Introducción
En la era de la ciberseguridad moderna, los estándares FIDO2 proporcionan autenticación fuerte y resistente al phishing, basada en criptografía de clave pública. Utilizar FIDO2 con YubiKeys garantiza que las credenciales no puedan ser extraídas o falsificadas, reforzando el acceso sin depender de contraseñas que pueden ser robadas o reutilizadas. Al delegar la inscripción de claves a administradores mediante YubiEnroll y Microsoft Entra ID, se simplifica la adopción de una estrategia passwordless a gran escala, mejorando la experiencia de usuario y reduciendo la carga operativa del help desk.
Permisos y requisitos previos
Roles en Entra ID:
Global Administrator para registrar la aplicación y otorgar consentimientos.
Authentication Administrator (o Privileged Authentication Administrator) para gestionar métodos de autenticación de otros usuarios.
Características activadas en Entra ID:
Habilitar Passkey (FIDO2) en Identity > Protection > Authentication methods > Policies para los usuarios objetivo.
Plataforma: Windows 11 con privilegios de administrador.
Herramienta: YubiEnroll CLI instalada (descargable desde Yubico).
Procedimiento detallado con YubiEnroll
1. Registrar la aplicación YubiEnroll en Entra ID
Entra al Entra admin center.
Ve a Azure Active Directory > App registrations > New registration.
Nombre: YubiEnroll
Plataforma: Public client/native (mobile & desktop)
Redirect URI: http://localhost/yubienroll-redirect
Completa el registro y anota:
Application (client) ID
Directory (tenant) ID
2. Configurar permisos de Graph API
Dentro de la app registrada, ve a API permissions > Add a permission > Microsoft Graph > Delegated permissions.
Agrega:
User.ReadBasic.All
UserAuthenticationMethod.ReadWrite.All
Haz Grant admin consent para tu tenant.
3. Instalar YubiEnroll CLI en Windows
# Descargar e instalar Descarga el .msi de Yubico y ejecútalo con permisos de administrador. Ruta de instalación por defecto: C:\Program Files\Yubico\YubiEnroll\
4. Añadir el proveedor Entra ID en YubiEnroll
En un símbolo de sistema con privilegios:
cd "C:\Program Files\Yubico\YubiEnroll" yubienroll providers add entra
Cuando se solicite, ingresa:
Provider type: ENTRA Client ID: <TU CLIENT ID> Tenant ID: <TU TENANT ID> Redirect URI: http://localhost/yubienroll-redirect Entra base URL: https://login.microsoftonline.com Graph base URL: https://graph.microsoft.com
5. Crear un perfil de inscripción (opcional)
Define ajustes de PIN y políticas:
yubienroll profiles add perfil-empresa
Responde según tus políticas:
Min PIN length [4]: 6
Require always UV? [y/N]: N
Require Enterprise Attestation? [y/N]: N
Force PIN change before use? [y/N]: Y
Factory reset the Security Key? [Y/n]: n
Set a new random PIN [Y/n]: Y
Random PIN length [6]: 6
Assign this profile to the active provider? [y/N]: Y
6. Enrolar un YubiKey para un usuario
Autenticarse con Entra ID:
yubienroll login
Seleccionar el proveedor (ENTRA).
Insertar o presentar el YubiKey.
Ejecutar:
yubienroll credentials add usuario@empresa.com
Toca el YubiKey cuando se indique y confirma con y.
Anota el serial y el PIN temporal que se muestra.
Entrega al usuario su YubiKey junto con el PIN. En su primer inicio de sesión (si forzaste cambio), se le pedirá definir un PIN propio.
Código de ejemplo
# Añadir proveedor yubienroll providers add entra # Crear perfil yubienroll profiles add perfil-empresa # Autenticación yubienroll login # Enrolar credencial yubienroll credentials add usuario@empresa.com
Conclusión
Con estos pasos, tu equipo de TI podrá inscribir YubiKeys en nombre de los usuarios de forma centralizada, aprovechando las capacidades phishing-resistant de FIDO2 y la gestión de identidades de Microsoft Entra ID.
¿Le fue útil este artículo?
¡Qué bueno!
Gracias por sus comentarios
¡Sentimos mucho no haber sido de ayuda!
Gracias por sus comentarios
Comentarios enviados
Agradecemos su iniciativa, e intentaremos corregir el artículo