Configuración y habilitación de directivas de riesgo

Como hemos aprendido en el artículo anterior, Directivas de acceso basadas en riesgos, hay dos tipos de directivas de riesgo en el acceso condicional de Microsoft Entra que puede configurar. Puede usar estas directivas para automatizar la respuesta a riesgos, lo que permite a los usuarios aplicar autocorrecciones cuando se detecta el riesgo:

  • Directiva de riesgo de inicio de sesión
  • Directiva de riesgo de usuario

Screenshot of a Conditional Access policy showing risk as conditions.

Elección de niveles de riesgo aceptables

Las organizaciones deben decidir el nivel de riesgo que están dispuestas a aceptar para equilibrar la experiencia del usuario y la posición de seguridad.

La elección de aplicar el control de acceso en un nivel de riesgo Alto reduce el número de veces que se desencadena una directiva y minimiza la fricción de los usuarios. Sin embargo, se excluyen de la directiva los riesgos de nivel Bajo y Medio, por lo que es posible que no se impida que un atacante aproveche una identidad en peligro. Si se elige un nivel de riesgo Bajo para requerir el control de acceso, se producen más interrupciones para el usuario.

Identity Protection usa las ubicaciones de red de confianza configuradas en algunas detecciones de riesgos para reducir los falsos positivos.

Las configuraciones de directivas siguientes incluyen el control de sesiones de frecuencia de inicio de sesión que requiere una reautenticación para usuarios e inicios de sesión de riesgo.

Corrección de riesgos

Las organizaciones pueden optar por bloquear el acceso cuando se detecta riesgo. El bloqueo a veces impide que los usuarios legítimos haga lo que necesitan. Una solución mejor es permitir la autocorrección con la autenticación multifactor de Microsoft Entra y el cambio de contraseña seguro.

Advertencia

Los usuarios deben registrarse para la autenticación multifactor de Microsoft Entra antes de que se encuentren con una situación que requiera una corrección. Los usuarios híbridos que se sincronizan desde el entorno local a la nube deben tener habilitada la escritura diferida de contraseñas. Los usuarios no registrados se bloquean y requieren la intervención del administrador.

El cambio de contraseña (conozco mi contraseña y quiero cambiarla por otra) fuera del flujo de corrección de las directivas de usuario de riesgo no cumple el requisito de cambio de contraseña seguro.

Recomendación de Microsoft

Microsoft recomienda las siguientes configuraciones de directivas de riesgo para proteger la organización:

  • Directiva de riesgo de usuario
    • Solicite un cambio de contraseña seguro cuando el nivel de riesgo del usuario sea Alto. Se requiere la autenticación multifactor de Microsoft Entra para que el usuario pueda crear una nueva contraseña con la escritura diferida de contraseñas con el fin de corregir el riesgo.
  • Directiva de riesgo de inicio de sesión
    • Requerir la autenticación multifactor de Microsoft Entra cuando el nivel de riesgo de inicio de sesión es Medio o Alto, lo que permite a los usuarios demostrar que son ellos con alguno de los métodos de autenticación que tienen registrados y corregir así el riesgo de inicio de sesión.

Requerir el control de acceso cuando el nivel de riesgo es bajo presenta más fricción e interrupciones del usuario que cuando es medio o alto. La elección de bloquear el acceso en lugar de permitir opciones de autocorrección, como el cambio de contraseña seguro y la autenticación multifactor, afecta a los usuarios y administradores todavía más. Sopese esta elección cuando configure las directivas.

Exclusiones

Las directivas permiten excluir a usuarios, como las cuentas de acceso de emergencia o de administrador de emergencia. Las organizaciones pueden necesitar excluir otras cuentas de algunas directivas específicas en función de la forma en que se usan las cuentas. Las exclusiones deben revisarse periódicamente para ver si siguen siendo aplicables.

Habilitación de directivas

Las organizaciones pueden optar por implementar directivas basadas en riesgos en el acceso condicional siguiendo los pasos que se indican a continuación o con plantillas de acceso condicional.

Antes de habilitar directivas de corrección, las organizaciones deberían investigar y corregir los riesgos activos.

Directiva de riesgo de usuario en el acceso condicional

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.
  6. En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
  7. En Condiciones>Riesgo de usuario, establezca Configurar en .
    1. En Configure los niveles de riesgo de usuario necesarios para aplicar la directiva, seleccione Alto. (Esta guía se basa en las recomendaciones de Microsoft y puede ser diferente para cada organización).
    2. Seleccione Listo.
  8. En Controles de acceso>Conceder.
    1. Seleccione Conceder acceso, Requerir autenticación multifactor y Requerir cambio de contraseña.
    2. Elija Seleccionar.
  9. En Sesión.
    1. Seleccione Frecuencia de inicio de sesión.
    2. Asegúrese de que Siempre esté seleccionado.
    3. Elija Seleccionar.
  10. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  11. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Directiva de riesgo de inicio de sesión en el acceso condicional

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.
  6. En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
  7. En Condiciones>Riesgo de inicio de sesión, establezca Configurar en . En Seleccionar el nivel de riesgo de inicio de sesión al que se aplicará la directiva. (Esta guía se basa en las recomendaciones de Microsoft y puede ser diferente para cada organización).
    1. Seleccione Alto y Medio.
    2. Seleccione Listo.
  8. En Controles de acceso>Conceder.
    1. Seleccione Conceder acceso, Requerir autenticación multifactor.
    2. Elija Seleccionar.
  9. En Sesión.
    1. Seleccione Frecuencia de inicio de sesión.
    2. Asegúrese de que Siempre esté seleccionado.
    3. Elija Seleccionar.
  10. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  11. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Migración de directivas de riesgo al acceso condicional

Advertencia

Las directivas de riesgo heredadas configuradas en Microsoft Entra ID Protection se retirarán el 1 de octubre de 2026.

Si tiene directivas de riesgo habilitadas en Microsoft Entra ID, debe planear migrarlas al acceso condicional:

Screenshots showing the migration of a sign-in risk policy to Conditional Access.

Migración al acceso condicional

  1. Cree una directiva equivalente basada en el riesgo de usuario y basada en el riesgo de inicio de sesión en el acceso condicional en modo de solo informe. Puede crear una directiva con los pasos anteriores o usar plantillas de acceso condicional basadas en las recomendaciones de Microsoft y los requisitos de la organización.
    1. Pruebe la nueva directiva de riesgo del acceso condicional en el modo de solo informe para asegurarse de que funciona según lo previsto.
  2. Habilite la nueva directiva de riesgo del acceso condicional. Puede elegir que ambas directivas se ejecuten en paralelo para confirmar que las nuevas directivas funcionen según lo previsto antes de desactivar las directivas de riesgo de ID Protection.
    1. Vuelva a Protección>Acceso condicional.
    2. Seleccione esta nueva directiva para editarla.
    3. Establezca Habilitar directiva en Activado para habilitar la directiva.
  3. Deshabilite las directivas de riesgo antiguas de ID Protection.
    1. Vaya a Protección>Identity Protection> Seleccione la directiva de Riesgo de usuario o Riesgo de inicio de sesión.
    2. Establezca Aplicar directiva en Deshabilitado.
  4. Cree otras directivas de riesgo si es necesario en Acceso condicional.

Pasos siguientes