Directivas de Identity ProtectionIdentity Protection policies

Azure Active Directory Identity Protection incluye tres directivas predeterminadas que los administradores pueden optar por habilitar.Azure Active Directory Identity Protection includes three default policies that administrators can choose to enable. Estas directivas incluyen una personalización limitada, pero son aplicables a la mayoría de las organizaciones.These policies include limited customization but are applicable to most organizations. Todas las directivas permiten excluir a usuarios, como las cuentas de administrador de acceso de emergencia.All of the policies allow for excluding users such as your emergency access or break-glass administrator accounts.

Directivas de Identity Protection

Directiva de registro de Azure AD MFAAzure AD MFA registration policy

Identity Protection puede ayudar a las organizaciones a implementar Azure AD Multi-Factor Authentication (MFA) mediante una directiva de acceso condicional que requiere registro al iniciar sesión.Identity Protection can help organizations roll out Azure AD Multi-Factor Authentication (MFA) using a Conditional Access policy requiring registration at sign-in. La habilitación de esta directiva es una excelente manera de asegurarse de que los nuevos usuarios de la organización se hayan registrado en MFA el primer día.Enabling this policy is a great way to ensure new users in your organization have registered for MFA on their first day. La autenticación multifactor es uno de los métodos de corrección automática para los eventos de riesgo dentro de Identity Protection.Multi-factor authentication is one of the self-remediation methods for risk events within Identity Protection. La corrección automática permite que los usuarios realicen acciones por su cuenta para reducir el volumen de llamadas al departamento de soporte técnico.Self-remediation allows your users to take action on their own to reduce helpdesk call volume.

Encuentre más información sobre Azure AD Multi-Factor Authentication en el artículo Cómo funciona: Azure AD Multi-Factor Authentication.More information about Azure AD Multi-Factor Authentication can be found in the article, How it works: Azure AD Multi-Factor Authentication.

Directiva de riesgo de inicio de sesiónSign-in risk policy

Identity Protection analiza las señales de cada inicio de sesión, tanto en tiempo real como sin conexión, y calcula una puntuación de riesgo en función de la probabilidad de que el usuario no haya realizado el inicio de sesión.Identity Protection analyzes signals from each sign-in, both real-time and offline, and calculates a risk score based on the probability that the sign-in wasn't performed by the user. Los administradores pueden tomar una decisión basada en esta señal de puntuación de riesgo para aplicar los requisitos de la organización.Administrators can make a decision based on this risk score signal to enforce organizational requirements. Los administradores pueden elegir bloquear el acceso, permitir el acceso o permitir el acceso pero requerir autenticación multifactor.Administrators can choose to block access, allow access, or allow access but require multi-factor authentication.

Si se detecta un riesgo, los usuarios pueden realizar el proceso de autenticación multifactor para solucionar automáticamente el evento de inicio de sesión peligroso y cerrarlo para evitar ruidos innecesarios para los administradores.If risk is detected, users can perform multi-factor authentication to self-remediate and close the risky sign-in event to prevent unnecessary noise for administrators.

Nota

Los usuarios deben haberse registrado previamente para Azure AD Multi-Factor Authentication antes de desencadenar la directiva de riesgo de inicio de sesión.Users must have previously registered for Azure AD Multi-Factor Authentication before triggering the sign-in risk policy.

Directiva de acceso condicional personalizadaCustom Conditional Access policy

Los administradores también pueden optar por crear una directiva de acceso condicional personalizada que incluya el riesgo de inicio de sesión como una condición de asignación.Administrators can also choose to create a custom Conditional Access policy including sign-in risk as an assignment condition. Puede encontrar más información sobre el riesgo como una condición en una directiva de acceso condicional en el artículo Acceso condicional: CondicionesMore information about risk as a condition in a Conditional Access policy can be found in the article, Conditional Access: Conditions

Directiva de riesgo de inicio de sesión de acceso condicional personalizada

Directiva de riesgo de usuarioUser risk policy

Identity Protection puede calcular los niveles normales del comportamiento de un usuario y usarlos para basar las decisiones de su riesgo.Identity Protection can calculate what it believes is normal for a user's behavior and use that to base decisions for their risk. El riesgo del usuario es un cálculo de la probabilidad de que se haya puesto en peligro una identidad.User risk is a calculation of probability that an identity has been compromised. Los administradores pueden tomar una decisión basada en esta señal de puntuación de riesgo para aplicar los requisitos de la organización.Administrators can make a decision based on this risk score signal to enforce organizational requirements. Los administradores pueden elegir bloquear el acceso, permitir el acceso o permitir el acceso pero requerir un cambio de contraseña mediante el autoservicio de restablecimiento de contraseña de Azure AD.Administrators can choose to block access, allow access, or allow access but require a password change using Azure AD self-service password reset.

Si se detecta un riesgo, los usuarios pueden utilizar el autoservicio de restablecimiento de contraseña para corregir automáticamente el evento de riesgo de usuario y cerrarlo para evitar ruidos innecesarios para los administradores.If risk is detected, users can perform self-service password reset to self-remediate and close the user risk event to prevent unnecessary noise for administrators.

Nota

Los usuarios deben haberse registrado previamente para el autoservicio de restablecimiento de contraseña antes de desencadenar la directiva de riesgo de usuario.Users must have previously registered for self-service password reset before triggering the user risk policy.

Pasos siguientesNext steps