Procedimientos recomendados para implementar de forma segura la gobernanza de identificadores de Entra de Microsoft

En este documento se proporcionan procedimientos recomendados para proteger la implementación de la gobernanza de identificadores de Microsoft Entra.

Privilegios mínimos

El principio de privilegios mínimos significa conceder a los usuarios e identidades de carga de trabajo el nivel mínimo de acceso o permisos que necesitan para realizar sus tareas. Al limitar el acceso solo a los recursos necesarios en función de los roles específicos o las funciones de trabajo de los usuarios y proporcionar acceso Just-In-Time, puede reducir el riesgo de acciones no autorizadas. Además, la realización de auditorías periódicas ayuda a mitigar posibles infracciones de seguridad.

La gobernanza del identificador de Entra de Microsoft limita el acceso de usuario en función del rol al que están asignados. Asegúrese de que los usuarios tengan el rol con menos privilegios para realizar la tarea que necesitan.

Para obtener más información, consulte privilegios mínimos con la gobernanza de Microsoft Entra ID

Prevención del movimiento lateral

Recomendación: no use grupos anidados con PIM al gestionar grupos.

Los grupos pueden controlar el acceso a varios recursos, incluidos los roles de Microsoft Entra, Azure SQL, Azure Key Vault, Intune, otros roles de aplicación y aplicaciones de terceros. Microsoft Entra ID permite conceder a los usuarios la pertenencia y propiedad de grupos en el momento necesario a través de la Gestión de Identidades con Privilegios (PIM) para Grupos.

Estos grupos pueden ser "planos" o "grupos anidados" (un grupo que no puede asignar roles es miembro de un grupo asignable de roles). Funciones como administrador de grupos, administrador de Exchange y administrador de conocimientos pueden gestionar el grupo que no está asignado a roles, proporcionando a estos administradores un camino para acceder a roles con privilegios. Asegúrese de que los grupos a los que se pueden asignar roles no tengan como miembros a grupos no asignables a roles.

Para obtener más información, consulte Administración de Identidades Privilegiadas (PIM) para Grupos

Recomendación: Usar la administración de derechos para proporcionar acceso a recursos confidenciales, en lugar de a grupos híbridos.

Históricamente, las organizaciones dependían de grupos de Active Directory para acceder a las aplicaciones. La sincronización de estos grupos con el identificador de Entra de Microsoft facilita la reutilización de estos grupos y proporciona acceso a los recursos conectados con el id. de Microsoft Entra. Sin embargo, esto crea un riesgo de movimiento lateral cuando una cuenta o grupo comprometido en las instalaciones locales se puede usar para obtener acceso a los recursos conectados en la nube.

Al proporcionar acceso a aplicaciones o roles confidenciales, use administración de derechos para impulsar la asignación a la aplicación en lugar de grupos de seguridad sincronizados desde Active Directory Domain Services. En el caso de los grupos que necesitan estar tanto en Microsoft Entra ID como en Active Directory Domain Services, puede sincronizar esos grupos desde Microsoft Entra ID a Active Directory Domain Services utilizando la sincronización en la nube.

Denegar de forma predeterminada

El principio de "Denegar de forma predeterminada" es una estrategia de seguridad que restringe el acceso a los recursos de forma predeterminada, a menos que se concedan permisos explícitos. Este enfoque minimiza el riesgo de acceso no autorizado al garantizar que los usuarios y las aplicaciones no tengan derechos de acceso hasta que se les asigne específicamente. La implementación de este principio ayuda a crear un entorno más seguro, ya que limita los posibles puntos de entrada para actores malintencionados.

Administración de derechos

Las organizaciones conectadas son una característica de la administración de derechos que permite a los usuarios obtener acceso a los recursos entre inquilinos. Siga estos procedimientos recomendados al configurar organizaciones conectadas.

Recomendaciones:

• Requerir una fecha de expiración para los paquetes de acceso a acceso en una organización conectada . Si, por ejemplo, los usuarios necesitan acceso durante un contrato fijo, establezca el paquete de acceso para que expire al final del contrato.
• Requerir aprobación antes de conceder acceso a invitados de organizaciones conectadas.
• Periódicamente revisar los acceso de invitado para asegurarse de que los usuarios solo tienen acceso a los recursos que todavía necesitan.
• Considere detenidamente qué organizaciones se incluyen como organizaciones conectadas. Revise periódicamente la lista de organizaciones conectadas y quite los que ya no colabore.

Aprovisionamiento

Recomendación: establezcar el ámbito de aprovisionamiento para sincronizar "usuarios y grupos asignados".

Este ámbito garantiza que solo los usuarios asignados explícitamente a la configuración de sincronización se aprovisionen. La configuración alternativa de permitir que todos los usuarios y grupos solo se usen para las aplicaciones en las que el acceso es necesario ampliamente en toda la organización.

PIM para roles

Recomendación: Requerir aprobación de solicitudes de PIM para el administrador global.

Con Privileged Identity Management (PIM) en Microsoft Entra ID, puede configurar roles para requerir aprobación para la activación y elegir uno o varios usuarios o grupos como aprobadores delegados. 

Para obtener más información, consulte Aprobar o denegar solicitudes de roles de Microsoft Entra en Privileged Identity Management

Defensa en profundidad

En las secciones siguientes se proporcionan instrucciones adicionales sobre varias medidas de seguridad que puede tomar para proporcionar una estrategia de defensa en profundidad para las implementaciones de gobernanza.

Aplicaciones

Recomendación: administrar de forma segura las credenciales para la conectividad a las aplicaciones

Anime a los proveedores de aplicaciones a admitir OAuth en sus puntos de conexión SCIM, en lugar de confiar en tokens de larga duración. Almacene de forma segura las credenciales en Azure Key Vaulty rote periódicamente sus credenciales.

Aprovisionamiento

Recomendación: Usar un certificado de una entidad de certificación de confianza de al configurar el aprovisionamiento de aplicaciones locales.

Al configurar el aprovisionamiento de aplicaciones locales con el host ECMA, tiene la opción de usar un certificado autofirmado o un certificado de confianza. Aunque el certificado autofirmado es útil para empezar a trabajar rápidamente y probar la funcionalidad, no se recomienda para su uso en producción. Esto se debe a que los certificados no se pueden revocar y expirar en 2 años de forma predeterminada.

Recomendación: Proteger el servidor del Agente de aprovisionamiento de Microsoft Entra

Se recomienda proteger el agente de aprovisionamiento de Microsoft Entra servidor para reducir la superficie expuesta a ataques de seguridad para este componente crítico del entorno de TI. Los procedimientos recomendados que se describen en Requisitos previos para Microsoft Entra Cloud Sync en Microsoft Entra ID incluyen:

• Se recomienda proteger el servidor del agente de aprovisionamiento de Microsoft Entra como un recurso de plano de control (anteriormente nivel 0) siguiendo las instrucciones proporcionadas en Protección del acceso con privilegios y Modelo de nivel administrativo de Active Directory.
• Restrinja el acceso administrativo al servidor del agente de aprovisionamiento de Microsoft Entra solo a los administradores de dominio u otros grupos de seguridad estrechamente controlados.
• Cree una cuenta dedicada para todo el personal con acceso con privilegios. Los administradores no deben navegar por la web, comprobar su correo electrónico y realizar tareas de productividad diarias con cuentas con privilegios elevados.
• Siga las instrucciones proporcionadas en Protección del acceso con privilegios.
• Habilite la autenticación multifactor (MFA) para todos los usuarios que tengan acceso con privilegios en microsoft Entra ID o en AD. Un problema de seguridad con el uso del agente de aprovisionamiento de Microsoft Entra es que si un atacante puede obtener control sobre el servidor del agente de aprovisionamiento de Microsoft Entra, pueden manipular usuarios en el identificador de Microsoft Entra. Para evitar que un atacante use estas funcionalidades para asumir las cuentas de Microsoft Entra, MFA ofrece protecciones. Incluso si un atacante logra restablecer la contraseña de un usuario mediante el agente de aprovisionamiento de Microsoft Entra, aún así no pueden evitar el segundo factor.

Para obtener más información y procedimientos recomendados adicionales, consulte "Requisitos previos de para Microsoft Entra Cloud Sync en Microsoft Entra ID".

Flujos de trabajo de gestión de permisos y ciclo de vida

Recomendación: Siga los procedimientos recomendados de seguridad para usar extensiones personalizadas con flujos de trabajo de administración de derechos y ciclo de vida. Los procedimientos recomendados descritos en este artículo incluyen:

• Protección del acceso administrativo a la suscripción
• Deshabilitación de la firma de acceso compartido (SAS)
• Uso de identidades administradas para la autenticación
• Autorizar con permisos de privilegio mínimo
• Garantizar el uso de la prueba de posesión (PoP)

Recomendación: Todas las directivas de administración de derechos deben tener una fecha de expiración o revisión periódica del acceso para el acceso de tamaño adecuado. Estos requisitos garantizan que solo los usuarios que deben tener acceso sigan teniendo acceso a la aplicación.

Copia de seguridad y recuperación

Realice una copia de seguridad de la configuración para que pueda recuperarse en un estado correcto conocido en caso de que se produzca un riesgo. Use la lista siguiente para crear una estrategia de copia de seguridad completa que abarque las distintas áreas de gobernanza.

• las API de Microsoft Graph se pueden usar para exportar el estado actual de muchas configuraciones de Microsoft Entra.
• Microsoft Entra Exporter es una herramienta que puede usar para exportar las opciones de configuración.
• Configuración de estado deseado de Microsoft 365 es un módulo del marco de configuración de estado deseado de PowerShell. Puede usarlo para exportar configuraciones de referencia y aplicación del estado anterior de muchos valores.
• Aprovisionamiento de Recursos: exportación de la configuración de aprovisionamiento de aplicaciones y reversión a un estado óptimo conocido para la recuperación ante desastres en Microsoft Entra ID

Monitorización

La supervisión ayuda a detectar posibles amenazas y vulnerabilidades al principio. Al observar si hay actividades inusuales y cambios de configuración, puede evitar infracciones de seguridad y mantener la integridad de los datos.

• Alerta cuando los usuarios activan roles con privilegios. Alertas de seguridad para roles de Microsoft Entra en PIM: Microsoft Entra ID Governance
• Supervise de forma proactiva el entorno para ver los cambios de configuración y la actividad sospechosa mediante la integración de registros de auditoría de Id. de Microsoft Entra con Azure Monitor. Alertas personalizadas de Gobernanza de identidades: gobernanza de Microsoft Entra ID

Pasos siguientes

• ¿Qué es la gobernanza de identidades?
• Comprender los privilegios mínimos
• controlar el ciclo de vida de los empleados y los invitados
• controlar el acceso a las aplicaciones de su entorno