Memorándum 22-09 sobre el sistema de administración de identidades de la empresa
El Memorando M 22-09 para jefes de departamentos ejecutivos y agencias requiere que los organismos desarrollen un plan de consolidación para sus plataformas de identidad. El objetivo es tener la menor cantidad posible de sistemas de identidad administrados por agencias dentro de los 60 días posteriores a la fecha de publicación (28 de marzo de 2022). La consolidación de la plataforma de identidad tiene varias ventajas:
- Administración centralizada del ciclo de vida de identidad, la aplicación de directivas y los controles auditables
- Capacidad uniforme y paridad de cumplimiento
- Menor necesidad de entrenar recursos en varios sistemas
- Permitir que los usuarios inicien sesión una vez y, a continuación, accedan a aplicaciones y servicios en el entorno de TI
- Puede integrarlo con tantas aplicaciones de agencias como sea posible
- Uso de servicios de autenticación compartidos y relaciones de confianza para facilitar la integración entre agencias
¿Por qué elegir Microsoft Entra ID?
Use Microsoft Entra ID para implementar las recomendaciones del memorándum 22-09. Microsoft Entra ID tiene controles de identidad que admiten iniciativas de Confianza cero. Con Microsoft Office 365 o Azure, Microsoft Entra ID es un proveedor de identidades (IdP). Conecte sus aplicaciones y recursos a Microsoft Entra ID como sistema de identidad de toda la empresa.
Requisitos para inicio de sesión único
El memorando requiere que los usuarios inicien sesión una vez y, a continuación, accedan a las aplicaciones. Con el inicio de sesión único (SSO) de Microsoft, los usuarios inician sesión una vez y, después, acceden a los servicios y aplicaciones en la nube. Consulte Inicio de sesión único de conexión directa de Microsoft Entra.
Integración entre agencias
Use la colaboración B2B de Microsoft Entra para satisfacer el requisito de facilitar la integración y la colaboración entre agencias. Los usuarios pueden residir en un inquilino de Microsoft en la misma nube. Los inquilinos pueden estar en otra nube de Microsoft o en un inquilino que no sea de Azure AD (proveedor de identidades SAML/WS-Fed).
Con la configuración de acceso entre inquilinos de Microsoft Entra, las agencias administran la forma de colaboración con otras organizaciones de Microsoft Entra y otras nubes de Microsoft Azure:
- Limite aquello a lo que puedan acceder los usuarios de los inquilinos de Microsoft
- Configuración para el acceso de usuarios externos, incluyendo la aplicación de la autenticación multifactor y la señal del dispositivo
Más información:
- Introducción a la colaboración B2B
- Microsoft Entra B2B en nubes gubernamentales y nacionales
- Federación con proveedores de identidades SAML o WS-Fed para usuarios invitados
Conexión de aplicaciones
Para consolidar y usar Microsoft Entra ID como sistema de identidad para toda la empresa, revise los recursos que están en el ámbito.
Documentación sobre aplicaciones y servicios
Cree un inventario de las aplicaciones y servicios a los que puedan acceder los usuarios. Un sistema de administración de identidades protege lo que conoce.
Clasificación de los recursos:
- La confidencialidad de los datos contenidos
- Leyes y regulación para la confidencialidad, integridad o disponibilidad de los datos y/o la información en sistemas principales
- Dichas leyes y regulación que se aplican a los requisitos de protección de la información del sistema
En cuanto a su inventario de aplicaciones, determine las aplicaciones que usan protocolos listos para la nube o protocolos de autenticación heredados:
- Las aplicaciones listas para la nube admiten protocolos modernos para la autenticación:
- SAML
- WS-Federation/Trust
- OpenID Connect (OIDC)
- OAuth 2.0.
- Las aplicaciones de autenticación heredadas se basan en métodos de autenticación antiguos o propietarios:
- Kerberos/NTLM (autenticación de Windows)
- Autenticación basada en encabezados
- LDAP
- Autenticación básica
Más información: Integraciones de Microsoft Entra con protocolos de autenticación.
Herramientas para la detección de aplicaciones y servicios
Microsoft ofrece las siguientes herramientas para admitir la detección de aplicaciones y servicios.
| Herramienta | Uso |
|---|---|
| Análisis de uso para Servicios de federación de Active Directory (AD FS) | Analiza el tráfico de autenticación del servidor federado. Consultar Supervisión de AD FS mediante Microsoft Entra Connect Health |
| Microsoft Defender for Cloud Apps | Examina los registros de firewall para detectar aplicaciones en la nube, servicios de infraestructura como servicio (IaaS) y servicios de plataforma como servicio (PaaS). Integre Defender for Cloud Apps con Defender para punto de conexión para datos analizados de detección desde dispositivos cliente de Windows. Consulte Introducción a las aplicaciones de Microsoft Defender for Cloud |
| Hoja de cálculo de Detección de aplicaciones | Documente los estados actuales de las aplicaciones. Consulte Hoja de cálculo de detección de aplicaciones |
Las aplicaciones podrían estar en sistemas distintos a Microsoft y nuestras herramientas podrían no detectar esas aplicaciones. Asegúrese de realizar un inventario completo. Los proveedores necesitan mecanismos para detectar aplicaciones que usan sus servicios.
Establecer prioridades de aplicaciones para la conexión
Una vez que detecte las aplicaciones de su entorno, priorícelas para la migración. Tenga en cuenta lo siguiente:
- Crucial para la empresa
- Perfiles de usuario
- Uso
- Vida útil
Más información: Migración de la autenticación de las aplicaciones a Microsoft Entra ID.
Conecte las aplicaciones listas para la nube en orden de prioridad. Determine las aplicaciones que usen protocolos de autenticación heredados.
Para aplicaciones que usen protocolos de autenticación heredados:
- En el caso de las aplicaciones con autenticación moderna, vuelva a configurarlas para que puedan usar Microsoft Entra ID
- En el caso de las aplicaciones sin autenticación moderna, hay dos opciones:
- Actualice el código de la aplicación para poder usar protocolos modernos al integrar la Biblioteca de autenticación de Microsoft (MSAL)
- Use Application Proxy de Microsoft Entra o el acceso híbrido seguro de asociados para un acceso seguro
- Retire el acceso a las aplicaciones que ya no se necesiten o que no sean compatibles
Saber más
- Integraciones de Microsoft Entra con protocolos de autenticación
- ¿Qué es la plataforma de identidad de Microsoft?
- Acceso híbrido seguro: protección de aplicaciones heredadas con Microsoft Entra ID
Conexión de dispositivos
Parte de la centralización de un sistema de administración de identidades consiste en permitir que los usuarios inicien sesión en dispositivos físicos y virtuales. Puede conectar dispositivos Windows y Linux en el sistema de Microsoft Entra centralizado, lo que eliminará la necesidad de tener varios sistemas de identidad independientes.
Durante el inventario y la determinación del ámbito, identifique los dispositivos y la infraestructura que se van a integrar con Microsoft Entra ID. La integración centraliza la autenticación y la administración mediante el uso directivas de acceso condicional con autenticación multifactor aplicadas a través de Microsoft Entra ID.
Herramientas para detectar dispositivos
Puede usar las cuentas de Azure Automation para identificar los dispositivos mediante la recopilación del inventario conectada a Azure Monitor. Microsoft Defender para punto de conexión tiene características de inventario de dispositivos. Descubra los dispositivos que tengan configurado Defender para punto de conexión y aquellos que no. El inventario de dispositivos procede de sistemas locales, como System Center Configuration Manager u otros sistemas que administran dispositivos y clientes.
Más información:
- Administración de la recopilación del inventario desde máquinas virtuales
- Información general de Microsoft Defender para punto de conexión
- Introducción al inventario de hardware
Integración de dispositivos con Microsoft Entra ID
Los dispositivos integrados con Microsoft Entra ID son dispositivos unidos a dispositivos híbridos o dispositivos unidos a Microsoft Entra. Separar la incorporación de los dispositivos por dispositivos del cliente y del usuario, además de por máquinas físicas y virtuales que se usan como infraestructura. Para obtener más información sobre la estrategia de implementación para dispositivos de usuario, consulte las instrucciones siguientes.
- Planeación de la implementación de dispositivos de Microsoft Entra
- Dispositivos híbridos unidos a Microsoft Entra
- Dispositivos unidos a Microsoft Entra
- Inicio de sesión en una máquina virtual Windows en Azure mediante Microsoft Entra ID incluido el método sin contraseña
- Inicio de sesión en una máquina virtual Linux en Azure mediante Microsoft Entra ID y OpenSSH
- Combinación de Microsoft Entra para Azure Virtual Desktop
- Identidad del dispositivo y virtualización del escritorio
Pasos siguientes
Los artículos siguientes forman parte de este conjunto de documentación:
- Cumplimiento de los requisitos de identidad del memorándum 22-09 con Microsoft Entra ID
- Cumplimiento de los requisitos de autenticación multifactor del memorándum 22-09
- Cumplimiento de los requisitos de autorización del Memorándum 22-09
- Otras áreas de Confianza cero abordadas en el Memorándum 22-09
- Protección de la identidad con Confianza cero