Configuración de las directivas de acceso condicional de MFA de ocho esenciales

En este artículo se proporcionan instrucciones sobre cómo configurar la directiva de acceso condicional en Microsoft Entra ID para cumplir los requisitos de un nivel de madurez determinado.

Nota:

  • No cree exclusiones para las siguientes directivas de MFA (por ejemplo, no excluya en función de la ubicación, el estado del dispositivo).
  • Hay un problema conocido con la activación de licencias de Windows cuando se requiere MFA para la aplicación de la Tienda Windows para empresas. Una solución alternativa provisional es excluir esta aplicación de la directiva de acceso condicional.

Para crear la directiva de acceso condicional.

  1. Vaya al Centro de administración Microsoft Entra>Centro de administración Microsoft Entra.
  2. SeleccioneAcceso condicional de>protección>Crear nueva directiva.
  3. Configure la directiva para el nivel de madurez necesario.
  4. Establezca Habilitar directivaen Activado y seleccione Crear.

Nivel de madurez 1

  • Nombre: ACSC Essential Eight MFA : nivel de madurez 1
  • Usuarios:
    • Incluir: Todos los usuarios
  • Aplicaciones en la nube:
    • Incluir: Todas las aplicaciones en la nube
  • Condiciones: Ninguna
  • Concesión: Requerir intensidad de autenticación

Niveles de madurez 2 & 3

  • Nombre: ACSC Essential Eight MFA : nivel de madurez 2 & 3
  • Usuarios:
    • Incluir: Todos los usuarios
  • Aplicaciones en la nube:
    • Incluir: Todas las aplicaciones en la nube
  • Condiciones: Ninguna
  • Concesión: Requerir intensidad de autenticación

Recomendaciones de Microsoft

Además de las directivas de acceso condicional de nivel de madurez, se recomienda implementar los siguientes controles.

Requerir dispositivos compatibles o unidos a híbridos

La resistencia a la suplantación de identidad (phishing) se puede lograr en cualquiera de los niveles de madurez limitando los inicios de sesión a dispositivos compatibles o Microsoft Entra unidos a dispositivos híbridos (de escritorio y móviles). Este control se recomienda para todos los niveles de madurez y debe aplicarse a todos los dispositivos propiedad de la organización. Siempre que sea posible, este control también se debe aplicar para traer sus propios dispositivos de dispositivo (BYOD).

Siga esta guía para habilitar la necesidad de un dispositivo unido híbrido compatible o Microsoft Entra:

Bloquear la autenticación heredada

Los protocolos de autenticación heredados no admiten la autenticación moderna y, por tanto, son vulnerables a ataques de robo de credenciales. Se recomienda bloquear los protocolos de autenticación heredados para reducir el riesgo de ataques de robo de credenciales.

Para bloquear la autenticación heredada, siga esta guía:

Protección frente a la adquisición de la autenticación multifactor de cuentas inactivas

Las cuentas inactivas que no están registradas para la autenticación multifactor son susceptibles a ataques de adquisición de autenticación multifactor. Se recomienda configurar una directiva de registro de MFA para garantizar que los usuarios configuren la autenticación multifactor como parte del flujo de incorporación de usuarios.

Identifique las cuentas inactivas que no están registradas para la autenticación multifactor revisando periódicamente el informe de actividad de registro de autenticación multifactor. Se puede usar una solución de gobernanza de identidades como Gobierno de Microsoft Entra ID para automatizar la revisión de cuentas inactivas.

valores predeterminados de seguridad de Microsoft Entra

Microsoft Entra inquilinos que no tienen una licencia Microsoft Entra ID P1 o P2 pueden alcanzar el nivel de madurez 1 de ACSC Essential Eight habilitando los valores predeterminados de seguridad de Microsoft Entra.

Las instrucciones sobre cómo habilitar valores predeterminados de seguridad están disponibles en Proporcionar un nivel predeterminado de seguridad en Microsoft Entra ID.

Pasos siguientes