Cómo Configurar 2FA a los Usuarios de Escritorio Remoto
Activa el doble factor de autenticación para un usuario desde el panel y guíale en el registro de su app autenticadora para que acceda con un código temporal.
El doble factor de autenticación (2FA) añade una capa de seguridad al acceso: además de su usuario y contraseña, la persona necesita un código temporal que genera una app en su móvil y que cambia cada poco. Así, aunque alguien viera el código, dejaría de servir en minutos.
Esta guía tiene dos partes: la activación que haces tú como administrador, y el registro que completa el usuario.
Qué consiguesEl 2FA activado para un usuario de Escritorio Remoto, y al usuario registrado en su app autenticadora para acceder con un código temporal.
Antes de empezar
- Acceder al panel de administración en admin.plenit.com con permisos sobre el entorno.
- Tener una suscripción de Escritorio Remoto activa. Si aún no la tienes, móntala con el Inicio Rápido de Escritorio Remoto.
- Que el usuario tenga un smartphone con una app autenticadora instalada: Google Authenticator o Microsoft Authenticator.
Un 2FA para todos sus entornosSi un usuario tiene acceso a más de un Escritorio Remoto, le basta con un único 2FA para acceder a todos ellos. No necesita registrar uno por entorno.
Paso 1. Activa el 2FA del usuario (administrador)
En admin.plenit.com, ve a Cloud Services → Escritorio Remoto y entra en la suscripción del entorno. Abre la pestaña Users, selecciona el servidor sobre el que vas a actuar, busca el usuario y marca su check de 2FA.
Aparece un aviso sobre la activación del 2FA. Pulsa Confirm para continuar. El check pasa a verde, lo que indica que el 2FA queda activo para ese usuario.
Con esto termina tu parte. El resto lo completa el usuario en su próximo acceso.
Paso 2. Registro en la app autenticadora (usuario)
La siguiente vez que el usuario entre a su Escritorio Remoto, con la app autenticadora abierta en el móvil, verá una pantalla con dos formas de registrarse. Solo necesita una:
- Clave alfanumérica: la introduce a mano en la app para dar de alta el acceso.
- Código QR: lo escanea con la app para registrar el acceso.
Tras registrarse por cualquiera de las dos vías, pulsa Confirm. A partir de ahí, la app le mostrará el código temporal de acceso.
Si el usuario está en servidor y balanceadorCuando el usuario está dado de alta en un servidor y, además, en el balanceador, verá una opción para elegir a dónde conectarse. Si solo está en un servidor o solo en el balanceador, no tiene que elegir.
Después, el usuario elige el método de conexión: HTML5 si entra por el navegador, o RemoteApp si prefiere el cliente (este requiere descargar un plugin y, por tanto, permisos de administrador en su equipo). Pulsa Connect para lanzar la conexión.
Por último, en la ventana de validación introduce el código de autenticación que muestra la app, y entra.
Reconfigurar el 2FA más adelanteTras activarse el 2FA, el perfil del usuario en la sección Organización suma dos opciones: reconfigurar la app autenticadora generando una nueva clave, o generar códigos de un solo uso. Te sirven si el usuario cambia de móvil o pierde el acceso a la app.
Conclusión
Activar el 2FA es un cambio rápido por tu parte — marcar el check del usuario en Users y confirma r— pero su efecto lo completa el usuario al registrar la app en su móvil con la clave o el QR. A partir de ahí, cada acceso pide el código temporal, y con un solo 2FA cubre todos los entornos a los que ese usuario tenga acceso.
Si alguna vez pierde el acceso a la app, desde su perfil en Organización puede regenerar la clave o pedir códigos de un solo uso.
Siguientes pasos
- Refuerza el acceso evitando puertos abiertos en Cómo configurar los puertos de tu Escritorio Remoto.
- Da de alta o gestiona usuarios en bloque con la carga masiva de usuarios.
- Administra el resto del entorno desde Cómo administrar tu entorno de Escritorio Remoto.