Base de conocimientos

Inicio » ¿Cómo configurar el MFA para el acceso condicional en ADSelfService Plus?

¿Cómo configurar el MFA para el acceso condicional en ADSelfService Plus?

En este artículo encontrará:

Objetivo

Este artículo explica cómo configurar el MFA para el acceso condicional en ADSelfService Plus para implementar el f MFA adaptativa utilizando directivas de acceso condicional para una autenticación segura y consciente del contexto. Permite a las organizaciones aplicar u omitir el MFA de forma dinámica con base en factores contextuales como la dirección IP, el tipo de dispositivo, la ubicación y la hora de acceso. Este enfoque de MFA condicional refuerza la seguridad a la vez que facilita las cosas para el usuario.

Pasos para configurar el MFA para el acceso condicional

Implementar el MFA para el acceso condicional implica configurar reglas y directivas de acceso condicional. Una regla de acceso condicional se configura utilizando tres bloques de construcción:

  • Condiciones: Estas son las bases sobre las que se controlará el acceso. ADSelfService Plus le ofrece la posibilidad de controlar el acceso en función de la dirección IP, el dispositivo, la hora de acceso y las condiciones de geolocalización.
  • Criterios: Las condiciones configuradas se pueden utilizar para formular criterios utilizando operadores booleanos como AND, OR y NOT.
  • Directiva de autoservicio asociada: Las directivas de autoservicio de ADSelfService Plus controlan qué funciones pueden utilizar los usuarios. Estas directivas le permiten configurar cómo deben funcionar las características para diferentes conjuntos de usuarios según su OU y pertenencia a grupo. Al asociar las condiciones y los criterios a una o varias directivas de autoservicio, se configura una regla de acceso condicional.

Paso 1. Configurar una directiva de autoservicio

  1. Vaya a la pestaña configuración.
  2. Haga clic en el botón Añadir nueva directiva situado en la parte inferior derecha de la página.
  3. Ingrese un Nombre de la directiva apropiado.
  4. Entre la lista de funciones de autoservicio proporcionada, seleccione las funciones para su base de usuarios. Debe seleccionar al menos una función de autoservicio.
  5. Haga clic en el botón Seleccionar OU(s)/Grupos.
  6. Seleccione el dominio al que se aplicará la directiva. Aquí tiene dos opciones; puede aplicar la directiva a todos los usuarios del dominio seleccionado o sólo a usuarios específicos según la OU o pertenencia a grupo.
  7. Haga clic en Aceptar.
  8. Haga clic en Guardar directiva..

    9. Steps to configure a self-service policy in ADSelfService Plus.

    Fig. 1: Instrucciones para crear una directiva de autoservicio en ADSelfService Plus.

Nota: También puede asociar directivas de autoservicio con otras funciones, como MFA, SSO y sincronización de contraseñas, para asegurarse de que los usuarios bajo la directiva tengan acceso a esas funciones.

Paso 2. Configurar condiciones

  1. Navegue hasta Configuración > Autoservicio > Acceso condicional > Configuración de reglas..
  2. Haga clic en Configurar nueva regla de acceso condicional (CA).

    Steps to configure conditional access MFA rules in ADSelfService Plus.

    Fig. 2: Instrucciones para configurar reglas de MFA para el acceso condicional en ADSelfService Plus.

  3. Ingrese el Nombre de la regla de CA y una Descripción.
  4. Configure cualquiera de las cuatro condiciones con estos pasos:
    • Dirección IP
      • Marque las casillas de verificación situadas junto a los tipos de dirección IP necesarios:
        • IP estáticas: Para los usuarios que se conectan a su red directamente a través de sus equipos cliente
        • IP del servidor proxy: Para los usuarios que se conectan a través de un servidor proxy
        • Dirección IP de la VPN: Para los usuarios que se conectan a través de un servidor VPN
        Nota: Si ha habilitado los tres tipos de IP, se aplica la siguiente regla: (IP estáticas e IP proxy) O IP VPN.
      • Seleccione si desea confiar o no en las IP ingresadas. Se permitirá el acceso a las IP de confianza y se bloquearán las que no lo sean.
      • Para IP estáticas, ingrese el rango de direcciones IP en los campos Rango de IP. Utilice el icono + para añadir más rangos de IP. También puede ingresar IP individuales y utilizar * como carácter comodín para seleccionar toda una clase de IP.
    • Dispositivo
      • Marque la casilla Equipos y luego haga clic en el icono +.
      • En el cuadro de diálogo "Seleccionar equipo" que se abre, seleccione el dominio y luego los objetos de equipo. Haga clic en Guardar.
      • Marque la casilla "Plataformas" y luego utilice el menú desplegable para seleccionar la(s) plataforma(s). Puede elegir entre Windows, macOS, Linux, la aplicación web móvil de ADSelfService Plus, la aplicación móvil nativa de ADSelfService Plus y las aplicaciones de ManageEngine.
    • Horario commercial
      • Marque la casilla Horario comercial.
      • Seleccione Horario comercial u Horario no comercial según sus necesidades.
      • Configure su horario comercial o no comercial seleccionando el rango de Días y Horas deseado.
      Nota: La hora se aplicará en función de la zona horaria configurada para la solución en los parámetros de Admin → Personalizar → Zona horaria.
    • Geolocalización
      • Seleccione la casilla Geolocalización.
      • Seleccione los Países en el menú desplegable.
      Nota: El acceso condicional basado en la geolocalización utiliza la dirección IP del usuario para determinar la ubicación. Sólo se evaluarán las direcciones IP públicas para la geolocalización. Los intentos de acceso desde direcciones IP privadas quedarán excluidos de esta condición.

      Steps to configure the conditions for conditional access rule in ADSelfService Plus.

      Fig. 3: Instrucciones para configurar las condiciones de la regla de acceso condicional en ADSelfService Plus.

Paso 3. Crear criterios

Tras configurar las condiciones, se pueden formular los criterios utilizando operadores como "Y" (AND), "O" (OR), "NO" (NOT). Estos criterios decidirán cómo se evaluarán las diferentes condiciones para determinar el resultado de la solicitud de acceso. A cada condición se le asigna un número: Dirección IP es 1, Dispositivo es 2, Horario comercial es 3 y Geolocalización es 4. Puede utilizar estos números y operadores para crear los criterios.

Por ejemplo, "1 Y (2 O 3)" y "1 Y (3 O (NO 4))"

Paso 4. Asignar reglas

  1. Vaya a Configuración > Autoservicio > Acceso condicional > Asignación de reglas.
  2. Seleccione la regla que desea asignar en el menú desplegable.
  3. Seleccione la directiva que se aplica a los usuarios que desea evaluar.
    4. Nota: Si un usuario forma parte de varias directivas y al menos una tiene activado el CA, sólo podrá realizar las acciones permitidas por la directiva en la que el usuario cumpla la regla de CA. Ejemplo: Supongamos que hay tres directivas de autoservicio, A, B y C, y dos reglas de CA, 1 y 2. Supongamos que un usuario pertenece a las directivas A y B. Digamos que ambas directivas A y C están asignadas a la regla 1. Si un usuario cumple la regla 1, sólo se le asignará la directiva A, ya que ha cumplido la regla de CA asignada a la directiva A.
  4. Se permite o bloquea el SSO de NTLM y el acceso al portal de ADSelfService Plus. Estos ajustes se aplicarán siempre que se cumpla la norma seleccionada.
    Nota: La opción para permitir o bloquear el SSO de NTLM sólo se activará si la autenticación de NTLM está configurada en Admin > Personalizar > Ajustes de inicio de sesión > Inicio de sesión único.

    Steps to assign the conditional access rule in ADSelfService Plus.

    Fig. 4: Instrucciones para asignar la regla de acceso condicional en ADSelfService Plus.

Priorizar las reglas de MFA para el acceso condicional

Si ha creado varias reglas de MFA para el acceso condicional, puede establecer la prioridad de cada una de ellas para que se aplique la regla con mayor prioridad a los usuarios incluidos en varias reglas.

Para establecer la prioridad de las reglas:

  1. En la página de configuración del Acceso condicional, haga clic en el icono de cambio de prioridad situado en la esquina superior derecha (junto al botón "Configurar nueva regla de acceso condicional (CA)").
  2. Se listarán todas las reglas de acceso condicional configuradas. Arrástrelas y reorganícelas de acuerdo con sus necesidades. La regla que se coloca en la parte superior tendrá la máxima prioridad.

Editar o eliminar las reglas de MFA para el acceso condicional

Cualquier regla de acceso condicional puede modificarse para cambiar las condiciones o los criterios, copiarse para crear una nueva regla, deshabilitarse o eliminarse.

  1. Vaya a la página de configuración del Acceso condicional. Las reglas de acceso condicional configuradas se mostrarán en una tabla.
  2. Bajo la columna Acciones, haga clic en el icono según la acción que desee realizar.
  3. Pulse los iconos y para activar o desactivar una regla. Si hay un icono ☑, significa que la regla está habilitada, y si hay un icono ☒, significa que la regla está deshabilitada.
  4. Haga clic en el icono para modificar la regla.
  5. Haga clic en el icono icon to copy para copiar la regla y crear una nueva a partir de ella.
  6. Haga clic en el icono para eliminar una regla.

Validación y confirmación

Para validar la configuración de su directiva de MFA para el acceso condicional en ADSelfService Plus, inicie sesión utilizando una cuenta de usuario de prueba que coincida con su directiva de autoservicio configurada. Acceda al portal desde distintos escenarios, como una dirección IP de confianza y una que no lo sea, un dispositivo gestionado y uno no gestionado, y en horario comercial y no comercial. Verifique que el MFA para el acceso condicional se aplica u omite correctamente en función de la lógica definida en sus reglas de acceso condicional.

Mejores prácticas de MFA para el acceso condicional

Para implementar de forma efectiva el MFA para el acceso condicional en ADSelfService Plus, siga estas prácticas recomendadas para lograr el equilibrio adecuado entre seguridad y usabilidad:

  1. Definir zonas de confianza

    Configure las direcciones IP de confianza y los dispositivos conocidos en los ajustes de acceso condicional. Esto garantiza que los usuarios que se conecten desde redes internas seguras o desde dispositivos gestionados por la empresa no reciban avisos innecesarios para el MFA.

  2. Aplicar el MFA fuera del horario comercial

    Aumente el control de acceso durante las horas de mayor riesgo, como las noches o los fines de semana, cuando es más probable que se produzcan actividades no autorizadas.

  3. Aplicar restricciones regionales

    Limite el acceso sólo a los países en los que opera su plantilla. Esto ayuda a mitigar los riesgos procedentes de regiones desconocidas o sospechosas.

  4. Utilizar condiciones por capas para mayor precisión

    Combine múltiples condiciones (IP, tipo de dispositivo, hora de acceso, geolocalización) para crear reglas de MFA adaptables. Esto garantiza que se aplique una mayor autenticación sólo cuando los riesgos sean altos.

  5. Permitir excepciones de MFA seguras

    Para ciertos usuarios o escenarios puede ser necesario omitir el MFA para el acceso condicional. ADSelfService Plus lo hace posible permitiendo a los administradores crear reglas que tengan en cuenta el contexto, garantizando excepciones seguras sin debilitar la seguridad general. Ejemplos:

    • Aprovisionamiento de nuevo empleado
    • Cuentas en caso de emergencia (romper el vidrio)
    • Inicios de sesión desde redes internas seguras

Solicite asistencia

¿Necesita más ayuda? Llene este formulario y nos pondremos en contacto de inmediato.

  • Nombre
  •  
  • Correo de negocios *
  •  
  • Teléfono *
  •  
  • Descripción del problema *
  •  
  • País
  •  
  • Al hacer clic en "Enviar", usted acepta que sus datos personales sean tratados de acuerdo con la política de privacidad.
Funciones destacadas de ADSelfService Plus

Autoservicio de contraseña

Permita que los usuarios de Active Directory realicen por sí mismos las tareas de restablecimiento de contraseña y desbloqueo de cuenta, para que no tengan que llamar a la mesa de ayuda.

Una identidad con un inicio de sesión único

Obtenga acceso con un solo clic a más de 100 aplicaciones en la nube. Con el inicio de sesión único empresarial, los usuarios pueden acceder a todas sus aplicaciones en la nube con sus credenciales de Active Directory.

Notificaciones de caducidad de la contraseña y la cuenta

Informe a los usuarios de Active Directory sobre la inminente caducidad de sus contraseñas y cuentas mediante notificaciones por correo electrónico y SMS.

Sincronización de contraseñas

Sincronice los cambios de la cuenta y usuario de Windows Active Directory en múltiples sistemas automáticamente, incluyendo Microsoft 365, Google Workspace, IBM iSeries y más.

Controlador de la directiva de contraseña

Las contraseñas seguras resisten varias amenazas de hackeo. Exija a los usuarios de Active Directory usar contraseñas seguras mostrando los requisitos de complejidad de las contraseñas.

Auto-actualización de directorio y búsqueda en el directorio corporativo

Permita que los usuarios de Active Directory actualicen ellos mismos su información más reciente. Las funciones de búsqueda rápida ayudan a los administradores a buscar información utilizando claves de búsqueda como los números de contacto.

« Inicio

Grandes compañías de latinoamérica confían en ADSelfService Plus

ArusBanistmoIndra
BantrapCanal De PanamaSwiss Medical
CarloCNDTeleperformance
EDUK GroupEntelUmiversity of Peurto Rico
GapmxDPWorld

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

Emprenda un viaje hacia la seguridad de identidad y Zero Trust
Gestión de contraseñasMFA adaptable SSO para empresasAutoservicio y seguridadProductos relacionados