MFA faltante para cuenta privilegiada

Este IoE no puede funcionar sin una licencia de Microsoft Entra ID P1 o P2 debido a restricciones de disponibilidad de datos por parte de Microsoft. Por lo tanto, no devolverá ningún resultado acerca de los inquilinos de Entra ID gratis.

La autenticación multifactor (MFA), conocida anteriormente como autenticación en dos fases (2FA), ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, en especial cuando se trata de cuentas con privilegios. Cuando un atacante obtiene por cualquier método la contraseña de un usuario privilegiado, la MFA solicita un factor o paso adicional (como un código de una aplicación móvil que vence tras un plazo determinado, un token físico, un rasgo biométrico, etc.) para bloquear la autenticación.

Este indicador de exposición le avisa cuando una cuenta no tiene registrado ningún método de MFA o si se exige la MFA sin registrar ningún método, lo que puede permitir que los atacantes que cuenten con una contraseña registren sus propios métodos de MFA y generen un riesgo de seguridad. Sin embargo, este indicador de exposición no puede informar si Microsoft Entra ID exige la MFA o no, ya que las directivas de acceso condicional pueden exigir la MFA según criterios dinámicos.

También puede usar las características “Actividad de los métodos de autenticación” e “Informes de MFA” en Entra ID.

Consulte también el indicador de exposición relacionado, “MFA faltante para cuenta sin privilegios”, si se trata de cuentas sin privilegios.

Los usuarios deshabilitados se ignoran, ya que los atacantes no pueden aprovecharse de ellos de inmediato y también debido a una limitación de Microsoft Graph API, que informa un estado de MFA incorrecto para los usuarios deshabilitados.

Todos los usuarios privilegiados informados deben registrar métodos de MFA y exigir la MFA para aumentar su protección contra ataques a contraseñas según lo recomendado por los “Procedimientos recomendados para los roles de Microsoft Entra” de Microsoft: “3. Activación de la autenticación multifactor para todas las cuentas de administrador. Según nuestros estudios, es prácticamente improbable que una cuenta se vea comprometida si se usa la autenticación multifactor (MFA)”.

En el caso de Microsoft Entra ID, Microsoft ofrece una plantilla de directiva de acceso condicional denominada Require MFA for administrators. Esta directiva solicita a los usuarios que registren un método de MFA la primera vez que se autentican; a partir de ese momento, la MFA se hace obligatoria. Se recomienda seguir la documentación de Microsoft “Planificación de la implementación del acceso condicional”. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la directiva, ya que no puede cumplir con la directiva de acceso condicional. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.

Tenga en cuenta que debería planificar contar con una o dos cuentas de emergencia con privilegios, que tengan métodos de MFA distintos que las cuentas administrativas normales, según se recomienda en la documentación de Microsoft “Administración de cuentas de acceso de emergencia en Microsoft Entra ID”.

Obtenga más información sobre la MFA de Microsoft Entra en esta sección de la documentación de autenticación de Microsoft Entra (consulte también las páginas relacionadas).

Nombre: MFA faltante para cuenta privilegiada

Nombre en clave: MISSING-MFA-FOR-PRIVILEGED-ACCOUNT

Gravedad: High

Tipo: Microsoft Entra ID Indicator of Exposure