Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para la compra por parte de nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.
Los ataques de credenciales conducen al acceso no autorizado a los recursos. Las contraseñas establecidas por los usuarios deben ser razonablemente complejas. Azure AD B2C cuenta con técnicas de mitigación para los ataques de credenciales. La mitigación incluye la detección de ataques de credenciales de fuerza bruta y ataques de credenciales de diccionario. Mediante el uso de varias señales, Azure Active Directory B2C (Azure AD B2C) analiza la integridad de las solicitudes. Azure AD B2C está diseñado para diferenciar de forma inteligente a los usuarios previstos de los hackers y las botnets.
Cómo funciona el bloqueo inteligente
Azure AD B2C usa una estrategia sofisticada para bloquear cuentas. Las cuentas se bloquean en función de la IP de la solicitud y las contraseñas introducidas. El tiempo que dura el bloqueo también aumenta en función de la probabilidad de que sea un ataque. Después de intentar una contraseña 10 veces sin éxito (el umbral de intento predeterminado), se produce un bloqueo de un minuto. La próxima vez que un inicio de sesión no se realiza correctamente después de que se desbloquee la cuenta (es decir, después de que el servicio haya desbloqueado automáticamente la cuenta una vez que expire el período de bloqueo), se produce otro bloqueo de un minuto y continúa por cada inicio de sesión incorrecto. Ingresar la misma contraseña o una contraseña similar repetidamente no cuenta como varios inicios de sesión fallidos.
Nota:
Esta función es compatible con los flujos de usuario, las políticas personalizadas y los flujos de ROPC . Está activado de forma predeterminada, por lo que no es necesario configurarlo en los flujos de usuario ni en las políticas personalizadas.
Desbloquear cuentas
Los primeros 10 períodos de bloqueo duran un minuto. Los siguientes 10 períodos de bloqueo son ligeramente más largos y aumentan en duración después de cada 10 períodos de bloqueo. El contador de bloqueo se restablece a cero después de un inicio de sesión exitoso cuando la cuenta no está bloqueada. Los períodos de bloqueo pueden durar hasta cinco horas. Los usuarios deben esperar a que expire la duración del bloqueo. Sin embargo, el usuario puede desbloquear mediante el flujo de usuario de contraseña de autoservicio.
Administrar la configuración de bloqueo inteligente
Para administrar la configuración de bloqueo inteligente, incluido el umbral de bloqueo:
Inicie sesión en Azure Portal.
Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar a su inquilino de Azure AD B2C desde el menú Directorios y suscripciones.
En el menú izquierdo, seleccione Azure AD B2C. O bien, seleccione Todos los servicios y busque y seleccione Azure AD B2C.
En Seguridad, seleccione Métodos de autenticación (versión preliminar) y, a continuación, seleccione Protección con contraseña.
En Bloqueo inteligente personalizado, ingresa la configuración de bloqueo inteligente que desees:
Umbral de bloqueo: el número de intentos de inicio de sesión fallidos que se permiten antes de que la cuenta se bloquee por primera vez. Si también se produce un error en el primer inicio de sesión después de un bloqueo, la cuenta se vuelve a bloquear.
Duración del bloqueo en segundos: la duración mínima de cada bloqueo en segundos. Si una cuenta se bloquea repetidamente, esta duración aumenta.
Establecer el umbral de bloqueo en 5 en Configuración de protección con contraseña.
Haga clic en Guardar.
Prueba de bloqueo inteligente
La función de bloqueo inteligente utiliza muchos factores para determinar cuándo se debe bloquear una cuenta, pero el factor principal es el patrón de contraseña. La función de bloqueo inteligente considera las ligeras variaciones de una contraseña como un conjunto, y se cuentan como un solo intento. Por ejemplo:
- ¡Contraseñas como 12456! ¡Y 1234567! (o newAccount1234 y newaccount1234) son tan similares que el algoritmo los interpreta como un error humano y los cuenta como un solo intento.
- ¡Variaciones más grandes en el patrón, como 12456! y ABCD2!, se cuentan como intentos separados.
Cuando pruebe la función de bloqueo inteligente, use un patrón distintivo para cada contraseña que ingrese. Considere la posibilidad de usar aplicaciones web de generación de contraseñas, como https://password-gen.com/.
Cuando se alcance el umbral de bloqueo inteligente, verás el siguiente mensaje mientras la cuenta está bloqueada: Tu cuenta está bloqueada temporalmente para evitar el uso no autorizado. Vuelva a intentarlo más tarde. Los mensajes de error se pueden localizar.
Nota:
Al probar el bloqueo inteligente, las solicitudes de inicio de sesión pueden ser controladas por distintos centros de datos debido a la naturaleza de distribución geográfica y de equilibrio de carga del servicio de autenticación de Microsoft Entra. En ese escenario, dado que cada centro de datos de Microsoft Entra hace un seguimiento de manera independiente, se podría tardar en producir un bloqueo más del número de intentos de bloqueo definido. Un usuario tiene un número máximo de (threshold_limit * datacenter_count) de intentos incorrectos antes de que se bloquee por completo. Para obtener más información, consulte Infraestructura global de Azure.
Visualización de cuentas bloqueadas
Para obtener información sobre las cuentas bloqueadas, puede consultar el informe de actividad de inicio de sesión de Active Directory. En Estado, seleccione Error. Intentos de inicio de sesión fallidos con un código de error de inicio de sesión que 50053 indica una cuenta bloqueada:
Para obtener información sobre cómo ver el informe de actividad de inicio de sesión en Microsoft Entra ID, consulte Códigos de error del informe de actividad de inicio de sesión.