Compartir a través de


Paso 1. Aumentar la seguridad del inicio de sesión de los trabajadores híbridos con MFA

Para aumentar la seguridad de los inicios de sesión de los trabajadores híbridos, use la autenticación multifactor (MFA). MFA requiere que los inicios de sesión de usuario estén sujetos a una comprobación adicional más allá de la contraseña de la cuenta de usuario. Incluso si un usuario malintencionado determina la contraseña de una cuenta de usuario, también debe poder responder a una comprobación adicional, como un mensaje de texto que se envía a un smartphone, antes de que se otorgue el acceso.

La contraseña correcta más una comprobación adicional produce un inicio de sesión correcto.

Para todos los usuarios, incluidos los trabajadores híbridos y especialmente los administradores, Microsoft recomienda encarecidamente la MFA.

Existen tres formas de requerir que los usuarios usen MFA basándose en su plan de Microsoft 365.

Plan Recomendación
Todos los planes de Microsoft 365 (sin licencias P1 o P2 de identificador de Microsoft Entra) Habilite los valores predeterminados de seguridad en Microsoft Entra id. Los valores predeterminados de seguridad de Microsoft Entra id. incluyen MFA para usuarios y administradores.
Microsoft 365 E3 (incluye licencias de Microsoft Entra ID P1) Use Directivas comunes de acceso condicional para configurar las directivas siguientes:
- Requerir MFA para los administradores
- Requerir MFA para todos los usuarios
- Bloquear la autenticación heredada
Microsoft 365 E5 (incluye licencias Microsoft Entra ID P2) Aprovechando la característica en Microsoft Entra id., empiece a implementar el conjunto recomendado de acceso condicional de Microsoft y directivas relacionadas como:
- Requerir MFA cuando el riesgo de inicio de sesión es medio o alto.
- Bloquear clientes que no admiten la autenticación moderna.
- Requerir que los usuarios de alto riesgo cambien su contraseña.

Valores predeterminados de seguridad

Los valores predeterminados de seguridad son una nueva característica para las suscripciones pago o de prueba de Microsoft 365 y Office 365 creadas después del 21 de octubre de 2019. Estas suscripciones tienen activados los valores predeterminados de seguridad, lo que requiere que todos los usuarios usen MFA con la aplicación Microsoft Authenticator.

Los usuarios tienen 14 días para registrarse en MFA con la aplicación Microsoft Authenticator desde sus teléfonos inteligentes, que comienzan a contar desde la primera vez que inician sesión después de que se hayan habilitado los valores predeterminados de seguridad. Transcurridos 14 días, el usuario no podrá iniciar sesión hasta que el registro de MFA se haya completado.

Los valores predeterminados de seguridad garantizan que todas las organizaciones tengan un nivel básico de seguridad para el inicio de sesión de usuario habilitado de forma predeterminada. Puede deshabilitar los valores predeterminados de seguridad y usar MFA con directivas de acceso condicional o para cuentas individuales.

Para más información, vea esta información general de los valores predeterminados de seguridad.

Directivas de acceso condicional

Las directivas de acceso condicional son un conjunto de reglas que especifican las condiciones en las que se evalúan y permiten los inicios de sesión. Por ejemplo, puede crear una directiva de acceso condicional que indique lo siguiente:

  • Si el nombre de la cuenta de usuario es miembro de un grupo de usuarios a los que se han asignado los roles de administrador de Exchange, de usuarios, de contraseñas, de seguridad, de SharePoint o global, requerir MFA antes de permitir el acceso.

Esta directiva le permite exigir MFA en función de la pertenencia a grupos, en lugar de intentar configurar cuentas de usuario individuales para MFA cuando se asignan o se quitan estos roles de administrador.

También puedes usar directivas de acceso condicional para funcionalidades más avanzadas, como requerir que el inicio de sesión se haga desde un dispositivo compatible, como el portátil que ejecuta Windows 11 o 10.

El acceso condicional requiere licencias de Microsoft Entra ID P1, que se incluyen con Microsoft 365 E3 y E5.

Para más información, vea esta información general sobre el acceso condicional.

compatibilidad con Protección de id. de Microsoft Entra

Con Protección de id. de Microsoft Entra, puede crear una directiva de acceso condicional adicional que indique lo siguiente:

  • Si el riesgo del inicio de sesión se determina como medio o alto, requerir MFA.

Protección de id. de Microsoft Entra requiere licencias Microsoft Entra ID P2, que se incluyen con Microsoft 365 E5.

Para más información, consulte Acceso condicional basado en riesgos.

Con Protección de id. de Microsoft Entra, también puede crear una directiva para requerir que los usuarios se registren en MFA. Para obtener más información, consulte Configuración de la directiva de registro de autenticación multifactor Microsoft Entra

Usar estos métodos conjuntamente

Tenga en cuenta lo siguiente:

  • No puede habilitar los valores predeterminados de seguridad si tiene habilitadas directivas de acceso condicional.
  • No puede habilitar ninguna directiva de acceso condicional si tiene habilitados los valores predeterminados de seguridad.

Si los valores predeterminados de seguridad están habilitados, se le pedirá al usuario el registro de MFA y el uso de la aplicación Microsoft Authenticator.

Esta tabla muestra los resultados de habilitar MFA con los valores predeterminados de seguridad y las directivas de acceso condicional.

Método Habilitado Deshabilitado Método de autenticación adicional
Valores predeterminados de seguridad No se pueden usar directivas de acceso condicional Se pueden usar directivas de acceso condicional Aplicación Microsoft Authenticator
Directivas de acceso condicional Si hay alguna habilitada, no puede habilitar los valores predeterminados de seguridad Si se deshabilitan todos, puede habilitar los valores predeterminados de seguridad Especificado por el usuario durante el registro de MFA

Permitir que los usuarios puedan restablecer sus propias contraseñas

El Restablecimiento de Contraseña de Autoservicio (SSPR) permite a los usuarios restablecer sus contraseñas sin que el personal de TI deba actuar. Los usuarios pueden restablecer las contraseñas rápidamente en cualquier momento y desde cualquier sitio. Para obtener más información, consulte Planeamiento de una implementación de autoservicio de restablecimiento de contraseña de Microsoft Entra.

Inicio de sesión en aplicaciones SaaS con Microsoft Entra id.

Además de proporcionar autenticación en la nube a los usuarios, Microsoft Entra identificador también puede ser la forma central de proteger todas las aplicaciones, ya sean locales, en la nube de Microsoft o en otra nube. Al integrar las aplicaciones en Microsoft Entra identificador, puede facilitar a los trabajadores híbridos detectar las aplicaciones que necesitan e iniciar sesión en ellas de forma segura.

Recursos técnicos de administración para MFA e identidad

Resultado del paso 1

Después de la implementación de MFA, los usuarios:

  • Están obligados a usar MFA para iniciar sesión.
  • Han completado el proceso de registro de MFA y usan MFA para todos los inicios de sesión.
  • Pueden usar SSPR para restablecer sus propias contraseñas.

Paso siguiente

Paso 2: Proporcionar acceso remoto a los servicios y aplicaciones locales.

Continúe con el paso 2 para proporcionar acceso remoto a servicios y aplicaciones locales.