Directivas de Identity Protection

Azure Active Directory Identity Protection incluye tres directivas predeterminadas que los administradores pueden optar por habilitar. Estas directivas incluyen una personalización limitada, pero son aplicables a la mayoría de las organizaciones. Todas las directivas permiten excluir a usuarios, como las cuentas de administrador de acceso de emergencia.

Identity Protection policies

Directiva de registro de Azure AD MFA

Identity Protection puede ayudar a las organizaciones a implementar Azure AD Multi-Factor Authentication (MFA) mediante una directiva de acceso condicional que requiere registro al iniciar sesión. La habilitación de esta directiva es una excelente manera de asegurarse de que los nuevos usuarios de la organización se hayan registrado en MFA el primer día. La autenticación multifactor es uno de los métodos de corrección automática para los eventos de riesgo dentro de Identity Protection. La corrección automática permite que los usuarios realicen acciones por su cuenta para reducir el volumen de llamadas al departamento de soporte técnico.

Encuentre más información sobre Azure AD Multi-Factor Authentication en el artículo Cómo funciona: Azure AD Multi-Factor Authentication.

Directiva de riesgo de inicio de sesión

Identity Protection analiza las señales de cada inicio de sesión, tanto en tiempo real como sin conexión, y calcula una puntuación de riesgo en función de la probabilidad de que el usuario no haya realizado el inicio de sesión. Los administradores pueden tomar una decisión basada en esta señal de puntuación de riesgo para aplicar los requisitos de la organización. Los administradores pueden elegir bloquear el acceso, permitir el acceso o permitir el acceso pero requerir autenticación multifactor.

Si se detecta un riesgo, los usuarios pueden realizar el proceso de autenticación multifactor para solucionar automáticamente el evento de inicio de sesión peligroso y cerrarlo para evitar ruidos innecesarios para los administradores.

Nota

Los usuarios deben haberse registrado previamente para Azure AD Multi-Factor Authentication antes de desencadenar la directiva de riesgo de inicio de sesión.

Directiva de acceso condicional personalizada

Los administradores también pueden optar por crear una directiva de acceso condicional personalizada que incluya el riesgo de inicio de sesión como una condición de asignación. Puede encontrar más información sobre el riesgo como una condición en una directiva de acceso condicional en el artículo Acceso condicional: Condiciones

Custom Conditional Access sign-in risk policy

Directiva de riesgo de usuario

Identity Protection puede calcular los niveles normales del comportamiento de un usuario y usarlos para basar las decisiones de su riesgo. El riesgo del usuario es un cálculo de la probabilidad de que se haya puesto en peligro una identidad. Los administradores pueden tomar una decisión basada en esta señal de puntuación de riesgo para aplicar los requisitos de la organización. Los administradores pueden elegir bloquear el acceso, permitir el acceso o permitir el acceso pero requerir un cambio de contraseña mediante el autoservicio de restablecimiento de contraseña de Azure AD.

Si se detecta un riesgo, los usuarios pueden utilizar el autoservicio de restablecimiento de contraseña para corregir automáticamente el evento de riesgo de usuario y cerrarlo para evitar ruidos innecesarios para los administradores.

Nota

Los usuarios deben haberse registrado previamente para el autoservicio de restablecimiento de contraseña antes de desencadenar la directiva de riesgo de usuario.

Pasos siguientes