Tutorial: Configuración de contraseñas prohibidas personalizadas para la protección con contraseña de Azure Active Directory

Los usuarios suelen crear contraseñas que usan palabras comunes locales, como una escuela, un equipo deportivo o una persona famosa. Estas contraseñas son fáciles de adivinar y poco seguras contra ataques basados en diccionarios. Para aplicar contraseñas seguras en su organización, la lista personalizada de contraseñas prohibidas de Azure Active Directory (Azure AD) permite agregar cadenas específicas para evaluar y bloquear. Se produce un error en una solicitud de cambio de contraseña si hay una coincidencia en la lista personalizada de contraseñas prohibidas.

En este tutorial, aprenderá a:

  • Habilitar contraseñas prohibidas personalizadas
  • Agregar entradas a la lista personalizada de contraseñas prohibidas
  • Probar los cambios de contraseña con una contraseña prohibida

Prerrequisitos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

¿Qué son las listas de contraseñas prohibidas?

Azure AD incluye una lista global de contraseñas prohibidas. El contenido de la lista global de contraseñas prohibidas no se basa en ningún origen de datos externo, sino que se basa en los resultados continuos de la telemetría y el análisis de seguridad de Azure AD. Cuando un usuario o administrador intenta cambiar o restablecer sus credenciales, se comprueba la contraseña deseada en la lista de contraseñas prohibidas. Se produce un error en la solicitud de cambio de contraseña si hay una coincidencia en la lista global de contraseñas prohibidas. No se puede editar esta lista global de contraseñas prohibidas predeterminada.

Para que tenga flexibilidad en cuanto a las contraseñas que se permiten, también puede definir una lista personalizada de contraseñas prohibidas. La lista personalizada de contraseñas prohibidas funciona junto con la lista global de contraseñas prohibidas para aplicar contraseñas seguras en su organización. Se pueden agregar términos específicos de la organización a la lista personalizada de contraseñas prohibidas, como los ejemplos siguientes:

  • Nombres de marca
  • Nombres de producto
  • Ubicaciones, por ejemplo, la oficina central de la empresa
  • Términos internos específicos de la empresa
  • Abreviaturas que tienen un significado específico en la empresa

Si un usuario intenta restablecer una contraseña por una que esté en la lista personalizada o global de contraseñas prohibidas, verá uno de los siguientes mensajes de error:

  • La contraseña contiene una palabra, una frase o un patrón que resultan fáciles de adivinar. Vuelva a intentarlo con otra contraseña.
  • No puede usar esta contraseña porque contiene palabras o caracteres que el administrador ha bloqueado. Vuelva a intentarlo con otra contraseña.

La lista personalizada de contraseñas prohibidas se limita a un máximo de 1000 términos. No está diseñada para bloquear listas grandes de contraseñas. Para maximizar las ventajas de la lista personalizada de contraseñas prohibidas, consulte los conceptos de la lista personalizada de contraseñas prohibidas y la introducción al algoritmo de evaluación de contraseñas.

Configuración de contraseñas prohibidas personalizadas

Vamos a habilitar la lista personalizada de contraseñas prohibidas y agregar algunas entradas. Puede agregar entradas adicionales a la lista personalizada de contraseñas prohibidas en cualquier momento.

Para habilitar la lista personalizada de contraseñas prohibidas y agregar entradas a ella, complete los pasos siguientes:

  1. Inicie sesión en Azure Portal mediante una cuenta con permisos de administrador global.

  2. Busque y seleccione Azure Active Directory y, a continuación, elija Seguridad en el menú del lado izquierdo.

  3. En el encabezado del menú Administrar, seleccione Métodos de autenticación y, a continuación, Protección con contraseña.

  4. En Exigir lista personalizada, seleccione la opción .

  5. Agregue cadenas a la Lista personalizada de contraseñas prohibidas, una cadena por línea. Las siguientes consideraciones y limitaciones se aplican a la lista personalizada de contraseñas prohibidas:

    • La lista personalizada de contraseñas prohibidas puede contener hasta 1000 términos.
    • La lista personalizada de contraseñas prohibidas distingue mayúsculas de minúsculas.
    • La lista personalizada de contraseñas prohibidas tiene en cuenta la sustitución de caracteres comunes, como "o" y "0", o "a" y "@".
    • La longitud mínima de la cadena es de cuatro caracteres, mientras que la máxima es de 16 caracteres.

    Especifique sus propias contraseñas personalizadas para prohibirlas, tal como se muestra en el ejemplo siguiente.

    Modifique la lista personalizada de contraseñas prohibidas en Métodos de autenticación de Azure Portal

  6. En Habilitar protección con contraseña en Windows Server Active Directory, establezca la opción en No.

  7. Para habilitar las contraseñas prohibidas personalizadas y las entradas, seleccione Guardar.

Las actualizaciones a la lista personalizada de contraseñas prohibidas pueden tardar varias horas en aplicarse.

Para un entorno híbrido, también puede implementar la protección con contraseña de Azure AD en un entorno local. Se usan las mismas listas personalizadas y globales de contraseñas prohibidas para las solicitudes de cambio de contraseña en la nube y en el entorno local.

Prueba de la lista personalizada de contraseñas prohibidas

Para ver la lista personalizada de contraseñas prohibidas en acción, intente cambiar la contraseña por una variación de una que haya agregado en la sección anterior. Cuando Azure AD intenta procesar el cambio de contraseña, la contraseña se compara con una entrada de la lista personalizada de contraseñas prohibidas. A continuación, se muestra un error al usuario.

Nota

Para que un usuario pueda restablecer su contraseña en el portal basado en web, el inquilino de Azure AD debe estar configurado para el autoservicio de restablecimiento de contraseña. Si es necesario, el usuario puede entonces registrarse para SSPR en https://aka.ms/ssprsetup.

  1. Vaya a la página Mis aplicaciones en https://myapps.microsoft.com.

  2. En la esquina superior derecha, seleccione su nombre y, a continuación, elija Perfil en el menú desplegable.

    Seleccionar perfil

  3. En la página Perfil, seleccione Cambiar contraseña.

  4. En la página Cambiar contraseña, escriba la contraseña existente (anterior). Escriba y confirme una nueva contraseña que se encuentre en la lista personalizada de contraseñas prohibidas definida en la sección anterior y, a continuación, seleccione Enviar.

  5. Se devuelve un mensaje de error que indica que el administrador ha bloqueado la contraseña, tal como se muestra en el ejemplo siguiente:

    Aparece un mensaje de error al intentar usar una contraseña que forma parte de la lista personalizada de contraseñas prohibidas.

Limpieza de recursos

Si decide que ya no desea utilizar la lista personalizada de contraseñas prohibidas que ha configurado como parte de este tutorial, realice los siguientes pasos:

  1. Inicie sesión en Azure Portal.
  2. Busque y seleccione Azure Active Directory y, a continuación, elija Seguridad en el menú del lado izquierdo.
  3. En el encabezado del menú Administrar, seleccione Métodos de autenticación y, a continuación, Protección con contraseña.
  4. En Exigir lista personalizada, seleccione la opción No.
  5. Para actualizar la configuración personalizada de contraseñas prohibidas, seleccione Guardar.

Pasos siguientes

En este tutorial, ha habilitado y configurado listas personalizadas de protección de contraseñas para Azure AD. Ha aprendido a:

  • Habilitar contraseñas prohibidas personalizadas
  • Agregar entradas a la lista personalizada de contraseñas prohibidas
  • Probar los cambios de contraseña con una contraseña prohibida