Directiva de acceso condicional común: Proteger el registro de información de seguridad

  • Artículo

Proteger cuándo y cómo se registran los usuarios para la autenticación multifactor de Microsoft Entra y el restablecimiento de contraseñas de autoservicio ya es posible con las acciones del usuario en una directiva de acceso condicional. Esta característica está disponible para organizaciones que han habilitado el registro combinado. Esta funcionalidad permite a las organizaciones tratar el proceso de registro como cualquier aplicación de una directiva de acceso condicional y usar toda la eficacia del acceso condicional para proteger la experiencia. Los usuarios que inicien sesión en la aplicación Microsoft Authenticator o que habiliten el inicio de sesión con teléfono sin contraseña están sujetos a esta directiva.

Es posible que algunas organizaciones del pasado hayan usado una ubicación de red de confianza o el cumplimiento de dispositivos como un medio para proteger la experiencia de registro. Con la adición del Pase de acceso temporal en Microsoft Entra ID, los administradores pueden aprovisionar credenciales a sus usuarios por tiempo limitado, que les permitirán registrarse desde cualquier dispositivo o ubicación. Las credenciales de Pase de acceso temporal satisfacen los requisitos de acceso condicional para la autenticación multifactor.

Implementación de plantilla

A la hora de implementar esta directiva las organizaciones pueden optar por utilizar los pasos que se describen a continuación o las plantillas de acceso condicional.

Creación de una directiva para un registro seguro

La siguiente directiva se aplica a los usuarios seleccionados que intentan registrarse mediante la experiencia de registro combinado. La directiva requiere que los usuarios se encuentren en una ubicación de red de confianza, realicen la autenticación multifactor o usen credenciales de Pase de acceso temporal.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Crear nueva directiva.
  4. En Nombre, escriba un nombre para la directiva. Por ejemplo, Registro de información de seguridad combinada con TAP.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).

    1. En Incluir, seleccione Todos los usuarios.

      Advertencia

      Los usuarios deben estar habilitados para el registro combinado.

    2. En Excluir.

      1. Seleccione Todos los usuarios externos e invitados.

        Nota:

        El Pase de acceso temporal no funciona para los usuarios invitados.

      2. Seleccione Usuarios y grupos y, a continuación, elija las cuentas de acceso de emergencia de la organización.

  6. En Recursos de destino>Acciones del usuario, marque Registrar información de seguridad.
  7. En Condiciones>Ubicaciones.
    1. Establezca Configurar en .
      1. Incluya Cualquier ubicación.
      2. Excluya Todas las ubicaciones de confianza.
  8. En Controles de acceso>Conceder.
    1. Seleccione Conceder acceso, Requerir autenticación multifactor.
    2. Elija Seleccionar.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Los administradores tendrán que emitir credenciales de Pase de acceso temporal a los nuevos usuarios para que puedan cumplir los requisitos de la autenticación multifactor en el registro. Los pasos para llevar a cabo esta tarea se encuentran en la sección Creación de un Pase de acceso temporal en el centro de administración de Microsoft Entra.

Las organizaciones pueden optar por requerir otros controles de concesión además de requerir la autenticación multifactor (o en lugar de solicitarla) en el paso 8a. Al seleccionar varios controles, asegúrese de activar la alternancia del botón de radio correspondiente para requerir todos los controles seleccionados o uno de ellos al realizar este cambio.

Registro del usuario invitado

En el caso de los usuarios invitados que necesitan registrarse para realizar la autenticación multifactor en el directorio, puede bloquear el registro desde fuera de las ubicaciones de red de confianza mediante la siguiente guía.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Crear nueva directiva.
  4. En Nombre, escriba un nombre para la directiva. Por ejemplo, Registro de información de seguridad combinada en redes de confianza.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios invitados y externos.
  6. En Recursos de destino>Acciones del usuario, marque Registrar información de seguridad.
  7. En Condiciones>Ubicaciones.
    1. Configure .
    2. Incluya Cualquier ubicación.
    3. Excluya Todas las ubicaciones de confianza.
  8. En Controles de acceso>Conceder.
    1. Seleccione Block access (Bloquear acceso).
    2. Después, haga clic en Seleccionar.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Contenido relacionado