Configuraciones de identidad y acceso a dispositivos de Confianza cero
El personal de hoy en día requiere acceso a aplicaciones y recursos que existen más allá de los límites de red corporativos tradicionales. Las arquitecturas de seguridad que se basan en firewalls de red y redes privadas virtuales (VPN) para aislar y restringir el acceso a los recursos ya no son suficientes.
Para abordar este nuevo mundo de la informática, Microsoft recomienda encarecidamente el modelo de seguridad Confianza cero, que se basa en estos principios rectores:
- Comprobar explícitamente: autentíquese y autorice siempre en función de todos los puntos de datos disponibles. Esta comprobación es donde Confianza cero directivas de acceso a dispositivos e identidades son fundamentales para el inicio de sesión y la validación en curso.
- Uso del acceso con privilegios mínimos: limite el acceso de los usuarios con Just-In-Time y Just-Enough-Access (JIT/JEA), directivas adaptables basadas en riesgos y protección de datos.
- Suponga una vulneración: minimice el radio de explosión y el acceso a segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.
Esta es la arquitectura general de Confianza cero:
Confianza cero directivas de acceso a dispositivos e identidades abordan el principio de guía Comprobar explícitamente para:
- Identidades: cuando una identidad intenta acceder a un recurso, compruebe esa identidad con autenticación segura y asegúrese de que el acceso solicitado es compatible y típico.
- Dispositivos (también denominados puntos de conexión): supervise y aplique los requisitos de cumplimiento y estado del dispositivo para un acceso seguro.
- Aplicaciones: Aplique controles y tecnologías a:
- Asegúrese de los permisos adecuados desde la aplicación.
- Controlar el acceso en función del análisis en tiempo real.
- Supervisión del comportamiento anómalo
- Controlar las acciones del usuario.
- Validar las opciones de configuración segura.
En esta serie de artículos se describe un conjunto de directivas y configuraciones de acceso a dispositivos e identidades mediante Microsoft Entra ID, acceso condicional, Microsoft Intune y otras características. Estas configuraciones y directivas proporcionan Confianza cero acceso a Microsoft 365 para aplicaciones y servicios en la nube empresariales, otros servicios SaaS y aplicaciones locales que se publican con Microsoft Entra proxy de aplicación.
Confianza cero configuración y directivas de acceso a dispositivos e identidades se recomiendan en tres niveles:
- Punto de partida.
- Empresa.
- Seguridad especializada para entornos con datos altamente regulados o clasificados.
Estos niveles y sus configuraciones correspondientes proporcionan niveles coherentes de protección de Confianza cero en los datos, identidades y dispositivos. Estas funcionalidades y sus recomendaciones:
- Se admiten en Microsoft 365 E3 y Microsoft 365 E5.
- Se alinean con la puntuación de seguridad de Microsoft y la puntuación de identidad en Microsoft Entra ID. Si sigue las recomendaciones, aumentará estas puntuaciones para su organización.
- Ayudarle a implementar estos cinco pasos para proteger la infraestructura de identidad.
Si su organización tiene requisitos o complejidades únicos, use estas recomendaciones como punto de partida. Sin embargo, la mayoría de las organizaciones pueden implementar estas recomendaciones según lo prescrito.
Vea este vídeo para obtener información general rápida sobre las configuraciones de acceso a dispositivos y identidades para Microsoft 365 para empresas.
Nota:
Microsoft también vende licencias de Enterprise Mobility + Security (EMS) para suscripciones Office 365. Las capacidades EMS E3 y EMS E5 son equivalentes a las de Microsoft 365 E3 y Microsoft 365 E5. Para obtener más información, consulte Planes ems.
Público objetivo
Estas recomendaciones están pensadas para arquitectos empresariales y profesionales de TI que están familiarizados con los servicios de seguridad y productividad en la nube de Microsoft 365. Estos servicios incluyen Microsoft Entra ID (identidad), Microsoft Intune (administración de dispositivos) y Microsoft Purview Information Protection (protección de datos).
Entorno del cliente
Las directivas recomendadas se aplican a las organizaciones empresariales que operan por completo en la nube de Microsoft y a los clientes con infraestructura de identidad híbrida. Una estructura de identidad híbrida es un bosque Active Directory local que se sincroniza con Microsoft Entra ID.
Muchas de nuestras recomendaciones se basan en servicios que solo están disponibles con las siguientes licencias:
- Microsoft 365 E5.
- Microsoft 365 E3 con el complemento seguridad E5.
- EMS E5.
- Microsoft Entra ID licencias P2.
Para las organizaciones que no tienen estas licencias, se recomienda implementar al menos valores predeterminados de seguridad, que se incluyen con todos los planes de Microsoft 365.
Advertencias
Su organización podría estar sujeta a requisitos normativos u otros requisitos de cumplimiento, incluidas recomendaciones específicas que requieren que aplique directivas que divergen de estas configuraciones recomendadas. Estas configuraciones recomiendan controles de uso que no han estado disponibles históricamente. Recomendamos estos controles porque creemos que representan un equilibrio entre seguridad y productividad.
Hemos hecho todo lo posible para tener en cuenta una amplia variedad de requisitos de protección de la organización, pero no podemos tener en cuenta todos los requisitos posibles o todos los aspectos únicos de su organización.
Tres niveles de protección
La mayoría de las organizaciones tienen requisitos concretos relacionados con la seguridad y la protección de datos. Estos requisitos varían dentro de las organizaciones según el segmento sectorial y las funciones de trabajo. Por ejemplo, el departamento legal y los administradores pueden requerir controles adicionales de seguridad y protección de la información en torno a su correspondencia por correo electrónico que no son necesarias para otras unidades de negocio.
Cada sector además tiene su propio conjunto de normas especializadas. No estamos intentando proporcionar una lista de todas las opciones de seguridad posibles o una recomendación por segmento del sector o función de trabajo. En su lugar, proporcionamos recomendaciones para tres niveles de seguridad y protección que se pueden aplicar en función de la granularidad de sus necesidades.
- Punto de partida: se recomienda que todos los clientes establezcan y usen un estándar mínimo para proteger los datos, así como las identidades y los dispositivos que acceden a los datos. Puede seguir estas recomendaciones para proporcionar una protección predeterminada sólida como punto de partida para todas las organizaciones.
- Empresa: algunos clientes tienen un subconjunto de datos que deben protegerse en niveles superiores o todos los datos deben protegerse en un nivel superior. Puede aplicar una mayor protección a todos o conjuntos de datos específicos en el entorno de Microsoft 365. Se recomienda proteger las identidades y los dispositivos que acceden a información confidencial con niveles de seguridad comparables.
- Seguridad especializada: según sea necesario, algunos clientes tienen una pequeña cantidad de datos altamente clasificados, constituyen secretos comerciales o están regulados. Microsoft proporciona funcionalidades para ayudar a estos clientes a cumplir estos requisitos, incluida la protección adicional para identidades y dispositivos.
En esta guía se muestra cómo implementar Confianza cero protección para identidades y dispositivos para cada uno de estos niveles de protección. Use esta guía como mínimo para su organización y ajuste las directivas para satisfacer los requisitos específicos de su organización.
Es importante usar niveles coherentes de protección en las identidades, dispositivos y datos. Por ejemplo, la protección de los usuarios con cuentas prioritarias (como ejecutivos, líderes, administradores y otros) debe incluir el mismo nivel de protección para sus identidades, sus dispositivos y los datos a los que acceden.
Además, consulte la solución Implementar la protección de la información para las regulaciones de privacidad de datos para proteger la información almacenada en Microsoft 365.
Equilibrio entre seguridad y productividad
La implementación de cualquier estrategia de seguridad requiere compensaciones entre la seguridad y la productividad. Resulta útil evaluar cómo afecta cada decisión al equilibrio de seguridad, funcionalidad y facilidad de uso.
Las recomendaciones proporcionadas se basan en los siguientes principios:
- Conozca a los usuarios y sea flexible con sus requisitos funcionales y de seguridad.
- Aplique una directiva de seguridad justo a tiempo y asegúrese de que sea significativa.
Servicios y conceptos para Confianza cero protección de identidad y acceso a dispositivos
Microsoft 365 para empresas está diseñado para que las grandes organizaciones puedan capacitar a todos para que sean creativos y trabajen juntos de forma segura.
En esta sección se proporciona información general sobre los servicios y funcionalidades de Microsoft 365 que son importantes para Confianza cero identidad y acceso al dispositivo.
Microsoft Entra ID
Microsoft Entra ID proporciona un conjunto completo de funcionalidades de administración de identidades. Se recomienda usar estas funcionalidades para proteger el acceso.
| Funcionalidad o característica | Description | Licencias |
|---|---|---|
| Autenticación multifactor (MFA) | MFA requiere que los usuarios proporcionen dos formas de verificación, como una contraseña de usuario y una notificación de la aplicación Microsoft Authenticator o una llamada telefónica. MFA reduce en gran medida el riesgo de que se puedan usar credenciales robadas para acceder a su entorno. Microsoft 365 usa el servicio de autenticación multifactor Microsoft Entra para inicios de sesión basados en MFA. | Microsoft 365 E3 o E5 |
| Acceso condicional | Microsoft Entra ID evalúa las condiciones del inicio de sesión del usuario y usa directivas de acceso condicional para determinar el acceso permitido. Por ejemplo, en esta guía se muestra cómo crear una directiva de acceso condicional para requerir el cumplimiento de dispositivos para el acceso a datos confidenciales. Esto reduce en gran medida el riesgo de que un hacker con su propio dispositivo y credenciales robadas pueda acceder a sus datos confidenciales. También protege la información confidencial en los dispositivos, ya que los dispositivos deben cumplir requisitos específicos para el estado y la seguridad. | Microsoft 365 E3 o E5 |
| grupos de Microsoft Entra | Las directivas de acceso condicional, la administración de dispositivos con Intune e incluso los permisos para archivos y sitios de su organización dependen de la asignación a cuentas de usuario o grupos de Microsoft Entra. Se recomienda crear grupos de Microsoft Entra que se correspondan con los niveles de protección que está implementando. Por ejemplo, es probable que el personal ejecutivo tenga objetivos de mayor valor para los hackers. Por lo tanto, tiene sentido agregar las cuentas de usuario de estos empleados a un grupo de Microsoft Entra y asignar este grupo a directivas de acceso condicional y otras directivas que exijan un mayor nivel de protección para el acceso. | Microsoft 365 E3 o E5 |
| Inscripción de dispositivos | Inscriba un dispositivo en Microsoft Entra ID para crear una identidad para el dispositivo. Esta identidad se usa para autenticar el dispositivo cuando un usuario inicia sesión y para aplicar directivas de acceso condicional que requieren equipos unidos a un dominio o compatibles. Para esta guía, usamos la inscripción de dispositivos para inscribir automáticamente equipos Windows unidos a un dominio. La inscripción de dispositivos es un requisito previo para administrar dispositivos con Intune. | Microsoft 365 E3 o E5 |
| Protección de Microsoft Entra ID | Le permite detectar posibles vulnerabilidades que afectan a las identidades de su organización y configurar la directiva de corrección automatizada en riesgo de inicio de sesión bajo, medio y alto y riesgo de usuario. Esta guía se basa en esta evaluación de riesgos para aplicar directivas de acceso condicional para la autenticación multifactor. Esta guía también incluye una directiva de acceso condicional que requiere que los usuarios cambien su contraseña si se detecta actividad de alto riesgo para su cuenta. | Microsoft 365 E5, Microsoft 365 E3 con las licencias E5 Security add-on, EMS E5 o Microsoft Entra ID P2 |
| Autoservicio de restablecimiento de contraseña (SSPR) | Permitir que los usuarios restablezcan sus contraseñas de forma segura y sin intervención del departamento de soporte técnico, proporcionando la comprobación de varios métodos de autenticación que el administrador puede controlar. | Microsoft 365 E3 o E5 |
| Microsoft Entra protección con contraseña | Detecte y bloquee contraseñas débiles conocidas y sus variantes y términos débiles adicionales específicos de su organización. Las listas de contraseñas prohibidas globales predeterminadas se aplican automáticamente a todos los usuarios de un inquilino de Microsoft Entra. Se puede definir entradas adicionales en una lista personalizada de contraseñas prohibidas. Cuando los usuarios cambien o restablezcan sus contraseñas, estas listas de contraseñas prohibidas se comprueban para exigir el uso de contraseñas seguras. | Microsoft 365 E3 o E5 |
Estos son los componentes de Confianza cero identidad y acceso al dispositivo, incluidos Intune y Microsoft Entra objetos, configuración y subservicios.
Microsoft Intune
Intune es el servicio de administración de dispositivos móviles basado en la nube de Microsoft. En esta guía se recomienda la administración de dispositivos de equipos Windows con Intune y se recomiendan las configuraciones de directivas de cumplimiento de dispositivos. Intune determina si los dispositivos son compatibles y envía estos datos a Microsoft Entra ID para usarlos al aplicar directivas de acceso condicional.
Intune protección de aplicaciones
Intune directivas de protección de aplicaciones se pueden usar para proteger los datos de su organización en aplicaciones móviles, con o sin inscribir dispositivos en la administración. Intune ayuda a proteger la información, a asegurarse de que los empleados pueden seguir siendo productivos y a evitar la pérdida de datos. Al implementar directivas de nivel de aplicación, puede restringir el acceso a los recursos de la empresa y mantener los datos bajo el control del departamento de TI.
En esta guía se muestra cómo crear directivas recomendadas para aplicar el uso de aplicaciones aprobadas y determinar cómo se pueden usar estas aplicaciones con los datos empresariales.
Microsoft 365
En esta guía se muestra cómo implementar un conjunto de directivas para proteger el acceso a los servicios en la nube de Microsoft 365, incluidos Microsoft Teams, Exchange, SharePoint y OneDrive. Además de implementar estas directivas, se recomienda aumentar también el nivel de protección para el inquilino mediante estos recursos:
Windows 11 o Windows 10 con Aplicaciones Microsoft 365 para empresas
Windows 11 o Windows 10 con Aplicaciones Microsoft 365 para empresas es el entorno de cliente recomendado para equipos. Se recomienda Windows 11 o Windows 10 porque Microsoft Entra está diseñado para proporcionar la experiencia más fluida posible tanto en el entorno local como en el Microsoft Entra ID. Windows 11 o Windows 10 también incluye funcionalidades de seguridad avanzadas que se pueden administrar a través de Intune. Aplicaciones Microsoft 365 para empresas incluye las versiones más recientes de las aplicaciones de Office. Estos usan la autenticación moderna, que es más segura y un requisito para el acceso condicional. Estas aplicaciones también incluyen herramientas de cumplimiento y seguridad mejoradas.
Aplicación de estas funcionalidades en los tres niveles de protección
En la tabla siguiente se resumen nuestras recomendaciones para usar estas funcionalidades en los tres niveles de protección.
| Mecanismo de protección | Punto de inicio | Enterprise | Seguridad especializada |
|---|---|---|---|
| Exigir MFA | En riesgo de inicio de sesión medio o superior | En riesgo de inicio de sesión bajo o superior | En todas las sesiones nuevas |
| Aplicar el cambio de contraseña | Para usuarios de alto riesgo | Para usuarios de alto riesgo | Para usuarios de alto riesgo |
| Aplicación de Intune protección de aplicaciones | Sí | Sí | Sí |
| Exigir la inscripción de Intune para el dispositivo propiedad de la organización | Requerir un equipo compatible o unido a un dominio, pero permitir teléfonos y tabletas bring-your-own devices (BYOD) | Requerir un dispositivo compatible o unido a un dominio | Requerir un dispositivo compatible o unido a un dominio |
Propiedad del dispositivo
En la tabla anterior se refleja la tendencia de muchas organizaciones a admitir una combinación de dispositivos propiedad de la organización, así como personal o BYOD para permitir la productividad móvil en todo el personal. Intune directivas de protección de aplicaciones garantizan que el correo electrónico esté protegido frente a la filtración fuera de la aplicación móvil de Outlook y otras aplicaciones móviles de Office, tanto en dispositivos propiedad de la organización como en BYOD.
Se recomienda que los dispositivos propiedad de la organización se administren mediante Intune o unidos a un dominio para aplicar protecciones y controles adicionales. En función de la confidencialidad de los datos, su organización podría optar por no permitir BYOD para poblaciones de usuarios específicas o aplicaciones específicas.
Implementación y aplicaciones
Antes de configurar e implementar Confianza cero configuración de acceso a dispositivos e identidades para las aplicaciones integradas de Microsoft Entra, debe:
Decida qué aplicaciones se usan en su organización que desea proteger.
Analice esta lista de aplicaciones para determinar los conjuntos de directivas que proporcionan los niveles adecuados de protección.
No debe crear conjuntos de directivas independientes para cada aplicación porque la administración de ellas puede resultar complicada. Microsoft recomienda agrupar las aplicaciones que tengan los mismos requisitos de protección para los mismos usuarios.
Por ejemplo, tenga un conjunto de directivas que incluyan todas las aplicaciones de Microsoft 365 para todos los usuarios para la protección del punto de partida. Tenga un segundo conjunto de directivas para todas las aplicaciones confidenciales, como las que usan los recursos humanos o los departamentos financieros, y aplíquelas a esos grupos.
Una vez que haya determinado el conjunto de directivas para las aplicaciones que desea proteger, implemente las directivas para los usuarios de forma incremental y solucione los problemas a lo largo del proceso. Por ejemplo:
- Configure las directivas que piensa usar para todas las aplicaciones de Microsoft 365.
- Agregue solo Exchange con los cambios necesarios, implemente las directivas a los usuarios y trabaje con cualquier problema.
- Agregue Teams con los cambios necesarios, implemente las directivas a los usuarios y trabaje con cualquier problema.
- Agregue SharePoint con los cambios necesarios, implemente las directivas a los usuarios y trabaje con cualquier problema.
- Continúe agregando el resto de las aplicaciones hasta que pueda configurar con confianza estas directivas de punto de partida para incluir todas las aplicaciones de Microsoft 365.
De forma similar, para las aplicaciones confidenciales, cree el conjunto de directivas y agregue una aplicación a la vez. Trabaje con cualquier problema hasta que se incluyan en el conjunto de directivas de aplicaciones confidenciales.
Microsoft recomienda no crear conjuntos de directivas que se apliquen a todas las aplicaciones porque puede dar lugar a algunas configuraciones no intencionadas. Por ejemplo, las directivas que bloquean todas las aplicaciones podrían bloquear a los administradores fuera de la Centro de administración Microsoft Entra y las exclusiones no se pueden configurar para puntos de conexión importantes como Microsoft Graph.
Pasos para configurar Confianza cero identidad y acceso al dispositivo
- Configure las características de identidad de requisitos previos y sus opciones.
- Configure las directivas comunes de acceso condicional de identidad y acceso.
- Configure directivas de acceso condicional para usuarios invitados y externos.
- Configure directivas de acceso condicional para aplicaciones en la nube de Microsoft 365, como Microsoft Teams, Exchange y SharePoint, y directivas de Microsoft Defender for Cloud Apps.
Una vez que haya configurado Confianza cero identidad y acceso al dispositivo, consulte la guía de implementación de características de Microsoft Entra para obtener una lista de comprobación por fases de características adicionales que se deben tener en cuenta y Gobierno de Microsoft Entra ID para proteger, supervisar y auditar el acceso.
Paso siguiente
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de