Tutorial: Configuración de contraseñas prohibidas personalizadas para la protección de contraseñas de Microsoft Entra

Los usuarios suelen crear contraseñas que usan palabras comunes locales, como una escuela, un equipo deportivo o una persona famosa. Estas contraseñas son fáciles de adivinar y poco seguras contra ataques basados en diccionarios. Para aplicar contraseñas seguras en su organización, la lista de contraseñas prohibidas personalizadas de Microsoft Entra permite agregar cadenas específicas para evaluar y bloquear. Se produce un error en una solicitud de cambio de contraseña si hay una coincidencia en la lista personalizada de contraseñas prohibidas.

En este tutorial, aprenderá a:

• Habilitar contraseñas prohibidas personalizadas
• Agregar entradas a la lista personalizada de contraseñas prohibidas
• Probar los cambios de contraseña con una contraseña prohibida

Prerrequisitos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

• Un inquilino de Microsoft Entra activo con al menos una instancia de Microsoft Entra ID P1 o una licencia de prueba habilitada.
  • Si es preciso, cree una cuenta gratuita.
• Una cuenta con privilegios de administrador global.
• Un usuario que no sea administrador con una contraseña que conozca, como usuarioDePrueba. Para probar un evento de cambio de contraseña, use esta cuenta en este tutorial.
  • Si necesita crear un usuario, consulte Inicio rápido: Incorporación de nuevos usuarios a Microsoft Entra ID.
  • Para probar una operación de cambio de contraseña con una contraseña prohibida, el inquilino de Microsoft Entra debe estar configurado para el autoservicio de restablecimiento de contraseña.

¿Qué son las listas de contraseñas prohibidas?

Microsoft Entra ID incluye una lista global de contraseñas prohibidas. El contenido de la lista global de contraseñas prohibidas no se basa en ningún origen de datos externo, En su lugar, la lista global de contraseñas prohibidas se basa en los resultados continuos de la telemetría y el análisis de seguridad de Microsoft Entra. Cuando un usuario o administrador intenta cambiar o restablecer sus credenciales, se comprueba la contraseña deseada en la lista de contraseñas prohibidas. Se produce un error en la solicitud de cambio de contraseña si hay una coincidencia en la lista global de contraseñas prohibidas. No se puede editar esta lista global de contraseñas prohibidas predeterminada.

Para que tenga flexibilidad en cuanto a las contraseñas que se permiten, también puede definir una lista personalizada de contraseñas prohibidas. La lista personalizada de contraseñas prohibidas funciona junto con la lista global de contraseñas prohibidas para aplicar contraseñas seguras en su organización. Se pueden agregar términos específicos de la organización a la lista personalizada de contraseñas prohibidas, como los ejemplos siguientes:

• Nombres de marca
• Nombres de producto
• Ubicaciones, por ejemplo, la oficina central de la empresa
• Términos internos específicos de la empresa
• Abreviaturas que tienen un significado específico en la empresa
• Meses y días laborables con los idiomas locales de la empresa

Si un usuario intenta restablecer una contraseña por una que esté en la lista personalizada o global de contraseñas prohibidas, verá uno de los siguientes mensajes de error:

• Lamentablemente, la contraseña contiene una palabra, frase o patrón que permite adivinar la contraseña fácilmente. Vuelva a intentarlo con una contraseña diferente.
• No puede usar esta contraseña porque contiene palabras o caracteres que el administrador ha bloqueado. Vuelva a intentarlo con una contraseña diferente.

La lista personalizada de contraseñas prohibidas se limita a un máximo de 1000 términos. No está diseñada para bloquear listas grandes de contraseñas. Para maximizar las ventajas de la lista personalizada de contraseñas prohibidas, consulte los conceptos de la lista personalizada de contraseñas prohibidas y la introducción al algoritmo de evaluación de contraseñas.

Configuración de contraseñas prohibidas personalizadas

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Vamos a habilitar la lista personalizada de contraseñas prohibidas y agregar algunas entradas. Puede agregar entradas adicionales a la lista personalizada de contraseñas prohibidas en cualquier momento.

Para habilitar la lista personalizada de contraseñas prohibidas y agregar entradas a ella, complete los pasos siguientes:

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

2. Vaya a Protección>Métodos de autenticación. Después, vaya a Protección de contraseña.

3. En Exigir lista personalizada, seleccione la opción Sí.

4. Agregue cadenas a la Lista personalizada de contraseñas prohibidas, una cadena por línea. Las siguientes consideraciones y limitaciones se aplican a la lista personalizada de contraseñas prohibidas:

   • La lista personalizada de contraseñas prohibidas puede contener hasta 1000 términos.
   • La lista personalizada de contraseñas prohibidas distingue mayúsculas de minúsculas.
   • La lista personalizada de contraseñas prohibidas tiene en cuenta la sustitución de caracteres comunes, como "o" y "0", o "a" y "\@".
   • La longitud mínima de la cadena es de cuatro caracteres, mientras que la máxima es de 16 caracteres.

   Especifique sus propias contraseñas personalizadas para prohibirlas, tal como se muestra en el ejemplo siguiente.

   

5. En Habilitar protección con contraseña en Windows Server Active Directory, establezca la opción en No.

6. Para habilitar las contraseñas prohibidas personalizadas y las entradas, seleccione Guardar.

Las actualizaciones a la lista personalizada de contraseñas prohibidas pueden tardar varias horas en aplicarse.

En el caso de un entorno híbrido, también puede implementar la protección de contraseñas de Microsoft Entra ID en un entorno local. Se usan las mismas listas personalizadas y globales de contraseñas prohibidas para las solicitudes de cambio de contraseña en la nube y en el entorno local.

Prueba de la lista personalizada de contraseñas prohibidas

Para ver la lista personalizada de contraseñas prohibidas en acción, intente cambiar la contraseña por una variación de una que haya agregado en la sección anterior. Cuando Microsoft Entra ID intenta procesar el cambio de contraseña, la contraseña se compara con una entrada de la lista de contraseñas prohibidas personalizadas. A continuación, se muestra un error al usuario.

Nota:

Para que un usuario pueda restablecer su contraseña en el portal basado en web, el inquilino de Microsoft Entra debe estar configurado para el autoservicio de restablecimiento de contraseña. Si es necesario, el usuario puede entonces registrarse para SSPR en https://aka.ms/ssprsetup.

1. Vaya a la página Mis aplicaciones en https://myapps.microsoft.com.

2. En la esquina superior derecha, seleccione su nombre y, a continuación, elija Perfil en el menú desplegable.

   

3. En la página Perfil, seleccione Cambiar contraseña.

4. En la página Cambiar contraseña, escriba la contraseña existente (anterior). Escriba y confirme una nueva contraseña que se encuentre en la lista personalizada de contraseñas prohibidas definida en la sección anterior y, a continuación, seleccione Enviar.

5. Se devuelve un mensaje de error que indica que el administrador ha bloqueado la contraseña, tal como se muestra en el ejemplo siguiente:

   

Limpieza de recursos

Si decide que ya no desea utilizar la lista personalizada de contraseñas prohibidas que ha configurado como parte de este tutorial, realice los siguientes pasos:

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
2. Vaya a Protección>Métodos de autenticación. Después, vaya a Protección de contraseña.
3. En Exigir lista personalizada, seleccione la opción No.
4. Para actualizar la configuración personalizada de contraseñas prohibidas, seleccione Guardar.

Pasos siguientes

En este tutorial, ha habilitado y configurado listas de protección de contraseñas personalizadas de Microsoft Entra ID. Ha aprendido a:

• Habilitar contraseñas prohibidas personalizadas
• Agregar entradas a la lista personalizada de contraseñas prohibidas
• Probar los cambios de contraseña con una contraseña prohibida

Habilitar la autenticación multifactor basada en riesgos de Microsoft Entra