Protección de métodos de autenticación en Microsoft Entra ID
Nota:
El valor administrado de Microsoft para Authenticator Lite pasará de deshabilitado a habilitado el 26 de junio de 2023. Todos los inquilinos que queden en el estado predeterminado Administrado por Microsoft se habilitarán para la función el 26 de junio.
Microsoft Entra ID agrega y mejora las características de seguridad para proteger mejor a los clientes contra los crecientes ataques. A medida que se conocen nuevos vectores de ataque, Microsoft Entra ID puede responder habilitando la protección de forma predeterminada para ayudar a los clientes a mantenerse al día de las amenazas de seguridad emergentes.
Por ejemplo, en respuesta al aumento de los ataques de fatiga de MFA, Microsoft recomienda las formas recomendadas para que los clientes defiendan a los usuarios. Una recomendación para evitar que los usuarios realicen aprobaciones accidentales de autenticación multifactor (MFA) es habilitar la coincidencia de números. Como resultado, el comportamiento predeterminado para la coincidencia de números se habilitará explícitamente para todos los usuarios de Microsoft Authenticator. Puede obtener más información sobre las nuevas características de seguridad como la coincidencia de números en nuestra entrada de blog Ya están disponibles las funciones de seguridad avanzadas de Microsoft Authenticator.
Hay dos maneras de habilitar la protección de una característica de seguridad de forma predeterminada:
- Una vez publicada una característica de seguridad, los clientes pueden utilizar el centro de administración de Microsoft Entra o Graph API para probar y desplegar el cambio según su propio programación. Para ayudar a defenderse contra nuevos vectores de ataque, Microsoft Entra ID puede habilitar la protección de una característica de seguridad de forma predeterminada para todos los inquilinos en una fecha determinada, y no habrá ninguna opción para deshabilitar la protección. Microsoft programa la protección predeterminada de antemano para dar a los clientes tiempo de preparación para el cambio. Los clientes no pueden optar por no participar si Microsoft programa la protección de forma predeterminada.
- La protección puede ser administrada por Microsoft, lo que significa que Microsoft Entra ID puede habilitar o deshabilitar la protección en función del panorama actual de las amenazas a la seguridad. Los clientes pueden elegir si se permite a Microsoft administrar la protección. Pueden cambiar la opción administrada por Microsoft para que la protección se pueda habilitar o deshabilitar explícitamente en cualquier momento.
Nota
Solo una característica de seguridad crítica tendrá habilitada la protección de forma predeterminada.
Protección predeterminada habilitada por Microsoft Entra ID
La coincidencia de números es un buen ejemplo de protección para un método de autenticación que actualmente es opcional para las notificaciones de inserción en Microsoft Authenticator en todos los inquilinos. Los clientes podrían optar por habilitar la coincidencia de números para las notificaciones de inserción en Microsoft Authenticator para usuarios y grupos, o bien podrían dejarla deshabilitada. La coincidencia de números ya es el comportamiento predeterminado para las notificaciones sin contraseña en Microsoft Authenticator, y los usuarios no pueden optar por no participar.
A medida que aumentan los ataques de fatiga de MFA, la coincidencia de números se vuelve más fundamental para la seguridad de inicio de sesión. Como resultado, Microsoft cambiará el comportamiento predeterminado de las notificaciones de inserción en Microsoft Authenticator.
Configuración administrada de Microsoft
Además de configurar la directiva de métodos de autenticación para que esté habilitada o deshabilitada, los administradores de TI pueden configurar algunas opciones en esta directiva para que sean administradas por Microsoft. Una opción que está configurada como administrada por Microsoft permite que Microsoft Entra ID habilite o deshabilite esa configuración.
La opción de permitir que Microsoft Entra ID administre la configuración es una manera cómoda para que una organización permita que Microsoft habilite o deshabilite una característica de forma predeterminada. Las organizaciones pueden mejorar fácilmente su posición de seguridad si confían en Microsoft para administrar cuándo se debe habilitar una característica de forma predeterminada. Al configurar una configuración como administrada por Microsoft (denominada predeterminada en Graph API), los administradores de TI pueden confiar en Microsoft para habilitar una característica de seguridad que no han deshabilitado explícitamente.
Por ejemplo, un administrador puede habilitar la ubicación y el nombre de la aplicación en las notificaciones de inserción para proporcionar a los usuarios más contexto cuando aprueban solicitudes de MFA con Microsoft Authenticator. El contexto adicional también puede deshabilitarse explícitamente, o establecerse como administrado por Microsoft. En la actualidad, la configuración administrada por Microsoft para la ubicación y el nombre de la aplicación está deshabilitada, lo que deshabilita efectivamente la opción para cualquier entorno en el que un administrador decida permitir que Microsoft Entra ID administre la configuración.
A medida que cambie el panorama de amenazas de seguridad con el tiempo, Microsoft puede cambiar la configuración administrada por Microsoft para la ubicación y el nombre de la aplicación a Habilitado. Para los clientes que quieran confiar en Microsoft para mejorar su posición de seguridad, establecer las características de seguridad en administrado por Microsoft es una manera fácil de adelantarse a las amenazas de seguridad. Pueden confiar en Microsoft para determinar la mejor manera de configurar las opciones de seguridad en función del panorama actual de amenazas.
En la tabla siguiente se muestra cada configuración que se puede establecer en "administrada por Microsoft" y si esa configuración está habilitada o deshabilitada de manera predeterminada.
| Configuración | Configuración |
|---|---|
| Campaña de registro | Habilitado para los usuarios de mensajes de texto y llamadas de voz |
| Ubicación en notificaciones de Microsoft Authenticator | Disabled |
| Nombre de la aplicación en las notificaciones de Microsoft Authenticator | Disabled |
| Autenticación multifactor preferido por el sistema | habilitado |
| Authenticator Lite | Habilitado |
| Notificar actividad sospechosa | Deshabilitado |
A medida que cambian los vectores de amenazas, Microsoft Entra ID puede anunciar la protección predeterminada para una configuración administrada por Microsoft en las notas de la versión y en foros de lectura habitual, como Tech Community. Por ejemplo, consulte nuestra entrada de blog Es el momento de dejar de usar los transportes telefónicos para realizar la autenticación para obtener más información sobre la necesidad de alejarse del uso de mensajes de texto y llamadas de voz, lo que llevó a habilitar de forma predeterminada la campaña de registro para ayudar a los usuarios a configurar Authenticator para la autenticación moderna.
Pasos siguientes
Métodos de autenticación en Microsoft Entra ID: Microsoft Authenticator