Instrucciones: Configuración y habilitación de directivas de riesgo

Como vimos en el artículo anterior, Directivas de Identity Protection, tenemos dos directivas de riesgo que podemos habilitar en nuestro directorio.

  • Directiva de riesgo de inicio de sesión
  • Directiva de riesgo de usuario

Página de información general de seguridad para habilitar las directivas de riesgo de usuario e inicio de sesión

Ambas directivas se ocupan de automatizar la respuesta a las detecciones de riesgo en su entorno y permitir que los usuarios corrijan por sí mismos los posibles riesgos cuando estos se detecten.

Prerrequisitos

Si su organización desea permitir que los usuarios corrijan por sí mismos los riesgos cuando se detecten, estos deben estar registrados para el autoservicio de restablecimiento de contraseña y en Azure AD Multi-Factor Authentication. Se recomienda habilitar la experiencia de registro de información de seguridad combinada para obtener la mejor experiencia. Al permitir a los usuarios que se ocupen por sí mismos de solucionar los problemas, se les otorga un estado productivo en el que no es necesaria la intervención del administrador. Los administradores todavía pueden ver estos eventos e investigarlos después del hecho.

Elección de niveles de riesgo aceptables

Las organizaciones deben decidir el nivel de riesgo que están dispuestos a aceptar para equilibrar la experiencia del usuario y la postura de seguridad.

La recomendación de Microsoft es establecer el umbral de la directiva de riesgo de usuario en Alto y la directiva de riesgo de inicio de sesión en Medio y superior.

Elegir un umbral Alto reduce el número de veces que una directiva se desencadena y minimiza el impacto en los usuarios. Sin embargo, excluye de la directiva las detecciones de riesgo Bajo y Medio, por lo que es posible que no impida que un atacante aproveche una identidad en peligro. Seleccionar un umbral Bajo presenta interrupciones adicionales para el usuario, pero aumenta el control de la seguridad.

Exclusiones

Todas las directivas permiten excluir a usuarios, como las cuentas de administrador de acceso de emergencia. Las organizaciones pueden determinar la necesidad de excluir otras cuentas de algunas directivas específicas en función de la forma en que se utilizan las cuentas. Todas las exclusiones deben revisarse periódicamente para ver si siguen siendo aplicables.

Identity Protection usa las ubicaciones de red de confianza configuradas en algunas detecciones de riesgos para reducir los falsos positivos.

Habilitación de directivas

Para habilitar las directivas de riesgo de usuario e inicio de sesión, complete los pasos siguientes.

  1. Acceda a Azure Portal.
  2. Vaya a Azure Active Directory > Seguridad > Identity Protection > Información general.
  3. Seleccione Directiva de riesgo de usuario.
    1. En Asignaciones
      1. Usuarios: elija Todos los usuarios o Seleccionar individuos y grupos si limita el lanzamiento.
        1. Opcionalmente, puede optar por excluir usuarios de la directiva.
      2. Condiciones - Riesgo de usuario: la recomendación de Microsoft es establecer esta opción en Alto.
    2. En Controles
      1. Acceso: la recomendación de Microsoft es Permitir el acceso y Requerir cambio de contraseña.
    3. Aplicar directiva - Activado
    4. Guardar: esta acción le devolverá a la página Información general.
  4. Seleccione Directiva de riesgo de inicio de sesión.
    1. En Asignaciones
      1. Usuarios: elija Todos los usuarios o Seleccionar individuos y grupos si limita el lanzamiento.
        1. Opcionalmente, puede optar por excluir usuarios de la directiva.
      2. Condiciones - Riesgo de inicio de sesión: la recomendación de Microsoft es establecer esta opción en Medio y superior.
    2. En Controles
      1. Acceso: la recomendación de Microsoft es Permitir el acceso y Requerir autenticación multifactor.
    3. Aplicar directiva - Activado
    4. Guardar

Pasos siguientes