Cuentas: Bloquear cuentas Microsoft

Se aplica a

  • Windows10

Describe los procedimientos recomendados, la ubicación, los valores, la administración y las consideraciones de seguridad para la configuración de directiva de seguridad Cuentas: Bloquear cuentas microsoft .

Referencia

Esta configuración impide el uso de la aplicación Configuración para agregar una cuenta Microsoft para la autenticación de inicio de sesión único (SSO) para los servicios de Microsoft y algunos servicios en segundo plano, o usar una cuenta de Microsoft para el inicio de sesión único en otras aplicaciones o servicios. Para obtener más información, consulte Cuentas de Microsoft.

Hay dos opciones si esta opción está habilitada:

  • Los usuarios no pueden agregar cuentas de Microsoft significa que las cuentas conectadas existentes todavía pueden iniciar sesión en el dispositivo (y aparecen en la pantalla de inicio de sesión). Sin embargo, los usuarios no pueden usar la aplicación Configuración para agregar nuevas cuentas conectadas (ni conectar cuentas locales a cuentas de Microsoft).

  • Los usuarios no pueden agregar ni iniciar sesión con cuentas de Microsoft significa que los usuarios no pueden agregar nuevas cuentas conectadas (ni conectar cuentas locales a cuentas de Microsoft) ni usar cuentas conectadas existentes a través de Configuración.

Si deshabilita o no configura esta directiva (recomendada), los usuarios podrán usar cuentas de Microsoft con Windows.

Posibles valores

  • Esta directiva está deshabilitada
  • Los usuarios no pueden agregar cuentas de Microsoft
  • Los usuarios no pueden agregar ni iniciar sesión con cuentas de Microsoft

De forma predeterminada, esta configuración no se define en los controladores de dominio y está deshabilitada en servidores independientes.

Procedimientos recomendados

  • Si esta configuración de directiva está deshabilitada o no está configurada en el equipo cliente, los usuarios podrán usar su cuenta de Microsoft, cuenta local o cuenta de dominio para su sesión de inicio de sesión en Windows. También permite al usuario conectar una cuenta local o de dominio a una cuenta de Microsoft. Esta capacidad de conexión proporciona una opción conveniente para los usuarios.
  • Si necesita limitar el uso de cuentas de Microsoft en su organización, haga clic en la opción de configuración Usuarios no puede agregar cuentas de Microsoft para que los usuarios no puedan usar la aplicación Configuración para agregar nuevas cuentas conectadas.

Ubicación

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad

Valores predeterminados

En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.

Tipo de servidor o GPO Valor predeterminado
Directiva de dominio predeterminada No definido
Directiva de controlador de dominio predeterminada No definido
configuración predeterminada del servidor de Stand-Alone Deshabilitado
Configuración predeterminada efectiva de DC Deshabilitado
Configuración predeterminada efectiva del servidor miembro Deshabilitado
Configuración predeterminada efectiva del equipo cliente Deshabilitado

Administración de directivas

En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar esta directiva.

Requisito de reinicio

Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan localmente o se distribuyen a través de directiva de grupo.

Consideraciones de seguridad

En esta sección se describe cómo un atacante podría aprovechar una característica o su configuración, cómo implementar la contramedidas y las posibles consecuencias negativas de la implementación de contramedidas.

Vulnerabilidad

Aunque las cuentas de Microsoft están protegidas con contraseña, también tienen el potencial de una mayor exposición fuera de la empresa. Además, si el propietario de una cuenta Microsoft no es fácilmente distinguible, la auditoría y los análisis forenses se vuelven más difíciles.

Contramedida

Requerir solo cuentas de dominio en la empresa limitando el uso de cuentas de Microsoft. Haga clic en la opción de configuración Usuarios no puede agregar cuentas de Microsoft para que los usuarios no puedan crear nuevas cuentas de Microsoft en un dispositivo, cambiar una cuenta local a una cuenta de Microsoft o conectar una cuenta de dominio a una cuenta de Microsoft.

Posible efecto

Establecer un mayor control sobre las cuentas de su organización puede proporcionarle funcionalidades de administración más seguras, incluidos los procedimientos relativos a los restablecimientos de contraseña.

Temas relacionados

Opciones de seguridad