Corregir riesgos y desbloquear usuarios

Después de completar la investigación, debe tomar medidas para corregir los usuarios de riesgo o desbloquearlos. Las organizaciones pueden configurar directivas basadas en riesgos para habilitar la corrección automatizada. Las organizaciones deben intentar investigar y corregir todos los usuarios de riesgo en un período de tiempo con el que su organización se sienta cómoda. Microsoft recomienda actuar con agilidad, ya que el tiempo es importante cuando se trabaja con riesgos.

Corrección de riesgos

Todas las detecciones de riesgo activas contribuyen al cálculo del nivel de riesgo del usuario. El nivel de riesgo del usuario es un indicador (bajo, medio, alto) de la probabilidad de que se haya puesto en peligro la cuenta del usuario. Como administrador, después de una investigación exhaustiva sobre los usuarios de riesgo y los inicios de sesión y las detecciones de riesgo correspondientes, debe corregir los usuarios de riesgo para que ya no estén en riesgo y no se bloqueen.

Identity Protection puede marcar algunas detecciones de riesgo y los inicios de sesión de riesgo correspondientes como descartados con el estado de riesgo "Descartado" y el detalle de riesgo "Azure AD Identity Protection ha evaluado el inicio de sesión como seguro" porque esos eventos han dejado de considerarse de riesgo.

Los administradores tienen las siguientes opciones para la corrección:

  • Configuración de directivas basadas en riesgos para permitir la autocorrección de los riesgos por parte de los usuarios.
  • Restablecimiento manual de contraseña
  • Descartar el riesgo del usuario

Autocorrección con directiva basada en riesgos

Puede permitir la autocorrección de riesgos de inicio de sesión y riesgos de usuario por parte de los usuarios mediante la configuración de directivas basadas en riesgos. Si los usuarios superan el control de acceso necesario, como la autenticación multifactor (MFA) de Azure AD o el cambio de contraseña seguro, sus riesgos se corrigen automáticamente. Las detecciones de riesgo, los inicios de sesión de riesgo y los usuarios de riesgo correspondientes aparecerán con el estado de riesgo "Corregido" en lugar de "En riesgo".

Estos son los requisitos previos que deben cumplir los usuarios antes de que se les puedan aplicar directivas basadas en riesgos para permitir la autocorrección de riesgos:

  • Para realizar una autenticación multifactor y autocorregir un riesgo de inicio de sesión:
    • El usuario debe haberse registrado en Azure AD MFA.
  • Para realizar un cambio de contraseña seguro y autocorregir un riesgo de usuario:
    • El usuario debe haberse registrado en Azure AD MFA.
    • Los usuarios híbridos que se sincronizan desde el entorno local a la nube deben tener habilitada la escritura diferida de contraseñas.

Si se aplica una directiva basada en riesgos a un usuario durante el inicio de sesión antes de cumplir los requisitos previos anteriores, se le bloqueará porque no puede realizar el control de acceso necesario y el administrador deberá intervenir para desbloquear al usuario.

Las directivas basadas en riesgos se configuran en función de los niveles de riesgo y solo se aplicarán si el nivel de riesgo del inicio de sesión o del usuario coincide con el nivel configurado. Es posible que algunas detecciones no alcancen el nivel de riesgo necesario para que se aplique la directiva y los administradores deberán encargarse de esos usuarios de riesgo manualmente. Los administradores pueden determinar que son necesarias medidas adicionales, como bloquear el acceso desde ubicaciones o reducir el riesgo aceptable en sus directivas.

Autocorrección con autoservicio de restablecimiento de contraseña

Si un usuario se ha registrado en el autoservicio de restablecimiento de contraseña (SSPR), también puede realizar un autoservicio de restablecimiento de contraseña para corregir su propio riesgo de usuario.

Restablecimiento manual de contraseña

Si el requisito de un restablecimiento de contraseña mediante una directiva de riesgo de usuario no es una opción, los administradores pueden solicitar un restablecimiento de contraseña para corregir un usuario de riesgo.

A los administradores se les proporcionan dos opciones al restablecer una contraseña para los usuarios:

  • Generar una contraseña temporal: mediante la generación de una contraseña temporal, puede retornar inmediatamente una identidad a un estado seguro. Este método requiere ponerse en contacto con los usuarios afectados porque tienen que saber cuál es la contraseña temporal. Dado que la contraseña es temporal, se pedirá al usuario que cambie la contraseña por otra nueva en el inicio de sesión siguiente.

  • Requerir que el usuario restablezca la contraseña: requerir que los usuarios restablezcan las contraseñas permite la propia recuperación sin ponerse en contacto con el departamento de soporte técnico o un administrador. Este método solo se aplica a los usuarios que están registrados para Azure AD MFA y SSPR. Para los usuarios que aún no se han registrado, esta opción no está disponible.

Descartar el riesgo del usuario

Si después de investigar y confirmar que la cuenta de usuario no está en riesgo de ponerse en peligro, puede optar por descartar el usuario de riesgo.

Para descartar el riesgo del usuario, busque y seleccione Usuarios de riesgo de Azure AD en Azure Portal o en el portal de Entra, seleccione el usuario afectado y Descartar el riesgo para los usuarios.

Al seleccionar Descartar el riesgo del usuario, el usuario ya no estará en riesgo y también se descartarán todos los inicios de sesión de riesgo de este usuario y las detecciones de riesgos correspondientes.

Dado que este método no tiene impacto en la contraseña existente del usuario, no retorna su identidad a un estado seguro.

Estado de riesgo y detalles basados en el descarte del riesgo

  • Usuario de riesgo:
    • Estado de riesgo: "En riesgo" -> "Descartado"
    • Detalle del riesgo (el detalle de corrección de riesgos): "-" -> "El administrador descartó todos los eventos de riesgo para el usuario"
  • Todos los inicios de sesión de riesgo de este usuario y las detecciones de riesgo correspondientes:
    • Estado de riesgo: "En riesgo" -> "Descartado"
    • Detalle del riesgo (el detalle de corrección de riesgos): "-" -> "El administrador descartó todos los eventos de riesgo para el usuario"

Confirmación de que un usuario se ha puesto en peligro

Si después de la investigación se confirma que una cuenta se ha puesto en peligro, haga lo siguiente:

  1. Seleccione el evento o usuario en los informes Inicios de sesión de riesgo o Usuarios de riesgo y elija "Confirmación de peligro".
  2. Si no se ha desencadenado una directiva basada en riesgos y el riesgo no se ha autocorregido, realice una o varias de las acciones siguientes:
    1. Solicite un restablecimiento de contraseña.
    2. Bloquee al usuario si sospecha que el atacante puede restablecer la contraseña o llevar a cabo la autenticación multifactor del usuario.
    3. Revoque los tokens de actualización.
    4. Deshabilite cualquier dispositivo que pueda estar en peligro.
    5. Si usa evaluación de acceso continua, revoque todos los tokens de acceso.

Para obtener más información sobre lo que sucede cuando se confirma una vulneración, consulte la sección ¿Cómo debo proporcionar comentarios sobre un riesgo y qué ocurre en el centro de la información?

Usuarios eliminados

No es posible que los administradores descarten el riesgo de los usuarios que se eliminaron del directorio. Para quitar usuarios eliminados, abra un caso de soporte técnico de Microsoft.

Desbloqueo de usuarios

Un administrador puede optar por bloquear un inicio de sesión en función de su directiva de riesgo o investigaciones. Puede producirse un bloqueo en función de un riesgo de inicio de sesión o de usuario.

Desbloqueo en función del riesgo de usuario

Para desbloquear una cuenta que se bloqueó debido al riesgo de usuario, los administradores disponen de las siguientes opciones:

  1. Restablecer contraseña : puede restablecer la contraseña del usuario. Si un usuario se ha puesto en peligro o está en riesgo de ponerse en peligro, la contraseña de dicho usuario debe restablecerse para proteger la cuenta y la organización.
  2. Descartar el riesgo del usuario: la directiva de riesgo de usuario bloquea un usuario si se ha alcanzado el nivel de riesgo del usuario configurado para bloquear el acceso. Si después de la investigación está seguro de que el usuario no está en riesgo de ponerse en peligro y es seguro permitir su acceso, puede reducir el nivel de riesgo del usuario descartando su riesgo de usuario.
  3. Excluir al usuario de la directiva: si cree que la configuración actual de la directiva de inicio de sesión está causando problemas para usuarios específicos y es seguro conceder acceso a estos usuarios sin aplicarles esta directiva, puede excluirlos de esa directiva. Para más información, consulte la sección Exclusiones en el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.
  4. Deshabilitar directiva : si piensa que la configuración de la directiva provoca problemas a todos los usuarios, puede deshabilitar la directiva. Para más información, consulte el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.

Desbloqueo en función del riesgo de inicio de sesión

Para desbloquear una cuenta en función del riesgo de inicio de sesión, los administradores tienen las siguientes opciones:

  1. Iniciar sesión desde una ubicación o dispositivo conocidos: una razón común para el bloqueo de inicios de sesión sospechosos es que se intente iniciar sesión desde ubicaciones o dispositivos desconocidos. Los usuarios pueden determinar rápidamente si esta es la razón del bloqueo. Para ello, deben intentar iniciar sesión desde una ubicación o dispositivo conocidos.
  2. Exclude the user from policy (Excluir al usuario de la directiva): si piensa que la configuración actual de la directiva de inicio de sesión provoca problemas a usuarios concretos, puede excluir los usuarios de ella. Para más información, consulte la sección Exclusiones en el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.
  3. Deshabilitar directiva : si piensa que la configuración de la directiva provoca problemas a todos los usuarios, puede deshabilitar la directiva. Para más información, consulte el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.

Versión preliminar de PowerShell

Con el módulo de versión preliminar del SDK de PowerShell de Microsoft Graph, las organizaciones pueden administrar el riesgo que conlleva el uso de PowerShell. Los módulos de versión preliminar y el código de ejemplo se pueden encontrar en el repositorio de GitHub de Azure AD.

El script de Invoke-AzureADIPDismissRiskyUser.ps1 incluido en el repositorio permite a las organizaciones descartar todos los usuarios de riesgo en su directorio.

Pasos siguientes

Para obtener una visión general de Azure AD Identity Protection, consulte la Introducción a Azure AD Identity Protection.