Instrucciones: Configuración y habilitación de directivas de riesgo

Como vimos en el artículo anterior, Directivas de Identity Protection, tenemos dos directivas de riesgo que podemos habilitar en nuestro directorio.

  • Directiva de riesgo de inicio de sesión
  • Directiva de riesgo de usuario

Página de información general de seguridad para habilitar las directivas de riesgo de usuario e inicio de sesión

Ambas directivas se ocupan de automatizar la respuesta a las detecciones de riesgo en su entorno y permitir que los usuarios corrijan por sí mismos los posibles riesgos cuando estos se detecten.

Elección de niveles de riesgo aceptables

Las organizaciones deben decidir el nivel de riesgo que están dispuestos a aceptar para equilibrar la experiencia del usuario y la postura de seguridad.

La recomendación de Microsoft es establecer el umbral de la directiva de riesgo de usuario en Alto, la directiva de riesgo de inicio de sesión en Medio y superior y permitir opciones de autocorrección. La elección de bloquear el acceso en lugar de permitir opciones de autocorrección, como el cambio de contraseña y la autenticación multifactor, afectará a los usuarios y los administradores. Sopese esta elección al configurar las directivas.

Elegir un umbral Alto reduce el número de veces que una directiva se desencadena y minimiza el impacto en los usuarios. Sin embargo, excluye de la directiva las detecciones de riesgo Bajo y Medio, por lo que es posible que no impida que un atacante aproveche una identidad en peligro. Al seleccionar un umbral Bajo se presentan más interrupciones de usuario.

Identity Protection usa las ubicaciones de red de confianza configuradas en algunas detecciones de riesgos para reducir los falsos positivos.

Corrección de riesgos

Las organizaciones pueden optar por bloquear el acceso cuando se detecta riesgo. El bloqueo a veces impide que los usuarios legítimos haga lo que necesitan. Una solución mejor es permitir la autocorrección mediante la autenticación multifactor (MFA) de Azure AD y el autoservicio de restablecimiento de contraseña (SSPR).

  • Cuando se desencadena una directiva de riesgo de usuario:
    • Los administradores pueden requerir un restablecimiento de contraseña seguro, que requiere que Azure AD MFA se realice antes de que el usuario cree una nueva contraseña con SSPR y restablezca el riesgo del usuario.
  • Cuando se desencadena una directiva de riesgo de inicio de sesión:
    • Se puede desencadenar Azure AD MFA, lo que permite a los usuarios probar que se trata de ellos mediante uno de los métodos de autenticación registrados y restablecer el riesgo de inicio de sesión.

Advertencia

Los usuarios deben registrarse en Azure AD MFA y SSPR antes de enfrentarse a una situación que requiera corrección. Los usuarios no registrados se bloquean y requieren la intervención del administrador.

El cambio de contraseña (conozco mi contraseña y quiero cambiarla por otra) fuera del flujo de corrección de las directivas de riesgo de usuario no cumple el requisito de restablecimiento de contraseña seguro.

Exclusiones

Las directivas permiten excluir a usuarios, como las cuentas de acceso de emergencia o de administrador de emergencia. Las organizaciones pueden necesitar excluir otras cuentas de algunas directivas específicas en función de la forma en que se usan las cuentas. Las exclusiones deben revisarse periódicamente para ver si siguen siendo aplicables.

Habilitación de directivas

Hay dos ubicaciones donde se pueden configurar estas directivas: acceso condicional e Identity Protection. La configuración mediante directivas de acceso condicional es el método preferido y proporciona más contexto, que incluye:

  • Datos de diagnóstico mejorados
  • Integración del modo de solo informe
  • Compatibilidad con Graph API
  • Uso de más atributos de acceso condicional en la directiva

Antes de habilitar directivas de corrección, es posible que las organizaciones quieran investigar y corregir los riesgos activos.

Riesgos del usuario con acceso condicional

  1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.
  2. Vaya a Azure Active Directory > Seguridad > Acceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, seleccione Usuarios y grupos.
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.
  6. En Aplicaciones en la nube o acciones > Incluir, seleccione Todas las aplicaciones en la nube.
  7. En Condiciones > Riesgo de usuario, establezca Configurar en .
    1. En Configure los niveles de riesgo de usuario necesarios para aplicar la directiva, seleccione Alto.
    2. Seleccione Listo.
  8. En Controles de acceso > Conceder.
    1. Seleccione Conceder acceso, Requerir cambio de contraseña.
    2. Elija Seleccionar.
  9. Confirme la configuración y establezca Habilitar directivas en Activado.
  10. Seleccione Crear para crear la directiva.

Riesgos del inicio de sesión con acceso condicional

  1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.
  2. Vaya a Azure Active Directory > Seguridad > Acceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, seleccione Usuarios y grupos.
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.
  6. En Aplicaciones en la nube o acciones > Incluir, seleccione Todas las aplicaciones en la nube.
  7. En Condiciones > Riesgo de inicio de sesión, establezca Configurar en . En Seleccionar el nivel de riesgo de inicio de sesión, esta directiva se aplicará a
    1. Seleccione Alto y Medio.
    2. Seleccione Listo.
  8. En Controles de acceso > Conceder.
    1. Seleccione Conceder acceso, Requerir autenticación multifactor.
    2. Elija Seleccionar.
  9. Confirme la configuración y establezca Habilitar directiva en Activado.
  10. Seleccione Crear para crear la directiva.

Pasos siguientes