Compartir a través de

Configuración de controles de acceso de identidad para cumplir el nivel de impacto FedRAMP High

  • Artículo

El control del acceso es una parte importante para conseguir que un nivel de impacto alto de Federal Risk and Authorization Management Program (FedRAMP) funcione.

La siguiente lista de controles y mejoras de control de la familia de control de acceso (AC) puede requerir la configuración del inquilino de Microsoft Entra.

Familia de controles Descripción
AC-2 Administración de cuentas
AC-6 Privilegio mínimo
AC-7 Intentos de inicio de sesión incorrectos
AC-8 Notificación de uso del sistema
AC-10 Control de sesiones simultáneas
AC-11 Bloqueo de sesión
AC-12 Finalización de la sesión
AC-20 Uso de sistemas de información externos

Cada fila de la siguiente tabla proporciona instrucciones prescriptivas para ayudarle a desarrollar la respuesta de la organización a las responsabilidades compartidas en relación con el control o la mejora del control.

Configuraciones

Id. de control y descripción de FedRAMP Instrucciones y recomendaciones de Microsoft Entra
AC-2: ADMINISTRACIÓN DE CUENTAS

La organización
(a.) Identifica y selecciona los siguientes tipos de cuentas del sistema de información para respaldar las funciones empresariales y las misiones de la organización: [Asignación: tipos de cuentas del sistema de información definidos por el usuario];

(b.) Asigna administradores de cuentas para las cuentas del sistema de información;

(c.) Establece condiciones para la pertenencia a grupos y roles;

(d.) Especifica los usuarios autorizados del sistema de información, la pertenencia a grupos y roles, las autorizaciones de acceso (es decir, los privilegios) y otros atributos (según sea necesario) para cada cuenta;

(e.) Requiere aprobaciones por parte del [Asignación: personal o roles definidos por la organización] para las solicitudes de creación de cuentas del sistema de información;

(f.) Crea, habilita, modifica, deshabilita y quita las cuentas del sistema de información de acuerdo con [Asignación: condiciones o procedimientos definidos por la organización];

(g.) Supervisa el uso de cuentas del sistema de información;

(h.) Notifica a los administradores de cuentas:
(1.) Cuando las cuentas ya no sean necesarias;
(2.) Cuando se finalice o transfiera a los usuarios; y
(3.) Cuando haya cambios en el uso de sistemas de información o en la información que se necesita conocer a nivel individual;

(i.) Autoriza el acceso al sistema de información en función de:
(1.) Autorización de acceso válida;
(2.) Uso previsto del sistema; y
(3.) Otros atributos según sea necesario para la organización o las misiones o funciones empresariales asociadas;

(j.) Revisa el cumplimiento de los requisitos de administración de cuentas [Asignación de FedRAMP: mensualmente para el acceso con privilegios, cada seis (6) meses para el acceso sin privilegios]; y

(k.) Establece un proceso para volver a emitir las credenciales de cuentas de grupos o compartidas (si se implementaron) cuando se quitan usuarios del grupo.

 Implemente la administración del ciclo de vida de las cuentas controladas por el cliente. Supervise el uso de las cuentas y notifique a los administradores de cuentas los eventos del ciclo de vida de las cuentas. Examine las cuentas para ver si cumplen los requisitos de administración de cuentas cada mes para el acceso con privilegios y cada seis meses para el acceso sin privilegios.

Use Microsoft Entra ID para aprovisionar cuentas de sistemas de RR. HH. externos, Active Directory local o directamente en la nube. Todas las operaciones del ciclo de vida de las cuentas se auditan dentro de los registros de auditoría de Microsoft Entra. Puede recopilar y analizar los registros mediante una solución de Administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel. Como alternativa, puede usar Azure Event Hubs para integrar los registros con soluciones SIEM de terceros para habilitar la supervisión y la notificación. Use la administración de derechos de Microsoft Entra con revisiones de acceso para garantizar el estado de cumplimiento de las cuentas.

Aprovisionamiento de cuentas

  • Planeamiento de la aplicación de RR. HH. en la nube para el aprovisionamiento de usuarios de Microsoft Entra
  • Sincronización de Microsoft Entra Connect: comprender y personalizar la sincronización
  • Agregar o eliminar usuarios mediante Microsoft Entra ID

    Supervisión de las cuentas

  • Informes de actividad de auditoría en el Centro de administración de Microsoft Entra
  • Conexión de datos de Microsoft Entra a Microsoft Sentinel
  • Tutorial: Transmisión de registros a un centro de eventos de Azure

    Revisión de las cuentas

  • ¿Qué es la administración de derechos de Microsoft Entra?
  • Crear una revisión de acceso de un paquete de acceso en la administración de derechos de Microsoft Entra
  • Revisar el acceso de un paquete de acceso en la administración de derechos de Microsoft Entra

    Recursos

  • Permisos de roles de administrador en Microsoft Entra ID
  • Grupos dinámicos en Microsoft Entra ID

                         

    		•
    AC-2(1)
    La organización emplea mecanismos automatizados para admitir la administración de cuentas del sistema de información.    		 Emplear mecanismos automatizados para respaldar la administración de cuentas controladas por el cliente.

    Configure el aprovisionamiento automatizado de cuentas controladas por el cliente desde sistemas de RR. HH. externos o Active Directory local. En el caso de las aplicaciones que admiten aprovisionamiento, configure Microsoft Entra ID para crear automáticamente identidades de usuario y roles en aplicaciones en la nube de software como solución (SaaS) a las que los usuarios necesiten acceso. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian. Para facilitar la supervisión del uso de las cuentas, puede transmitir registros de Microsoft Entra ID Protection, que muestran usuarios, inicios de sesión y detecciones de riesgo, y registros de auditoría directamente a Microsoft Sentinel o Event Hubs.

    Aprovisionar .

  • Planeamiento de la aplicación de RR. HH. en la nube para el aprovisionamiento de usuarios de Microsoft Entra
  • Sincronización de Microsoft Entra Connect: comprender y personalizar la sincronización
  • ¿Qué es el aprovisionamiento automático de usuarios de aplicaciones SaaS en Microsoft Entra ID?
  • Tutoriales de integración de aplicaciones SaaS para su uso con Microsoft Entra ID | Microsoft Docs

    Supervisión y auditorías

  • Investigación de riesgos
  • Informes de actividad de auditoría en el Centro de administración de Microsoft Entra
  • ¿Qué es Microsoft Sentinel?
  • Microsoft Sentinel: Conexión de datos desde Microsoft Entra ID
  • Tutorial: Transmisión de registros de Microsoft Entra a un centro de eventos de Azure
    		•
    AC-2(2)
    El sistema de información automáticamente [Selección de FedRAMP: deshabilita] las cuentas temporales y de emergencia [Asignación de FedRAMP: 24 horas tras el último uso].

    AC-02(3)
    El sistema de información deshabilita automáticamente las cuentas inactivas después de [Asignación de FedRAMP: treinta y cinco (35) días para las cuentas de usuario].

    AC-2 (3) Requisitos y guía adicionales de FedRAMP:
    Requisito: el proveedor de servicios define el período de tiempo para las cuentas que no son de usuario (por ejemplo, cuentas asociadas a dispositivos). El JAB/AO aprueba y acepta los períodos de tiempo. Cuando la administración de usuarios sea una función del servicio, los informes de actividad de los usuarios consumidores estarán disponibles.

    		 Emplear mecanismos automatizados para respaldar la eliminación o la deshabilitación automáticas de cuentas temporales y de emergencia después de 24 horas desde el último uso y todas las cuentas controladas por el cliente después de 35 días de inactividad.

    Implemente la automatización de administración de cuentas con Microsoft Graph y Microsoft Graph PowerShell. Use Microsoft Graph para supervisar la actividad de inicio de sesión y Microsoft Graph PowerShell para realizar acciones en las cuentas en el período de tiempo necesario.

    Determinación de la inactividad

  • Administración de cuentas de usuario inactivas en Microsoft Entra ID
  • Administrar dispositivos obsoletos en Microsoft Entra ID

    Eliminación o deshabilitación de cuentas

  • Trabajar con usuarios en Microsoft Graph
  • Obtener un usuario
  • Actualizar usuario
  • Eliminar un usuario

    Trabajar con dispositivos en Microsoft Graph

  • Obtener dispositivo
  • Actualizar dispositivo
  • Eliminar un dispositivo

    Consulte la documentación de PowerShell en Microsoft Graph

  • Get-MgUser
  • Update-MgUser
  • Get-MgDevice
  • Update-MgDevice
    		•
    AC-2(4)
    El sistema de información audita automáticamente las acciones de creación, modificación, habilitación, deshabilitación y eliminación de cuentas, y notifica al [Asignación de FedRAMP: propietario del sistema de la organización o del proveedor de servicios].    		 Implementar un sistema de auditoría y notificación automatizado para el ciclo de vida de administración de las cuentas controladas por el cliente.

    Todas las operaciones de ciclo de vida de la cuenta, como la creación, modificación, habilitación, deshabilitación y eliminación de cuentas, se auditan dentro de los registros de auditoría de Azure. Puede transmitir los registros directamente a Microsoft Sentinel o Event Hubs para ayudar con la notificación.

    Auditoría

  • Informes de actividad de auditoría en el Centro de administración de Microsoft Entra
  • Microsoft Sentinel: Conexión de datos desde Microsoft Entra ID

    Notification

  • ¿Qué es Microsoft Sentinel?
  • Tutorial: Transmisión de registros de Microsoft Entra a un centro de eventos de Azure
    		•
    AC-2(5)
    La organización requiere que los usuarios cierren sesión cuando [Asignación de FedRAMP: se prevé que la inactividad supere los quince (15) minutos].

    AC-2 (5) Requisitos y guía adicionales de FedRAMP:
    Guía: Debe usar un período de tiempo más corto que AC-12

    		 Implementar el cierre de sesión del dispositivo después de un período de inactividad de 15 minutos.

    Implemente el bloqueo de dispositivos mediante una directiva de acceso condicional que restrinja el acceso a los dispositivos compatibles. Configure opciones de directiva en el dispositivo para aplicar el bloqueo del dispositivo en el nivel de sistema operativo con soluciones de administración de dispositivos móviles (MDM), como Intune. Endpoint Manager o los objetos de directiva de grupo también se pueden considerar en las implementaciones híbridas. En el caso de los dispositivos no administrados, configure la frecuencia de inicio de sesión para obligar a los usuarios a volver a autenticarse.

    Acceso condicional

  • Requerir que el dispositivo esté marcado como compatible
  • Frecuencia de inicio de sesión de usuario

    Directiva de MDM

  • Configurar el número máximo de minutos de inactividad en los dispositivos hasta que se bloquee la pantalla y se solicite una contraseña para desbloquearla (Android, iOS, Windows 10).
    		•
    AC-2(7)

    La organización:
    (a.) Establece y administra las cuentas de usuario con privilegios según un esquema de acceso basado en roles que organiza en roles el acceso al sistema de información y sus privilegios;
    (b) Supervisa las asignaciones de roles con privilegios; y
    (c) Toma [Asignación de FedRAMP: deshabilita o revoca el acceso dentro de un período de tiempo especificado por la organización] cuando las asignaciones de roles con privilegios ya no son adecuadas.

    		 Administre y supervise las asignaciones de roles con privilegios, para lo que debe seguir un esquema de acceso basado en roles para las cuentas controladas por el cliente. Deshabilite o revoque el acceso con privilegios en las cuentas cuando ya no sea adecuado.

    Implemente Microsoft Entra Privileged Identity Management con revisiones de acceso para roles con privilegios en Microsoft Entra ID para supervisar las asignaciones de roles y quitar asignaciones de roles cuando ya no sea adecuado. Puede transmitir los registros de auditoría directamente a Microsoft Sentinel o Event Hubs para ayudar con la supervisión.

    Administrar

  • ¿Qué es Microsoft Entra Privileged Identity Management?
  • Duración máxima de la activación

    Supervisión

  • Creación de una revisión de acceso para los roles de Microsoft Entra en Privileged Identity Management
  • Visualización del historial de auditoría para los roles de Microsoft Entra en Privileged Identity Management
  • Informes de actividad de auditoría en el Centro de administración de Microsoft Entra
  • ¿Qué es Microsoft Sentinel?
  • Conexión de datos desde Microsoft Entra ID
  • Tutorial: Transmisión de registros de Microsoft Entra a un centro de eventos de Azure
    		•
    AC-2(11)
    El sistema de información exige [Asignación: condiciones de uso o circunstancias definidas por la organización] para [Asignación: cuentas del sistema de información definidas por la organización].    		 Aplicar el uso de cuentas controladas por el cliente para cumplir las condiciones o las circunstancias definidas por el cliente.

    Cree directivas de acceso condicional para aplicar decisiones de control de acceso entre usuarios y dispositivos.

    Acceso condicional

  • Creación de una directiva de acceso condicional
  • ¿Qué es el acceso condicional?
    		•
    AC-2(12)

    La organización:
    (a) Supervisa las cuentas del sistema de información para [Asignación: uso inusual definido por la organización]; y
    (b) Notifica un uso inusual de las cuentas del sistema de información a [Asignación de FedRAMP: como mínimo, el ISSO o un rol similar dentro de la organización].

    AC-2 (12) (a) y AC-2 (12) (b) Requisitos y guía adicionales de FedRAMP:
    Obligatorio para las cuentas con privilegios.

    		 Supervisar y notificar cuentas controladas por el cliente con acceso con privilegios en casos de uso atípicos.

    Para obtener ayuda con la supervisión del uso atípico, puede transmitir registros de Identity Protection, que muestran usuarios, inicios de sesión y detecciones de riesgo, y registros de auditoría, que facilitan la correlación con asignación de privilegios, directamente a una solución SIEM, como Microsoft Sentinel. También puede usar Event Hubs para integrar registros con soluciones SIEM de terceros.

    Protección de identidad

  • ¿Qué es Microsoft Entra ID Protection?
  • Investigación de riesgos
  • Notificaciones de protección de Microsoft Entra ID

    Supervisión de las cuentas

  • ¿Qué es Microsoft Sentinel?
  • Informes de actividad de auditoría en el Centro de administración de Microsoft Entra
  • Conexión de datos de Microsoft Entra a Microsoft Sentinel
  • Tutorial: Transmisión de registros a un centro de eventos de Azure
    		•
    AC-2(13)
    La organización deshabilita las cuentas de usuarios que plantean un riesgo importante en [Asignación de FedRAMP: una (1) hora] tras detectar el riesgo.    		 Deshabilitar cuentas controladas por el cliente de usuarios que suponen un riesgo importante en un plazo de 1 hora.

    En Microsoft Entra ID Protection, configure y habilite una directiva de riesgo de usuario con el umbral establecido en Alto. Cree directivas de acceso condicional para bloquear el acceso de usuarios e inicios de sesión de riesgo. Configure directivas de riesgo para permitir la autocorrección de los usuarios y desbloquear los intentos de inicio de sesión posteriores.

    Protección de identidad

  • ¿Qué es Microsoft Entra ID Protection?

    Acceso condicional

  • ¿Qué es el acceso condicional?
  • Creación de una directiva de acceso condicional
  • Acceso condicional: Acceso condicional basado en el riesgo del usuario
  • Acceso condicional: Acceso condicional basado en el riesgo del inicio de sesión
  • Corrección automática con directiva de riesgo
    		•
    AC-6(7)

    La organización:
    (a.) Revisa [Asignación de FedRAMP: como mínimo, anualmente] los privilegios asignados a [Asignación de FedRAMP: todos los usuarios con privilegios] para validar la necesidad de dichos privilegios; y
    (b.) Reasigna o elimina privilegios, si es necesario, para reflejar correctamente las necesidades empresariales o la misión de la organización.

    		 Revise y valide todos los usuarios con acceso con privilegios todos los años. Asegúrese de que los privilegios se reasignan (o se quitan si fuera necesario) para alinearse con los requisitos empresariales y de las misiones de las organizaciones.

    Use la administración de derechos de Microsoft Entra con revisiones de acceso para usuarios con privilegios a fin de comprobar si se requiere acceso con privilegios.

    Revisiones de acceso

  • ¿Qué es la administración de derechos de Microsoft Entra?
  • Creación de una revisión de acceso para los roles de Microsoft Entra en Privileged Identity Management
  • Revisar el acceso de un paquete de acceso en la administración de derechos de Microsoft Entra
    		•
    AC-7 Intentos de inicio de sesión correctos

    La organización:
    (a.) Aplica un límite de [Asignación de FedRAMP: no más de tres (3)] intentos consecutivos de inicio de sesión no válidos por un usuario durante [Asignación de FedRAMP: quince (15) minutos]; y
    (b.) Automáticamente [Selección: bloquea la cuenta o el nodo durante un [Asignación de FedRAMP: mínimo de tres (3) horas o hasta que un administrador lo desbloquee]; retrasa el siguiente aviso de inicio de sesión según un [Asignación: algoritmo de retraso definido por la organización]] cuando se supera el número máximo de intentos incorrectos.

    		 Aplique un límite de no más de tres intentos de inicio de sesión con errores consecutivos en los recursos implementados por el cliente en un período de 15 minutos. Bloquee la cuenta durante un mínimo de tres horas, o hasta que la desbloquee un administrador.

    Habilite la configuración personalizada del bloqueo inteligente. Configure el umbral y la duración del bloqueo en segundos para implementar estos requisitos.

    Bloqueo inteligente

  • Protección de las cuentas de usuario frente a ataques con el bloqueo inteligente de Microsoft Entra
  • Administrar los valores de bloqueo inteligente de Microsoft Entra
    		•
    AC-8 Notificación de uso del sistema

    El sistema de información:
    (a.) Muestra a los usuarios [Asignación: un banner o mensajes de notificación del uso del sistema definidos por la organización (Asignación de FedRAMP: ver requisitos y guía adicionales)] antes de conceder acceso al sistema que ofrece avisos de privacidad y seguridad sobre las leyes federales, los decretos ejecutivos, las directivas, las políticas, los reglamentos y las normas aplicables, así como orientación y declaraciones que indican lo siguiente:
    (1.) Los usuarios que acceden a un sistema de información gubernamental de Estados Unidos;
    (2.) El uso del sistema de información se puede supervisar, registrar y sujeta a auditoría;
    (3.) El uso no autorizado del sistema de información está prohibido y sujeto a sanciones penales y civiles; y
    (4.) El uso del sistema de información indica el consentimiento para la supervisión y grabación;

    (b.) Mantiene el banner o mensaje de notificación en la pantalla hasta que el usuario acepta las condiciones de uso y toma medidas explícitas para iniciar sesión o seguir accediendo al sistema de información; y

    (c.) Para sistemas accesibles públicamente:
    (1.) Muestra información de uso del sistema [Asignación: y condiciones definidas por la organización (Asignación de FedRAMP: ver requisitos y guía adicionales)], antes de conceder más acceso;
    (2.) Muestra referencias, si las hay, a la supervisión, grabación o auditoría que sean coherentes con las adaptaciones de privacidad de dichos sistemas que generalmente prohíben esas actividades; e
    (3.) Incluye una descripción de los usos autorizados del sistema.

    AC-8 Requisitos y guía adicionales de FedRAMP:
    Requisito: El proveedor de servicios determinará los elementos del entorno en la nube que requieren el control de notificación de uso del sistema. Los elementos del entorno en la nube que requieren notificación de uso del sistema los aprueba y acepta el JAB/AO.
    Requisito: El proveedor de servicios determinará cómo se comprobará la notificación de uso del sistema y proporcionará la periodicidad adecuada de la comprobación. JAB/AO aprueba y acepta la comprobación y periodicidad del uso del sistema.
    Guía: Si se realiza como parte de una comprobación de línea base de configuración, se puede proporcionar el porcentaje de elementos que requieren la configuración activada y esa comprobación de paso (o error).
    Requisito: Si no se realiza como parte de una comprobación de línea base de configuración, debe haber un contrato documentado sobre cómo proporcionar los resultados de la comprobación y la periodicidad necesaria de la comprobación por parte del proveedor de servicios. El contrato documentado sobre cómo proporcionar la verificación de los resultados lo aprueba y acepta JAB/AO.

    		 Mostrar y requerir la confirmación por parte del usuario de los avisos de privacidad y seguridad antes de conceder acceso a los sistemas de información.

    Con Microsoft Entra ID, puede entregar mensajes de notificación o emergentes para todas las aplicaciones que lo necesiten y registrar la confirmación antes de conceder acceso. Puede dirigir de forma granular estas directivas de condiciones de uso a usuarios específicos (miembro o invitado). También puede personalizarlas por aplicación a través de directivas de acceso condicional.

    Términos de uso

  • Términos de uso de Microsoft Entra
  • Ver quién los ha aceptado y rechazado
    		•
    Control de sesiones simultáneas de AC-10
    El sistema de información limita el número de sesiones simultáneas para cada [Asignación: cuenta definida por la organización o tipo de cuenta] a [Asignación de FedRAMP: tres (3) sesiones para el acceso con privilegios y dos (2) sesiones para el acceso sin privilegios].    		 Limitar el número de sesiones simultáneas a tres para el acceso con privilegios y dos para el acceso sin privilegios.

    En la actualidad, los usuarios se conectan desde varios dispositivos, a veces simultáneamente. La limitación de sesiones simultáneas conduce a una experiencia de usuario degradada y proporciona un valor de seguridad limitado. Un enfoque mejor para abordar la intención detrás de este control es adoptar una posición de seguridad de confianza cero. Las condiciones se validan explícitamente antes de crear una sesión y se validan continuamente a lo largo de la vida de una sesión.

    Además, use los siguientes controles de compensación.

    Use directivas de acceso condicional para restringir el acceso a los dispositivos compatibles. Configure opciones de directiva en el dispositivo para aplicar restricciones de inicio de sesión de usuario en el nivel de sistema operativo con soluciones MDM, como Intune. Endpoint Manager o los objetos de directiva de grupo también se pueden considerar en las implementaciones híbridas.

    Use Privileged Identity Management para restringir y controlar aún más las cuentas con privilegios.

    Configure el bloqueo de cuenta inteligente para los intentos de inicio de sesión no válidos.

    Guía de implementación

    Confianza cero

  • Protección de la identidad con Confianza cero
  • Evaluación continua de acceso en Microsoft Entra ID

    Acceso condicional

  • ¿Qué es el acceso condicional en Microsoft Entra ID?
  • Requerir que el dispositivo esté marcado como compatible
  • Frecuencia de inicio de sesión de usuario

    Directivas de dispositivo

  • Otras configuraciones de la directiva de grupo de tarjetas inteligentes y claves del Registro
  • Información general sobre Microsoft Endpoint Manager

    Recursos

  • ¿Qué es Microsoft Entra Privileged Identity Management?
  • Protección de las cuentas de usuario frente a ataques con el bloqueo inteligente de Microsoft Entra

    Consulte el punto AC-12 para obtener más instrucciones de reevaluación de sesión y mitigación de riesgos.

    		•
    AC-11 Bloqueo de sesiones
    El sistema de información:
    (a) Impide el acceso adicional al sistema al iniciar un bloqueo de sesión después de [Asignación de FedRAMP: quince (15) minutos] de inactividad o al recibir una solicitud de un usuario; Y
    (b) Mantiene el bloqueo hasta que el usuario restablece el acceso mediante procedimientos establecidos de identificación y autenticación.

    AC-11(1)
    Mediante el bloque de la sesión, el sistema de información oculta información que antes estaba visible en la pantalla con una imagen de visualización pública.

    		 Implemente un bloqueo de sesión tras un período de inactividad de 15 minutos o cuando se reciba una solicitud de un usuario. Mantenga el bloqueo de sesión hasta que el usuario vuelva a autenticarse. Oculte la información visible previamente cuando se inicie un bloqueo de sesión.

    Implemente el bloqueo del dispositivo mediante una directiva de acceso condicional para restringir el acceso a los dispositivos compatibles. Configure opciones de directiva en el dispositivo para aplicar el bloqueo del dispositivo en el nivel de sistema operativo con soluciones MDM, como Intune. Endpoint Manager o los objetos de directiva de grupo también se pueden considerar en las implementaciones híbridas. En el caso de los dispositivos no administrados, configure la frecuencia de inicio de sesión para obligar a los usuarios a volver a autenticarse.

    Acceso condicional

  • Requerir que el dispositivo esté marcado como compatible
  • Frecuencia de inicio de sesión de usuario

    Directiva de MDM

  • Configure el número máximo de minutos de inactividad en el dispositivo hasta que se bloquee la pantalla (Android, iOS, Windows 10).
    		•
    Finalización de la sesión AC-12
    El sistema de información finaliza automáticamente una sesión de usuario después de [Asignación: eventos desencadenadores o condiciones que defina la organización y requieran la desconexión de la sesión].    		 Finalizar automáticamente las sesiones de usuario cuando se producen condiciones definidas por la organización o eventos de desencadenador.

    Implemente la reevaluación automática de sesiones de usuario con características de Microsoft Entra, como el Acceso condicional basado en riesgo y la evaluación continua de acceso. Puede implementar las condiciones de inactividad en el nivel de dispositivo, como se describe en AC-11.

    Recursos

  • Acceso condicional basado en el riesgo de inicio de sesión
  • Acceso condicional basado en riesgos de usuario
  • Evaluación continua de acceso
    		•
    AC-12(1)
    El sistema de información:
    (a.)Ofrece una funcionalidad de cierre de sesiones de comunicaciones iniciadas por el usuario cada vez que se usa la autenticación para acceder a [Asignación: los recursos de información definidos por la organización]; y
    (b.) Muestra un mensaje de cierre de sesión explícito a los usuarios en el que se informa de la finalización confiable de sesiones de comunicaciones autenticadas.

    AC-8 Requisitos y guía adicionales de FedRAMP:
    Guía: Pruebas de la funcionalidad de cierre de sesión (OTG-SESS-006) Pruebas para la funcionalidad de cierre de sesión

    		 Proporcionar una funcionalidad de cierre de sesión para todas las sesiones y mostrar un mensaje de cierre de sesión explícito.

    Todas las interfaces web expuestas de Microsoft Entra ID proporcionan una funcionalidad de cierre de sesión para las sesiones de comunicaciones iniciadas por el usuario. Cuando las aplicaciones SAML estén integradas con Microsoft Entra ID, implemente el inicio de sesión único.

    Funcionalidad de cierre de sesión

  • Cuando el usuario selecciona Cerrar todas las sesiones, se revocan todos los tokens emitidos actualmente.

    Mensaje para mostrar
    Microsoft Entra ID muestra automáticamente un mensaje después del cierre de sesión iniciado por el usuario.

    Captura de pantalla que muestra un mensaje de control de acceso.

    Recursos

  • Visualización y búsqueda de la actividad de inicio de sesión reciente desde la página Mis inicios de sesión
  • Protocolo SAML de cierre de sesión único
    		•
    AC-20 Uso de sistemas de información externos
    La organización establece términos y condiciones que son coherentes con las relaciones de confianza establecidas con otras organizaciones que poseen, operan o mantienen sistemas de información externos, permitiendo a los usuarios autorizados:
    (a.) Acceder al sistema de información desde sistemas de información externos; y
    (b.) Procesar, almacenar o transmitir información controlada por la organización mediante sistemas de información externos.

    AC-20(1)
    La organización permite a las personas autorizadas usar un sistema de información externo para acceder al sistema de información o para procesar, almacenar o transmitir información controlada por la organización solo cuando esta:
    (a.) Compruebe la implementación de los controles de seguridad necesarios en el sistema externo tal y como se especifica en la directiva de seguridad de la información y el plan de seguridad de la organización; o
    (b.) Conserve los contratos de procesamiento o conexión del sistema de información aprobados con la entidad organizativa que hospeda el sistema de información externo.

    		 Establecer términos y condiciones que permitan a los usuarios autorizados acceder a los recursos implementados por el cliente desde sistemas de información externos, como dispositivos no administrados y redes externas.

    Exija la aceptación de las condiciones de uso por parte de usuarios autorizados que acceden a los recursos desde sistemas externos. Implemente directivas de acceso condicional para restringir el acceso desde sistemas externos. Las directivas de acceso condicional se pueden integrar con Defender para aplicaciones en la nube para proporcionar controles para aplicaciones locales y en la nube desde sistemas externos. La administración de aplicaciones móviles en Intune puede proteger los datos de la organización en el nivel de aplicación, incluidas las aplicaciones personalizadas y las aplicaciones de la tienda, desde dispositivos administrados que interactúan con sistemas externos. Un ejemplo sería el acceso a los servicios en la nube. Puede usar la administración de aplicaciones en dispositivos propiedad de la organización y dispositivos personales.

    Términos y condiciones

  • Términos de uso: Microsoft Entra ID

    Acceso condicional

  • Requerir que el dispositivo esté marcado como compatible
  • Condiciones de la directiva de acceso condicional: estado del dispositivo (versión preliminar)
  • Protección con el Control de aplicaciones de acceso condicional de Microsoft Defender para aplicaciones en la nube
  • Condición de ubicación en el Acceso condicional de Microsoft Entra

    MDM

  • ¿Qué es Microsoft Intune?
  • ¿Qué es Defender para aplicaciones en la nube?
  • ¿Qué es la administración de aplicaciones de Microsoft Intune?

    Recurso

  • Integración de aplicaciones locales con Defender para aplicaciones en la nube
    		•

    Pasos siguientes