Office 365 con MFA habilitado vs forzado: ¿cuál es la diferencia?

Tutoriales

Habilitación vs. imposición de MFA en Office 365: ¿Cuál es la diferencia? Aunque las contraseñas siguen siendo el método más implementado para la identificación de usuarios, la autenticación de un solo factor puede ser muy propensa a ataques cibernéticos. La autenticación multifactor (MFA) de Microsoft protege tu Azure Directory y Office 365 de intentos de phishing o de intrusión cibernética. Sin embargo, su tasa de adopción sigue siendo inestable. Según una encuesta, el 78% de los administradores de Microsoft 365 no activan la MFA.

Fuente de imagen: ramsac

En esta publicación de blog, exploramos el MFA, por qué se requiere, dos tipos de Office 365 MFA: habilitado y forzado, y las principales diferencias entre ellos, para que puedas decidir cuál es la mejor opción para tu negocio.

¿Empezamos con Office 365 MFA habilitado vs forzado: ¿cuál es la diferencia?

También lea Explicado los tipos de grupos de Microsoft Office 365: mejores prácticas

¿Qué es el MFA?

Principalmente hablando, es un proceso de registro (o seguridad sistema) donde el usuario se le solicita formas adicionales de identificación. A su vez, esto crea una capa adicional de defensa sobre las contraseñas, para evitar que una persona no autorizada acceda a sus datos, ubicación, etc.

Por lo tanto, el método de protección de contraseñas se combina con otros factores, como:

  • Conocimiento — Contraseñas que se pueden nombrar, una combinación de caracteres especiales y letras, etc.

     

  • Posesión — Cosas físicas como una llave de seguridad, una aplicación móvil autorizada, etc.

     

  • Inherencia — Escaneos biológicos como escaneos de retina, escaneos dactilares, reconocimiento de voz, reconocimiento facial, etc.

     

  • Ubicación — Mayormente determinada por la ubicación del teléfono inteligente y el GPS.

     

  • Tiempo — Actúa como una barrera lógica donde las credenciales del empleado se comparan con el tiempo en su ubicación para confirmar la autenticidad del usuario.

También lea Configurar Acceso Condicional de Azure + Autenticación Multifactor (MFA)

¿Por qué se requiere MFA?

Robo de Contraseñas

Es el método más común de robo de identidad. Bueno, los atacantes pueden robar contraseñas con tres métodos: registro de teclas, phishing y pharming. MFA garantiza que, en caso de que se robe la contraseña, aún hay capas adicionales de defensa que protegen tus datos críticos.

Mejora la Seguridad

Al establecer múltiples requisitos de credenciales para acceso condicional a datos, se desalienta a los hackers de usar contraseñas robadas, dispositivos, etc. para ingresar a su sistema. Es ideal para proteger datos en el entorno local y basados en la nube.

Solución personalizable

Puede ser personalizado según los requisitos de una organización. Puede implementar factores físicos como escaneos de retina o huellas dactilares si requiere una estricta seguridad de datos .

Escalable

MFA se adapta a cualquier tipo de negocio y simplifica el proceso de inicio de sesión eliminando la necesidad de múltiples contraseñas. Por lo tanto, mejora la experiencia del usuario y reduce la necesidad de llamadas de soporte para asistencia con contraseñas.

Cumplimiento de Regulaciones

Ayuda a garantizar que estés cumpliendo con las regulaciones de gestión de identidad y acceso.

También lea Office 365 Groups vs Distribution Lists: ¿Cuál es la diferencia?

¿Qué es MFA habilitado en Office 365?

En el proceso de autenticación con MFA habilitado, un administrador de Office 365 habilita tu cuenta para acceder a la página, pero se te solicita completar el registro cada vez que inicias sesión. Esto puede ser temporal, como notificaciones push durante unas horas a unos días.

Una vez que hayas completado el proceso de registro y cumplido con las políticas definidas por el administrador, las alertas ya no aparecerán y podrás acceder a la página completa o continuar disfrutando del acceso a los recursos como antes.

También lea Office 365 vs Exchange Online: ¿Cuál es la diferencia?

Características de MFA habilitado en Office 365

  • Ayuda a construir confianza organizacional. Si a un nuevo miembro del equipo se le ha otorgado acceso a los datos de una empresa en la nube, el cumplimiento de las políticas de autenticación ayuda a crear un entorno laboral creíble en el lugar de trabajo.

     

  • Si el proceso de registro no se completa dentro del plazo establecido por el administrador, el acceso se revoca automáticamente.

     

  • Ayuda a las empresas a evitar robo de datos.

     

  • En Office 365, el(los) administrador(es) puede(n) habilitar la MFA a través de Azure Active Directory Admin Center.

     

  • Beneficioso para sectores sensibles a los datos como el sector bancario, grandes empresas, etc.

Ventajas de habilitar la MFA en Office 365

  • Reduce la probabilidad de robo de identidad y la apropiación de datos críticos de una organización. Con este proceso, las contraseñas robadas son prácticamente inútiles para los atacantes cibernéticos y los phishers.

     

  • Proporciona una combinación de más de dos autenticadores para obtener acceso a la cuenta de usuario. Ayuda a proteger las cuentas y correos electrónicos de Office 365, lo que los protege de convertirse en un objetivo de los atacantes cibernéticos.

Contras de la activación de MFA en Office 365

Aunque la exigencia de autenticación ayuda a prevenir que sus datos valiosos se filtren, activar MFA puede generar fricción entre el consumidor y el proveedor de servicios. Las repetidas solicitudes emergentes para etapas adicionales de autenticación pueden frustrar a los usuarios, ya que generalmente desean iniciar sesión rápidamente y comenzar (o retomar) su trabajo de inmediato.

Mejora tu seguridad en Active Directory y Azure AD

Prueba nuestra plataforma de forma gratuita, Acceso a todas las características. – Más de 200 plantillas de informes de AD disponibles. Facilmente personaliza tus propios informes de AD.




También lea Office 365 vs G Suite – ¿Cuál es el mejor proveedor de correo electrónico?

¿Qué es la aplicación forzada de MFA en Office 365?

Después de completar el proceso de registro en Azure AD MFA, tu cuenta de usuario se cambia automáticamente de Habilitada a Aplicada.

Cuando el MFA se establece en Configuraciones de seguridad en Microsoft (Office) 365 Azure AD, se convierte en una configuración de inquilino de alto nivel. Una vez que se activa esta configuración, el MFA se activa en todas las cuentas de usuario. Por defecto, requiere que todos tus miembros se inscriban según las políticas aplicadas.

También lea Implementar informe de licencia de Office 365

Características de la aplicación forzada de MFA en Office 365

  • Una vez aplicada, el método de autenticación se aplica a todas las cuentas conectadas.

     

  • Se aplica automáticamente a las herramientas externas de gestión que requieren acceso de cuenta de servicio.

     

  • Mejora la seguridad de los inquilinos de Microsoft 365.

     

  • Es ideal para organizaciones de primera remota, startups en crecimiento, el sector bancario, etc.

Pros de la aplicación de MFA en Office 365

  • La aplicación de métodos de autenticación estrictos ayuda a aumentar la seguridad de los inquilinos de Office 365.
     
  • Métodos tan estrictos de acceso a cuentas mejoran la experiencia del usuario al aumentar el factor de confianza.

     

  • Además de proporcionar una fuerte seguridad general, también protege las cuentas de ataques cibernéticos comunes como los ataques de fuerza bruta.

Contras de la aplicación forzada de MFA en Office 365

La mala implementación de tales métodos de autenticación multicapa puede llevar a sesgos e inexactitudes, a veces. Si los métodos impuestos incluyen biometría, los sesgos demográficos inherentes conducen a falsos negativos. La mayoría de los métodos de biometría comunes suelen depender de datos parciales para la verificación de identidad. Esto, a su vez, resulta en rechazos y aceptaciones erróneas, lo que lleva a que los usuarios reales no obtengan acceso y a que los atacantes accedan a las cuentas.

Además, este proceso causa problemas en cuanto a la autenticación de algunas aplicaciones heredadas que podrían afectar a un servicio de terceros.

También lea Prueba la herramienta de gestión de Office 365

Requisitos previos antes de configurar o forzar MFA

Preparar al equipo de soporte

Cuando algo como el MFA se impone a los usuarios, es posible que encuentren todo el proceso nuevo para adaptarse, y podrían tener preguntas sobre la pérdida del token de MFA, o problemas post-configuración. Como resultado, el equipo de soporte técnico de TI tendría que estar listo con soporte de inscripción y recuperación para los usuarios de la cuenta.

Esto se puede hacer mejor con prácticas de prueba para el equipo de soporte con solicitudes y consultas de problemas simuladas.

Entendiendo el enfoque

Para comprender la idoneidad de los Default de Seguridad, es importante que:

  • Una vez que se habilitan los Default de Seguridad, se aplican a todas las cuentas, incluidascuentas de ruptura de vidrio, usuarios no licenciados, y cuentas de servicio.

     

  • Los usuarios que no han completado su proceso de registro serán solicitados cada vez que inicien sesión en sus cuentas. Después del período de tiempo establecido, no podrán acceder a la cuenta si el registro sigue incompleto.

     

  • Esta aplicación de normas requiere una aplicación de autenticador para enviar notificaciones push en el dispositivo registrado que actuará como la segunda factor de autenticación.

También lea Las mejores prácticas de seguridad de Azure – Para cumplimiento (Lista de verificación)

Métodos para habilitar la MFA de Office 365

Cambiando los Estados de Usuario

Involucra la autenticación tradicional de dos factores (2FA) cada vez que los usuarios inician sesión en su cuenta. Este método es fácil en una base individual, pero puede ser costoso en tiempo, propenso a errores y difícil de administrar cuando se realiza a escala organizacional.

Con los Security Defaults

Microsoft lanzó este método en 2019 con seguridad preconfigurada. Su propósito ha sido prevenir a las organizaciones de todo tipo de amenazas de ciberseguridad. Esta configuración habilita la MFA para todos los servicios y cuentas de usuario. Si se creó un inquilino después del lanzamiento, esta podría ser la configuración predeterminada en las cuentas. En otros casos, debe habilitarse en el Portal de Azure.

Con la Política de Acceso Condicional

Siendo una función de pago de Azure Active Directory (Edición Premium P1 o P2), el Acceso Condicional es un método flexible de autenticación. Estas políticas de acceso se aplican tanto a grupos como a cuentas individuales. Este método le brinda la capacidad de ajustar las restricciones según los requisitos del grupo o cuenta (cuentas de bajo riesgo o de alto riesgo).

También lea Crear informes de seguridad de Active Directory con PowerShell

Office 365 MFA habilitado vs. impuesto: ¿Cuál es la diferencia?

Fuente de imagen: Cayosoft

Accesibilidad de la cuenta

Office 365 MFA habilitado

Si su registro está incompleto, aún puede acceder a la cuenta pero se le pedirá que complete el proceso dentro del marco de tiempo establecido. Si sigue incompleto, el acceso podría permanecer con más recordatorios o podría revocarse.

Office 365 MFA Obligatorio

Las configuraciones de seguridad predeterminadas obligan a los usuarios a completar el registro para obtener cualquier tipo de acceso a las cuentas. Este es un método rígido y requiere el cumplimiento de estrictas políticas de autenticación establecidas por el administrador para el acceso a las cuentas de usuario.

Factor de Confianza

Office 365 MFA Activado

Cuando se habilita MFA, da a los usuarios tiempo para reflexionar y comprender el proceso de autenticación antes de proceder con él. Una comprensión justa de ello ayuda a construir confianza entre el usuario y el proveedor de servicios.

Office 365 MFA Obligatorio

Este proceso no deja espacio para que el usuario entienda el proceso antes de optar por él. Sigue estrictas políticas de autenticación que deben seguirse para el acceso a la cuenta. Aunque brinda una garantía adicional de protección de la cuenta, el proceso puede ser frustrante para los usuarios.

Posibilidades de Robo de Datos

Office 365 MFA Activado

Se requiere completar el registro para obtener el acceso completo al cuenta. Pero la incompletitud no siempre quita el acceso parcial al usuario. Simplemente sigue dando mensajes si no se ha establecido un plazo por el administrador. En ambos casos, el usuario (en caso de que sean poco sinceros) puede llevar a robo de datos.

Office 365 MFA Impuesto

Incluye factores físicos en el proceso de autenticación como un escaneo de biometría. Por seguro que pueda parecer, a veces se falsifican las biometrías. Esto lleva a que un usuario auténtico usuario sea rechazado y un atacante obtenga acceso, poniendo todos los datos de la organización en riesgo.

Formas de Habilitar

Office 365 MFA Habilitado

El MFA en Microsoft 365 se ‘habilita’ utilizando el Centro de Administración de Azure Active Directory. Necesita seleccionar Propiedades y gestionar la Configuración de Seguridad habilitándola o deshabilitándola desde allí.

Office 365 MFA Impuesto

Una vez que la política de inicio de sesión con MFA obligatorio ha sido creada, necesitas crear una política administrada por el cliente, que prohíba todas las acciones excepto algunas IAM (Administración de Acceso e Identidad) acciones. Esto va seguido de adjuntar las políticas al grupo de usuarios de prueba. Finalmente, se prueba el acceso de los usuarios.

Adecuación

Office 365 MFA Habilitado

Adecuado para cuentas de usuarios individuales o startups y pequeñas empresas.

Office 365 MFA Obligatorio

Adecuado para startups con prioridad remota, grandes organizaciones y empresas donde el conjunto de datos es grande o en sectores bancarios, donde se trata de datos de usuarios sensibles y posesiones.

Seguridad

Office 365 MFA Habilitado

Tiene un recordatorio con límite de tiempo (Niveles de Seguridad de Sesión) que aparece cada vez que inicias sesión sin un registro completo. Una vez completado el proceso, te permite acceder al sistema. Esto asegura la seguridad de la cuenta en gran medida, pero plantea la cuestión de la accesibilidad parcial de la cuenta durante el período de registro.

Office 365 MFA Obligatorio

Viene con capas adicionales de defensa para las cuentas de usuario con factor de ubicación, factor físico, etc. como formas adicionales del proceso de autenticación. Si un atacante logra infiltrarse en las contraseñas, deja al atacante con capas adicionales para atravesar, asegurando así una mayor seguridad de datos.

Gracias por leer Office 365 MFA Enabled vs Enforced – ¿Cuál es la diferencia? Concluiremos este artículo.

También lee Las 10 mejores formas de prevenir ataques cibernéticos a las empresas

Office 365 MFA Enabled vs Enforced – ¿Cuál es la diferencia? (Conclusión)

En resumen, los datos están en todas partes y así también la necesidad de protegerlos, ya sea que tu organización sea una startup o una empresa.

Aunque Habilitado MFA tiene sus ventajas, principalmente la adaptabilidad del usuario, al final tiene que convertirse en MFA Impuesto, que combina varios métodos estrictos de autenticación. Esto promete seguridad de datos y eficiencia de costos a largo plazo, demostrando ser más beneficioso para todo tipo de cuentas de usuario.

Source:
https://infrasos.com/office-365-mfa-enabled-vs-enforced-whats-the-difference/