Experiencia en corrección automática con Microsoft Entra ID Protection y el acceso condicional

Con Microsoft Entra ID Protection y el acceso condicional, puede hacer lo siguiente:

  • Exigir que todos los usuarios se registren para la autenticación multifactor de Microsoft Entra
  • Automatizar la corrección de inicios de sesión conflictivos y usuarios en peligro
  • Bloquear usuarios en casos específicos.

Las directivas de acceso condicional que integran el riesgo del usuario y del inicio de sesión tienen un impacto en la experiencia de inicio de sesión de los usuarios. El hecho de permitir a los usuarios registrarse para el uso de herramientas como la autenticación multifactor de Microsoft Entra y el autoservicio de restablecimiento de contraseña puede reducir el impacto. Estas herramientas, junto con las opciones de directiva adecuadas, proporcionan a los usuarios una opción de corrección automática cuando lo necesitan, a la vez que se aplican controles de seguridad seguros.

Registro de autenticación multifactor

Cuando un administrador habilita la directiva de Identity Protection que requiere el registro de la autenticación multifactor de Microsoft Entra y se dirige a todos los usuarios, se garantiza que estos pueden usar la autenticación multifactor de Microsoft Entra para solucionar sus problemas por sí mismos en el futuro. La configuración de esta directiva proporciona a los usuarios un período de 14 días para registrarse y, si no lo han hecho al finalizar este plazo, se les exigirá el registro.

Interrupción de registro

  1. En el inicio de sesión en cualquier aplicación integrada de Microsoft Entra, el usuario recibe una notificación sobre la necesidad de configurar la cuenta para la autenticación multifactor. Esta directiva también se desencadena en la configuración rápida de Windows para nuevos usuarios con un nuevo dispositivo.

    A screenshot showing the more information required prompt in a browser window.

  2. Complete los pasos guiados para registrarse en la autenticación multifactor de Microsoft Entra y completar el inicio de sesión.

Corrección automática de riesgos

Cuando un administrador configura directivas de acceso condicional basadas en riesgos, los usuarios afectados se interrumpen cuando alcanzan el nivel de riesgo configurado. Si los administradores permiten la autocorrección mediante la autenticación multifactor, este proceso aparece ante un usuario como un mensaje de autenticación multifactor normal.

Si el usuario puede completar la autenticación multifactor, se corrige su riesgo y puede iniciar sesión.

A screenshot showing a multifactor authentication prompt at sign in.

Si el usuario está en riesgo, no solo el inicio de sesión, los administradores pueden configurar una directiva de riesgo de usuario en el acceso condicional para requerir un cambio de contraseña además de realizar la autenticación multifactor. En ese caso, un usuario ve la siguiente pantalla adicional.

A screenshot showing the password change is required prompt when user risk is detected.

Desbloqueo de administrador de inicio de sesión peligroso

Los administradores pueden optar por bloquear a los usuarios al iniciar sesión en función del nivel de riesgo. Para ser desbloqueados, los usuarios finales deben ponerse en contacto con el departamento de soporte técnico, o bien pueden intentar iniciar sesión desde una ubicación o dispositivo conocidos. La corrección automática no es una opción en este caso.

A screenshot showing your account is blocked screen.

El personal de TI puede seguir las instrucciones de la sección para desbloquear usuarios a fin de permitir que los usuarios vuelvan a iniciar sesión.

Técnico de alto riesgo

Si su organización tiene usuarios que tienen acceso delegado a otro inquilino y desencadenan un alto riesgo, es posible que se les bloquee el inicio de sesión en esos otros inquilinos. Por ejemplo:

  1. Una organización tiene un proveedor de servicios administrados (MSP) o un proveedor de soluciones en la nube (CSP) que se encarga de configurar su entorno en la nube.
  2. Una de las credenciales de los técnicos de MSP se filtra y desencadena un alto riesgo. A ese técnico se le bloquea el inicio de sesión en otros inquilinos.
  3. El técnico puede corregir e iniciar sesión automáticamente si el inquilino principal ha habilitado las directivas adecuadas que requieren el cambio de contraseña para los usuarios de alto riesgo o MFA para los usuarios de riesgo.
    1. Si el inquilino principal no ha habilitado las directivas de corrección automática, un administrador del inquilino principal del técnico tendrá que corregir el riesgo.

Consulte también