Protección del registro de información de seguridad con la directiva de acceso condicional

Proteger cuándo y cómo se registran los usuarios para la autenticación multifactor de Microsoft Entra y el restablecimiento de contraseñas de autoservicio ya es posible con las acciones del usuario en una directiva de acceso condicional. Esta característica está disponible para las organizaciones que habilitan el registro combinado. Esta funcionalidad permite a las organizaciones tratar el proceso de registro como cualquier aplicación de una directiva de acceso condicional y usar toda la eficacia del acceso condicional para proteger la experiencia. Los usuarios que inicien sesión en la aplicación Microsoft Authenticator o que habiliten el inicio de sesión con teléfono sin contraseña están sujetos a esta directiva.

Algunas organizaciones del pasado podrían haber usado la ubicación de red de confianza o el cumplimiento de dispositivos como medio para proteger la experiencia de registro. Con la adición del Pase de acceso temporal en Microsoft Entra ID, los administradores pueden aprovisionar credenciales a sus usuarios por tiempo limitado, que les permitirán registrarse desde cualquier dispositivo o ubicación. Las credenciales de Pase de acceso temporal satisfacen los requisitos de acceso condicional para la autenticación multifactor.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a errores de configuración de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional asignadas a los usuarios. Usa el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas.

Implementación de plantilla

A la hora de implementar esta directiva las organizaciones pueden optar por utilizar los pasos que se describen a continuación o las plantillas de acceso condicional.

Creación de una directiva para un registro seguro

La siguiente directiva se aplica a los usuarios seleccionados que intentan registrarse mediante la experiencia de registro combinado. La directiva requiere que los usuarios estén en una ubicación de red de confianza y realicen la autenticación multifactor o usen credenciales de pase de acceso temporal.

Advertencia

Si usa métodos de autenticación externos, estos son actualmente incompatibles con la seguridad de autenticación y debe usar el control Requerir concesión de autenticación multifactor.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Protección>Acceso condicional>Directivas.
3. Seleccione Nueva directiva.
4. En Nombre, escriba un nombre para la directiva. Por ejemplo, Registro de información de seguridad combinada con TAP.
5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).

   1. En Incluir, seleccione Todos los usuarios.

      Advertencia

      Los usuarios deben estar habilitados para el registro combinado.

   2. En Excluir.

      1. Seleccione Todos los usuarios externos e invitados.

         Nota:

         El Pase de acceso temporal no funciona para los usuarios invitados.

      2. Seleccione Usuarios y grupos y, a continuación, elija las cuentas de acceso de emergencia de la organización.

6. En Recursos de destino>Acciones del usuario, marque Registrar información de seguridad.
7. En Condiciones>Ubicaciones.
   1. Establezca Configurar en Sí.
      1. Incluya Cualquier ubicación.
      2. Excluya Todas las ubicaciones de confianza.
8. En Controles de acceso>Conceder, seleccione Conceder acceso.
   1. Seleccione Requerir seguridad de autenticación y, a continuación, seleccione la seguridad de autenticación integrada o personalizada adecuada en la lista.
   2. Elija Seleccionar.
9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
10. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Los administradores tienen que emitir credenciales de pase de acceso temporal a los nuevos usuarios para que puedan satisfacer los requisitos de autenticación multifactor que se van a registrar. Los pasos para llevar a cabo esta tarea se encuentran en la sección Creación de un Pase de acceso temporal en el centro de administración de Microsoft Entra.

Las organizaciones pueden optar por requerir otros controles de concesión junto con o en lugar de Requerir autenticación multifactor en el paso 8a. Al seleccionar varios controles, asegúrese de activar la alternancia del botón de radio correspondiente para requerir todos los controles seleccionados o uno de ellos al realizar este cambio.

Registro del usuario invitado

Para usuarios invitados que necesitan registrarse para la autenticación multifactor en el directorio, puede optar por bloquear el registro desde fuera de ubicaciones de red de confianza mediante la siguiente guía.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Protección>Acceso condicional>Directivas.
3. Seleccione Nueva directiva.
4. En Nombre, escriba un nombre para la directiva. Por ejemplo, Registro de información de seguridad combinada en redes de confianza.
5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione Todos los usuarios invitados y externos.
6. En Recursos de destino>Acciones del usuario, marque Registrar información de seguridad.
7. En Condiciones>Ubicaciones.
   1. Configure Sí.
   2. Incluya Cualquier ubicación.
   3. Excluya Todas las ubicaciones de confianza.
8. En Controles de acceso>Conceder.
   1. Seleccione Block access (Bloquear acceso).
   2. Luego, elija Seleccionar.
9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
10. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Contenido relacionado

• Roles integrados de Microsoft Entra
• Plantillas de acceso condicional
• Requerir a los usuarios que vuelvan a confirmar la información de autenticación