Planificación para la autenticación multifactor obligatoria para Azure y otros portales de administración
En Microsoft, nos comprometemos a proporcionar a nuestros clientes el mayor nivel de seguridad. Una de las medidas de seguridad más eficaces disponibles es la autenticación multifactor (MFA). La investigación realizada por Microsoft muestra que la MFA puede bloquear más del 99,2 % de los ataques peligrosos de la cuenta.
Por eso, a partir de 2024, aplicaremos la autenticación multifactor (MFA) obligatoria para todos los intentos de inicio de sesión en Azure. Para obtener más información sobre este requisito, consulte nuestra entrada de blog. En este tema se tratan qué aplicaciones y cuentas se ven afectadas, cómo se implementa la aplicación en los inquilinos y otras preguntas y respuestas comunes.
No hay ningún cambio para los usuarios si su organización ya aplica MFA para ellos o si inician sesión con métodos más seguros, como sin contraseña o clave de acceso (FIDO2). Para comprobar que MFA está habilitado, consulte Comprobación de que los usuarios están configurados para MFA obligatorio.
Ámbito de aplicación
El ámbito de aplicación incluye qué aplicaciones tienen previsto aplicar la MFA, cuando se tiene pensado que se produzca la aplicación y qué cuentas tienen un requisito obligatorio de MFA.
Aplicaciones
Nombre de la aplicación | Identificador de aplicación | Fase de aplicación |
---|---|---|
Azure Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Segunda mitad de 2024 |
Centro de administración de Microsoft Entra | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Segunda mitad de 2024 |
Centro de administración de Microsoft Intune | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Segunda mitad de 2024 |
Interfaz de la línea de comandos de Azure (CLI de Azure) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | Principios de 2025 |
Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | Principios de 2025 |
Aplicación móvil de Azure | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | Principios de 2025 |
Infraestructura como herramientas de código (IaC) | Usa los id. de la CLI de Azure o Azure PowerShell | Principios de 2025 |
Cuentas
Todos los usuarios que inicien sesión en las aplicaciones enumeradas anteriormente para realizar cualquier operación de creación, lectura, actualización o eliminación (CRUD) deben completar MFA cuando comience la aplicación. No es necesario que los usuarios usen MFA si acceden a otras aplicaciones, sitios web o servicios hospedados en Azure. Cada aplicación, sitio web o propietario del servicio enumerado anteriormente controla los requisitos de autenticación de los usuarios.
Las cuentas de emergencia o de acceso de emergencia también son necesarias para iniciar sesión con MFA una vez que comience la aplicación. Se recomienda actualizar estas cuentas para usar la clave de acceso (FIDO2) o configurar la autenticación basada en certificados para MFA. Ambos métodos cumplen el requisito de MFA.
Las identidades de carga de trabajo, como las identidades administradas y las entidades de servicio, no se ven afectadas por ninguna de las fases de esta aplicación de MFA. Si las identidades de usuario se usan para iniciar sesión como una cuenta de servicio para ejecutar la automatización (incluidos scripts u otras tareas automatizadas), esas identidades de usuario deberán iniciar sesión con MFA una vez que comience la aplicación. No se recomiendan las identidades de usuario para la automatización. Debe migrar esas identidades de usuario a identidades de carga de trabajo.
Migración de cuentas de servicio basadas en usuarios a identidades de carga de trabajo
Se recomienda a los clientes detectar cuentas de usuario que se usan como cuentas de servicio para empezar a migrarlas a identidades de carga de trabajo. La migración suele requerir la actualización de scripts y procesos de automatización para usar identidades de carga de trabajo.
Revise Cómo comprobar que los usuarios están configurados para MFA obligatorio para identificar todas las cuentas de usuario, incluidas las cuentas de usuario que se usan como cuentas de servicio, que inician sesión en las aplicaciones.
Para obtener más información sobre cómo migrar de cuentas de servicio basadas en usuarios a identidades de carga de trabajo para la autenticación con estas aplicaciones, consulte:
- Inicio de sesión en Azure con una identidad administrada mediante la CLI de Azure
- Inicio de sesión en Azure con una entidad de servicio mediante la CLI de Azure
- El inicio de sesión en Azure PowerShell de forma no interactiva para escenarios de automatización incluye instrucciones para casos de uso de identidad administrada y entidad de servicio.
Algunos clientes aplican directivas de acceso condicional a cuentas de servicio basadas en el usuario. Puede reclamar la licencia basada en el usuario y agregar una licencia de identidades de carga de trabajo para aplicar el acceso condicional para las identidades de carga de trabajo.
Implementación
Azure implementa este requisito para MFA en el inicio de sesión para portales de administración. Los registros de inicio de sesión de Microsoft Entra ID lo muestran como el origen del requisito de MFA.
MFA obligatoria para portales de administración no se puede configurar. Se implementa por separado de las directivas de acceso que configuró en el inquilino.
Por ejemplo, si la organización eligió conservar los valores predeterminados de seguridad de Microsoft y actualmente tiene habilitados los valores predeterminados de seguridad, los usuarios no ven ningún cambio porque ya se requiere MFA para la administración de Azure. Si el inquilino usa directivas de acceso condicional en Microsoft Entra y ya tiene una directiva de acceso condicional mediante la cual los usuarios inician sesión en Azure con MFA, los usuarios no ven ningún cambio. De forma similar, las directivas de acceso condicional restrictivas que tengan como destino Azure y requieran una autenticación más sólida, como MFA resistente a la suplantación de identidad, se seguirán aplicando. Los usuarios no ven ningún cambio.
Fases de aplicación
La aplicación de MFA se implementa en dos fases:
Fase 1: a partir de la segunda mitad de 2024, se requerirá MFA para iniciar sesión en Azure Portal, en el Centro de administración Microsoft Entra y el Centro de administración de Microsoft Intune. La aplicación se implementará gradualmente en todos los inquilinos de todo el mundo. Esta fase no afectará a otros clientes de Azure, como la CLI de Azure, Azure PowerShell, Azure Mobile App ni las herramientas de IaC.
Fase 2: a partir de principios de 2025, la aplicación de MFA comienza gradualmente para iniciar sesión en la CLI de Azure, Azure PowerShell, Azure Mobile App y las herramientas de IaC. Algunos clientes pueden usar una cuenta de usuario en Microsoft Entra ID como cuenta de servicio. Se recomienda migrar estas cuentas de servicio basadas en el usuario para proteger las cuentas de servicio basadas en la nube con identidades de carga de trabajo.
Canales de notificación
Microsoft notificará a todos los administradores globales de Microsoft Entra mediante los siguientes canales:
Correo electrónico: los administradores globales que configuraron una dirección de correo electrónico se informarán por correo electrónico del próximo cumplimiento de MFA y las acciones necesarias para prepararse.
Estado del servicio notificación: los administradores globales reciben una notificación de estado del servicio a través de Azure Portal, con el identificador de seguimiento de 4V20-VX0. Esta notificación contiene la misma información que el correo electrónico. Los administradores globales también pueden suscribirse para recibir notificaciones de estado del servicio por correo electrónico.
Notificación en el portal: aparece una notificación en Azure Portal, el Centro de administración Microsoft Entra y el Centro de administración de Microsoft Intune cuando se inicia sesión. La notificación en el portal se vincula a este tema para obtener más información sobre la aplicación obligatoria de MFA.
Centro de mensajes de Microsoft 365: aparece un mensaje en el Centro de mensajes de Microsoft 365 con el identificador de mensaje: MC862873. Este mensaje tiene la misma información que el correo electrónico y la notificación de estado del servicio.
Después del cumplimiento, aparece un banner en autenticación multifactor de Microsoft Entra:
Métodos de autenticación externos y proveedores de identidad
La compatibilidad con soluciones de MFA externas está en versión preliminar con métodos de autenticación externos y se puede usar para satisfacer el requisito de MFA. La versión preliminar de controles personalizados de acceso condicional heredado no satisface el requisito de MFA. Debe migrar a la versión preliminar de los métodos de autenticación externos para usar una solución externa con Microsoft Entra ID.
Si usas un proveedor de identidades federado (IdP), como Servicios de federación de Active Directory (AD FS), y el proveedor de MFA se integra directamente con este IdP federado, el IdP federado debe configurarse para enviar una notificación de MFA.
Solicita más tiempo para prepararte para la aplicación
Entendemos que algunos clientes pueden necesitar más tiempo a fin de prepararse para este requisito de MFA. Microsoft permite a los clientes con entornos complejos o barreras técnicas posponer la aplicación de sus inquilinos hasta el 15 de marzo de 2025.
Entre el 15 de agosto de 2024 y el 15 de octubre de 2024, los administradores globales pueden ir a Azure Portal para posponer la fecha de inicio de la aplicación de su inquilino al 15 de marzo de 2025. Los administradores globales deben tener acceso con privilegios elevados antes de posponer la fecha de inicio de la aplicación de MFA en esta página.
Los administradores globales deben realizar esta acción para cada inquilino en el que quieran posponer la fecha de inicio del cumplimiento.
Al posponer la fecha de inicio de la aplicación, se corre un riesgo adicional porque las cuentas que acceden a servicios Microsoft como Azure Portal son objetivos muy valiosos para los actores de amenazas. Se recomienda que todos los inquilinos configuren MFA ahora para proteger los recursos en la nube.
Preguntas frecuentes
Pregunta: Si el inquilino solo se usa para pruebas, ¿se requiere MFA?
Respuesta: Sí, todos los inquilinos de Azure requerirán MFA, no hay ninguna excepción.
Pregunta: ¿La MFA es obligatoria para todos los usuarios o solo para administradores?
Respuesta: Todos los usuarios que inicien sesión en cualquiera de las aplicaciones mostradas anteriormente deben completar la MFA, independientemente de los roles de administrador que estén activados o de las exclusiones de usuario que estén habilitados para ellos.
Pregunta: ¿Necesito completar la MFA si elijo la opción “Mantener la sesión iniciada”?
Respuesta: Sí, incluso si elige Mantener sesión iniciada, es necesario completar MFA para poder iniciar sesión en estas aplicaciones.
Pregunta: ¿Será aplicable la obligatoriedad a las cuentas de invitado B2B?
Respuesta: Sí, la MFA debe realizarse desde el inquilino de recursos del asociado o el inquilino principal del usuario si está configurado correctamente para enviar notificaciones de MFA al inquilino de recursos mediante el acceso entre inquilinos.
Pregunta: ¿Cómo podemos cumplir si aplicamos la MFA a través de otro proveedor de identidades u otra solución de MFA, y no la aplicamos usando la MFA de Microsoft Entra?
Respuesta: La solución del proveedor de identidades debe configurarse correctamente para enviar la notificación multipleauthn a Microsoft Entra ID. Para obtener más información, consulte Referencia del proveedor de método externo de la autenticación multifactor de Microsoft Entra.
Pregunta: ¿Afectará la fase 1 o la fase 2 de la MFA obligatoria a mi capacidad de sincronizar con Microsoft Entra Connect o Microsoft Entra Cloud Sync?
Respuesta: No. La cuenta de servicio de sincronización no se ve afectada por el requisito obligatorio de MFA. Solo las aplicaciones enumeradas anteriormente requieren MFA para el inicio de sesión.
Pregunta: ¿Puedo optar por no participar?
No hay forma de rechazarlo. Este movimiento de seguridad es fundamental para toda la seguridad de la plataforma Azure y se repite en todos los proveedores de nube. Por ejemplo, vea Protección por diseño: AWS va a mejorar los requisitos de MFA en 2024.
Hay disponible una opción a fin de posponer la fecha de inicio de aplicación para los clientes. Entre el 15 de agosto de 2024 y el 15 de octubre de 2024, los administradores globales pueden ir a Azure Portal para posponer la fecha de inicio de la aplicación de su inquilino al 15 de marzo de 2025. Los administradores globales deben tener acceso con privilegios elevados antes de posponer la fecha de inicio de la aplicación de MFA en esta página y deben realizar esta acción para cada inquilino para el que les gustaría posponer la fecha de inicio de la aplicación.
Pregunta: ¿Puedo probar MFA antes de que Azure aplique la directiva para asegurarse de que no hay ninguna interrupción?
Respuesta: Sí, puede probar su MFA mediante el proceso de configuración manual de MFA. Le animamos a configurarlo y probarlo. Si usa el acceso condicional para aplicar la MFA, puede usar plantillas de acceso condicional para probar la directiva. Para obtener más información, consulte Requerir autenticación multifactor a los administradores que accedan a los portales de administración de Microsoft. Si utiliza una edición gratuita de Microsoft Entra ID, puede habilitar los valores predeterminados de seguridad.
Pregunta: ¿Qué ocurre si ya tengo la MFA habilitada? ¿Qué ocurre a continuación?
Respuesta: Los clientes que ya requieren MFA para sus usuarios que acceden a las aplicaciones enumeradas anteriormente no ven ningún cambio. Si solo necesita MFA para un subconjunto de usuarios, los usuarios que aún no usen MFA tendrán que usar MFA cuando inicien sesión en las aplicaciones.
Pregunta: ¿Cómo puedo revisar la actividad de MFA en Microsoft Entra ID?
Respuesta: Para revisar los detalles sobre cuándo se solicita a un usuario que inicie sesión con MFA, use el informe inicios de sesión de Microsoft Entra. Para obtener más información, consulte Detalles de eventos de inicio de sesión para la autenticación multifactor de Microsoft Entra.
Pregunta: ¿Qué ocurre si tengo un escenario de "emergencia"?
Respuesta: Se recomienda actualizar estas cuentas a fin de usar la clave de paso (FIDO2) o configurar la autenticación basada en certificados para MFA. Ambos métodos cumplen el requisito de MFA.
Pregunta: ¿Qué ocurre si no recibo un correo electrónico sobre cómo habilitar MFA antes de que se aplique y, después, me bloquean? ¿Cómo debo resolverlo?
Respuesta: Los usuarios no deben bloquearse, pero pueden recibir un mensaje que les pida que habilite MFA una vez que se haya iniciado la aplicación de MFA para su inquilino. Si el usuario está bloqueado, puede deberse a otros problemas. Para obtener más información, vea La cuenta se ha bloqueado.
Contenido relacionado
Revise los temas siguientes para obtener más información sobre cómo configurar e implementar MFA:
- Comprobación de que los usuarios están configurados para MFA obligatorio
- Tutorial: Protección de eventos de inicio de sesión de usuario con la autenticación multifactor de Microsoft Entra
- Protección de eventos de inicio de sesión con multifactor de Microsoft Entra
- Planificación de una implementación de autenticación multifactor de Microsoft Entra
- Métodos de MFA resistentes a la suplantación de identidad
- Autenticación multifactor de Microsoft Entra
- Métodos de autenticación