Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La administración de identidades es el proceso de autenticación y autorización de entidades de seguridad. También implica controlar la información sobre esas entidades de seguridad (identidades). Las entidades de seguridad (identidades) pueden incluir servicios, aplicaciones, usuarios, grupos, etc. Las soluciones de administración de identidades y acceso de Microsoft ayudan a TI a proteger el acceso a las aplicaciones y los recursos en el centro de datos corporativos y en la nube. Esta protección permite niveles adicionales de validación, como la autenticación multifactor y las directivas de acceso condicional. La supervisión de actividades sospechosas a través de informes de seguridad avanzados, auditorías y alertas ayuda a mitigar posibles problemas de seguridad. Microsoft Entra ID P1 o P2 proporciona inicio de sesión único (SSO) a miles de aplicaciones de software como servicio (SaaS) en la nube y acceso a las aplicaciones web que se ejecutan en el entorno local.
Al aprovechar las ventajas de seguridad de Microsoft Entra ID, puede hacer lo siguiente:
- Crear y administrar una identidad única para cada usuario en toda la empresa híbrida, lo que mantiene los usuarios, grupos y dispositivos sincronizados.
- Proporcione acceso SSO a las aplicaciones, incluidas miles de aplicaciones SaaS preintegradas.
- Habilitar la seguridad del acceso a las aplicaciones mediante la aplicación de la autenticación multifactor basada en reglas para las aplicaciones locales o en la nube.
- Proporcionar un acceso remoto seguro a las aplicaciones web locales a través del proxy de la aplicación de Microsoft Entra.
El objetivo de este artículo es proporcionar información general sobre las características principales de seguridad de Azure que ayudan con la administración de identidades. También proporcionamos vínculos a artículos que proporcionan detalles de cada característica para que pueda obtener más información.
El artículo se centra en las siguientes funcionalidades principales de Administración de identidades de Azure:
- Autenticación única
- Proxy inverso
- Autenticación multifactor
- Control de acceso basado en roles de Azure (RBAC de Azure)
- Supervisión de seguridad, alertas e informes basados en aprendizaje automático
- Administración de identidades y acceso de consumidores
- Registro de dispositivos
- Gestión de identidades privilegiadas
- Protección de identidad
- Administración de identidades híbridas/Conexión de Azure AD
- Revisión de acceso de Microsoft Entra
Autenticación única
El inicio de sesión único (SSO) significa poder acceder a todas las aplicaciones y recursos que necesita para hacer negocios, iniciando sesión solo una vez con una sola cuenta de usuario. Una vez que haya iniciado sesión, puede acceder a todas las aplicaciones que necesita sin necesidad de autenticarse (por ejemplo, escribir una contraseña) una segunda vez.
Muchas organizaciones dependen de aplicaciones SaaS como Microsoft 365, Box y Salesforce para la productividad del usuario. Tradicionalmente, el personal de TI tenía que crear y actualizar individualmente cuentas de usuario en cada aplicación SaaS y los usuarios tenían que recordar una contraseña para cada aplicación SaaS.
Microsoft Entra ID amplía los entornos locales de Active Directory a la nube, lo que permite a los usuarios usar su cuenta de organización principal para iniciar sesión no solo en sus dispositivos unidos a un dominio y recursos de la empresa, sino también en todas las aplicaciones web y SaaS que necesitan para sus trabajos.
No solo los usuarios no tienen que administrar varios conjuntos de nombres de usuario y contraseñas, puede aprovisionar o desaprovisionar el acceso a aplicaciones automáticamente, en función de sus grupos organizativos y su estado de empleado. Microsoft Entra ID presenta controles de gobernanza de seguridad y acceso con los que puede administrar de forma centralizada el acceso de los usuarios a través de aplicaciones SaaS.
Aprende más:
- Información general sobre SSO
- Vídeo sobre los aspectos básicos de la autenticación
- Serie de inicio rápido sobre la administración de aplicaciones
Proxy inverso
El proxy de aplicación de Microsoft Entra le permite publicar aplicaciones en una red privada, como sitios de SharePoint , Outlook Web App y aplicaciones basadas en IIS dentro de la red privada y proporciona acceso seguro a los usuarios fuera de la red. Application Proxy proporciona acceso remoto y SSO para muchos tipos de aplicaciones web locales con miles de aplicaciones SaaS compatibles con Microsoft Entra ID. Los empleados pueden iniciar sesión en sus aplicaciones desde casa en sus propios dispositivos y autenticarse a través de este proxy basado en la nube.
Aprende más:
- Habilitación del proxy de aplicación de Microsoft Entra
- Publicación de aplicaciones mediante el proxy de aplicación de Microsoft Entra
- Inicio de sesión único con Application Proxy
- Trabajar con acceso condicional
Autenticación multifactor
La autenticación multifactor de Microsoft Entra es un método de autenticación que requiere el uso de más de un método de verificación y agrega una segunda capa crítica de seguridad a los inicios de sesión y transacciones del usuario. La autenticación multifactor ayuda a proteger el acceso a los datos y las aplicaciones, a la vez que satisface la demanda de usuarios para un proceso de inicio de sesión sencillo. Ofrece una autenticación segura a través de una variedad de opciones de verificación: llamadas telefónicas, mensajes de texto o notificaciones de aplicación móvil o códigos de verificación y tokens de OAuth de terceros.
Más información: Funcionamiento de la autenticación multifactor de Microsoft Entra
Azure RBAC
RBAC de Azure es un sistema de autorización basado en Azure Resource Manager que proporciona una administración de acceso específica de los recursos en Azure. RBAC de Azure permite controlar pormenormente el nivel de acceso que tienen los usuarios. Por ejemplo, puede limitar un usuario para que solo administre redes virtuales y otro usuario para administrar todos los recursos de un grupo de recursos. Azure incluye varios roles integrados que puede usar. A continuación se enumeran cuatros roles integrados fundamentales. Los tres primeros se aplican a todos los tipos de recursos.
- Propietario : tiene acceso total a todos los recursos, incluido el derecho a delegar el acceso a otros usuarios.
- Colaborador : puede crear y administrar todos los tipos de recursos de Azure, pero no puede conceder acceso a otros usuarios.
- Lector : puede ver los recursos de Azure existentes.
- Administrador de acceso de usuario: permite administrar el acceso de usuario a los recursos de Azure.
Aprende más:
Supervisión de seguridad, alertas e informes basados en aprendizaje automático
La supervisión de seguridad, las alertas y los informes basados en aprendizaje automático que identifican patrones de acceso incoherentes pueden ayudarle a proteger su negocio. Puede usar los informes de acceso y uso de Id. de Microsoft Entra para obtener visibilidad sobre la integridad y la seguridad del directorio de su organización. Con esta información, un administrador de directorios puede determinar mejor dónde podrían encontrarse los posibles riesgos de seguridad, de manera que puedan planear adecuadamente para mitigar esos riesgos.
En Azure Portal, los informes se dividen en las siguientes categorías:
- Informes de anomalías: contienen eventos de inicio de sesión que hemos detectado que son anómalos. Nuestro objetivo es hacerte consciente de esta actividad y permitirle determinar si un evento es sospechoso.
- Informes de aplicaciones integradas: proporcione información sobre cómo se usan las aplicaciones en la nube en su organización. Microsoft Entra ID ofrece integración con miles de aplicaciones en la nube.
- Informes de errores: indique errores que pueden producirse al aprovisionar cuentas en aplicaciones externas.
- Informes específicos del usuario: muestra los datos de actividad de inicio de sesión del dispositivo para un usuario específico.
- Registros de actividad: contienen un registro de todos los eventos auditados en las últimas 24 horas, últimos 7 días o últimos 30 días, y cambios de actividad de grupo y restablecimiento de contraseña y actividad de registro.
Más información: Guía de informes de Microsoft Entra ID
Administración de identidades y acceso de consumidores
El Id. externa de Microsoft Entra en inquilinos externos es un servicio de administración de identidades global y de alta disponibilidad para aplicaciones orientadas al consumidor que se escala a cientos de millones de identidades. Se puede integrar en plataformas móviles y web. Los consumidores pueden iniciar sesión en todas las aplicaciones a través de experiencias personalizables mediante sus cuentas sociales existentes o mediante la creación de nuevas credenciales.
En el pasado, los desarrolladores de aplicaciones querían registrar a los clientes e iniciar sesión en sus aplicaciones habrían escrito su propio código. Y usaban bases de datos o sistemas locales para almacenar nombres de usuario y contraseñas. Microsoft Entra External ID ofrece a su organización una mejor manera de integrar la administración de identidades de consumidor en aplicaciones con la ayuda de una plataforma segura basada en estándares y un gran conjunto de directivas extensibles.
Al usar el id. externo de Microsoft Entra, los consumidores pueden registrarse para sus aplicaciones mediante sus cuentas sociales existentes (Facebook, Google, Amazon, LinkedIn) o mediante la creación de nuevas credenciales (dirección de correo electrónico y contraseña, o nombre de usuario y contraseña).
Obtenga más información sobre Id. externa de Microsoft Entra en inquilinos externos
Registro de dispositivos
El registro de dispositivos de Microsoft Entra es la base para escenarios de acceso condicional basado en dispositivos. Cuando se registra un dispositivo, el registro de dispositivos de Microsoft Entra proporciona al dispositivo una identidad que usa para autenticar el dispositivo cuando un usuario inicia sesión. El dispositivo autenticado y los atributos del dispositivo se pueden usar para aplicar directivas de acceso condicional para las aplicaciones hospedadas en la nube y en el entorno local.
Cuando se combina con una solución de administración de dispositivos móviles como Intune, los atributos del dispositivo en el identificador de Microsoft Entra se actualizan con información adicional sobre el dispositivo. Después, puede crear reglas de acceso condicional que apliquen el acceso desde dispositivos para cumplir los estándares de seguridad y cumplimiento.
Aprende más:
- Introducción al registro de dispositivos de Microsoft Entra
- Registro automático de dispositivos con el identificador de Entra de Microsoft para dispositivos unidos a un dominio de Windows
Gestión de identidades privilegiadas
Con Microsoft Entra Privileged Identity Management, puede administrar, controlar y supervisar sus identidades con privilegios y el acceso a los recursos de Microsoft Entra ID, así como a otros servicios en línea de Microsoft, como Microsoft 365 y Microsoft Intune.
A veces, los usuarios necesitan realizar operaciones con privilegios en recursos de Azure o Microsoft 365, o en otras aplicaciones SaaS. Esta necesidad suele significar que las organizaciones tienen que conceder a los usuarios acceso con privilegios permanentes en el identificador de Microsoft Entra. Este acceso es un riesgo creciente de seguridad para los recursos hospedados en la nube, ya que las organizaciones no pueden supervisar lo que hacen los usuarios con sus privilegios de administrador. Además, si una cuenta de usuario con acceso con privilegios está en peligro, una infracción podría afectar a la seguridad general de la nube de la organización. Microsoft Entra Privileged Identity Management ayuda a mitigar este riesgo.
Con Microsoft Entra Privileged Identity Management, puede hacer lo siguiente:
- Vea qué usuarios son administradores de Microsoft Entra.
- Habilite el acceso administrativo bajo demanda y Just-In-Time (JIT) a los servicios de Microsoft, como Microsoft 365 e Intune.
- Obtener informes sobre el historial de acceso de administrador y los cambios en las asignaciones de administrador.
- Obtener alertas sobre el acceso a un rol con privilegios.
Aprende más:
- ¿Qué es Microsoft Entra Privileged Identity Management?
- Asignación de roles de directorio de Microsoft Entra en PIM
Protección de identidad
Microsoft Entra ID Protection es un servicio de seguridad que proporciona una vista consolidada de las detecciones de riesgos y posibles vulnerabilidades que afectan a las identidades de la organización. Identity Protection aprovecha las funcionalidades existentes de detección de anomalías de Microsoft Entra, que están disponibles a través de los informes de actividad anómalos de Microsoft Entra. Identity Protection también presenta nuevos tipos de detección de riesgos que pueden detectar anomalías en tiempo real.
Más información: Microsoft Entra ID Protection
Administración de identidades híbridas (Microsoft Entra Connect)
Las soluciones de identidad de Microsoft abarcan funcionalidades locales y basadas en la nube, creando una identidad de usuario única para la autenticación y autorización en todos los recursos, independientemente de la ubicación. A esto lo llamamos identidad híbrida. Microsoft Entra Connect es la herramienta de Microsoft diseñada para satisfacer y lograr sus objetivos de identidad híbrida. Esto le permite proporcionar una identidad común para los usuarios para las aplicaciones de Microsoft 365, Azure y SaaS integradas con el identificador de Microsoft Entra. Ofrece las siguientes características:
- Sincronización
- Integración de federación y AD FS
- Autenticación transferida
- Monitoreo de la salud
Aprende más:
Revisión de acceso de Microsoft Entra
Las revisiones de acceso de Microsoft Entra permiten a las organizaciones administrar eficazmente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles con privilegios.
Más información: Revisiones de acceso de Microsoft Entra