Compartir a través de

Tutorial: Aplicación del cumplimiento automático de MFA mediante Azure Policy

Azure Policy es una herramienta de gobernanza eficaz que le permite preparar la organización para la próxima aplicación de la autenticación multifactor (MFA) en todos los clientes de Azure. Esta guía le guía por el proceso de aplicación de asignaciones de Azure Policy para aplicar automáticamente la autenticación multifactor en toda la organización.

Implementación de la aplicación de Azure Policy a través de Azure Portal

1. Inicio de sesión en Azure Portal

Vaya a Azure Portal.

2. Acceso al servicio Azure Policy

Seleccione Política en los Servicios de Azure. Si no la ve, escriba "Directiva" en la barra de búsqueda de la parte superior y selecciónela en los resultados.

Captura de pantalla de la vista de asignación de Azure Policy.

3. Elija el ámbito de la asignación

  1. Haga clic en "Asignaciones" en el panel izquierdo del tablero de políticas.
  2. Haga clic en "Asignar directiva" en la parte superior de la página de asignaciones.
  3. Haga clic en "Seleccionar ámbito" en la sección Ámbito.
  4. Seleccione el grupo de recursos, la suscripción o el grupo de administración adecuado en el que desea aplicar la directiva.
  5. Para confirmar su elección, haga clic en Seleccionar.

4. Configurar selectores para el lanzamiento gradual de la aplicación de directivas

Note

Para habilitar el lanzamiento seguro de la aplicación de directivas, se recomienda usar los selectores de recursos de Azure Policy para implementar gradualmente la aplicación de directivas en los recursos.

  1. Haga clic en "Expandir" en la sección "Selectores de recursos" de la pestaña Aspectos básicos.

  2. Haga clic en "Agregar un selector de recursos".

    Captura de pantalla de la vista de creación de asignaciones de Azure Policy.

  3. Introduce un nombre para el selector

  4. Active resourceLocation para habilitarlo.

  5. Elija algunas regiones de bajo riesgo en las que quiera aplicar. La asignación de directiva evaluará los recursos de Azure en esas regiones.

  6. Puede actualizar esta asignación más adelante para agregar más regiones agregando más selectores resourceLocation o actualizando el selector resourceLocation existente para agregar más regiones.

Captura de pantalla de la vista de creación del selector de Azure Policy.

5. Seleccionar una definición de directiva

  1. Haga clic en Definición de directiva en "Conceptos básicos".
  2. Explore o busque la definición de directiva multifactor: hay 2 de ellas. Elija uno por ahora:
  3. Seleccione la definición de directiva de la lista.

Captura de pantalla de la vista de búsqueda de definiciones de Azure Policy.

6. Configurar más detalles de asignación

  1. En "Datos básicos", escriba un nombre para la asignación de directiva. Opcionalmente, puede agregar una descripción para ayudar a otros usuarios a comprender el propósito de esta asignación.
  2. En "Aspectos básicos", el modo de cumplimiento debe establecerse en habilitado (este modo se establece de forma predeterminada, no es necesario realizar ninguna acción).
  3. Vaya a la pestaña "Parámetros". Desactive "mostrar solo los parámetros que requieren entrada o revisión". El valor del parámetro debe estar en el valor preseleccionado "AuditAction" o "Audit" (según la definición elegida en el paso 4).
  4. En la pestaña "Mensajes de no cumplimiento", configure un mensaje personalizado que cualquier usuario vea si está bloqueado para eliminar un recurso debido a esta aplicación de la política.

Texto de ejemplo: para resolver este error, configure MFA en aka.ms/setupMFA. Si ha configurado MFA y sigue recibiendo este error, póngase en contacto con el administrador de Entra para restaurar el valor predeterminado de seguridad de Azure.

Captura de pantalla de la pestaña Mensaje de Azure Policy.

7. Revisar y crear asignación

  1. Revise las selecciones y la configuración en la pestaña "Revisar y crear".
  2. Si todo parece correcto, haga clic en "Crear" para aplicar la asignación de directiva.

8. Implementar la asignación de directiva a todas las regiones

  1. Actualice el selector de asignación de directivas para evaluar los recursos de otras regiones.
  2. Repita este paso hasta que la asignación de directivas evalúe los recursos de todas las regiones.

9. Comprobar la existencia de la asignación de directiva

  1. En la pestaña "Asignaciones", confirme que la asignación de directiva se creó correctamente.
  2. Puede usar la barra de búsqueda y la barra de ámbito para filtrar fácilmente.

Captura de pantalla de la vista de lista de asignaciones de Azure Policy.

Actualizar la asignación de directiva a la aplicación

Puede habilitar la aplicación de la directiva actualizando el valor de "Efecto" en la asignación de la directiva.

  1. Vaya a la asignación de políticas en Asignaciones de Políticas. Haga clic en "Editar asignación".
  2. En la pestaña "Datos básicos", verá "Invalidaciones". Haga clic en expandir.
  3. Haga clic en "Agregar una invalidación de efecto de directiva"
  4. En el menú desplegable, actualice el Override Value a 'DenyAction' o 'Deny' (según la definición de la directiva elegida en el paso 4).
  5. Para Selected Resources, elija algunas regiones de bajo riesgo en las que quiera aplicar. La asignación de directiva solo evaluará los recursos de Azure en esas regiones. Recorte de pantalla de la creación de invalidaciones de Azure Policy.
  6. Haga clic en "Revisar y guardar" y luego en "Crear".
  7. Una vez que haya confirmado que no hay un impacto inesperado, puede actualizar la invalidación existente para agregar otras regiones.

Modo de auditoría

Descubre eventos de auditoría en el registro de actividad cuando se aplica esta asignación de directiva en el modo de auditoría. Cada evento representa una creación, actualización o eliminación de recursos realizada por un usuario que no se autentique con MFA.

Puede ver eventos de registro de actividad en Azure Portal y otros clientes admitidos. Esta es una consulta de ejemplo que se puede usar en la CLI:

az monitor activity-log list \   --query "[?operationName.value=='Microsoft.Authorization/policies/audit/action'].{ResourceId: resourceId, Policies: properties.policies}" \   --output json | \ jq -r '"ResourceName\tResourceId\tPolicyDefinitionDisplayName", (.[] as $event | ($event.Policies | fromjson[] | "\($event.ResourceId | split("/") | last)\t\($event.ResourceId)\t\(.policyDefinitionDisplayName)"))' | \ column -t -s $'\t'

Modo de cumplimiento

Detectar eventos de denegación en el registro de actividad cuando se aplica esta asignación de directiva en modo de cumplimiento. Cada evento deny representa una creación, actualización o eliminación de recursos que intentó un usuario que no se autenticaba con MFA.

En la sección siguiente se muestra la experiencia de algunos clientes seleccionados cuando la asignación de directiva se aplica en modo de cumplimiento y una cuenta de usuario intenta crear, actualizar o eliminar un recurso sin autenticarse con MFA.

Note

En el período de tiempo de vista previa, los mensajes de error que se muestran al usuario pueden diferir en función del cliente y del comando que se está ejecutando.

Azure portal

Al intentar realizar una operación de creación, actualización o eliminación sin un token autenticado por MFA, Azure Portal puede devolver:

Captura de pantalla de la vista de Azure Portal.

Azure CLI

Al intentar realizar una operación de creación, actualización o eliminación sin un token autenticado por MFA, la CLI de Azure puede devolver:

Captura de pantalla de la vista de la CLI de Azure cuando el usuario se bloquea por directiva.

Azure PowerShell

Al intentar realizar una operación de creación, actualización o eliminación sin un token autenticado por MFA, Azure PowerShell puede devolver:

Captura de pantalla de la vista de Azure PowerShell cuando el usuario se bloquea por directiva.

  • Last updated on