Directiva de acceso condicional común: Requerir MFA a administradores

Las cuentas a las que se asignan derechos administrativos son el objetivo de los atacantes. Exigir la autenticación multifactor (MFA) en esas cuentas es una forma sencilla de reducir el riesgo de que las cuentas se vean comprometidas.

Microsoft recomienda exigir MFA en los roles siguientes como mínimo, en función de recomendaciones de puntuación de identidad:

  • Administrador global
  • Administrador de aplicaciones
  • Administrador de autenticación
  • Administrador de facturación
  • Administrador de aplicaciones en la nube
  • Administrador de acceso condicional
  • Administrador de Exchange
  • Administrador del departamento de soporte técnico
  • Administrador de contraseñas
  • Administrador de autenticación con privilegios
  • Administrador de roles con privilegios
  • Administrador de seguridad
  • Administrador de SharePoint
  • Administrador de usuarios

Las organizaciones pueden optar por incluir o excluir roles según sea adecuado.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

  • Cuentas de acceso de emergencia para evitarel bloqueo de cuentas en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
  • Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Azure AD Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. El acceso condicional no bloquea las llamadas realizadas por las entidades de servicio.
    • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas. Como solución temporal, puede excluir estas cuentas específicas de la directiva de línea de base.

Implementación de plantilla

Las organizaciones pueden optar por implementar esta directiva mediante los pasos descritos a continuación o mediante las plantillas de acceso condicional (versión preliminar).

Creación de una directiva de acceso condicional

Los pasos siguientes le ayudarán a crear una directiva de acceso condicional que exija que esos roles administrativos asignados realicen la autenticación multifactor.

  1. Inicie sesión en Azure Portal como administrador de acceso condicional, administrador de seguridad o administrador global.
  2. Vaya a Azure Active DirectorySeguridadAcceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Roles del directorio y elija roles integrados como:

      • Administrador global
      • Administrador de aplicaciones
      • Administrador de autenticación
      • Administrador de facturación
      • Administrador de aplicaciones en la nube
      • Administrador de acceso condicional
      • Administrador de Exchange
      • Administrador del departamento de soporte técnico
      • Administrador de contraseñas
      • Administrador de autenticación con privilegios
      • Administrador de roles con privilegios
      • Administrador de seguridad
      • Administrador de SharePoint
      • Administrador de usuarios

      Advertencia

      Las directivas de acceso condicional admiten los roles integrados. Las directivas de acceso condicional no se aplican a otros tipos de roles, incluidos los roles con ámbito de unidad administrativa o personalizados.

    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.

  6. En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
  7. En Controles de acceso>Conceder, seleccione Conceder acceso, Requerir autenticación multifactor y Seleccionar.
  8. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  9. Seleccione Crear para crear la directiva.

Después de confirmar la configuración desde el modo de solo informe, un administrador puede pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Pasos siguientes

Directivas de acceso condicional habituales

Simulación del comportamiento de inicio de sesión mediante la herramienta What If de acceso condicional