Planear una implementación de Identity Protection

Protección de Microsoft Entra ID detecta riesgos basados en identidades, los informa y permite a los administradores investigar y corregir estos riesgos para mantener a las organizaciones seguras y protegidas. Los riesgos se pueden insertar posteriormente en herramientas como Acceso condicional para tomar decisiones de acceso o alimentar una herramienta de administración de eventos e información de seguridad (SIEM) para realizar una investigación más detallada.

Este plan de implementación amplía los conceptos introducidos en el plan de implementación de acceso condicional.

Requisitos previos

• Un inquilino de Microsoft Entra en funcionamiento con Microsoft Entra ID P2 o una licencia de prueba habilitada. Si es preciso, cree una cuenta gratuita.
  • Microsoft Entra ID P2 es necesario para incluir el riesgo de Identity Protection en las directivas de acceso condicional.
• Los administradores que interactúan con Identity Protection deben tener asignados uno o varios de los siguientes roles en función de las tareas que realicen. Para seguir el principio de confianza cero de privilegios mínimos, considere la posibilidad de usar Privileged Identity Management (PIM) para activar las asignaciones de roles con privilegios Just-In-Time.
  • Lea las directivas y opciones de configuración de Identity Protection y acceso condicional
    • Lector de seguridad
    • Lector global
  • Administración de Identity Protection
    • Operador de seguridad
    • Administrador de seguridad
  • Creación o modificación de directivas de acceso condicional
    • Administrador de acceso condicional
    • Administrador de seguridad
• Un usuario de prueba (no administrador) que le permite comprobar que las directivas funcionan según lo previsto antes de que se implementen en los usuarios reales. Si necesita crear un usuario, consulte Inicio rápido: Incorporación de nuevos usuarios a Microsoft Entra ID.
• Un grupo del que sea miembro el usuario que no es administrador. Para crear un grupo, consulte cómo crear un grupo y agregar miembros en Microsoft Entra ID.

Interactuar con las partes interesadas adecuadas

Cuando fracasan los proyectos tecnológicos, por lo general, se debe a expectativas incorrectas relacionadas con su efecto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de involucrar a las partes interesadas correctas y que los roles de las partes interesadas en el proyecto se entiendan bien; para ello, documente las partes interesadas y sus aportes y responsabilidades en el proyecto.

Comunicación del cambio

La comunicación es fundamental para el éxito de cualquier nueva funcionalidad. Debería comunicar de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si experimentan cualquier problema.

Paso 1: Revisar los informes existentes

Es importante revisar los informes de Identity Protection antes de implementar directivas de acceso condicional basadas en riesgos. Esta revisión ofrece la oportunidad de investigar el comportamiento sospechoso existente que puede haber perdido, y descartar o confirmar a estos usuarios como seguros si ha determinado que no están en riesgo.

• Investigación de detecciones de riesgos
• Corregir riesgos y desbloquear usuarios
• Realizar cambios masivos con PowerShell de Microsoft Graph

Para mejorar la eficacia, se recomienda permitir que los usuarios puedan realizar correcciones por su cuenta mediante directivas que se describen en el paso 3.

Paso 2: Planear directivas de riesgo de acceso condicional

Identity Protection envía señales de riesgo al acceso condicional para tomar decisiones y aplicar directivas organizativas, como requerir la autenticación multifactor o el cambio de contraseña. Hay varios elementos que las organizaciones deben planear antes de crear sus directivas.

Exclusiones de directivas

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia para evitarel bloqueo de cuentas en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional con ámbito a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas. Como solución temporal, puede excluir estas cuentas específicas de la directiva de línea de base.

Autenticación multifactor

Sin embargo, para que los usuarios corrijan el riesgo por su cuenta, deben registrarse para la autenticación multifactor de Microsoft Entra antes de que sean estos usuarios quienes representen un riesgo. Para más información, consulte el artículo Planear una implementación de autenticación multifactor de Microsoft Entra.

Ubicaciones de red conocidas

Es importante configurar ubicaciones con nombre en el acceso condicional y agregar los intervalos de VPN a Defender for Cloud Apps. Los inicios de sesión de ubicaciones con nombre, marcados como de confianza o conocidos, mejoran la precisión de los cálculos de riesgo de Protección de Microsoft Entra ID. Estos inicios de sesión reducen el riesgo de un usuario cuando se autentican desde una ubicación marcada como de confianza o conocida. Esta práctica reduce los falsos positivos para algunas detecciones en su entorno.

Modo de solo informe

El modo de solo informe es un nuevo estado de la directiva de acceso condicional que permite a los administradores evaluar el impacto de las directivas de acceso condicional antes de habilitarlas en su entorno.

Paso 3: Configurar las directivas

Instrucciones: Configuración de la directiva de registro de Azure Multi-Factor Authentication

Use la directiva de registro de autenticación multifactor de Identity Protection para ayudar a que los usuarios se registren para la autenticación multifactor de Microsoft Entra antes de que necesiten usarla. Siga los pasos del artículo Configuración de la directiva de registro de autenticación multifactor de Microsoft Entra para habilitar esta directiva.

Directivas de acceso condicional

Riesgo de inicio de sesión: La mayoría de los usuarios tienen un comportamiento normal que puede seguirse, cuando se salen de esta norma, podría ser peligroso permitirles que inicien sesión sin ninguna restricción. Es posible que sea conveniente bloquear a ese usuario o quizás simplemente puede pedirle que lleve a cabo la autenticación multifactor para demostrar que realmente es quien dice ser. Es posible que desee empezar por determinar el ámbito de estas directivas solo a los administradores.

Riesgo de usuario: Microsoft trabaja con investigadores, cuerpos legales, varios equipos de seguridad de Microsoft y otros orígenes de confianza para buscar pares de nombre de usuario y contraseña filtrados. Cuando se detectan estos usuarios en riesgo, se recomienda requerir que los usuarios realicen la autenticación multifactor y luego restablezcan su contraseña.

En el artículo Configuración y habilitación de directivas de riesgo, se proporcionan instrucciones para crear directivas de acceso condicional para abordar estos riesgos.

Paso 4: Supervisión y necesidades operativas continuas

Notificaciones por correo electrónico

Habilite las notificaciones para que pueda responder cuando un usuario esté marcado como en riesgo para que pueda empezar a investigar inmediatamente. También puede configurar correos electrónicos de resumen semanales que le dan una visión general del riesgo de esa semana.

Supervisión e investigación

El libro Identity Protection puede ayudar a supervisar y buscar patrones en el inquilino. Supervise este libro para ver las tendencias y también los resultados del modo de solo informe del acceso condicional para ver si hay cambios que deben realizarse, por ejemplo, adiciones a ubicaciones con nombre.

Microsoft Defender for Cloud Apps proporciona un marco de investigación que las organizaciones pueden usar como punto de partida. Para más información, consulte el artículo Cómo investigar las alertas de detección de anomalías.

También puede usar las API de Identity Protection para exportar información de riesgo a otras herramientas, por lo que el equipo de seguridad puede supervisar y alertar sobre eventos de riesgo.

Durante las pruebas, es posible que desee simular algunas amenazas para probar los procesos de investigación.

Pasos siguientes

¿Qué es el riesgo?