Recomendación de Microsoft Entra: Cambiar la MFA por usuario a la MFA de acceso condicional

Las recomendaciones de Microsoft Entra son una característica que proporciona información personalizada e instrucciones prácticas para que su inquilino siga los procedimientos recomendados.

En este artículo se explica la recomendación de cambiar cuentas de Autenticación multifactor (MFA) por usuario a cuentas de MFA de acceso condicional. Esta recomendación se llama switchFromPerUserMFA en la API de recomendaciones de Microsoft Graph.

Descripción

Como administrador, quiere mantener la seguridad de los recursos de su empresa, pero también quiere que los empleados accedan fácilmente a los recursos cuando lo necesiten. MFA permite mejorar la posición de seguridad del inquilino.

En el inquilino, puede habilitar MFA por usuario. En este escenario, los usuarios realizan MFA cada vez que inician sesión. Hay algunas excepciones, como cuando inician sesión desde direcciones IP de confianza o cuando está activada la función de "recordar MFA en dispositivos de confianza". Aunque habilitar la autenticación multifactor es un procedimiento recomendado, el cambio de la autenticación multifactor por usuario a la autenticación multifactor basada en el acceso condicional puede reducir el número de veces que se solicita la autenticación multifactor a los usuarios.

Esta recomendación se muestra si:

• Tiene la autenticación multifactor por usuario configurada para al menos un 5 % de los usuarios.
• Las directivas de acceso condicional están activas para más del 1 % de los usuarios (lo que indica familiaridad con las directivas de acceso condicional).

Importancia

Esta recomendación mejora la productividad del usuario y minimiza el tiempo de inicio de sesión con menos solicitudes de MFA. El uso conjunto de acceso condicional y MFA ayuda a garantizar que los recursos más confidenciales tengan los controles más estrictos, mientras que se pueda acceder más libremente a los menos confidenciales. Para obtener información general sobre la funcionalidad disponible en el acceso condicional, consulte Crear una directiva de acceso condicional.

Plan de acción

1. Exija que la autenticación multifactor utilice una directiva de acceso condicional.

   • Habilite la autenticación multifactor de Microsoft Entra con acceso condicional.
   • Asegúrese de cubrir todos los recursos y usuarios que quiere proteger con MFA.

2. Asegúrese de que la configuración de MFA por usuario está desactivada.

   1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
   2. Vaya a Usuarios>Todos los usuarios y seleccione el botón MFA por usuario .

   

   1. Seleccione Deshabilitar MFA para todos los usuarios que tenían esta opción habilitada.

   

Una vez que todos los usuarios se migran a las cuentas con autenticación multifactor de acceso condicional, el estado de la recomendación se actualiza automáticamente la próxima vez que se ejecute el servicio. Continúe revisando las directivas de acceso condicional.

Contenido relacionado

• Cómo usar las recomendaciones de Microsoft Entra
• Microsoft Graph API para obtener recomendaciones
• Política de acceso condicional y MFA
• Tutorial de directiva de acceso condicional y MFA