Acceso condicional: Protección del registro de información de seguridad

Proteger cuándo y cómo se registran los usuarios para Azure AD Multi-Factor Authentication y el restablecimiento de contraseñas de autoservicio ya es posible con las acciones del usuario en una directiva de acceso condicional. Esta característica está disponible para organizaciones que han habilitado el registro combinado. Esta funcionalidad permite a las organizaciones tratar el proceso de registro como cualquier aplicación de una directiva de acceso condicional y usar toda la eficacia del acceso condicional para proteger la experiencia. Los usuarios que inicien sesión en la aplicación Microsoft Authenticator o que habiliten el inicio de sesión con teléfono sin contraseña están sujetos a esta directiva.

Es posible que algunas organizaciones del pasado hayan usado una ubicación de red de confianza o el cumplimiento de dispositivos como un medio para proteger la experiencia de registro. Con la adición del Pase de acceso temporal en Azure AD, los administradores pueden aprovisionar credenciales a sus usuarios por tiempo limitado, que les permitirán registrarse desde cualquier dispositivo o ubicación. Las credenciales de Pase de acceso temporal satisfacen los requisitos de acceso condicional para la autenticación multifactor.

Implementación de plantilla

Las organizaciones pueden optar por implementar esta directiva mediante los pasos descritos a continuación o mediante las plantillas de acceso condicional (versión preliminar).

Creación de una directiva para un registro seguro

La siguiente directiva se aplica a los usuarios seleccionados que intentan registrarse mediante la experiencia de registro combinado. La directiva requiere que los usuarios se encuentren en una ubicación de red de confianza, realicen la autenticación multifactor o usen credenciales de Pase de acceso temporal.

  1. En Azure Portal, vaya a Azure Active Directory>Seguridad>Acceso condicional.
  2. Seleccione Nueva directiva.
  3. En Nombre, escriba un nombre para la directiva. Por ejemplo, Registro de información de seguridad combinada con TAP.
  4. En Asignaciones, seleccione Usuarios y grupos.
    1. En Incluir, seleccione Todos los usuarios.

      Advertencia

      Los usuarios deben estar habilitados para el registro combinado.

    2. En Excluir.

      1. Seleccione Todos los usuarios externos e invitados.

      2. Seleccione Roles de directorio y elija Administrador global.

        Nota:

        El Pase de acceso temporal no funciona para los usuarios invitados.

      3. Seleccione Usuarios y grupos y, a continuación, elija las cuentas de acceso de emergencia de la organización.

  5. En Aplicaciones en la nube o acciones, seleccione Acciones del usuario y active la casilla Registro de la información de seguridad.
  6. En Condiciones>Ubicaciones.
    1. Establezca Configurar en .
      1. Incluya Cualquier ubicación.
      2. Excluya Todas las ubicaciones de confianza.
  7. En Controles de acceso>Conceder.
    1. Seleccione Conceder acceso, Requerir autenticación multifactor.
    2. Elija Seleccionar.
  8. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  9. Seleccione Crear para crear la directiva.

Después de confirmar la configuración mediante el modo de solo informe, un administrador puede mover el botón de alternancia Habilitar directiva de Solo informe a Activar.

Los administradores tendrán que emitir credenciales de Pase de acceso temporal a los nuevos usuarios para que puedan cumplir los requisitos de la autenticación multifactor en el registro. Los pasos para llevar a cabo esta tarea se encuentran en la sección Creación de un Pase de acceso temporal en el portal de Azure AD.

Las organizaciones pueden optar por requerir otros controles de concesión además de requerir la autenticación multifactor (o en lugar de solicitarla) en el paso 6b. Al seleccionar varios controles, asegúrese de activar la alternancia del botón de radio correspondiente para requerir todos los controles seleccionados o uno de ellos al realizar este cambio.

Registro del usuario invitado

En el caso de los usuarios invitados que necesitan registrarse para realizar la autenticación multifactor en el directorio, puede bloquear el registro desde fuera de las ubicaciones de red de confianza mediante la siguiente guía.

  1. En Azure Portal, vaya a Azure Active Directory>Seguridad>Acceso condicional.
  2. Seleccione Nueva directiva.
  3. En Nombre, escriba un nombre para la directiva. Por ejemplo, Registro de información de seguridad combinada en redes de confianza.
  4. En Asignaciones, seleccione Usuarios y grupos.
    1. En Incluir, seleccione Todos los usuarios invitados y externos.
  5. En Aplicaciones en la nube o acciones, seleccione Acciones del usuario y active la casilla Registro de la información de seguridad.
  6. En CondicionesUbicaciones.
    1. Configure .
    2. Incluya Cualquier ubicación.
    3. Excluya Todas las ubicaciones de confianza.
  7. En Controles de acceso>Conceder.
    1. Seleccione Block access (Bloquear acceso).
    2. Después, haga clic en Seleccionar.
  8. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  9. Seleccione Crear para crear la directiva.

Después de confirmar la configuración desde el modo de solo informe, un administrador puede pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Pasos siguientes

Directivas de acceso condicional habituales

Determinación del impacto mediante el modo de solo informe de acceso condicional

Simulación del comportamiento de inicio de sesión mediante la herramienta What If de acceso condicional

Requerir a los usuarios que vuelvan a confirmar la información de autenticación