Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo forma parte de la guía implementar una solución de arquitectura de acceso con privilegios .
El acceso con privilegios presenta un riesgo de seguridad crítico en la mayoría de las organizaciones, ya que permite el control directo sobre los sistemas de identidad, los planos de control en la nube y los recursos críticos para la empresa.
Obtenga información sobre cómo una arquitectura de acceso con privilegios seguro desempeña un papel fundamental en su escenario empresarial: proteja los recursos empresariales críticos mediante la reducción de este riesgo y el fortalecimiento del control sobre los sistemas confidenciales.
Este artículo le ayuda a implementar la fase 1 de la solución Implementar una arquitectura de acceso con privilegios . Esta fase protege el plano de control de identidad definiendo y protegiendo identidades con privilegios, asignaciones de roles y rutas de elevación autorizadas.
Es importante implementar primero la fase 1. Las fases posteriores que protegen los dispositivos de acceso con privilegios, aplican directivas de acceso condicional y supervisan el acceso con privilegios dependen de tener un plano de control de identidad limpio y bien regulado.
Objetivos de protección
La fase 1 garantiza que el acceso con privilegios sea:
- Explícito: conceda privilegios solo a través de rutas de elevación definidas. Nunca lo convierta en implícito o accidental.
- Temporal: el privilegio expira automáticamente.
- Autenticación reforzada: requiere autenticación reforzada para la elevación de privilegios.
- Auditable: registre todos los cambios y elevaciones de privilegios.
- Recuperable: proporcione acceso de emergencia sin debilitar los controles.
Ámbito de protección
La fase 1 se centra en dos componentes fundamentales del acceso con privilegios:
Identidades con privilegios: identidades que pueden realizar acciones con privilegios, entre las que se incluyen:
- Cuentas de usuario administrativas dedicadas
- Grupos administrativos
- Entidades de servicio e identidades administradas
- Asignaciones de roles de Azure RBAC
- Cuentas de acceso de emergencia (de contingencia) (si no existen).
Vías de elevación autorizadas: mecanismos que permiten a los usuarios pasar de estados sin privilegios a estados con privilegios, como:
- Activación de roles con límite de tiempo mediante: Privileged Identity Management (PIM)
- Flujos de trabajo de aprobación para roles confidenciales
- Sesiones administrativas explícitas
Acceso de recuperación de emergencia: configurar cuentas de emergencia si aún no existen.
Estos componentes funcionan en el plano de control. Si se ven comprometidos, los atacantes pueden concederse acceso privilegiado sin tocar los dispositivos ni las directivas de acceso.
Riesgos mitigados
| Riesgo | Por qué importa | Mitigación de la fase 1 |
|---|---|---|
| Creación no controlada de identidades con privilegios | Los atacantes crean nuevos administradores o asignaciones de roles de forma silenciosa. | Establecer identidades y roles con privilegios autoritativos. Restringir quién puede administrar los sistemas de identidad. Trate los sistemas de identidad como recursos con privilegios. |
| Escalación de privilegios silenciosa | Privilegio obtenido a través de grupos, RBAC o asignaciones anidadas. | Racionalizar los roles, usar asignaciones basadas en grupos, quitar el acceso permanente. |
| Acceso administrativo persistente (permanente) | Las credenciales robadas conservan privilegios permanentes. | Sustituir el privilegio permanente por una elevación temporal. |
| Rutas de elevación débiles o implícitas | Los atacantes usan las mismas rutas de acceso que los administradores. | Definición de flujos de trabajo de elevación seguros, explícitos y auditables |
| Omisión de protecciones de bajada | Privilegio obtenido antes de la aplicación de directivas o dispositivos. | Plano de control de identidad protegido en primer lugar. |
| Vulneración irreversible de la identidad | No hay forma segura de recuperar el control. | Cree cuentas de acceso de emergencia protegidas. |
| Bajo nivel de seguridad de la identidad | Los controles de identidad débiles minan todas las fases posteriores. | Eleva los sistemas de identidad al nivel de seguridad más alto. |
Resultados de la fase
Después de completar esta fase:
- Todo el acceso con privilegios está vinculado a identidades y roles conocidos y explícitos.
- Todos los privilegios son temporales, auditables e intencionales.
- Se quita el acceso administrativo permanente.
- Los sistemas de identidad se tratan como recursos con privilegios.
- Es posible recuperarse de un compromiso de identidad sin debilitar los controles.
- No se introduce ningún nuevo riesgo con privilegios durante la modernización.
Esta fase también detiene la creación de nuevos riesgos con privilegios mientras continúa la auditoría y la modernización.
Prerequisites
Antes de empezar a configurar la fase 1, tenga en cuenta los siguientes requisitos previos:
Revise la documentación:
- Revise el artículo de información general de esta solución.
- Revise el artículo de planificación para acordar qué roles e identidades realizan tareas privilegiadas.
Dentro de la organización:
- Asegúrese de que tiene un tenant de Microsoft Entra ID activo y en propiedad. Se recomienda Microsoft Entra ID P2 (para la gobernanza de identidades con privilegios).
- En esta solución se supone que tiene Microsoft 365 Enterprise E5. Para obtener más información, consulte las licencias de Microsoft 365 Enterprise.
- Asegúrese de que tiene al menos dos cuentas de acceso de emergencia definidas.
- Responsabilidad clara sobre la gobernanza de identidades y la gestión de roles.
- La creación de cuentas de administrador seguras las expone a la estación de trabajo usada durante la instalación. Asegúrese de que la configuración inicial se realiza desde un dispositivo seguro conocido.
Paso 1: Auditar el acceso con privilegios
Establezca un inventario completo de identidades con privilegios y rutas de acceso. Audite los siguientes orígenes.
| Source | Detalles |
|---|---|
| Roles del directorio de Microsoft Entra | Identifique los roles privilegiados que pueden dar lugar, directa o indirectamente, al control total del tenant al modificar los límites de identidad, de acceso o de confianza en el plano de control de identidades. Para cada rol: - Identificar asignaciones directas frente a basadas en grupos. - Identificación de asignaciones permanentes frente a asignaciones aptas para PIM - Captura el estado de activación actual. |
| Privilegios basados en grupos | Descubra quién tiene privilegios de forma indirecta y quién pasaría por alto si solo se fija en los usuarios. - Revisar la pertenencia a grupos anidados - Identificación de usuarios, entidades de servicio e identidades administradas - Registre cómo se hereda el privilegio. |
| Roles RBAC de Azure | Averigüe lo que estas identidades con privilegios pueden hacer fuera del propio directorio. Auditar asignaciones en ámbitos de grupo de administración, suscripción y recursos. Identificar identidades con permisos amplios o en cascada. |
| Identidades no humanas | Averigüe qué identidades no humanas forman parte de la ruta de acceso con privilegios, entre las que se incluyen: Entidades de servicio e identidades administradas Cuentas y secuencias de comandos de Automation Permisos de aplicación controlados por el tenant o por el recurso. |
El resultado es un inventario de identidades con privilegios autoritativos.
Identificar roles de directorio
Audita quién puede cambiar la identidad, la autenticación o la configuración de todo el arrendatario.
En el Centro de administración de Microsoft Entra, vaya a Entra ID>Roles y Administradores.
Seleccione Todos los roles. En esta página se enumeran todos los roles de directorio integrados y personalizados de Microsoft Entra, incluidos los roles administrativos para todo el tenant, como Global Administrator y Privileged Role Administrator.
- Los roles con privilegios son cualquiera que pueda asignar roles, modificar la seguridad o la autenticación, o administrar aplicaciones, dispositivos o directivas de seguridad.
- También hay disponible una lista completa de roles integrados con privilegios en la documentación.
Para cada rol con privilegios, compruebe primero las asignaciones directas. Para cada identidad asignada directamente (usuario, grupo o entidad de servicio [aplicación/identidad administrada]), compruebe cómo se ha concedido el rol y cuál es su estado actual.
- Una asignación permanente significa que la función está siempre activada. Una identidad inicia sesión y ya tiene privilegios con un estado activo (permanente). Esto es obviamente de alto riesgo.
- Una asignación apta para PIM significa que el rol está disponible pero no activo hasta que se activa. El usuario debe activar el rol. Normalmente se limita el tiempo y a menudo requiere justificación. El estado puede ser Activo o Apto si el usuario puede tener privilegios, pero no está activado actualmente.
Ahora cambie a asignaciones de grupo. Esto es importante, ya que comprueba los privilegios asignados indirectamente a través de grupos.
Abra cada grupo que tenga asignado el rol privilegiado.
Expanda miembros del grupo, expanda grupos anidados y registre usuarios, entidades de servicio e identidades administradas.
Para cada identidad, confirme cómo se mantiene el privilegio:
- ¿Se asigna el rol mediante un grupo o un grupo anidado?
- ¿El rol es permanente o elegible para PIM?
- ¿Cuál es el estado actual?
Después de completar este paso, habrá capturado el plano de control de identidades y dispondrá de un inventario acreditado de identidades con privilegios para Microsoft Entra.
Identificar roles de Azure RBAC
Ahora que sabe qué identidades tienen privilegios, vamos a comprobar lo que pueden hacer fuera del directorio de Microsoft Entra. ¿Dónde más tienen control y en qué ámbito?
Para cada entidad con privilegios que haya identificado, determine los roles.
Comience en el ámbito más alto (grupos de administración).
- En el portal de Azure >Grupos de administración, vaya a **Control de acceso (IAM) >Asignaciones de roles.
- Use Filtro>asignado a y busque el nombre principal.
- Registre los resultados, incluido el nombre y el ámbito del rol.
Si encuentra identidades aquí, significa que tienen un amplio control sobre Azure, ya que los roles de RBAC de Azure asignados en el ámbito del grupo de administración se aplican en cascada a todas las suscripciones y recursos secundarios.
Ahora siga los mismos procedimientos para Azure portal >Subscriptions.
Las identidades con roles de Azure RBAC asignados en el nivel de la suscripción tienen privilegios y pueden conceder o delegar acceso.
Si no se encontraron identidades en el nivel de grupo de administración o suscripción, puede comprobar en el nivel de grupos de recursos con el mismo procedimiento en Azure portal >Grupos de recursos.
También puede comprobar si las entidades de seguridad tienen control sobre recursos individuales estratégicos, como Almacenes de claves, cuentas de almacenamiento, máquinas virtuales o cuentas de automatización. Para ello, compruebe Control de acceso (IAM)>Asignado a en cada recurso individual.
Registrar resultados
Para cada cuenta que haya identificado, registre los detalles de auditoría en una tabla de correspondencias.
Identifique las cuentas de alto riesgo con privilegios amplios y cree una tabla de correspondencias en la que se proporcione información sobre el alcance del rol (alcance del impacto) y el tipo de actividad.
Cuenta Ingreso de rol rol de Azure RBAC Ámbito Trabajo con privilegios alice@contoso.com Administrador global Propietario Sub1, Sub2 Administrar usuarios, roles y suscripciones. Si desea agregar más información sobre el comportamiento observado para una cuenta, puede:
- Revise los registros de inicio de sesión para obtener información sobre las aplicaciones, los puntos de conexión de cliente y los flujos de autenticación.
- Correlacione la información con los registros de auditoría y de actividad para comprobar si una cuenta está en uso y si cambió la directiva, modificó recursos o suscripciones, o realizó alguna otra actividad.
Paso 2: Evaluación de la configuración existente
Con el inventario implementado, puede usar la herramienta Confianza cero Assessment para evaluar cómo se configura el acceso con privilegios en todo el entorno e identificar brechas en el control.
Aunque la herramienta Evaluación no reemplaza un inventario completo, usa datos de rol y directiva como entrada para ayudarle a comprender si:
- Los roles con privilegios están protegidos (MFA, acceso condicional).
- El acceso privilegiado está regulado mediante patrones PIM y JIT/JEA.
- Las directivas se aplican de forma coherente.
- Existen brechas en las identidades, los dispositivos y las directivas de acceso.
Obtenga más información sobre cómo evaluar la identidad con la herramienta.
Paso 3: Establecimiento de identidades administrativas dedicadas
Quite los roles con privilegios de las cuentas de usuario estándar.
Cree cuentas administrativas dedicadas que:
- Solo se usan para tareas con privilegios
- Sin acceso a herramientas de productividad (correo electrónico, Teams, navegación)
- Son elegibles para privilegios mediante PIM, no asignados de forma permanente
Quite todas las asignaciones de roles con privilegios de las identidades de usuario estándar.
Creación de cuentas de administrador
- En Microsoft Entra Admin Center, vaya a Microsoft Entra ID>Users.
- Seleccione Nuevo usuario y configure la configuración del usuario. a continuación, seleccione Crear.
- Nombre: Administrador de estación de trabajo segura.
- Nombre principal de usuario: secure-ws-admin@contoso.com
- Método de autenticación: Contraseña (temporal).
- Roles de directorio: no asignar.
- Ubicación de uso: Establezca la ubicación operativa.
Esto le proporciona una identidad de administrador limpia sin privilegios.
Paso 4: Crear identidades para PAW
En procedimientos posteriores, configurará una estación de trabajo de administración con privilegios (PAW).
Si desea definir identidades que pueden acceder a PAW, pero que no pueden realizar acciones con privilegios, puede:
- Cree una identidad que solo pueda iniciar sesión en PAW.
- Cree un grupo de seguridad que controle quién puede iniciar sesión en los PAW.
- Este grupo nunca concede derechos de administrador. Se usa para:
- Acceso condicional, incluido permitir que solo los usuarios de estación de trabajo segura inicien sesión en PAW y bloqueen a otros usuarios.
- Aplicación de licencias de PAW basadas en grupos específicas.
- Los miembros típicos de este grupo incluyen analistas de SOC, operadores y auditores.
- Este grupo nunca concede derechos de administrador. Se usa para:
Creación de una identidad de inicio de sesión
- En Microsoft Entra Admin Center, vaya a Microsoft Entra ID>Users.
- Seleccione Nuevo usuario y configure la configuración del usuario. A continuación, seleccione Crear.
- Nombre: Usuario de estación de trabajo segura
- Nombre principal de usuario: secure-ws-user@contoso.com
- Roles de directorio: no asignar
Creación de un grupo de seguridad de acceso de PAW
Configurar un grupo que controla quién puede iniciar sesión en los PAW
En Microsoft Entra Admin Center, vaya a Microsoft Entra ID>Groups>Nuevo grupo.
Configure los valores de grupo y, a continuación, seleccione Crear.
- Tipo de grupo: seguridad
- Nombre del grupo: Usuarios de estación de trabajo segura
- Pertenencia: asignada
Agregue solo las identidades de inicio de sesión de PAW al grupo, no a los administradores de forma predeterminada.
Paso 5: Crear grupos de control administrativos
Cree grupos de seguridad que definan quién es apto para roles con privilegios. Estos grupos:
- Se marcan como elementos a los que se pueden asignar roles
- Se administran a través de PIM
- No conceder privilegios solos por pertenencia
- Actuar como límites de autorización para la elevación
Los cambios de pertenencia se tratan como acciones con privilegios y se revisan periódicamente
En Microsoft Entra Admin Center, vaya a Microsoft Entra ID>Groups>Nuevo grupo.
Configure los valores de grupo y, a continuación, seleccione Crear.
- Tipo de grupo: Seguridad
- Nombre: Administradores de estaciones de trabajo seguras
- Tipo de la suscripción: Asignado
Agregue identidades de administrador dedicadas. No use cuentas estándar y trate los cambios de pertenencia como confidenciales. Revise periódicamente.
Este grupo será más adelante:
- Marcado como asignable de roles
- Roles de directorio asignados a través de PIM como aptos (no activos)
- Uso como mecanismo de destino principal para las directivas de acceso con privilegios
Paso 6: Configurar PIM
Si Privileged Identity Management aún no está habilitado, házlo ahora.
Asegúrese de que ha iniciado sesión como administrador global o administrador de roles con privilegios.
Habilitación de PIM para roles de directorio
- En Microsoft Entra Admin Center, vaya a Identity governance>Privileged Identity Management.
- Seleccione Roles de Microsoft Entra.
Eliminación de roles permanentes
En Microsoft Entra roles, seleccione Roles.
Abra los roles de acceso con privilegios identificados para su organización.
El conjunto mínimo recomendado por Microsoft es el siguiente: - Administrador global - Administrador de roles con privilegios - Administrador de seguridad - administrador de seguridad - administrador de Exchange - SharePoint administrador
Seleccione Asignaciones.
Para cada asignación activa (permanente):
- Quitar la asignación permanente
- Vuelva a agregar el usuario o grupo como Apto.
Después de esto, los usuarios no tienen privilegios de administrador a menos que los activen.
Configuración de las opciones de activación
Para cada rol con privilegios, haga lo siguiente:
En PIM>Microsoft Entra roles, seleccione Settings.
Seleccione el rol >Editar.
Configurar opciones:
- Requiere activación
- Exigir MFA durante la activación
- Requerir justificación
- Establecer la duración máxima de activación (por ejemplo: 1–4 horas para roles de alto impacto)
- Requerir aprobación (para administrador global, administrador de roles con privilegios, administrador de seguridad)
- Selección de uno o varios aprobadores
Seleccione Actualizar.
Uso de asignaciones de roles basadas en grupos
Se recomienda asignar roles a grupos, no usuarios individuales, para escalado y gobernanza.
Cree un grupo de seguridad asignable a roles y asígnelo a un rol de Entra (por ejemplo, Administrador de Exchange). A continuación, administre la pertenencia (quién puede obtener el rol) a través del proceso de gobernanza y, opcionalmente, a través de PIM para grupos.
- Cree un grupo de seguridad con la configuración Se pueden asignar roles de Microsoft Entra a este grupo habilitada.
- En PIM >Microsoft Entra roles, seleccione Agregar asignaciones.
- Marque el grupo como Elegible para el rol.
- Agregue o quite usuarios del grupo en lugar de modificar directamente las asignaciones de roles.
Este grupo se convierte en el límite de autorización para el acceso con privilegios.
Al finalizar el paso 6, se configura lo siguiente:
- No hay acceso administrativo permanente
- Privilegio solicitado, aprobado, limitado en el tiempo y registrado
- Las rutas de elevación son explícitas y revisables
Paso 7: Configurar cuentas de emergencia
Si aún no tiene cuentas de acceso de emergencia, configúrelas ahora. Son necesarios para recuperarse de situaciones de bloqueo de identidad causadas por Acceso condicional, interrupciones de MFA o una configuración incorrecta.
Asegúrese de que ha iniciado sesión como administrador global o administrador de roles con privilegios para crear al menos dos cuentas de acceso de emergencia.
- En Microsoft Entra Admin Center, vaya a Users>Todos los usuarios.
- Seleccione Nuevo usuario y cree un usuario solo en la nube.
- Uso del dominio *.onmicrosoft.com
- Utilice un nombre que no sea obvio (no “break glass”)
- Asigne el rol Administrador global.
- No haga que este rol sea apto para PIM; debe ser permanente.
- Use una contraseña segura y larga, almacenada de forma segura sin conexión.
- Configurar la autenticación resistente a la suplantación de identidad (por ejemplo, FIDO2/ autenticación basada en certificados o clave de acceso)
- No vincule MFA a un teléfono ni a una dirección de correo electrónico personales.
Repita esta operación para crear una segunda cuenta de emergencia.
Exclusión de cuentas de emergencia del acceso condicional
Esto garantiza que la recuperación siempre sea posible.
En Microsoft Entra Admin Center, vaya a Protection>Acceso condicional.
Para cada política:
- Editar asignaciones.
- Excluya al menos una cuenta de acceso de emergencia.
Asegúrese de no excluir cuentas de administrador normales, solo las cuentas de emergencia.
Supervisión del uso de cuentas de emergencia
Habilite las alertas en:
- Inicios de sesión por cuentas de emergencia
- Cambios de rol que implican estas cuentas
Trate cualquier uso como incidente de seguridad a menos que se apruebe previamente.
Revise el uso periódicamente.
Al finalizar el paso 7, se configura lo siguiente:
- El plano de control de identidad es recuperable
- Las fases posteriores (PAW, acceso condicional) no arriesgarán el bloqueo permanente.
- El acceso de emergencia está aislado, supervisado y rara vez se usa
Pasos siguientes
Después de proteger el plano de control de identidad, restrinja dónde se puede ejercer el privilegio con estaciones de trabajo de acceso con privilegios (PAW) seguras.