Aislamiento de recursos en un único inquilino

Se pueden lograr muchos escenarios de separación dentro de un solo inquilino. Si es posible, se recomienda delegar la administración en entornos independientes dentro de un solo inquilino para proporcionar la mejor experiencia de productividad y colaboración para la organización.

Resultados

Separación de recursos: con roles de directorio de Microsoft Entra, grupos de seguridad, directivas de acceso condicional, grupos de recursos de Azure, grupos de administración de Azure, unidades administrativas (UA) y otros controles, puede restringir el acceso a recursos a usuarios, grupos y entidades de servicio específicos. Los recursos se pueden administrar mediante administradores independientes y tener usuarios, permisos y requisitos de acceso independientes.

Si un conjunto de recursos requiere una configuración única para todo el inquilino, o existe una tolerancia de riesgo mínima para el acceso no autorizado por parte de los miembros del inquilino, o surgen cambios de configuración que podrían causar impactos críticos, debe lograr el aislamiento en varios inquilinos.

Separación de configuración: en algunos casos, recursos como aplicaciones tienen dependencias en configuraciones de todo el inquilino, como métodos de autenticación o ubicaciones con nombre. Debe tener en cuenta estas dependencias al aislar los recursos. Los administradores globales pueden configurar las opciones de recursos y la configuración de todo el inquilino que afectan a los recursos.

Si un conjunto de recursos requiere una configuración única para todo el inquilino o la configuración del inquilino debe administrarse mediante una entidad diferente, debe lograr el aislamiento con varios inquilinos.

Separación administrativa: con la administración delegada del Id. de Microsoft Entra, puede separar la administración de recursos, como aplicaciones y API, usuarios y grupos, grupos de recursos y directivas de acceso condicional.

Los administradores globales pueden detectar y obtener acceso completo a cualquier recurso de confianza. Puede configurar la auditoría y las alertas para saber cuándo un administrador cambia un recurso si se autentican.

También puede usar unidades administrativas (UA) en el Id. de Microsoft Entra para proporcionar cierto nivel de separación administrativa. Las unidades administrativas restringen los permisos de un rol a cualquier parte de la organización que defina. Por ejemplo, podría usar unidades administrativas para delegar el rol Administrador del departamento de soporte técnico a los especialistas de soporte técnico regionales, para que solo puedan administrar los usuarios de la región en cuestión.

Las unidades administrativas se pueden usar para separar los objetos de usuarios, grupos y dispositivos. Las asignaciones de esas unidades se pueden administrar mediante reglas de pertenencia dinámica.

Al usar Privileged Identity Management (PIM), puede definir quién es la mejor persona de la organización para aprobar la solicitud de roles con privilegios elevados. Por ejemplo, los administradores que requieren acceso de administrador global para realizar cambios en todo el inquilino.

Nota:

El uso de PIM requiere una licencia del Id. de Microsoft Entra P2 por persona.

Si debe asegurarse de que los administradores globales no pueden administrar un recurso específico, debe aislar ese recurso en un inquilino independiente con administradores globales independientes. Esto puede ser especialmente importante para las copias de seguridad, consulte la guía de autorización de varios usuarios para ver ejemplos de esto.

Uso común

Uno de los usos más comunes para varios entornos de un solo inquilino es separar los recursos de producción de aquellos que no son de producción. Dentro de un solo inquilino, los equipos de desarrollo y los propietarios de aplicaciones pueden crear y administrar un entorno independiente con aplicaciones de prueba, usuarios y grupos de prueba, y directivas de prueba para esos objetos; de forma similar, pueden crear instancias que no sean de producción de recursos de Azure y aplicaciones de confianza.

En el diagrama siguiente se muestran los entornos que no son de producción y el entorno de producción.

En este diagrama, hay recursos de Azure que no son de producción y aplicaciones integradas de Microsoft Entra de instancias que no son de producción con objetos de directorio que no son de producción equivalentes. En este ejemplo, los recursos que no son de producción del directorio se usan con fines de prueba.

Nota:

No puede tener más de un entorno de Microsoft 365 en un único inquilino de Microsoft Entra. Sin embargo, puede tener varios entornos de Dynamics 365 en un único inquilino de Microsoft Entra.

Otro escenario para el aislamiento dentro de un solo inquilino podría ser la separación entre ubicaciones, subsidiaria o implementación de la administración por niveles (según el "Modelo de acceso empresarial").

Las asignaciones de roles de RBAC de Azure permiten la administración con ámbito de los recursos de Azure. De forma similar, el Id. de Microsoft Entra permite una administración granular de las aplicaciones de confianza del Id. de Microsoft Entra a través de varias funcionalidades, como el acceso condicional, el filtrado de usuarios y grupos, las asignaciones de unidades administrativas y las asignaciones de aplicaciones.

Si debe garantizar el aislamiento completo (incluido el almacenamiento provisional de la configuración de nivel de organización) de los servicios de Microsoft 365, debe elegir un aislamiento de varios inquilinos.

Administración con ámbito en un solo inquilino

Administración con ámbito a los recursos de Azure

Azure RBAC permite diseñar un modelo de administración con ámbitos granulares y área expuesta. Considere la jerarquía de administración en el ejemplo siguiente:

Nota

Hay varias maneras de definir la jerarquía de administración en función de los requisitos, restricciones y objetivos individuales de una organización. Para más información, consulte las instrucciones de Cloud Adoption Framework sobre cómo organizar los recursos de Azure.

• Grupo de administración: puede asignar roles a grupos de administración específicos para que no afecten a ningún otro grupo de administración. En el escenario anterior, el equipo de RR. HH. puede definir una Azure Policy para auditar las regiones en las que se implementan los recursos en todas las suscripciones de RR. HH.

• Suscripción: puede asignar roles a una suscripción específica para evitar que afecte a cualquier otro grupo de recursos. En el ejemplo anterior, el equipo de RR. HH. puede asignar el rol Lector para la suscripción Ventajas, sin leer ninguna otra suscripción de RR. HH. o una suscripción de cualquier otro equipo.

• Grupo de recursos: puede asignar roles a grupos de recursos específicos para que no afecten a ningún otro grupo de recursos. En el ejemplo anterior, el Equipo de ingeniería de Ventajas puede asignar el rol Colaborador al cliente potencial de prueba para que puedan administrar la base de datos de prueba y la aplicación web de prueba, o para agregar más recursos.

• Recursos individuales: puede asignar roles a recursos específicos para que no afecten a ningún otro recurso. En el ejemplo anterior, el Equipo de ingeniería de ventajas puede asignar a un analista de datos el rol Lector de cuentas de Cosmos DB solo para la instancia de prueba de la base de datos de Azure Cosmos DB, sin interferir en la aplicación web de prueba o en cualquier recurso de producción.

Para obtener más información, consulte Roles integrados de Azure y ¿En qué consiste el control de acceso basado en rol de Azure (RBAC de Azure)?

Se trata de una estructura jerárquica, por lo que cuanto más alto esté en la jerarquía, más ámbito, visibilidad e impacto habrá en los niveles inferiores. Los ámbitos de nivel superior afectan a todos los recursos de Azure en el límite del inquilino de Microsoft Entra. Esto también significa que los permisos se pueden aplicar en varios niveles. El riesgo que esto supone es que la asignación de roles superiores a la jerarquía podría proporcionar más acceso inferior al ámbito previsto. Microsoft Entra (formalmente CloudKnox) es un producto de Microsoft que proporciona visibilidad y corrección para ayudar a reducir el riesgo. A continuación, podrá ver algunos detalles:

• El grupo de administración raíz define las asignaciones de roles RBAC y directivas de Azure que se aplicarán a todas las suscripciones y recursos.

• Los administradores globales pueden elevar el acceso para todas las suscripciones y los grupos de administración.

Ambos ámbitos de nivel superior deben supervisarse estrictamente. Es importante planear otras dimensiones del aislamiento de recursos, como la conexión en red. Para obtener instrucciones generales sobre las redes de Azure, consulte Procedimientos recomendados de Azure para la seguridad de red. Las cargas de trabajo de infraestructura como servicio (IaaS) tienen escenarios especiales en los que tanto la identidad como el aislamiento de recursos deben formar parte del diseño y la estrategia generales.

Considere la posibilidad de aislar recursos confidenciales o de prueba según la arquitectura conceptual de la zona de aterrizaje de Azure. Por ejemplo, la suscripción de identidad debe asignarse a un grupo de administración separado y todas las suscripciones para fines de desarrollo podrían estar separadas en el grupo de administración "Espacio aislado". Puede encontrar más detalles en la documentación de escala de Enterprise. La separación con fines de prueba dentro de un solo inquilino también se considera en la jerarquía de grupos de administración de la arquitectura de referencia.

Administración con ámbito para aplicaciones de confianza del Id. de Microsoft Entra

El patrón para definir el ámbito de la administración de aplicaciones de confianza del Id. de Microsoft Entra se describe en la sección siguiente.

El Id. de Microsoft Entra admite la configuración de varias instancias de aplicaciones SaaS y personalizadas, pero no la mayoría de los servicios de Microsoft, en el mismo directorio con asignaciones de usuario independientes. El ejemplo anterior contiene una versión de producción y una versión de prueba de la aplicación de viaje. Puede implementar versiones de preproducción en el inquilino corporativo para lograr la configuración específica de la aplicación y la separación de directivas que permite a los propietarios de cargas de trabajo realizar pruebas con sus credenciales corporativas. Los objetos de directorio que no son de producción, como los usuarios de prueba y los grupos de pruebas, están asociados a la aplicación que no es de producción con propiedad independiente de esos objetos.

Hay aspectos en todo el inquilino que afectan a todas las aplicaciones que confían en el límite de inquilino de Microsoft Entra, entre los que se incluyen:

• Los administradores globales pueden administrar la configuración de todo el inquilino.

• Otros roles de directorio, como administrador de usuarios, administrador de aplicaciones y administradores de acceso condicional, pueden administrar la configuración de todo el inquilino dentro del ámbito del rol.

Los valores de configuración, como los métodos de autenticación permitidos, las configuraciones híbridas, la colaboración B2B, la lista de permitidos de dominios y las ubicaciones con nombre son de todo el inquilino.

Nota

Los permisos de consentimiento y los permisos de Microsoft Graph API no se pueden limitar a un grupo o a miembros de unidades administrativas. Esos permisos se asignarán en el nivel de directorio, solo el consentimiento específico del recurso permite el ámbito en el nivel de recurso (actualmente limitado a permisos de chat de Microsoft Teams)

Importante

El ciclo de vida de los servicios SaaS de Microsoft, como Office 365, Microsoft Dynamics y Microsoft Exchange, están enlazados al inquilino de Microsoft Entra. Como resultado, varias instancias de estos servicios requieren necesariamente varios inquilinos de Microsoft Entra. Consulte la documentación de los servicios individuales para obtener más información sobre las funcionalidades específicas de ámbito de administración.

Pasos siguientes

• Introducción a la administración delegada y los entornos aislados

• Aspectos básicos de Microsoft Entra

• Aspectos básicos de la administración de recursos de Azure

• Aislamiento de recursos con varios inquilinos

• procedimientos recomendados