AZ-104
Deep Dive
Políticas, SSPR, writeback híbrido y protección contra contraseñas débiles. El AZ-104 evalúa la configuración de SSPR, password writeback y smart lockout.
Contenido
Política por defecto — usuarios cloud
Política para usuarios sincronizados (AD DS)
Los usuarios sincronizados desde AD DS on-premises heredan la política de contraseñas del dominio AD DS, no la de Entra ID.
• La contraseña se gestiona en AD DS (ADUC o políticas de grupo)
• Entra ID no puede imponer su política de expiración sobre usuarios sync
• Para que el usuario pueda cambiar la contraseña cloud → necesita Password Writeback
• Fine-Grained Password Policies en AD DS para grupos específicos
Entra ID → Password reset. Permite a los usuarios resetear su contraseña sin intervención del helpdesk.
Properties
SSPR enabled
None / Selected / All
Group (si Selected)
Security group que puede usar SSPR
Authentication methods
Métodos habilitables:
Email (externo)
Mobile phone (SMS)
Office phone
Security questions
Mobile app code (TOTP)
Mobile app notification
Número requerido: 1 o 2. Con 2 métodos requeridos, el usuario necesita verificar con 2 factores distintos.
Registration + Notifications
Registration
Require registration on sign-in: Sí/No. Days before re-confirm: 0–730. Si 0 = nunca re-confirmar.
Notifications
Notify users on password reset: email al usuario. Notify all admins when admin resets: alerta a todos los admins (solo para admins).
Customization
Helpdesk link personalizado en la pantalla de SSPR (ej: link al ticket system).
Sin writeback, SSPR solo resetea la contraseña cloud. Con writeback, el reset se propaga al AD DS on-premises.
Requisitos
Flujo de password writeback
Opciones adicionales de writeback
Allow users to unlock without reset
El usuario puede desbloquear su cuenta de AD DS sin cambiar contraseña.
On-premises: Required by policy
Entra ID valida que la nueva contraseña cumple la política del AD DS ANTES de completar el proceso.
Writeback via Entra Connect Cloud Sync
Nueva opción: usar Entra Connect Cloud Sync (agente ligero) en lugar del Entra Connect clásico.
Entra ID detecta y bloquea intentos de fuerza bruta inteligentemente, sin bloquear a usuarios legítimos.
Cómo funciona Smart Lockout
Umbral por defecto: 10 intentos fallidos → cuenta bloqueada por 60 segundos. El tiempo aumenta exponencialmente en bloqueos sucesivos.
Dos instancias: Smart Lockout mantiene contadores separados para IPs conocidas (usual) vs IPs desconocidas. Un atacante desde IP nueva no afecta el contador de la IP habitual del usuario.
Configurable: Entra ID → Security → Authentication methods → Password protection → Lockout threshold y Lockout duration.
Para híbrido: La política de Smart Lockout de Entra ID aplica a Entra ID. El AD DS on-premises tiene su propio Account Lockout Policy. Para sincronizar, se usa Entra Password Protection agent en los DCs.
Entra ID Password Protection
Servicio que aplica las banned password lists tanto en Entra ID como en AD DS on-premises (via agente instalado en DCs).
Global banned list: Microsoft mantiene lista de contraseñas comprometidas conocidas. Se actualiza continuamente. No configurable.
Custom banned list: El admin agrega términos específicos de la empresa (nombre de la empresa, marca, ciudad HQ).
Fuzzy matching: "P@ssw0rd" también es bloqueada si "password" está en la lista. Variaciones con sustituciones comunes (@ por a, 0 por o).
Configuración
Entra ID → Security → Authentication methods → Password protection → Custom banned passwords.
Enforce custom list: Yes/No.
Custom banned password list: Una palabra por línea. Máximo 1.000 términos. Mínimo 4 caracteres cada uno.
Ejemplos típicos: nombre de la empresa, ciudad, producto principal, términos de industria.
Para on-premises (Password Protection Agent)
1. Instalar AzureADPasswordProtectionDCAgent.msi en cada DC
2. Instalar AzureADPasswordProtectionProxy.msi en ≥2 servidores para HA
3. Registrar el Proxy y los DCs en Entra ID con Register-AzureADPasswordProtection*
4. Los DCs descargan las banned lists desde Entra ID vía Proxy (sin conectividad directa DC→internet)
5. Funciona en modo Audit primero para ver impacto antes de Enforced
¿Qué se sincroniza exactamente?
PHS NO sincroniza la contraseña en texto claro ni el hash NTLM directamente. Sincroniza:
Proceso de sincronización:
1. AD DS tiene hash MD4(NTLM) de la contraseña
2. Entra Connect calcula: PBKDF2(HMAC-SHA256, salted(MD4(password)), 1000 iteraciones)
3. Ese hash derivado (16 bytes) se envía cifrado (TLS 1.2+) a Entra ID
4. Entra ID almacena una versión adicional hasheada para validación
El hash original de AD DS nunca sale del DC. Entra ID no puede revertir el proceso para obtener la contraseña original.
Ciclo de sync: Cuando el usuario cambia contraseña en AD DS, Entra Connect la detecta y sincroniza en ~2 minutos.
PHS también habilita: Leaked credential detection
Con PHS activo, Identity Protection (P2) puede comparar los hashes con bases de datos de credenciales comprometidas (dark web) y generar alertas de "Leaked credentials" para usuarios afectados.
A diferencia del Entra Connect clásico, Cloud Sync configura el writeback desde el portal de Azure sin tocar el servidor del agente.
Diferencias de configuración
| Aspecto | Connect clásico | Cloud Sync |
|---|---|---|
| Configuración | Wizard en el servidor | Portal de Entra ID (cloud) |
| Staging server | Necesario para HA | Múltiples agentes = HA automático |
| On-demand test | Sync cycle completo | Provisioning on-demand por usuario |
| Scope de writeback | Todos los usuarios sync | Configurable por OU o grupo |
Configurar writeback en Cloud Sync
Entra ID registra toda la actividad de autenticación y gestión de contraseñas. Los reportes de SSPR son especialmente útiles para medir adopción y detectar problemas.
Reportes específicos de SSPR
Password reset activity
Entra ID → Monitoring → Usage & insights → Authentication methods
Cuántos resets ocurrieron, cuántos completados vs fallidos, por método usado, por usuario.
Password reset registration
Entra ID → Monitoring → Usage & insights → Authentication methods → Registration
Qué porcentaje de usuarios tiene SSPR registrado, qué métodos tienen registrados.
Authentication methods activity
Entra ID → Protection → Authentication methods → Activity
Adopción de cada método (Authenticator app, SMS, FIDO2, etc.) para MFA y SSPR.
Retención de logs y exportación
| Tipo de log | Free | P1/P2 |
|---|---|---|
| Sign-in logs | 7 días | 30 días |
| Audit logs | 7 días | 30 días |
| Risky sign-ins | No | 30 días |
| Risky users | No | 30 días |
Retención larga → exportar a:
• Log Analytics Workspace — queries KQL, retención hasta 2 años
• Azure Storage — archivado barato, retención indefinida
• Azure Event Hubs — streaming a SIEM (Sentinel, Splunk, QRadar)
Eventos clave en Audit Log para SSPR
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
¿Qué característica de Microsoft Entra ID permite a los usuarios restablecer su propia contraseña sin intervención del equipo de IT?