Tutorial: Usar detecciones de riesgos en los inicios de sesión de usuario para desencadenar la MFA de Microsoft Entra y cambios de contraseña
Para proteger a los usuarios, puede configurar directivas de acceso condicional de Microsoft Entra basadas en riesgos que respondan automáticamente a comportamientos de riesgo. Estas directivas pueden bloquear automáticamente un intento de inicio de sesión o requerir una acción adicional, como requerir un cambio de contraseña seguro o solicitar la autenticación multifactor de Microsoft Entra. Estas directivas funcionan con las existentes de acceso condicional de Microsoft Entra como una capa de protección adicional para su organización. Los usuarios podrían no desencadenar nunca un comportamiento de riesgo en una de estas directivas, pero la organización está protegida si se produce un intento de poner en peligro la seguridad.
Importante
Este tutorial muestra a un administrador cómo habilitar la autenticación multifactor basada en riesgos (MFA).
Si su equipo de TI no ha habilitado la función para usar la MFA de Microsoft Entra o si surgen problemas al iniciar sesión, póngase en contacto con el departamento de soporte técnico para recibir asistencia.
En este tutorial, aprenderá a:
- Descripción de las directivas disponibles
- Habilitar el registro de MFA de Microsoft Entra
- Habilitación de los cambios de contraseña en función del riesgo
- Habilitar la MFA basada en riesgos
- Prueba de las directivas basadas en riesgos para los intentos de inicio de sesión de usuario
Prerrequisitos
Para completar este tutorial, necesitará los siguientes recursos y privilegios:
- Un suscriptor de Microsoft Entra activo con al menos un id. de Microsoft Entra P2 o una licencia de prueba habilitada.
- Si es preciso, cree una cuenta gratuita.
- Una cuenta con privilegios de administrador de seguridad.
- Microsoft Entra ID configurado para el autoservicio de restablecimiento de contraseña y la autenticación multifactor de Microsoft Entra
- En caso necesario, complete el tutorial para habilitar Microsoft Entra SSPR.
- En caso necesario, complete el tutorial para habilitar la MFA de Microsoft Entra.
Información general de Protección de id. de Microsoft Entra
Cada día, Microsoft recopila y analiza billones de señales anónimas como parte de los intentos de inicio de sesión de usuario. Estas señales ayudan a crear patrones de un comportamiento de inicio de sesión de usuario correcto e identifican posibles intentos de inicio de sesión con riesgo. Microsoft Entra ID Protection puede revisar los intentos de inicio de sesión de los usuarios y tomar medidas adicionales si se produce un comportamiento sospechoso:
Algunas de las acciones siguientes pueden desencadenar la detección de riesgos de Microsoft Entra ID Protection:
- Usuarios con credenciales filtradas.
- Inicios de sesión desde direcciones IP anónimas.
- Viaje imposible a ubicaciones inusuales.
- Inicios de sesión desde dispositivos infectados.
- Inicios de sesión desde direcciones IP con actividad sospechosa.
- Inicios de sesión desde ubicaciones desconocidas.
Este artículo le guía a través de la habilitación de tres directivas para proteger a los usuarios y automatizar la respuesta a actividades sospechosas.
- Directiva de registro de autenticación multifactor
- Asegurar que los usuarios están registrados en la MFA de Microsoft Entra. Si una directiva de riesgo de inicio de sesión solicita la MFA, el usuario debe estar previamente registrado en la MFA de Microsoft Entra.
- Directiva de riesgo de usuario
- Identifica y automatiza la respuesta en caso de cuentas de usuario que pudieran tener credenciales en peligro. Puede solicitar al usuario que cree una nueva contraseña.
- Directiva de riesgo de inicio de sesión
- Identifica y automatiza la respuesta a intentos de inicio de sesión sospechosos. Pedir al usuario que proporcione formas adicionales de comprobación mediante la MFA de Microsoft Entra.
Al habilitar una directiva basada en riesgos, también puede elegir el umbral para el nivel de riesgo: bajo, medioo alto. Esta flexibilidad le permite decidir cómo desea que se apliquen los controles a los eventos de inicio de sesión sospechosos. Microsoft recomienda las siguientes configuraciones de directiva.
Para saber más acerca de Protección de id. de Microsoft Entra, consulte ¿Qué es Protección de id. de Microsoft Entra?
Habilitación de la directiva de registro de autenticación multifactor
Protección de id. de Microsoft Entra incluye una directiva predeterminada que puede ayudar a que los usuarios se registren en la MFA de Microsoft Entra. Si usa otras directivas para proteger los eventos de inicio de sesión, necesitará que los usuarios ya estén registrados en MFA. Cuando se habilita esta directiva, no es necesario que los usuarios realicen la autenticación multifactor en cada evento de inicio de sesión. La directiva solo comprueba el estado del registro de un usuario y le pide que se registre previamente si es necesario.
Se recomienda habilitar la directiva de registro para los usuarios que usan la autenticación multifactor. Para habilitar esta directiva, siga estos pasos:
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
- Vaya a Protección>Protección de identidad>Directiva de registro de autenticación multifactor.
- De forma predeterminada, la directiva se aplica a Todos los usuarios. Si lo desea, seleccione Asignaciones y, a continuación, elija los usuarios o grupos a los que desea aplicar la directiva.
- En Controles, seleccione Acceso. Asegúrese de que las opciones Requerir MFA de Microsoft Entra están activadas y después elijaSeleccionar.
- Establezca Aplicar directiva en Activado y, a continuación, seleccione Guardar.
Habilitación de la directiva de riesgo de usuario para el cambio de contraseña
Microsoft trabaja con los investigadores, las autoridades judiciales, varios equipos de seguridad de Microsoft y otros orígenes de confianza para buscar pares de nombre de usuario y contraseña. Cuando uno de estos pares coincide con una cuenta de su entorno, se puede solicitar un cambio de contraseña basado en el riesgo. Esta directiva y acción requieren que el usuario actualice su contraseña para poder iniciar sesión con el fin de asegurarse de que las credenciales expuestas previamente ya no funcionan.
Para habilitar esta directiva, siga estos pasos:
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
- Vaya a Protección> Acceso condicional.
- Seleccione Nueva directiva.
- Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
- En Asignaciones, selecciona Identidades de carga de trabajo o usarios.
- En Incluir, selecciona Todos los usuarios.
- En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
- Seleccione Listo.
- En Aplicaciones o acciones en la nube>Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube").
- En Condiciones>Riesgo de usuario, establezca Configurar en Sí.
- En Configure los niveles de riesgo de usuario necesarios para aplicar la directiva, seleccione Alto. Esta guía se basa en las recomendaciones de Microsoft y puede ser diferente para cada organización
- Seleccione Listo.
- En Controles de acceso>Conceder, seleccione Conceder acceso.
- Seleccione Requerir seguridad de autenticacióny, a continuación, seleccione el nivel de autenticación multifactor integrado de la lista.
- Seleccione Requerir cambio de contraseña.
- Elija Seleccionar.
- En Sesión.
- Seleccione Frecuencia de inicio de sesión.
- Asegúrese de que Siempre esté seleccionado.
- Elija Seleccionar.
- Confirme la configuración y establezca Habilitar directiva en Solo informe.
- Seleccione Crear para crear la directiva.
Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.
Escenarios sin contraseña
Para las organizaciones que adoptan métodos de autenticación sin contraseña realice los cambios siguientes:
Actualización de la directiva de riesgo de usuario sin contraseña
- En Usuarios:
- Incluya, seleccione Usuarios y grupos y elija los usuarios sin contraseña.
- En Controles de acceso>Bloquear acceso para usuarios sin contraseña.
Sugerencia
Es posible que tenga que tener dos directivas durante un período de tiempo al implementar métodos sin contraseña.
- Uno que permite la corrección automática para aquellos que no usan métodos sin contraseña.
- Otro que bloquea a los usuarios sin contraseña de alto riesgo.
Corregir y desbloquear la contraseña sin riesgo de usuario
- Requerir que el administrador investigación y corrección de cualquier riesgo.
- Desbloquee al usuario.
Habilitación de la directiva de riesgo de inicio de sesión para MFA
La mayoría de los usuarios tienen un comportamiento normal del que se puede realizar un seguimiento. Cuando se encuentran fuera de esta norma, podría ser arriesgado permitirles iniciar sesión correctamente. En su lugar, puede que desee bloquear al usuario o pedirle que realice una MFA. Si el usuario completa correctamente el desafío de MFA, puede considerarlo un intento de inicio de sesión válido y conceder acceso a la aplicación o servicio.
Para habilitar esta directiva, siga estos pasos:
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
- Vaya a Protección> Acceso condicional.
- Seleccione Nueva directiva.
- Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
- En Asignaciones, selecciona Identidades de carga de trabajo o usarios.
- En Incluir, selecciona Todos los usuarios.
- En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
- Seleccione Listo.
- En Aplicaciones o acciones en la nube>Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube").
- En Condiciones>Riesgo de inicio de sesión, establezca Configurar en Sí.
- En Seleccionar el nivel de riesgo de inicio de sesión al que se aplicará la directiva, seleccione Alto y Medio. Esta guía se basa en las recomendaciones de Microsoft y puede ser diferente para cada organización
- Seleccione Listo.
- En Controles de acceso>Conceder, seleccione Conceder acceso.
- Seleccione Requerir seguridad de autenticacióny, a continuación, seleccione el nivel de autenticación multifactor integrado de la lista.
- Elija Seleccionar.
- En Sesión.
- Seleccione Frecuencia de inicio de sesión.
- Asegúrese de que Siempre esté seleccionado.
- Elija Seleccionar.
- Confirme la configuración y establezca Habilitar directiva en Solo informe.
- Seleccione Crear para crear la directiva.
Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.
Escenarios sin contraseña
Para las organizaciones que adoptan métodos de autenticación sin contraseña realice los cambios siguientes:
Actualización de la directiva de riesgo de inicio de sesión sin contraseña
- En Usuarios:
- Incluya, seleccione Usuarios y grupos y elija los usuarios sin contraseña.
- En Seleccione el nivel de riesgo de inicio de sesión que esta directiva se aplicará a, seleccione Alto.
- En Controles de acceso>Bloquear acceso para usuarios sin contraseña.
Sugerencia
Es posible que tenga que tener dos directivas durante un período de tiempo al implementar métodos sin contraseña.
- Uno que permite la corrección automática para aquellos que no usan métodos sin contraseña.
- Otro que bloquea a los usuarios sin contraseña de alto riesgo.
Corregir y desbloquear el riesgo de inicio de sesión sin contraseña
- Requerir que el administrador investigación y corrección de cualquier riesgo.
- Desbloquee al usuario.
Prueba de los eventos de inicio de sesión con riesgo
La mayoría de los eventos de inicio de sesión de usuario no desencadenan las directivas basadas en riesgos configuradas en los pasos anteriores. Es posible que un usuario nunca vea una solicitud de MFA o que restablezca su contraseña. Si sus credenciales permanecen seguras y su comportamiento es coherente, los eventos de inicio de sesión serán correctos.
Para probar las directivas de Protección de id. de Microsoft Entra creadas en los pasos anteriores, necesita una forma de simular comportamientos de riesgo o posibles ataques. Los pasos para realizar estas pruebas varían en función de la directiva de Protección de id. de Microsoft Entra que desee validar. Para más información sobre escenarios y pasos, consulte Simulación de detecciones de riesgos en Protección de id. de Microsoft Entra.
Limpieza de recursos
Si completa las pruebas y ya no desea tener habilitadas las directivas basadas en riesgos, vuelva a cada directiva que quiera deshabilitar y establezca Habilitar directiva en Desactivado o elimínelas.
Pasos siguientes
En este tutorial ha habilitado directivas de usuario basadas en riesgos para Protección de id. de Microsoft Entra. Ha aprendido a:
- Descripción de las directivas disponibles para Protección de id. de Microsoft Entra
- Habilitar el registro de MFA de Microsoft Entra
- Habilitación de los cambios de contraseña en función del riesgo
- Habilitar la MFA basada en riesgos
- Prueba de las directivas basadas en riesgos para los intentos de inicio de sesión de usuario