Valores predeterminados de seguridad en Azure AD

Microsoft hace que los valores predeterminados de seguridad estén disponibles para todos, ya que la administración de la seguridad puede ser difícil. Los ataques relacionados con la identidad, como la difusión de contraseñas, la reproducción y la suplantación de identidad son comunes en el entorno actual. Más del 99,9 % de estos ataques relacionados con la identidad se detienen mediante la autenticación multifactor (MFA) y el bloqueo de la autenticación heredada. El objetivo es asegurarse de que todas las organizaciones gocen de al menos un nivel básico de seguridad sin ningún costo adicional.

Los valores predeterminados de seguridad facilitan la protección de la organización frente a estos ataques relacionados con la identidad con opciones de configuración de seguridad preconfiguradas:

¿Para quiénes son?

  • Organizaciones que quieren aumentar su posición de seguridad, pero no saben cómo ni dónde empezar.
  • Organizaciones que usan el nivel gratuito de las licencias de Azure Active Directory.

¿Quién debe usar el acceso condicional?

  • Si actualmente es una organización que usa directivas de acceso condicional, es probable que los valores predeterminados de seguridad no sean adecuados para usted.
  • Si es una organización con licencias de Azure Active Directory Premium, es probable que los valores predeterminados de seguridad tampoco le convengan.
  • Sin embargo, si su organización tiene requisitos de seguridad complejos, debería tener en cuenta el acceso condicional.

Habilitación de los valores de seguridad predeterminados

Si el inquilino se creó a partir del 22 de octubre de 2019, puede que los valores predeterminados de seguridad ya estén habilitados en el inquilino. Para proteger a todos los usuarios, los valores predeterminados de seguridad se están implementando en todos los nuevos inquilinos en el momento de su creación.

Para habilitar los valores de seguridad predeterminados en su directorio:

  1. Inicie sesión en Azure Portal como administrador de seguridad, administrador de acceso condicional o administrador global.
  2. Vaya a Azure Active Directory>Propiedades.
  3. Seleccione Administrar valores predeterminados de seguridad.
  4. Establezca Habilitar valores predeterminados de seguridad en .
  5. Seleccione Guardar.

Captura de pantalla de Azure Portal con el botón de alternancia para habilitar los valores predeterminados de seguridad

Directivas de seguridad aplicadas

Exigir que todos los usuarios se registren para Azure AD Multi-Factor Authentication

Todos los usuarios del inquilino deben registrarse para la autenticación multifactor (MFA) en forma de la autenticación multifactor de Azure AD. Los usuarios tienen 14 días para registrarse en la autenticación multifactor de Azure AD mediante la aplicación Microsoft Authenticator o cualquier aplicación que soporte OATH TOTP. Una vez transcurridos los 14 días, el usuario no podrá iniciar sesión hasta que se complete el registro. El período de 14 días de un usuario comienza después del primer inicio de sesión interactivo correcto después de habilitar los valores de seguridad predeterminados.

Exigir que los administradores realicen la autenticación multifactor

Los administradores tienen un mayor acceso a su entorno. Dadas las facultades de estas altamente privilegiadas cuentas, debe tratarlas con un cuidado especial. Un método común para mejorar la protección de las cuentas con privilegios es exigir una forma de verificación de la cuenta más estricta para iniciar sesión. En Azure AD, puede exigir el uso de la autenticación multifactor para conseguir una verificación de cuentas más estricta.

Sugerencia

Se recomienda tener cuentas independientes para las tareas de administración y productividad estándar para reducir significativamente el número de veces que se solicita autenticación multifactor a los administradores.

Una vez finalizado el registro con Azure AD Multi-Factor Authentication, los roles de administrador de Azure AD siguientes deberán realizar una autenticación adicional cada vez que inicien sesión:

  • Administrador global
  • Administrador de aplicaciones
  • Administrador de autenticación
  • Administrador de facturación
  • Administrador de aplicaciones en la nube
  • Administrador de acceso condicional
  • Administrador de Exchange
  • Administrador del departamento de soporte técnico
  • Administrador de contraseñas
  • Administrador de autenticación con privilegios
  • Administrador de seguridad
  • Administrador de SharePoint
  • Administrador de usuarios

Exigir que los usuarios realicen la autenticación multifactor cuando sea necesario

Se tiende a pensar que las cuentas de administrador son las únicas cuentas que necesitan capas adicionales de autenticación. Los administradores tienen un amplio acceso a información confidencial y pueden realizar cambios en la configuración de toda la suscripción. Sin embargo, los atacantes suelen dirigirse a los usuarios finales.

Una vez que estos atacantes obtienen acceso, pueden solicitar acceso a información privilegiada en nombre del titular de la cuenta original. Incluso pueden descargar todo el directorio para realizar un ataque de suplantación de identidad (phishing) en toda la organización.

Un método común para mejorar la protección de todos los usuarios es exigir a todos una forma más estricta de verificación de cuentas, como la autenticación multifactor. Cuando los usuarios finalicen el registro, se les solicitará otra autenticación siempre que sea necesario. Azure AD decide cuándo se solicita a un usuario que realice la autenticación multifactor, en función de factores como la ubicación, el dispositivo, el rol y la tarea. Esta funcionalidad protege todas las aplicaciones registradas con Azure AD, incluidas las aplicaciones SaaS.

Nota:

En el caso de los usuarios de conexión directa B2B, deberá cumplirse cualquier requisito de autenticación multifactor de los valores predeterminados de seguridad que están habilitados en el inquilino de recursos, incluido el registro de autenticación multifactor por parte del usuario de conexión directa en su inquilino principal.

Bloquear los protocolos de autenticación heredados

Para brindar a los usuarios un acceso sencillo a las aplicaciones en la nube, Azure AD admite una variedad de protocolos de autenticación, incluida la autenticación heredada. La autenticación heredada es un término que hace referencia a una solicitud de autenticación realizada por:

  • Clientes que no usan la autenticación moderna (por ejemplo, el cliente de Office 2010).
  • Cualquier cliente que use protocolos de correo antiguos, como IMAP, SMTP o POP3.

Hoy en día, la mayoría de los intentos de inicio de sesión que ponen en peligro la seguridad proceden de la autenticación heredada. La autenticación heredada no admite la autenticación multifactor. Incluso si tiene una directiva de autenticación multifactor habilitada en el directorio, un atacante puede autenticarse mediante un protocolo antiguo y omitir la autenticación multifactor.

Después de habilitar los valores de seguridad predeterminados en el inquilino, se bloquearán todas las solicitudes de autenticación realizadas con un protocolo antiguo. Los valores predeterminados de seguridad bloquean la autenticación básica de Exchange Active Sync.

Advertencia

Antes de habilitar los valores predeterminados de seguridad, asegúrese de que los administradores no estén usando protocolos de autenticación antiguos. Para más información, consulte Cómo cambiar la autenticación heredada.

Proteger las actividades con privilegios, como el acceso a Azure Portal

Las organizaciones usan diversos servicios de Azure que se administran mediante la API de Azure Resource Manager, entre ellos:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

El uso de Azure Resource Manager para administrar los servicios es una acción con privilegios elevados. Azure Resource Manager puede modificar las configuraciones de todo el inquilino, como la configuración del servicio y la facturación de la suscripción. La autenticación de factor único es vulnerable a una variedad de ataques, como la suplantación de identidad (phishing) y la difusión de contraseñas.

Es importante comprobar la identidad de los usuarios que quieren acceder a Azure Resource Manager y actualizar las configuraciones. Para comprobar su identidad, solicite una autenticación adicional antes de permitir el acceso.

Después de habilitar los valores predeterminados de seguridad en el inquilino, cualquier usuario que acceda a los servicios siguientes deberá completar la autenticación multifactor:

  • Azure portal
  • Azure PowerShell
  • Azure CLI

Esta directiva se aplica a todos los usuarios que acceden a los servicios de Azure Resource Manager, independientemente de si son administradores o usuarios.

Nota:

Los inquilinos de Exchange Online anteriores a 2017 tienen la autenticación moderna deshabilitada de forma predeterminada. Para evitar la posibilidad de que se produzca un bucle de inicio de sesión durante la autenticación a través de estos inquilinos, debe habilitar la autenticación moderna.

Nota:

La cuenta de sincronización de Azure AD Connect se excluye de los valores predeterminados de seguridad y no se le solicitará que se registre ni que realice la autenticación multifactor. Las organizaciones no deben usar esta cuenta para otros fines.

Consideraciones de la implementación

Métodos de autenticación

Los usuarios predeterminados de seguridad permiten el registro y el uso de la autenticación multifactor de Azure AD mediante Microsoft Authenticator con notificaciones. Los usuarios pueden utilizar códigos de verificación de la aplicación Microsoft Authenticator, pero solo pueden registrarse mediante la opción de notificación. Los usuarios también pueden usar cualquier aplicación de terceros mediante OATH TOTP para generar códigos.

Advertencia

No deshabilite los métodos de la organización si está usando Valores predeterminados de seguridad. La deshabilitación de los métodos puede dar lugar a su propia expulsión del inquilino. Deje todos los Métodos disponibles para los usuarios habilitados en el portal de configuración del servicio MFA.

Copia de seguridad de cuentas de administrador

Cada organización debe tener al menos dos cuentas de administrador de copia de seguridad configuradas. Llamamos a estas cuentas de acceso de emergencia.

Estas cuentas se pueden usar en escenarios en los que no se pueden usar las cuentas de administrador normales. Por ejemplo: la persona con el acceso de administrador global más reciente ha dejado la organización. Azure AD impide que se pueda eliminar la última cuenta de administrador global, pero no que esta se pueda eliminar o deshabilitar de forma local. Es posible que alguna de estas situaciones impida a la organización recuperar la cuenta.

Las cuentas de acceso de emergencia:

  • Derechos de administrador global asignados en Azure AD.
  • No se usan a diario.
  • Están protegidos con una contraseña compleja y larga.

Las credenciales de estas cuentas de acceso de emergencia deben almacenarse sin conexión en una ubicación segura, como una caja fuerte a prueba de incendios. Solo las personas autorizadas deben tener acceso a estas credenciales.

Creación de una cuenta de acceso de emergencia:

  1. Inicie sesión en Azure Portal como un Administrador global existente.
  2. Vaya a Azure Active Directory>Usuarios.
  3. Seleccione Nuevo usuario.
  4. Seleccione Create User (Crear usuario).
  5. Asigne un nombre de usuario a la cuenta.
  6. Asigne un nombre a la cuenta.
  7. Cree una contraseña larga y compleja para la cuenta.
  8. En Roles, asigne el rol Administrador global.
  9. En Ubicación de utilización, seleccione la ubicación adecuada.
  10. Seleccione Crear.

Puede elegir deshabilitar la expiración de contraseñas para estas cuentas con PowerShell de Azure AD.

Para obtener información más detallada sobre las cuentas de acceso de emergencia, consulte el artículo Administración de cuentas de acceso de emergencia en Azure AD.

Usuarios B2B

Los usuarios invitados B2B o los usuarios de conexión directa B2B que acceden al directorio se tratan igual que los usuarios de la organización.

Estado de MFA deshabilitado

Si su organización es un usuario anterior de Azure AD Multi-Factor Authentication basado en usuarios, no se alarme si no ve usuarios con el estado Habilitado o Aplicado en la página de estado de Multi-Factor Authentication. Deshabilitado es el estado adecuado para los usuarios que utilizan valores predeterminados de seguridad o Azure AD Multi-Factor Authentication basado en el acceso condicional.

Acceso condicional

Puede usar el acceso condicional para configurar directivas similares a las predeterminadas de seguridad, pero con más granularidad. Las directivas de acceso condicional permiten seleccionar otros métodos de autenticación y la capacidad de excluir usuarios, que no están disponibles en los valores de seguridad predeterminados. Si hoy usa acceso condicional en su entorno, los valores de seguridad predeterminados no estarán disponibles.

Mensaje de advertencia que indica que puede tener valores predeterminados de seguridad o acceso condicional, pero no ambos

Si quiere habilitar el acceso condicional a fin de configurar un conjunto de directivas, que forman un buen punto inicial para proteger las identidades:

Deshabilitación de los valores predeterminados de seguridad

Las organizaciones que decidan implementar directivas de acceso condicional que reemplacen los valores predeterminados de seguridad deben deshabilitar estos últimos.

Mensaje de advertencia para deshabilitar los valores predeterminados de seguridad y permitir el acceso condicional

Para deshabilitar los valores predeterminados de seguridad en el directorio:

  1. Inicie sesión en Azure Portal como administrador de seguridad, administrador de acceso condicional o administrador global.
  2. Vaya a Azure Active Directory>Propiedades.
  3. Seleccione Administrar valores predeterminados de seguridad.
  4. Establezca Activación de los valores predeterminados de seguridad en No.
  5. Seleccione Guardar.

Pasos siguientes