Directiva de acceso condicional común: autenticación multifactor basada en el riesgo de inicio de sesión

La mayoría de los usuarios tienen un comportamiento normal que puede seguirse, cuando se salen de esta norma, podría ser peligroso permitirles que simplemente inicien sesión. Es posible que sea conveniente bloquear a ese usuario o quizás simplemente puede pedirle que lleve a cabo la autenticación multifactor para demostrar que realmente es quien dice ser.

Un riesgo de inicio de sesión representa la probabilidad de que el propietario de la identidad no haya autorizado una solicitud de autenticación determinada. Las organizaciones con licencias de Azure AD Premium P2 pueden crear directivas de acceso condicional que incorporen detecciones de riesgo de inicio de sesión de Azure AD Identity Protection.

Hay dos ubicaciones donde se puede configurar esta directiva: Acceso condicional e Identity Protection. La configuración mediante una directiva de acceso condicional es el método preferible que proporciona más contexto, como datos de diagnóstico mejorados, integración con el modo de solo informe, compatibilidad con Graph API y la posibilidad de usar otros atributos de acceso condicional en la directiva.

La directiva basada en riesgos de inicio de sesión protege a los usuarios del registro con autenticación multifactor en sesiones de riesgo. Si los usuarios no están registrados para la autenticación multifactor, se bloquearán sus inicios de sesión de riesgo, y esos usuarios verán el error AADSTS53004.

Implementación de plantilla

Las organizaciones pueden optar por implementar esta directiva mediante los pasos descritos a continuación o mediante las plantillas de acceso condicional (versión preliminar).

Habilitar la directiva de acceso condicional

  1. Inicie sesión en Azure Portal como administrador de acceso condicional, administrador de seguridad o administrador global.
  2. Vaya a Azure Active DirectorySeguridadAcceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
  6. En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
  7. En Condiciones>Riesgo de inicio de sesión, establezca Configurar en . En Seleccionar el nivel de riesgo de inicio de sesión al que se aplicará la directiva.
    1. Seleccione Alto y Medio.
    2. Seleccione Listo.
  8. En Controles de acceso>Conceder.
    1. Seleccione Conceder acceso, Requerir autenticación multifactor.
    2. Elija Seleccionar.
  9. En Sesión.
    1. Seleccione Frecuencia de inicio de sesión.
    2. Asegúrese de que Siempre esté seleccionado.
    3. Elija Seleccionar.
  10. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  11. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Pasos siguientes