Proteger el registro de información de seguridad con una directiva de acceso condicional

Asegurar cuándo y cómo los usuarios se registran para la autenticación multifactor de Microsoft Entra y el restablecimiento de contraseñas de autoservicio es posible mediante acciones de usuario en una política de acceso condicional. Esta característica está disponible para las organizaciones que habilitan el registro combinado. Esta funcionalidad permite a las organizaciones tratar el proceso de registro como cualquier aplicación de una directiva de acceso condicional y usar toda la eficacia del acceso condicional para proteger la experiencia. Los usuarios que inicien sesión en la aplicación Microsoft Authenticator o que habiliten el inicio de sesión con teléfono sin contraseña están sujetos a esta directiva.

Algunas organizaciones en el pasado podrían haber utilizado ubicaciones de red confiables o el cumplimiento de dispositivos como medio para proteger el proceso de registro. Con la adición del Pase de acceso temporal en Microsoft Entra ID, los administradores pueden aprovisionar credenciales a sus usuarios por tiempo limitado, que les permitirán registrarse desde cualquier dispositivo o ubicación. Las credenciales de Pase de acceso temporal satisfacen los requisitos de acceso condicional para la autenticación multifactor.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a configuración errónea de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y Entidades de servicio , como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional con ámbito a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas.

Implementación de plantillas

A la hora de implementar esta directiva las organizaciones pueden optar por utilizar los pasos que se describen a continuación o las plantillas de acceso condicional.

Creación de una directiva para un registro seguro

La siguiente directiva se aplica a los usuarios seleccionados que intentan registrarse mediante la experiencia de registro combinado. La directiva requiere que los usuarios estén en una ubicación de red de confianza y realicen la autenticación multifactor o usen credenciales de pase de acceso temporal.

Advertencia

Si usa métodos de autenticación externos, estos no son compatibles actualmente con la seguridad de autenticación y debe usar el Requerir autenticación multifactor conceder control.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Protección>Acceso condicional>Directivas.
3. Seleccione Nueva directiva.
4. En Nombre, escriba un nombre para la directiva. Por ejemplo, Registro de información de seguridad combinada con TAP.
5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).

   1. En Incluir, seleccione Todos los usuarios.

      Advertencia

      Los usuarios deben estar habilitados para el registro combinado.

   2. En Excluir.

      1. Seleccione Todos los usuarios externos e invitados.

         Nota:

         El Pase de acceso temporal no funciona para los usuarios invitados.

      2. Seleccione Usuarios y grupos y, a continuación, elija las cuentas de acceso de emergencia de la organización.

6. En Recursos de destino>Acciones del usuario, marque Registrar información de seguridad.
7. En Condiciones>Ubicaciones.
   1. Establezca Configurar en Sí.
      1. Incluya Cualquier ubicación.
      2. Excluya Todas las ubicaciones de confianza.
8. En Controles de acceso>Conceder, seleccione Conceder acceso.
   1. Seleccione Requerir nivel de autenticación y, a continuación, seleccione el nivel de autenticación integrado o personalizado adecuado de la lista.
   2. Elija Seleccionar.
9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
10. Seleccione Crear para crear para habilitar la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informes, podrán pasar el interruptor Habilitar directiva de Solo informes a Activado.

Los administradores tienen que emitir credenciales de pase de acceso temporal a los nuevos usuarios para que puedan satisfacer los requisitos de autenticación multifactor que se van a registrar. Los pasos para llevar a cabo esta tarea se encuentran en la sección Creación de un Pase de acceso temporal en el centro de administración de Microsoft Entra.

Las organizaciones pueden optar por requerir otros controles de concesión junto con o en lugar de Requerir autenticación multifactor en el paso 8a. Al seleccionar varios controles, asegúrese de seleccionar el botón de radio correspondiente para exigir todos o uno de los controles seleccionados al realizar este cambio.

Registro del usuario invitado

Para usuarios invitados que necesitan registrarse para la autenticación multifactor en el directorio, puede optar por bloquear el registro desde fuera de ubicaciones de red de confianza mediante la siguiente guía.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Protección>Acceso condicional>Directivas.
3. Seleccione Nueva directiva.
4. En Nombre, escriba un nombre para la directiva. Por ejemplo, Registro de información de seguridad combinada en redes de confianza.
5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione Todos los usuarios invitados y externos.
6. En Recursos de destino>Acciones del usuario, marque Registrar información de seguridad.
7. En Condiciones>Ubicaciones.
   1. Configurar Sí.
   2. Incluya Cualquier ubicación.
   3. Excluya Todas las ubicaciones de confianza.
8. En Controles de acceso>Conceder.
   1. Seleccione Block access (Bloquear acceso).
   2. Luego, elija Seleccionar.
9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
10. Seleccione Crear para crear para habilitar la directiva.

Después de que los administradores confirmen la configuración mediante el modo solamente informe, podrán mover el interruptor Habilitar directiva de Solamente informe a Activar.

Contenido relacionado

• Roles integrados de Microsoft Entra
• Plantillas de acceso condicional
• Requerir a los usuarios que vuelvan a confirmar la información de autenticación