Uno de nuestros clientes quería usar la autenticación multifactor de Azure con Microsoft Access y Azure SQL, lo que requería que los usuarios se autenticaran cuando inician Access a través de una segunda validación al menos una vez cada 60 días.

Paso 1: Extender su dominio a Azure AD

Antes de poder habilitar MFA en Azure, debe extender el dominio del cliente a Azure mediante el directorio Azure Active, que permite a los empleados autenticarse en cualquier parte del mundo. Tener la capacidad de agregar o desactivar empleados en su dominio local y ampliar automáticamente sus recursos de Azure, no tiene precio. Aquí hay un enlace para comenzar:
https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/identity/adds-extend-domain

Paso 2: (Opcional) Obtenga la aplicación Microsoft Authenticator

Si no usa la aplicación, lo más probable es que reciba un mensaje de texto en su teléfono celular con un código único, que debe ingresar en el navegador o en la aplicación para su validación. Descargue la aplicación Authenticator para el sistema operativo de su teléfono y simplemente apruebe o rechace la solicitud de inicio de sesión. Bonificción:  ¡También puedes aprobar la solicitud en tu reloj inteligente!

Bonificación 2: puede usar el autenticador con todas sus cuentas de Microsoft, corporativas y personales. Lo uso en mis cuentas de Outlook.com, así como en las cuentas de clientes y de IT Impact.

Paso 3: habilite la autenticación Azure Multi-Factor

Como consultores, generalmente se nos otorgan privilegios de administrador en la cuenta de Azure del cliente utilizando nuestro correo electrónico IT Impact (a continuación en el paso 4, más sobre por qué esto no funcionará con MFA en Access), por lo que estamos acostumbrados a usar MFA con Azure: https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-mfasettings

Paso 4:  Obtenga una cuenta en el dominio del cliente (Opcional)

Dada la falta de soporte en los controladores OLEDB para MFA, intentamos como primera opción usar nuestro correo electrónico IT Impact para iniciar sesión en la base de datos de Access, pero hubo un caso en el que necesitábamos una cuenta en el dominio del cliente para que el sistema funcionara en nuestro PC de laboratorio. Si está consultando, primero intente autenticarse con su propio correo electrónico, y si eso falla, es posible que necesite una cuenta de cliente.

Paso 5: habilite MFA en su cuenta

Aquí le mostramos cómo hacerlo: https://aka.ms/MFASetup Tenga en cuenta que es posible que no use de manera predeterminada la aplicación de autenticación de Microsoft, y para usarla tenga que volver a la página después de la configuración.

Nota: Si todavía usa aplicaciones que no son compatibles con MFA (como Skype for Business), necesitará una contraseña de aplicación. Puede usar una para todas las aplicaciones que no son MFA, pero recomiendo tener uno para cada aplicación para mayor seguridad.

Paso 6: utilice los últimos controladores ODBC y OLEDB

Actualmente, solo ODBC 17 y superior admiten MFA con Azure SQL, que deberá usar al vincular sus tablas a su base de datos SQL. OLEDB 18 es la última versión y aún no es compatible con MFA. Para obtener más información sobre estos controladores, consulte esta publicación de blog.

Paso 7: Inicie sesión para acceder con su cuenta de cliente MFA

Si ha iniciado sesión en Access con una cuenta que no es de su cliente, cierre la sesión, inicie Access sin cargar la aplicación (como si estuviera creando una nueva base de datos) e inicie sesión con la cuenta creada. Una vez que haya iniciado sesión, puede cargar la aplicación y no debería solicitarle MFA durante al menos otros 30 días.