Corregir riesgos y desbloquear usuarios

Después de completar la investigación, debe tomar medidas para corregir los usuarios de riesgo o desbloquearlos. Las organizaciones pueden configurar directivas basadas en riesgos para habilitar la corrección automatizada. Las organizaciones deben intentar investigar y corregir todos los usuarios de riesgo en un período de tiempo con el que su organización se sienta cómoda. Microsoft recomienda actuar con agilidad, ya que el tiempo es importante cuando se trabaja con riesgos.

Corrección de riesgos

Todas las detecciones de riesgo activas contribuyen al cálculo del nivel de riesgo del usuario. El nivel de riesgo del usuario es un indicador (bajo, medio, alto) de la probabilidad de que se haya puesto en peligro la cuenta del usuario. Como administrador, después de una investigación exhaustiva sobre los usuarios de riesgo y los inicios de sesión y las detecciones de riesgo correspondientes, debe corregir los usuarios de riesgo para que ya no estén en riesgo y no se bloqueen.

Microsoft Entra ID Protection marca algunas detecciones de riesgo y los inicios de sesión de riesgo correspondientes como descartados con estado de riesgo Descartado y el detalle de riesgo de Microsoft Entra ID Protection evaluó el inicio de sesión como seguro. Realiza esta acción, ya que esos eventos ya no se determinan como de riesgo.

Los administradores tienen las siguientes opciones para la corrección:

Autocorrección con directiva basada en riesgos

Puede permitir la autocorrección de riesgos de inicio de sesión y riesgos de usuario por parte de los usuarios mediante la configuración de directivas basadas en riesgos. Si los usuarios superan el control de acceso necesario, como la autenticación multifactor o el cambio de contraseña seguro, sus riesgos se corrigen automáticamente. Las detecciones de riesgo, los inicios de sesión de riesgo y los usuarios de riesgo correspondientes aparecen con el estado de riesgo Corregido en lugar de En riesgo.

Los requisitos previos para los usuarios antes de que se puedan aplicar directivas basadas en riesgos para permitir la corrección automática de riesgos son:

  • Para realizar una autenticación multifactor y autocorregir un riesgo de inicio de sesión:
    • El usuario debe haber registrado para Microsoft Entra autenticación multifactor.
  • Para realizar un cambio de contraseña seguro y autocorregir un riesgo de usuario:
    • El usuario debe haber registrado para Microsoft Entra autenticación multifactor.
    • Los usuarios híbridos que se sincronizan desde el entorno local a la nube deben tener habilitada la escritura diferida de contraseñas.

Si se aplica una directiva basada en riesgos a un usuario durante el inicio de sesión antes de cumplir los requisitos previos anteriores, el usuario se bloquea. Esta acción de bloqueo se debe a que no pueden realizar el control de acceso necesario y es necesaria la intervención del administrador para desbloquear al usuario.

Las directivas basadas en riesgos se configuran en función de los niveles de riesgo y solo se aplican si el nivel de riesgo del inicio de sesión o del usuario coincide con el nivel configurado. Es posible que algunas detecciones no alcancen el nivel de riesgo necesario para que se aplique la directiva y los administradores deben encargarse de esos usuarios de riesgo manualmente. Los administradores pueden determinar que son necesarias medidas adicionales, como bloquear el acceso desde ubicaciones o reducir el riesgo aceptable en sus directivas.

Autocorrección con autoservicio de restablecimiento de contraseña

Si un usuario se ha registrado en el autoservicio de restablecimiento de contraseña (SSPR), puede realizar un autoservicio de restablecimiento de contraseña para corregir su propio riesgo de usuario.

Restablecimiento manual de contraseña

Si el requisito de un restablecimiento de contraseña mediante una directiva de riesgo de usuario no es una opción o el tiempo es esencial, los administradores pueden solicitar un restablecimiento de contraseña para corregir un usuario de riesgo.

Los administradores tienen opciones entre las que pueden elegir:

  • Generar una contraseña temporal: mediante la generación de una contraseña temporal, puede retornar inmediatamente una identidad a un estado seguro. Este método requiere ponerse en contacto con los usuarios afectados porque tienen que saber cuál es la contraseña temporal. Dado que la contraseña es temporal, se pedirá al usuario que cambie la contraseña por otra nueva en el inicio de sesión siguiente.

    • Pueden generar contraseñas para usuarios híbridos y en la nube en el Centro de administración de Microsoft Entra.

    • Pueden generar contraseñas para usuarios híbridos de un directorio local cuando la sincronización de hash de contraseña y la configuración Permitir el cambio de contraseña local para restablecer el riesgo de usuario están habilitadas.

      Advertencia

      No seleccione la opción El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Esto no se admite.

  • Requerir que el usuario restablezca la contraseña: requerir que los usuarios restablezcan las contraseñas permite la propia recuperación sin ponerse en contacto con el departamento de soporte técnico o un administrador.

    • Los usuarios híbridos y en la nube pueden completar un cambio seguro de contraseña. Este método solo se aplica a los usuarios que ya pueden realizar MFA. Para los usuarios que no se han registrado, esta opción no está disponible.
    • Los usuarios híbridos pueden completar un cambio de contraseña pulsando Ctrl+Alt+Supr y cambiando su contraseña desde un dispositivo Windows unido a un entorno local o híbrido cuando están habilitadas la sincronización de hash de contraseña y la configuración Permitir el cambio de contraseña local para restablecer el riesgo de usuario.

Permitir el restablecimiento de contraseña local para corregir los riesgos del usuario (versión preliminar)

Las organizaciones que han habilitado la sincronización de hash de contraseña pueden permitir cambios de contraseña locales para corregir el riesgo del usuario.

Esta configuración proporciona a las organizaciones dos nuevas funcionalidades:

  • Los usuarios híbridos de riesgo pueden corregirse a sí mismos sin intervención de los administradores. Cuando se cambia una contraseña local, el riesgo de usuario ahora se corrige automáticamente en Microsoft Entra ID Protection, restableciendo el estado de riesgo del usuario actual.
  • Las organizaciones pueden implementar de forma proactiva directivas de riesgo de usuario que requieran cambios de contraseña para proteger con confianza a sus usuarios híbridos. Esta opción refuerza la posición de seguridad de la organización y simplifica la administración de la seguridad al garantizar que los riesgos de usuario se aborden rápidamente, incluso en entornos híbridos complejos.

Screenshot showing the location of the Allow on-premises password change to reset user risk checkbox.

Para configurar esa opción:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como un Operador de seguridad.
  2. Vaya a Protección>Protección de identidad>Configuración.
  3. Active la casilla para Permitir el cambio de contraseña local para restablecer el riesgo de usuario.
  4. Seleccione Guardar.

Nota:

Permitir el cambio de contraseña local para restablecer el riesgo de usuario es una característica de solo participación. Los clientes deben evaluar esta característica antes de habilitarla en entornos de producción. Se recomienda a los clientes proteger los flujos de cambio o restablecimiento de contraseña locales. Por ejemplo, requerir la autenticación multifactor antes de permitir que los usuarios cambien su contraseña local mediante una herramienta como el Portal de autoservicio de restablecimiento de contraseña de Microsoft Identity Manager.

Descartar el riesgo del usuario

Si después de investigar y confirmar que la cuenta de usuario no está en riesgo de ponerse en peligro, puede optar por descartar el usuario de riesgo.

Para descartar el riesgo del usuario como mínimo operador de seguridad en el Centro de administración de Microsoft Entra, navegue hasta Protección>Protección de identidad>Usuarios en riesgo, seleccione el usuario afectado y seleccione Descartar riesgo de usuarios.

Al seleccionar Descartar el riesgo del usuario, el usuario ya no esta en riesgo y también se descartan todos los inicios de sesión de riesgo de este usuario y las detecciones de riesgos correspondientes.

Dado que este método no afecta a la contraseña existente del usuario, no retorna su identidad a un estado seguro.

Estado de riesgo y detalles basados en el descarte del riesgo

  • Usuario de riesgo:
    • Estado de riesgo: "En riesgo" -> "Descartado"
    • Detalle del riesgo (el detalle de corrección de riesgos): "-" -> "El administrador descartó todos los eventos de riesgo para el usuario"
  • Todos los inicios de sesión de riesgo de este usuario y las detecciones de riesgo correspondientes:
    • Estado de riesgo: "En riesgo" -> "Descartado"
    • Detalle del riesgo (el detalle de corrección de riesgos): "-" -> "El administrador descartó todos los eventos de riesgo para el usuario"

Confirmación de que un usuario se ha puesto en peligro

Si después de la investigación se confirma que una cuenta se ha puesto en peligro, haga lo siguiente:

  1. Seleccione el evento o usuario en los informes Inicios de sesión de riesgo o Usuarios de riesgo y elija "Confirmación de peligro".
  2. Si no se ha desencadenado una directiva basada en riesgos y el riesgo no se ha autocorregido, realice una o varias de las acciones siguientes:
    1. Solicite un restablecimiento de contraseña.
    2. Si sospecha que el atacante puede restablecer la contraseña o llevar a cabo la autenticación multifactor del usuario, bloquee al usuario.
    3. Revoque los tokens de actualización.
    4. Deshabilite cualquier dispositivo que pueda estar en peligro.
    5. Si usa evaluación de acceso continua, revoque todos los tokens de acceso.

Para obtener más información sobre lo que sucede cuando se confirma una vulneración, consulte la sección ¿Cómo debo proporcionar comentarios sobre un riesgo y qué ocurre en el centro de la información?

Usuarios eliminados

No es posible que los administradores descarten el riesgo de los usuarios que se eliminaron del directorio. Para quitar usuarios eliminados, abra un caso de soporte técnico de Microsoft.

Desbloqueo de usuarios

Un administrador puede optar por bloquear un inicio de sesión en función de su directiva de riesgo o investigaciones. Puede producirse un bloqueo en función de un riesgo de inicio de sesión o de usuario.

Desbloqueo en función del riesgo de usuario

Para desbloquear una cuenta que se bloqueó debido al riesgo de usuario, los administradores disponen de las siguientes opciones:

  1. Restablecer contraseña : puede restablecer la contraseña del usuario. Si un usuario se ha puesto en peligro o está en riesgo de ponerse en peligro, la contraseña de dicho usuario debe restablecerse para proteger la cuenta y la organización.
  2. Descartar el riesgo del usuario: la directiva de riesgo de usuario bloquea un usuario si se ha alcanzado el nivel de riesgo del usuario configurado para bloquear el acceso. Si después de la investigación está seguro de que el usuario no está en riesgo de ponerse en peligro y es seguro permitir su acceso, puede reducir el nivel de riesgo del usuario descartando su riesgo de usuario.
  3. Excluir al usuario de la directiva: si cree que la configuración actual de la directiva de inicio de sesión está causando problemas para usuarios específicos y es seguro conceder acceso a estos usuarios sin aplicarles esta directiva, puede excluirlos de esa directiva. Para más información, consulte la sección Exclusiones en el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.
  4. Deshabilitar directiva : si piensa que la configuración de la directiva provoca problemas a todos los usuarios, puede deshabilitar la directiva. Para más información, consulte el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.

Desbloqueo en función del riesgo de inicio de sesión

Para desbloquear una cuenta en función del riesgo de inicio de sesión, los administradores tienen las siguientes opciones:

  1. Iniciar sesión desde una ubicación o dispositivo conocidos: una razón común para el bloqueo de inicios de sesión sospechosos es que se intente iniciar sesión desde ubicaciones o dispositivos desconocidos. Los usuarios pueden determinar rápidamente si esta es la razón del bloqueo. Para ello, deben intentar iniciar sesión desde una ubicación o dispositivo conocidos.
  2. Exclude the user from policy (Excluir al usuario de la directiva): si piensa que la configuración actual de la directiva de inicio de sesión provoca problemas a usuarios concretos, puede excluir los usuarios de ella. Para más información, consulte la sección Exclusiones en el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.
  3. Deshabilitar directiva : si piensa que la configuración de la directiva provoca problemas a todos los usuarios, puede deshabilitar la directiva. Para más información, consulte el artículo Procedimientos: Configuración y habilitación de directivas de riesgo.

Versión preliminar de PowerShell

Con el módulo de versión preliminar del SDK de PowerShell de Microsoft Graph, las organizaciones pueden administrar el riesgo que conlleva el uso de PowerShell. Los módulos de versión preliminar y el código de ejemplo se pueden encontrar en el repositorio de GitHub de Microsoft Entra.

El script Invoke-AzureADIPDismissRiskyUser.ps1 incluido en el repositorio permite a las organizaciones descartar todos los usuarios de riesgo en su directorio.

Pasos siguientes

Simular un alto riesgo de usuario