Ciberseguridad

Cómo configurar bloqueo de cuentas (Account Lockout) en Intune - Umbral, duración y restablecimiento

Tiempo de lectura: 5 minutos

Aprende a aplicar mediante Microsoft Intune una política personalizada OMA-URI para prevenir ataques de fuerza bruta definiendo el umbral de intentos fallidos, la duración del bloqueo y el restablecimiento del contador en Windows 11.

Introducción

Uno de los aspectos clave en la seguridad de los dispositivos corporativos es controlar los intentos de inicio de sesión fallidos. Con Intune es posible reforzar este control mediante una política personalizada basada en OMA-URI, aunque estas opciones no estén siempre visibles en las plantillas estándar.

Este artículo muestra cómo aplicar tres ajustes esenciales para mitigar ataques de fuerza bruta:

  • Duración del bloqueo de cuentas (Account Lockout): 15 minutos o más.
  • Umbral de intentos inválidos: entre 1 y 10.
  • Tiempo para restablecer el contador: 15 minutos o más.

¿Qué es OMA-URI y Policy CSP?

Para poder entender lo que vamos a hacer, conviene repasar brevemente estos dos conceptos:

  • OMA-URI (Open Mobile Alliance Uniform Resource Identifier) es una ruta de acceso que permite que un perfil de configuración (desde MDM / Intune) aplique un ajuste específico en un dispositivo Windows.
  • Policy CSP (Configuration Service Provider) es el mecanismo de Windows que interpreta esas rutas OMA-URI y aplica los valores correspondientes en el equipo (registro, directivas, etc.).

En resumen: la directiva personalizada se crea en Intune, contiene una o varias rutas OMA-URI que apuntan a un CSP concreto; Intune envía esa configuración al dispositivo, el CSP la aplica.

Prerrequisitos

  • Licencias que incluyan Intune P1 o superiror
  • Dispositivos enrolados y gestionados a través de Intune.
  • Windows 11 version 22H2 con KB 5053657 o Windows 11 24H2 o posterior.
  • Recommendations

¿Qué políticas vamos a configurar?

Para alinearse con buenas prácticas de seguridad (por ejemplo, recomendaciones de Microsoft Defender for Endpoint o baselines de seguridad), vamos a aplicar estos tres valores:

  • Duración del bloqueo de cuentas (Account lockout duration): 15 minutos o más.
  • Umbral de intentos inválidos (Account lockout threshold): entre 1 y 10 intentos.
  • Tiempo para restablecer el contador (Reset account lockout counter after): 15 minutos o más.

¿Cómo aplicar estas configuraciones en Intune?

  1. Accede al portal de Intune (Microsoft Endpoint Manager) y ve a Dispositivos > Configuración de dispositivos > Perfiles.
  2. Crea un nuevo perfil: Plataforma: Windows 10 y posteriores; Tipo de perfil: Personalizado (Custom).
  3. Añade la siguiente configuración OMA-URI (como ejemplo):
    • Nombre: Account Lockout Policy
    • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy
    • Tipo de datos: String
    • Valor: AccountLockoutDuration:15, AccountLockoutThreshold:10, ResetAccountLockoutCounterAfter:15
  4. Asigna el perfil al grupo de dispositivos adecuado (idealmente primero a un grupo piloto).
OMA-URI

🛡️¿Podemos ayudarte?

En Allbit ayudamos a las organizaciones a tomar el control de su entorno Microsoft 365 mediante configuraciones seguras, gobernadas y alineadas a las buenas prácticas de Microsoft y el CCN-CERT. ¿Quieres asegurar tu tenant y dispositivos?

👉 Solicita una revisión de seguridad sobre tu entorno M365 aquí

Sobre el autor:
Kevin Maldonado,

Técnico de Ciberseguridad en Allbit Solutions, especializado en la protección de entornos Microsoft 365 y endpoints. Cuenta con certificaciones de Microsoft en administración de identidades y seguridad (Identity and Access Administrator Associate, 2025; Azure Security Engineer Associate, 2024), entre otras acreditaciones.

Ver todas