Cumplimiento de los requisitos de autorización del Memorándum 22-09
Esta serie de artículos ofrece orientación para emplear Microsoft Entra ID como sistema centralizado de administración de identidades al implementar los principios de Confianza Cero. Véase, Oficina de Administración y Presupuesto (OMB) M 22-09 memorando para los jefes de departamentos y agencias ejecutivos.
Los requisitos del memorándum son tipos de cumplimiento en directivas de autenticación multifactor y controles para dispositivos, roles, atributos y administración de acceso con privilegios.
Controles basados en dispositivos
Un memorándum 22-09 es, al menos, una señal basada en dispositivos para que las decisiones de autorización accedan a un sistema o aplicación. Aplique el requisito mediante el acceso condicional. Aplique varias señales de dispositivo durante la autorización. Consulte la tabla siguiente para obtener la señal y el requisito de recuperar la señal.
| Señal | Recuperación de la señal |
|---|---|
| El dispositivo se administra | Se requiere la integración con Intune u otra solución de administración de dispositivos móviles (MDM) que admita la integración. |
| Unido a Microsoft Entra | Active Directory administra el dispositivo y lo califica. |
| El dispositivo es compatible | Integración con Intune u otra solución MDM que admita la integración. Consulte Creación de una directiva de cumplimiento en Microsoft Intune. |
| Señales de amenaza | Microsoft Defender for Endpoint y otras herramientas de detección y respuesta para puntos de conexión (EDR) cuentan con integraciones de Microsoft Entra ID e Intune que envían señales de amenaza para denegar el acceso. Las señales de amenaza admiten la señal de estado conforme. |
| Directivas de acceso entre inquilinos (versión preliminar pública) | Confíe en las señales de dispositivo desde dispositivos de otras organizaciones. |
Controles basados en roles
Use el control de acceso basado en roles (RBAC) para aplicar autorizaciones a través de asignaciones de roles en un ámbito determinado. Por ejemplo, asigne acceso mediante características de administración de derechos, incluidos los paquetes de acceso y las revisiones de acceso. Administre las autorizaciones con solicitudes de autoservicio y use la automatización para administrar el ciclo de vida. Por ejemplo, finalice automáticamente el acceso en función de criterios.
Más información:
- ¿Qué es la administración de derechos?
- Creación de un paquete de acceso en la administración de derechos
- ¿Qué son las revisiones de acceso?
Controles basados en atributos
Los controles de acceso basados en atributos (ABAC) usa los metadatos asignados a un usuario o recurso para permitir o denegar el acceso durante la autenticación. Consulte las siguientes secciones para crear autorizaciones mediante las aplicaciones de ABAC para datos y recursos a través de la autenticación.
Atributos asignados a usuarios
Utilice los atributos asignados a los usuarios, almacenados en Microsoft Entra ID, para crear autorizaciones de usuario. Los usuarios se asignan automáticamente a grupos de pertenencia dinámica en función de un conjunto de reglas que definas durante la creación del grupo. Las reglas agregan o eliminan un usuario del grupo en función de la evaluación de reglas aplicada al usuario y sus atributos. Se recomienda mantener los atributos y no establecer atributos estáticos en el día de creación.
Más información: Crear o actualizar un grupo dinámico en Microsoft Entra ID
Atributos asignados a datos
Con Microsoft Entra ID, puede integrar la autorización a los datos. Consulte las secciones siguientes para integrar la autorización. Puede configurar la autenticación en directivas de acceso condicional: restringir las acciones que los usuarios realizan en una aplicación o en los datos. Después, estas directivas de autenticación se asignan en el origen de datos.
Los orígenes de datos pueden ser archivos de Microsoft Office, como Word, Excel, o sitios de SharePoint que se asignan en la autenticación. Use la autenticación asignada a los datos de las aplicaciones. Este enfoque requiere la integración con el código de la aplicación y para que los desarrolladores adopten esta funcionalidad. Use la integración de autenticación con Microsoft Defender for Cloud Apps para controlar las acciones realizadas en datos mediante controles de sesión.
Combina grupos de pertenencia dinámica con contexto de autenticación para controlar las asignaciones de acceso de usuario entre los datos y los atributos de usuario.
Más información:
- Acceso condicional: aplicaciones, acciones y contexto de autenticación en la nube
- Instrucciones para desarrolladores sobre el contexto de autenticación del acceso condicional
- Directivas de sesión
Atributos asignados a recursos
Azure incluye el control de acceso basado en atributos (Azure ABAC) para el almacenamiento. Asigne los metadatos de etiquetas en los datos almacenados en una cuenta de Azure Blob Storage. Asigne los metadatos a los usuarios mediante asignaciones de roles para conceder acceso.
Más información: ¿Qué es el control de acceso basado en atributos?
Privileged Access Management
El memorándum cita la ineficiencia del uso de herramientas de administración de acceso con privilegios con credenciales efímeras de un solo factor para acceder a los sistemas. Estas tecnologías incluyen almacenes de contraseñas que aceptan el inicio de sesión de autenticación multifactor para un administrador. Estas herramientas generan una contraseña para que una cuenta alternativa acceda al sistema. El acceso al sistema se produce con un solo factor.
Las herramientas de Microsoft implementan la Privileged Identity Management (PIM) para sistemas privilegiados con Microsoft Entra ID como sistema central de administración de identidades. Aplique la autenticación multifactor para la mayoría de los sistemas con privilegios que son aplicaciones, elementos de infraestructura o dispositivos.
Utilizar PIM para un rol privilegiado, cuando se implementa con identidades Microsoft Entra. Identifique los sistemas con privilegios que requieren protecciones para evitar el movimiento lateral.
Más información:
- ¿Qué es Microsoft Entra Privileged Identity Management?
- Planeación de una implementación de Privileged Identity Management
Pasos siguientes
- Cumplimiento de los requisitos de identidad del memorándum 22-09 con Microsoft Entra ID
- Memorándum 22-09 sobre el sistema de administración de identidades de la empresa
- Cumplimiento de los requisitos de autenticación multifactor del memorándum 22-09
- Otras áreas de Confianza cero abordadas en el Memorándum 22-09
- Protección de la identidad con Confianza cero