Plantillas de directiva de acceso condicional

Las plantillas de acceso condicional proporcionan un método cómodo para implementar nuevas directivas alineadas con las recomendaciones de Microsoft. Estas plantillas están diseñadas para proporcionar la máxima protección alineada con las directivas de uso frecuente en varios tipos y ubicaciones de clientes.

Categorías de plantilla

Las plantillas de directiva de acceso condicional se organizan en las siguientes categorías:

Base segura

Microsoft recomienda estas directivas como base para todas las organizaciones. Se recomienda implementar estas directivas como un grupo.

• Requerir autenticación multifactor a los administradores
• Protección del registro de información de seguridad
• Bloquear la autenticación heredada
• Requerir autenticación multifactor a los administradores que accedan a los portales de administración de Microsoft
• Requerir autenticación multifactor a todos los usuarios
• Requerir autenticación multifactor para la administración de Azure
• Requerir autenticación multifactor o dispositivo unido a Microsoft Entra ID híbrido o compatible a todos los usuarios
• Requerir dispositivo compatible

Confianza cero

Estas directivas como grupo ayudan a admitir una arquitectura de Confianza cero.

• Requerir autenticación multifactor a los administradores
• Protección del registro de información de seguridad
• Bloquear la autenticación heredada
• Requerir autenticación multifactor a todos los usuarios
• Requerir autenticación multifactor para el acceso de invitado
• Requerir autenticación multifactor para la administración de Azure
• Requerir la autenticación multifactor para el inicio de sesión de riesgo Requiere Microsoft Entra ID P2
• Requerir el cambio de contraseña para usuarios de alto riesgo Requiere Microsoft Entra ID P2
• Bloquear el acceso a una plataforma de dispositivo desconocida o no compatible
• No hay ninguna sesión de explorador persistente
• Requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones
• Requerir autenticación multifactor o dispositivo unido a Microsoft Entra ID híbrido o compatible a todos los usuarios
• Requerir autenticación multifactor a los administradores que accedan a los portales de administración de Microsoft
• Bloquear el acceso para los usuarios con riesgo interno Requiere Microsoft Purview

Trabajo remoto

Estas directivas ayudan a proteger las organizaciones con trabajadores remotos.

• Protección del registro de información de seguridad
• Bloquear la autenticación heredada
• Requerir autenticación multifactor a todos los usuarios
• Requerir autenticación multifactor para el acceso de invitado
• Requerir la autenticación multifactor para el inicio de sesión de riesgo Requiere Microsoft Entra ID P2
• Requerir el cambio de contraseña para usuarios de alto riesgo Requiere Microsoft Entra ID P2
• Requerir dispositivo compatible o unido a Microsoft Entra híbrido para administradores
• Bloquear el acceso a una plataforma de dispositivo desconocida o no compatible
• No hay ninguna sesión de explorador persistente
• Requerir dispositivo compatible
• Requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones
• Uso de restricciones impuestas por la aplicación para dispositivos no administrados

Administrador de protección

Estas directivas se dirigen a administradores con privilegios elevados en su entorno, donde el riesgo puede causar más daños.

• Requerir autenticación multifactor a los administradores
• Bloquear la autenticación heredada
• Requerir autenticación multifactor para la administración de Azure
• Requerir dispositivo compatible o unido a Microsoft Entra híbrido para administradores
• Requerir dispositivo compatible
• Requerir autenticación multifactor resistente a la suplantación de identidad (phishing) a los administradores

Amenazas emergentes

Las directivas de esta categoría proporcionan nuevas formas de protegerse frente a riesgos.

• Requerir autenticación multifactor resistente a la suplantación de identidad (phishing) a los administradores

Encuentre estas plantillas en el Centro de administración de Microsoft Entra>Protección>Acceso condicional>Crear nueva directiva a partir de plantillas. Seleccione Mostrar más para ver todas las plantillas de directiva en cada categoría.

Importante

Las directivas de plantilla de acceso condicional excluirán solo al usuario que crea la directiva de la plantilla. Si su organización necesita excluir otras cuentas, podrá modificar las directivas una vez creadas. Puede encontrar estas directivas en el Centro de administración de Microsoft Entra>Protección>Acceso condicional>Directivas. Seleccione una directiva para abrir el editor y modificar los usuarios y grupos excluidos para seleccionar las cuentas que desea excluir.

De manera predeterminada, cada directiva se crea en un modo de solo informe, por lo que se recomienda que las organizaciones prueben y supervisen su uso para garantizar el resultado previsto antes de activar cada directiva.

Las organizaciones pueden seleccionar plantillas de directiva individuales y:

• Ver un resumen de la configuración de directiva.
• Editar para personalizar en función de las necesidades de la organización.
• Exportar la definición JSON para su uso en flujos de trabajo mediante programación.
  • Estas definiciones JSON se pueden editar e importar en la página principal de Directivas de acceso condicional mediante la opción Importar archivo de directiva.

Otras directivas comunes

• Requerir autenticación multifactor para el registro de dispositivos
• Bloquear el acceso por ubicación
• Bloquear el acceso, excepto para aplicaciones específicas

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a errores de configuración de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional asignadas a los usuarios. Usa el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas.

Pasos siguientes

• Simulación del comportamiento de inicio de sesión mediante la herramienta What If de acceso condicional.
• Uso del modo de solo informe de acceso condicional para determinar los resultados de las nuevas decisiones de directiva.