Políticas

Las políticas de Specops son colecciones de reglas de autenticación multifactor utilizadas por Specops Authentication. Esta página describe cómo configurar las políticas para la autenticación al iniciar sesión en las páginas de administración de Specops Authentication, ver Configuración de una Política. También explica cómo configurar el modo de seguridad de inscripción para administradores, ver Modos de Seguridad de Inscripción.

También se pueden configurar políticas separadas para productos individuales de Specops Authentication.

Configuración de una Política

Para configurar una política e incluir los servicios de identidad:

Inicie sesión en Specops Authentication Web y haga clic en Políticas en la navegación izquierda.
Haga clic en Configurar junto a cada política para establecer sus requisitos de autenticación.
Haga clic en el icono de más para aquellos servicios de identidad que desea incluir en la política.
Necesitará asignar un peso (valor de estrella) para cada servicio de identidad seleccionado. Esto le permitirá asignar un valor más alto a aquellos servicios de identidad que considere que proporcionan un nivel de seguridad más alto. Por ejemplo, asignar al Specops Authenticator 2 estrellas equivaldría a dos servicios de identidad que valen 1 estrella. Consulte la Asignación de peso a los Servicios de Identidad para obtener orientación adicional.
Para requerir que el usuario use un servicio de identidad específico, seleccione la casilla Obligatorio.
Configure el peso requerido (estrellas) para la inscripción.
Configure el peso requerido (estrellas) para la autenticación.

Nota

El número de estrellas requeridas para la autenticación debe ser igual o menor que el número de estrellas requeridas para la inscripción.
Para completar el proceso de inscripción o autenticación, el usuario deberá llenar la barra de estrellas con el número de estrellas establecido por la política.
Haga clic en Guardar cuando haya terminado.

Nota

Las políticas también pueden verse afectadas por la configuración de Geobloqueo, y Ubicación de red de confianza.

Eliminación de un Servicio de Identidad de una Política

Para eliminar un servicio de identidad:

Haga clic en Configurar.
Elimine cualquiera de los servicios de identidad de su política haciendo clic en el icono de menos junto al servicio de identidad. El servicio de identidad se moverá a la caja "Servicios de Identidad No Seleccionados" a la derecha.

Mejores Prácticas de Configuración de Políticas

Al configurar políticas para múltiples aplicaciones de Specops (uReset, Authentication for O365, y Key Recovery) es importante tener en cuenta que ciertas configuraciones pueden afectar negativamente el proceso de inscripción para los usuarios.

Cuando las políticas para diferentes aplicaciones están configuradas requiriendo diferentes servicios de identidad, el usuario tendrá que identificarse con más servicios para cumplir con los requisitos de todas las aplicaciones. Configurar políticas para usar el mismo conjunto de servicios de identidad acortará el proceso de inscripción para los usuarios.

Para obtener más información sobre la inscripción, consulte el documento de Mejores Prácticas.

Servicios de Identidad Débiles

Debido a la naturaleza de algunos servicios de identidad (autoinscritos), se consideran más débiles que otros. Los servicios de identidad enumerados a continuación se consideran débiles:

Preguntas de seguridad
Código Móvil (SMS)
Correo Electrónico Personal

Modos de Seguridad de Inscripción

Cuando los usuarios se inscriben por primera vez, tendrán que identificarse proporcionando su contraseña de Windows. Los cambios posteriores a la inscripción (reinscripción) requerirán identificación con un servicio de identidad previamente utilizado además de su contraseña de Windows, si el modo de seguridad está configurado en Medium o High.

Hay tres modos de seguridad disponibles para los administradores: Seguridad baja, Seguridad media, y Seguridad alta. Estos modos de seguridad reflejan la fuerza relativa de las políticas configuradas, y determinan en parte con qué servicios de identidad el usuario necesita reinscribirse (siempre que los usuarios necesiten cambiar su inscripción).

Baja seguridad: Los usuarios solo están obligados a proporcionar su contraseña de Windows para la identificación.
Seguridad media: Al reinscribirse, se requiere que los usuarios se identifiquen con un servicio de identidad previamente utilizado además de su contraseña de Windows.
Alta seguridad: Al reinscribirse, se requiere que los usuarios se identifiquen con un servicio de identidad fuerte previamente utilizado, o dos débiles (en caso de que no se hayan inscrito con ningún servicio de identidad fuerte), además de su contraseña de Windows. Los servicios de identidad débiles, como las preguntas de seguridad, no se presentarán al usuario como una opción, a menos que se hayan inscrito solo con servicios de identidad débiles.

Nota

Se presentarán servicios de identidad a los usuarios para (re-)inscripción si el usuario se ha inscrito previamente con dicho servicio, y es parte de una política que afecta al usuario. La identidad de Windows del usuario siempre es parte del procedimiento de (re-)inscripción.

Los modos bajo o medio se configuran automáticamente, dependiendo de las configuraciones de la política. El modo de alta seguridad debe ser habilitado por los administradores para hacer cumplir la reinscripción con servicios de identidad fuertes.

Servicios de Identidad Autoinscritos y Modos de Seguridad

Para los modos de seguridad media y alta, los usuarios que se vean afectados por políticas que incluyan servicios de identidad autoinscritos, como Duo Security y Okta, tendrán que autenticarse con el servicio de identidad autoinscrito en la página de inscripción. Esto significa que los usuarios deberán tener su inscripción con Duo Security o Okta en su lugar antes de poder inscribirse con Specops Authentication.

Configuración de Bloqueo

Los servicios de identidad Código Móvil (SMS), Correo electrónico, y Correo electrónico personal pueden configurarse para bloquearse después de entradas incorrectas por parte del usuario. Para configurar estos ajustes de bloqueo, vaya al menú Servicios de identificación en Authentication Web, y haga clic en el icono de configuración junto al servicio de identidad en cuestión. Se puede configurar lo siguiente:

Umbral de bloqueo: determina cuántas veces se puede proporcionar una entrada incorrecta.
Duración del bloqueo en minutos: determina cuánto tiempo estará bloqueado el servicio de identidad.

Configuración de Ubicaciones de Red Confiables

Cuando la configuración Solo desde ubicaciones de red de confianza está habilitada, los usuarios solo pueden inscribirse al autenticarse desde una de las Ubicaciones de Red Confiables especificadas por los administradores. Para obtener más información, consulte Ubicación de red de confianza.