Idioma:
Protección de Microsoft Entra ID (anteriormente Protección de identidad) identifica a usuarios de riesgo en Entra ID y requiere licencias de Microsoft Entra ID P2 para funcionar. Como se explica en la documentación de Microsoft sobre las detecciones de riesgos, hay dos tipos de detecciones de riesgos:
Un usuario puede considerarse que está en riesgo cuando:
Hay tres niveles de riesgo:
Use directivas de acceso condicional para exigir medidas de seguridad cuando el sistema identifique que un usuario está en riesgo.
La política MS.AAD.2.1v1 de CISA “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés), exigida por BOD 25-01, establece que los usuarios que se detecten como de alto riesgo DEBEN bloquearse. Si se siguen las pautas de CISA, este IoE se asegura de que al menos una política de acceso condicional incluya la siguiente configuración:
En cambio, si elige seguir la recomendación de Microsoft, este IoE se asegura de que al menos una política de acceso condicional incluya la siguiente configuración:
Debe haber una directiva de acceso condicional (CAP) habilitada para el inquilino con el fin de protegerlo frente a todos los usuarios identificados como de alto riesgo.
Tenable recomienda bloquear solo a los usuarios con un nivel de riesgo alto para minimizar las interrupciones en el negocio. CISA y Microsoft tienen opiniones distintas sobre cómo prevenir este riesgo:
Tenable recomienda seguir las pautas de CISA, ya que es el enfoque más seguro. Sin embargo, dado que también son las más restrictivas, puede cambiar fácilmente a la recomendación de Microsoft con la opción proporcionada en el IoE.
Para ello, puede crear una CAP de las siguientes maneras:
Si sigue la recomendación de Microsoft en lugar de las pautas de CISA, también puede usar la plantilla de CAP “Requerir el cambio de contraseña para usuarios de alto riesgo” de Microsoft. Esta plantilla cumple con todos los criterios descritos en este IoE cuando se habilita la opción de seguir la recomendación de Microsoft.
Nota: Tanto Microsoft como Tenable recomiendan que excluya ciertas cuentas de las directivas de acceso condicional para evitar el bloqueo de cuentas en todo el inquilino y efectos secundarios no deseados. Además, Tenable recomienda que siga la documentación de Microsoft “Planeamiento de la implementación del acceso condicional” para garantizar una planificación y una gestión de cambios adecuadas, así como para mitigar el riesgo de quedar bloqueado. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la directiva, ya que no puede cumplir con la directiva de acceso condicional. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.
Configurar una CAP es fundamental para evitar una vulneración, pero no reemplaza una investigación forense del riesgo informado. Si tiene interés en obtener más información, Microsoft ofrece una guía de investigación.
Nombre: Usuarios de riesgo sin exigencia
Nombre en clave: RISKY-USERS-WITHOUT-ENFORCEMENT
Gravedad: Medium
Tipo: Microsoft Entra ID Indicator of Exposure