MFA no obligatoria para inicios de sesión de riesgo

HIGH

Descripción

La autenticación multifactor (MFA), anteriormente conocida como autenticación en dos fases (2FA), ofrece a las cuentas protección sólida contra las vulnerabilidades asociadas con contraseñas débiles o vulneradas. Siguiendo las prácticas recomendadas y los estándares del sector, es recomendable bloquear la autenticación o solicitar la MFA cuando el inicio de sesión de un usuario parezca de riesgo según los criterios de Protección de Microsoft Entra ID.

Cuando un atacante obtiene por cualquier medio la contraseña de un usuario, la MFA solicita un factor o paso adicional (como un código de una aplicación móvil que vence tras un plazo determinado, un token físico, un rasgo biométrico, etc.) para bloquear la autenticación.

Protección de Microsoft Entra ID, una funcionalidad que requiere licencias de Microsoft Entra ID P2, detecta inicios de sesión de riesgo dentro de Entra ID. Un riesgo de inicio de sesión representa la probabilidad de que una solicitud de autenticación determinada no provenga del propietario de la identidad autorizado, según una lista de detecciones. La detección de riesgos de inicio de sesión abarca 3 niveles:

  • Alto
  • Medio
  • Bajo

El uso de este nivel de riesgo de inicio de sesión puede desencadenar la autenticación multifactor (MFA) mediante dos funcionalidades de protección: directivas de acceso condicional y Microsoft Entra ID Protection. Tenable recomienda que se configure a través de una directiva de acceso condicional (CAP) debido a sus beneficios agregados, tales como datos de diagnóstico mejorados, integración perfecta con el modo de solo informes, compatibilidad con Graph API y la capacidad de incorporar más atributos de acceso condicional, como la frecuencia de inicio de sesión, a la política. Las directivas de riesgo heredadas configuradas en Microsoft Entra ID Protectionse retirarán el 1 de octubre de 2026 y deben migrarse a directivas de acceso condicional. Por lo tanto, este IoE solo comprueba las directivas de acceso condicional.

Según esta recomendación, el IoE garantiza que haya al menos una directiva de acceso condicional (o dos independientes) con la siguiente configuración:

  • La opción “Usuarios” establecida para incluir “Todos los usuarios”.
  • La opción “Recursos de destino” establecida en “Todos los recursos”.
  • La opción “Condiciones > Aplicaciones cliente” establecida en “No” (“No configurado”). Como alternativa, establezca la opción en “Sí” con estas cuatro opciones seleccionadas: “Exploradores”, “Aplicaciones móviles y clientes de escritorio”, “Clientes de Exchange ActiveSync” y “Otros clientes”.
  • La opción “Condiciones > Riesgo de inicio de sesión” establecida en “Sí” con los niveles de riesgo “Alto” y “Medio” seleccionados. Como alternativa, configure dos políticas independientes, una para el riesgo “Alto” y otra para el riesgo “Medio”, para lograr el mismo efecto.
  • La opción “Conceder” establecida en “Requerir autenticación multifactor” o “Requerir intensidad de autenticación” con uno de los siguientes valores: “Autenticación multifactor”, “MFA sin contraseña” o “MFA resistente al phishing”.
  • La opción “Sesión -> Frecuencia de inicio de sesión” establecida en “Siempre”.
  • Por último, establezca “Habilitar directiva” en “Activado” (no en “Desactivado” ni “Solo informe”).

Solución

Debe existir una directiva de acceso condicional (CAP) habilitada para el inquilino que cubra a todos los usuarios y solicite la MFA en situaciones de inicio de sesión de riesgo.

Para ello, puede crear una CAP de las siguientes maneras:

  • Configurar esta condición en una CAP existente mediante “Condiciones > Riesgo de inicio de sesión” como se indica en esta guía de Microsoft y aplicar la configuración que se especifica en la descripción de este indicador de exposición.
  • Crear una CAP nueva y configurarla como se indica en la descripción del IoE.
  • Crear una nueva CAP dedicada mediante la plantilla “Requerir autenticación multifactor para un riesgo de inicio de sesión elevado” de Microsoft. Esta plantilla cumple con todos los criterios que exige este indicador de exposición.

Nota: Cuando la directiva de acceso condicional de riesgo de inicio de sesión está habilitada, bloquea automáticamente las autenticaciones de riesgo para los usuarios que aún no se hayan registrado en la autenticación multifactor (MFA) de Microsoft Entra, sin ofrecer el registro en la MFA en ese momento. Para evitar bloquear a los usuarios, asegúrese de que completen el registro en la MFA con antelación. Además, consulte los IoE relacionados, “MFA faltante para cuenta sin privilegios” y “MFA faltante para cuenta privilegiada”.

Aunque puede configurar directamente la directiva de riesgo de inicio de sesión en Microsoft Entra ID Protection, Microsoft considera que esta funcionalidad es heredada y planea retirarla el 1 de octubre de 2026. Microsoft ya está instando a los administradores a migrar las directivas de riesgo al acceso condicional. Por lo tanto, Tenable no recomienda utilizar directivas de riesgo heredadas en Microsoft Entra ID Protection, y este IoE lo ignora.

Nota: Tanto Microsoft como Tenable recomiendan que excluya ciertas cuentas de las directivas de acceso condicional para evitar el bloqueo de cuentas en todo el inquilino y efectos secundarios no deseados. Además, Tenable recomienda que siga la documentación de Microsoft “Planeamiento de la implementación del acceso condicional” para garantizar una planificación y una gestión de cambios adecuadas, así como para mitigar el riesgo de quedar bloqueado. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la directiva, ya que no puede cumplir con la directiva de acceso condicional. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.