Introducción a la evaluación de confianza cero

La evaluación de confianza cero comprueba la configuración del inquilino y recomienda formas de mejorar la seguridad, tal como se describe en nuestra introducción.

Prerrequisitos

• PowerShell 7. Para instalarlo, consulte Instalación de PowerShell en Windows, Linux y macOS.
• Para conectarse y dar su consentimiento a los permisos necesarios la primera vez, debe ser administrador global.
  • Las ejecuciones posteriores pueden usar el rol Lector global .
• Si instaló una versión anterior de la evaluación de confianza cero, desinstálela antes de continuar.

Instalación de los módulos de PowerShell

Siga estos pasos para instalar o actualizar la evaluación y conectarse a Microsoft Graph y a su inquilino.

1. Abra una nueva ventana de PowerShell 7.

2. Ejecute el comando siguiente para instalar el módulo ZeroTrustAssessment:

   Install-Module ZeroTrustAssessment -Scope CurrentUser
   

Conexión a Microsoft Graph y Microsoft Azure

Para ejecutar el módulo Evaluación de confianza cero, conéctese a Microsoft Graph y Microsoft Azure. El módulo Evaluación de confianza cero se conecta primero a Microsoft Graph y, a continuación, a Microsoft Azure.

Ejecute este comando para conectarse a Microsoft Graph:

Connect-ZtAssessment

Al conectarse mediante Microsoft Graph PowerShell, solicita estos permisos:

• AuditLog.Read.All
• CrossTenantInformation.ReadBasic.All
• DeviceManagementApps.Read.All
• DeviceManagementConfiguration.Read.All
• DeviceManagementManagedDevices.Read.All
• DeviceManagementRBAC.Read.All
• DeviceManagementServiceConfig.Read.All
• Directory.Read.All
• DirectoryRecommendations.Read.All
• EntitlementManagement.Read.All
• IdentityRiskEvent.Read.All
• IdentityRiskyUser.Read.All
• Política.Leer.Todo
• Policy.Read.ConditionalAccess
• Policy.Read.PermissionGrant
• PrivilegedAccess.Read.AzureAD
• Reports.Read.All
• RoleManagement.Read.All
• UserAuthenticationMethod.Read.All

Nota:

El mensaje de consentimiento solo aparece si la aplicación de PowerShell de Microsoft Graph aún no tiene estos permisos. La próxima vez que se conecte, no es necesario dar su consentimiento a los permisos de nuevo.

Iniciar sesión en Microsoft Graph

1. Inicie sesión en Microsoft Graph como administrador global.
2. Seleccione Aceptar.

Inicio de sesión en Microsoft Azure

Se abre una segunda ventana para el inicio de sesión de Microsoft Azure. Cuando se le solicite, inicie sesión en Microsoft Azure como administrador global.

El inicio de sesión de Microsoft Azure es necesario para comprobar la exportación de registros de auditoría e inicio de sesión. Si no tiene Microsoft Azure, cierre la ventana sin iniciar sesión y omita la advertencia. La evaluación omite la prueba que se basa en Microsoft Azure.

Si tiene varias suscripciones, seleccione un inquilino y una suscripción cuando se le solicite.

Ejecución de la valoración

La evaluación de confianza cero es de solo lectura. Se ejecuta y almacena todos los datos localmente en el escritorio. Se recomienda almacenar el informe de evaluación de forma segura y eliminar la carpeta generada y su contenido de la unidad local una vez completada la evaluación.

Después de proporcionar el consentimiento del administrador global a los permisos de la primera ejecución, las ejecuciones posteriores se pueden realizar como lector global.

Para ejecutar la evaluación, use este comando:

Invoke-ZtAssessment

La evaluación guarda los resultados en la carpeta .\ZeroTrustReport\ZeroTrustAssessmentReport.htmlde trabajo actual. Una vez completada la evaluación, el informe se abre automáticamente en el explorador predeterminado.

Precaución

El informe y la carpeta de exportación contienen información confidencial del inquilino que los actores de amenazas pueden usar para su ventaja. Comparta el informe y la carpeta solo con el personal autorizado de su organización.

Use el -Path parámetro para proporcionar una ubicación personalizada para almacenar el informe de evaluación. Por ejemplo, el siguiente comando guarda el informe en la carpeta C:/MyAssessment01/ZeroTrustAssessmentReport.html:

Invoke-ZtAssessment -Path C:\MyAssessment01

Sugerencia

En el caso de los inquilinos grandes, la evaluación de confianza cero puede tardar más de 24 horas en ejecutarse. No detenga la evaluación mientras se ejecuta, incluso si la evaluación registra advertencias o errores.

Revisar los resultados de la evaluación

Una vez que se ejecuta la evaluación, el informe abre la pestaña Información general en el explorador predeterminado. La pestaña Información general muestra información clave de Zero Trust sobre el inquilino.

Las pestañas Identidad y dispositivos muestran una lista de resultados de las pruebas que se ejecutan en el inquilino. Los resultados muestran el estado de riesgoy resultado de cada prueba.

Para ver más detalles sobre una prueba, seleccione un resultado. Los detalles describen lo que se probó y enumeran las acciones correctivas recomendadas para abordar la configuración del entorno. Para obtener más información sobre algunos de los términos usados en cada comprobación, consulte nuestro glosario.

Eliminación del módulo Evaluación de confianza cero

Para quitar el módulo Evaluación de confianza cero:

1. Quite el módulo de PowerShell.
2. Quite el registro y el consentimiento de la aplicación.
3. Elimine la carpeta que creó el módulo Evaluación de confianza cero.

FAQs

Desinstalación de versiones anteriores

Ejecute los comandos siguientes para asegurarse de que se desinstalan todas las versiones de los módulos anteriores.

Uninstall-Module ZeroTrustAssessment -Force -AllVersions

Reinicie PowerShell e instale la versión más reciente.

No se pudo cargar el archivo ni el ensamblado Microsoft.Graph.Authentication

Este error se produce cuando tiene instaladas versiones en conflicto de Microsoft Graph PowerShell.

Para corregir este error, se recomienda desinstalar todos los módulos de PowerShell de Microsoft Graph instalados en el sistema. Puede usar un módulo auxiliar como uninstall-graph.merill.net para ejecutar la limpieza.

Al desinstalar Microsoft Graph, también debe desinstalar todas las versiones de la evaluación de confianza cero, reiniciar PowerShell e instalar la versión más reciente.

Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph

¿Cómo puedo saber qué hace el script?

El código de esta evaluación es de código abierto. Revíselo en https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell.

¿Por qué obtengo el error de excepción: "El inicializador de tipo para 'DuckDB.NET.Data.DuckDBConnectionStringBuilder' lanzó una excepción"?

En una nueva instalación de Windows, es posible que vea el siguiente error:

El inicializador de tipo para "DuckDB.NET.Data.DuckDBConnectionStringBuilder" produjo una excepción. Excepción interna: no se puede cargar el archivo DLL "duckdb" o una de sus dependencias: no se encontró el módulo especificado. (0x8007007E) Tipo de excepción interno: DllNotFoundException

Este error se produce porque se ejecuta en un sistema que no incluye Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64. VCRedist normalmente se instala al instalar productos de Microsoft como Microsoft Office o Microsoft Entra Connect Sync. Si usa un nuevo dispositivo, es posible que tenga que instalar este componente manualmente. Consulte La versión redistribuible de Microsoft Visual C++ más reciente.

La compatibilidad con Windows en dispositivos ARM64 no está disponible en este momento.

¿Cómo obtengo soporte técnico?

Reporta problemas de soporte en el repositorio de GitHub de Evaluación de confianza cero.

Contenido relacionado

• Terminología de evaluación de confianza cero
• Configuración de Microsoft Entra para aumentar la seguridad
• Configuración de Microsoft Intune para aumentar la seguridad