Cómo configurar Microsoft Entra Password Protection

Las contraseñas continúan siendo uno de los vectores de ataque más utilizados en entornos corporativos. Su debilidad o reutilización compromete la infraestructura de identidad y expone a la organización a ataques como fuerza bruta o credential stuffing.

¿Qué es Microsoft Entra Password Protection?

Microsoft Entra Password Protection es una funcionalidad integrada en Microsoft Entra ID que permite aplicar una lista dinámica de contraseñas prohibidas. Esta solución evalúa en tiempo real si una contraseña es suficientemente segura durante su creación o modificación.

Características principales

• Creación de una lista personalizada de términos bloqueados.
• Compatibilidad con entornos híbridos (nube y on-premises).
• Registro de eventos de validación de contraseñas y análisis de cumplimiento.

Requisitos para usar Microsoft Entra Password Protection

Para implementar correctamente Microsoft Entra Password Protection en entornos locales, deben cumplirse con los siguientes requisitos técnicos:

• Suscripción activa a Microsoft Entra ID P1 o P2.
• Controladores de dominio con Windows Server 2012 R2 o superior.
• Instalación del proxy de Password Protection y agentes en los DCs.
• Acceso a internet saliente desde el servidor proxy hacia los servicios de Entra ID.
• Soporte para la replicación DFSR en SYSVOL.
• El agente DC no debe instalarse en controladores de dominio de solo lectura (RODC).
• El agente Proxy requiere .NET Framework 4.7.2 o superior.

Esquema de implementación

1. Proxy de Microsoft Entra Password Protection

   Actúa como intermediario entre los controladores de dominio y Microsoft Entra ID. Se recomienda instalar al menos dos instancias para alta disponibilidad en servidores dedicados.

2. Agente DC Password Protection

   Se instala en cada controlador de dominio y evalúa las contraseñas localmente usando las políticas descargadas.

3. Portal de Microsoft Entra ID

   Desde el portal se definen las políticas de contraseñas personalizadas y se habilitan los modos de auditoría o bloqueo.

   
   

Cómo configurar Microsoft Entra Password Protection

📌 Nota: Este procedimiento asume que los servidores tienen salida directa a Internet. Si se utiliza un proxy intermediario o la conexión a internet de los servidores está restringida, consulta la documentación oficial de Microsoft.

Paso 1: Instalar el proxy y el agente DC

• Descarga desde el portal oficial: Microsoft Download Center - Password Protection
• Instala el proxy en un servidor Windows Server.
• Despliega el agente DC en cada controlador de dominio. Requiere reiniciar los controladores de dominio tras la instalación.

Paso 2: Registrar y verificar el servicio

                Import-Module AzureADPasswordProtection
                Get-Service AzureADPasswordProtectionProxy | fl
                Register-AzureADPasswordProtectionProxy -AccountUpn 'admin@tu-dominio.onmicrosoft.com'
                Test-AzureADPasswordProtectionProxyHealth -TestAll
                Register-AzureADPasswordProtectionForest -AccountUpn 'admin@tu-dominio.onmicrosoft.com'
                Test-AzureADPasswordProtectionProxyHealth -TestAll
            

Si hay errores, consulta la guía de troubleshooting oficial de Microsoft.

Nota: El servicio proxy se actualiza automáticamente al detectar nuevas versiones. El agente DC requiere actualización manual descargando la nueva versión desde el centro de descargas de Microsoft.

Paso 3: Configurar la política de contraseñas personalizada

• Accede al Centro de administración de Microsoft Entra como administrador de autenticación al menos.
• Ve a Métodos de autenticación > Protección con contraseña.
• Habilita:
  • Forzado de contraseñas baneadas → Sí.
  • Habilitar protección en Windows Server Active Directory → Sí.
• Define la lista personalizada de palabras prohibidas (una por línea, hasta 1000 términos). Ejemplos: nombre de la empresa, marcas, ubicaciones, equipos deportivos.
• Establece el modo Auditoría antes de forzar bloqueos, para evaluar el impacto.
• Guarda los cambios.

Paso 4: Verificar la sincronización de políticas

Los agentes escriben eventos en los siguientes registros:

• Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
• Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
• Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

Monitorización de la protección de contraseñas

Puede usarse el cmdlet:

Get-AzureADPasswordProtectionSummaryReport

Este genera un resumen de actividad de contraseñas bloqueadas, permitidas o en modo auditoría.

Ejemplos de eventos comunes

• 10014 - Cambio correcto de contraseña
• 10015 - Contraseña validada
• 10017 - Error al cambiar contraseña
• 10025 / 30009 - Contraseña rechazada, pero aceptada en modo Auditoría
• 30006 - Nueva directiva aplicada
• 30019 - Protección con contraseña deshabilitada

🛡️¿Necesitas ayuda para proteger tu entorno Microsoft 365?

En Allbit Solutions, somos especialistas en la configuración avanzada de Microsoft Entra Password Protection y en soluciones de seguridad de identidad dentro del ecosistema Microsoft 365. Si deseas evaluar la seguridad de tus contraseñas, proteger tu infraestructura híbrida y aplicar políticas de protección efectivas, contáctanos.

📩 Escríbenos aquí

Sobre el autor:
Kevin Maldonado, LinkedIn

Técnico de Ciberseguridad en Allbit Solutions, especializado en la protección de entornos Microsoft 365 y endpoints. Cuenta con certificaciones de Microsoft en administración de identidades y seguridad (Identity and Access Administrator Associate, 2025; Azure Security Engineer Associate, 2024), entre otras acreditaciones.

Ver todas