Administración de cuentas de acceso de emergencia en Azure Active Directory B2C

Es importante evitar que se bloquee accidentalmente su acceso a la organización de Azure Active Directory B2C (Azure AD B2C) porque no podrá iniciar sesión ni activar otra cuenta de usuario como administrador. El impacto de una falta involuntaria de acceso administrativo se puede mitigar mediante la creación de dos o más cuentas de acceso de emergencia en la organización.

Al estas cuentas, deben cumplirse los siguientes requisitos:

• Las cuentas de acceso de emergencia no deben asociarse con ningún usuario individual de la organización. Asegúrese de que sus cuentas no están conectadas con ningún teléfono móvil proporcionado por los empleados, tokens de hardware que viajen con los empleados individuales u otras credenciales específicas de los empleados. Esta precaución debe incluir también los casos en los que un empleado individual pueda no estar disponible cuando se necesiten las credenciales. Es importante garantizar que todos los dispositivos registrados se almacenen en una ubicación conocida y segura que tenga varias formas de comunicarse con Azure AD B2C.

• Use la autenticación sólida para las cuentas de acceso de emergencia y asegúrese de que no utiliza los mismos métodos de autenticación que en las otras cuentas administrativas.

• El dispositivo o la credencial no deben expirar ni estar en el ámbito de una limpieza automatizada debido a la falta de uso.

Prerrequisitos

• Si aún no ha creado su propio inquilino de Azure AD B2C, cree una ahora. Puede usar un inquilino de Azure AD B2C existente.
• Conocer las cuentas de usuario en Azure AD B2C.
• Conocer el uso de roles para controlar el acceso a los recursos.
• Descripción del acceso condicional

Creación de una cuenta de acceso de emergencia

Cree dos o más cuentas de acceso de emergencia. Estas cuentas deben ser cuentas solo en la nube que usen el dominio *.onmicrosoft.com y que no estén federadas ni se sincronicen desde un entorno local.

Siga estos pasos para crear una cuenta de acceso de emergencia:

1. Inicie sesión en Azure Portal como un Administrador global existente. Si usa la cuenta de Microsoft Entra, asegúrese de utilizar el directorio que contiene el inquilino de Azure AD B2C:

   1. Seleccione el icono Directorios y suscripciones en la barra de herramientas del portal.

   2. En la página Configuración del portal | Directorios y suscripciones, busque el directorio de Azure AD B2C en la lista Nombre de directorio y seleccione Cambiar.

2. En Servicios de Azure, seleccione Azure AD B2C. O bien, en Azure Portal, busque y seleccione Azure AD B2C.

3. En el menú de la izquierda, en Administrar, seleccione Usuarios.

4. Seleccione + Nuevo usuario.

5. Seleccione Create User (Crear usuario).

6. En Identidad:

   1. En Nombre de usuario, escriba un nombre de usuario único, como cuenta de emergencia.

   2. En Nombre, escriba un nombre como Cuenta de emergencia.

7. En Contraseña, escriba su contraseña única.

8. En Grupos y roles

   1. Seleccione Usuario.

   2. En el panel que aparece, busque y seleccione Administrador global y, a continuación, seleccione el botón Seleccionar.

9. En Configuración, seleccione la Ubicación de uso adecuada.

10. Seleccione Crear.

11. Almacenamiento seguro de las credenciales de cuenta

12. Supervisión de registros de inicio de sesión y de auditoría.

13. Validación de las cuentas de forma regular

Una vez creadas las cuentas de emergencia, debe hacer lo siguiente:

• Asegurarse de excluir al menos una cuenta de autenticación multifactor basada en teléfono

• Si usa el acceso condicional, al menos una cuenta de acceso de emergencia debe excluirse de todas las directivas de acceso condicional.

Pasos siguientes

• Lectura del nombre e identificador de inquilino
• Limpieza de recursos y eliminación del inquilino