Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID agrega y mejora las características de seguridad para proteger a los clientes frente a ataques crecientes. A medida que surgen nuevos vectores de ataque, Microsoft Entra ID pueden responder habilitando la protección de forma predeterminada para ayudar a los clientes a mantenerse al día de las amenazas de seguridad emergentes.
Por ejemplo, en respuesta al aumento de los ataques de fatiga de MFA, Microsoft recomienda las formas recomendadas para que los clientes defiendan a los usuarios. Para evitar aprobaciones accidentales de autenticación multifactor (MFA), habilite la coincidencia de números. Como resultado, el comportamiento predeterminado de la coincidencia de números es explícitamente Enabled para todos los usuarios de Microsoft Authenticator. Puede obtener más información sobre las nuevas características de seguridad, como la coincidencia de números en la entrada de blog Características de seguridad avanzadas Microsoft Authenticator ahora están disponibles con carácter general!.
Hay dos maneras de habilitar una característica de seguridad de forma predeterminada:
- Una vez publicada una característica de seguridad, los clientes pueden usar el Centro de administración de Microsoft Entra o Graph API para probar e implementar el cambio según su propia programación. Para ayudar a defenderse contra nuevos vectores de ataque, Microsoft Entra ID puede habilitar la protección de forma predeterminada para todos los inquilinos en una fecha determinada, sin opción para deshabilitar. Microsoft programa la protección predeterminada de antemano para dar a los clientes tiempo de preparación. Los clientes no pueden rechazar si Microsoft programa la protección de forma predeterminada.
- La protección puede ser Microsoft managed, lo que significa que Microsoft Entra ID puede habilitar o deshabilitar la protección en función del panorama actual de amenazas de seguridad. Los clientes pueden elegir si se permite a Microsoft administrar la protección. Pueden cambiar de Microsoft managed a Enabled o Disabled en cualquier momento.
Nota
Solo una característica de seguridad crítica tendrá habilitada la protección de forma predeterminada.
Protección predeterminada habilitada por el identificador de Entra de Microsoft
La verificación numérica es un buen ejemplo de protección de un método de autenticación que actualmente es opcional para las notificaciones push en Microsoft Authenticator en todos los clientes. Los clientes pueden optar por habilitar la coincidencia de números para las notificaciones push en Microsoft Authenticator para usuarios y grupos, o bien podrían dejarla deshabilitada. La coincidencia de números ya es el comportamiento predeterminado para las notificaciones sin contraseña en Microsoft Authenticator y los usuarios no pueden optar por no participar.
A medida que aumentan los ataques de fatiga de la autenticación multifactor (MFA), la coincidencia numérica es fundamental para la seguridad del inicio de sesión. Como resultado, Microsoft cambiará el comportamiento predeterminado de las notificaciones push en Microsoft Authenticator.
Configuraciones administradas por Microsoft
Además de configurar la directiva de métodos de autenticación para que esté habilitada o deshabilitada, los administradores de TI pueden configurar algunas opciones en esta directiva para que sean administradas por Microsoft. Una configuración Microsoft managed permite Microsoft Entra ID habilitar o deshabilitar automáticamente la característica.
La opción de permitir que Microsoft Entra ID administre la configuración es una manera cómoda de que una organización permita que Microsoft administre los valores predeterminados de características. Las organizaciones pueden mejorar su posición de seguridad confiando en Microsoft para determinar cuándo se debe habilitar una característica. Al configurar un valor como administrado por Microsoft (denominado predeterminado en Graph APIs), los administradores de TI pueden confiar en que Microsoft habilitará una característica de seguridad que no hayan deshabilitado explícitamente.
Por ejemplo, un administrador puede habilitar ubicación y nombre de aplicación en las notificaciones push para proporcionar a los usuarios más contexto cuando aprueban solicitudes de MFA con Microsoft Authenticator. El contexto adicional también puede deshabilitarse explícitamente, o establecerse como administrado por Microsoft. En la actualidad, la configuración administrada por Microsoft para la ubicación y el nombre de la aplicación está deshabilitada, lo que deshabilita efectivamente la opción para cualquier entorno en el que un administrador decida permitir que Microsoft Entra ID administre la configuración.
A medida que cambie el panorama de amenazas de seguridad con el tiempo, Microsoft puede cambiar la configuración administrada por Microsoft para la ubicación y el nombre de la aplicación a Habilitado. Para los clientes que quieran confiar en Microsoft para mejorar su postura de seguridad, configurar las funciones de seguridad como Administrado por Microsoft es una forma sencilla de mantenerse un paso por delante de las amenazas de seguridad. Microsoft determina la mejor configuración en función del panorama actual de amenazas.
En la tabla siguiente se enumeran cada configuración que se puede establecer en Microsoft administrado y si esa configuración está habilitada o deshabilitada de forma predeterminada.
| Ajuste | Configuración |
|---|---|
| Campaña de registro | Habilitado |
| Ubicación de en las notificaciones de Microsoft Authenticator | Deshabilitado |
| Nombre de la aplicación en las notificaciones de Microsoft Authenticator | Deshabilitado |
| Autenticación preferida por el sistema | Habilitado |
| Authenticator Lite | Habilitado |
| Notificar actividad sospechosa | Deshabilitado |
campaña de registro administrada por Microsoft
Cuando la campaña de registro se establece en administrada por Microsoft, Microsoft determina la configuración óptima de la campaña para su inquilino en función de las prácticas recomendadas. Microsoft evalúa la configuración del arrendatario y los usuarios incluidos en el ámbito para determinar cuál es el método de autenticación objetivo:
- Si en el tenant hay usuarios incluidos en la campaña de registro que están en un perfil de claves de acceso (FIDO2) que permite todos los tipos de claves de acceso (tanto sincronizadas como vinculadas al dispositivo), el método seleccionado pasa a ser claves de acceso.
- Si ningún usuario cumple esos criterios, el método de destino permanece como Microsoft Authenticator.
Para los inquilinos con las claves de acceso (FIDO2) habilitadas y una campaña de registro activa configurada como administrada por Microsoft, la configuración de la campaña se va actualizando gradualmente a medida que Microsoft aplica los cambios a los inquilinos.
Nota
Una campaña de registro solo puede tener como destino un método de autenticación a la vez. Un inquilino no puede ejecutar campañas para Microsoft Authenticator y claves de acceso simultáneamente.
Se actualizan los siguientes ajustes de la campaña de registro administrada por Microsoft:
| Ajuste | Valor anterior | Nuevo valor |
|---|---|---|
| Método de autenticación de destino | Microsoft Authenticator | Claves de paso (FIDO2) |
| Días permitidos para posponer | 3 días | 1 día (ya no configurable) |
| Número limitado de snoozes | Habilitado | Deshabilitado (ya no configurable) |
| Segmentación de usuarios | Usuarios de llamadas de voz o mensajes de texto | Todos los usuarios compatibles con autenticación multifactor (MFA) |
Después de que estos cambios surtan efecto, los usuarios de destino reciben nudges de registro de clave de acceso durante el inicio de sesión después de completar la autenticación multifactor. Si el inquilino especifica AAGUID específicos (GUID de atestación del autenticador) en la directiva de claves de acceso (FIDO2), el método de autenticación especificado no se actualizará a claves de acceso en el modo administrado por Microsoft. Todavía puede cambiar a Habilitado y configurar el destino de la clave de acceso manualmente.
Nota
Si la configuración administrada Microsoft no satisface las necesidades de la organización, puede cambiar el estado de la campaña de registro a Enabled para configurar todas las opciones manualmente o Disabled para desactivar la campaña. Por ejemplo, si quiere habilitar las claves de acceso, pero no quiere que la campaña de registro se dirija a las claves de acceso, cambie el estado a Enabled y seleccione Microsoft Authenticator como destino. Para obtener más información, consulte Ejecutar una campaña de registro.
A medida que cambian los vectores de amenazas, Microsoft Entra ID puede anunciar la protección predeterminada para una configuración administrada por Microsoft en las notas de la versión y en foros de lectura habitual, como Tech Community.
Para obtener más información, consulte la entrada del blog Es hora de dejar de usar el teléfono para la autenticación, que explica por qué conviene dejar de usar los mensajes de texto y las llamadas de voz. Las campañas de registro administradas de Microsoft ayudan a los usuarios a configurar métodos de autenticación modernos, incluidos Microsoft Authenticator y las claves de acceso.
Contenido relacionado
- Métodos de autenticación en Microsoft Entra ID - Microsoft Authenticator
- Habilitación de claves de paso (FIDO2)