Creación de un entorno de uso compartido de invitados más seguro
En este artículo, analizaremos una amplia variedad de opciones para crear un entorno más seguro de uso compartido para invitados en Microsoft 365. Se trata de ejemplos para dar una idea de las opciones disponibles. Puede usar estos procedimientos en distintas combinaciones para satisfacer las necesidades de seguridad y cumplimiento de su organización.
En este artículo se incluyen:
- Configurar autenticación multifactor para invitados
- Configurar condiciones de uso para invitados.
- Establecer revisiones trimestrales de acceso de invitados para validar periódicamente si los invitados continúan necesitando permisos en los equipos y en los sitios.
- Restringir el acceso de invitados a solo web para dispositivos no administrados.
- Configurar una directiva de tiempo de espera de la sesión para garantizar la autenticación de los invitados diariamente.
- Creación de un tipo de información confidencial para un proyecto altamente confidencial.
- Asignación automática de una etiqueta de confidencialidad a los documentos que contengan un tipo de información confidencial.
- Retirar automáticamente el acceso de invitado a los archivos con una etiqueta de confidencialidad.
Algunas de las opciones analizadas en este artículo requieren que los invitados tengan una cuenta de Azure Active Directory. Para asegurarse de que los invitados estén en el directorio cuando comparta archivos y carpetas con ellos, use la Integración de SharePoint y OneDrive con la vista previa de Azure AD B2B.
Tenga en cuenta que este artículo no describe cómo habilitar la configuración de uso compartido para invitados. Consulte Colaborar con personas de fuera de su organización para obtener más información sobre cómo habilitar el uso compartido para invitados en diferentes situaciones.
Configurar autenticación multifactor para invitados
La autenticación multifactor reduce considerablemente la probabilidad de que una cuenta sea atacada. Dado es posible que los invitados usen cuentas de correo personales que no cumplan con las directivas de la empresa o los procedimientos recomendados, es especialmente importante exigirles que usen una autenticación multifactor. Si se roba el nombre de usuario y la contraseña de un invitado, tener un segundo factor de autenticación reduce considerablemente las posibilidades de que terceros obtengan acceso a sus sitios y archivos.
En este ejemplo, configuraremos la autenticación multifactor para invitados mediante el uso de una directiva de acceso condicional en Azure Active Directory.
Configurar autenticación multifactor para invitados
- Vaya a directivas de acceso condicional de Azure.
- En la hoja Acceso condicional | Directivas, seleccione Nueva directiva.
- En el campo Nombre, escriba un nombre.
- Seleccione el vínculo Usuarios .
- Seleccione Seleccionar usuarios y grupos y, a continuación, active la casilla Usuarios invitados o externos .
- En la lista desplegable, seleccione Usuarios invitados de colaboración B2B y Usuarios miembros de colaboración B2B.
- Seleccione el vínculo Aplicaciones o acciones en la nube.
- Seleccione Todas las aplicaciones en la nube en la pestaña Incluir .
- Seleccione el vínculo Conceder .
- En la hoja Conceder, marque la casilla Requerir autenticación multifactor y haga clic en Seleccionar.
- En Habilitar directiva, haga clic en Activadoy, a continuación, haga clic en Crear.
Ahora, el invitado deberá inscribirse en la autenticación multifactor para acceder al contenido compartido, a los sitios o a los equipos.
Más información
Planificar una implementación de autenticación multifactor de Azure AD
Configurar condiciones de uso para invitados
En determinadas situaciones, puede que los invitados no hayan firmado contratos de no divulgación ni otros acuerdos jurídicos con su organización. Puede obligar a los invitados a aceptar sus términos de uso antes de darles acceso a los archivos compartidos. Los términos de uso se les pueden mostrar la primera vez que intenten acceder a un archivo o sitio compartido.
Para crearlos, primero elabore el documento en Word u otro programa de creación y, luego, guárdelo como un archivo PDF. Este archivo se puede cargar en Azure AD.
¿Por qué crear términos de uso de Azure AD?
Inicie sesión en Azure como administrador global, administrador de seguridad o administrador de acceso condicional.
Vaya a Términos de uso.
Haga clic en Nuevos términos.
Escriba un nombre.
En Documento de términos de uso explore hasta encontrar el archivo PDF que creó y selecciónelo.
Seleccione el idioma para su documento de términos de uso.
Escriba un nombre para mostrar.
En Requerir a los usuarios que expandan los términos de uso, seleccione Activado.
En Acceso condicional, de la lista Exigir con plantillas de directiva de acceso condicional elija Crear directiva de acceso condicional más adelante.
Haga clic en Crear.
Una vez que haya creado los términos de uso, el siguiente paso es crear una directiva de acceso condicional que muestre los términos de uso a los invitados.
Para crear una nueva directiva de acceso condicional, haga lo siguiente:
- Vaya a directivas de acceso condicional de Azure.
- En la hoja Acceso condicional | Directivas, seleccione Nueva directiva.
- En el cuadro Nombre, escriba un nombre.
- Seleccione el vínculo Usuarios .
- Seleccione Seleccionar usuarios y grupos y, a continuación, active la casilla Usuarios invitados o externos .
- En la lista desplegable, seleccione Usuarios invitados de colaboración B2B y Usuarios miembros de colaboración B2B.
- Seleccione el vínculo Aplicaciones o acciones en la nube.
- En la pestaña Incluir , seleccione Seleccionar aplicaciones y, a continuación, haga clic en el vínculo Seleccionar .
- En la hoja Seleccionar, seleccione Office 365 y, a continuación, haga clic en Seleccionar.
- Seleccione el vínculo Conceder .
- En la hoja Conceder, seleccione Términos de uso de invitado y, a continuación, haga clic en Seleccionar.
- En Habilitar directiva, haga clic en Activadoy, a continuación, haga clic en Crear.
A partir de ahora, cuando un invitado acceda por primera vez al contenido, a un grupo o a un sitio de su organización, se le pedirá que acepte los términos de uso.
Nota:
El uso del acceso condicional requiere una licencia de Azure AD Premium P1. Para más información, consulte Qué es el acceso condicional.
Más información
Términos de uso de Azure Active Directory.
Configurar revisiones de acceso de invitados
Con las revisiones de acceso en Azure AD, puede realizar automáticamente revisiones periódicas del acceso de usuarios a diversos equipos y grupos. Al requerir una revisión de acceso específicamente para invitados, se asegura de que los invitados no tengan acceso a información confidencial de su organización durante más tiempo del necesario.
Crear una revisión de acceso de invitados
En la página Identity Governance, en el menú de la izquierda, haga clic en Revisiones de acceso.
Haga clic en Nueva revisión de acceso.
Elija la opción Equipos + Grupos.
Elija la opción Todos los grupos de Microsoft 365 con usuarios invitados. Haga clic en Seleccionar grupo(s) para excluir si quiere excluir algún grupo.
Elija la opción Usuarios invitados solo y, a continuación, haga clic en Siguiente: revisiones.
En Seleccionar revisores, elija Propietario(s) de grupo.
Haga clic en Seleccionar revisores de reserva, elija quiénes serán revisores de reserva y haga entonces clic en Seleccionar.
Elija una duración (en días) para que la revisión esté abierta para los comentarios.
En Especificar periodicidad de la revisión, elija Trimestral.
Seleccione una fecha de inicio y duración.
Para Finalizar, elija Nunca y haga clic en Siguiente: configuración.
En la pestaña Configuración, revise la configuración de cumplimiento con las normas de su empresa.
Haga clic en Siguiente: Revisar + Crear.
Escriba un Nombre de revisión y revise la configuración.
Haga clic en Crear.
Más información
Administre el acceso de los invitados con las revisiones de acceso de Azure AD
Cree una revisión de acceso de grupos o aplicaciones con las revisiones de acceso de Azure AD
Configuración del acceso solo web para invitados con dispositivos no administrados
Si los invitados usan dispositivos no administrados por su organización u otra organización con la que tiene una relación de confianza, puede exigirles que accedan a sus equipos, sitios y archivos solo mediante un explorador web. Esto reduce la posibilidad de que descarguen archivos confidenciales y los dejen en un dispositivo no administrado. Esto también es útil cuando se comparte con entornos que usan dispositivos compartidos.
Para Grupos de Microsoft 365 y Teams, esto se realiza mediante una directiva de acceso condicional de Azure AD. En el caso de SharePoint, se configura en el Centro de administración de SharePoint. (También puede usar etiquetas de confidencialidad para restringir el acceso de invitados a solo web)
Cómo restringir el acceso de los invitados a solo web para Grupos y Equipos:
Haga clic en Nueva directiva.
En el cuadro Nombre, escriba un nombre.
Haga clic en el vínculo Usuarios .
Seleccione Seleccionar usuarios y grupos y, a continuación, active la casilla Usuarios invitados o externos .
En la lista desplegable, seleccione Usuarios invitados de colaboración B2B y Usuarios miembros de colaboración B2B.
Haga clic en el vínculo Aplicaciones o acciones en la nube.
En la pestaña Incluir , seleccione Seleccionar aplicaciones y, a continuación, haga clic en el vínculo Seleccionar .
En la hoja Seleccionar, seleccione Office 365 y, a continuación, haga clic en Seleccionar.
Haga clic en el vínculo Condiciones .
En la hoja Condiciones , haga clic en el vínculo Aplicaciones cliente .
En la hoja Aplicaciones cliente, haga clic en Sí para Configurar, y seleccione la configuración de Clientes de aplicaciones móviles y de escritorio, Clientes de Exchange ActiveSync y de Otros clientes. Desactive la casilla Explorador.
Haga clic en Listo.
Haga clic en el vínculo Conceder .
En la hoja Conceder, seleccione Requerir que el dispositivo esté marcado como compatible y Requerir un dispositivo unido de Hybrid Azure AD.
En Para varios controles, seleccione Requerir uno de los controles seleccionados y, a continuación haga clic en Seleccionar.
En Habilitar directiva, haga clic en Activadoy, a continuación, haga clic en Crear.
Más información
Controles de acceso a dispositivos no administrados de SharePoint y OneDrive para administradores
Configurar una directiva de tiempo de espera de sesión para invitados
Requerir que los invitados se autentiquen periódicamente puede reducir la posibilidad de que usuarios desconocidos accedan al contenido de la organización si el invitado no protege su dispositivo correctamente. Azure AD le permite configurar una directiva de acceso condicional de tiempo de espera de sesión para invitados.
Cómo configurar una directiva de tiempo de espera de sesión para invitado
- Vaya a directivas de acceso condicional de Azure.
- Haga clic en Nueva directiva.
- En el cuadro Nombre, escriba Tiempo de espera de sesión para invitado.
- Haga clic en el vínculo Usuarios .
- Seleccione Seleccionar usuarios y grupos y, a continuación, active la casilla Usuarios invitados o externos .
- En la lista desplegable, seleccione Usuarios invitados de colaboración B2B y Usuarios miembros de colaboración B2B.
- Haga clic en el vínculo Aplicaciones o acciones en la nube.
- En la pestaña Incluir , seleccione Seleccionar aplicaciones y, a continuación, haga clic en el vínculo Seleccionar .
- En la hoja Seleccionar, seleccione Office 365 y, a continuación, haga clic en Seleccionar.
- Haga clic en el vínculo Sesión .
- En la hoja Sesión, seleccione Frecuencia de inicio de sesión.
- Elija 1 y Días para el período de tiempo y, a continuación, haga clic en Seleccionar.
- En Habilitar directiva, haga clic en Activadoy, a continuación, haga clic en Crear.
Crear un tipo de información confidencial para un proyecto altamente confidencial.
Los tipos de información confidencial son cadenas predefinidas que se pueden usar en flujos de trabajo de directiva para aplicar requisitos de cumplimiento. El portal de cumplimiento de Microsoft Purview incluye más de cien tipos de información confidencial, tales como números de permisos de conducir, de tarjetas de crédito, de cuentas bancarias, etc.
Puede crear tipos de información confidencial personalizados para ayudar a administrar el contenido específico de su organización. En este ejemplo, vamos a crear un tipo de información confidencial personalizado para un proyecto altamente confidencial. Podemos usar este tipo de información confidencial para aplicar automáticamente una etiqueta de confidencialidad.
Cómo crear un tipo de información confidencial
- En el portal de cumplimiento Microsoft Purview, en el panel de navegación izquierdo, seleccione Clasificación de datos y, a continuación, seleccione la pestaña Tipos de información confidencial.
- Haga clic en Crear tipo de información confidencial.
- En Nombre y Descripción, escriba Proyecto Saturno y haga clic en Siguiente.
- Seleccione Crear patrón.
- En el panel Nuevo patrón , seleccione Agregar elemento principal y, a continuación, seleccione Lista de palabras clave.
- Escriba un identificador como Project Saturn.
- En el cuadro No distingue mayúsculas de minúsculas , escriba Proyecto Saturno, Saturno y, a continuación, seleccione Listo.
- Seleccione Crear y, a continuación, seleccione Siguiente.
- Elija un nivel de confianza y, a continuación, seleccione Siguiente.
- Seleccione Crear.
- Seleccione Listo.
Para obtener más información, vea Tipos de información confidencial personalizados.
Crear una directiva de etiquetado automático para asignar una etiqueta de confidencialidad basada en un tipo de información confidencial
Si utiliza etiquetas de confidencialidad en la organización, puede aplicar automáticamente una etiqueta a los archivos que contengan tipos definidos de información confidencial.
Crear una directiva de etiquetado automático
- Abra el centro de administración de Microsoft Purview.
- En el panel de navegación izquierdo, haga clic en Protección de la información.
- En la pestaña Etiquetado automático, haga clic en Crear una directiva de etiquetado automático.
- En la página Elegir información que desea aplicar a esta etiqueta , elija Personalizado y, a continuación, haga clic en Directiva personalizada.
- Haga clic en Siguiente.
- Escriba un nombre y una descripción para la directiva y haga clic en Siguiente.
- En la página Elegir las ubicaciones a las que desea aplicar la etiqueta, active Sitios de SharePoint y haga clic en Elegir sitios.
- Agregue las direcciones URL de los sitios en los que quiera activar el etiquetado automático y haga clic en Listo.
- Haga clic en Siguiente.
- En la página Configurar reglas comunes o avanzadas, elija Reglas comunes y haga clic en Siguiente.
- En la página Definir reglas para el contenido en todas las ubicaciones, haga clic en Nueva regla.
- En la página Nueva regla , asigne un nombre a la regla, haga clic en Agregar condición y, a continuación, haga clic en Contenido contiene.
- Haga clic en Agregar y en Tipos de información confidencial, seleccione los tipos de información confidencial que desee usar, haga clic en Agregar y, a continuación, en Guardar.
- Haga clic en Siguiente.
- Haga clic en Elegir una etiqueta, seleccione la etiqueta que desee utilizar y, a continuación, haga clic en Agregar.
- Haga clic en Siguiente.
- Deje la directiva en modo de simulación y elija si desea que se active automáticamente.
- Haga clic en Siguiente.
- Haga clic en Crear directiva y, a continuación, en Listo.
Con la directiva en vigor, cuando un usuario escriba "Proyecto Saturno" en un documento, la directiva de etiquetado automático aplicará automáticamente la etiqueta especificada al analizar el archivo.
Para más información, consulte Aplicar automáticamente una etiqueta de confidencialidad al contenido.
Crear una directiva DLP para retirar el acceso de un invitado a archivos altamente confidenciales
Puede usar Prevención de pérdida de datos (DLP) de Microsoft Purview para evitar que los invitados compartan contenido confidencial. La prevención de pérdida de datos puede actuar en función de la etiqueta de confidencialidad de un archivo y eliminar el acceso de invitado.
Crear una regla DLP
En el centro de administración de Microsoft Purview, vaya a la página de prevención de pérdida de datos.
En la pestaña Directivas , haga clic en Crear directiva.
Elija Personalizado y, a continuación, Directiva personalizada.
Haga clic en Siguiente.
Escriba el nombre de la directiva y haga clic en Siguiente.
En la página Ubicaciones en las que aplicar la directiva desactive todas las páginas de configuración excepto Sitios de SharePoint y Cuentas de OneDrive y, a continuación, haga clic en Siguiente.
En la página Definir configuración de directiva, haga clic en Siguiente.
En la página Personalizar las reglas DLP avanzadas, haga clic en Crear regla y escriba un nombre para la regla.
En Condiciones, haga clic en Agregar condición y elija Contenido compartido de Microsoft 365.
En la lista desplegable, elija con personas ajenas a mi organización.
En Condiciones, haga clic en Agregar condición y elija El contenido incluye.
Haga clic en Agregar, seleccione Etiquetas de confidencialidad, elija las etiquetas que desee usar y haga clic en Agregar.
En Acciones haga clic en Agregar una acción y elija Restringir el acceso o cifrar el contenido en la ubicaciones de Microsoft 365.
Active la casilla Restringir acceso o cifrar el contenido en ubicaciones de Microsoft 365 y, a continuación, elija la opción Bloquear solo personas fuera de la organización .
Active las notificaciones de usuario y, a continuación, active la casilla Notificar a los usuarios en Office 365 servicio con una sugerencia de directiva.
Haga clic en Guardar y, a continuación, en Siguiente.
Elija las opciones de prueba y haga clic en Siguiente.
Haga clic en Enviar y después en Listo.
Es importante tener en cuenta que esta directiva no retira el acceso si el invitado es miembro del sitio o del equipo en general. Si cree que tendrá documentos altamente confidenciales en un sitio o equipo con miembros invitados, considere estas opciones:
- Use canales privados y solo permita a los miembros de su organización en los canales privados.
- Use canales compartidos para colaborar con personas ajenas a su organización mientras solo tiene personas de su organización en el propio equipo.
Opciones adicionales
Hay algunas opciones adicionales de Microsoft 365 y Azure Active Directory que pueden ayudar a proteger el entorno de uso compartido de invitados.
- Puede crear una lista de dominios permitidos o prohibidos para limitar los dominios con los que los usuarios podrán compartir. Consulte restringir el uso compartido de contenido de SharePoint y OneDrive por dominio y permitir o bloquear las invitaciones a los usuarios B2B de organizaciones específicas para obtener más información.
- Puede limitar el resto de los espacios empresariales de Azure Active Directory a los que se pueden conectar los usuarios. Consulte Usar restricciones de espacio empresarial para administrar el acceso a aplicaciones en la nube de SaaS para obtener más información.
- Puede crear un entorno administrado donde los asociados pueden ayudar a administrar cuentas de invitado. Para obtener más información, consulte crear una extranet de B2B con invitados administrados.
Consulta también
Reducir la exposición accidental de archivos al compartirlos con invitados
Prácticas recomendadas para compartir archivos y carpetas con usuarios no autenticados
Para obtener más información, consulte Crear una extranet de B2B con invitados administrados.