Plantillas de directiva de acceso condicional

Las plantillas de acceso condicional proporcionan un método cómodo para implementar nuevas directivas alineadas con las recomendaciones de Microsoft. Estas plantillas están diseñadas para proporcionar la máxima protección alineada con las directivas de uso frecuente en varios tipos y ubicaciones de clientes.

Categorías de plantilla

Las plantillas de directiva de acceso condicional se organizan en las siguientes categorías:

Base segura

Microsoft recomienda estas directivas como base para todas las organizaciones. Se recomienda implementar estas directivas como un grupo.

• Requerir autenticación multifactor para administradores
• Protección del registro de información de seguridad
• Bloquear la autenticación heredada
• Requerir autenticación multifactor para los administradores que acceden a los portales de administración de Microsoft
• Requerir autenticación multifactor para todos los usuarios
• Requerir autenticación multifactor para la administración de Azure
• Requerir un dispositivo híbrido compatible o una autenticación multifactor de Microsoft Entra para todos los usuarios
• Requerir dispositivo compatible

Confianza cero

Estas políticas en conjunto ayudan a admitir una arquitectura de confianza cero.

• Requerir autenticación multifactor para administradores
• Protección del registro de información de seguridad
• Bloquear la autenticación heredada
• Requerir autenticación multifactor para todos los usuarios
• Requerir autenticación multifactor para el acceso de invitado
• Requerir autenticación multifactor para la administración de Azure
• Requerir autenticación multifactor para inicios de sesión de riesgoRequiere el identificador P2 de Microsoft Entra
• Requerir cambio de contraseña para los usuarios de alto riesgoRequiere el id. de Microsoft Entra P2
• Bloquear el acceso a la plataforma de dispositivos desconocida o no admitida
• Ninguna sesión persistente del explorador
• Requerir aplicaciones cliente aprobadas o directivas de protección de aplicaciones
• Requerir un dispositivo híbrido compatible o una autenticación multifactor de Microsoft Entra para todos los usuarios
• Requerir autenticación multifactor para los administradores que acceden a los portales de administración de Microsoft
• Bloquear el acceso para los usuarios con riesgo internoRequiere Microsoft Purview

Trabajo remoto

Estas directivas ayudan a proteger las organizaciones con trabajadores remotos.

• Protección del registro de información de seguridad
• Bloquear la autenticación heredada
• Requerir autenticación multifactor para todos los usuarios
• Requerir autenticación multifactor para el acceso de invitado
• Requerir autenticación multifactor para inicios de sesión de riesgoRequiere el identificador P2 de Microsoft Entra
• Requerir cambio de contraseña para los usuarios de alto riesgoRequiere el id. de Microsoft Entra P2
• Requerir dispositivos híbridos compatibles o unidos a Microsoft Entra para administradores
• Bloquear el acceso a la plataforma de dispositivos desconocida o no admitida
• Ninguna sesión persistente del explorador
• Requerir dispositivo compatible
• Requerir aplicaciones cliente aprobadas o directivas de protección de aplicaciones
• Uso de restricciones aplicadas a la aplicación para dispositivos no administrados

Protección del administrador

Estas directivas se dirigen a administradores con privilegios elevados en su entorno, donde el riesgo puede causar más daños.

• Requerir autenticación multifactor para administradores
• Bloquear la autenticación heredada
• Requerir autenticación multifactor para la administración de Azure
• Requerir dispositivos híbridos compatibles o unidos a Microsoft Entra para administradores
• Requerir dispositivo compatible
• Requerir autenticación multifactor resistente a suplantación de identidad para administradores

Amenazas emergentes

Las directivas de esta categoría proporcionan nuevas formas de protegerse frente a riesgos.

• Requerir autenticación multifactor resistente a suplantación de identidad para administradores

Busque estas plantillas en el centro de administración de Microsoft Entra>ID>Acceso condicional>Crear nueva directiva a partir de plantillas. Seleccione Mostrar más para ver todas las plantillas de directiva en cada categoría.

Importante

Las directivas de plantilla de acceso condicional excluirán solo al usuario que crea la directiva de la plantilla. Si su organización necesita excluir otras cuentas, podrá modificar la directiva una vez creadas. Puede encontrar estas directivas en el Centro de administración de Microsoft Entra, Entra ID y Políticas de acceso condicional. Seleccione una directiva para abrir el editor y modificar los usuarios y grupos excluidos para seleccionar las cuentas que desea excluir.

De forma predeterminada, cada directiva se crea en modo de solo informe, se recomienda que las organizaciones prueben y supervisen el uso, para garantizar el resultado previsto, antes de activar cada directiva.

Las organizaciones pueden seleccionar plantillas de directiva individuales y:

• Ver un resumen de la configuración de directiva.
• Editar para personalizar en función de las necesidades de la organización.
• Exportar la definición JSON para su uso en flujos de trabajo mediante programación.
  • Estas definiciones JSON se pueden editar y luego importar en la página principal de directivas de acceso condicional mediante la opción Cargar archivo de directiva .

Otras directivas comunes

• Requerir autenticación multifactor para el registro de dispositivos
• Bloquear el acceso por ubicación
• Bloquear el acceso excepto aplicaciones específicas

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a errores de configuración de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
  • Puede encontrar más información en el artículo Administrar cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y principales del servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional asignadas a los usuarios. Usa el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización tiene estas cuentas en uso en scripts o código, considere la posibilidad de reemplazarlas por identidades administradas.

Pasos siguientes

• Simulación del comportamiento de inicio de sesión mediante la herramienta What If de acceso condicional.
• Utilice el modo de solo informe para el Acceso Condicional para determinar los resultados de las nuevas decisiones de directiva.