Directivas de seguridad comunes para organizaciones de Microsoft 365

Las organizaciones tienen mucho que preocuparse al implementar Microsoft 365 para su organización. Las directivas de acceso condicional, protección de aplicaciones y cumplimiento de dispositivos a las que se hace referencia en este artículo se basan en las recomendaciones de Microsoft y en los tres principios rectores de Confianza cero:

  • Comprobar de forma explícita.
  • Uso de privilegios mínimos
  • Asumir la vulneración.

Las organizaciones pueden tomar estas directivas tal como están o personalizarlas para satisfacer sus necesidades. Si es posible, pruebe las directivas en un entorno que no sea de producción antes de implementar a los usuarios de producción. Las pruebas son fundamentales para identificar y comunicar los posibles efectos a los usuarios.

Agrupamos estas directivas en tres niveles de protección en función de dónde se encuentra en el recorrido de implementación:

  • Punto de partida : controles básicos que introducen la autenticación multifactor, los cambios de contraseña seguros y las directivas de protección de aplicaciones.
  • Empresa : controles mejorados que introducen el cumplimiento de dispositivos.
  • Seguridad especializada : directivas que requieren autenticación multifactor cada vez para conjuntos de datos o usuarios específicos.

En el diagrama siguiente se muestra el nivel de protección al que se aplica cada directiva y si las directivas se aplican a equipos o teléfonos y tabletas, o a ambas categorías de dispositivos.

Diagrama que muestra las directivas comunes de identidad y dispositivo que admiten principios de Confianza cero.

Puede descargar este diagrama como un archivo PDF .

Sugerencia

Se recomienda requerir el uso de la autenticación multifactor (MFA) antes de inscribir dispositivos en Intune para garantizar que el dispositivo esté en posesión del usuario previsto. Debe inscribir dispositivos en Intune para poder aplicar directivas de cumplimiento de dispositivos.

Requisitos previos

Permissions

  • Los usuarios que administrarán las directivas de acceso condicional deben poder iniciar sesión en el Azure Portal como administrador de acceso condicional, administrador de seguridad o administrador global.
  • Los usuarios que administrarán las directivas de cumplimiento de dispositivos y protección de aplicaciones deben poder iniciar sesión en Intune como administrador de Intune o administrador global.
  • A los usuarios que solo necesitan ver las configuraciones se les pueden asignar los roles Lector de seguridad o Lector global .

Para obtener más información sobre los roles y permisos, consulte el artículo Microsoft Entra roles integrados.

Registro de usuarios

Asegúrese de que los usuarios se registren para la autenticación multifactor antes de requerir su uso. Si tiene licencias que incluyen Microsoft Entra ID P2, puede usar la directiva de registro de MFA dentro de Protección de Microsoft Entra ID para requerir que los usuarios se registren. Proporcionamos plantillas de comunicación, puede descargar y personalizar para promover el registro.

Grupos

Todos los grupos de Microsoft Entra que se usan como parte de estas recomendaciones deben crearse como un grupo de Microsoft 365y no como un grupo de seguridad. Este requisito es importante para la implementación de etiquetas de confidencialidad al proteger documentos en Microsoft Teams y SharePoint más adelante. Para obtener más información, consulte el artículo Más información sobre los grupos y los derechos de acceso en Microsoft Entra ID

Asignación de directivas

Las directivas de acceso condicional se pueden asignar a usuarios, grupos y roles de administrador. Las directivas de cumplimiento de dispositivos y protección de aplicaciones de Intune solo se pueden asignar a grupos. Antes de configurar las directivas, debe identificar quién debe incluirse y excluirse. Normalmente, las directivas de nivel de protección de punto de partida se aplican a todos los usuarios de la organización.

Este es un ejemplo de asignación de grupos y exclusiones para requerir MFA después de que los usuarios hayan completado el registro de usuarios.

  Microsoft Entra directiva de acceso condicional Incluir Excluir
Punto de inicio Requerir autenticación multifactor para riesgo de inicio de sesión medio o alto Todos los usuarios
  • Cuentas de acceso de emergencia
  • Grupo de exclusión de acceso condicional
Empresarial Requerir autenticación multifactor para riesgo de inicio de sesión bajo, medio o alto Grupo de personal ejecutivo
  • Cuentas de acceso de emergencia
  • Grupo de exclusión de acceso condicional
Seguridad especializada Requerir la autenticación multifactor siempre Grupo Buckeye del proyecto top secret
  • Cuentas de acceso de emergencia
  • Grupo de exclusión de acceso condicional

Tenga cuidado al aplicar niveles más altos de protección a grupos y usuarios. El objetivo de la seguridad no es agregar fricción innecesaria a la experiencia del usuario. Por ejemplo, los miembros del grupo Buckeye del proyecto top secret deberán usar MFA cada vez que inicien sesión, incluso si no trabajan en el contenido de seguridad especializado para su proyecto. Una fricción de seguridad excesiva puede provocar fatiga.

Puede considerar la posibilidad de habilitar métodos de autenticación sin contraseña, como Windows Hello para empresas o claves de seguridad FIDO2 para reducir cierta fricción creada por determinados controles de seguridad.

Cuentas de acceso de emergencia

Todas las organizaciones deben tener al menos una cuenta de acceso de emergencia que se supervise para su uso y se excluya de las directivas. Estas cuentas solo se usan en caso de que todas las demás cuentas de administrador y métodos de autenticación se bloqueen o no estén disponibles. Puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.

Exclusiones

Una práctica recomendada consiste en crear un grupo de Microsoft Entra para exclusiones de acceso condicional. Este grupo proporciona un medio para proporcionar acceso a un usuario mientras soluciona problemas de acceso.

Advertencia

Este grupo solo se recomienda para su uso como solución temporal. Supervise y audite continuamente este grupo en busca de cambios y asegúrese de que el grupo de exclusión solo se usa según lo previsto.

Para agregar este grupo de exclusión a las directivas existentes:

  1. Inicie sesión en el Azure Portal como administrador de acceso condicional, administrador de seguridad o administrador global.
  2. Vaya a Microsoft Entra ID>Seguridad>de acceso condicional.
  3. Seleccione una directiva existente.
  4. En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
    1. En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia o acceso de emergencia de su organización y el grupo de exclusión de acceso condicional.

Implementación

Se recomienda implementar las directivas de punto de partida en el orden indicado en esta tabla. Sin embargo, las directivas de MFA para los niveles de protección empresariales y especializados se pueden implementar en cualquier momento.

Punto de inicio

Policy Más información Licencias
Requerir MFA cuando el riesgo de inicio de sesión es medio o alto Uso de datos de riesgo de Protección de Microsoft Entra ID para requerir MFA solo cuando se detecta riesgo Microsoft 365 E5 o Microsoft 365 E3 con el complemento de seguridad E5
Bloquear a los clientes que no sean compatibles con la autenticación moderna Los clientes que no usan la autenticación moderna pueden omitir las directivas de acceso condicional, por lo que es importante bloquearlas. Microsoft 365 E3 o E5
Los usuarios de riesgo alto tienen que cambiar la contraseña Obliga a los usuarios a cambiar su contraseña al iniciar sesión si se detecta actividad de alto riesgo para su cuenta. Microsoft 365 E5 o Microsoft 365 E3 con el complemento de seguridad E5
Aplicación de directivas de protección de aplicaciones para la protección de datos Una directiva de protección de aplicaciones de Intune por plataforma (Windows, iOS/iPadOS, Android). Microsoft 365 E3 o E5
Requerir aplicaciones aprobadas y directivas de protección de aplicaciones Aplica directivas de protección de aplicaciones móviles para teléfonos y tabletas mediante iOS, iPadOS o Android. Microsoft 365 E3 o E5

Enterprise

Policy Más información Licencias
Requerir MFA cuando el riesgo de inicio de sesión es bajo, medio o alto Uso de datos de riesgo de Protección de Microsoft Entra ID para requerir MFA solo cuando se detecta riesgo Microsoft 365 E5 o Microsoft 365 E3 con el complemento de seguridad E5
Definición de directivas de cumplimiento de dispositivos Establezca los requisitos mínimos de configuración. Una directiva para cada plataforma. Microsoft 365 E3 o E5
Requerir equipos compatibles y dispositivos móviles Aplica los requisitos de configuración para los dispositivos que acceden a su organización. Microsoft 365 E3 o E5

Seguridad especializada

Policy Más información Licencias
Siempre se requiere MFA Los usuarios deben realizar MFA cada vez que inicien sesión en los servicios de la organización. Microsoft 365 E3 o E5

Directivas de protección de aplicaciones

Protección de aplicaciones directivas definen qué aplicaciones se permiten y las acciones que pueden realizar con los datos de la organización. Hay muchas opciones disponibles y puede resultar confusa para algunas. Las siguientes líneas base son las configuraciones recomendadas de Microsoft que se pueden adaptar a sus necesidades. Proporcionamos tres plantillas para seguir, pero creemos que la mayoría de las organizaciones elegirán los niveles 2 y 3.

El nivel 2 se asigna a lo que se considera el punto de partida o la seguridad de nivel empresarial , el nivel 3 se asigna a la seguridad especializada .

  • Protección de datos básica de empresa de nivel 1 : Microsoft recomienda esta configuración como configuración de protección de datos mínima para un dispositivo empresarial.

  • Protección de datos mejorada para empresas de nivel 2 : Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial o confidencial. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. Algunos de los controles pueden afectar a la experiencia del usuario.

  • Alta protección de datos de nivel 3 empresarial : Microsoft recomienda esta configuración para los dispositivos ejecutados por una organización con un equipo de seguridad más grande o más sofisticado, o para usuarios o grupos específicos que están en un riesgo excepcionalmente alto (usuarios que controlan datos altamente confidenciales donde la divulgación no autorizada provoca una pérdida considerable de material para la organización). Una organización que probablemente esté dirigida por adversarios sofisticados y bien financiados debe aspirar a esta configuración.

Crear directivas de protección de aplicaciones

Cree una nueva directiva de protección de aplicaciones para cada plataforma (iOS y Android) dentro de Microsoft Intune mediante la configuración del marco de protección de datos mediante:

Directivas de cumplimiento de dispositivos

Las directivas de cumplimiento de dispositivos de Intune definen los requisitos que los dispositivos deben cumplir para determinarse como compatibles.

Debe crear una directiva para cada pc, teléfono o plataforma de tableta. En este artículo se tratarán las recomendaciones para las siguientes plataformas:

Creación de directivas de cumplimiento de dispositivos

Para crear directivas de cumplimiento de dispositivos, inicie sesión en el centro de administración de Microsoft Intune y vaya aDirectivasde cumplimiento de>dispositivos>. Seleccione Crear directiva.

Para obtener instrucciones paso a paso sobre cómo crear directivas de cumplimiento en Intune, consulte Creación de una directiva de cumplimiento en Microsoft Intune.

Configuración de inscripción y cumplimiento para iOS/iPadOS

iOS/iPadOS admite varios escenarios de inscripción, dos de los cuales se tratan como parte de este marco:

Usar los principios descritos en Confianza cero configuraciones de acceso a dispositivos e identidades:

Configuración de cumplimiento para dispositivos inscritos personalmente
  • Seguridad básica personal (nivel 1): Microsoft recomienda esta configuración como configuración de seguridad mínima para los dispositivos personales en los que los usuarios acceden a datos profesionales o educativos. Esta configuración se realiza mediante la aplicación de directivas de contraseña, características de bloqueo de dispositivo y deshabilitación de determinadas funciones de dispositivo, como certificados que no son de confianza.
  • Seguridad mejorada personal (nivel 2): Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial o confidencial. Esta configuración establece controles de uso compartido de datos. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a los datos profesionales o educativos de un dispositivo.
  • Alta seguridad personal (nivel 3): Microsoft recomienda esta configuración para los dispositivos utilizados por usuarios o grupos específicos que son de alto riesgo único (usuarios que controlan datos altamente confidenciales donde la divulgación no autorizada provoca una pérdida considerable de material para la organización). Esta configuración implementa directivas de contraseña más seguras, deshabilita determinadas funciones de dispositivo y aplica restricciones adicionales de transferencia de datos.
Configuración de cumplimiento para la inscripción automatizada de dispositivos
  • Seguridad básica supervisada (nivel 1): Microsoft recomienda esta configuración como configuración de seguridad mínima para los dispositivos supervisados donde los usuarios acceden a datos profesionales o educativos. Esta configuración se realiza mediante la aplicación de directivas de contraseña, características de bloqueo de dispositivo y deshabilitación de determinadas funciones de dispositivo, como certificados que no son de confianza.
  • Seguridad mejorada supervisada (nivel 2): Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial o confidencial. Esta configuración aplica controles de uso compartido de datos y bloquea el acceso a dispositivos USB. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a los datos profesionales o educativos de un dispositivo.
  • Alta seguridad supervisada (nivel 3): Microsoft recomienda esta configuración para los dispositivos utilizados por usuarios o grupos específicos que son de riesgo único alto (usuarios que controlan datos altamente confidenciales donde la divulgación no autorizada provoca una pérdida considerable de material para la organización). Esta configuración establece directivas de contraseña más seguras, deshabilita determinadas funciones de dispositivo, aplica restricciones adicionales de transferencia de datos y requiere que las aplicaciones se instalen a través del programa de compra por volumen de Apple.

Configuración de inscripción y cumplimiento para Android

Android Enterprise admite varios escenarios de inscripción, dos de los cuales se tratan como parte de este marco:

  • Perfil de trabajo de Android Enterprise : este modelo de inscripción se usa normalmente para dispositivos de propiedad personal, donde TI quiere proporcionar un límite de separación claro entre datos profesionales y personales. Las directivas controladas por TI garantizan que los datos de trabajo no se puedan transferir al perfil personal.
  • Dispositivos Android Enterprise totalmente administrados : estos dispositivos son de propiedad corporativa, están asociados a un único usuario y se usan exclusivamente para uso profesional y no personal.

El marco de configuración de seguridad de Android Enterprise se organiza en varios escenarios de configuración distintos, lo que proporciona instrucciones para escenarios de perfil de trabajo y totalmente administrados.

Usar los principios descritos en Confianza cero configuraciones de acceso a dispositivos e identidades:

Configuración de cumplimiento para dispositivos de perfil de trabajo de Android Enterprise
  • Debido a la configuración disponible para los dispositivos de perfil de trabajo de propiedad personal, no hay ninguna oferta de seguridad básica (nivel 1). La configuración disponible no justifica una diferencia entre el nivel 1 y el nivel 2.
  • Seguridad mejorada del perfil de trabajo (nivel 2): Microsoft recomienda esta configuración como la configuración de seguridad mínima para los dispositivos personales en los que los usuarios acceden a datos profesionales o educativos. Esta configuración presenta los requisitos de contraseña, separa los datos profesionales y personales y valida la atestación de dispositivos Android.
  • Alta seguridad del perfil de trabajo (nivel 3): Microsoft recomienda esta configuración para los dispositivos utilizados por usuarios o grupos específicos que son de riesgo único alto (usuarios que controlan datos altamente confidenciales donde la divulgación no autorizada provoca una pérdida considerable de material para la organización). Esta configuración presenta la defensa contra amenazas móviles o Microsoft Defender para punto de conexión, establece la versión mínima de Android, implementa directivas de contraseña más seguras y restringe aún más la separación personal y laboral.
Configuración de cumplimiento para dispositivos Android Enterprise totalmente administrados
  • Seguridad básica totalmente administrada (nivel 1): Microsoft recomienda esta configuración como la configuración de seguridad mínima para un dispositivo empresarial. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. Esta configuración introduce los requisitos de contraseña, establece la versión mínima de Android y establece ciertas restricciones de dispositivo.
  • Seguridad mejorada totalmente administrada (nivel 2): Microsoft recomienda esta configuración para los dispositivos en los que los usuarios acceden a información confidencial o confidencial. Esta configuración implementa directivas de contraseña más seguras y deshabilita las funcionalidades de usuario o cuenta.
  • Alta seguridad totalmente administrada (nivel 3): Microsoft recomienda esta configuración para los dispositivos utilizados por usuarios o grupos específicos que son de alto riesgo de forma única. Estos usuarios pueden controlar datos altamente confidenciales cuando la divulgación no autorizada puede causar una pérdida considerable de material a la organización. Esta configuración aumenta la versión mínima de Android, introduce la defensa contra amenazas móviles o Microsoft Defender para punto de conexión y aplica restricciones adicionales a los dispositivos.

La siguiente configuración se configura en Paso 2: Configuración de cumplimiento del proceso de creación de directivas de cumplimiento para Windows 10 y dispositivos más recientes. Esta configuración se alinea con los principios descritos en Confianza cero configuraciones de acceso a dispositivos e identidades.

Para las reglas de evaluación del servicio de atestación de estado de Windows del estado > del dispositivo, consulte esta tabla.

Propiedad Valor
Require BitLocker Obligatoria
Requerir que arranque seguro esté habilitado en el dispositivo Obligatoria
Requerir integridad de código Obligatoria

En Propiedades del dispositivo, especifique los valores adecuados para las versiones del sistema operativo en función de las directivas de TI y seguridad.

Para Configuration Manager Cumplimiento, si se encuentra en un entorno administrado conjuntamente con Configuration Manager seleccione Requerir; de lo contrario, seleccione No configurado.

Para Seguridad del sistema, consulte esta tabla.

Propiedad Valor
Requerir una contraseña para desbloquear dispositivos móviles Obligatoria
Contraseñas sencillas Bloquear
Tipo de contraseña Valor predeterminado del dispositivo
Longitud mínima de la contraseña 6
Máximo de minutos de inactividad antes de que se requiera una contraseña 15 minutos
Expiración de contraseña (días) 41
Número de contraseñas anteriores que no se pueden reutilizar 5
Requerir contraseña cuando el dispositivo vuelva del estado de inactividad (móvil y holográfico) Obligatoria
Requerir cifrado de almacenamiento de datos en el dispositivo Obligatoria
Firewall Obligatoria
Antivirus Obligatoria
Antiespía Obligatoria
Antimalware de Microsoft Defender Obligatoria
Versión mínima de Antimalware de Microsoft Defender Microsoft recomienda versiones no más de cinco detrás de la versión más reciente.
Microsoft Defender firma antimalware actualizada Obligatoria
Protección en tiempo real Obligatoria

Para Microsoft Defender para punto de conexión

Propiedad Valor
Requerir que el dispositivo esté en o bajo la puntuación de riesgo de la máquina Mediano

Directivas de acceso condicional

Una vez creadas las directivas de cumplimiento de dispositivos y protección de aplicaciones en Intune, puede habilitar la aplicación con directivas de acceso condicional.

Requerir MFA en función del riesgo de inicio de sesión

Siga las instrucciones del artículo Common Conditional Access policy: Sign-in risk-based multifactor authentication (Directiva de acceso condicional común: autenticación multifactor basada en riesgos de inicio de sesión ) para crear una directiva que requiera la autenticación multifactor en función del riesgo de inicio de sesión.

Al configurar la directiva, use los siguientes niveles de riesgo.

Nivel de protección Valores de nivel de riesgo necesarios Acción
Punto de inicio Alto, medio Compruebe ambas cosas.
Enterprise Alto, medio, bajo Compruebe los tres.

Bloquear clientes que no admiten la autenticación multifactor

Siga las instrucciones del artículo Directiva de acceso condicional común: Bloquear la autenticación heredada para bloquear la autenticación heredada.

Los usuarios de riesgo alto tienen que cambiar la contraseña

Siga las instrucciones del artículo Common Conditional Access policy: User risk-based password change (Directiva de acceso condicional común: cambio de contraseña basada en riesgos del usuario ) para requerir que los usuarios con credenciales en peligro cambien su contraseña.

Use esta directiva junto con Microsoft Entra protección con contraseña, que detecta y bloquea las contraseñas no seguras conocidas y sus variantes, además de los términos específicos de su organización. El uso de Microsoft Entra protección con contraseña garantiza que las contraseñas modificadas sean más seguras.

Requerir aplicaciones aprobadas y directivas de protección de aplicaciones

Debe crear una directiva de acceso condicional para aplicar las directivas de protección de aplicaciones creadas en Intune. La aplicación de directivas de protección de aplicaciones requiere una directiva de acceso condicional y una directiva de protección de aplicaciones correspondiente.

Para crear una directiva de acceso condicional que requiera aplicaciones aprobadas y protección de aplicaciones, siga los pasos descritos en Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones con dispositivos móviles. Esta directiva solo permite que las cuentas de las aplicaciones móviles protegidas por directivas de protección de aplicaciones accedan a los puntos de conexión de Microsoft 365.

El bloqueo de la autenticación heredada para otras aplicaciones cliente en dispositivos iOS y Android garantiza que estos clientes no puedan omitir las directivas de acceso condicional. Si sigue las instrucciones de este artículo, ya ha configurado Bloquear clientes que no admiten la autenticación moderna.

Requerir equipos compatibles y dispositivos móviles

Los pasos siguientes le ayudarán a crear una directiva de acceso condicional para requerir que los dispositivos que acceden a los recursos se marquen como compatibles con las directivas de cumplimiento de Intune de su organización.

Precaución

Asegúrese de que el dispositivo es compatible antes de habilitar esta directiva. De lo contrario, podría bloquearse y no puede cambiar esta directiva hasta que la cuenta de usuario se haya agregado al grupo de exclusión de acceso condicional.

  1. Inicie sesión en el portal de Azure.
  2. Vaya a Microsoft Entra ID>Seguridad>de acceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia o de emergencia de su organización.
  6. En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
    1. Si debe excluir aplicaciones específicas de la directiva, puede elegirlas en la pestaña Excluir en Seleccionar aplicaciones en la nube excluidas y elegir Seleccionar.
  7. En Controles> de acceso, conceda.
    1. Seleccione Requerir que el dispositivo esté marcado como compatible.
    2. Seleccione Seleccionar.
  8. Confirme la configuración y establezca la opción Habilitar directiva en Activada.
  9. Seleccione Crear para crear para habilitar la directiva.

Nota:

Puede inscribir los nuevos dispositivos en Intune incluso si selecciona Requerir que el dispositivo se marque como compatible conTodos los usuarios y Todas las aplicaciones en la nube de la directiva. Requerir que el dispositivo se marque como control compatible no bloquea la inscripción de Intune y el acceso a la aplicación de Portal de empresa web de Microsoft Intune.

Activación de suscripción

Las organizaciones que usan la característica de activación de suscripción para permitir que los usuarios realicen un "paso a paso" de una versión de Windows a otra, es posible que quieran excluir las API del servicio universal de la Tienda y la aplicación web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f de su directiva de cumplimiento de dispositivos.

*Siempre* exigir MFA

Siga las instrucciones del artículo Directiva de acceso condicional común: Requerir MFA para que todos los usuarios requieran que los usuarios de nivel de seguridad especializados realicen siempre la autenticación multifactor.

Advertencia

Al configurar la directiva, seleccione el grupo que requiere seguridad especializada y úselo en lugar de seleccionar Todos los usuarios.

Siguientes pasos

Paso 3: Directivas para usuarios invitados y externos.

Más información sobre las recomendaciones de directiva para usuarios invitados y externos