Directivas de acceso basadas en riesgos

Las directivas de control de acceso se pueden aplicar para proteger a las organizaciones cuando se detecta que un inicio de sesión o un usuario están en riesgo. Estas directivas se denominan directivas basadas en riesgos.

El acceso condicional de Microsoft Entra ofrece dos condiciones de riesgo impulsadas por las señales de Protección de Microsoft Entra ID: Riesgo de inicio de sesión y Riesgo de usuario. Las organizaciones pueden crear directivas de acceso condicional basadas en riesgos mediante la configuración de estas dos condiciones de riesgo y la elección de un método de control de acceso. Durante cada inicio de sesión, la Protección de ID envía los niveles de riesgo detectados al Acceso condicional, y las directivas basadas en el riesgo se aplican si se cumplen las condiciones de la directiva.

Puede requerir la autenticación multifactor cuando el nivel de riesgo de inicio de sesión es medio o alto, solo se solicita a los usuarios en ese nivel.

En el ejemplo anterior también se muestra una ventaja principal de una directiva basada en riesgos: corrección automática de riesgos. Cuando un usuario completa correctamente el control de acceso necesario, como un cambio de contraseña seguro, se corrige su riesgo. La sesión de inicio de sesión y la cuenta de usuario no corren peligro, por lo que no es preciso que el administrador tome ninguna medida.

Permitir que los usuarios corrijan automáticamente mediante este proceso reduce significativamente la carga de investigación y corrección de riesgos para los administradores a la vez que protegen a las organizaciones frente a riesgos de seguridad. Puede encontrar más información sobre la corrección de riesgos en el artículo Corrección de riesgos y desbloqueo de usuarios.

Directiva de Acceso condicional basado en el riesgo de inicio de sesión

Durante cada inicio de sesión, Protección de id. analiza cientos de señales en tiempo real y calcula un nivel de riesgo de inicio de sesión que representa la probabilidad de que la solicitud de autenticación determinada no esté autorizada. A continuación, este nivel de riesgo se envía al acceso condicional, donde se evalúan las directivas configuradas de la organización. Los administradores pueden configurar directivas de acceso condicional basadas en riesgos de inicio de sesión para aplicar controles de acceso en función del riesgo de inicio de sesión, incluidos los requisitos como:

• Bloquear acceso
• Permitir acceso
• Requiere autenticación multifactor

Si se detectan riesgos en un inicio de sesión, los usuarios pueden realizar el control de acceso necesario, como la autenticación multifactor, para corregir y cerrar el evento de inicio de sesión de riesgo para evitar ruido innecesario para los administradores.

Nota:

Los usuarios deben haberse registrado previamente para la autenticación multifactor de Microsoft Entra antes de desencadenar la directiva de riesgo de inicio de sesión.

Directiva de acceso condicional basadas en riesgos de usuario

Protección de id. analiza las señales sobre las cuentas de usuario y calcula una puntuación de riesgo en función de la probabilidad de que el usuario esté en peligro. Si un usuario tiene un comportamiento de inicio de sesión arriesgado o se filtran sus credenciales, Protección de id. usa estas señales para calcular el nivel de riesgo del usuario. Los administradores pueden configurar directivas de acceso condicional basadas en riesgos de usuario para aplicar controles de acceso en función del riesgo de iusuario, incluidos los requisitos como:

• Bloquear el acceso.
• Permitir el acceso, pero requerir un cambio de contraseña seguro.

Un cambio de contraseña seguro corrige el riesgo del usuario y cerrará el evento de usuario de riesgo para evitar ruido innecesario para los administradores.

Migración de directivas de riesgo de ID Protection al acceso condicional

Si tiene habilitadas la directiva de riesgo de usuario o la directiva de riesgo de inicio de sesión heredadas en Protección de ID (anteriormente Protección de identidad), deberá migrarlas a Acceso condicional.

Advertencia

Las directivas de riesgo heredadas configuradas en Microsoft Entra ID Protection se retirarán el 1 de octubre de 2026.

La configuración de directivas de riesgo en el acceso condicional proporciona ventajas como la capacidad de:

• Administrar directivas de acceso en una ubicación.
• Usar el modo de solo informe y las Graph API.
• Aplicar la frecuencia de inicio de sesión para exigir la reautenticación cada vez.
• Proporcionar un control de acceso granular combinando el riesgo con otras condiciones como la ubicación.
• Mejorar la seguridad con múltiples directivas basadas en el riesgo y destinadas a diferentes grupos de usuarios o niveles de riesgo.
• Mejorar la experiencia de diagnóstico detallando qué directiva basada en el riesgo se ha aplicado en los registros de inicio de sesión.
• Admitir el sistema de autenticación de respaldo.

Politica de registro de autenticación multifactor de Microsoft Entra

Protección de Id. puede ayudar a las organizaciones a implementar la autenticación multifactor de Microsoft Entra mediante una directiva que requiere registro al iniciar sesión. La habilitación de esta directiva es una excelente manera de asegurarse de que los nuevos usuarios de la organización se registren en MFA el primer día. La autenticación multifactor es uno de los métodos de corrección automática para los eventos de riesgo dentro de Protección de id. La corrección automática permite que los usuarios realicen acciones por su cuenta para reducir el volumen de llamadas al departamento de soporte técnico.

Encuentre más información sobre la autenticación multifactor de Microsft Entra en el artículo Cómo funciona: autenticación multifactor de Microsoft Entra.

Contenido relacionado

• Habilitar la directiva de registro de autenticación multifactor de Microsoft Entra
• Habilitación de las directivas de riesgo de inicios de sesión y de usuarios