

Puede utilizar los comandos descritos en el procedimiento anterior para instalar la Logon app de forma remota en varias computadoras a través de un Objeto de Política de Grupo (GPO) de Active Directory. Debe usar un método de instalación que admita parámetros de línea de comandos.

Hay dos métodos para configurar un GPO para instalarlo desde un archivo .MSI con parámetros de línea de comando:

Configure un GPO para una secuencia de comandos de inicio o una secuencia de comandos de inicio de sesión que ejecuta un archivo de lote que instala la Logon app. El archivo de lote contiene solo una línea, que especifica la ruta de red al archivo .MSI. Los otros parámetros son los mismos que se describen en el procedimiento anterior para la instalación desde el símbolo del sistema de Windows.

  • Para pasar la ruta al archivo de configuración:
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_PATH="C:/wlconfig.cfg"
  • Para pasar el contenido del archivo de configuración:
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_CONTENT="config_file_content_without_spaces"
  • Si el instalador y el archivo de configuración están en la misma ubicación:
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi"

Asegúrese de actualizar el comando para que coincida con la versión del instalador que desea ejecutar.

Cree un archivo de transformación (.MST) que contenga los parámetros de línea de comando requeridos. La herramienta Orca para crear el archivo .MST está en el SDK de Windows, que está disponible en Microsoft.

Para crear el archivo .MST en Orca:

  1. Abra Orca.
  2. Seleccione Archivo > Abrir y seleccione el archivo .MSI que descargó.
  3. Para comenzar una nueva transformación, seleccione Transformación > Nueva Transformación.
  4. En la lista Propiedad, agregue una propiedad:
    • Para pasar la ruta al archivo de configuración, agregue la propiedad CONFIG_PATH con la ruta al archivo de configuración.
    • Para pasar el contenido del archivo de configuración, agregue la propiedad CONFIG_CONTENT con el contenido del archivo de configuración (sin espacios).
    • Si el instalador y el archivo de configuración están en la misma ubicación, no es necesario que agregue una propiedad.
  5. Para generar el archivo de transformación, seleccione Transformación > Generar Transformación.
  6. Para guardar el archivo de transformación, seleccione Archivo > Guardar Transformado Como.
  7. Copie el archivo .MSI original en el directorio que contiene el archivo .MST.
  8. Para probar manualmente la instalación, escriba este comando:
    instale: msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi -q TRANSFORMS=[Logon app mst file]

    Asegúrese de actualizar el comando para que coincida con la versión del instalador que desea ejecutar.

Después de crear el archivo .MST, cree un GPO de Instalación de Software que incluya los archivos .MSI y .MST.

Para crear el GPO de Instalación de Software:

  1. Abra el Editor de Administración de Políticas de Grupo.
  2. Navegue a los ajustes de instalación del software.
  3. Haga clic con el botón derecho y seleccione Nuevo > Paquete.
  4. Especifique la ruta de red al archivo .MSI.
  5. Seleccione Avanzadas.
  6. Seleccione la pestaña Modificaciones.
  7. Haga clic en Agregar.
  8. Especifique la ruta de red al archivo .MST.
  9. Haga clic en Aceptar.
  10. En el menú Inicio de Windows, haga clic con el botón derecho en Símbolo del Sistema y seleccione Ejecutar como Administrador.
    Aparece una ventana del Símbolo del Sistema de Windows.
  11. Use gpupdate para actualizar la configuración de la política de grupo.
  12. Para probar el GPO, reinicie una computadora en el dominio.

Actualizar la Logon App

La Logon app no se actualiza automáticamente a la última versión. Para actualizar la Logon app, debe descargar e instalar la versión actualizada del agent for Windows o el agente para macOS. La versión más actual del agente está disponible en la página Descargas.

No es necesario desinstalar la Logon app ni descargar un nuevo archivo de configuración cuando instala una versión actualizada del agente.

Para actualizar el agent for Windows:

  1. En la AuthPoint management UI, seleccione Descargas.
  2. En la sección Logon App, junto a su sistema operativo, haga clic en Descargar Instalador. No es necesario descargar el archivo de configuración.

  1. Ejecute el instalador de la Logon app descargado en la computadora o siga los pasos de las secciones anteriores para instalar el agente con la línea de comandos o un GPO.

Desinstalar la Logon App

Puede desinstalar la Logon app cuando ya no necesite proteger una computadora o servidor con la AuthPoint MFA.

Si su licencia de AuthPoint expira y la Logon app está instalada, los usuarios pueden iniciar sesión en sus computadoras usando solo su contraseña.

  1. Abra el menú Inicio de Windows y seleccione Ajustes.
  2. Navegue a Aplicaciones y Funciones.
  3. Seleccione AuthPoint Agent for Windows.
  4. Haga clic en Desinstalar.
  5. Después de desinstalar la Logon app, reinicie su computadora.

Para desinstalar la versión 1.5.21 o superior de la Logon app para macOS, debe ejecutar el archivo de paquete Logon_App_for_Mac_uninstall.pkg.

  1. Navegue a /Users/$USER/Applications/WatchGuard.
  2. Ejecute el archivo de paquete Logon_App_for_Mac_uninstall.pkg.
  3. Siga los pasos del asistente. Cuando termine, debe reiniciar su computadora.

Para desinstalar la versión 1.5.20 o inferior de la Logon app para macOS, debe usar la aplicación Terminal para ejecutar el script uninstall.sh. Puedes encontrar el script uninstall.sh en la carpeta Aplicaciones (/Users/$USER/Applications/WatchGuard/uninstall.sh).

  1. Cuando la computadora se inicie, presione Command + S para ingresar al Modo de Usuario Único.
  2. Para configurar el disco para lectura y escritura, escriba el comando mount -o update /.
  3. Para ejecutar el script de desinstalación, escriba el comando sudo sh /Applications/WatchGuard/Logon\ App\ for\ Mac/uninstall.sh.
  4. Después de desinstalar la Logon app, reinicie su computadora.

Si su inicio de sesión de usuario falla, aún puede desinstalar la Logon APP con su computadora en Modo Seguro.

El Instalador de Windows (msiserver) no funciona de forma predeterminada en Modo Seguro. Para habilitar el Instalador de Windows en Modo Seguro, debe modificar una clave de registro.

  1. Inicie su computadora en Modo Seguro.
  2. Una vez que haya iniciado sesión, escriba cmd en el cuadro de búsqueda de Cortana.
  3. Haga clic con el botón derecho en la aplicación Símbolo del Sistema y seleccione Ejecutar como administrador.
    Aparece el cuadro de diálogo Control de Cuentas de Usuario.
  4. Haga clic en .
  5. En el cuadro de diálogo del Símbolo del Sistema, escriba uno de estos comandos y presione Enter:
    • Si su computadora está en Modo Seguro, escriba reg add "hklm\system\currentcontrolset\control\safeboot\minimal\msiserver" /ve /t reg_sz /f /d "service".
    • Si su computadora está en Modo Seguro con Red, escriba reg add "hklm\system\currentcontrolset\control\safeboot\network\msiserver" /ve /t reg_sz /f /d "service".
  6. Para iniciar el msiserver, en el cuadro de diálogo del Símbolo del Sistema, escriba net start msiserver. Presione Enter.
  7. Ahora puede desinstalar la Logon app en Modo Seguro:
    1. Abra el menú Inicio de Windows y seleccione Ajustes.
    2. Navegue a Aplicaciones y Funciones.
    3. Seleccione AuthPoint Agent for Windows.
    4. Haga clic en Desinstalar.
  8. Después de desinstalar la Logon app, reinicie su computadora.
  1. Cuando la computadora se inicie, presione y mantenga presionada la tecla Shift.
    Aparece el logo de Apple.
  2. Suelte la tecla Shift cuando vea la página de inicio de sesión.
  3. Abra una ventana de Terminal.
  4. En la ventana de Terminal, escriba el comando cd /Volumes/Macintosh\ HD/Applications/WatchGuard/Logon\ App\ for\ Mac/.
  5. Escriba el comando sh .recovery.sh.
  6. Escriba reboot.
  7. Para desinstalar la Logon app, navegue a /Users/$USER/Applications/WatchGuard.
  8. Ejecute el archivo de paquete Logon_App_for_Mac_uninstall.pkg.
  9. Siga los pasos del asistente. Cuando termine, debe reiniciar su computadora.

Autenticación con la Logon App

Cuando la Logon app está instalada en una computadora, se requiere autenticación para iniciar sesión. En la pantalla de inicio de sesión, los usuarios deben escribir su contraseña y luego seleccionar uno de los métodos de autenticación permitidos. La política de autenticación más alta que incluye el recurso de la Logon app y el grupo de usuarios determina los métodos de autenticación.

Si la autenticación push está habilitada, los usuarios pueden marcar la casilla de selección Enviar automáticamente una notificación push cuando inicio sesión para facilitar el proceso de autenticación. Cuando se selecciona esta opción, la Logon app envía automáticamente una notificación push al usuario después de que ingresa su nombre de usuario y contraseña.

La Logon app no admite el inicio de sesión automático para Windows.

Para iniciar sesión en una computadora con la Logon app instalada:

  1. En el cuadro de texto Nombre de Usuario, escriba el nombre de usuario para su usuario de dominio. Para iniciar sesión como usuario local, escriba su nombre de usuario como <nombre de host>\<nombre de usuario>.
  2. En el cuadro de texto Contraseña, escriba su contraseña de Windows o Mac. Para las cuentas de usuario de Active Directory, escriba su contraseña de AD.
  3. Haga clic en Siguiente.
    Si se requiere la MFA, se mostrará la pantalla de autenticación. Si la política de autenticación de su grupo solo requiere una contraseña, ya habrá iniciado sesión.
  4. Si se requiere la MFA, debajo de las Opciones de inicio de sesión, seleccione una opción de autenticación. Push es el método de autenticación predeterminado. Si selecciona otra opción de autenticación, se convierte en el método de autenticación predeterminado.

    Si su computadora no tiene conexión a Internet y se requiere la MFA, debe seleccionar la contraseña de un solo uso o las opciones de autenticación del código QR para autenticarse sin conexión.

  5. Presione Enter o Return y autentíquese.
    • Push — Apruebe la notificación push que se envía a su dispositivo móvil.
    • Código QR — Use la aplicación móvil AuthPoint para escanear el código QR, luego escriba el código de verificación que se muestra en la aplicación.
    • Contraseña de Un Solo Uso — Escriba la contraseña de un solo uso para su token.

Si no tiene su token, debe usar la función Olvidé mi Token para iniciar sesión en una computadora con la Logon app instalada. Para obtener más información, consulte Autenticación Sin Su Dispositivo Móvil.

Ver También

Configurar la MFA

Acerca de las Políticas de Autenticación de AuthPoint

Acerca de la Autenticación