Paso 1. Aumentar la seguridad del inicio de sesión de los trabajadores híbridos con MFA
Para aumentar la seguridad de los inicios de sesión de los trabajadores híbridos, use la autenticación multifactor (MFA). MFA requiere que los inicios de sesión de usuario estén sujetos a una comprobación adicional más allá de la contraseña de la cuenta de usuario. Incluso si un usuario malintencionado determina la contraseña de una cuenta de usuario, también debe poder responder a una comprobación adicional, como un mensaje de texto que se envía a un smartphone, antes de que se otorgue el acceso.
Para todos los usuarios, incluidos los trabajadores híbridos y especialmente los administradores, Microsoft recomienda encarecidamente la MFA.
Existen tres formas de requerir que los usuarios usen MFA basándose en su plan de Microsoft 365.
| Plan | Recomendación |
|---|---|
| Todos los planes de Microsoft 365 (sin licencias P1 o P2 de identificador de Microsoft Entra) | Habilite los valores predeterminados de seguridad en Microsoft Entra id. Los valores predeterminados de seguridad de Microsoft Entra id. incluyen MFA para usuarios y administradores. |
| Microsoft 365 E3 (incluye licencias de Microsoft Entra ID P1) | Use Directivas comunes de acceso condicional para configurar las directivas siguientes: - Requerir MFA para los administradores - Requerir MFA para todos los usuarios - Bloquear la autenticación heredada |
| Microsoft 365 E5 (incluye licencias Microsoft Entra ID P2) | Aprovechando la característica en Microsoft Entra id., empiece a implementar el conjunto recomendado de acceso condicional de Microsoft y directivas relacionadas como: - Requerir MFA cuando el riesgo de inicio de sesión es medio o alto. - Bloquear clientes que no admiten la autenticación moderna. - Requerir que los usuarios de alto riesgo cambien su contraseña. |
Valores predeterminados de seguridad
Los valores predeterminados de seguridad son una nueva característica para las suscripciones pago o de prueba de Microsoft 365 y Office 365 creadas después del 21 de octubre de 2019. Estas suscripciones tienen activados los valores predeterminados de seguridad, lo que requiere que todos los usuarios usen MFA con la aplicación Microsoft Authenticator.
Los usuarios tienen 14 días para registrarse en MFA con la aplicación Microsoft Authenticator desde sus teléfonos inteligentes, que comienzan a contar desde la primera vez que inician sesión después de que se hayan habilitado los valores predeterminados de seguridad. Transcurridos 14 días, el usuario no podrá iniciar sesión hasta que el registro de MFA se haya completado.
Los valores predeterminados de seguridad garantizan que todas las organizaciones tengan un nivel básico de seguridad para el inicio de sesión de usuario habilitado de forma predeterminada. Puede deshabilitar los valores predeterminados de seguridad y usar MFA con directivas de acceso condicional o para cuentas individuales.
Para más información, vea esta información general de los valores predeterminados de seguridad.
Directivas de acceso condicional
Las directivas de acceso condicional son un conjunto de reglas que especifican las condiciones en las que se evalúan y permiten los inicios de sesión. Por ejemplo, puede crear una directiva de acceso condicional que indique lo siguiente:
- Si el nombre de la cuenta de usuario es miembro de un grupo de usuarios a los que se han asignado los roles de administrador de Exchange, de usuarios, de contraseñas, de seguridad, de SharePoint o global, requerir MFA antes de permitir el acceso.
Esta directiva le permite exigir MFA en función de la pertenencia a grupos, en lugar de intentar configurar cuentas de usuario individuales para MFA cuando se asignan o se quitan estos roles de administrador.
También puedes usar directivas de acceso condicional para funcionalidades más avanzadas, como requerir que el inicio de sesión se haga desde un dispositivo compatible, como el portátil que ejecuta Windows 11 o 10.
El acceso condicional requiere licencias de Microsoft Entra ID P1, que se incluyen con Microsoft 365 E3 y E5.
Para más información, vea esta información general sobre el acceso condicional.
compatibilidad con Protección de id. de Microsoft Entra
Con Protección de id. de Microsoft Entra, puede crear una directiva de acceso condicional adicional que indique lo siguiente:
- Si el riesgo del inicio de sesión se determina como medio o alto, requerir MFA.
Protección de id. de Microsoft Entra requiere licencias Microsoft Entra ID P2, que se incluyen con Microsoft 365 E5.
Para más información, consulte Acceso condicional basado en riesgos.
Con Protección de id. de Microsoft Entra, también puede crear una directiva para requerir que los usuarios se registren en MFA. Para obtener más información, consulte Configuración de la directiva de registro de autenticación multifactor Microsoft Entra
Usar estos métodos conjuntamente
Tenga en cuenta lo siguiente:
- No puede habilitar los valores predeterminados de seguridad si tiene habilitadas directivas de acceso condicional.
- No puede habilitar ninguna directiva de acceso condicional si tiene habilitados los valores predeterminados de seguridad.
Si los valores predeterminados de seguridad están habilitados, se le pedirá al usuario el registro de MFA y el uso de la aplicación Microsoft Authenticator.
Esta tabla muestra los resultados de habilitar MFA con los valores predeterminados de seguridad y las directivas de acceso condicional.
| Método | Habilitado | Deshabilitado | Método de autenticación adicional |
|---|---|---|---|
| Valores predeterminados de seguridad | No se pueden usar directivas de acceso condicional | Se pueden usar directivas de acceso condicional | Aplicación Microsoft Authenticator |
| Directivas de acceso condicional | Si hay alguna habilitada, no puede habilitar los valores predeterminados de seguridad | Si se deshabilitan todos, puede habilitar los valores predeterminados de seguridad | Especificado por el usuario durante el registro de MFA |
Permitir que los usuarios puedan restablecer sus propias contraseñas
El Restablecimiento de Contraseña de Autoservicio (SSPR) permite a los usuarios restablecer sus contraseñas sin que el personal de TI deba actuar. Los usuarios pueden restablecer las contraseñas rápidamente en cualquier momento y desde cualquier sitio. Para obtener más información, consulte Planeamiento de una implementación de autoservicio de restablecimiento de contraseña de Microsoft Entra.
Inicio de sesión en aplicaciones SaaS con Microsoft Entra id.
Además de proporcionar autenticación en la nube a los usuarios, Microsoft Entra identificador también puede ser la forma central de proteger todas las aplicaciones, ya sean locales, en la nube de Microsoft o en otra nube. Al integrar las aplicaciones en Microsoft Entra identificador, puede facilitar a los trabajadores híbridos detectar las aplicaciones que necesitan e iniciar sesión en ellas de forma segura.
Recursos técnicos de administración para MFA e identidad
- Las cinco principales formas en que el identificador de Microsoft Entra puede ayudarle a habilitar el trabajo remoto
- Infraestructura de identidad para Microsoft 365
- Vídeos de entrenamiento de id. de Azure Academy Microsoft Entra
Resultado del paso 1
Después de la implementación de MFA, los usuarios:
- Están obligados a usar MFA para iniciar sesión.
- Han completado el proceso de registro de MFA y usan MFA para todos los inicios de sesión.
- Pueden usar SSPR para restablecer sus propias contraseñas.
Paso siguiente
Continúe con el paso 2 para proporcionar acceso remoto a servicios y aplicaciones locales.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de