Idioma:
La autenticación multifactor (MFA), anteriormente conocida como autenticación en dos fases (2FA), ofrece a las cuentas protección sólida contra las vulnerabilidades asociadas con contraseñas débiles o vulneradas. Siguiendo las prácticas recomendadas y los estándares del sector, es recomendable bloquear la autenticación o solicitar la MFA cuando el inicio de sesión de un usuario parezca de riesgo según los criterios de Protección de Microsoft Entra ID.
Cuando un atacante obtiene por cualquier medio la contraseña de un usuario, la MFA solicita un factor o paso adicional (como un código de una aplicación móvil que vence tras un plazo determinado, un token físico, un rasgo biométrico, etc.) para bloquear la autenticación.
Protección de Microsoft Entra ID, una funcionalidad que requiere licencias de Microsoft Entra ID P2, detecta inicios de sesión de riesgo dentro de Entra ID. Un riesgo de inicio de sesión representa la probabilidad de que una solicitud de autenticación determinada no provenga del propietario de la identidad autorizado, según una lista de detecciones. La detección de riesgos de inicio de sesión abarca 3 niveles:
El uso de este nivel de riesgo de inicio de sesión puede desencadenar la autenticación multifactor (MFA) mediante dos funcionalidades de protección: directivas de acceso condicional y Microsoft Entra ID Protection. Tenable recomienda que se configure a través de una directiva de acceso condicional (CAP) debido a sus beneficios agregados, tales como datos de diagnóstico mejorados, integración perfecta con el modo de solo informes, compatibilidad con Graph API y la capacidad de incorporar más atributos de acceso condicional, como la frecuencia de inicio de sesión, a la política. Las directivas de riesgo heredadas configuradas en Microsoft Entra ID Protectionse retirarán el 1 de octubre de 2026 y deben migrarse a directivas de acceso condicional. Por lo tanto, este IoE solo comprueba las directivas de acceso condicional.
Según esta recomendación, el IoE garantiza que haya al menos una directiva de acceso condicional (o dos independientes) con la siguiente configuración:
Debe existir una directiva de acceso condicional (CAP) habilitada para el inquilino que cubra a todos los usuarios y solicite la MFA en situaciones de inicio de sesión de riesgo.
Para ello, puede crear una CAP de las siguientes maneras:
Nota: Cuando la directiva de acceso condicional de riesgo de inicio de sesión está habilitada, bloquea automáticamente las autenticaciones de riesgo para los usuarios que aún no se hayan registrado en la autenticación multifactor (MFA) de Microsoft Entra, sin ofrecer el registro en la MFA en ese momento. Para evitar bloquear a los usuarios, asegúrese de que completen el registro en la MFA con antelación. Además, consulte los IoE relacionados, “MFA faltante para cuenta sin privilegios” y “MFA faltante para cuenta privilegiada”.
Aunque puede configurar directamente la directiva de riesgo de inicio de sesión en Microsoft Entra ID Protection, Microsoft considera que esta funcionalidad es heredada y planea retirarla el 1 de octubre de 2026. Microsoft ya está instando a los administradores a migrar las directivas de riesgo al acceso condicional. Por lo tanto, Tenable no recomienda utilizar directivas de riesgo heredadas en Microsoft Entra ID Protection, y este IoE lo ignora.
Nota: Tanto Microsoft como Tenable recomiendan que excluya ciertas cuentas de las directivas de acceso condicional para evitar el bloqueo de cuentas en todo el inquilino y efectos secundarios no deseados. Además, Tenable recomienda que siga la documentación de Microsoft “Planeamiento de la implementación del acceso condicional” para garantizar una planificación y una gestión de cambios adecuadas, así como para mitigar el riesgo de quedar bloqueado. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la directiva, ya que no puede cumplir con la directiva de acceso condicional. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.
Nombre: MFA no obligatoria para inicios de sesión de riesgo
Nombre en clave: MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS
Gravedad: High
Tipo: Microsoft Entra ID Indicator of Exposure