Directivas de seguridad comunes para organizaciones de Microsoft 365
Las organizaciones deben tener en cuenta muchos puntos a la hora de implementar Microsoft 365. Las directivas de acceso condicional, protección de aplicaciones y cumplimiento de dispositivos a las que se hace referencia en este artículo se basan en las recomendaciones de Microsoft y en los tres principios rectores de la Confianza cero:
- Comprobación explícita
- Usar privilegios mínimos
- Dar por hecho que habrá intrusiones al sistema
Las organizaciones pueden adoptar estas directivas tal cual o personalizarlas para adaptarlas a sus necesidades. Si es posible, pruebe las directivas en un entorno que no sea de producción antes de implementarse en los usuarios de producción. Las pruebas son fundamentales para identificar y comunicar los posibles efectos a los usuarios.
Agrupamos estas directivas en tres niveles de protección en función de dónde se encuentra en el recorrido de implementación:
- Punto inicial: controles básicos que introducen la autenticación multifactor, la seguridad en los cambios de contraseña y las directivas de protección de aplicaciones.
- Empresa: controles mejorados que introducen el cumplimiento de dispositivos.
- Seguridad especializada: directivas que requieren autenticación multifactor cada vez para conjuntos de datos o usuarios específicos.
En el diagrama siguiente se muestra a qué nivel de protección se aplica cada directiva y si las directivas se aplican a equipos o teléfonos y tabletas, o a ambas categorías de dispositivos.
Puede descargar este diagrama en formato PDF.
Sugerencia
Se recomienda exigir el uso de la autenticación multifactor (MFA) antes de inscribir dispositivos en Intune para asegurarse de que el dispositivo está en posesión del usuario deseado. Debe inscribir dispositivos en Intune para poder aplicar directivas de cumplimiento de dispositivos.
Requisitos previos
Permisos
- Los usuarios que administrarán las directivas de acceso condicional deben poder iniciar sesión en Azure Portal al menos como un Administrador de acceso condicional.
- Los usuarios que administrarán la protección de aplicaciones y las directivas de cumplimiento de dispositivos deben poder iniciar sesión en Intune al menos como un Administrador de Intune.
- A los usuarios que solo necesiten ver las configuraciones se les pueden asignar los roles Lector de seguridad o Lector global.
Para obtener más información sobre los roles y permisos, consulte el artículo Roles integrados de Microsoft Entra.
Registro de usuarios
Asegúrese de que los usuarios se registren para la autenticación multifactor antes de requerir su uso. Si tiene licencias que incluyen Microsoft Entra ID P2, puede usar la directiva de registro de MFA dentro de Protección de Microsoft Entra ID para requerir que los usuarios se registren. Proporcionamos plantillas de comunicación, que puede descargar y personalizar para promover el registro.
Grupos
Todos los grupos de Microsoft Entra usados como parte de estas recomendaciones deben crearse como un grupo de Microsoft 365, no como un grupo de seguridad. Este requisito es importante para la implementación de etiquetas de confidencialidad a la hora de proteger documentos en Microsoft Teams y SharePoint más adelante. Para obtener más información, consulte el artículo Más información sobre los grupos y los derechos de acceso en Microsoft Entra ID
Asignación de directivas
Las directivas de acceso condicional se pueden asignar a usuarios, grupos y roles de administrador. Las directivas de protección de aplicaciones y de cumplimiento de dispositivos de Intune se pueden asignar solo a grupos. Antes de configurar las directivas, debe identificar quién debe incluirse y excluirse. Normalmente, las directivas de nivel de protección de punto inicial se aplican a todos los usuarios de la organización.
Este es un ejemplo de asignación de grupos y exclusiones para requerir la MFA después de que los usuarios hayan completado el registro de usuario.
Directiva de acceso condicional de Microsoft Entra | Incluir | Excluir | |
---|---|---|---|
Punto de partida | Requerir la autenticación multifactor para un riesgo de inicio de sesión medio o alto | Todos los usuarios |
|
Empresa | Requerir autenticación multifactor para un riesgo de inicio de sesión bajo, medio o alto | Grupo de personal ejecutivo |
|
Seguridad especializada | Requiere autenticación multifactor siempre | Grupo de alto secreto del proyecto Buckeye |
|
Tenga cuidado al aplicar niveles más altos de protección a grupos y usuarios. El objetivo de la seguridad no es agregar fricción innecesaria a la experiencia del usuario. Por ejemplo, los miembros del grupo de alto secreto del proyecto Buckeye deberán usar MFA cada vez que inicien sesión, incluso si no están trabajando en el contenido de seguridad especializada para su proyecto. Una fricción de seguridad excesiva puede provocar fatiga.
Puede considerar habilitar métodos de autenticación sin contraseña, como Windows Hello para empresas o claves de seguridad FIDO2 para reducir la fricción creada por determinados controles de seguridad.
Cuentas de acceso de emergencia
Todas las organizaciones deberían tener al menos una cuenta de acceso de emergencia cuyo uso se supervise y se excluya de las directivas. Estas cuentas solo se usan en caso de que todas las demás cuentas de administrador y métodos de autenticación se bloqueen o no estén disponibles. Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
Exclusiones
Una práctica recomendada es crear un grupo de Microsoft Entra para exclusiones de acceso condicional. Este grupo ofrece un medio para proporcionar acceso a un usuario mientras soluciona problemas de acceso.
Advertencia
Este grupo solo se recomienda para su uso como solución temporal. Supervise y audite continuamente este grupo para ver los cambios y asegúrese de que el grupo de exclusión se está utilizando únicamente según lo previsto.
Para agregar este grupo de exclusión a las directivas existentes:
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
- Vaya a Protección> Acceso condicional.
- Seleccione una directiva existente.
- En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
- En Excluir, seleccione Usuarios y grupos y luego, seleccione sus cuentas de acceso de emergencia o break-glass de su organización y el grupo de exclusión de acceso condicional.
Implementación
Se recomienda implementar las directivas de punto inicial en el orden indicado en esta tabla. Sin embargo, las directivas de MFA para los niveles de protección empresa y seguridad especializada se pueden implementar en cualquier momento.
Punto de partida
Directiva | Información adicional | Licencias |
---|---|---|
Exigir la MFA cuando el riesgo de inicio de sesión sea medio o alto | Usar datos de riesgo de Protección de Microsoft Entra ID para requerir la MFA solo cuando se detecta riesgo | Microsoft 365 E5 o Microsoft 365 E3 con el complemento de Seguridad E5 |
Bloquear clientes que no admiten la autenticación moderna | Los clientes que no usan la autenticación moderna pueden omitir las directivas de acceso condicional, por lo que es importante bloquearlas. | Microsoft 365 E3 o E5 |
Los usuarios de alto riesgo deben cambiar la contraseña | Obliga a los usuarios a cambiar su contraseña al iniciar sesión si se detecta una actividad de alto riesgo para su cuenta. | Microsoft 365 E5 o Microsoft 365 E3 con el complemento de Seguridad E5 |
Aplicar directivas de protección de aplicaciones para la protección de datos | Una directiva de protección de aplicaciones de Intune por plataforma (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 o E5 |
Requerir aplicaciones aprobadas y directivas de protección de aplicaciones | Aplica directivas de protección de aplicaciones móviles para teléfonos y tabletas con iOS, iPadOS o Android. | Microsoft 365 E3 o E5 |
Empresa
Directiva | Información adicional | Licencias |
---|---|---|
Requiera MFA cuando el riesgo de inicio de sesión sea bajo, medio o alto | Usar datos de riesgo de Protección de Microsoft Entra ID para requerir la MFA solo cuando se detecta riesgo | Microsoft 365 E5 o Microsoft 365 E3 con el complemento de Seguridad E5 |
Definir directivas de cumplimiento de dispositivos | Establezca los requisitos mínimos de configuración. Una directiva para cada plataforma. | Microsoft 365 E3 o E5 |
Requerir que los equipos y dispositivos móviles siguen las reglas de cumplimiento | Aplica los requisitos de configuración para los dispositivos que acceden a la organización | Microsoft 365 E3 o E5 |
Seguridad especializada
Directiva | Información adicional | Licencias |
---|---|---|
Exigir siempre la MFA | Los usuarios deben realizar una MFA cada vez que inicien sesión en los servicios de su organización | Microsoft 365 E3 o E5 |
Directivas de protección de aplicaciones
Las directivas de protección de aplicaciones definen qué aplicaciones se permiten y las acciones que pueden realizar con los datos de la organización. Hay muchas opciones disponibles y puede resultar confuso para algunos. Las siguientes líneas de base son las configuraciones recomendadas de Microsoft que pueden adaptarse a sus necesidades. Proporcionamos tres plantillas a seguir, pero creemos que la mayoría de las organizaciones elegirán los niveles 2 y 3.
El nivel 2 corresponde a lo que nosotros consideramos como el nivel de seguridad de punto inicial o empresarial, mientras que el nivel 3 corresponde a la seguridad especializada.
Protección de datos básica de la empresa de nivel 1: Microsoft recomienda esta configuración como la configuración mínima de protección de datos para un dispositivo empresarial.
Protección de datos mejorada de la empresa de nivel 2: Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. Algunos de los controles pueden afectar a la experiencia del usuario.
Protección alta de datos de empresa de nivel 3: Microsoft recomienda esta configuración para dispositivos administrados por una organización con un equipo de seguridad más grande o sofisticado, o para usuarios o grupos específicos que presentan un riesgo excepcionalmente alto (usuarios que controlan datos altamente confidenciales cuya divulgación no autorizada causa pérdidas materiales considerables a la organización). Una organización que pueda ser objetivo de adversarios bien financiados y sofisticados debería aspirar a esta configuración.
Crear directivas de protección de aplicaciones
Cree una nueva directiva de protección de aplicaciones para cada plataforma (iOS y Android) en Microsoft Intune mediante la configuración del marco de protección de datos:
- Cree manualmente las directivas siguiendo los pasos descritos en Cómo crear e implementar directivas de protección de aplicaciones con Microsoft Intune.
- Importe las plantillas de ejemplo JSON del marco de configuración de directiva de Intune App Protection con scripts de PowerShell de Intune.
Directivas de cumplimiento de dispositivos
Las directivas de cumplimiento de dispositivos de Intune definen los requisitos que deben cumplir los dispositivos para ser considerados como conformes.
Debe crear una directiva para cada plataforma de PC, teléfono o tableta. Este artículo incluye recomendaciones para las siguientes plataformas:
Crear directivas de cumplimiento de dispositivos
Para crear directivas de cumplimiento de dispositivos, inicie sesión en el Centro de administración de Microsoft Intune y vaya aDirectivas>Directivas de cumplimiento>Directivas. Seleccione Crear directiva.
Para obtener instrucciones paso a paso sobre cómo crear directivas de cumplimiento en Intune, consulte Crear una directiva de cumplimiento en Microsoft Intune.
Configuración de inscripción y cumplimiento para iOS/iPadOS
iOS/iPadOS admite varios escenarios de inscripción, dos de los cuales se tratan como parte de este marco:
- Inscripción de dispositivos de propiedad personal: estos dispositivos son de propiedad personal y se usan tanto para el trabajo como para uso personal.
- Inscripción automatizada de dispositivos para dispositivos propiedad de la empresa: estos dispositivos son propiedad de la empresa, están asociados a un único usuario y se utilizan exclusivamente para el trabajo y no para uso personal.
Usar los principios descritos en Configuraciones de acceso a dispositivos e identidades de Confianza cero:
- Los niveles de protección punto inicial y empresa se corresponden estrechamente con la configuración de seguridad mejorada de nivel 2.
- El nivel de protección de seguridad especializada se corresponde estrechamente con la configuración de seguridad alta de nivel 3.
Configuración de cumplimiento para dispositivos inscritos personalmente
- Seguridad básica personal (nivel 1): Microsoft recomienda esta configuración como la configuración de seguridad mínima para los dispositivos personales en los que los usuarios acceden a datos profesionales o educativos. Esta configuración se realiza aplicando directivas de contraseña, características de bloqueo de dispositivo y deshabilitando determinadas funciones de dispositivo, como los certificados que no son de confianza.
- Seguridad personal mejorada (nivel 2): Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial. Esta configuración aplica controles de uso compartido de datos. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos en un dispositivo.
- Seguridad personal alta (nivel 3): Microsoft recomienda esta configuración para dispositivos que utilizan usuarios o grupos específicos que presentan un riesgo excepcionalmente alto (usuarios que controlan datos altamente confidenciales cuya divulgación no autorizada causa pérdidas materiales considerables a la organización). Esta configuración aplica directivas de contraseña más seguras, deshabilita determinadas funciones de dispositivo y aplica restricciones adicionales de transferencia de datos.
Configuración de cumplimiento para la inscripción automatizada de dispositivos
- Seguridad básica supervisada (nivel 1): Microsoft recomienda esta configuración como la configuración de seguridad mínima para los dispositivos supervisados en los que los usuarios acceden a datos profesionales o educativos. Esta configuración se realiza aplicando directivas de contraseña, características de bloqueo de dispositivo y deshabilitando determinadas funciones de dispositivo, como los certificados que no son de confianza.
- Seguridad mejorada supervisada (nivel 2): Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial. Esta configuración aplica controles de uso compartido de datos y bloquea el acceso a dispositivos USB. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos en un dispositivo.
- Seguridad alta supervisada (nivel 3): Microsoft recomienda esta configuración para dispositivos que utilizan usuarios o grupos específicos que presentan un riesgo excepcionalmente alto (usuarios que controlan datos altamente confidenciales cuya divulgación no autorizada causa pérdidas materiales considerables a la organización). Esta configuración establece directivas de contraseña más seguras, deshabilita determinadas funciones de dispositivo, aplica restricciones adicionales de transferencia de datos y exige que las aplicaciones se instalen a través del programa de compras por volumen de Apple.
Configuración de inscripción y cumplimiento para Android
Android Enterprise admite varios escenarios de inscripción, dos de los cuales se tratan como parte de este marco:
- Perfil de trabajo de Android Enterprise: este modelo de inscripción se usa normalmente para dispositivos de propiedad personal, donde TI quiere proporcionar un límite de separación claro entre los datos profesionales y personales. Las directivas controladas por TI garantizan que los datos del trabajo no se puedan transferir al perfil personal.
- Dispositivos Android Enterprise totalmente administrados: estos dispositivos son propiedad de la empresa, están asociados a un único usuario y se utilizan exclusivamente para el trabajo y no para uso personal.
El marco de configuración de seguridad de Android Enterprise se organiza en varios escenarios de configuración distintos, lo que proporciona instrucciones para el perfil profesional y los escenarios totalmente administrados.
Usar los principios descritos en Configuraciones de acceso a dispositivos e identidades de Confianza cero:
- Los niveles de protección punto inicial y empresa se corresponden estrechamente con la configuración de seguridad mejorada de nivel 2.
- El nivel de protección de seguridad especializada se corresponde estrechamente con la configuración de seguridad alta de nivel 3.
Configuración de cumplimiento para dispositivos de perfil de trabajo de Android Enterprise
- Debido a la configuración disponible para los dispositivos de perfil de trabajo de propiedad personal, no hay ninguna oferta de seguridad básica (nivel 1). La configuración disponible no justifica una diferencia entre el nivel 1 y el nivel 2.
- Seguridad mejorada del perfil de trabajo (nivel 2): Microsoft recomienda esta configuración como la configuración de seguridad mínima para los dispositivos personales en los que los usuarios acceden a datos profesionales o educativos. Esta configuración presenta los requisitos de contraseña, separa los datos profesionales y personales y valida la certificación del dispositivo Android.
- Seguridad alta del perfil de trabajo (nivel 3): Microsoft recomienda esta configuración para dispositivos que utilizan usuarios o grupos específicos que presentan un riesgo excepcionalmente alto (usuarios que controlan datos altamente confidenciales cuya divulgación no autorizada causa pérdidas materiales considerables a la organización). Esta configuración introduce la defensa contra amenazas en dispositivos móviles o Microsoft Defender para punto de conexión, establece la versión mínima de Android, aplica directivas de contraseña más seguras y restringe aún más la separación personal y profesional.
Configuración de cumplimiento para dispositivos Android Enterprise totalmente administrados
- Seguridad básica totalmente administrada (nivel 1): Microsoft recomienda esta configuración como configuración de seguridad mínima para un dispositivo empresarial. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. Esta configuración introduce requisitos de contraseña, establece la versión mínima de Android y aplica ciertas restricciones al dispositivo.
- Seguridad mejorada totalmente administrada (nivel 2): Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial. Esta configuración aplica directivas de contraseña más seguras y deshabilita las funcionalidades de usuario o cuenta.
- Alta seguridad totalmente administrada (nivel 3): Microsoft recomienda esta configuración para los dispositivos que usan usuarios o grupos específicos que presentan un riesgo excepcionalmente alto. Estos usuarios pueden controlar datos altamente confidenciales en los que la divulgación no autorizada puede provocar una pérdida de material considerable para la organización. Esta configuración aumenta la versión mínima de Android, introduce la defensa contra amenazas móviles o Microsoft Defender para punto de conexión, y aplica restricciones adicionales a los dispositivos.
Configuración de cumplimiento recomendada para Windows 10 y versiones posteriores
Las siguientes opciones se configuran en Paso 2: Configuración de cumplimiento, del proceso de creación de directivas de cumplimiento para dispositivos Windows 10 y versiones más recientes. Esta configuración se alinea con los principios descritos en Configuraciones de acceso a dispositivos e identidades de Confianza cero.
Para información sobre el estado del dispositivo > Reglas de evaluación del servicio de atestación del estado de Windows, consulte esta tabla.
Propiedad | Valor |
---|---|
Requerir BitLocker | Requerir |
Debe estar habilitado el arranque seguro en el dispositivo | Requerir |
Requerir integridad de código | Requerir |
En Propiedades del dispositivo, especifique los valores adecuados para las versiones del sistema operativo en función de las directivas de seguridad y TI.
En Cumplimiento de Configuration Manager, si está en un entorno administrado conjuntamente con Configuration Manager, seleccione Requerir; si no, seleccione No configurado.
Para Seguridad del sistema, consulte esta tabla.
Propiedad | Valor |
---|---|
Requerir una contraseña para desbloquear dispositivos móviles | Requerir |
Contraseñas sencillas | Bloquear |
Tipo de contraseña | Valor predeterminado del dispositivo |
Longitud mínima de contraseña | 6 |
Máximo de minutos de inactividad antes de que se requiera una contraseña | 15 minutos |
Expiración de contraseña (días) | 41 |
Número de contraseñas anteriores para impedir su reutilización | 5 |
Requerir contraseña cuando el dispositivo vuelve del estado inactivo (Móvil y Holográfico) | Requerir |
Requerir el cifrado de los datos almacenados en el dispositivo | Requerir |
Firewall | Requerir |
Antivirus | Requerir |
Antispyware | Requerir |
Antimalware de Microsoft Defender | Requerir |
Versión mínima de Antimalware de Microsoft Defender | Microsoft recomienda versiones que no sean más de cinco versiones anteriores a la última versión. |
Firma de Antimalware de Microsoft Defender actualizada | Requerir |
Protección en tiempo real | Requerir |
Para Microsoft Defender para punto de conexión
Propiedad | Valor |
---|---|
Requerir que el dispositivo se sitúe en la puntuación de riesgo de máquina o por debajo de ella | Media |
Directivas de acceso condicional
Una vez creadas las directivas de protección de aplicaciones y cumplimiento de dispositivos en Intune, puede habilitar la aplicación con directivas de acceso condicional.
Requerir la MFA en función del riesgo de inicio de sesión
Siga las instrucciones del artículo Directiva de acceso condicional común: autenticación multifactor basada en el riesgo de inicio de sesión para crear una directiva para requerir la autenticación multifactor basada en el riesgo de inicio de sesión.
Al configurar la directiva, use los siguientes niveles de riesgo.
Nivel de protección | Valores de nivel de riesgo necesarios | Action |
---|---|---|
Punto de partida | Alto, medio | Comprobar ambos. |
Empresa | Alto, medio, bajo | Comprobar los tres. |
Bloquear clientes que no admiten la autenticación multifactor
Siga las instrucciones del artículo Directiva de acceso condicional común: bloquear la autenticación heredada para bloquear la autenticación heredada.
Los usuarios de alto riesgo deben cambiar la contraseña
Siga las instrucciones del artículo Directiva de acceso condicional común: cambio de la contraseña basado en el riesgo del usuario para requerir que los usuarios con credenciales en peligro cambien su contraseña.
Use esta directiva junto con Protección con contraseña de Microsoft Entra, que detecta y bloquea las contraseñas no seguras conocidas y sus variantes, además de los términos específicos de su organización. El uso de la protección con contraseña de Microsoft Entra garantiza que las contraseñas modificadas sean más seguras.
Requerir aplicaciones aprobadas y directivas de protección de aplicaciones
Debe crear una directiva de acceso condicional para aplicar las directivas de protección de aplicaciones creadas en Intune. La aplicación de directivas de protección de aplicaciones requiere una directiva de acceso condicional y una directiva de protección de aplicaciones correspondiente.
Para crear una directiva de acceso condicional que requiera aplicaciones aprobadas y protección de aplicaciones, siga los pasos descritos en Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones con dispositivos móviles. Esta directiva solo permite que las cuentas dentro de las aplicaciones móviles protegidas por directivas de protección de aplicaciones accedan a los puntos de conexión de Microsoft 365.
Bloquear la autenticación heredada para otras aplicaciones cliente en dispositivos iOS y Android garantiza que estos clientes no puedan omitir las directivas de acceso condicional. Si está siguiendo las instrucciones de este artículo, ya ha configurado Bloquear clientes que no admiten la autenticación moderna.
Exigir PC y dispositivos móviles conformes
Los pasos siguientes le ayudarán a crear una directiva de acceso condicional para exigir que los dispositivos que acceden a los recursos se marquen como compatibles con las directivas de cumplimiento de Intune de su organización.
Precaución
Asegúrese de que el dispositivo es compatible antes de habilitar esta directiva. Si no, podría bloquearse y no poder cambiar esta directiva hasta que la cuenta de usuario se haya agregado al grupo de exclusión de acceso condicional.
- Inicie sesión en Azure Portal.
- Vaya a Microsoft Entra ID>Seguridad>Acceso condicional.
- Seleccione Nueva directiva.
- Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
- En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
- En Incluir, seleccione Todos los usuarios.
- En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
- En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
- Si debe excluir aplicaciones específicas de la directiva, puede seleccionarlas en la pestaña Excluir en Seleccionar las aplicaciones en la nube excluidas y elegir Seleccionar.
- En Controles de acceso>Conceder.
- Seleccione Requerir que el dispositivo esté marcado como compatible.
- Elija Seleccionar.
- Confirme la configuración y establezca Habilitar directiva en Activado.
- Seleccione Crear para crear la directiva.
Nota:
Puede inscribir sus nuevos dispositivos en Intune aunque seleccione Requerir que el dispositivo esté marcado como compatible para Todos los usuarios y Todas las aplicaciones en la nube en su directiva. El control Requerir que el dispositivo esté marcado como compatible no impide la inscripción a Intune y el acceso a la aplicación Portal de empresa web de Microsoft Intune.
Activación de suscripciones
Es posible que las organizaciones que usan la característica Activación de suscripciones para permitir que los usuarios "actualicen" de una versión de Windows a otra quieran excluir las API y aplicación web del servicio de tienda universal, el valor AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f de su directiva de cumplimiento de dispositivos.
Exigir siempre la MFA
Siga las instrucciones del artículo Directiva de acceso condicional común: requerir MFA a todos los usuarios para exigir que los usuarios de nivel de seguridad especializada realicen siempre la autenticación multifactor.
Advertencia
Al configurar la directiva, seleccione el grupo que requiere seguridad especializada y úselo en lugar de seleccionar Todos los usuarios.
Pasos siguientes
Más información sobre las recomendaciones de directiva para usuarios invitados y externos