Detección y solución de brechas en la cobertura de autenticación sólida de los administradores

Solicitar la autenticación multifactor (MFA) a los administradores de un inquilino es uno de los primeros pasos que se pueden dar para aumentar la seguridad del inquilino. En este artículo se explica cómo asegurarse de que todos los administradores están cubiertos por la autenticación multifactor.

Detección del uso actual de los roles de cuenta predefinida de administrador de Microsoft Entra

La puntuación segura de Microsoft Entra ID proporciona una puntuación para Requerir MFA para roles administrativos en el inquilino. Esta acción de mejora realiza un seguimiento del uso de MFA por parte del Administrador global, el Administrador de seguridad, el Administrador de Exchange y el Administrador de SharePoint.

Hay diferentes maneras de comprobar si los administradores están cubiertos por una directiva de MFA.

• Para solucionar problemas de inicio de sesión de un administrador específico, puede usar los registros de inicio de sesión. Los registros de inicio de sesión permiten filtrar el Requisito de autenticación de usuarios concretos. Cualquier inicio de sesión cuyo requisito de autenticación sea autenticación de factor único significa que no hay ninguna directiva de autenticación multifactor, lo que es necesario para el inicio de sesión.

  

  Al ver los detalles de un inicio de sesión específico, seleccione la pestaña Detalles de autenticación para obtener más información sobre los requisitos de MFA. Para obtener más información, consulte Detalles de la actividad del registro de inicio de sesión.

  

• Para elegir qué directiva habilitar en función de las licencias de usuario, se dispone de un nuevo asistente para habilitar MFA que ayuda a comparar directivas de MFA y a ver qué pasos son adecuados para la organización. El asistente muestra los administradores protegidos por MFA en los últimos 30 días.

  

• Puede ejecutar este script para generar mediante programación un informe de todos los usuarios con asignaciones de roles de directorio que han iniciado sesión con o sin MFA en los últimos 30 días. Este script enumerará todas las asignaciones de roles integradas y personalizadas activas, todas las asignaciones de roles integradas y personalizadas aptas y los grupos con roles asignados.

Exigir la autenticación multifactor a los administradores

Si encuentra administradores que no están protegidos por la autenticación multifactor, puede protegerlos de cualquiera de estas maneras:

• Si los administradores tienen licencia de Microsoft Entra ID P1 o P2, puede crear una directiva de acceso condicional para aplicar MFA a los administradores. También puede actualizar esta directiva para requerir MFA a los usuarios con roles personalizados.

• Ejecute el asistente para habilitar MFA para elegir la directiva de MFA.

• Si asigna roles de administrador personalizados o integrados en Privileged Identity Management, exija la autenticación multifactor tras la activación del rol.

Uso de métodos de autenticación resistentes a la suplantación de identidad (phishing) y sin contraseña para los administradores

Una vez que los administradores apliquen la autenticación multifactor y la hayan usado durante un tiempo, es el momento de aumentar el nivel de autenticación sólida y usar un método de autenticación resistente a la suplantación de identidad (phishing) y sin contraseña:

• Inicio de sesión telefónico (con Microsoft Authenticator)
• FIDO2
• Windows Hello para empresas

Puede leer más sobre estos métodos de autenticación y sus consideraciones de seguridad en Métodos de autenticación de Microsoft Entra.

Pasos siguientes

Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator