Compartir a través de


Directivas de seguridad comunes para organizaciones de Microsoft 365

Muchas organizaciones tienen preguntas al implementar Microsoft 365 de forma segura. Las directivas de acceso condicional, protección de aplicaciones y cumplimiento de dispositivos de este artículo se basan en las recomendaciones de Microsoft y en los tres principios rectores de Confianza cero:

  • Comprobación explícita
  • Usar privilegios mínimos
  • Dar por hecho que habrá intrusiones al sistema

Las organizaciones pueden usar estas directivas tal como están o personalizarlas para adaptarlas a sus necesidades. Pruebe las directivas en un entorno que no sea de producción para identificar posibles efectos y comunicarlos a los usuarios antes de implementarlas en producción. Las pruebas son fundamentales para identificar y comunicar posibles efectos a los usuarios.

Agrupamos estas directivas en tres niveles de protección en función de dónde se encuentra en el recorrido de implementación:

  • Punto de partida: controles básicos que presentan la autenticación multifactor, los cambios de contraseña seguros y las directivas de protección de aplicaciones de Intune para dispositivos móviles.
  • Empresa: controles mejorados que garantizan la compatibilidad de dispositivos.
  • Seguridad especializada: directivas que requieren autenticación multifactor cada vez para conjuntos de datos o usuarios específicos.

En este diagrama se muestran los niveles de protección de cada directiva y los tipos de dispositivos a los que se aplican:

Diagrama que muestra directivas comunes de identidad y dispositivo que admiten los principios de la Confianza cero.

Puede descargar este diagrama como un archivo PDF o un archivo de Visio editable.

Sugerencia

Requerir autenticación multifactor (MFA) para los usuarios antes de inscribir dispositivos en Intune para confirmar que el dispositivo está con el usuario previsto. MFA está activada de forma predeterminada en los valores predeterminados de seguridad exhaustivos, o puede usar directivas de acceso condicional para requerir MFA para todos los usuarios.

Los dispositivos deben inscribirse en Intune para poder aplicar directivas de cumplimiento de dispositivos.

Requisitos previos

Permisos

Se requieren los siguientes permisos en Microsoft Entra:

Para obtener más información sobre los roles y permisos en Microsoft Entra, consulte Información general sobre el control de acceso basado en roles en Microsoft Entra ID.

Registro de usuarios

Asegúrese de que los usuarios se registren en MFA antes de que sean necesarios para usarlos. Si las licencias incluyen Microsoft Entra ID P2, puede usar la directiva de registro de MFA dentro de Microsoft Entra ID Protection para obligar a que los usuarios se registren. Proporcionamos plantillas de comunicación que puede descargar y personalizar para promover el registro de usuarios.

Grupos

Todos los grupos de Microsoft Entra usados en estas recomendaciones deben ser grupos de Microsoft 365, no grupos de seguridad. Este requisito es importante para la implementación de etiquetas de confidencialidad para proteger documentos en Microsoft Teams y SharePoint. Para obtener más información, consulte Más información sobre los grupos y los derechos de acceso en Microsoft Entra ID.

Asignación de directivas

Puede asignar directivas de acceso condicional a usuarios, grupos y roles de administrador. Las directivas de cumplimiento de dispositivos y protección de aplicaciones de Intune se pueden asignar solo a grupos. Antes de configurar las directivas, identifique quién debe incluirse y excluirse. Normalmente, las directivas de nivel de protección de punto de partida se aplican a todos los miembros de la organización.

En la tabla siguiente se describen las asignaciones y exclusiones de grupo de ejemplo para MFA después de que los usuarios completen el registro de usuarios:

  Directiva de acceso condicional de Microsoft Entra Incluír Excluir
Punto de partida Requerir autenticación multifactor para el riesgo de inicio de sesión medio o alto Todos los usuarios
  • Cuentas de acceso de emergencia
  • Grupo de exclusión de acceso condicional
Empresa Requerir autenticación multifactor para el riesgo de inicio de sesión bajo, medio o alto Grupo de personal ejecutivo
  • Cuentas de acceso de emergencia
  • Grupo de exclusión de acceso condicional
Seguridad especializada Requerir autenticación multifactor siempre Grupo de alto secreto del proyecto Buckeye
  • Cuentas de acceso de emergencia
  • Grupo de exclusión de acceso condicional

Sugerencia

Aplique cuidadosamente niveles más altos de protección a los usuarios y grupos. El objetivo de la seguridad no es agregar fricción innecesaria a la experiencia del usuario. Por ejemplo, los miembros del grupo Top Secret Project Buckeye deben usar MFA cada vez que inicien sesión, incluso si no están trabajando en el contenido especializado para su proyecto. Una fricción de seguridad excesiva puede provocar fatiga. Habilite los métodos de autenticación resistentes a la suplantación de identidad (por ejemplo, claves de seguridad de Windows Hello para empresas o FIDO2) para ayudar a reducir la fricción causada por los controles de seguridad.

Cuentas de acceso de emergencia

Cada organización necesita al menos una cuenta de acceso de emergencia que se supervisa para su uso y se excluye de las directivas. Las organizaciones más grandes pueden requerir más cuentas. Estas cuentas solo se usan en caso de que todas las demás cuentas de administrador y métodos de autenticación se bloqueen o no estén disponibles. Para obtener más información, consulte Administrar cuentas de acceso de emergencia en Microsoft Entra ID.

Exclusión de usuarios

Se recomienda crear un grupo de Microsoft Entra para las exclusiones de acceso condicional. Este grupo ofrece un medio para proporcionar acceso a un usuario mientras soluciona problemas de acceso. Características como las revisiones de acceso de Microsoft Entra ID Governance ayudan a administrar usuarios excluidos de las directivas de acceso condicional

Advertencia

Se recomienda un grupo de exclusión solo como solución temporal. Supervise continuamente este grupo para ver los cambios y asegúrese de que solo se usa para su propósito previsto.

Siga estos pasos para agregar un grupo de exclusión a las directivas existentes.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección>Acceso condicional>Directivas.
  3. Seleccione una directiva existente haciendo clic en el nombre.
  4. En Asignaciones, selecciona Usuarios o identidades de trabajo. a) En Excluir, seleccione Usuarios y grupos y elija las identidades siguientes:
    • Usuarios: sus cuentas de acceso de emergencia.
    • Grupos: el grupo de exclusión de acceso condicional. b. Elija Seleccionar.
  5. Realice cualquier otra modificación.
  6. Haga clic en Guardar.

Exclusión de aplicaciones

Se recomienda crear una directiva de autenticación multifactor de línea base dirigida a todos los usuarios y todos los recursos (sin exclusiones de aplicaciones), como se explica en Requerir autenticación multifactor para todos los usuarios. Excluir determinadas aplicaciones podría tener consecuencias de facilidad de uso y seguridad no deseadas descritas en comportamiento de acceso condicional cuando una directiva de todos los recursos tiene una exclusión de aplicaciones. Las aplicaciones, como Microsoft 365 y Microsoft Teams, dependen de varios servicios que hacen que el comportamiento sea impredecible cuando se realizan exclusiones.

Implementación

Se recomienda implementar las directivas de punto de partida en el orden indicado en la tabla siguiente. Puede implementar las directivas de MFA para los niveles de protección de seguridad empresarial y especializada en cualquier momento.

Punto de partida:

Directiva Información adicional Licencias
Requerir MFA cuando el riesgo de inicio de sesión es medio o alto Requerir MFA solo cuando Microsoft Entra ID Protection detecte el riesgo.
  • Microsoft 365 E5
  • Microsoft 365 E3 con el complemento Seguridad E5
  • Microsoft 365 con EMS E5
  • Licencias individuales de Microsoft Entra ID P2
Bloquear clientes que no admiten la autenticación moderna Los clientes que no usan la autenticación moderna pueden omitir las directivas de acceso condicional, por lo que es importante bloquearlas. Microsoft 365 E3 o E5
Los usuarios de alto riesgo deben cambiar la contraseña Obligar a los usuarios a cambiar su contraseña al iniciar sesión si se detecta actividad de alto riesgo para su cuenta.
  • Microsoft 365 E5
  • Microsoft 365 E3 con el complemento Seguridad E5
  • Microsoft 365 con EMS E5
  • Licencias individuales de Microsoft Entra ID P2
Aplicación de directivas de protección de aplicaciones (APP) para la protección de datos Una aplicación de Intune por plataforma de dispositivo móvil (Windows, iOS/iPadOS y Android). Microsoft 365 E3 o E5
Requerir aplicaciones aprobadas y directivas de protección de aplicaciones Aplica directivas de protección de aplicaciones para dispositivos móviles mediante iOS, iPadOS o Android. Microsoft 365 E3 o E5

Empresa:

Directiva Información adicional Licencias
Requerir MFA cuando el riesgo de inicio de sesión sea bajo, medio o alto Requerir MFA solo cuando Microsoft Entra ID Protection detecte el riesgo.
  • Microsoft 365 E5
  • Microsoft 365 E3 con el complemento Seguridad E5
  • Microsoft 365 con EMS E5
  • Licencias individuales de Microsoft Entra ID P2
Definir directivas de cumplimiento de dispositivos Establezca los requisitos mínimos de configuración. Una directiva para cada plataforma. Microsoft 365 E3 o E5
Requerir equipos y dispositivos móviles que cumplan con las normas Aplica los requisitos de configuración para los dispositivos que acceden a la organización Microsoft 365 E3 o E5

Seguridad especializada:

Directiva Información adicional Licencias
Exigir MFA siempre Los usuarios deben realizar MFA en cualquier momento en que inicien sesión en los servicios de la organización. Microsoft 365 E3 o E5

Directivas de protección de aplicaciones

Las directivas de protección de aplicaciones especifican las aplicaciones permitidas y las acciones que pueden realizar con los datos de la organización. Aunque hay muchas directivas entre las que elegir, en la lista siguiente se describen las líneas base recomendadas.

Sugerencia

Aunque se proporcionan tres plantillas, la mayoría de las organizaciones deben elegir el nivel 2 (se asigna al punto de partida o a la seguridad de nivel empresarial ) y el nivel 3 (se asigna a la seguridad especializada ).

  • Protección de datos básica de nivel 1 empresarial: se recomienda esta configuración como protección de datos mínima para dispositivos empresariales.

  • Protección de datos mejorada de nivel 2 empresarial: se recomienda esta configuración para dispositivos que acceden a datos confidenciales o información confidencial. Esta configuración se aplica a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. Algunos de los controles pueden afectar a la experiencia del usuario.

  • Protección de datos de alto nivel 3 empresarial: se recomienda esta configuración en los escenarios siguientes:

    • Organizaciones con equipos de seguridad más grandes o más sofisticados.
    • Dispositivos usados por usuarios o grupos específicos que están en riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización.

    Es probable que las organizaciones dirigidas por atacantes bien financiados y sofisticados aspiran a esta configuración.

Cree una nueva directiva de protección de aplicaciones para cada plataforma de dispositivo en Microsoft Intune (iOS/iPadOS y Android) mediante la configuración del marco de protección de datos mediante cualquiera de los métodos siguientes:

Directivas de cumplimiento de dispositivos

Las directivas de cumplimiento de dispositivos de Intune definen los requisitos para que los dispositivos sean compatibles. Debe crear una directiva para cada PC, teléfono o plataforma de tableta. En las secciones siguientes se describen las recomendaciones para las plataformas siguientes:

Creación de directivas de cumplimiento de dispositivos

Siga estos pasos para crear directivas de cumplimiento de dispositivos:

  1. Inicia sesión en el centro de administración de Microsoft Intune como administrador de Intune.
  2. Vaya a Dispositivos>compatibles>Con la directiva Crear.

Para obtener instrucciones paso a paso, consulte Creación de una directiva de cumplimiento en Microsoft Intune.

Configuración de inscripción y cumplimiento para iOS/iPadOS

iOS/iPadOS admite varios escenarios de inscripción, dos de los cuales están cubiertos por este marco:

Sugerencia

Como se ha descrito anteriormente, el nivel 2 se asigna al punto inicial o a la seguridad de nivel empresarial y el nivel 3 se asigna a la seguridad especializada . Para obtener más información, consulte Configuración de acceso a dispositivos e identidades de confianza cero.

Configuración de cumplimiento para dispositivos inscritos personalmente

  • Seguridad básica personal (nivel 1): se recomienda esta configuración como la seguridad mínima para los dispositivos personales que acceden a los datos profesionales o educativos. Para lograr esta configuración, aplique directivas de contraseñas, características de bloqueo de dispositivo y deshabilite determinadas funciones de dispositivo (por ejemplo, certificados que no son de confianza).
  • Seguridad mejorada personal (nivel 2): se recomienda esta configuración para dispositivos que acceden a datos confidenciales o información confidencial. Esta configuración habilita los controles de uso compartido de datos. Esta configuración se aplica a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.
  • Alta seguridad personal (nivel 3): se recomienda esta configuración para los dispositivos usados por usuarios o grupos específicos que tienen un riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización. Esta configuración permite directivas de contraseña más seguras, deshabilita determinadas funciones de dispositivo y aplica restricciones adicionales de transferencia de datos.

Configuración de cumplimiento para la inscripción automatizada de dispositivos

  • Seguridad básica supervisada (nivel 1): se recomienda esta configuración como la seguridad mínima para los dispositivos empresariales que acceden a los datos profesionales o educativos. Para lograr esta configuración, aplique directivas de contraseñas, características de bloqueo de dispositivo y deshabilite determinadas funciones de dispositivo (por ejemplo, certificados que no son de confianza).
  • Seguridad mejorada supervisada (nivel 2): se recomienda esta configuración para los dispositivos que acceden a datos confidenciales o información confidencial. Esta configuración habilita controles de uso compartido de datos y bloquea el acceso a dispositivos USB. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos en un dispositivo.
  • Alta seguridad supervisada (nivel 3): se recomienda esta configuración para los dispositivos usados por usuarios o grupos específicos que tienen un riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización. Esta configuración permite directivas de contraseña más seguras, deshabilita determinadas funciones de dispositivo, aplica restricciones adicionales de transferencia de datos y requiere que las aplicaciones se instalen a través del programa de compras por volumen de Apple.

Configuración de inscripción y cumplimiento para Android

Android Enterprise admite varios escenarios de inscripción, dos de los cuales están cubiertos por este marco:

  • Perfil de trabajo de Android Enterprise: dispositivos de propiedad personal (también conocidos como bring your own device o BYOD) que también se usan para el trabajo. Las directivas controladas por el departamento de TI garantizan que los datos de trabajo no se puedan transferir al perfil personal.
  • Dispositivos Android Enterprise totalmente administrados: los dispositivos propiedad de la organización asociados a un solo usuario y se usan exclusivamente para el trabajo.

El marco de configuración de seguridad de Android Enterprise se organiza en varios escenarios de configuración distintos que proporcionan instrucciones para los escenarios de perfil de trabajo y totalmente administrados.

Sugerencia

Como se ha descrito anteriormente, el nivel 2 se asigna al punto inicial o a la seguridad de nivel empresarial y el nivel 3 se asigna a la seguridad especializada . Para obtener más información, consulte Configuración de acceso a dispositivos e identidades de confianza cero.

Configuración de cumplimiento para dispositivos de perfil de trabajo de Android Enterprise

  • No hay ninguna oferta de seguridad básica (nivel 1) para dispositivos de perfil de trabajo de propiedad personal. La configuración disponible no justifica una diferencia entre el nivel 1 y el nivel 2.
  • Seguridad mejorada del perfil de trabajo (nivel 2): se recomienda esta configuración como la seguridad mínima para los dispositivos personales que acceden a los datos profesionales o educativos. Esta configuración presenta los requisitos de contraseña, separa los datos profesionales y personales y valida la certificación del dispositivo Android.
  • Alta seguridad del perfil de trabajo (nivel 3): se recomienda esta configuración para los dispositivos usados por usuarios o grupos específicos que tienen un riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización. Esta configuración presenta la defensa contra amenazas móviles o Microsoft Defender para punto de conexión, establece la versión mínima de Android, habilita directivas de contraseña más seguras y separa aún más los datos personales y de trabajo.

Configuración de cumplimiento para dispositivos Android Enterprise totalmente administrados

  • Seguridad básica totalmente administrada (nivel 1): se recomienda esta configuración como seguridad mínima para un dispositivo empresarial. Esta configuración se aplica a la mayoría de los usuarios móviles que trabajan o estudian. Esta configuración presenta requisitos de contraseña, establece la versión mínima de Android y habilita restricciones de dispositivos específicas.
  • Seguridad mejorada totalmente administrada (nivel 2): se recomienda esta configuración para los dispositivos que acceden a datos confidenciales o información confidencial. Esta configuración permite directivas de contraseña más seguras y deshabilita las funcionalidades de usuario o cuenta.
  • Alta seguridad totalmente administrada (nivel 3): se recomienda esta configuración para los dispositivos usados por usuarios o grupos específicos que tienen un riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización. Esta configuración aumenta la versión mínima de Android, introduce la defensa contra amenazas móviles o Microsoft Defender para punto de conexión, y aplica restricciones adicionales a los dispositivos.

Configure las opciones siguientes como se describe en Configuración de cumplimiento de dispositivos para Windows 10/11 en Intune. Esta configuración se alinea con los principios descritos en Configuraciones de acceso a dispositivos e identidades de Confianza cero.

  • > Estado del dispositivoReglas de evaluación del servicio de atestación de estado de Windows:

    Propiedad Valor
    Requerir BitLocker Requerir
    Debe estar habilitado el arranque seguro en el dispositivo Requerir
    Requerir integridad de código Requerir
  • Propiedades> del dispositivoVersión del sistema operativo: escriba los valores adecuados para las versiones del sistema operativo en función de las directivas de seguridad y ti.

    Propiedad Valor
    Versión de SO mínima
    Versión de SO máxima
    Sistema operativo mínimo necesario para dispositivos móviles
    Sistema operativo máximo necesario para dispositivos móviles
    Compilaciones de sistemas operativos válidas
  • Cumplimiento de Configuration Manager:

    Propiedad Valor
    Requerir el cumplimiento del dispositivo de Configuration Manager Seleccione Requerido en entornos que se administran conjuntamente con Configuration Manager. De lo contrario, seleccione No configurado.
  • Seguridad del sistema:

    Propiedad Valor
    Contraseña
      Requerir una contraseña para desbloquear dispositivos móviles Requerir
      Contraseñas sencillas Bloquear
      Tipo de contraseña Predeterminado del dispositivo
      Longitud mínima de contraseña 6
      Inactividad máxima en minutos antes de que se requiera una contraseña 15 minutos
      Expiración de contraseña (días) 41
      Número de contraseñas anteriores para impedir su reutilización 5
      Requerir contraseña cuando el dispositivo vuelve del estado inactivo (Móvil y Holográfico) Requerir
    Cifrado
      Requerir el cifrado de los datos almacenados en el dispositivo Requerir
    Cortafuegos
      Cortafuegos Requerir
    Antivirus
      Antivirus Requerir
    Antispyware
      Antispyware Requerir
    Defensor
      Microsoft Defender antimalware Requerir
      Versión mínima contra malware de Microsoft Defender Se recomienda un valor que no sea más de cinco versiones detrás de la versión más reciente.
      Firma antimalware de Microsoft Defender actualizada Requerir
      Protección en tiempo real Requerir
  • Microsoft Defender para punto de conexión:

    Propiedad Valor
    Requerir que el dispositivo se sitúe en la puntuación de riesgo de máquina o por debajo de ella Medio

Directivas de acceso condicional

Después de crear directivas de protección de aplicaciones y directivas de cumplimiento de dispositivos en Intune, puede habilitar la aplicación con directivas de acceso condicional.

Requerir la MFA en función del riesgo de inicio de sesión

Siga las instrucciones de: Requerir autenticación multifactor para el riesgo de inicio de sesión elevado para crear una directiva que requiera autenticación multifactor basada en el riesgo de inicio de sesión.

Al configurar la directiva, use los siguientes niveles de riesgo:

Nivel de protección Niveles de riesgo
Punto de partida Medio y Alto
Empresa Bajo, Medio y Alto

Bloquear clientes que no admiten la autenticación multifactor

Siga las instrucciones de: Bloquear la autenticación heredada con acceso condicional.

Los usuarios de alto riesgo deben cambiar la contraseña

Siga las instrucciones de: Requerir un cambio de contraseña seguro para un riesgo de usuario elevado para requerir que los usuarios con credenciales en peligro cambien su contraseña.

Use esta directiva junto con la protección con contraseña de Microsoft Entra, que detecta y bloquea contraseñas débiles conocidas, sus variantes y términos específicos en su organización. El uso de la protección con contraseña de Microsoft Entra garantiza que las contraseñas modificadas sean más seguras.

Requerir aplicaciones aprobadas o directivas de protección de aplicaciones

Debe crear una directiva de acceso condicional para aplicar directivas de protección de aplicaciones que cree en Intune. La aplicación de directivas de protección de aplicaciones requiere una directiva de acceso condicional y una directiva de protección de aplicaciones correspondiente.

Para crear una directiva de acceso condicional que requiera aplicaciones aprobadas o protección de aplicaciones, siga los pasos descritos en Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones. Esta directiva solo permite que las cuentas dentro de las aplicaciones protegidas por directivas de protección de aplicaciones accedan a los puntos de conexión de Microsoft 365.

Bloquear la autenticación heredada para otras aplicaciones en dispositivos iOS/iPadOS y Android garantiza que estos dispositivos no puedan omitir las directivas de acceso condicional. Siguiendo las instrucciones de este artículo, ya está bloqueando los clientes que no admiten la autenticación moderna.

Exigir PC y dispositivos móviles conformes

Precaución

Compruebe que su propio dispositivo es compatible antes de habilitar esta directiva. De lo contrario, podría bloquearse y tener que usar una cuenta de acceso de emergencia para recuperar el acceso.

Permitir el acceso a los recursos solo después de que se determine que el dispositivo es compatible con las directivas de cumplimiento de Intune. Para obtener más información, consulte Cumplir los requisitos de dispositivos con el Acceso Condicional.

Puede inscribir nuevos dispositivos en Intune, incluso si selecciona Requerir que el dispositivo esté marcado como compatible para Todos los usuarios y Todas las aplicaciones en la nube en la directiva. Requerir que el dispositivo esté marcado como compatible no bloquea la inscripción de Intune ni el acceso a la aplicación Portal de empresa web de Microsoft Intune.

Activación de suscripciones

Si su organización usa la activación de la suscripción de Windows para permitir que los usuarios "realicen el paso a paso" de una versión de Windows a otra, debe excluir las API del servicio de la Tienda universal y la aplicación web (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) del cumplimiento del dispositivo.

Exigir siempre la MFA

Requerir MFA para todos los usuarios siguiendo las instrucciones de este artículo: Requerir autenticación multifactor para todos los usuarios.

Pasos siguientes

Paso 3: Directivas para usuarios invitados y externos.

Más información sobre las recomendaciones de directiva para el acceso de invitado