Planeamiento de la implementación del acceso condicional
El planeamiento de la implementación del acceso condicional es fundamental para conseguir la estrategia de acceso para las aplicaciones y los recursos de su organización.
En un mundo que da prioridad a los dispositivos móviles y la nube, los usuarios tienen acceso a los recursos de su organización desde cualquier parte mediante diversos dispositivos y aplicaciones. Como resultado, ya no es suficiente con centrarse en quién puede acceder a un recurso. También debe tener en cuenta dónde se encuentra el usuario, el dispositivo en uso, el recurso al que se tiene acceso, etc.
El acceso condicional de Azure Active Directory (Azure AD) analiza señales como el usuario, el dispositivo y la ubicación para automatizar las decisiones y aplicar las directivas de acceso de la organización para el recurso. Puede usar directivas de acceso condicional para aplicar controles de acceso como Multi-Factor Authentication (MFA). Las directivas de acceso condicional le permiten solicitar a los usuarios MFA cuando sea necesario para la seguridad y dejarles cuando no lo sea.
Microsoft proporciona directivas condicionales estándar llamadas valores predeterminados de seguridad que garantizan un nivel básico de seguridad. Sin embargo, su organización puede necesitar más flexibilidad de la que ofrecen los valores predeterminados de seguridad. Puede usar el acceso condicional para personalizar los valores predeterminados de seguridad con mayor granularidad y configurar nuevas directivas que cumplan sus requisitos.
Obtener información
Antes de comenzar, asegúrese de que comprende cómo funciona el acceso condicional y cuándo se debe usar.
Ventajas
Las ventajas de implementar el acceso condicional son:
Aumento de la productividad. Interrumpa solo a los usuarios con una condición de inicio de sesión como MFA cuando una o varias señales lo garanticen. Las directivas de acceso condicional le permiten controlar cuándo se solicita a los usuarios MFA, cuándo se bloquea el acceso y cuándo deben usar un dispositivo de confianza.
Administración del riesgo. La automatización de la evaluación de riesgos con condiciones de directiva significa que los inicios de sesión de riesgo se identifican y corrigen o bloquean. El acoplamiento del acceso condicional con Identity Protection, que detecta anomalías y eventos sospechosos, le permite establecer un destino cuando el acceso a los recursos se bloquea o se valida.
Control de cumplimiento y gobernanza. El acceso condicional le permite auditar el acceso a las aplicaciones, presentar términos de uso para su consentimiento y restringir el acceso en función de las directivas de cumplimiento.
Administración del coste. Mover las directivas de acceso a Azure AD reduce la dependencia de las soluciones personalizadas o locales para el acceso condicional y sus costos de infraestructura.
Requisitos de licencia
Consulte los requisitos de licencia de acceso condicional.
Si se necesitan otras características, también necesitará las licencias asociadas. Para más información, consulte los precios de Azure Active Directory.
Requisitos previos
Un inquilino de Azure AD activo con Azure AD Premium o una licencia de prueba habilitada. Si es preciso, cree una cuenta gratuita.
Una cuenta con privilegios de administrador global de acceso condicional.
Un usuario que no sea administrador con una contraseña que conozca, como usuarioDePrueba. Si necesita crear un usuario, consulte Inicio rápido: Incorporación de nuevos usuarios a Azure Active Directory.
Un grupo del que sea miembro el usuario que no es administrador. Si necesita crear un grupo, consulte Creación de un grupo y adición de miembros en Azure Active Directory.
Recursos de aprendizaje
Los siguientes recursos pueden ser útiles a medida que obtiene información sobre el acceso condicional:
Vídeos
- ¿Qué es el acceso condicional?
- ¿Cómo se implementa el acceso condicional?
- ¿Cómo se implementan las directivas de acceso condicional para los usuarios finales?
- Cómo incluir o excluir usuarios de las directivas de acceso condicional
- Acceso condicional con controles de dispositivos
- Acceso condicional con Azure AD MFA
- Acceso condicional en Enterprise Mobility + Security
Cursos en línea en Pluralsight
- Design Identity Management in Microsoft Azure (Diseño de la administración de identidades en Microsoft Azure)
- Design Authentication for Microsoft Azure (Diseño de la autenticación en Microsoft Azure)
- Design Authorization for Microsoft Azure (Diseño de la autorización en Microsoft Azure)
Planeamiento del proyecto de implementación
Tenga en cuenta las necesidades de su organización al determinar la estrategia de esta implementación en su entorno.
Interactuar con las partes interesadas adecuadas
Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que interactúa con las partes interesadas adecuadas y que los roles del proyecto están claros.
Planeamiento de las comunicaciones
La comunicación es fundamental para el éxito de cualquier servicio nuevo. Comunique de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si tienen cualquier problema.
Planeamiento de un piloto
Cuando las nuevas directivas estén listas para su entorno, impleméntelas en fases en el entorno de producción. En primer lugar, aplique una directiva a un pequeño conjunto de usuarios en un entorno de prueba y compruebe si la directiva se comporta según lo previsto. Consulte Procedimientos recomendados para un piloto.
Nota
Para implementar nuevas directivas no específicas en los administradores, excluya todos los administradores. Esto garantiza que los administradores puedan seguir teniendo acceso a la directiva y que realicen cambios o la revoquen si hay un impacto significativo. Valide siempre la directiva con grupos de usuarios más pequeños antes de aplicarla a todos los usuarios.
Comprensión de los componentes de la directiva de acceso condicional
Las directivas de acceso condicional son instrucciones if-then: si se cumple una asignación, aplique estos controles de acceso.
Al configurar las directivas de acceso condicional, las condiciones se denominan asignaciones. Las directivas de acceso condicional permiten exigir controles de acceso en las aplicaciones de la organización según determinadas asignaciones.
Para más información, consulte Creación de una directiva de acceso condicional.
Las asignaciones definen lo siguiente:
Los usuarios y grupos que se van a ver afectados por la directiva
Las aplicaciones o acciones en la nube a las que se les va a aplicar la directiva
Las condiciones en las que se aplicará la directiva
La configuración de controles de acceso determina cómo aplicar una directiva:
Conceda o bloquee el acceso a las aplicaciones en la nube.
Los controles de sesión permiten limitar las experiencias desde aplicaciones en la nube específicas.
Formular las preguntas adecuadas para crear sus directivas
Las directivas responden a preguntas sobre quién debe tener acceso a los recursos, a qué recursos deben tener acceso y en qué condiciones. Las directivas se pueden diseñar para conceder acceso, o bien para bloquearlo. Asegúrese de formular las preguntas adecuadas sobre lo que está tratando de lograr su directiva.
Documente las respuestas a las preguntas de cada directiva antes de su creación.
Preguntas habituales sobre las asignaciones
¿Qué usuarios y grupos se incluirán o se excluirán de la directiva?
¿Incluye esta directiva a todos los usuarios, grupos específicos de usuarios, roles de directorio o usuarios externos?
Aplicaciones o acciones en la nube
¿A qué aplicaciones se aplicará la directiva?
¿Qué acciones del usuario estarán sujetas a esta directiva?
¿Qué plataformas de dispositivo se incluirán o se excluirán de la directiva?
¿Cuáles son las ubicaciones de confianza de la organización?
¿Qué ubicaciones se incluirán o excluirán de la directiva?
¿Qué tipos de aplicación cliente (explorador, móvil, clientes de escritorio o aplicaciones con métodos de autenticación heredados) se incluirán o excluirán de la directiva?
¿Tiene directivas que impulsarían la exclusión de dispositivos unidos a Azure AD o dispositivos híbridos unidos a Azure AD de las directivas?
Si usa Identity Protection, ¿desea incorporar la protección frente a riesgos de inicio de sesión?
Preguntas habituales sobre los controles de acceso
¿Desea conceder acceso a los recursos requiriendo una o varias de las siguientes condiciones?
Requerir MFA
Requerir que el dispositivo esté marcado como compatible
Requerir un dispositivo unido a Azure AD híbrido
Requerir aplicación cliente aprobada
Requerir la directiva de protección de aplicaciones
¿Desea aplicar cualquiera de los siguientes controles de acceso en las aplicaciones en la nube?
Utilizar permisos que exige la aplicación
Utilizar el Control de aplicaciones de acceso condicional
Aplicar la frecuencia de inicio de sesión
Utilizar sesiones del explorador persistentes
Emisión de tokens de acceso
Es importante comprender cómo se emiten los tokens de acceso.
Nota
Si no se requiere ninguna asignación y no hay ninguna directiva de acceso condicional en vigor, el comportamiento predeterminado será emitir un token de acceso.
Por ejemplo, considere una directiva en la que:
SI el usuario está en el Grupo 1, fuerce MFA para tener acceso a la Aplicación 1.
Si un usuario que no está en el Grupo 1 intenta tener acceso a la aplicación, no se cumplirá ninguna condición "if" y se emitirá un token. Para excluir a los usuarios del Grupo 1 se requiere una directiva independiente para bloquear a todos los demás usuarios.
Seguimiento de los procedimientos recomendados
El marco de trabajo de acceso condicional le proporciona una gran flexibilidad de configuración. Sin embargo, una gran flexibilidad también implica revisar cuidadosamente cada directiva de configuración antes de liberarla para evitar resultados no deseados.
Aplicación de directivas de acceso condicional a cada aplicación
Los tokens de acceso se emiten de forma predeterminada si una condición de la directiva de acceso condicional no desencadena un control de acceso. Asegúrese de que todas las aplicaciones tienen aplicada al menos una directiva de acceso condicional.
Importante
Tenga mucho cuidado al usar el bloque y todas las aplicaciones en una sola directiva. Esto podría bloquear a los administradores del portal de administración de Azure y las exclusiones no se pueden configurar para puntos de conexión importantes como Microsoft Graph.
Minimización del número de directivas de acceso condicional
Crear una directiva para cada aplicación no es eficaz y conlleva una administración compleja. Puede haber un máximo de 195 de acceso condicional en cada inquilino de Azure AD. Se recomienda analizar las aplicaciones y agruparlas en directivas que tengan los mismos requisitos de acceso. Por ejemplo, si todas las aplicaciones de Microsoft 365 o todas las aplicaciones de recursos humanos tienen los mismos requisitos para los mismos usuarios, cree una sola directiva e incluya todas estas aplicaciones en lugar de agregar una directiva para cada aplicación.
Configurar cuentas de acceso de emergencia
Si configura mal una directiva, esto puede bloquear las organizaciones de Azure Portal. Mitigue el impacto de un bloqueo accidental del administrador mediante la creación de dos o más cuentas de acceso de emergencia en la organización.
- Cree una cuenta de usuario dedicada a la administración de directivas y excluida de todas las directivas.
Configurar el modo de solo informe
Puede ser difícil predecir el número y los nombres de los usuarios afectados por iniciativas de implementación comunes como, por ejemplo:
- bloqueo de la autenticación heredada
- requerimiento de MFA
- implementación de directivas de riesgo de inicio de sesión
El modo de solo informe permite a los administradores evaluar el impacto de las directivas de acceso condicional antes de habilitarlas en su entorno.
Obtenga información sobre cómo configurar el modo de solo informe en una directiva de acceso condicional.
Planear la interrupción
Si se basa en un control de acceso único, como MFA o una ubicación de red, para proteger sus sistemas de TI, usted es susceptible a los errores de acceso si ese control de acceso único no está disponible o está mal configurado. Para reducir el riesgo de bloqueo durante las interrupciones imprevistas, planee estrategias a fin de adoptarlas para su organización.
Establecer pautas de nomenclatura para sus directivas
La pauta de nomenclatura ayuda a encontrar las directivas y a comprender su propósito sin tener que abrirlas en el portal de administrador de Azure. Se recomienda asignar un nombre a la directiva para mostrar:
Un número de secuencia
Las aplicaciones en la nube a las que se refiere
La respuesta
A quién se aplica
Cuando se aplica (si procede)
Ejemplo: Una directiva para requerir MFA para los usuarios de marketing con acceso a la aplicación de Dynamics CRP desde redes externas podría ser:
Un nombre descriptivo le ayuda a mantener una visión general de la implementación del acceso condicional. El número de secuencia es útil si necesita hacer referencia a una directiva en una conversación. Por ejemplo, si habla con un administrador por teléfono, puede pedirle que abra la directiva CA01 para resolver una incidencia.
Estándares de nomenclatura para controles de acceso de emergencia
Además de las directivas activas, implemente directivas deshabilitadas que actúen como controles de acceso resistentes para escenarios de interrupción/emergencia secundarios. La pauta de nomenclatura para las directivas de contingencia debe incluir lo siguiente:
HABILITAR EN CASO DE EMERGENCIA al principio para resaltar el nombre entre las otras directivas.
El nombre de la interrupción a la que se debe aplicar.
Un número de secuencia de ordenación para ayudar al administrador a saber en qué orden se deben habilitar las directivas.
Ejemplo
El siguiente nombre indica que esta directiva es la primera de cuatro directivas que debe habilitar en caso de una interrupción de MFA:
EM01 - HABILITAR EN CASO DE EMERGENCIA: Interrupción de MFA [1/4]: Exchange SharePoint: Requerir la unión a Azure AD híbrido para usuarios VIP.
Excluya los países desde los que nunca espera un inicio de sesión.
Azure Active Directory permite crear ubicaciones con nombre. Cree una ubicación con nombre que incluya todos los países desde los que nunca esperaría que se produjera un inicio de sesión. Después, cree una directiva para todas las aplicaciones que bloquee el inicio de sesión desde esa ubicación con nombre. Asegúrese de excluir a los administradores de esta directiva.
Planear la implementación de la directiva
Cuando las nuevas directivas estén listas para su entorno, asegúrese de revisar cada una de ellas antes de publicarla para evitar resultados no deseados.
Directivas comunes
Al planear la solución de directiva de acceso condicional, determine si necesita crear directivas para lograr los siguientes resultados.
- Requerir MFA
- Respuesta ante las cuentas en posible riesgo
- Requerir dispositivos administrados
- Requerir aplicaciones cliente aprobadas
- Bloquear acceso
Requerir MFA
Casos de uso comunes para exigir el acceso a MFA:
Respuesta ante las cuentas en riesgo
Con las directivas de acceso condicional se pueden implementar respuestas automatizadas a inicios de sesión con identidades que pueden suponer un riesgo. La probabilidad de que una cuenta esté en riesgo se expresa mediante niveles de riesgo. En Identity Protection se calculan dos niveles de riesgo: riesgo de inicio de sesión o de usuario. Se pueden habilitar las tres directivas predeterminadas siguientes:
Exigir un cambio de contraseña para los usuarios que son de alto riesgo
Exigir MFA para los usuarios con un riesgo de inicio de sesión medio o alto
Requerir dispositivos administrados
La proliferación de dispositivos compatibles para acceder a recursos en la nube ayuda a mejorar la productividad de los usuarios. Es posible que no desee que dispositivos con un nivel de protección desconocido tengan acceso a determinados recursos del entorno. Para estos recursos, haga que los usuarios solo puedan acceder a ellos mediante un dispositivo administrado.
Requerir aplicaciones cliente aprobadas
Los empleados usan sus dispositivos móviles para tareas personales y profesionales. En el caso de los escenarios de BYOD, debe decidir si desea administrar todo el dispositivo o solo los datos que contenga. Si solo se administran datos y acceso, puede requerir aplicaciones en la nube aprobadas que puedan proteger los datos corporativos. Por ejemplo, puede requerir que solo se tenga acceso al correo electrónico a través de Outlook Mobile y no a través de un programa de correo genérico.
Bloquear acceso
La opción de bloquear todo el acceso resulta eficaz. Se puede usar, por ejemplo, cuando migra una aplicación a Azure AD, pero no está listo para que nadie inicie sesión en ella todavía. Bloquear acceso:
Altera el resto de asignaciones de un usuario
Tiene la capacidad de bloquear el inicio de sesión en el inquilino a toda la organización
Importante
Si crea una directiva para bloquear el acceso a todos los usuarios, asegúrese de excluir las cuentas de acceso de emergencia y considere la posibilidad de excluir a todos los administradores de la directiva.
Otros casos habituales en los que puede bloquear el acceso a los usuarios son:
Bloquee algunas ubicaciones de red para tener acceso a sus aplicaciones en la nube. Puede usar esta directiva para bloquear determinados países de los que sabe que no procede el tráfico.
Azure AD admite la autenticación heredada. Sin embargo, la autenticación heredada no admite MFA y muchos entornos la requieren para solucionar la seguridad de identidad. En este caso, puede evitar que las aplicaciones que usan la autenticación heredada accedan a los recursos del inquilino.
Compilación y prueba de directivas
En cada fase de la implementación, asegúrese de que está evaluando que los resultados son los esperados.
Cuando las nuevas directivas estén listas, impleméntelas en fases en el entorno de producción:
Comunique los cambios internos a los usuarios finales.
Empiece por un conjunto de usuarios pequeño y verifique que la directiva se comporta según lo previsto.
Cuando expanda una directiva para incluir más usuarios, continúe con la exclusión de todos los administradores. La exclusión de los administradores garantiza que alguien tiene acceso a la directiva en caso de que se requieran cambios.
Aplique una directiva a todos los usuarios solo después de que se haya probado exhaustivamente. Asegúrese de que tiene al menos una cuenta de administrador a la que no se aplica una directiva.
Creación de usuarios de prueba
Cree un conjunto de usuarios de prueba que reflejen los usuarios del entorno de producción. La creación de usuarios de prueba permite verificar que las directivas funcionan según lo previsto antes de que afecten a usuarios reales y puedan impedir su acceso a aplicaciones y recursos.
Algunas organizaciones tienen inquilinos de prueba para este propósito. Sin embargo, puede resultar difícil volver a crear todas las condiciones y las aplicaciones en un inquilino de prueba para probar completamente el resultado de una directiva.
Creación de un plan de pruebas
El plan de pruebas es importante para tener una comparación entre los resultados previstos y los reales. Antes de probar algo debe tener siempre una previsión. En la siguiente tabla se muestran casos de prueba de ejemplo. Ajuste los escenarios y los resultados previstos en función de la configuración de sus directivas de acceso condicional.
| Directiva | Escenario | Resultado previsto |
|---|---|---|
| Exigir la autenticación multifactor desde fuera de la oficina | El usuario autorizado inicia sesión en la aplicación desde la oficina / una ubicación de confianza | Al usuario no se le solicita autenticación multifactor |
| Exigir la autenticación multifactor desde fuera de la oficina | El usuario autorizado inicia sesión en la aplicación desde otro lugar distinto a la oficina / una ubicación de confianza | Al usuario se le solicita autenticación multifactor para iniciar sesión |
| Exigir autenticación multifactor (para administradores) | El administrador global inicia sesión en la aplicación | Al administrador se le solicita autenticación multifactor |
| Inicios de sesión no seguros | El usuario inicia sesión en la aplicación usando un explorador no aprobado | Al administrador se le solicita autenticación multifactor |
| Administración de dispositivos | El usuario autorizado intenta iniciar sesión desde un dispositivo autorizado | El acceso se le concede |
| Administración de dispositivos | El usuario autorizado intenta iniciar sesión desde un dispositivo no autorizado | El acceso se le bloquea |
| Cambio de contraseña en caso de riesgo del usuario | El usuario autorizado intenta iniciar sesión con credenciales en riesgo (inicio de sesión de alto riesgo) | Al usuario se le solicita que cambie la contraseña o se le bloquea el acceso (de conformidad con la directiva) |
Configurar la directiva de prueba
En Azure Portal, configure las directivas de acceso condicional en Azure Active Directory > Seguridad > Acceso condicional.
Si desea obtener más información sobre cómo crear directivas de acceso condicional, consulte este ejemplo: Directiva de acceso condicional para solicitar MFA cuando un usuario inicie sesión en Azure Portal. Este artículo de inicio rápido le ayudará a:
Familiarizarse con la interfaz de usuario
Obtener una primera idea de cómo funciona el acceso condicional
Habilitar la directiva en modo de solo informe
Para evaluar el impacto de la directiva, empiece por habilitarla en modo de solo informe. Las directivas de solo informe se evalúan durante el inicio de sesión, pero no se aplican controles de concesión ni de sesión. Una vez que guarde la directiva en modo de solo informe, podrá ver el impacto en los inicios de sesión en tiempo real de los registros de inicio de sesión. En los registros de inicio de sesión, seleccione un evento y vaya a la pestaña Solo informe para ver el resultado de cada directiva de solo informe.
Al seleccionar la directiva, también puede ver cómo se evaluaron las asignaciones y los controles de acceso de la directiva mediante la pantalla Detalles de la directiva. Para que una directiva se aplique a un inicio de sesión, se deben satisfacer cada una de las asignaciones configuradas.
Comprender el impacto de las directivas mediante el libro Conclusiones e informes
Puede ver el impacto agregado de las directivas de acceso condicional en el libro Conclusiones e informes. Para tener acceso al libro, necesita una suscripción de Azure Monitor y tendrá que transmitir los registros de inicio de sesión a un área de trabajo de Log Analytics.
Simular inicios de sesión mediante la herramienta what-if
Otra manera de validar la directiva de acceso condicional es mediante la herramienta what-if, que simula las directivas que se aplicarían a un usuario que inicia sesión en circunstancias hipotéticas. Seleccione los atributos de inicio de sesión que desea probar (como usuario, aplicación, plataforma de dispositivo y ubicación) y consulte qué directivas se aplicarían.
Nota
Aunque una ejecución simulada ofrece una buena idea del efecto de una directiva de acceso condicional, no reemplaza a una serie de pruebas reales.
Prueba de la directiva
Realice cada prueba del plan de pruebas con los usuarios de prueba.
Asegúrese de que se prueban los criterios de exclusión de las directivas. Por ejemplo, puede excluir a un usuario o grupo de una directiva que requiera MFA. Pruebe si a los usuarios excluidos se les solicita MFA, ya que la combinación de otras directivas puede hacer que se exija para esos usuarios.
Revertir las directivas
En caso de que necesite revertir las directivas recién implementadas, use una o varias de las siguientes opciones:
- Deshabilite la directiva. Deshabilitar una directiva garantiza que la directiva no se aplica cuando un usuario intente iniciar sesión. Si quiere que se use, siempre puede volver atrás y habilitar la directiva.
- Excluya un usuario o grupo de una directiva. Si un usuario no puede acceder a la aplicación, puede elegir excluirlo de la directiva.
Nota
Esta opción debe usarse con moderación, solo en situaciones donde el usuario sea de confianza. El usuario debe agregarse de nuevo a la directiva o grupo n cuanto sea posible.
- Elimine la directiva. Si ya no es necesaria, elimínela.
Administración del acceso a las aplicaciones en la nube
Use las siguientes opciones de administración para controlar y administrar las directivas de acceso condicional:
Ubicaciones con nombre
La condición de ubicación de una directiva de acceso condicional le permite asociar la configuración de los controles de acceso a las ubicaciones de red de los usuarios. Gracias a las ubicaciones con nombre, puede crear agrupaciones lógicas de rangos de direcciones IP o de países y regiones.
Controles personalizados
Los controles personalizados redirigen a los usuarios a un servicio compatible para satisfacer requisitos de autenticación fuera de Azure AD. Para satisfacer este control, el explorador de un usuario se redirige al servicio externo, lleva a cabo todas las actividades de autenticación necesarias y luego se vuelve a redirigir a Azure AD. Azure AD comprueba la respuesta y, si el usuario se autenticó o validó correctamente, seguirá en el flujo de acceso condicional.
Términos de uso
Antes de acceder a determinadas aplicaciones en la nube de su entorno, puede obtener el consentimiento de los usuarios mediante su aceptación de las condiciones de uso (CDU). Siga este inicio rápido para crear las condiciones de uso.
Solución de problemas de acceso condicional
Cuando un usuario tenga una incidencia con una directiva de acceso condicional, recopile la siguiente información para facilitar la solución de problemas.
Nombre principal del usuario
Nombre para mostrar del usuario
Nombre del sistema operativo
Marca de tiempo (aproximado es correcto)
Aplicación de destino
Tipo de aplicación cliente (explorador frente a cliente)
Id. de correlación (este es único para el inicio de sesión)
Si el usuario ha recibido un mensaje con un vínculo Más detalles, podrá recopilar la mayor parte de esta información para usted.
Una vez que haya recopilado la información, consulte los siguientes recursos:
Problemas de inicio de sesión con acceso condicional: comprenda los resultados inesperados de inicio de sesión relacionados con el acceso condicional mediante mensajes de error y el registro de inicios de sesión de Azure AD.
Uso de la herramienta What-If: comprenda por qué una directiva se ha aplicado o no a un usuario en una circunstancia específica, o bien si una directiva se aplicaría en un estado conocido.
Pasos siguientes
Más información sobre Multi-Factor Authentication
Más información sobre Identity Protection
Administración de directivas de acceso condicional con Microsoft Graph API