Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las plantillas de acceso condicional proporcionan un método cómodo para implementar nuevas directivas alineadas con las recomendaciones de Microsoft. Estas plantillas están diseñadas para proporcionar la máxima protección alineada con las directivas de uso frecuente en varios tipos y ubicaciones de clientes.
Categorías de plantilla
Las plantillas de directiva de acceso condicional se organizan en las siguientes categorías:
Microsoft recomienda estas directivas como base para todas las organizaciones. Se recomienda implementar estas directivas como un grupo.
- Requerir autenticación multifactor para administradores
- Protección del registro de información de seguridad
- Bloquear la autenticación heredada
- Requerir autenticación multifactor para los administradores que acceden a los portales de administración de Microsoft
- Requerir autenticación multifactor para todos los usuarios
- Requerir autenticación multifactor para la administración de Azure
- Requerir un dispositivo híbrido compatible o una autenticación multifactor de Microsoft Entra para todos los usuarios
- Requerir dispositivo compatible
Busque estas plantillas en el centro de administración de Microsoft Entra>ID>Acceso condicional>Crear nueva directiva a partir de plantillas. Seleccione Mostrar más para ver todas las plantillas de directiva en cada categoría.
Importante
Las directivas de plantilla de acceso condicional excluirán solo al usuario que crea la directiva de la plantilla. Si su organización necesita excluir otras cuentas, podrá modificar la directiva una vez creadas. Puede encontrar estas directivas en el Centro de administración de Microsoft Entra, Entra ID y Políticas de acceso condicional. Seleccione una directiva para abrir el editor y modificar los usuarios y grupos excluidos para seleccionar las cuentas que desea excluir.
De forma predeterminada, cada directiva se crea en modo de solo informe, se recomienda que las organizaciones prueben y supervisen el uso, para garantizar el resultado previsto, antes de activar cada directiva.
Las organizaciones pueden seleccionar plantillas de directiva individuales y:
- Ver un resumen de la configuración de directiva.
- Editar para personalizar en función de las necesidades de la organización.
- Exportar la definición JSON para su uso en flujos de trabajo mediante programación.
- Estas definiciones JSON se pueden editar y luego importar en la página principal de directivas de acceso condicional mediante la opción Cargar archivo de directiva .
Otras directivas comunes
- Requerir autenticación multifactor para el registro de dispositivos
- Bloquear el acceso por ubicación
- Bloquear el acceso excepto aplicaciones específicas
Exclusiones de usuarios
Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:
-
Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a errores de configuración de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
- Puede encontrar más información en el artículo Administrar cuentas de acceso de emergencia en Microsoft Entra ID.
-
Cuentas de servicio y principales del servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional asignadas a los usuarios. Usa el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
- Si su organización tiene estas cuentas en uso en scripts o código, considere la posibilidad de reemplazarlas por identidades administradas.
Pasos siguientes
- Simulación del comportamiento de inicio de sesión mediante la herramienta What If de acceso condicional.
- Utilice el modo de solo informe para el Acceso Condicional para determinar los resultados de las nuevas decisiones de directiva.