Políticas de autenticación multifactor dinámica

La autenticación multifactor dinámica (DMFA) permite a los usuarios registrarse y autenticarse utilizando múltiples servicios de identidad. Esta es una forma flexible y segura para que los usuarios se autentiquen al iniciar sesión en sus cuentas de Office 365. Si eres un administrador, puedes crear y configurar una política que se adapte a las necesidades de tu organización. Puedes decidir qué servicios de identidad se pueden usar para autenticar, así como cuán seguro es cada uno.

DMFA se utiliza al iniciar sesión en toda la plataforma de Specops Authentication. Esto incluye:

Gestión de usuarios
Restablecimiento o cambio de contraseñas de usuario
Iniciar sesión en Office 365
Iniciar sesión para cambiar el registro

Al crear una política DMFA, se recomienda que ofrezcas a tus usuarios una variedad de opciones de servicios de identidad, y que animes a tus usuarios a registrarse con tantos de estos como sea posible. Cuantos más servicios de identidad tenga un usuario registrado, menos probable será que se quede bloqueado de su cuenta.

Ejemplo: Si un usuario olvida las respuestas a sus Preguntas Secretas y se ha registrado con varios otros servicios de identidad, aún puede autenticarse con éxito utilizando uno de estos en su lugar.

Nota: Cuando un usuario completa el registro, se presenta un mensaje preguntando si le gustaría recolectar estrellas adicionales registrándose con más servicios de identidad, más allá de la cantidad requerida.

Hay muchos tipos diferentes de servicios de identidad para elegir, incluyendo:

Redes sociales
Preguntas Secretas
Código Móvil (SMS)
Escaneos de huellas dactilares
Autenticadores

Servicios de identidad requeridos

Puedes marcar un servicio de identidad como “requerido”. Esto significa que es obligatorio y tus usuarios deben registrarse y autenticarse usándolo.

Ejemplo: Seleccionar la casilla de verificación Requerido para Código Móvil (SMS) e Identidad de Windows, hará que estos sean obligatorios para todos los usuarios.

Required textbox

Servicios de identidad protegidos

Puedes marcar un servicio de identidad como “protegido”. Antes de que un usuario pueda autenticarse usando un servicio de identidad protegido, debe autenticarse usando uno o más otros servicios de identidad primero. Esto es para evitar que partes externas intenten acceder a una cuenta de usuario adivinando las credenciales.

Ejemplo: Un usuario podría elegir Google Authenticator, Código Móvil (SMS) e Identidad de Windows durante el registro. Si la Identidad de Windows ha sido marcada como “protegida” en la política DMFA, el usuario debe autenticarse usando Google Authenticator o Código Móvil (SMS) antes de que se le permita ingresar sus credenciales de Identidad de Windows.

Protected checkbox

Un servicio de identidad puede ser marcado como tanto requerido como protegido.

Required and protected checkboxes

Peso

Puedes establecer el peso requerido para el registro y la autenticación usando las barras de estrellas en la sección Editar reglas.

Los usuarios deben usar suficientes servicios de identidad para obtener el peso requerido. Por ejemplo: si seleccionas 5 estrellas como el peso requerido para el registro y la autenticación, los usuarios deben registrarse y autenticarse con suficientes servicios de identidad para sumar 5 estrellas.

Configuration policy for enrollment

Nota: El peso requerido para la autenticación no puede ser mayor que el peso requerido para el registro. Esto es para dar a los usuarios tanta flexibilidad como sea posible. Si un usuario de repente no puede autenticarse con un servicio de identidad en particular, puede usar uno de los otros con los que se registró en su lugar.

Ejemplo: Podrías crear una política que requiera que un usuario se registre con 3 servicios de identidad, pero solo necesita autenticarse usando 2. Si un usuario se registra con Código Móvil (SMS), Preguntas Secretas y Google, y de repente no puede autenticarse usando Código Móvil (SMS), porque su teléfono falla, aún puede autenticarse usando sus Preguntas Secretas en su lugar.

Puedes establecer el peso para los diferentes servicios de identidad para representar su nivel de seguridad relativo. Selecciona el peso activando el número deseado de estrellas.

Ejemplo: Podrías decidir que Código Móvil (SMS) vale 3 estrellas, Mobile BankID vale 2 estrellas, y Google Authenticator vale 1 estrella, y así sucesivamente.

Weight per identity service

Nota: Por defecto, el peso máximo que se puede asignar a cada servicio de identidad es de 3 estrellas. Puedes aumentar esto a un máximo de 5 estrellas, si deseas hacer un servicio de identidad más seguro. Esto se hace usando los botones – o + en la parte inferior de la página.

Cuando aumentas el peso máximo por servicio de identidad, aumenta el número de estrellas disponibles en las barras de Peso Requerido para el Registro y Peso Requerido para la Autenticación en la parte superior de la página.

Ejemplo: Si el peso máximo por servicio de ID se establece en 4, habrá 16 estrellas en las barras de Peso Requerido para el Registro y Peso Requerido para la Autenticación.

Maximum weight

Configuración de una política

En la herramienta de administración de Specops Gatekeeper, en la sección Enlaces Útiles, haz clic en el enlace Páginas de Administración.
Inicia sesión con tus credenciales.
Haz clic en Políticas.
En las secciones Registro o Admin, haz clic en Configurar.
Selecciona los servicios de identidad que estarán disponibles para los usuarios. Para agregar un servicio de identidad a la política, selecciónalo de la lista Servicios de Identidad No Seleccionados, y aparecerá en la lista Servicios de Identidad Seleccionados.
En la sección Editar reglas, especifica cuántas estrellas deben recolectarse antes de que un usuario pueda llenar la barra de estrellas y registrarse, así como el peso requerido para la autenticación. Consulta la sección Peso arriba.
Establece el peso para cada servicio de identidad, seleccionando un número específico de estrellas.
Selecciona la casilla de verificación Requerido, para hacer que un servicio de identidad sea obligatorio. Consulta la sección Servicios de identidad requeridos arriba.
Selecciona la casilla de verificación Protegido, para convertirlo en un servicio de identidad protegido. Consulta la sección Servicios de identidad protegidos arriba.
Haz clic en Guardar para guardar la configuración.

Políticas de Registro Adaptativas

Una política de registro (que dicta cómo los usuarios necesitan autenticarse para cambiar su registro) es adaptativa.

Como con todas las políticas, una política de registro contiene un peso requerido para la autenticación y una lista de servicios de identidad de los que cada usuario debe elegir. Como se describió anteriormente, para iniciar sesión con éxito con una política, un usuario debe usar suficientes servicios de identidad para obtener el peso de autenticación requerido. Sin embargo, a diferencia de otras políticas, las políticas de registro son únicas, ya que al iniciar sesión, los usuarios no necesariamente necesitan obtener el peso de autenticación requerido.

Por ejemplo: Si un usuario solo está registrado con dos servicios de identidad y la política de registro establece que un usuario necesita usar tres servicios de identidad para iniciar sesión, a este usuario aún se le permitirá iniciar sesión usando sus dos servicios de identidad. Siempre que un usuario se haya registrado con suficientes servicios de identidad para satisfacer el peso de autenticación requerido de la política de registro, iniciar sesión con la política de registro será igual que con otras políticas.

Nota: La Identidad de Windows es el único servicio de identidad obligatorio, y todos los usuarios están automáticamente registrados con este. La Identidad de Windows siempre está presente en una política de registro y no se puede eliminar.

Modos de seguridad de registro

Cuando los usuarios se registran por primera vez, tendrán que identificarse proporcionando su contraseña de Windows. Los cambios posteriores al registro (re-registro) requerirán identificación con un servicio de identidad previamente utilizado además de su contraseña de Windows, si el modo de seguridad está configurado en Medio o Alto.

Hay tres modos de seguridad disponibles para los administradores: Baja seguridad, Seguridad media y Alta seguridad. Estos modos de seguridad reflejan la fuerza relativa de las políticas configuradas, y determinan en parte con qué servicios de identidad el usuario necesita volver a registrarse (siempre que los usuarios necesiten cambiar su registro).

Baja seguridad: Los usuarios solo están obligados a proporcionar su contraseña de Windows para la identificación.
Seguridad media: Al volver a registrarse, los usuarios deben identificarse con un servicio de identidad previamente utilizado además de su contraseña de Windows.
Alta seguridad: Al volver a registrarse, los usuarios deben identificarse con un servicio de identidad fuerte previamente utilizado, o dos débiles (en caso de que no se hayan registrado con ningún servicio de identidad fuerte), además de su contraseña de Windows. Los servicios de identidad débiles, como las preguntas de seguridad, no se presentarán al usuario como una opción, a menos que se hayan registrado solo con servicios de identidad débiles.

Nota

Los modos bajo o medio se configuran automáticamente, dependiendo de las configuraciones de la política. El modo de alta seguridad debe ser habilitado por los administradores para hacer cumplir el re-registro con servicios de identidad fuertes.