Plan de implementación de Confianza cero de Microsoft 365

En este artículo se proporciona un plan de implementación para crear Confianza cero seguridad con Microsoft 365. Confianza cero es un nuevo modelo de seguridad que supone una infracción y comprueba cada solicitud como si se originase en una red no controlada. Independientemente de dónde se origine la solicitud o del recurso al que acceda, el modelo de Confianza cero nos enseña a "no confiar nunca, comprobar siempre".

Use este artículo junto con este póster.

Elemento Descripción
Ilustración del plan de implementación de Microsoft 365 Confianza cero.
PDF | Visio
Actualizado en marzo de 2022
Guías de soluciones relacionadas

arquitectura de seguridad de Confianza cero

Un enfoque de Confianza cero se extiende por todo el patrimonio digital y actúa como una filosofía de seguridad integrada y una estrategia integral.

En esta ilustración se proporciona una representación de los elementos principales que contribuyen a Confianza cero.

La arquitectura de seguridad Confianza cero

En la ilustración:

  • La aplicación de directivas de seguridad está en el centro de una arquitectura de Confianza cero. Esto incluye Multi Factor Authentication con acceso condicional que tiene en cuenta el riesgo de la cuenta de usuario, el estado del dispositivo y otros criterios y directivas que establezca.
  • Las identidades, los dispositivos, los datos, las aplicaciones, la red y otros componentes de infraestructura están configurados con la seguridad adecuada. Las directivas que se configuran para cada uno de estos componentes se coordinan con la estrategia general de Confianza cero. Por ejemplo, las directivas de dispositivo determinan los criterios para los dispositivos en buen estado y las directivas de acceso condicional requieren dispositivos en buen estado para el acceso a aplicaciones y datos específicos.
  • La protección contra amenazas y la inteligencia supervisan el entorno, exponen los riesgos actuales y toman medidas automatizadas para corregir los ataques.

Para obtener más información sobre Confianza cero, consulte el Centro de orientación de Confianza cero de Microsoft.

Implementación de Confianza cero para Microsoft 365

Microsoft 365 se ha creado intencionadamente con muchas funcionalidades de seguridad y protección de la información para ayudarle a crear Confianza cero en su entorno. Muchas de las funcionalidades se pueden ampliar para proteger el acceso a otras aplicaciones SaaS que usa su organización y los datos de estas aplicaciones.

Esta ilustración representa el trabajo de implementación de funcionalidades de Confianza cero. Este trabajo se divide en unidades de trabajo que se pueden configurar juntas, empezando desde la parte inferior y trabajando hasta la parte superior para asegurarse de que el trabajo previo está completo.

Pila de implementación de Microsoft 365 Confianza cero

En esta ilustración:

  • Confianza cero comienza con una base de protección de dispositivos e identidades.
  • Las funcionalidades de protección contra amenazas se basan en esta base para proporcionar supervisión y corrección en tiempo real de las amenazas de seguridad.
  • La protección de la información y la gobernanza proporcionan controles sofisticados dirigidos a tipos específicos de datos para proteger su información más valiosa y ayudarle a cumplir con los estándares de cumplimiento, incluida la protección de la información personal.

En este artículo se supone que ya ha configurado la identidad en la nube. Si necesita instrucciones para este objetivo, consulte Implementación de la infraestructura de identidad para Microsoft 365.

Paso 1. Configuración de la protección de acceso a dispositivos e identidades de Confianza cero: directivas de punto de partida

El primer paso consiste en crear la base de Confianza cero mediante la configuración de la protección de identidad y acceso a dispositivos.

Proceso para configurar Confianza cero protección de acceso a dispositivos e identidades

Vaya a Confianza cero protección de acceso a dispositivos e identidades para obtener instrucciones prescriptivas para ello. En esta serie de artículos se describe un conjunto de configuraciones de requisitos previos de acceso a dispositivos e identidades y un conjunto de acceso condicional de Azure Active Directory (Azure AD), Microsoft Intune y otras directivas para proteger el acceso a Microsoft 365 para aplicaciones y servicios en la nube empresariales, otros servicios SaaS y aplicaciones locales publicadas con Azure AD Application Proxy.

Incluye Requisitos previos No incluye
Directivas de acceso a dispositivos e identidades recomendadas para tres niveles de protección:
  • Punto de inicio
  • Enterprise (recomendado)
  • Especializado

Recomendaciones adicionales para:
  • Usuarios externos (invitados)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
Microsoft E3 o E5

Azure Active Directory en cualquiera de estos modos:
  • Solo de nube
  • Autenticación híbrida con sincronización de hash de contraseña (PHS)
  • Híbrido con autenticación de paso a través (PTA)
  • Federados
Inscripción de dispositivos para directivas que requieren dispositivos administrados. Consulte el paso 2. Administración de puntos de conexión con Intune para inscribir dispositivos

Para empezar, implemente el nivel de punto inicial. Estas directivas no requieren la inscripción de dispositivos en la administración.

Las directivas de acceso a dispositivos e identidades de Confianza cero: nivel de punto inicial

Paso 2. Administración de puntos de conexión con Intune

A continuación, inscriba los dispositivos en la administración y comience a protegerlos con controles más sofisticados.

Elemento Administrar puntos de conexión con Intune

Vaya a Administración de dispositivos con Intune para obtener instrucciones prescriptivas para ello.

Incluye Requisitos previos No incluye
Inscribir dispositivos con Intune:
  • Dispositivos de propiedad corporativa
  • Autopilot/automatizado
  • Inscripción

Configurar directivas:
  • Directivas de App Protection
  • Directivas de cumplimiento
  • Directivas de perfil de dispositivo
Registro de puntos de conexión con Azure AD Configuración de funcionalidades de protección de la información, entre las que se incluyen:
  • Tipos de información confidencial
  • Etiquetas
  • Directivas DLP

Para obtener estas funcionalidades, consulte el paso 5. Proteger y controlar la información confidencial (más adelante en este artículo).

Paso 3. Agregar Confianza cero protección de identidad y acceso a dispositivos: directivas empresariales

Con los dispositivos inscritos en la administración, ahora puede implementar el conjunto completo de directivas de acceso a dispositivos e identidades de Confianza cero recomendadas, que requieren dispositivos compatibles.

Las directivas de identidad y acceso de Confianza cero con la administración de dispositivos

Vuelva a las directivas de acceso a dispositivos e identidades comunes y agregue las directivas en el nivel Enterprise.

Las directivas de identidad y acceso de Confianza cero: nivel Enterprise (recomendado)

Paso 4. Evaluar, probar e implementar Microsoft 365 Defender

Microsoft 365 Defender es una solución de detección y respuesta extendida (XDR) que recopila, correlaciona y analiza automáticamente datos de señales, amenazas y alertas de todo el entorno de Microsoft 365, incluidos puntos de conexión, correo electrónico, aplicaciones e identidades.

Proceso de adición de Microsoft 365 Defender a la arquitectura de Confianza cero

Vaya a Evaluación y Microsoft 365 Defender piloto para obtener una guía metódica sobre cómo pilotar e implementar componentes de Microsoft 365 Defender.

Incluye Requisitos previos No incluye
Configure el entorno piloto y de evaluación para todos los componentes:
  • Defender for Identity
  • Defender para Office 365
  • Defender para punto de conexión
  • Microsoft Defender for Cloud Apps

Protección contra amenazas

Investigar y responder a amenazas
Consulte las instrucciones para obtener información sobre los requisitos de arquitectura de cada componente de Microsoft 365 Defender. Azure AD Identity Protection no se incluye en esta guía de solución. Se incluye en el paso 1. Configure Confianza cero protección de identidad y acceso a dispositivos.

Paso 5. Protección y control de datos confidenciales

Implemente Microsoft Purview Information Protection para ayudarle a detectar, clasificar y proteger información confidencial dondequiera que viva o viaje.

Microsoft Purview Information Protection funcionalidades se incluyen con Microsoft Purview y le proporcionan las herramientas para conocer los datos, proteger los datos y evitar la pérdida de datos.

Funcionalidades de protección de la información que protegen los datos mediante la aplicación de directivas

Aunque este trabajo se representa en la parte superior de la pila de implementación ilustrada anteriormente en este artículo, puede comenzar este trabajo en cualquier momento.

Microsoft Purview Information Protection proporciona un marco, un proceso y funcionalidades que puede usar para lograr sus objetivos empresariales específicos.

Microsoft Purview Information Protection

Para obtener más información sobre cómo planear e implementar la protección de la información, consulte Implementación de una solución de Microsoft Purview Information Protection.

Si va a implementar la protección de la información para las regulaciones de privacidad de datos, esta guía de solución proporciona un marco recomendado para todo el proceso: Implementar la protección de la información para las regulaciones de privacidad de datos con Microsoft 365.