Administración de cuentas de acceso de emergencia en Microsoft Entra ID

Es importante evitar que se bloquee accidentalmente su acceso a la organización de Microsoft Entra, porque no podrá iniciar sesión ni activar otra cuenta de usuario como administrador. El impacto de una falta involuntaria de acceso administrativo se puede mitigar mediante la creación de dos o más cuentas de acceso de emergencia en la organización.

Las cuentas de acceso de emergencia tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas de acceso de emergencia se limitan a situaciones "excepcionales" o de emergencia en las que no se pueden usar las cuentas administrativas normales. Le recomendamos que mantenga el objetivo de restringir el uso de la cuenta de emergencia sólo a los momentos en que sea absolutamente necesario.

En este artículo se proporcionan instrucciones para administrar las cuentas de acceso de emergencia en Microsoft Entra ID.

¿Por qué usaría una cuenta de acceso de emergencia?

Puede que una organización necesite usar una cuenta de acceso de emergencia en las siguientes situaciones:

• Las cuentas de usuario están federadas y la federación no está disponible en este momento debido a una interrupción de la red de telefonía móvil o una interrupción del proveedor de identidades. Por ejemplo, si se ha interrumpido el host del proveedor de identidades de su entorno, puede que los usuarios no puedan iniciar sesión cuando Microsoft Entra ID les redirija a su proveedor de identidades.
• Los administradores están registrados mediante la autenticación multifactor de Microsoft Entra y todos sus dispositivos individuales o los servicios no están disponibles. Puede que los usuarios no puedan completar la autenticación multifactor para activar un rol. Por ejemplo, una interrupción de la red de telefonía móvil les impide responder a llamadas telefónicas o recibir mensajes de texto, los únicos dos mecanismos de autenticación que registraron para sus dispositivos.
• La persona con el acceso de Administrador global más reciente ha dejado la organización. Microsoft Entra ID impide que se pueda eliminar la última cuenta de Administrador global, pero no impide que esta se pueda eliminar o deshabilitar de forma local. Es posible que alguna de estas situaciones impida a la organización recuperar la cuenta.
• Circunstancias imprevistas, como un desastre natural, durante las cuales puede que las redes de telefonía móvil u otras redes no estén disponibles.

Creación de cuentas de acceso de emergencia

Cree dos o más cuentas de acceso de emergencia. Estas cuentas deben ser cuentas solo en la nube que usen el dominio *.onmicrosoft.com y que no estén federadas ni se sincronicen desde un entorno local.

Creación de una cuenta de acceso de emergencia

1. Inicie sesión en el centro de administración de Microsoft Entra como administrador global.

2. Vaya aIdentidad>Usuarios>Todos los usuarios.

3. Seleccione Nuevo usuario.

4. Seleccione Create User (Crear usuario).

5. Asigne un nombre de usuario a la cuenta.

6. Asigne un nombre a la cuenta.

7. Cree una contraseña larga y compleja para la cuenta.

8. En Roles, asigne el rol Administrador global.

9. En Ubicación de utilización, seleccione la ubicación adecuada.

   

10. Seleccione Crear.

11. Almacenamiento seguro de las credenciales de cuenta

12. Supervisión de registros de inicio de sesión y de auditoría

13. Validación de las cuentas de forma regular

Al configurarlas, deben cumplirse los siguientes requisitos:

• Las cuentas de acceso de emergencia no deben asociarse con ningún usuario individual de la organización. Asegúrese de que sus cuentas no están conectadas con ningún teléfono móvil proporcionado por los empleados, tokens de hardware que viajen con los empleados individuales u otras credenciales específicas de los empleados. Esta precaución debe incluir también los casos en los que un empleado individual pueda no estar disponible cuando se necesiten las credenciales. Es importante asegurarse de que todos los dispositivos registrados se guarden en un lugar conocido y seguro que disponga de varios medios de comunicación con Microsoft Entra ID.
• Use la autenticación sólida para las cuentas de acceso de emergencia y asegúrese de que no utiliza los mismos métodos de autenticación que en las otras cuentas administrativas. Por ejemplo, si la cuenta de administrador normal usa la aplicación Microsoft Authenticator para la autenticación sólida, use una clave de seguridad FIDO2 para las cuentas de emergencia. Tenga en cuenta las dependencias de varios métodos de autenticación para evitar agregar requisitos externos al proceso de autenticación.
• El dispositivo o la credencial no deben expirar ni estar en el ámbito de una limpieza automatizada debido a la falta de uso.
• En Microsoft Entra Privileged Identity Management, debe hacer que la asignación de roles de administrador global sea permanente en lugar de que solo sea válida para las cuentas de acceso de emergencia.

Exclusión de al menos una cuenta de autenticación multifactor basada en teléfono

Para reducir el riesgo de ataques como resultado de una contraseña en peligro, Microsoft Entra ID recomienda exigir la autenticación multifactor a cada usuario. Este grupo incluye a los administradores y a todos aquellos (por ejemplo, los agentes financieros) cuyas cuentas, si se ponen en peligro, tendrían un impacto significativo.

Sin embargo, al menos una de las cuentas de acceso de emergencia no debería tener el mismo mecanismo de autenticación multifactor que las otras cuentas que no son de emergencia. Esto incluye las soluciones de autenticación multifactor de terceros. Si tiene una directiva de acceso condicional que exige la autenticación multifactor para cada administrador de Microsoft Entra ID y de otras aplicaciones conectadas de software como servicio (SaaS), debería excluir las cuentas de acceso de emergencia de este requisito y configurar un mecanismo diferente. Además, debe asegurarse de que las cuentas no tienen una directiva de autenticación multifactor por usuario.

Exclusión de al menos una cuenta de las directivas de acceso condicional

Durante una emergencia, no quiere que una directiva bloquee potencialmente el acceso para corregir un problema. Si usa el acceso condicional, al menos una cuenta de acceso de emergencia debe excluirse de todas las directivas de acceso condicional.

Nota:

A partir de julio de 2024, los equipos de Azure comenzarán a implementar medidas de seguridad de nivel de inquilino adicionales para requerir la autenticación multifactor (MFA) para todos los usuarios. Como ya se ha documentado, use la autenticación segura para las cuentas de acceso de emergencia. Se recomienda actualizar estas cuentas para usar la autenticación basada en certificados o FIDO2 (cuando se configura como MFA) en lugar de confiar solo en una contraseña larga. Ambos métodos cumplirán los requisitos de MFA.

Guía de federación

Algunas organizaciones usan AD Domain Services y AD FS o un proveedor de identidades similar para realizar la federación en Microsoft Entra ID. El acceso de emergencia para los sistemas locales y para los servicios en la nube debe ser independiente, sin dependencias de uno del otro. Dominar y/o abastecerse de autenticación para cuentas con privilegios de acceso de emergencia desde otros sistemas añade un riesgo innecesario en caso de interrupción de dichos sistemas.

Almacenamiento seguro de las credenciales de cuenta

Las organizaciones se deben asegurar de que las credenciales de estas cuentas de acceso de emergencia estén protegidas y solo las conozcan los usuarios que están autorizados para usarlas. Algunos clientes usan una tarjeta inteligente para Windows Server AD o una clave de seguridad FIDO2 para Microsoft Entra ID y otros usan contraseñas. La contraseña de una cuenta de acceso de emergencia se encuentra normalmente dividida en dos o tres partes, escrita en diferentes fragmentos de papel que se almacenan en cajas de seguridad a prueba de incendios que están en ubicaciones separadas seguras.

Si usa contraseñas, asegúrese de que las cuentas tengan contraseñas seguras que no expiren. Idealmente, las contraseñas deben tener al menos 16 caracteres y generarse aleatoriamente.

Supervisión de registros de inicio de sesión y de auditoría

Las organizaciones deben supervisar la actividad de registro de auditoría e inicio de sesión de las cuentas de emergencia y desencadenar el envío de notificaciones a otros administradores. Al supervisar la actividad en las cuentas de emergencia, puede comprobar que estas cuentas solo se usen para pruebas o emergencias reales. Puede usar Azure Log Analytics para supervisar los registros de inicio de sesión y desencadenar alertas por SMS y correo electrónico a los administradores cuando las cuentas de emergencia inicien sesión.

Requisitos previos

1. Envíe eventos de inicio de sesión de Microsoft Entra a Azure Monitor.

Obtención de los Id. de objeto de las cuentas de emergencia

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.

2. Vaya aIdentidad>Usuarios>Todos los usuarios.

3. Busque la cuenta de emergencia y seleccione el nombre del usuario.

4. Copie y guarde el atributo de Id. de objeto para usarlo más adelante.

5. Repita los pasos anteriores para la segunda cuenta de emergencia.

Crear una regla de alerta

1. Inicie sesión en Azure Portal como Colaborador de seguridad como mínimo.

2. Vaya a Supervisión>Áreas de trabajo de Log Analytics.

3. Seleccione un área de trabajo.

4. En el área de trabajo, seleccione Alertas>Nueva regla de alertas.

   1. En Recurso, compruebe que la suscripción es la que quiere asociar con la regla de alertas.

   2. En condición, seleccione Agregar.

   3. Seleccione Custom log search (Búsqueda de registros personalizada) en Nombre de señal.

   4. En Consulta de búsqueda, escriba la siguiente consulta e inserte los Id. de objeto de las dos cuentas de emergencia.

      Nota:

      Para cada cuenta de emergencia adicional que quiera incluir, agregue otro "or UserId == "ObjectGuid"" a la consulta.

      Consultas de ejemplo:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. En Lógica de alerta, escriba lo siguiente:

      • Basado en: Número de resultados
      • Operador: Mayor que
      • Valor del umbral: 0

   6. En Se evaluó basándose en, seleccione el Periodo (en minutos) durante el que quiere que se ejecute la consulta, así como la Frecuencia (en minutos) con la que quiere que se ejecute la consulta. La frecuencia debe ser menor o igual que el periodo.

      

   7. Seleccione Listo. Ahora puede ver el costo mensual estimado de esta alerta.

5. Seleccione el grupo de acciones con los usuarios a los que notificará la alerta. Si quiere crear uno, consulte Creación de un grupo de acciones.

6. Para personalizar la notificación por correo electrónico que se envía a los miembros del grupo de acciones, seleccione Acciones en Personalizar las acciones.

7. En Detalles de alertas, especifique el nombre de la regla de alerta y agregue una descripción opcional.

8. Establezca el Nivel de gravedad del evento. Se recomienda que lo establezca en Crítico (gravedad 0) .

9. Under Habilitar regla tras la creación, deje el valor como sí.

10. Para desactivar las alertas durante un tiempo, active la casilla Suprimir alertas, escriba la duración de la pausa antes de reanudar las alertas y seleccione Guardar.

11. Haga clic en Crear regla de alertas.

Creación de un grupo de acciones

1. Seleccione Create an action group (Crear un grupo de acciones).

   

2. Escriba el nombre del grupo de acciones y un nombre corto.

3. Compruebe la suscripción y el grupo de recursos.

4. En Tipo de acción, seleccione Correo electrónico/SMS/Push/Voz.

5. Escriba un nombre de acción como Notificar al administrador global.

6. Seleccione el Tipo de acción como Correo electrónico/SMS/Push/Voz.

7. Seleccione Editar detalles para seleccionar los métodos de notificación que quiere configurar y escriba la información de contacto necesaria. Después, seleccione Aceptar para guardar los detalles.

8. Agregue las acciones adicionales que quiera desencadenar.

9. Seleccione Aceptar.

Validación de las cuentas de forma regular

Cuando entrena a los miembros del personal en el uso de cuentas de acceso de emergencia y validar dichas cuentas, como mínimo debe seguir estos pasos a intervalos regulares:

• Asegúrese de que el personal de supervisión de seguridad sea consciente de que la actividad de comprobación de las cuentas es continua.
• Asegúrese de que el proceso para escenarios de máxima emergencia en los que se usarán estas cuentas está documentado y es actual.
• Asegúrese de que los administradores y los responsables de seguridad que podrían tener que realizar estos pasos durante una emergencia están entrenados en el proceso.
• Actualice las credenciales, en particular las contraseñas, de las cuentas de acceso de emergencia y, después, valide que las cuentas de acceso de emergencia puedan iniciar sesión y realizar tareas administrativas.
• Asegúrese de que los usuarios no hayan registrado la autenticación multifactor o el autoservicio de restablecimiento de contraseña (SSPR) en el dispositivo o los detalles personales de un usuario individual.
• Si las cuentas se han registrado para la autenticación multifactor en un dispositivo, para su uso durante el inicio de sesión o la activación de rol, asegúrese de que este dispositivo sea accesible para todos los administradores que podrían tener que usarlo en caso de emergencia. Compruebe también que el dispositivo puede comunicarse a través de al menos dos rutas de acceso de red que no compartan un modo de error común. Por ejemplo, el dispositivo puede comunicarse con Internet a través de la red inalámbrica de la oficina y a través de una red de un proveedor de telefonía móvil.

Estos pasos deben realizarse a intervalos regulares y para cambios de claves:

• Al menos cada 90 días
• Cuando se ha producido un cambio reciente en el personal de TI, como un cambio de trabajo, una salida o un nuevo empleado.
• Cuando se han cambiado las suscripciones de Microsoft Entra de la organización

Pasos siguientes

• Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Microsoft Entra ID
• Añadir usuarios utilizando Microsoft Entra ID y asignar funciones al nuevo usuario
• Si aún no lo ha hecho, regístrese para obtener Microsoft Entra ID P1 o P2.
• Exigencia de verificación en dos pasos para un usuario.
• Configurar protecciones adicionales para roles con privilegios en Microsoft 365, si usa Microsoft 365
• Iniciar una revisión de acceso de los roles con privilegios y cambiar las asignaciones de funciones privilegiadas existentes a funciones de administrador más específicas