Migración de los métodos de autenticación sin completar

Anteriormente, la configuración de autenticación en Microsoft Entra ID se dividía en políticas independientes para la autenticación multifactor (MFA) y el autoservicio de restablecimiento de contraseña (SSPR). Este enfoque fragmentado dificultaba la administración de los métodos de autenticación de manera coherente, aumentaba la complejidad administrativa y presentaba riesgos de seguridad potenciales debido a la falta de alineación de las políticas.

De hecho, esas políticas heredadas no sincronizan la configuración; es decir, un método de autenticación podría estar habilitado en una política, pero deshabilitado en otra (el sistema empieza comprobando la política de MFA y, luego, la política de SSPR). Esta falta de sincronización puede llevar a situaciones en las que se conceda acceso a los usuarios por error a través de métodos obsoletos o menos seguros.

Además, a diferencia de la política “Métodos de autenticación”, las políticas heredadas no admiten la orientación basada en grupos ni las opciones de autenticación segura más recientes, como el Pase de acceso temporal y las claves de seguridad FIDO2. Esto limita la capacidad de aplicar distintos métodos a grupos de usuarios específicos y retrasa la adopción de la autenticación segura y sin contraseña, lo que deja a las organizaciones más expuestas al phishing y al robo de credenciales.

La política MS.AAD.3.4v1 de CISA “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés), exigida por BOD 25-01, requiere que la funcionalidad de migración de la gestión de los métodos de autenticación se configure en Migration Complete. En Configuración de Microsoft Entra para aumentar la seguridad, Microsoft también recomienda que se migre desde políticas heredadas de MFA y autoservicio de restablecimiento de contraseña (SSPR).

Para garantizar una administración coherente y segura de los métodos de autenticación, Microsoft recomienda migrar todas las opciones de MFA y SSPR heredadas a la política “Métodos de autenticación” para admitir controles más detallados, opciones de autenticación modernas y opciones centralizadas. Puede migrar con un asistente automatizado en el Centro de administración de Microsoft Entra o manualmente para los flujos de trabajo de migración personalizados.

El proceso de migración audita la configuración actual, asocia métodos heredados con equivalentes actualizados, configura el acceso basado en grupos y actualiza los parámetros del método para el inicio de sesión y el restablecimiento de contraseñas. Después de la migración, valide la nueva configuración y deshabilite los métodos correspondientes en las políticas heredadas. Esto elimina la ambigüedad e impide el acceso no deseado a través de políticas obsoletas.

Nombre: Migración de los métodos de autenticación sin completar

Nombre en clave: AUTHENTICATION-METHODS-MIGRATION-NOT-COMPLETE

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure