Trabajo de requisitos previos para implementar directivas de acceso a dispositivos e identidades de Confianza cero
En este artículo se describen los requisitos previos que deben cumplir los administradores para usar las directivas de acceso a dispositivos e identidades Confianza cero recomendadas, y para usar el acceso condicional. También se describen los valores predeterminados recomendados para configurar plataformas cliente para la mejor experiencia de inicio de sesión único (SSO).
Requisitos previos
Antes de usar las directivas de acceso a dispositivos e identidades de Confianza cero que se recomiendan, la organización debe cumplir los requisitos previos. Los requisitos son diferentes para los distintos modelos de identidad y autenticación enumerados:
- Solo de nube
- Autenticación híbrida con sincronización de hash de contraseña (PHS)
- Híbrido con autenticación de paso a través (PTA)
- Federados
En la tabla siguiente se detallan las características de requisitos previos y su configuración que se aplican a todos los modelos de identidad, excepto donde se indique.
| Configuración | Excepciones | Licencias |
|---|---|---|
| Configure PHS. Esta característica debe estar habilitada para detectar credenciales filtradas y actuar sobre ellas para el acceso condicional basado en riesgos. Nota: Esto es necesario independientemente de si la organización usa la autenticación federada. | Solo de nube | Microsoft 365 E3 o E5 |
| Habilite el inicio de sesión único sin problemas para que los usuarios inicien sesión automáticamente cuando estén en los dispositivos de su organización conectados a la red de la organización. | Solo en la nube y federado | Microsoft 365 E3 o E5 |
| Configurar ubicaciones con nombre. Protección de Microsoft Entra ID recopila y analiza todos los datos de sesión disponibles para generar una puntuación de riesgo. Se recomienda especificar los intervalos IP públicos de la organización para la red en la configuración de ubicaciones con nombre Microsoft Entra ID. Al tráfico procedente de estos intervalos se le asigna una puntuación de riesgo reducida y al tráfico desde fuera del entorno de la organización se le proporciona una puntuación de riesgo más alta. | Microsoft 365 E3 o E5 | |
| Registre todos los usuarios para el autoservicio de restablecimiento de contraseña (SSPR) y la autenticación multifactor (MFA). Se recomienda registrar usuarios para Microsoft Entra autenticación multifactor con antelación. Protección de Microsoft Entra ID usa Microsoft Entra autenticación multifactor para realizar una comprobación de seguridad adicional. Además, para obtener la mejor experiencia de inicio de sesión, se recomienda que los usuarios instalen la aplicación Microsoft Authenticator y la aplicación Microsoft Portal de empresa en sus dispositivos. Se pueden instalar desde la tienda de aplicaciones para cada plataforma. | Microsoft 365 E3 o E5 | |
| Planee la implementación de la unión híbrida Microsoft Entra. El acceso condicional garantizará que los dispositivos que se conectan a las aplicaciones estén unidos a un dominio o sean compatibles. Para admitir esto en equipos Windows, el dispositivo debe registrarse con Microsoft Entra ID. En este artículo se explica cómo configurar el registro automático de dispositivos. | Solo de nube | Microsoft 365 E3 o E5 |
| Preparar el equipo de soporte técnico. Tenga preparado un plan para los usuarios que no puedan completar MFA. Esto podría ser agregarlos a un grupo de exclusión de directivas o registrar nueva información de MFA para ellos. Antes de realizar cualquiera de estos cambios sensibles a la seguridad, debe asegurarse de que el usuario real realiza la solicitud. Un paso eficaz es exigir a los administradores de los usuarios que ayuden con la aprobación. | Microsoft 365 E3 o E5 | |
| Configurar la escritura diferida de contraseñas en AD local. La escritura diferida de contraseñas permite Microsoft Entra ID requerir que los usuarios cambien sus contraseñas locales cuando se detecta un riesgo de cuenta de alto riesgo. Puede habilitar esta característica mediante Microsoft Entra Connect de una de estas dos maneras: habilitar la escritura diferida de contraseñas en la pantalla de características opcionales de la configuración de Microsoft Entra Connect o habilitarla a través de Windows PowerShell. | Solo de nube | Microsoft 365 E3 o E5 |
| Configure Microsoft Entra protección con contraseña. Microsoft Entra Password Protection detecta y bloquea las contraseñas no seguras conocidas y sus variantes, y también puede bloquear términos débiles adicionales específicos de su organización. Las listas de contraseñas prohibidas globales predeterminadas se aplican automáticamente a todos los usuarios de un inquilino de Microsoft Entra. Se puede definir entradas adicionales en una lista personalizada de contraseñas prohibidas. Cuando los usuarios cambien o restablezcan sus contraseñas, estas listas de contraseñas prohibidas se comprueban para exigir el uso de contraseñas seguras. | Microsoft 365 E3 o E5 | |
| Habilite Protección de Microsoft Entra ID. Protección de Microsoft Entra ID le permite detectar posibles vulnerabilidades que afectan a las identidades de su organización y configurar una directiva de corrección automatizada para riesgo de inicio de sesión bajo, medio y alto y riesgo de usuario. | Microsoft 365 E5 o Microsoft 365 E3 con el complemento de seguridad E5 | |
| Habilite la autenticación moderna para Exchange Online y para Skype Empresarial Online. La autenticación moderna es un requisito previo para usar MFA. La autenticación moderna está habilitada de forma predeterminada para los clientes de Office 2016 y 2019, SharePoint y OneDrive para la Empresa. | Microsoft 365 E3 o E5 | |
| Habilite la evaluación de acceso continuo para Microsoft Entra ID. La evaluación de acceso continua finaliza proactivamente las sesiones de usuario activas y aplica los cambios de directiva de inquilino casi en tiempo real. | Microsoft 365 E3 o E5 |
Configuraciones de cliente recomendadas
En esta sección se describen las configuraciones de cliente de plataforma predeterminadas que se recomiendan para proporcionar la mejor experiencia de SSO a los usuarios, así como los requisitos previos técnicos para el acceso condicional.
Dispositivos Windows
Se recomienda Windows 11 o Windows 10 (versión 2004 o posterior), ya que Azure está diseñado para proporcionar la experiencia de inicio de sesión único más fluida posible tanto en el entorno local como en Microsoft Entra ID. Los dispositivos emitidos por el trabajo o la escuela deben configurarse para unirse a Microsoft Entra ID directamente o si la organización usa la unión a un dominio de AD local, esos dispositivos deben configurarse para registrarse automáticamente y silenciosamente con Microsoft Entra ID.
En el caso de los dispositivos Windows BYOD, los usuarios pueden usar Agregar cuenta profesional o educativa. Tenga en cuenta que los usuarios del explorador Google Chrome en dispositivos Windows 11 o Windows 10 necesitan instalar una extensión para obtener la misma experiencia de inicio de sesión fluida que los usuarios de Microsoft Edge. Además, si su organización tiene dispositivos Windows 8 o 8.1 unidos a un dominio, puede instalar Microsoft Workplace Join para equipos que no sean Windows 10. Descargue el paquete para registrar los dispositivos con Microsoft Entra ID.
Dispositivos iOS
Se recomienda instalar la aplicación Microsoft Authenticator en dispositivos de usuario antes de implementar directivas de MFA o acceso condicional. Como mínimo, la aplicación debe instalarse cuando se pida a los usuarios que registren su dispositivo con Microsoft Entra ID agregando una cuenta profesional o educativa, o cuando instalen la aplicación del portal de empresa Intune para inscribir su dispositivo en la administración. Esto depende de la directiva de acceso condicional configurada.
dispositivos Android
Se recomienda que los usuarios instalen la aplicación Portal de empresa de Intune y la aplicación Microsoft Authenticator antes de implementar las directivas de acceso condicional o cuando sea necesario durante determinados intentos de autenticación. Después de la instalación de la aplicación, es posible que se pida a los usuarios que se registren con Microsoft Entra ID o que inscriban su dispositivo con Intune. Esto depende de la directiva de acceso condicional configurada.
También se recomienda que los dispositivos propiedad de la organización estén estandarizados en oemes y versiones compatibles con Android for Work o Samsung Knox para permitir cuentas de correo, administrarse y protegerse mediante Intune directiva MDM.
Clientes de correo electrónico recomendados
Los siguientes clientes de correo electrónico admiten la autenticación moderna y el acceso condicional.
| Plataforma | Cliente | Versión/Notas |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook para iOS | Más reciente |
| Android | Outlook para Android | Más reciente |
| macOS | Outlook | 2019 y 2016 |
| Linux | No compatible |
Plataformas de cliente recomendadas para proteger documentos
Se recomiendan los siguientes clientes cuando se ha aplicado una directiva de documentos seguros.
| Plataforma | Word/Excel/PowerPoint | OneNote | Aplicación OneDrive | Aplicación SharePoint | Cliente de sincronización de OneDrive |
|---|---|---|---|---|---|
| Windows 11 o Windows 10 | Compatible | Compatible. | No aplicable | N/D | Compatible |
| Windows 8.1 | Compatible. | Compatible. | No aplicable | N/D | Compatible |
| Android | Compatible. | Compatible | Compatible | Compatible. | No aplicable |
| iOS | Compatible. | Compatible | Compatible | Compatible. | No aplicable |
| macOS | Compatible | Compatible. | No aplicable | No aplicable | No compatible |
| Linux | No compatible | No se admite | No se admite | No se admite | No compatible |
Soporte técnico para el cliente de Microsoft 365
Para obtener más información sobre la compatibilidad con clientes en Microsoft 365, consulte los artículos siguientes:
- Compatibilidad con aplicaciones cliente de Microsoft 365: acceso condicional
- Compatibilidad con aplicaciones cliente de Microsoft 365: autenticación multifactor
Protección de cuentas de administrador
Para Microsoft 365 E3 o E5 o con licencias de Microsoft Entra ID P1 o P2 independientes, puede requerir MFA para las cuentas de administrador con una directiva de acceso condicional creada manualmente. Consulte Acceso condicional: Requerir MFA para los administradores para obtener los detalles.
Para las ediciones de Microsoft 365 o Office 365 que no admiten el acceso condicional, puede habilitar los valores predeterminados de seguridad para requerir MFA para todas las cuentas.
Estas son algunas recomendaciones adicionales:
- Use Microsoft Entra Privileged Identity Management para reducir el número de cuentas administrativas persistentes.
- Use la administración de acceso con privilegios para proteger su organización frente a infracciones que pueden usar cuentas de administrador con privilegios existentes con acceso permanente a datos confidenciales o acceso a configuraciones críticas.
- Create y usar cuentas independientes a las que se asignan roles de administrador de Microsoft 365solo para la administración. Los administradores deben tener su propia cuenta de usuario para un uso no administrativo normal y solo usar una cuenta administrativa cuando sea necesario para completar una tarea asociada a su rol o función de trabajo.
- Siga los procedimientos recomendados para proteger cuentas con privilegios en Microsoft Entra ID.
Paso siguiente
Configuración de las directivas comunes de acceso a dispositivos e identidades de Confianza cero
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de