Directivas de acceso condicional habituales

Los valores predeterminados de seguridad son ideales para algunas organizaciones, pero muchas otras necesitan más flexibilidad que la que ofrecen. Muchas organizaciones necesitan excluir cuentas específicas, como sus cuentas de administración de acceso de emergencia, de las directivas de acceso condicional. Las directivas a las que se hace referencia en este artículo se pueden personalizar en función de las necesidades de la organización. Las organizaciones pueden usar el modo de solo informe para el acceso condicional a fin de determinar los resultados de las nuevas decisiones de directiva.

Plantillas de acceso condicional (versión preliminar)

Las plantillas de acceso condicional están diseñadas para proporcionar un método cómodo para implementar nuevas directivas alineadas con las recomendaciones de Microsoft. Estas plantillas están diseñadas para proporcionar la máxima protección alineada con las directivas de uso frecuente en varios tipos y ubicaciones de clientes.

Las 14 plantillas de directiva se dividen en directivas que se asignan a dispositivos o identidades de usuario. Busque las plantillas en Azure Portal>Azure Active Directory>Seguridad>Acceso condicional>Crear una nueva directiva a partir de la plantilla.

Importante

Las directivas de plantilla de acceso condicional excluirán solo al usuario que crea la directiva de la plantilla. Si su organización necesita excluir otras cuentas, abra la directiva y modifique los usuarios y grupos excluidos para incluirlos.

De forma predeterminada, cada directiva se crea en un modo de solo informe, por lo que se recomienda que las organizaciones prueben y supervisen el uso, para garantizar el resultado previsto, antes de activar cada directiva.

• Identities
  • Requerir autenticación multifactor a los administradores*
  • Protección del registro de información de seguridad
  • Bloquear la autenticación heredada*
  • Exigir la autenticación multifactor para todos los usuarios*
  • Requerir la autenticación multifactor para el acceso de invitado
  • Requerir la autenticación multifactor para la administración de Azure*
  • Requerir una autenticación multifactor para el inicio de sesión de riesgoRequiere Azure AD Premium P2
  • Requerir el cambio de contraseña para usuarios de alto riesgoRequiere Azure AD Premium P2
• Dispositivos
  • Requerir un dispositivo unido a Azure AD híbrido o conforme para administradores
  • Bloquear el acceso a una plataforma de dispositivo desconocida o no compatible
  • No hay ninguna sesión de explorador persistente
  • Requerir aplicaciones cliente aprobadas o la protección de aplicaciones
  • Requerir la autenticación multifactor o un dispositivo unido a Azure AD híbrido o compatible para todos los usuarios
  • Uso de restricciones impuestas por la aplicación para dispositivos no administrados

* Cuando se configuran juntas estas cuatro directivas, proporcionan una funcionalidad habilitada por valores predeterminados de seguridad.

Las organizaciones que no se sientan cómodas al permitir que Microsoft cree estas directivas, pueden crearlas manualmente mediante la copia de la configuración del artículo Ver el resumen de directivas o pueden usar los artículos vinculados para crear dichas directivas.

Otras directivas

• Bloquear el acceso por ubicación
• Bloquear el acceso, excepto para aplicaciones específicas

Cuentas de acceso de emergencia

En los siguientes artículos encontrará más información sobre las cuentas de acceso de emergencia y por qué son importantes:

• Administración de cuentas de acceso de emergencia en Azure AD
• Crear una estrategia de administración de control de acceso resistente con Azure Active Directory

Pasos siguientes

• Simulación del comportamiento de inicio de sesión mediante la herramienta What If de acceso condicional.

• Uso del modo de solo informe de acceso condicional para determinar los resultados de las nuevas decisiones de directiva.