Aumento de la resistencia con la administración de credenciales
Cuando se presenta una credencial para Microsoft Entra ID en una solicitud de token, puede haber varias dependencias que deben estar disponibles para la validación. El primer factor de autenticación se basa en la autenticación de Microsoft Entra y, en algunos casos, en dependencias externas (que no son de Entra ID), como en la infraestructura local. Para más información sobre las arquitecturas de autenticación híbrida, consulte Aumento de la resistencia en la infraestructura híbrida.
La estrategia de credenciales más segura y resistente consiste en usar la autenticación sin contraseña. Windows Hello para empresas y claves de seguridad de llaves de acceso (FIDO 2.0) tienen menos dependencias que otros métodos de MFA. Para los usuarios de macOS, los clientes pueden habilitar credenciales de plataforma para macOS. Al implementar estos métodos, los usuarios pueden realizar una autenticación multifactor (MFA) segura sin contraseña y resistente a la suplantación de identidad.
Sugerencia
Para obtener una serie de vídeos en profundidad sobre la implementación de estos métodos de autenticación, consulte Autenticación resistente a suplantación de identidad en Microsoft Entra ID
Si implementa un segundo factor, las dependencias del segundo factor se agregan a las de la primera. Por ejemplo, si el primer factor es mediante autenticación transferida (PTA) y el segundo factor es SMS, las dependencias son las siguientes.
- Servicios de autenticación de Microsoft Entra
- Servicios de autenticación multifactor de Microsoft Entra
- Infraestructura local
- Operador telefónico
- Dispositivo del usuario (no ilustrado)
La estrategia de credenciales debe tener en cuenta las dependencias de cada tipo de autenticación y aprovisionar métodos que eviten un único punto de error.
Dado que los métodos de autenticación tienen diferentes dependencias, es una buena idea permitir que los usuarios se registren para tantas opciones de segundo factor como sea posible. Asegúrese de incluir los segundos factores con diferentes dependencias, si es posible. Por ejemplo, las llamadas de voz y los SMS como segundos factores comparten las mismas dependencias, por lo que tenerlos como únicas opciones no mitiga el riesgo.
En el caso de los segundos factores, la aplicación Microsoft Authenticator u otras aplicaciones de autenticador que usan el código de acceso de un solo uso (TOTP) de duración definida o los tokens de hardware OAuth tienen el menor número de dependencias y, por lo tanto, son más resistentes.
Detalles adicionales sobre las dependencias externas (no de Entra)
| Método de autenticación | Dependencia externa (no de Entra) | Más Información |
|---|---|---|
| Autenticación basada en certificados (CBA) | En la mayoría de los casos (dependiendo de la configuración), CBA requerirá una comprobación de revocación. Esto agrega una dependencia externa en el punto de distribución CRL (CDP) | Descripción del proceso de revocación de certificados |
| Autenticación transferida (PTA) | PTA usa agentes locales para procesar la autenticación de contraseñas. | ¿Cómo funciona la autenticación de tránsito de Microsoft Entra? |
| Federación | Los servidores de federación deben estar en línea y disponibles para procesar el intento de autenticación | Implementación de AD FS en Azure de alta disponibilidad entre regiones geográficas con Azure Traffic Manager |
| Métodos de autenticación externa (EAM) | EAM proporciona una manera para que los clientes usen proveedores de MFA externos. | Administración de un método de autenticación externo en Microsoft Entra ID (versión preliminar) |
¿Cómo ayudan varias credenciales a la resistencia?
El aprovisionamiento de varios tipos de credenciales ofrece a los usuarios opciones que se adaptan a las preferencias y restricciones de sus entornos. Como resultado, la autenticación interactiva en la que se solicita a los usuarios la autenticación multifactor es más resistente a las dependencias específicas que no están disponibles en el momento de la solicitud. Puede optimizar los mensajes de reautenticación para Multi-Factor Authentication.
Además de la resistencia de usuario individual descrita anteriormente, las empresas deben planear las contingencias para interrupciones a gran escala, como errores operativos que introducen una configuración incorrectamente, un desastre natural o una interrupción de recursos de toda la empresa en un servicio de federación local (especialmente cuando se usa para la autenticación multifactor).
¿Cómo implementar credenciales resistentes?
- Implementar credenciales sin contraseña. Prefiere métodos resistentes a la suplantación de identidad (como Windows Hello para empresas, claves de paso (claves de acceso de autenticación de inicio de sesión y claves de seguridad FIDO2) y autenticación basada en certificados (CBA) para aumentar la seguridad a la vez que se reducen las dependencias.
- Implemente la aplicación Microsoft Authenticator como segundo factor.
- Migre de la federación a la autenticación en la nube para quitar la dependencia del proveedor de identidades federado.
- Active la sincronización de hash de contraseña para las cuentas híbridas que se sincronizan desde Windows Server Active Directory. Esta opción se puede habilitar junto con servicios de federación como Servicios de federación de Active Directory (AD FS) y proporciona una reserva en caso de que se produzca un error en el servicio de federación.
- Analice el uso de métodos de autenticación multifactor para mejorar la experiencia del usuario.
- Implemente una estrategia de control de acceso resistente
Pasos siguientes
Recursos de resistencia para administradores y arquitectos
- Aumento de la resistencia con estados de dispositivos
- Aumento de la resistencia mediante la evaluación continua de acceso (CAE)
- Aumento de la resistencia en la autenticación de usuario externo
- Aumento de la resistencia en la autenticación híbrida
- Aumento de la resistencia en el acceso a la aplicación con Application Proxy