Plantillas de directiva de acceso condicional

Las plantillas de acceso condicional proporcionan un método cómodo para implementar nuevas directivas alineadas con las recomendaciones de Microsoft. Estas plantillas están diseñadas para proporcionar la máxima protección alineada con las directivas de uso frecuente en varios tipos y ubicaciones de clientes.

Categorías de plantilla

Las plantillas de directiva de acceso condicional se organizan en las siguientes categorías:

Base segura

Microsoft recomienda estas directivas como base para todas las organizaciones. Implemente estas directivas como un grupo.

• Requerir autenticación multifactor para administradores
• Protección del registro de información de seguridad
• Bloquear la autenticación heredada
• Requerir autenticación multifactor para los administradores que acceden a los portales de administración de Microsoft
• Requerir autenticación multifactor para todos los usuarios
• Requerir autenticación multifactor para la administración de Azure
• Requerir un dispositivo híbrido compatible o una autenticación multifactor de Microsoft Entra para todos los usuarios
• Requerir dispositivo compatible

Confianza cero

Estas directivas ayudan a admitir una arquitectura de confianza cero.

• Requerir autenticación multifactor para administradores
• Protección del registro de información de seguridad
• Bloquear la autenticación heredada
• Requerir autenticación multifactor para todos los usuarios
• Requerir autenticación multifactor para el acceso de invitado
• Requerir autenticación multifactor para la administración de Azure
• Requerir autenticación multifactor para inicios de sesión de riesgoRequiere el identificador P2 de Microsoft Entra
• Requerir cambio de contraseña para los usuarios de alto riesgoRequiere el id. de Microsoft Entra P2
• Bloquear el acceso a la plataforma de dispositivos desconocida o no admitida
• Ninguna sesión persistente del explorador
• Requerir aplicaciones cliente aprobadas o directivas de protección de aplicaciones
• Requerir un dispositivo híbrido compatible o una autenticación multifactor de Microsoft Entra para todos los usuarios
• Requerir autenticación multifactor para los administradores que acceden a los portales de administración de Microsoft
• Bloquear el acceso para los usuarios con riesgo internoRequiere Microsoft Purview

Trabajo remoto

Estas directivas ayudan a proteger las organizaciones con trabajadores remotos.

• Protección del registro de información de seguridad
• Bloquear la autenticación heredada
• Requerir autenticación multifactor para todos los usuarios
• Requerir autenticación multifactor para el acceso de invitado
• Requerir autenticación multifactor para inicios de sesión de riesgoRequiere el identificador P2 de Microsoft Entra
• Requerir cambio de contraseña para los usuarios de alto riesgoRequiere el id. de Microsoft Entra P2
• Requerir dispositivos híbridos compatibles o unidos a Microsoft Entra para administradores
• Bloquear el acceso a la plataforma de dispositivos desconocida o no admitida
• Ninguna sesión persistente del explorador
• Requerir dispositivo compatible
• Requerir aplicaciones cliente aprobadas o directivas de protección de aplicaciones
• Uso de restricciones aplicadas a la aplicación para dispositivos no administrados

Protección del administrador

Estas directivas son para administradores con privilegios elevados en su entorno, donde una brecha de seguridad podría causar los mayores daños.

• Requerir autenticación multifactor para administradores
• Bloquear la autenticación heredada
• Requerir autenticación multifactor para la administración de Azure
• Requerir dispositivos híbridos compatibles o unidos a Microsoft Entra para administradores
• Requerir dispositivo compatible
• Requerir autenticación multifactor resistente a suplantación de identidad para administradores

Amenazas emergentes

Las directivas de esta categoría proporcionan nuevas formas de protegerse frente a riesgos.

• Requerir autenticación multifactor resistente a suplantación de identidad para administradores

Agentes de IA

Las directivas de esta categoría proporcionan formas de controlar los agentes de su entorno.

• Impedir que las identidades del agente de alto riesgo accedan a los recursosRequiere el identificador P2 de Microsoft Entra

Busque estas plantillas en el centro de administración de Microsoft Entra>ID>Acceso condicional>Crear nueva directiva a partir de plantillas. Seleccione Mostrar más para ver todas las plantillas de directiva en cada categoría.

Importante

Las directivas de plantilla de acceso condicional destinadas a los usuarios excluyen solo al usuario que crea la directiva de la plantilla. Si su organización necesita excluir otras cuentas, modifique la directiva después de crearla. Puede encontrar estas directivas en el Centro de administración de Microsoft Entra, Entra ID y Políticas de acceso condicional. Seleccione una directiva para abrir el editor y modificar los usuarios y grupos excluidos para seleccionar las cuentas que desea excluir.

De forma predeterminada, cada directiva se crea en modo de solo informe. Se recomienda que las organizaciones prueben y supervisen el uso para garantizar el resultado previsto antes de activar cada directiva.

Las organizaciones pueden seleccionar plantillas de directiva individuales y:

• Ver un resumen de la configuración de directiva.
• Editar para personalizar en función de las necesidades de la organización.
• Exportar la definición JSON para su uso en flujos de trabajo mediante programación.
  • Estas definiciones JSON se pueden editar y luego importar en la página principal de directivas de acceso condicional mediante la opción Cargar archivo de directiva .

Otras directivas comunes

• Requerir autenticación multifactor para el registro de dispositivos
• Bloquear el acceso por ubicación
• Bloquear el acceso excepto aplicaciones específicas

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces. Se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a errores de configuración de directivas. En el escenario poco probable en el que todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y recuperar el acceso.
  • Puede encontrar más información en el artículo Administrar cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y principales del servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están vinculadas a ningún usuario específico. Normalmente se usan en los servicios back-end para permitir el acceso mediante programación a las aplicaciones, pero también se usan para iniciar sesión en sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no están bloqueadas por las directivas de acceso condicional con ámbito a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, reemplácelas por identidades administradas.

Pasos siguientes

• Simulación del comportamiento de inicio de sesión mediante la herramienta What If de acceso condicional.
• Utilice el modo de solo informe para el Acceso Condicional para determinar los resultados de las nuevas decisiones de directiva.