Tutorial: Uso de las detecciones de riesgos en los inicios de sesión de usuario para desencadenar Azure AD Multi-Factor Authentication o cambios de contraseña

Para proteger a los usuarios, puede configurar directivas basadas en el riesgo en Azure Active Directory (Azure AD) que respondan automáticamente a comportamientos de riesgo. Las directivas de Azure AD Identity Protection pueden bloquear automáticamente un intento de inicio de sesión, requerir una acción adicional como un cambio de contraseña, o bien solicitar Azure AD Multi-Factor Authentication. Estas directivas funcionan con las directivas existentes de acceso condicional de Azure AD como una capa de protección adicional para la organización. Los usuarios podrían no desencadenar nunca un comportamiento de riesgo en una de estas directivas, pero la organización está protegida si se produce un intento de poner en peligro la seguridad.

Importante

Este tutorial muestra al administrador cómo habilitar Azure AD Multi-Factor Authentication basada en riesgos.

Si el equipo de TI no ha habilitado la función para usar Azure AD Multi-Factor Authentication o si surgen problemas para iniciar sesión, póngase en contacto con el departamento de soporte técnico para obtener ayuda adicional.

En este tutorial, aprenderá a:

  • Descripción de las directivas disponibles para Azure AD Identity Protection
  • Habilitar el registro de Azure AD Multi-Factor Authentication
  • Habilitación de los cambios de contraseña en función del riesgo
  • Habilitación de la autenticación multifactor en función del riesgo
  • Prueba de las directivas basadas en riesgos para los intentos de inicio de sesión de usuario

Prerrequisitos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

Introducción a Azure AD Identity Protection

Cada día, Microsoft recopila y analiza billones de señales anónimas como parte de los intentos de inicio de sesión de usuario. Estas señales ayudan a crear patrones de un comportamiento de inicio de sesión de usuario correcto e identifican posibles intentos de inicio de sesión con riesgo. Azure AD Identity Protection puede revisar los intentos de inicio de sesión de los usuarios y tomar medidas adicionales si se produce un comportamiento sospechoso:

Algunas de las acciones siguientes pueden desencadenar la detección de riesgos de Azure AD Identity Protection:

  • Usuarios con credenciales filtradas.
  • Inicios de sesión desde direcciones IP anónimas.
  • Viaje imposible a ubicaciones inusuales.
  • Inicios de sesión desde dispositivos infectados.
  • Inicios de sesión desde direcciones IP con actividad sospechosa.
  • Inicios de sesión desde ubicaciones desconocidas.

Las tres directivas siguientes están disponibles en Azure AD Identity Protection para proteger a los usuarios y responder frente a actividades sospechosas. Puede optar por activar o desactivar la aplicación de directivas, seleccionar los usuarios o grupos a los que se aplicará la directiva y decidir si desea bloquear el acceso en el inicio de sesión o solicitar una acción adicional.

  • Directiva de riesgo de usuario
    • Identifica y responde en caso de cuentas de usuario que pudieran tener credenciales en peligro. Puede solicitar al usuario que cree una nueva contraseña.
  • Directiva de riesgo de inicio de sesión
    • Identifica y responde en caso de intentos de inicio de sesión sospechosos. Puede solicitar al usuario que utilice otras formas de verificación mediante Azure AD Multi-Factor Authentication.
  • Directiva de registro de MFA
    • Comprueba que los usuarios estén registrado en Azure AD Multi-Factor Authentication. Si una directiva de riesgo de inicio de sesión solicita MFA, el usuario debe estar previamente registrado en Azure AD Multi-Factor Authentication.

Cuando habilita una directiva de riesgo de usuario o de riesgo de inicio de sesión, también puede elegir el umbral para el nivel de riesgo: bajo y superiores, medio y superiores o alto. Esta flexibilidad le permite decidir cómo desea que se apliquen los controles a los eventos de inicio de sesión sospechosos.

Para más información acerca de Azure AD Identity Protection, consulte ¿Qué es Azure AD Identity Protection?

Habilitación de la directiva de registro de MFA

Azure AD Identity Protection incluye una directiva predeterminada que puede ayudar a que los usuarios se registren en Azure AD Multi-Factor Authentication. Si usa directivas adicionales para proteger los eventos de inicio de sesión, necesitará que los usuarios ya estén registrados en MFA. Cuando se habilita esta directiva, no es necesario que los usuarios realicen la autenticación multifactor en cada evento de inicio de sesión. La directiva solo comprueba el estado del registro de un usuario y le pide que se registre previamente si es necesario.

Se recomienda habilitar la directiva de registro de MFA para aquellos usuarios para los que se van a habilitar directivas adicionales de Azure AD Identity Protection. Para habilitar esta directiva, siga estos pasos:

  1. Inicie sesión en Azure Portal con una cuenta de administrador global.

  2. Busque y seleccione Azure Active Directory, seleccione Seguridad y, a continuación, elija Identity Protection en el encabezado de menú Proteger.

  3. Seleccione Directiva de registro de MFA en el menú de la izquierda.

  4. De forma predeterminada, la directiva se aplica a Todos los usuarios. Si lo desea, seleccione Asignaciones y, a continuación, elija los usuarios o grupos a los que desea aplicar la directiva.

  5. En Controles, seleccione Acceso. Asegúrese de que la opción Require Azure AD MFA registration (Requerir registro de Azure AD MFA) está activada y elija Seleccionar.

  6. Establezca Aplicar directiva en Activado y, a continuación, seleccione Guardar.

    Captura de pantalla sobre cómo requerir que los usuarios se registren en MFA en Azure Portal

Habilitación de la directiva de riesgo de usuario para el cambio de contraseña

Microsoft trabaja con los investigadores, las autoridades judiciales, varios equipos de seguridad de Microsoft y otros orígenes de confianza para buscar pares de nombre de usuario y contraseña. Cuando uno de estos pares coincide con una cuenta de su entorno, se puede solicitar un cambio de contraseña basado en el riesgo. Esta directiva y acción requieren que el usuario actualice su contraseña para poder iniciar sesión con el fin de asegurarse de que las credenciales expuestas previamente ya no funcionan.

Para habilitar esta directiva, siga estos pasos:

  1. Seleccione Directiva de riesgo de usuario en el menú de la izquierda.

  2. De forma predeterminada, la directiva se aplica a Todos los usuarios. Si lo desea, seleccione Asignaciones y, a continuación, elija los usuarios o grupos a los que desea aplicar la directiva.

  3. En Condiciones, elija Seleccionar condiciones > Seleccionar un nivel de riesgo y, a continuación, elija Medio y superior.

  4. Elija Seleccionar y, a continuación, elija Listo.

  5. En Acceso, seleccione Acceso. Asegúrese de que las opciones Permitir acceso y Requerir cambio de contraseña están activadas y, a continuación, elija Seleccionar.

  6. Establezca Aplicar directiva en Activado y, a continuación, seleccione Guardar.

    Captura de pantalla sobre cómo habilitar la directiva de riesgo de usuario en Azure Portal

Habilitación de la directiva de riesgo de inicio de sesión para MFA

La mayoría de los usuarios tienen un comportamiento normal del que se puede realizar un seguimiento. Cuando se encuentran fuera de esta norma, podría ser arriesgado permitirles iniciar sesión correctamente. En su lugar, es posible que desee bloquear al usuario o pedirle que realice una autenticación multifactor. Si el usuario completa correctamente el desafío de MFA, puede considerarlo un intento de inicio de sesión válido y conceder acceso a la aplicación o servicio.

Para habilitar esta directiva, siga estos pasos:

  1. Seleccione Directiva de riesgo de inicio de sesión en el menú de la izquierda.

  2. De forma predeterminada, la directiva se aplica a Todos los usuarios. Si lo desea, seleccione Asignaciones y, a continuación, elija los usuarios o grupos a los que desea aplicar la directiva.

  3. En Condiciones, elija Seleccionar condiciones > Seleccionar un nivel de riesgo y, a continuación, elija Medio y superior.

  4. Elija Seleccionar y, a continuación, elija Listo.

  5. En Acceso, seleccione Seleccionar un control. Asegúrese de que las opciones Permitir acceso y Requerir autenticación multifactor están activadas y, a continuación, elija Seleccionar.

  6. Establezca Aplicar directiva en Activado y, a continuación, seleccione Guardar.

    Captura de pantalla sobre cómo habilitar la directiva de riesgo de inicio de sesión en Azure Portal

Prueba de los eventos de inicio de sesión con riesgo

La mayoría de los eventos de inicio de sesión de usuario no desencadenarán las directivas basadas en riesgos configuradas en los pasos anteriores. Es posible que un usuario no vea nunca una solicitud de MFA adicional o para restablecer su contraseña. Si sus credenciales permanecen seguras y su comportamiento es coherente, los eventos de inicio de sesión serán correctos.

Para probar las directivas de Azure AD Identity Protection creadas en los pasos anteriores, necesita una forma de simular comportamientos de riesgo o posibles ataques. Los pasos para realizar estas pruebas varían en función de la directiva de Azure AD Identity Protection que desea validar. Para más información sobre escenarios y pasos, consulte Simulación de detecciones de riesgos en Azure AD Identity Protection.

Limpieza de recursos

Si ha completado las pruebas y ya no desea tener habilitadas las directivas basadas en riesgos, vuelva a cada directiva que desee deshabilitar y establezca Aplicar directiva en Desactivado.

Pasos siguientes

En este tutorial, ha habilitado las directivas de usuario basadas en riesgos para Azure AD Identity Protection. Ha aprendido a:

  • Descripción de las directivas disponibles para Azure AD Identity Protection
  • Habilitar el registro de Azure AD Multi-Factor Authentication
  • Habilitación de los cambios de contraseña en función del riesgo
  • Habilitación de la autenticación multifactor en función del riesgo
  • Prueba de las directivas basadas en riesgos para los intentos de inicio de sesión de usuario