Usuarios de riesgo sin exigencia

Protección de Microsoft Entra ID (anteriormente Protección de identidad) identifica a usuarios de riesgo en Entra ID y requiere licencias de Microsoft Entra ID P2 para funcionar. Como se explica en la documentación de Microsoft sobre las detecciones de riesgos, hay dos tipos de detecciones de riesgos:

• Detecciones de riesgos de inicio de sesión, que se abordan en el IoE dedicado “MFA no obligatoria para inicios de sesión de riesgo”
• Detecciones de riesgos de usuario

Un usuario puede considerarse que está en riesgo cuando:

• Tiene uno o varios inicios de sesión de riesgo.
• Tienen uno o varios riesgos detectados en su cuenta, como Credenciales con fugas o Actividad anómala del usuario.

Hay tres niveles de riesgo:

• Alto
• Medio
• Bajo

Use directivas de acceso condicional para exigir medidas de seguridad cuando el sistema identifique que un usuario está en riesgo.

La política MS.AAD.2.1v1 de CISA “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés), exigida por BOD 25-01, establece que los usuarios que se detecten como de alto riesgo DEBEN bloquearse. Si se siguen las pautas de CISA, este IoE se asegura de que al menos una política de acceso condicional incluya la siguiente configuración:

• La opción “Usuarios” establecida para incluir “Todos los usuarios”.
• La opción “Recursos de destino” establecida en “Todos los recursos”.
• La opción “Condiciones > Riesgo del usuario” establecida en “Sí” con el nivel de riesgo “Alto” seleccionado.
• La opción “Conceder” establecida en “Bloquear acceso”.
• La opción “Habilitar directiva” establecida en “Activado” (no en “Desactivado” ni “Solo informe”).

En cambio, si elige seguir la recomendación de Microsoft, este IoE se asegura de que al menos una política de acceso condicional incluya la siguiente configuración:

• La opción “Usuarios” establecida para incluir “Todos los usuarios”.
• La opción “Recursos de destino” establecida en “Todos los recursos”.
• La opción “Condiciones > Riesgo del usuario” establecida en “Sí” con el nivel de riesgo “Alto” seleccionado.
• La opción “Conceder” establecida en “Requerir cambio de contraseña”.
• La opción “Habilitar directiva” establecida en “Activado” (no en “Desactivado” ni “Solo informes”).

Debe haber una directiva de acceso condicional (CAP) habilitada para el inquilino con el fin de protegerlo frente a todos los usuarios identificados como de alto riesgo.

Tenable recomienda bloquear solo a los usuarios con un nivel de riesgo alto para minimizar las interrupciones en el negocio. CISA y Microsoft tienen opiniones distintas sobre cómo prevenir este riesgo:

• En la política MS.AAD.2.1v1 de CISA “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés), exigida por BOD 25-01, se recomienda bloquear por completo a los usuarios de riesgo.
• Por el contrario, Microsoft recomienda exigir un cambio de contraseña para activar la autocorrección.

Tenable recomienda seguir las pautas de CISA, ya que es el enfoque más seguro. Sin embargo, dado que también son las más restrictivas, puede cambiar fácilmente a la recomendación de Microsoft con la opción proporcionada en el IoE.

Para ello, puede crear una CAP de las siguientes maneras:

• Modificar una CAP existente mediante la aplicación de las opciones que se especifican en la descripción de este IoE.
• Crear una CAP dedicada y configurarla según las especificaciones de la descripción del IoE.

Si sigue la recomendación de Microsoft en lugar de las pautas de CISA, también puede usar la plantilla de CAP “Requerir el cambio de contraseña para usuarios de alto riesgo” de Microsoft. Esta plantilla cumple con todos los criterios descritos en este IoE cuando se habilita la opción de seguir la recomendación de Microsoft.

Nota: Tanto Microsoft como Tenable recomiendan que excluya ciertas cuentas de las directivas de acceso condicional para evitar el bloqueo de cuentas en todo el inquilino y efectos secundarios no deseados. Además, Tenable recomienda que siga la documentación de Microsoft “Planeamiento de la implementación del acceso condicional” para garantizar una planificación y una gestión de cambios adecuadas, así como para mitigar el riesgo de quedar bloqueado. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la directiva, ya que no puede cumplir con la directiva de acceso condicional. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.

Configurar una CAP es fundamental para evitar una vulneración, pero no reemplaza una investigación forense del riesgo informado. Si tiene interés en obtener más información, Microsoft ofrece una guía de investigación.

Nombre: Usuarios de riesgo sin exigencia

Nombre en clave: RISKY-USERS-WITHOUT-ENFORCEMENT

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure