Compartir a través de

Implementación de campañas de adopción de claves de paso con el Agente de optimización de acceso condicional (versión preliminar)

El Agente de optimización de acceso condicional ayuda a las organizaciones a planear e implementar campañas que guían a los usuarios hacia métodos de autenticación más seguros. En versión preliminar pública, el agente admite la implementación de campañas de adopción de claves de paso para ayudar a las organizaciones a implementar la autenticación resistente a la suplantación de identidad (phishing) de forma estructurada, inteligente y automatizada.

El agente está diseñado para reducir el esfuerzo manual de las campañas a gran escala. El agente puede:

  • Evaluación de la preparación del usuario y del dispositivo
  • Generación de un plan de implementación recomendado
  • Guiar a los usuarios a través de los pasos necesarios
  • Aplicar directivas de acceso condicional una vez que los usuarios estén listos

El agente evalúa continuamente el progreso y avanza a los usuarios a través de la campaña a medida que se cumplen los requisitos previos.

Prerrequisitos

Activar campañas de passkey en el agente

Puede permitir que el Agente de optimización de acceso condicional cree campañas de adopción de claves de paso desde el Centro de administración de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Agente de optimización de acceso condicional>Configuración.

  3. En Funcionalidades del agente, active la casilla Permitir que el agente cree campañas de adopción de claves de paso .

    Captura de pantalla de la configuración del agente para activar sugerencias para la campaña de contraseñas.

Una vez habilitada esta configuración, el agente comienza a analizar el tenant para identificar a los usuarios aptos para una campaña de claves de paso. Actualmente, el agente tiene como destino usuarios de administrador con privilegios de forma predeterminada. Para obtener más información, consulte Roles de administrador admitidos.

Nota:

El análisis inicial puede tardar varios minutos. Si Revisar campaña no aparece, puede seleccionar Ejecutar análisis en la tarjeta de sugerencia o esperar a la siguiente ejecución programada del agente.

Visualización de la información general de la campaña

Cuando una campaña de clave de paso está disponible, aparece como sugerencia en la visión general del Agente de optimización de acceso condicional.

Para revisar la campaña:

  1. Vaya al Agente de optimización de acceso condicional.

  2. En Sugerencias recientes, busque la sugerencia Implementar la campaña de adopción de claves de paso para administradores.

  3. Seleccione Revisar la campaña.

    Captura de pantalla de las sugerencias del agente con un resultado de campaña de claves de acceso resaltado.

La información general de la campaña inicial proporciona un resumen del plan propuesto del agente, entre los que se incluyen:

  • Objetivo de la campaña
  • Una perspectiva de preparación generada por IA para los usuarios objetivo
  • Métricas clave de campaña, como:
    • Duración estimada de la campaña
    • Número de usuarios de destino
  • Desglose de la preparación del usuario:
    • Usuarios que necesitan actualizaciones de dispositivos: los usuarios con al menos un dispositivo registrado con Microsoft Entra, pero no cumplen los requisitos mínimos del sistema operativo para las claves de acceso.
    • Usuarios que necesitan registrar una clave de acceso: usuarios con dispositivos compatibles pero sin clave de acceso registrada.
    • Usuarios listos para la ejecución: usuarios con dispositivos compatibles y una clave de paso registrada.

Desde esta vista, puede implementar la campaña inmediatamente o abrir la experiencia de campaña detallada. Se recomienda revisar el plan de campaña detallado antes de implementar la campaña.

Captura de pantalla del resumen de la campaña passkey.

Revisar y personalizar el plan de campaña detallado

Seleccione Revisar campaña para abrir la experiencia de campaña detallada, donde puede revisar la preparación del usuario en mayor profundidad y personalizar la configuración de la campaña antes de la implementación. La campaña passkey incluye cuatro fases:

  • Usuarios objetivo para la campaña de contraseñas
  • Comprobación de la preparación del dispositivo
  • Requerir el registro de clave de acceso
  • Exigir el uso de la clave de acceso

Revisión de usuarios objetivo

La vista de campaña detallada le permite revisar todos los usuarios destinados a la campaña y realizar ajustes antes de la implementación. La personalización de la campaña solo está disponible mientras la campaña está en estado No iniciado . Una vez que se inicia la implementación, esta configuración no se puede modificar.

  • Para ver los usuarios destinados a la campaña: seleccione el vínculo de recuento de usuarios agregado para esa categoría.
  • Para editar los usuarios destinados a la campaña: seleccione el botón Editar usuarios de destino .

Captura de pantalla de los detalles de la campaña de clave de acceso con las opciones de los usuarios de destino resaltadas.

Sugerencia

Se recomienda excluir las cuentas de administrador de acceso de emergencia, incluidas las cuentas de "romper vidrio", de la campaña.

Es posible que la fase comprobar la preparación del dispositivo no tenga el mismo número de usuarios que el total de usuarios de destino de la campaña. Si todos los usuarios tienen dispositivos actuales con el sistema operativo más reciente que admite claves de acceso, no se incluirán en esta fase. Si no hay usuarios para esta fase, la campaña se mueve automáticamente a la siguiente fase.

Ajustar períodos de gracia

Los períodos de gracia definen cuánto tiempo tienen que completar los usuarios una acción necesaria. Los períodos de gracia pueden aplicarse a la actualización de un dispositivo, el registro de una contraseña secreta o el intervalo de tiempo entre las notificaciones informativas y su implementación.

Para ver y ajustar los períodos de gracia de una fase de la campaña:

  1. Seleccione la flecha de la esquina superior derecha de la fase para expandir los detalles.

  2. Ajuste el período de gracia ajustando el control deslizante o escribiendo un número en el cuadro de texto.

    Captura de pantalla de los detalles de la campaña de clave de acceso con las opciones de período de gracia resaltadas.

Si un usuario supera un período de gracia para completar una acción necesaria, el agente no continúa progresando ese usuario a través de la campaña. Para ver estos usuarios, seleccione el recuento de usuarios agregados para la categoría de campaña pertinente. La columna Período de gracia superado indica cuándo un usuario ha superado su período de gracia.

Configuración de las opciones de posposición

El aplazamiento se puede habilitar además de los períodos de gracia para ofrecer a los usuarios más flexibilidad. Cuando se habilita el posponemiento:

  • Los usuarios pueden optar por aplazar una acción necesaria o una notificación de cumplimiento durante un tiempo limitado.
  • Una vez finalizada la duración de posposición, el agente reanuda los avisos y las notificaciones para la acción necesaria o la próxima aplicación.

Para configurar los detalles de posposición:

  1. Seleccione Revisar campaña para la sugerencia de implementación de campaña de contraseña.

  2. Seleccione la casilla Habilitar aplazamiento del usuario.

  3. En las nuevas opciones que aparecen, establezca el número de días.

    Captura de pantalla de los detalles de la campaña passkey con los detalles de posposición resaltados.

Filtrar dispositivos inactivos

Filtre los dispositivos inactivos para ayudar a evitar que los usuarios con dispositivos antiguos o sin usar permanezcan bloqueados en la fase comprobar la preparación del dispositivo .

Esta configuración se aplica en el nivel de campaña y permite a los administradores definir qué califica como un dispositivo activo. El agente excluye los dispositivos que no se han usado en el período de tiempo especificado, lo que ayuda a garantizar que los usuarios se evalúan en función de los dispositivos con los que inician sesión activamente. De forma predeterminada, el agente considera los dispositivos usados en el último año.

Captura de pantalla de los detalles de la campaña de contraseñas con la opción de dispositivos inactivos resaltada.

Despliegue y ejecución de la campaña

Después de revisar y personalizar el plan de campaña detallado, puede implementar la campaña.

Para iniciar la campaña, seleccione Implementar campaña en la información general de la campaña o en la vista de campaña detallada.

El despliegue de campaña normalmente se completa en unos minutos. Durante la implementación, el agente crea los recursos necesarios y se prepara para guiar a los usuarios a través de la campaña. Recibirá notificaciones de progreso a medida que continúa la implementación. En el caso poco frecuente de que una implementación agote su tiempo de espera, los botones de acción se vuelven a habilitar para que puedas intentarlo de nuevo.

Una vez completada la implementación, el estado de la campaña cambia a En curso en la página de información general del Agente de optimización de acceso condicional.

Supervisión y administración de la ejecución de la campaña

Después de implementar una campaña, el estado cambia a En curso en la página de información general del Agente de optimización de acceso condicional. A continuación, el agente administra la ejecución de la campaña automáticamente y actualiza el progreso a medida que los usuarios completan las acciones necesarias. La información general de la campaña y las vistas de campaña detalladas siempre reflejan el estado de la campaña más reciente, los desgloses de categorías de usuario y los detalles de nivel de usuario, lo que permite a los administradores supervisar el progreso e investigar los problemas según sea necesario.

Mientras se ejecuta una campaña:

  • Las opciones de configuración de la campaña están bloqueadas (excepto las modificaciones de la directiva de acceso condicional).
  • La ejecución se puede administrar desde la vista detallada de la campaña.

Entre las acciones disponibles se incluyen:

  • Pausa: detiene temporalmente todas las acciones del agente. No se ha contactado ni se ha promovido a ningún nuevo usuario.
  • Fin: detiene permanentemente la campaña y restablece su estado a No iniciado.

Pausar o finalizar una campaña no invierte las acciones que ya se completaron.

Cómo guía el agente a los usuarios

Mientras la campaña está activa, el Agente de optimización de acceso condicional se ejecuta automáticamente cada 24 horas para evaluar el progreso y avanzar a los usuarios en función de su preparación actual.

Durante la ejecución:

  • Usuarios que necesitan actualizaciones de dispositivos
    • Recibir notificaciones de Microsoft Teams que les pidan que actualicen sus dispositivos para cumplir los requisitos mínimos del sistema operativo.
    • Recibir notificaciones de recordatorio durante el período de gracia configurado
  • Los usuarios que necesitan configurar una clave de acceso
    • Recibir notificaciones de Teams con instrucciones de configuración de claves de paso
    • Recibir notificaciones de recordatorio durante el período de gracia
  • Usuarios listos para la implementación
    • Recibir una notificación que les informe sobre la próxima implementación
    • Una vez finalizado el período de gracia de cumplimiento, los usuarios se agregan a un grupo de directivas de acceso condicional que requiere autenticación resistente a la suplantación de identidad (phishing)
    • La directiva de acceso condicional se crea en modo de solo informe

Comportamiento de la directiva de acceso condicional

Cuando los usuarios son elegibles para la ejecución, el agente crea una directiva de acceso condicional para requerir la autenticación resistente al phishing.

  • La directiva solo se crea después de que al menos un usuario complete el período de gracia de notificación de cumplimiento.
  • La directiva se crea inicialmente en modo de solo informe, lo que permite a los administradores supervisar el impacto antes de aplicar los requisitos de autenticación.
  • La configuración de directivas se puede revisar y administrar directamente desde el acceso condicional.

Limitaciones conocidas

  • El Agente de optimización de acceso condicional no comprueba actualmente si los usuarios de destino están habilitados para las claves de acceso en la directiva de métodos de autenticación. Asegúrese de que este requisito previo está configurado antes de implementar una campaña.
  • Las opciones de la campaña, como el destino, los períodos de gracia y la configuración de posposición no se pueden modificar después de que se inicie la ejecución de la campaña.
  • Las directivas de acceso condicional solo se crean después de que al menos un usuario complete el período de gracia de notificación de cumplimiento.
  • Las opciones de administración de directivas solo aparecen después de crear la directiva.
  • Actualmente, el aplazamiento solo se admite para los usuarios que tienen el rol de Propietario de Security Copilot o de Colaborador de Security Copilot. Los administradores pueden comprobar qué usuarios tienen estos roles en el portal de administración de Security Copilot.

Roles de administrador compatibles

  • Administrador de autenticación
  • Administrador de facturación
  • Administrador de aplicaciones en la nube
  • Administrador de acceso condicional
  • Administrador de Exchange
  • Administrador global
  • Administrador del departamento de soporte técnico
  • Administrador del servicio de Intune
  • Administrador de contraseñas
  • Administrador de autenticación con privilegios
  • Administrador de roles con privilegios
  • Administrador de seguridad
  • Administrador de SharePoint
  • Administrador de Teams
  • Administrador de usuarios
  • Last updated on