Administración de cuentas en Microsoft 365
Microsoft ha invertido mucho en sistemas y controles que automatizan la mayoría de las operaciones de Microsoft 365, a la vez que limita intencionadamente la necesidad de acceso directo a los servidores y a los datos del cliente por parte del personal de servicio. Los seres humanos rigen el servicio y el software opera el servicio. Esta estructura permite a Microsoft administrar Microsoft 365 a escala y minimiza los riesgos de amenazas internas y externas. Microsoft aborda el control de acceso con la suposición de que todo el mundo es una amenaza potencial para los servicios de Microsoft 365 y los datos de los clientes. Por este motivo, el principio De acceso permanente cero (ZSA) establece las bases para toda la estructura de control de acceso que usa Microsoft 365.
De forma predeterminada, el personal de Microsoft no tiene acceso con privilegios permanentes a ningún entorno de Microsoft 365 o a los datos de clientes de una organización. Solo a través de un sistema sólido de comprobaciones y aprobaciones, el personal del equipo de servicio puede obtener acceso con privilegios con un ámbito de tiempo y acción limitados. A través de este sistema, Microsoft puede reducir significativamente el potencial del personal de servicio y los atacantes de Microsoft 365 de obtener acceso no autorizado o causar daños malintencionados o accidentales a los servicios y clientes de Microsoft.
Tipos de cuenta
Microsoft 365 cumple todas las misiones organizativas y funciones empresariales mediante tres categorías de cuentas: cuentas de equipo de servicio, cuentas de servicio y cuentas de cliente. La administración de estas cuentas es una responsabilidad compartida entre Microsoft y los clientes. Microsoft administra tanto el equipo de servicio como las cuentas de servicio, que se usan para operar y admitir productos y servicios de Microsoft. Las cuentas de cliente son administradas por el cliente y les permiten adaptar el acceso a la cuenta para satisfacer sus requisitos internos de control de acceso. Las cuentas corporativas de Microsoft se considerarían cuentas de cliente en este modelo y las administra Microsoft.
Cuentas administradas por Microsoft
El personal del equipo de servicio de Microsoft 365 usa las cuentas de equipo de servicio para desarrollar y mantener los servicios de Microsoft 365. Estas cuentas no tienen acceso con privilegios permanentes a los servicios de Microsoft 365, sino que se pueden usar para solicitar acceso con privilegios temporales y limitados para realizar una función de trabajo especificada. No todas las cuentas del equipo de servicio pueden realizar las mismas acciones; la separación de tareas se aplica mediante el control de acceso basado en rol (RBAC). Los roles garantizan que los miembros del equipo de servicio y sus cuentas solo tengan el acceso mínimo necesario para realizar tareas de trabajo específicas. Además, las cuentas del equipo de servicio no pueden pertenecer a varios roles, donde pueden actuar como aprobador para sus propias acciones.
Los servicios de Microsoft 365 usan las cuentas de servicio para autenticarse al comunicarse con otros servicios a través de procesos automatizados. Del mismo modo que a las cuentas del equipo de servicio solo se les concede el acceso mínimo necesario para realizar las tareas de trabajo del personal específico, las cuentas de servicio solo reciben el acceso mínimo necesario para su propósito previsto. Además, hay varios tipos de cuentas de servicio que están diseñadas para satisfacer una necesidad específica. Un servicio de Microsoft 365 puede tener varias cuentas de servicio, cada una con un rol diferente para realizar.
Cuentas administradas por el cliente
Las cuentas de cliente se usan para acceder al servicio Microsoft 365 y son las únicas cuentas de las que cada cliente es responsable. Es el deber del cliente crear y administrar las cuentas de su organización para mantener un entorno seguro. La administración de cuentas de cliente se realiza a través de Microsoft Entra ID o federado con Active Directory local (AD). Cada cliente tiene un conjunto único de requisitos de control de acceso que debe cumplir y las cuentas de cliente conceden a cada cliente la capacidad de satisfacer sus necesidades individuales. Las cuentas de cliente no pueden acceder a ningún dato fuera de su organización de clientes.
Administración de cuentas del equipo de servicio
Microsoft 365 administra las cuentas del equipo de servicio a lo largo de su ciclo de vida mediante un sistema de administración de cuentas denominado Administración de identidades (IDM). IDM usa una combinación de procesos de verificación automatizados y aprobación de administración para aplicar los requisitos de seguridad relacionados con el acceso a la cuenta del equipo de servicio.
Los miembros del equipo de servicio no obtienen automáticamente una cuenta de equipo de servicio, primero deben cumplir los requisitos de elegibilidad y obtener la aprobación de un administrador autorizado. Para ser apto para una cuenta de equipo de servicio, el personal del equipo de servicio, como mínimo, debe pasar primero por el examen previo al empleo, una comprobación de antecedentes en la nube y completar toda la formación estándar y necesaria basada en roles. Pueden ser necesarios requisitos de elegibilidad adicionales en función del escenario. Una vez cumplidos todos los requisitos de elegibilidad, se puede realizar una solicitud para una cuenta de equipo de servicio y debe ser aprobada por un administrador autorizado.
IDM también es responsable de realizar el seguimiento de la repantalla periódica y el entrenamiento necesarios para mantener una cuenta del equipo de servicio. La comprobación de fondo de la nube de Microsoft debe completarse cada dos años y todo el material de aprendizaje debe revisarse anualmente. Si alguno de estos requisitos no se cumple en la fecha de expiración, se revoca su elegibilidad y la cuenta del equipo de servicio se deshabilita automáticamente.
Además, la elegibilidad de la cuenta del equipo de servicio se actualiza automáticamente mediante la transferencia y terminación del personal. Los cambios realizados en el Sistema de Información de Recursos Humanos (HRIS) desencadenan que IDM tome medidas, que varían en función de la situación. El personal que se transfiera a otro equipo de servicio tendrá una fecha de expiración establecida para sus elegibilidades y el miembro del equipo de servicio debe enviar una solicitud para mantener la elegibilidad y su nuevo administrador debe aprobarla. El personal terminado tiene revocadas automáticamente todas las elegibilidades y su cuenta de equipo de servicio está deshabilitada el último día. Se puede solicitar urgentemente la revocación de la cuenta para las terminaciones involuntarias.
De forma predeterminada, las cuentas de equipo de servicio tienen acceso de lectura limitado a los metadatos amplios del sistema que se usan para la solución de problemas normales. Además, las cuentas del equipo de servicio de línea base no pueden solicitar acceso con privilegios a los datos de Microsoft 365 o de los clientes. Se debe realizar otra solicitud para que la cuenta del equipo de servicio se agregue a un rol que permita al miembro del equipo de servicio solicitar privilegios elevados para realizar tareas y operaciones específicas.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de