Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los administradores también pueden crear hasta 15 de sus propios puntos fuertes de autenticación personalizados para satisfacer exactamente sus requisitos. Una seguridad de autenticación personalizada puede contener cualquiera de las combinaciones admitidas en la tabla anterior.
Inicie sesión en el Centro de administración de Microsoft Entra como administrador.
Vaya a Entra ID>Métodos de autenticación>Fortalezas de autenticación.
Seleccione New authentication strength (Nueva intensidad de autenticación).
Proporcione un nombre descriptivo para la nueva intensidad de autenticación.
Si quiere, puede incluir también una descripción.
Seleccione cualquiera de los métodos disponibles que quiera permitir.
Elija Siguiente y revise la configuración de la directiva.
Actualización y eliminación de puntos fuertes de autenticación personalizados
Puede editar una seguridad de autenticación personalizada. Si está referenciado por una política de acceso condicional, no se puede eliminar, y debe confirmar cualquier edición. Para comprobar si una directiva de acceso condicional hace referencia a una seguridad de autenticación, haga clic en la columna Directivas de acceso condicional .
Opciones avanzadas de clave de seguridad FIDO2
Puede restringir el uso de claves de seguridad FIDO2 en función de sus GUID de atestación de autenticación (AAGUID). Esta funcionalidad permite a los administradores requerir una clave de seguridad FIDO2 de un fabricante específico para acceder al recurso. Para requerir una clave de seguridad FIDO2 específica, cree primero una seguridad de autenticación personalizada. A continuación, seleccione Clave de seguridad FIDO2 y haga clic en Opciones avanzadas.
Junto a Claves FIDO2 permitidas , haga clic en +, copie el valor de AAGUID y haga clic en Guardar.
Opciones avanzadas de autenticación basada en certificados
En la directiva Métodos de autenticación, puede configurar si los certificados están enlazados en el sistema a niveles de protección de autenticación de un solo factor o multifactor, en función del emisor de certificados o del OID de directiva. También puede requerir certificados de autenticación de un solo factor o multifactor para recursos específicos, en función de la directiva de seguridad de autenticación de acceso condicional.
Mediante el uso de opciones avanzadas de seguridad de autenticación, puede requerir un emisor de certificado específico o un OID de directiva para restringir aún más los inicios de sesión a una aplicación.
Por ejemplo, Contoso emite tarjetas inteligentes a los empleados con tres tipos diferentes de certificados multifactor. Un certificado es para la autorización confidencial, otro para la autorización de secretos y un tercero es para la autorización de secretos principales. Cada uno se distingue por las propiedades del certificado, como el OID de la política o el emisor. Contoso quiere asegurarse de que solo los usuarios con el certificado multifactor adecuado puedan acceder a los datos de cada clasificación.
En las secciones siguientes se muestra cómo configurar opciones avanzadas para CBA mediante el Centro de administración de Microsoft Entra y Microsoft Graph.
Centro de administración de Microsoft Entra
Inicie sesión en el Centro de administración de Microsoft Entra como administrador.
Vaya a Entra ID>Métodos de autenticación>Fortalezas de autenticación.
Seleccione New authentication strength (Nueva intensidad de autenticación).
Proporcione un nombre descriptivo para la nueva intensidad de autenticación.
Si quiere, puede incluir también una descripción.
Debajo de Autenticación basada en certificados (ya sea de factor único o multifactor), haga clic en Opciones avanzadas.
Puede seleccionar emisores de certificados en el menú desplegable, escriba los emisores de certificados y escriba los OID de directiva permitidos. En el menú desplegable se enumeran todas las autoridades de certificación del cliente, independientemente de si son de un solo factor o multifactor. Los emisores de certificados se pueden configurar utilizando la opción desplegable Emisores de certificados de las autoridades de certificación de su tenant o mediante Otro emisor de certificados por SubjectkeyIdentifier para escenarios en los que el certificado que desea usar no está cargado en las autoridades de certificación de su tenant. Un ejemplo de este tipo son los escenarios de usuarios externos, donde el usuario podría autenticarse en su dominio principal y se aplica el nivel de autenticación en el dominio de recursos.
- Si se configuran ambos atributos, emisores de certificados y OID de directiva, hay una relación lógica de 'Y', y el usuario tiene que usar un certificado que tenga al menos uno de los emisores y uno de los OID de directiva de la lista para cumplir con el nivel de autenticación.
- Si solo se configura el atributo Emisor de certificados, el usuario debe usar un certificado que tenga al menos uno de los emisores para satisfacer la seguridad de autenticación .
- Si solo se configura el atributo OIDs de directiva, el usuario tiene que usar un certificado que tenga al menos uno de los OIDs de directiva para cumplir con la fuerza de autenticación.
Nota:
Se permite configurar un máximo de 5 emisores y 5 OID en la configuración de puntos fuertes de autenticación.
- Haga clic en Siguiente para revisar la configuración y, a continuación, haga clic en Crear.
Microsoft Graph
Para crear una nueva directiva de seguridad de autenticación de acceso condicional con combinación de certificadosConfiguration:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
Para agregar una nueva configuración de combinación a una directiva existente:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
Limitaciones
Opciones avanzadas de clave de seguridad FIDO2
- Opciones avanzadas de clave de seguridad FIDO2: no se admiten opciones avanzadas para usuarios externos con un inquilino principal que se encuentra en una nube de Microsoft diferente a la del inquilino de recursos.
Opciones avanzadas de autenticación basada en certificados
Solo se puede usar un certificado en cada sesión del explorador. Después de iniciar sesión con un certificado, se almacena en caché en el explorador durante la duración de la sesión. No se le pedirá que elija otro certificado si no cumple los requisitos de seguridad de autenticación. Para reiniciar la sesión, debe cerrar e iniciar sesión nuevamente. A continuación, elija el certificado correspondiente.
Las entidades de certificación y los certificados de usuario deben cumplir el estándar X.509 v3. Específicamente, para aplicar restricciones de SKI CBA del emisor, los certificados necesitan AKIs válidos.
Nota:
Si el certificado no se ajusta, la autenticación del usuario podría realizarse correctamente, pero no cumplir con las restricciones de issuerSki para la política de fortaleza de autenticación.
Durante el inicio de sesión, se tienen en cuenta los primeros 5 OIDs de política del certificado de usuario final y se comparan con los OIDs de política configurados en la política de fuerza de autenticación. Si el certificado de usuario final tiene más de 5 IDENTIFICADORes de directiva, se tienen en cuenta los 5 primeros identificadores de directiva en orden léxico que coincidan con los requisitos de seguridad de autenticación.
En el caso de los usuarios B2B, tomemos un ejemplo en el que Contoso ha invitado a los usuarios de Fabrikam a su inquilino. En este caso, Contoso es el inquilino de recursos y Fabrikam es el inquilino principal.
- Cuando la configuración de acceso entre inquilinos es Desactivado (Contoso no acepta MFA que realizó el inquilino principal): no se admite el uso de la autenticación basada en certificados en el inquilino de recursos.
- Cuando la configuración de acceso entre inquilinos es Activado, Fabrikam y Contoso se encuentran en la misma nube de Microsoft, lo que significa que los inquilinos de Fabrikam y Contoso se encuentran en la nube comercial de Azure o en la nube de Azure para la Administración Pública de Estados Unidos. Además, Contoso confía en MFA que se realizó en el inquilino de origen. En este caso:
- El acceso a un recurso específico se puede restringir mediante los OID de directiva o el "otro emisor de certificados por Identificador de clave de sujeto" en la directiva de seguridad de autenticación personalizada.
- El acceso a recursos específicos se puede restringir mediante la configuración "Otro emisor de certificados por SubjectkeyIdentifier" en la directiva de seguridad de autenticación personalizada.
- Cuando la configuración de acceso entre inquilinos es Activado, Fabrikam y Contoso no están en la misma nube de Microsoft ( por ejemplo, el inquilino de Fabrikam se encuentra en la nube comercial de Azure y el inquilino de Contoso está en la nube de Azure para la Administración Pública de EE. UU.), el acceso a recursos específicos no se puede restringir mediante el identificador de emisor o los identificadores de directiva en la directiva de seguridad de autenticación personalizada.
Solución de problemas de opciones avanzadas de fuerza de autenticación
Los usuarios no pueden usar su clave de seguridad FIDO2 para iniciar sesión
Un administrador de acceso condicional puede restringir el acceso a claves de seguridad específicas. Cuando un usuario intenta iniciar sesión con una clave que no puede usar, aparece este mensaje: No puedes llegar allí desde aquí. El usuario tiene que reiniciar la sesión e iniciar sesión con una clave de seguridad FIDO2 diferente.
Cómo comprobar los OID y los emisores de las políticas de certificado
Puede confirmar que las propiedades del certificado personal coinciden con la configuración en opciones avanzadas de seguridad de autenticación.
En el dispositivo del usuario, inicie sesión como administrador. Haga clic en Ejecutar, escriba certmgr.mscy presione Entrar. Para comprobar los OID de directiva, haga clic en Personal, haga clic con el botón derecho en el certificado y luego en Detalles.
