Compartir a través de

Directivas de seguridad comunes para organizaciones de Microsoft 365

  • Artículo

Las organizaciones tienen mucho que preocuparse al implementar Microsoft 365 para su organización. Las directivas de acceso condicional, protección de aplicaciones y cumplimiento de dispositivos a las que se hace referencia en este artículo se basan en las recomendaciones de Microsoft y en los tres principios rectores de la Confianza cero:

  • Comprobación explícita
  • Usar privilegios mínimos
  • Dar por hecho que habrá intrusiones al sistema

Las organizaciones pueden adoptar estas directivas tal cual o personalizarlas para adaptarlas a sus necesidades. Si es posible, pruebe las directivas en un entorno que no sea de producción antes de implementarlas en los usuarios de producción. Las pruebas son fundamentales para identificar y comunicar los posibles efectos a los usuarios.

Agrupamos estas directivas en tres niveles de protección en función de dónde se encuentra en el recorrido de implementación:

  • Punto de partida: controles básicos que presentan la autenticación multifactor, los cambios de contraseña seguros y las directivas de protección de aplicaciones de Intune para dispositivos móviles.
  • Empresa: controles mejorados que garantizan la compatibilidad de dispositivos.
  • Seguridad especializada: directivas que requieren autenticación multifactor cada vez para conjuntos de datos o usuarios específicos.

En el diagrama siguiente se muestran los niveles de protección a los que se aplica cada directiva y a qué tipos de dispositivos se aplican las directivas:

Diagrama que muestra directivas comunes de identidad y dispositivo que admiten los principios de la Confianza cero.

Puede descargar este diagrama como un archivo PDF o un archivo de Visio editable.

Sugerencia

Se recomienda requerir autenticación multifactor (MFA) para los usuarios antes de inscribir dispositivos en Intune para asegurarse de que están en posesión del dispositivo. MFA está activado de forma predeterminada debido a los valores predeterminados de seguridad, o puede usar directivas de acceso condicional para requerir MFA para todos los usuarios.

Los dispositivos deben inscribirse en Intune para poder aplicar directivas de cumplimiento de dispositivos.

Requisitos previos

Permisos

Se requieren los siguientes permisos en Microsoft Entra:

Para obtener más información sobre los roles y permisos en Microsoft Entra, consulte Información general sobre el control de acceso basado en roles en Microsoft Entra ID.

Registro de usuarios

Asegúrese de que los usuarios se registren en MFA antes de requerirlo. Si las licencias incluyen Microsoft Entra ID P2, puede usar la directiva de registro de MFA dentro de Microsoft Entra ID Protection para obligar a que los usuarios se registren. Proporcionamos plantillas de comunicación que puede descargar y personalizar para promover el registro de usuarios.

Grupos

Todos los grupos de Microsoft Entra que use como parte de estas recomendaciones deben ser grupos de Microsoft 365, no grupos de seguridad. Este requisito es importante para la implementación de etiquetas de confidencialidad para proteger documentos en Microsoft Teams y SharePoint. Para obtener más información, consulte Más información sobre los grupos y los derechos de acceso en Microsoft Entra ID.

Asignación de directivas

Puede asignar directivas de acceso condicional a usuarios, grupos y roles de administrador. Las directivas de cumplimiento de dispositivos y protección de aplicaciones de Intune se pueden asignar solo a grupos. Antes de configurar las directivas, identifique quién debe incluirse y excluirse. Normalmente, las directivas de nivel de protección de punto de partida se aplican a todos los miembros de la organización.

En la tabla siguiente se describen las asignaciones y exclusiones de grupo de ejemplo para MFA después de que los usuarios completen el registro de usuarios:

  Directiva de acceso condicional de Microsoft Entra Include Excluir
Punto de partida Requerir autenticación multifactor para el riesgo de inicio de sesión medio o alto Todos los usuarios
  • Cuentas de acceso de emergencia
  • Grupo de exclusión de acceso condicional
Empresa Requerir autenticación multifactor para el riesgo de inicio de sesión bajo, medio o alto Grupo de personal ejecutivo
  • Cuentas de acceso de emergencia
  • Grupo de exclusión de acceso condicional
Seguridad especializada Requerir autenticación multifactor siempre Grupo de alto secreto del proyecto Buckeye
  • Cuentas de acceso de emergencia
  • Grupo de exclusión de acceso condicional

Sugerencia

Tenga cuidado al aplicar mayores niveles de protección a usuarios y grupos. El objetivo de la seguridad no es agregar fricción innecesaria a la experiencia del usuario. Por ejemplo, los miembros del grupo Top Secret Project Buckeye deben usar MFA cada vez que inicien sesión, incluso si no están trabajando en el contenido especializado para su proyecto. Una fricción de seguridad excesiva puede provocar fatiga. Habilite los métodos de autenticación resistentes a la suplantación de identidad (por ejemplo, claves de seguridad de Windows Hello para empresas o FIDO2) para ayudar a reducir la fricción causada por los controles de seguridad.

Cuentas de acceso de emergencia

Todas las organizaciones deben tener al menos una cuenta de acceso de emergencia (y posiblemente más, dependiendo del tamaño de la organización) que se supervise para su uso y se excluya de las directivas. Estas cuentas solo se usan en caso de que todas las demás cuentas de administrador y métodos de autenticación se bloqueen o no estén disponibles. Para obtener más información, consulte Administrar cuentas de acceso de emergencia en Microsoft Entra ID.

Exclusiones

Una práctica recomendada es crear un grupo de Microsoft Entra para exclusiones de acceso condicional. Este grupo ofrece un medio para proporcionar acceso a un usuario mientras soluciona problemas de acceso.

Advertencia

Se recomienda un grupo de exclusión solo como solución temporal. Asegúrese de supervisar continuamente este grupo para ver los cambios y comprobar que el grupo solo se usa para su propósito previsto.

Realice los pasos siguientes para agregar un grupo de exclusión a las directivas existentes. Como se ha descrito anteriormente, necesita permisos de administrador de acceso condicional .

  1. En el Centro de administración de Microsoft Entra en https://entra.microsoft.com, vaya a Protección>Acceso condicional>Directivas. O bien, para ir directamente a la página de Acceso Condicional | Directivas, use https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.

  2. En la Página de Acceso Condicional | Directivas, seleccione una directiva existente haciendo clic en el nombre.

  3. En la página de detalles de la directiva que se abre, seleccione el vínculo en Usuarios en la sección Asignaciones .

  4. En el control que se abre, seleccione la pestaña Excluir y, a continuación, seleccione Usuarios y grupos.

  5. En el panel desplegable Seleccionar grupos y usuarios excluidos que se abre, busque y seleccione las identidades siguientes.

    • Usuarios: las cuentas de acceso de emergencia.
    • Grupos: el grupo de exclusión de acceso condicional

    Cuando haya terminado en el desplegable Seleccionar usuarios y grupos excluidos, seleccione Seleccionar.

Implementación

Se recomienda implementar las directivas de punto de partida en el orden indicado en la tabla siguiente. Puede implementar las directivas de MFA para los niveles de protección de seguridad empresarial y especializada en cualquier momento.

Directivas de protección de aplicaciones

Las directivas de protección de aplicaciones especifican las aplicaciones permitidas y las acciones que pueden realizar con los datos de la organización. Aunque hay muchas directivas entre las que elegir, en la lista siguiente se describen las líneas base recomendadas.

Sugerencia

Aunque se proporcionan tres plantillas, la mayoría de las organizaciones deben elegir el nivel 2 (se asigna al punto de partida o a la seguridad de nivel empresarial ) y el nivel 3 (se asigna a la seguridad especializada ).

  • Protección de datos básica de nivel 1 empresarial: se recomienda esta configuración como protección de datos mínima para dispositivos empresariales.

  • Protección de datos mejorada de nivel 2 empresarial: se recomienda esta configuración para dispositivos que acceden a datos confidenciales o información confidencial. Esta configuración se aplica a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos. Algunos de los controles pueden afectar a la experiencia del usuario.

  • Protección de datos de alto nivel 3 empresarial: se recomienda esta configuración en los escenarios siguientes:

    • Organizaciones con equipos de seguridad más grandes o más sofisticados.
    • Dispositivos usados por usuarios o grupos específicos que están en riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización.

    Es probable que las organizaciones dirigidas por atacantes bien financiados y sofisticados aspiran a esta configuración.

Cree una nueva directiva de protección de aplicaciones para cada plataforma de dispositivo en Microsoft Intune (iOS/iPadOS y Android) mediante la configuración del marco de protección de datos mediante cualquiera de los métodos siguientes:

Directivas de cumplimiento de dispositivos

Las directivas de cumplimiento de dispositivos de Intune definen los requisitos para que los dispositivos sean compatibles. Debe crear una directiva para cada PC, teléfono o plataforma de tableta. En las secciones siguientes se describen las recomendaciones para las plataformas siguientes:

Para crear directivas de cumplimiento de dispositivos, siga estos pasos:

  1. En el centro de administración de Microsoft Intune en https://endpoint.microsoft.com, vaya a la pestaña de Administrar dispositivos>de cumplimiento>Directivas. O bien, para ir directamente a la pestaña Directivas de la página de Dispositivos | Cumplimiento, use https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
  2. En la pestaña Directivas de dispositivos | Página cumplimiento , seleccione Crear directiva.

Para obtener instrucciones paso a paso, consulte Creación de una directiva de cumplimiento en Microsoft Intune.

Configuración de inscripción y cumplimiento para iOS/iPadOS

iOS/iPadOS admite varios escenarios de inscripción, dos de los cuales están cubiertos por este marco:

Sugerencia

Como se ha descrito anteriormente, el nivel 2 se asigna al punto inicial o a la seguridad de nivel empresarial y el nivel 3 se asigna a la seguridad especializada . Para obtener más información, consulte Configuración de acceso a dispositivos e identidades de confianza cero.

Configuración de cumplimiento para dispositivos inscritos personalmente

  • Seguridad básica personal (nivel 1): se recomienda esta configuración como la seguridad mínima para los dispositivos personales que acceden a los datos profesionales o educativos. Para lograr esta configuración, aplique directivas de contraseñas, características de bloqueo de dispositivo y deshabilite determinadas funciones de dispositivo (por ejemplo, certificados que no son de confianza).
  • Seguridad mejorada personal (nivel 2): se recomienda esta configuración para dispositivos que acceden a datos confidenciales o información confidencial. Esta configuración habilita los controles de uso compartido de datos. Esta configuración se aplica a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.
  • Alta seguridad personal (nivel 3): se recomienda esta configuración para los dispositivos usados por usuarios o grupos específicos que tienen un riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización. Esta configuración permite directivas de contraseña más seguras, deshabilita determinadas funciones de dispositivo y aplica restricciones adicionales de transferencia de datos.

Configuración de cumplimiento para la inscripción automatizada de dispositivos

  • Seguridad básica supervisada (nivel 1): se recomienda esta configuración como la seguridad mínima para los dispositivos empresariales que acceden a los datos profesionales o educativos. Para lograr esta configuración, aplique directivas de contraseñas, características de bloqueo de dispositivo y deshabilite determinadas funciones de dispositivo (por ejemplo, certificados que no son de confianza).
  • Seguridad mejorada supervisada (nivel 2): se recomienda esta configuración para los dispositivos que acceden a datos confidenciales o información confidencial. Esta configuración habilita controles de uso compartido de datos y bloquea el acceso a dispositivos USB. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos en un dispositivo.
  • Alta seguridad supervisada (nivel 3): se recomienda esta configuración para los dispositivos usados por usuarios o grupos específicos que tienen un riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización. Esta configuración permite directivas de contraseña más seguras, deshabilita determinadas funciones de dispositivo, aplica restricciones adicionales de transferencia de datos y requiere que las aplicaciones se instalen a través del programa de compras por volumen de Apple.

Configuración de inscripción y cumplimiento para Android

Android Enterprise admite varios escenarios de inscripción, dos de los cuales están cubiertos por este marco:

  • Perfil de trabajo de Android Enterprise: dispositivos de propiedad personal (también conocidos como bring your own device o BYOD) que también se usan para el trabajo. Las directivas controladas por el departamento de TI garantizan que los datos de trabajo no se puedan transferir al perfil personal.
  • Dispositivos Android Enterprise totalmente administrados: los dispositivos propiedad de la organización asociados a un solo usuario y se usan exclusivamente para el trabajo.

El marco de configuración de seguridad de Android Enterprise se organiza en varios escenarios de configuración distintos que proporcionan instrucciones para los escenarios de perfil de trabajo y totalmente administrados.

Sugerencia

Como se ha descrito anteriormente, el nivel 2 se asigna al punto inicial o a la seguridad de nivel empresarial y el nivel 3 se asigna a la seguridad especializada . Para obtener más información, consulte Configuración de acceso a dispositivos e identidades de confianza cero.

Configuración de cumplimiento para dispositivos de perfil de trabajo de Android Enterprise

  • No hay ninguna oferta de seguridad básica (nivel 1) para dispositivos de perfil de trabajo de propiedad personal. La configuración disponible no justifica una diferencia entre el nivel 1 y el nivel 2.
  • Seguridad mejorada del perfil de trabajo (nivel 2): se recomienda esta configuración como la seguridad mínima para los dispositivos personales que acceden a los datos profesionales o educativos. Esta configuración presenta los requisitos de contraseña, separa los datos profesionales y personales y valida la certificación del dispositivo Android.
  • Alta seguridad del perfil de trabajo (nivel 3): se recomienda esta configuración para los dispositivos usados por usuarios o grupos específicos que tienen un riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización. Esta configuración presenta la defensa contra amenazas móviles o Microsoft Defender para punto de conexión, establece la versión mínima de Android, habilita directivas de contraseña más seguras y separa aún más los datos personales y de trabajo.

Configuración de cumplimiento para dispositivos Android Enterprise totalmente administrados

  • Seguridad básica totalmente administrada (nivel 1): se recomienda esta configuración como seguridad mínima para un dispositivo empresarial. Esta configuración se aplica a la mayoría de los usuarios móviles que trabajan o estudian. Esta configuración presenta requisitos de contraseña, establece la versión mínima de Android y habilita restricciones de dispositivos específicas.
  • Seguridad mejorada totalmente administrada (nivel 2): se recomienda esta configuración para los dispositivos que acceden a datos confidenciales o información confidencial. Esta configuración permite directivas de contraseña más seguras y deshabilita las funcionalidades de usuario o cuenta.
  • Alta seguridad totalmente administrada (nivel 3): se recomienda esta configuración para los dispositivos usados por usuarios o grupos específicos que tienen un riesgo único. Por ejemplo, los usuarios que controlan datos altamente confidenciales en los que la divulgación no autorizada provocaría una pérdida considerable en la organización. Esta configuración aumenta la versión mínima de Android, introduce la defensa contra amenazas móviles o Microsoft Defender para punto de conexión, y aplica restricciones adicionales a los dispositivos.

Configure las opciones siguientes como se describe en Configuración de cumplimiento de dispositivos para Windows 10/11 en Intune. Esta configuración se alinea con los principios descritos en Configuraciones de acceso a dispositivos e identidades de Confianza cero.

  • Estado de salud del dispositivo Reglas de evaluación del Servicio de Atestación de Salud de Windows: /intune/intune-service/

    Propiedad Valor
    Requerir BitLocker Requerir
    Debe estar habilitado el arranque seguro en el dispositivo Requerir
    Requerir integridad de código Requerir

  • Propiedades del dispositivo > Versión del sistema operativo: Especifique los valores adecuados para las versiones del sistema operativo en función de las directivas de seguridad y TI.

    Propiedad Valor
    Versión de SO mínima
    Versión de SO máxima
    Sistema operativo mínimo necesario para dispositivos móviles
    Sistema operativo máximo necesario para dispositivos móviles
    Compilaciones de sistemas operativos válidas

  • Cumplimiento de Configuration Manager:

    Propiedad Valor
    Requerir el cumplimiento del dispositivo de Configuration Manager Seleccione Requerido en entornos que se administran conjuntamente con Configuration Manager. De lo contrario, seleccione No configurado.

  • Seguridad del sistema:

    Propiedad Valor
    Contraseña
      Requerir una contraseña para desbloquear dispositivos móviles Requerir
      Contraseñas sencillas Bloquear
      Tipo de contraseña Predeterminado del dispositivo
      Longitud mínima de contraseña 6
      Inactividad máxima en minutos antes de que se requiera una contraseña 15 minutos
      Expiración de contraseña (días) 41
      Número de contraseñas anteriores para impedir su reutilización 5
      Requerir contraseña cuando el dispositivo vuelve del estado inactivo (Móvil y Holográfico) Requerir
    Cifrado
      Requerir el cifrado de los datos almacenados en el dispositivo Requerir
    Firewall
      Firewall Requerir
    Antivirus
      Antivirus Requerir
    Antispyware
      Antispyware Requerir
    Defender
      Microsoft Defender antimalware Requerir
      Versión mínima contra malware de Microsoft Defender Se recomienda un valor que no sea más de cinco versiones detrás de la versión más reciente.
      Firma antimalware de Microsoft Defender actualizada Requerir
      Protección en tiempo real Requerir

  • Microsoft Defender para punto de conexión:

    Propiedad Valor
    Requerir que el dispositivo se sitúe en la puntuación de riesgo de máquina o por debajo de ella Medio

Directivas de acceso condicional

Después de crear directivas de protección de aplicaciones y directivas de cumplimiento de dispositivos en Intune, puede habilitar la aplicación con directivas de acceso condicional.

Requerir la MFA en función del riesgo de inicio de sesión

Siga las instrucciones de: Requerir autenticación multifactor para el riesgo de inicio de sesión elevado para crear una directiva que requiera autenticación multifactor basada en el riesgo de inicio de sesión.

Al configurar la directiva, use los siguientes niveles de riesgo:

Nivel de protección Niveles de riesgo
Punto de partida Medio y Alto
Empresa Bajo, Medio y Alto

Bloquear clientes que no admiten la autenticación multifactor

Siga las instrucciones de: Bloquear la autenticación heredada con acceso condicional.

Los usuarios de alto riesgo deben cambiar la contraseña

Siga las instrucciones de: Requerir un cambio de contraseña seguro para un riesgo de usuario elevado para requerir que los usuarios con credenciales en peligro cambien su contraseña.

Use esta directiva junto con la protección con contraseña de Microsoft Entra, que detecta y bloquea contraseñas débiles conocidas, sus variantes y términos específicos en su organización. El uso de la protección con contraseña de Microsoft Entra garantiza que las contraseñas modificadas sean más seguras.

Requerir aplicaciones aprobadas o directivas de protección de aplicaciones

Debe crear una directiva de acceso condicional para aplicar directivas de protección de aplicaciones que cree en Intune. La aplicación de directivas de protección de aplicaciones requiere una directiva de acceso condicional y una directiva de protección de aplicaciones correspondiente.

Para crear una directiva de acceso condicional que requiera aplicaciones aprobadas o protección de aplicaciones, siga los pasos descritos en Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones. Esta directiva solo permite que las cuentas dentro de las aplicaciones protegidas por directivas de protección de aplicaciones accedan a los puntos de conexión de Microsoft 365.

Bloquear la autenticación heredada para otras aplicaciones en dispositivos iOS/iPadOS y Android garantiza que estos dispositivos no puedan omitir las directivas de acceso condicional. Siguiendo las instrucciones de este artículo, ya está bloqueando los clientes que no admiten la autenticación moderna.

Exigir PC y dispositivos móviles conformes

Precaución

Compruebe que su propio dispositivo es compatible antes de habilitar esta directiva. De lo contrario, podría bloquearse y tener que usar una cuenta de acceso de emergencia para recuperar el acceso.

Permitir el acceso a los recursos solo después de que se determine que el dispositivo es compatible con las directivas de cumplimiento de Intune. Para obtener más información, consulte Cumplir los requisitos de dispositivos con el Acceso Condicional.

Puede inscribir nuevos dispositivos en Intune, incluso si selecciona Requerir que el dispositivo esté marcado como compatible para Todos los usuarios y Todas las aplicaciones en la nube en la directiva. Requerir que el dispositivo esté marcado como compatible no bloquea la inscripción de Intune ni el acceso a la aplicación Portal de empresa web de Microsoft Intune.

Activación de suscripciones

Si su organización usa la activación de la suscripción de Windows para permitir que los usuarios "realicen el paso a paso" de una versión de Windows a otra, debe excluir las API del servicio de la Tienda universal y la aplicación web (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) del cumplimiento del dispositivo.

Exigir siempre la MFA

Requerir MFA para todos los usuarios siguiendo las instrucciones de este artículo: Requerir autenticación multifactor para todos los usuarios.

Pasos siguientes

Paso 3: Directivas para usuarios invitados y externos.

Más información sobre las recomendaciones de directiva para el acceso de invitado