MFA faltante para cuenta sin privilegios

Este IoE no puede funcionar sin una licencia de Microsoft Entra ID P1 o P2 debido a restricciones de disponibilidad de datos por parte de Microsoft. Por lo tanto, no devolverá ningún resultado acerca de los inquilinos de Entra ID gratis.

La autenticación multifactor (MFA), conocida anteriormente como autenticación en dos fases (2FA), ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, incluso para las cuentas sin privilegios. Cuando un atacante obtiene por cualquier método la contraseña de un usuario, la MFA solicita un factor o paso adicional (como un código de una aplicación móvil que vence tras un plazo determinado, un token físico, un rasgo biométrico, etc.) para bloquear la autenticación.

Este indicador de exposición le avisa cuando una cuenta no tiene registrado ningún método de MFA o si se exige la MFA sin registrar ningún método, lo que puede permitir que los atacantes que cuenten con una contraseña registren sus propios métodos de MFA y generen un riesgo de seguridad. Sin embargo, este indicador de exposición no puede informar si Microsoft Entra ID exige la MFA o no, ya que las directivas de acceso condicional pueden exigir la MFA según criterios dinámicos.

También puede usar las características “Actividad de los métodos de autenticación” e “Informes de MFA” en Entra ID.

Consulte también el indicador de exposición relacionado, “MFA faltante para cuenta privilegiada”, si se trata de cuentas con privilegios.

Los usuarios deshabilitados se ignoran, ya que los atacantes no pueden aprovecharse de ellos de inmediato y también debido a una limitación de Microsoft Graph API, que informa un estado de MFA incorrecto para los usuarios deshabilitados.

Todos los usuarios, incluso aquellos sin privilegios, que se indiquen deberán registrar y aplicar métodos de MFA para aumentar la protección frente a ataques a contraseñas.

En el caso de Microsoft Entra ID, Microsoft ofrece una plantilla de directiva de acceso condicional denominada Require MFA for all users. Esta directiva solicita a los usuarios que registren un método de MFA la primera vez que se autentican; a partir de ese momento, la MFA se hace obligatoria. Se recomienda seguir la documentación de Microsoft “Planificación de la implementación del acceso condicional”. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la directiva, ya que no puede cumplir con la directiva de acceso condicional. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.

Obtenga más información sobre la MFA de Microsoft Entra en esta sección de la documentación de autenticación de Microsoft Entra (consulte también las páginas relacionadas).

Nombre: MFA faltante para cuenta sin privilegios

Nombre en clave: MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure