Acceso condicional: Acceso condicional basado en el riesgo del inicio de sesión

La mayoría de los usuarios tienen un comportamiento normal que puede seguirse, cuando se salen de esta norma, podría ser peligroso permitirles que simplemente inicien sesión. Es posible que sea conveniente bloquear a ese usuario o quizás simplemente puede pedirle que lleve a cabo la autenticación multifactor para demostrar que realmente es quien dice ser.

Un riesgo de inicio de sesión representa la probabilidad de que el propietario de la identidad no haya autorizado una solicitud de autenticación determinada. Las organizaciones con licencias de Azure AD Premium P2 pueden crear directivas de acceso condicional que incorporen detecciones de riesgo de inicio de sesión de Azure AD Identity Protection.

Hay dos ubicaciones donde se puede configurar esta directiva: Acceso condicional e Identity Protection. La configuración mediante una directiva de acceso condicional es el método preferido que proporciona más contexto, incluidos datos de diagnóstico mejorados, integración con el modo de solo informe, compatibilidad con Graph API y la posibilidad de utilizar otros atributos de acceso condicional en la directiva.

La directiva basada en riesgos de inicio de sesión protege a los usuarios del registro con autenticación multifactor en sesiones de riesgo. Por ejemplo. Si los usuarios no están registrados para la autenticación multifactor, sus inicios de sesión de riesgo se bloquearán y se mostrarán con el error AADSTS53004.

Implementación de plantilla

Las organizaciones pueden optar por implementar esta directiva mediante los pasos descritos a continuación o mediante las plantillas de acceso condicional (versión preliminar).

Habilitar la directiva de acceso condicional

  1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.
  2. Vaya a Azure Active Directory>Seguridad>Acceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, seleccione Usuarios y grupos.
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.
  6. En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
  7. En Condiciones>Riesgo de inicio de sesión, establezca Configurar en . En Seleccionar el nivel de riesgo de inicio de sesión al que se aplicará la directiva.
    1. Seleccione Alto y Medio.
    2. Seleccione Listo.
  8. En Controles de acceso>Conceder.
    1. Seleccione Conceder acceso, Requerir autenticación multifactor.
    2. Elija Seleccionar.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de confirmar la configuración desde el modo de solo informe, un administrador puede pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Pasos siguientes

Directivas de acceso condicional habituales

Acceso condicional basado en riesgos de usuario

Determinación del impacto mediante el modo de solo informe de acceso condicional

Simulación del comportamiento de inicio de sesión mediante la herramienta What If de acceso condicional

¿Qué es Azure Active Directory Identity Protection?