Compartir a través de

Directivas recomendadas para cargas de trabajo específicas de Microsoft 365

Después de configurar las directivas de seguridad comunes para Confianza cero en su organización de Microsoft 365, debe configurar directivas y opciones adicionales para aplicaciones y cargas de trabajo específicas basadas en los tres principios rectores de Confianza cero:

  • Comprobación explícita
  • Uso de privilegios mínimos
  • Dar por hecho que habrá intrusiones al sistema

En este artículo se describen las directivas y la configuración adicionales para aplicaciones y cargas de trabajo específicas.

Sugerencia

Si es posible, pruebe las directivas en un entorno que no sea de producción antes de implementarlas en los usuarios de producción. Las pruebas son fundamentales para identificar y comunicar los posibles efectos a los usuarios.

Recomendaciones de Microsoft Copilot para Confianza cero

Para obtener más información, consulte uso de la seguridad de Confianza Cero para prepararse para compañeros de IA, incluidos Microsoft Copilots.

Recomendaciones de Exchange Online para confianza cero

En esta sección se describe la configuración recomendada para Confianza cero en Exchange Online.

Compruebe que el reenvío automático de correo electrónico a destinatarios externos está deshabilitado

De forma predeterminada, las directivas de correo no deseado saliente en las características de seguridad integradas para todos los buzones de correo en la nube bloquean el reenvío automático de correo electrónico a destinatarios externos realizados por reglas de bandeja de entrada o reenvío de buzones (también conocido como reenvío SMTP). Para obtener más información, consulte Control del reenvío automático de correo electrónico externo en Microsoft 365.

En todas las políticas de spam saliente, compruebe que el valor de la configuración de Reenvío automático es Automático: controlado por el sistema (el valor predeterminado) o Desactivado: el reenvío está deshabilitado. Ambos valores bloquean el reenvío automático de correo electrónico a destinatarios externos por parte de los usuarios afectados. Una directiva predeterminada se aplica a todos los usuarios y los administradores pueden crear directivas personalizadas que se aplican a grupos específicos de usuarios. Para obtener más información, consulte Configuración de directivas de correo no deseado saliente en EOP.

Bloquear clientes de Exchange ActiveSync

Exchange ActiveSync es un protocolo de cliente que sincroniza los datos de correo electrónico y calendario en dispositivos móviles y de escritorio. Bloquear el acceso al correo electrónico de la empresa mediante clientes de ActiveSync no seguros, tal como se describe en los procedimientos siguientes:

  • Dispositivos móviles: para bloquear el acceso al correo electrónico desde los siguientes tipos de dispositivos móviles, cree la directiva de acceso condicional que se describe en Requerir aplicaciones aprobadas o directivas de protección de aplicaciones:

    • Clientes de ActiveSync que usan la autenticación básica.
    • Clientes de ActiveSync que admiten la autenticación moderna, pero no las directivas de protección de aplicaciones de Intune.
    • Dispositivos que admiten directivas de protección de aplicaciones de Intune, pero que no se definen en una directiva de protección de aplicaciones. Para obtener más información, consulte Requerir una directiva de protección de aplicaciones.

    Sugerencia

    Se recomienda Microsoft Outlook para iOS y Android como la aplicación para acceder al correo electrónico de la empresa desde dispositivos iOS/iPadOS y Android.

  • Equipos y otros dispositivos: para bloquear todos los clientes de ActiveSync que usan la autenticación básica, cree la directiva de acceso condicional descrita en Bloquear Exchange ActiveSync en todos los dispositivos.

Limitar el acceso a los datos adjuntos de correo electrónico en Outlook en la Web y el nuevo Outlook para Windows

Puede restringir cómo los usuarios de dispositivos no administrados pueden interactuar con datos adjuntos de correo electrónico en Outlook en la Web (anteriormente conocidos como Outlook Web App o OWA) y en el nuevo Outlook para Windows:

  • Impedir que los usuarios descarguen datos adjuntos de correo electrónico. Pueden ver y editar estos archivos con Office Online sin perder y almacenar los archivos en el dispositivo.
  • Impedir que los usuarios vean los datos adjuntos.

Estas restricciones se imponen utilizando Outlook en las políticas de buzones web. Las organizaciones de Microsoft 365 con buzones de Exchange Online tienen outlook integrado predeterminado en la directiva de buzón web denominada OwaMailboxPolicy-Default. De forma predeterminada, esta directiva se aplica a todos los usuarios. Los administradores también pueden crear directivas personalizadas que se apliquen a grupos de usuarios específicos.

Estos son los pasos para limitar el acceso a los datos adjuntos de correo electrónico en dispositivos no administrados:

  1. Conéctese al PowerShell de Exchange Online.

  2. Para ver las directivas de buzón de correo de Outlook disponibles en la web, ejecute el siguiente comando:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Use la sintaxis siguiente para limitar el acceso a los datos adjuntos de correo electrónico en Outlook en la Web y el nuevo Outlook para Windows en dispositivos no administrados:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    Este ejemplo permite ver pero no descargar datos adjuntos en la directiva predeterminada.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    En este ejemplo se bloquea la visualización de datos adjuntos en la directiva predeterminada.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. En la página Acceso Condicional | Descripción general del centro de administración de Microsoft Entra en https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, cree una nueva directiva de acceso condicional con la configuración siguiente.

    • Sección Asignaciones :
      • Usuarios: seleccione los usuarios y grupos adecuados para incluirlos y excluirlos en las pestañas Incluir y Excluir .
      • Recursos objetivo: Seleccione a qué se aplica esta política>Los recursos (anteriormente aplicaciones en la nube)>la pestaña >Seleccionar los recursos>Seleccionar> buscar y seleccionar Office 365 Exchange Online.
    • Sección Controles de acceso : Sesión> , seleccione Usar restricciones aplicadas a la aplicación.
    • Sección Habilitar Política: seleccione Activado.

Configuración del cifrado de mensajes

Con el cifrado de mensajes de Microsoft Purview, que usa características de protección en Azure Information Protection, su organización puede compartir fácilmente el correo electrónico protegido con cualquier usuario de cualquier dispositivo. Los usuarios pueden enviar y recibir mensajes protegidos con otras organizaciones que usan Microsoft 365, Outlook.com, Gmail y otros servicios de correo electrónico.

Para obtener más información, consulte Configuración del cifrado de mensajes.

Recomendaciones de SharePoint para confianza cero

En esta sección se describe la configuración recomendada para Confianza cero en SharePoint.

Configurar el control de acceso de SharePoint para limitar el acceso por dispositivos no administrados

Sugerencia

La configuración de esta sección requiere Microsoft Entra ID P1 o P2. Para obtener más información, consulte Planes y precios de Microsoft Entra.

Al configurar el control de acceso para dispositivos no administrados en SharePoint, se crea automáticamente una directiva de acceso condicional correspondiente para aplicar el nivel de acceso en microsoft Entra ID. Esta configuración de toda la organización se aplica a todos los usuarios, pero solo afecta al acceso a los sitios que se incluyen específicamente en el control de acceso de SharePoint.

En concreto, debe incluir sitios en el control de acceso de SharePoint que usen seguridad empresarial o especializada para Confianza cero, tal como se describe en los pasos siguientes:

  1. Configure Permitir acceso limitado, solo web o Bloquear el acceso para dispositivos no administrados en el control de acceso de SharePoint. Esta configuración se aplica a todos los usuarios, pero no afecta a su acceso a sitios en los que ya tienen permisos de sitio a menos que el sitio se incluya en el control de acceso de SharePoint (el paso siguiente).

    Sugerencia

    El acceso de nivel de sitio no puede ser más permisivo que la configuración de control de acceso de la organización. Por ejemplo, seleccione Permitir acceso limitado y de solo web para dispositivos no administrados en el control de acceso de toda la organización para que pueda usar AllowLimitedAccess o BlockAccess en sitios específicos. Si selecciona Bloquear acceso para dispositivos no administrados en el control de acceso de toda la organización, no puede usar AllowLimitedAccess en sitios específicos (solo BlockAccess está disponible).

  2. Conéctese a PowerShell de SharePoint Online y use el parámetro ConditionalAccessPolicy en el cmdlet Set-SPOSite para incluir el sitio en el control de acceso de SharePoint para dispositivos no administrados:

    • Sitios empresariales: use el valor AllowLimitedAccess para evitar que los usuarios de dispositivos no administrados descarguen, impriman o sincronicen archivos.
    • Sitios de seguridad especializados: use el valor BlockAccess para bloquear el acceso desde dispositivos no administrados.

    Para obtener instrucciones, consulte Bloquear o limitar el acceso a un sitio de SharePoint específico o OneDrive.

Tradicionalmente, los propietarios de sitios administran permisos de sitio de SharePoint en función de la necesidad empresarial de acceder al sitio. La configuración del control de acceso de SharePoint para dispositivos no administrados en el nivel de organización y de sitio garantiza una protección coherente para estos sitios en función del nivel de protección confianza cero.

Tenga en cuenta los siguientes sitios de ejemplo en la organización contoso. El control de acceso de SharePoint para dispositivos no administrados está configurado en el nivel Acceso web limitado para la organización:

  • Sitio de grupo de Analytics configurado con protección empresarial: el sitio está configurado con AllowLimitedAccess para dispositivos no administrados en el control de acceso de SharePoint. Los usuarios con permisos de sitio obtienen acceso de solo explorador al sitio en dispositivos no administrados. Pueden acceder al sitio mediante otras aplicaciones en dispositivos administrados.
  • El sitio de secretos comerciales está configurado con seguridad especializada: el sitio está configurado con Block para dispositivos no administrados en el control de acceso de SharePoint. A los usuarios con permisos de sitio se les impide acceder al sitio en dispositivos no administrados. Solo pueden acceder al sitio en dispositivos administrados.

Recomendaciones de Microsoft Teams para confianza cero

En esta sección se describe la configuración recomendada para Confianza cero en Microsoft Teams.

Arquitectura de servicios dependientes de Teams

En el diagrama de Microsoft Teams y los servicios de productividad relacionados de Microsoft 365 para arquitectos de TI se muestran los servicios usados por Microsoft Teams.

Acceso de invitado y externo para Teams

Microsoft Teams define los siguientes tipos de acceso para los usuarios externos a la organización:

  • Acceso de invitado: usa una cuenta de Microsoft Entra B2B para cada usuario que se puede agregar como miembro de un equipo. El acceso de invitado permite el acceso a recursos de Teams e interacción con usuarios internos en conversaciones de grupo, chats y reuniones.

    Para obtener más información sobre el acceso de invitado y cómo implementarlo, consulte Acceso de invitado en Microsoft Teams.

  • Acceso externo: usuarios fuera de la organización que no tienen cuentas de Microsoft Entra B2B. El acceso externo puede incluir invitaciones y participación en llamadas, chats y reuniones, pero no incluye la pertenencia al equipo ni el acceso a los recursos del equipo. El acceso externo es una manera de que los usuarios de Teams de un dominio externo encuentren, llamen, chatearán y configurarán reuniones en Teams con usuarios de su organización.

    Los administradores de Teams pueden usar directivas personalizadas para configurar el acceso externo para la organización, grupos de usuarios o usuarios individuales. Para obtener más información, consulte Administradores de TI: administración de reuniones externas y chatear con personas y organizaciones mediante identidades de Microsoft.

Los usuarios de acceso externo tienen menos acceso y funcionalidad que los usuarios de acceso de invitado. Por ejemplo, los usuarios de acceso externo pueden chatear con usuarios internos mediante Teams, pero no pueden acceder a canales de equipo, archivos u otros recursos.

Las directivas de acceso condicional solo se aplican a los usuarios de acceso de invitado en Teams porque hay cuentas de Microsoft Entra B2B correspondientes. El acceso externo no usa cuentas de Microsoft Entra B2B y, por tanto, no puede usar directivas de acceso condicional.

Para obtener directivas recomendadas para permitir el acceso con una cuenta de Microsoft Entra B2B, consulte Directivas para permitir el acceso de la cuenta B2B de invitado y externo.

Recomendaciones de aplicaciones SaaS para Confianza cero

Microsoft Defender for Cloud Apps se basa en directivas de acceso condicional de Microsoft Entra para habilitar la supervisión y el control en tiempo real de acciones pormenorizadas con aplicaciones de software como servicio (SaaS), como bloquear descargas, cargas, copiar y pegar e imprimir. Esta característica agrega seguridad a las sesiones que conllevan riesgos inherentes, como cuando se accede a recursos corporativos desde dispositivos no administrados o invitados.

Para más información, consulte Integración de aplicaciones SaaS para Confianza cero con Microsoft 365.

  • Last updated on