Protección de las identidades de la organización con el identificador de Microsoft Entra ID

Artículo
31/05/2024

Tratar de proteger a sus trabajadores en el mundo actual puede parecer desalentador, especialmente cuando tiene que responder rápidamente y proporcionar acceso a muchos servicios con rapidez. Este artículo ayuda a proporcionar una lista concisa de las acciones que se deben realizar, lo que le ayuda a identificar las características y asignarles prioridades en función del tipo de licencia que posee.

Microsoft Entra ID ofrece muchas características y proporciona muchos niveles de seguridad para las identidades, ya que determinar qué característica es relevante puede resultar abrumador en ocasiones. Este documento está diseñado para ayudar a las organizaciones a implementar servicios rápidamente, pensando principalmente en las identidades seguras.

En cada tabla se proporcionan recomendaciones de seguridad para proteger las identidades frente a ataques de seguridad frecuentes y, al mismo tiempo, se minimiza la fricción del usuario.

Esta guía ayudan a:

Configurar el acceso a aplicaciones de software como servicio (SaaS) y locales de forma segura y protegida
Tanto las identidades híbridas y en la nube
Usuarios que trabajan de forma remota o presencial

Requisitos previos

En esta guía se da por supuesto que en Microsoft Entra ID ya se han establecido las identidades híbridas o en la nube. Para obtener ayuda sobre cómo elegir su tipo de identidad, consulte el artículo, Elegir el método de autenticación (AuthN) adecuado para su solución de identidad híbrida Microsoft Entra.

Microsoft recomienda que las organizaciones tengan dos cuentas de acceso de emergencia de solo nube con el rol de administrador global asignado permanentemente. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas se limitan a escenarios de emergencia o de "romper el vidrio" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de cuentas de acceso de emergencia.

Tutorial guiado

Para ver un tutorial guiado de muchas de las recomendaciones de este artículo, consulte la guía Configuración de Microsoft Entra ID al iniciar sesión en el Centro de Administración de Microsoft 365. Para revisar las prácticas recomendadas sin iniciar sesión ni activar las funciones de configuración automática, vaya al Portal de configuración de Microsoft 365.

Guía para clientes de Microsoft Entra ID Free, Office 365 o Microsoft 365

Existen muchas recomendaciones que deben seguir los clientes de aplicaciones Microsoft Entra ID Free, Office 365 o Microsoft 365 para proteger las identidades de sus usuarios. La tabla siguiente tiene como objetivo resaltar acciones clave de las suscripciones de licencia siguientes:

Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
Microsoft 365 (Empresa Básico, Aplicaciones para negocios, Empresa Estándar, Empresa Premium, A1)
Microsoft Entra ID Free (incluido con Azure, Dynamics 365, Intune y Power Platform)

Acción recomendada	Detalle
Habilitar los valores predeterminados de seguridad	Proteja todas las identidades y aplicaciones de los usuarios activando la autenticación multifactor y bloqueando la autenticación heredada.
Habilitar la sincronización de hash de contraseñas (si se usan identidades híbridas)	Proporcione redundancia para la autenticación y mejore la seguridad (incluido el bloqueo inteligente, el bloqueo de IP y la capacidad de detectar las credenciales filtradas).
Habilitar el bloqueo inteligente de AD FS (si procede)	Protege a los usuarios de los bloqueos de cuentas de extranet debido a actividades malintencionadas.
Habilitar el bloqueo inteligente de Microsoft Entra (si se usan identidades administradas)	El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para obtenerlas.
Deshabilitar el consentimiento del usuario final a las aplicaciones	El flujo de trabajo de consentimiento del administrador proporciona a los administradores una manera segura de conceder acceso a las aplicaciones que requieren la aprobación del administrador, de modo que los usuarios finales no expongan los datos de la empresa. Microsoft recomienda deshabilitar las operaciones futuras de consentimiento del usuario para ayudar a reducir el área expuesta y a mitigar este riesgo.
Integre aplicaciones SaaS compatibles de la galería a Microsoft Entra ID y habilite el inicio de sesión único (SSO)	Microsoft Entra ID incluye una galería que contiene miles de aplicaciones previamente integradas. Algunas de las aplicaciones que su organización usa probablemente estén en la galería y se pueda acceder a ellas desde Azure Portal. Proporcione acceso a las aplicaciones SaaS corporativas de forma remota y segura con una experiencia de usuario mejorada (inicio de sesión único (SSO)).
Automatizar el aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS (si procede)	Cree automáticamente roles e identidades de usuario en las aplicaciones en la nube (SaaS) a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian, de modo que mejora la seguridad de su organización.
Habilitar el acceso híbrido seguro: Protección de aplicaciones heredadas con redes y controladores de entrega de aplicaciones existentes (si procede)	Publique y proteja sus aplicaciones de autenticación heredadas locales y en la nube conectándolas a Microsoft Entra ID con su red o controlador de entrega de aplicaciones existentes.
Habilitar el autoservicio de restablecimiento de contraseña (aplicable solo a cuentas en la nube)	Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación.
Usar roles con privilegios mínimos siempre que sea posible	Asigne a los administradores solo el acceso que necesitan a las áreas a las que necesitan acceso.
Habilitación de la guía de contraseñas de Microsoft	Olvídese de solicitar a los usuarios que cambien periódicamente la contraseña, deshabilite los requisitos de complejidad y a los usuarios les será más fácil recordar la contraseña y mantener una segura.

Guía para Microsoft Entra clientes de ID P1

La tabla siguiente tiene como objetivo resaltar las acciones clave de las siguientes suscripciones de licencia:

Microsoft Entra ID P1
Microsoft Enterprise Mobility + Security E3
Microsoft 365 (E3 A3, F1, F3)

Acción recomendada	Detalle
Habilitar la experiencia de registro combinada para Microsoft Entra MFA y SSPR para simplificar la experiencia de registro del usuario	Permita que los usuarios se registren para una de las experiencias comunes: Microsoft Entra Multi-Factor Authentication o el autoservicio de restablecimiento de contraseña.
Configure la autenticación multifactor para su organización	Asegúrese de que las cuentas están protegidas frente a los riesgos de la autenticación multifactor.
Habilitar el autoservicio de restablecimiento de contraseña	Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación.
Implementar la escritura diferida de contraseñas (si usa identidades híbridas)	Permita la escritura diferida de los cambios de contraseña en la nube en un entorno de Windows Server Active Directory local.
Crear y habilitar directivas de acceso condicional	Autenticación multifactor para que los administradores protejan las cuentas a las que se asignan derechos administrativos.. Bloquear los protocolos de autenticación heredados debido al aumento de riesgo asociado a los protocolos de autenticación heredados. Autenticación multifactor para todos los usuarios y aplicaciones para crear una directiva de autenticación multifactor equilibrada para su entorno, asegurando a sus usuarios y aplicaciones. Exigir autenticación multifactor para Azure Management para proteger sus recursos privilegiados exigiendo autenticación multifactor para cualquier usuario que acceda a los recursos de Azure.
Habilitar la sincronización de hash de contraseñas (si se usan identidades híbridas)	Proporcione redundancia para la autenticación y mejore la seguridad (incluido el bloqueo inteligente, el bloqueo de IP y la capacidad de detectar las credenciales filtradas).
Habilitar el bloqueo inteligente de AD FS (si procede)	Protege a los usuarios de los bloqueos de cuentas de extranet debido a actividades malintencionadas.
Habilitar el bloqueo inteligente de Microsoft Entra (si se usan identidades administradas)	El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para obtenerlas.
Deshabilitar el consentimiento del usuario final a las aplicaciones	El flujo de trabajo de consentimiento del administrador proporciona a los administradores una manera segura de conceder acceso a las aplicaciones que requieren la aprobación del administrador, de modo que los usuarios finales no expongan los datos de la empresa. Microsoft recomienda deshabilitar las operaciones futuras de consentimiento del usuario para ayudar a reducir el área expuesta y a mitigar este riesgo.
Habilitar el acceso remoto a las aplicaciones heredadas locales con Application Proxy	Habilite Microsoft Entra Application Proxy e intégrela con aplicaciones heredadas para que los usuarios tengan acceso seguro a aplicaciones locales, iniciando sesión con su cuenta de Microsoft Entra.
Habilitar el acceso híbrido seguro: Protección de aplicaciones heredadas con redes y controladores de entrega de aplicaciones existentes (si procede)	Publique y proteja sus aplicaciones de autenticación heredadas locales y en la nube conectándolas a Microsoft Entra ID con su red o controlador de entrega de aplicaciones existentes.
Integre aplicaciones SaaS compatibles de la galería a Microsoft Entra ID y habilite el inicio de sesión único	Microsoft Entra ID incluye una galería que contiene miles de aplicaciones previamente integradas. Algunas de las aplicaciones que su organización usa probablemente estén en la galería y se pueda acceder a ellas desde Azure Portal. Proporcione acceso a las aplicaciones SaaS empresariales de forma remota y segura mediante una experiencia de usuario mejorada (SSO).
Automatizar el aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS (si procede)	Cree automáticamente roles e identidades de usuario en las aplicaciones en la nube (SaaS) a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian, de modo que mejora la seguridad de su organización.
Habilitar el acceso condicional Basado en dispositivos	Mejore la seguridad y las experiencias de usuario con el acceso condicional basado en dispositivos. Este paso garantiza que los usuarios solo pueden tener acceso desde dispositivos que cumplen los estándares de seguridad y cumplimiento. A estos dispositivos también se les conoce como dispositivos administrados. Los dispositivos administrados pueden ser conformes con Intune o dispositivos unidos a Microsoft Entra híbrido.
Habilitación de la protección con contraseña	Proteja a los usuarios del uso de contraseñas poco seguras y fáciles de adivinar.
Usar roles con privilegios mínimos siempre que sea posible	Asigne a los administradores solo el acceso que necesitan a las áreas a las que necesitan acceso.
Habilitación de la guía de contraseñas de Microsoft	Olvídese de solicitar a los usuarios que cambien periódicamente la contraseña, deshabilite los requisitos de complejidad y a los usuarios les será más fácil recordar la contraseña y mantener una segura.
Creación de una lista de contraseñas prohibidas personalizada específica de la organización	Evite que los usuarios creen contraseñas que incluyan palabras o frases comunes de su organización o zona.
Implementar métodos de autenticación sin contraseña para los usuarios	Proporcione a los usuarios métodos cómodos de autenticación sin contraseñas.
Creación de un plan para el acceso de usuarios invitados	Colabore con los usuarios invitados y permítales iniciar sesión en las aplicaciones y los servicios con sus propias identidades profesionales, educativas o sociales.

Guía para clientes Microsoft Entra ID P2

La tabla siguiente tiene como objetivo resaltar las acciones clave de las siguientes suscripciones de licencia:

Microsoft Entra ID P2
Microsoft Enterprise Mobility + Security E5
Microsoft 365 (E5, A5)

Acción recomendada	Detalle
Habilitar la experiencia de registro combinada para Microsoft Entra MFA y SSPR para simplificar la experiencia de registro del usuario	Permita que los usuarios se registren para una de las experiencias comunes: Microsoft Entra Multi-Factor Authentication o el autoservicio de restablecimiento de contraseña.
Configure la autenticación multifactor para su organización	Asegúrese de que las cuentas están protegidas frente a los riesgos de la autenticación multifactor.
Habilitar el autoservicio de restablecimiento de contraseña	Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación.
Implementar la escritura diferida de contraseñas (si usa identidades híbridas)	Permita la escritura diferida de los cambios de contraseña en la nube en un entorno de Windows Server Active Directory local.
Habilitar directivas de Protección de id. de Microsoft Entra para aplicar el registro de autenticación multifactor	Administre la implementación de Microsoft Entra autenticación multifactor.
Habilitar las directivas de acceso condicional basadas en el riesgo del usuario y de inicio de sesión	La directiva de inicio de sesión recomendada es centrarse en los inicios de sesión de riesgo medio y exigir una autenticación multifactor. En el caso de las directivas de usuario, debe dirigirse a los usuarios de alto riesgo que necesitan la acción de cambio de contraseña.
Crear y habilitar directivas de acceso condicional	Autenticación multifactor para que los administradores protejan las cuentas a las que se asignan derechos administrativos.. Bloquear los protocolos de autenticación heredados debido al aumento de riesgo asociado a los protocolos de autenticación heredados. Exigir autenticación multifactor para Azure Management para proteger sus recursos privilegiados exigiendo autenticación multifactor para cualquier usuario que acceda a los recursos de Azure.
Habilitar la sincronización de hash de contraseñas (si se usan identidades híbridas)	Proporcione redundancia para la autenticación y mejore la seguridad (incluido el bloqueo inteligente, el bloqueo de IP y la capacidad de detectar las credenciales filtradas).
Habilitar el bloqueo inteligente de AD FS (si procede)	Protege a los usuarios de los bloqueos de cuentas de extranet debido a actividades malintencionadas.
Habilitar el bloqueo inteligente de Microsoft Entra (si se usan identidades administradas)	El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para obtenerlas.
Deshabilitar el consentimiento del usuario final a las aplicaciones	El flujo de trabajo de consentimiento del administrador proporciona a los administradores una manera segura de conceder acceso a las aplicaciones que requieren la aprobación del administrador, de modo que los usuarios finales no expongan los datos de la empresa. Microsoft recomienda deshabilitar las operaciones futuras de consentimiento del usuario para ayudar a reducir el área expuesta y a mitigar este riesgo.
Habilitar el acceso remoto a las aplicaciones heredadas locales con Application Proxy	Habilite Microsoft Entra Application Proxy e intégrela con aplicaciones heredadas para que los usuarios tengan acceso seguro a aplicaciones locales, iniciando sesión con su cuenta de Microsoft Entra.
Habilitar el acceso híbrido seguro: Protección de aplicaciones heredadas con redes y controladores de entrega de aplicaciones existentes (si procede)	Publique y proteja sus aplicaciones de autenticación heredadas locales y en la nube conectándolas a Microsoft Entra ID con su red o controlador de entrega de aplicaciones existentes.
Integre aplicaciones SaaS compatibles de la galería a Microsoft Entra ID y habilite el inicio de sesión único	Microsoft Entra ID incluye una galería que contiene miles de aplicaciones previamente integradas. Algunas de las aplicaciones que su organización usa probablemente estén en la galería y se pueda acceder a ellas desde Azure Portal. Proporcione acceso a las aplicaciones SaaS empresariales de forma remota y segura mediante una experiencia de usuario mejorada (SSO).
Automatizar el aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS (si procede)	Cree automáticamente roles e identidades de usuario en las aplicaciones en la nube (SaaS) a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian, de modo que mejora la seguridad de su organización.
Habilitar el acceso condicional Basado en dispositivos	Mejore la seguridad y las experiencias de usuario con el acceso condicional basado en dispositivos. Este paso garantiza que los usuarios solo pueden tener acceso desde dispositivos que cumplen los estándares de seguridad y cumplimiento. A estos dispositivos también se les conoce como dispositivos administrados. Los dispositivos administrados pueden ser conformes con Intune o dispositivos unidos a Microsoft Entra híbrido.
Habilitación de la protección con contraseña	Proteja a los usuarios del uso de contraseñas poco seguras y fáciles de adivinar.
Usar roles con privilegios mínimos siempre que sea posible	Asigne a los administradores solo el acceso que necesitan a las áreas a las que necesitan acceso.
Habilitación de la guía de contraseñas de Microsoft	Olvídese de solicitar a los usuarios que cambien periódicamente la contraseña, deshabilite los requisitos de complejidad y a los usuarios les será más fácil recordar la contraseña y mantener una segura.
Creación de una lista de contraseñas prohibidas personalizada específica de la organización	Evite que los usuarios creen contraseñas que incluyan palabras o frases comunes de su organización o zona.
Implementar métodos de autenticación sin contraseña para los usuarios	Proporcione a los usuarios métodos cómodos de autenticación sin contraseñas.
Creación de un plan para el acceso de usuarios invitados	Colabore con los usuarios invitados y permítales iniciar sesión en las aplicaciones y los servicios con sus propias identidades profesionales, educativas o sociales.
Habilitar Administración de identidades privilegiadas (PIM)	Permite administrar, controlar y supervisar el acceso a recursos importantes de la organización, lo que garantiza que los administradores tengan acceso solo cuando sea necesario y reciban aprobación.
Completar una revisión de acceso para los roles de directorio de Microsoft Entra en PIM	Trabaje con los equipos de seguridad y dirección para crear una directiva de revisión de acceso para revisar el acceso de los administradores de conformidad con las directivas de la organización.

Confianza cero

Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de Confianza cero:

Comprobación explícita
Usar privilegios mínimos
Presunción de intrusiones al sistema

Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de instrucciones de Confianza cero.

Pasos siguientes

Para obtener instrucciones de implementación detalladas para las características individuales del identificador de Microsoft Entra, revise los planes de implementación del proyecto de identificador de Microsoft Entra ID.
Las organizaciones pueden usar la puntuación segura de la identidad para supervisar su progreso en lo que respecta a otras recomendaciones de Microsoft.

Recursos adicionales

Documentación

Licencias de Microsoft Entra - Microsoft Entra

En este artículo se documentan los requisitos de licencia para las características de Microsoft Entra.
¿Qué es Microsoft Entra ID? - Microsoft Entra

Más información sobre Microsoft Entra ID, incluidas las licencias disponibles, la terminología y una lista de características asociadas.
Centro de administración de Microsoft Entra - Microsoft Entra

Información general de la interfaz del Centro de administración de Microsoft Entra para configurar y administrar productos de Microsoft Entra.
Registrarse para ediciones premium - Microsoft Entra

Instrucciones sobre cómo suscribirse a las ediciones P1 o P2 de Microsoft Entra ID.
Documentación de Microsoft Entra

Obtenga más información sobre la familia Microsoft Entra de soluciones de acceso a redes e identidades multinube. Encuentre contenido que ayude a resolver las necesidades de acceso seguro en el panorama digital multifacético, proteja el acceso a cualquier aplicación o recurso para cualquier usuario, verifique y proteja cada identidad y cada solicitud de acceso, descubra permisos y controle el acceso, y simplifique la experiencia del usuario con controles de acceso inteligentes en tiempo real.
Preguntas frecuentes sobre Microsoft Entra, Microsoft Entra ID y Azure - Microsoft Entra

Preguntas y respuestas frecuentes sobre Microsoft Entra, Microsoft Entra ID y Azure, por ejemplo, sobre administración de contraseñas y acceso a las aplicaciones.
Prueba Microsoft Entra Suite de forma gratuita - Microsoft Entra

Aprovechar al máximo la versión de prueba de Microsoft Entra Suite. Probar algunas de las principales funcionalidades de productividad y seguridad.
¿Qué es Microsoft Entra? - Microsoft Entra

Introducción a la familia de productos de Microsoft Entra, incluidos los vínculos para empezar.

Cursos

Ruta de aprendizaje

Establecer los principios rectores y los componentes principales de Confianza cero - Training

Confianza cero no es un producto o una herramienta, sino una estrategia de seguridad esencial que busca comprobar continuamente cada transacción, valida el acceso con privilegios mínimos y supone que cada transacción podría ser un posible ataque. A través de los módulos de esta ruta de aprendizaje, comprenderá la Confianza cero y cómo se aplica a la identidad, los puntos de conexión, las aplicaciones, las redes, la infraestructura y los datos.

Certificación

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.

Compartir a través de