Requerimiento de autenticación multifactor a todos los usuarios

Como Alex Weinert, director de seguridad de identidades de Microsoft, menciona en su entrada de blog Your Pa$$word no importa:

La contraseña no es importante, pero la autenticación multifactor sí. Según nuestros estudios, es prácticamente improbable que una cuenta se comprometa si se usa MFA.

Intensidad de la autenticación

La guía de este artículo ayuda a su organización a establecer una directiva MFA para su entorno usando niveles de autenticación. Microsoft Entra ID proporciona tres puntos fuertes de autenticación integrada:

• Intensidad de autenticación multifactor (menos restrictiva) recomendada en este artículo
• Seguridad de MFA sin contraseña
• Intensidad de MFA resistente al phishing (más restrictiva)

Puede usar uno de los puntos fuertes integrados o crear una seguridad de autenticación personalizada en función de los métodos de autenticación que desee requerir.

En escenarios de usuarios externos, los métodos de autenticación de MFA que un inquilino de recursos pueden aceptar varían en función de si el usuario está completando MFA en su inquilino principal o en el inquilino del recurso. Para más información, consulte Intensidad de autenticación para usuarios externos.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces. Se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a configuración errónea de directivas. En el escenario poco probable en el que todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y recuperar el acceso.
  • Puede encontrar más información en el artículo Administrar cuentas de acceso de emergencia en Microsoft Entra ID.
• Service accounts y Service principals, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están vinculadas a ningún usuario específico. Normalmente se usan en los servicios back-end para permitir el acceso mediante programación a las aplicaciones, pero también se usan para iniciar sesión en sistemas con fines administrativos. Las llamadas realizadas por principales de servicio no están bloqueadas por las directivas de acceso condicional que se aplican a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, reemplácelas por identidades administradas.

Implementación de plantilla

Las organizaciones pueden implementar esta directiva siguiendo los pasos descritos a continuación o mediante las plantillas de acceso condicional.

Creación de una directiva de acceso condicional

Los pasos siguientes ayudan a crear una directiva de acceso condicional que exija a todos los usuarios realizar la autenticación multifactor, mediante la directiva de intensidad de autenticación, sin exclusiones de aplicaciones.

1. Inicie sesión en el centro de administración de Microsoft Entra como mínimo con el perfil de Administrador de acceso condicional.

2. Navegue a Entra IDAcceso condicionalPolíticas.

3. Seleccione Nueva política.

4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus políticas.

5. En Asignaciones, seleccione Identidades de usuario o de carga de trabajo.

   1. En Incluir, seleccione Todos los usuarios
   2. En la sección Excluir:
      1. Seleccione Usuarios y grupos.
         1. Elija las cuentas de acceso de emergencia de la organización.
         2. Si usa soluciones de identidad híbrida como Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync, seleccione Roles de directorio, seleccione Cuentas de sincronización de directorio
      2. Puede optar por excluir a sus usuarios invitados si se dirige a ellos con una política específica para usuarios invitados.

6. En Recursos de destino(anteriormente aplicaciones en la nube)Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube").

   Sugerencia

   Microsoft recomienda que todas las organizaciones creen una directiva de acceso condicional de línea base destinada a: todos los usuarios, todos los recursos sin exclusiones de aplicaciones y requieren autenticación multifactor.

7. En Controles de accesoConceder, seleccione Conceder acceso.

   1. Seleccione Requerir fuerza de autenticación y, a continuación, seleccione la Intensidad de autenticación multifactor incorporada de la lista.
   2. Elija Seleccionar.

8. Confirme la configuración y establezca Habilitar la directiva en Solo informes.

9. Seleccione Crear para habilitar su directiva.

Después de confirmar la configuración utilizando el impacto de la directiva o el modo de solo informe, mueva el botón de alternancia de la directiva de 'Solo informe' a 'Activado'.

Ubicaciones con nombre

Las organizaciones pueden optar por incorporar ubicaciones de red conocidas, denominadas ubicaciones con nombre en sus directivas de acceso condicional. Estas ubicaciones con nombre pueden incluir redes IP de confianza como las de una ubicación principal de la oficina. Para obtener más información sobre cómo configurar ubicaciones con nombre, consulte el artículo ¿Cuál es la condición de ubicación en Microsoft Entra acceso condicional?

En la directiva de ejemplo anterior, una organización puede optar por no requerir la autenticación multifactor si tiene acceso a una aplicación en la nube desde su red corporativa. En este caso, se podría agregar la siguiente configuración a la directiva:

1. En Asignaciones, seleccione Red.
   1. Configurar: Sí.
   2. Incluya Cualquier red o ubicación.
   3. Excluya Todas las redes y ubicaciones de confianza.
2. Guarde sus cambios en la política.

Contenido relacionado

• Plantillas de acceso condicional
• Utilizar el modo solo informe de Acceso Condicional para determinar los resultados de nuevas decisiones de directiva.
• Activación de suscripción de Windows
• Configuración de los ajustes de acceso entre inquilinos