Aspectos básicos de la identidad para organizaciones de defensa multiinquilino
La guía siguiente proporciona aspectos básicos de identidad de confianza cero para organizaciones de defensa multiinquilino y se centra en Microsoft Entra ID. La confianza cero es una estrategia clave para garantizar la integridad y la confidencialidad de la información confidencial. La identidad es un pilar fundamental de la confianza cero. Microsoft Entra ID es el servicio de identidad en la nube de Microsoft. Microsoft Entra ID es un componente crítico de confianza cero que usan todos los clientes en la nube de Microsoft.
Los arquitectos y responsables de la toma de decisiones deben comprender las funcionalidades principales de Microsoft Entra ID y su rol en la confianza cero antes de crear la estrategia empresarial de defensa. Las organizaciones de defensa pueden cumplir muchos requisitos de confianza cero mediante la adopción de Microsoft Entra ID. Muchas ya tienen acceso a las características esenciales de Microsoft Entra mediante sus licencias existentes de Microsoft 365.
Inquilinos de Microsoft Entra
Una instancia de Microsoft Entra ID se denomina inquilino de Microsoft Entra. Un inquilino de Microsoft Entra consta de una plataforma de identidad y un límite. Es la plataforma de identidad de su organización y un límite de identidad seguro para los servicios en la nube de Microsoft que usted usa. Por lo tanto, es ideal para proteger los datos de identidad de defensa confidenciales.
Consolidación de inquilinos de Microsoft Entra. Microsoft recomienda un inquilino por organización. Un único inquilino de Microsoft Entra proporciona la experiencia de administración de identidades más fluida para usuarios y administradores. Proporciona las funcionalidades de confianza cero más completas. Las organizaciones con varios inquilinos de Microsoft Entra deben administrar diferentes conjuntos de usuarios, grupos, aplicaciones y directivas, lo que aumenta el coste y agrega complejidad administrativa. Un solo inquilino también minimiza el costo de las licencias.
Es necesario intentar que Microsoft 365, los servicios de Azure, Power Platform, las aplicaciones de línea de negocio (LOB), las aplicaciones de software como servicio (SaaS) y otros proveedores de servicios en la nube (CSP) usen un único inquilino de Microsoft Entra.
Microsoft Entra ID frente a Active Directory. Microsoft Entra ID no es una evolución de Active Directory Domain Services (AD DS). El concepto de inquilino es como un bosque de Active Directory, pero la arquitectura subyacente es diferente. Microsoft Entra ID es un servicio de identidad de hiperescala, moderno y basado en la nube.
Nombres de dominio iniciales e identificadores de inquilino. Cada inquilino tiene un nombre de dominio inicial y un identificador de inquilino únicos. Por ejemplo, una organización denominada Contoso podría tener como nombre de dominio inicial contoso.onmicrosoft.com
para Microsoft Entra ID y contoso.onmicrosoft.us
para Microsoft Entra Government. Los identificadores de inquilino son identificadores únicos globales (GUID). Cada inquilino solo tiene un dominio inicial y un identificador de inquilino. Ambos valores son inmutables y no se pueden cambiar después de la creación del inquilino.
Los usuarios inician sesión en cuentas de Microsoft Entra con su nombre principal de usuario (UPN). El UPN es un atributo de usuario de Microsoft Entra y necesita un sufijo enrutable. El dominio inicial es el sufijo enrutable predeterminado (user@contoso.onmicrosoft.com
). Puede agregar dominios personalizados para crear y usar un UPN más descriptivo. El UPN descriptivo suele coincidir con la dirección de correo electrónico del usuario (user@contoso.com
). El UPN para Microsoft Entra ID podría diferir del userPrincipalName de los usuarios de AD DS. Es común tener un UPN y un userPrincipalName de AD DS diferentes cuando los valores userPrincipalName de AD DS no son enrutables o usan un sufijo que no coincide con un dominio personalizado comprobado en el inquilino.
Solo se puede comprobar un dominio personalizado en un inquilino de Microsoft Entra globalmente. Los dominios personalizados no son límites de seguridad ni confianza, como bosques de Active Directory Domain Services (AD DS). Son un espacio de nombres DNS para identificar el inquilino principal de un usuario de Microsoft Entra.
Arquitectura de Microsoft Entra
Microsoft Entra ID no tiene controladores de dominio, unidades organizativas, objetos de directiva de grupo, confianzas de dominio o bosque ni roles de operación de maestro único flexible (FSMO). Microsoft Entra ID es una solución de administración de identidades de software como servicio. Se puede acceder a Microsoft Entra ID a través de las API de RESTful. Use protocolos de autorización y autenticación modernos para acceder a los recursos protegidos por Microsoft Entra ID. El directorio tiene una estructura plana y usa permisos basados en recursos.
Cada inquilino de Microsoft Entra es un almacén de datos de alta disponibilidad para los datos de administración de identidades. Almacena objetos de identidad, directiva y configuración, y los replica en regiones de Azure. Un inquilino de Microsoft Entra proporciona redundancia de datos para la información de defensa crítica.
Tipos de identidad
Microsoft Entra ID tiene dos tipos de identidades. Los dos tipos de identidades son usuarios y entidades de servicio.
Usuarios. Los usuarios son identidades para usuarios que acceden a Microsoft y a los servicios en la nube federados. Los usuarios pueden ser miembros o invitados en una instancia de Microsoft Entra ID. Normalmente, los miembros son internos de su organización y los invitados pertenecen a una organización externa, como un asociado de misión o un contratista de defensa. Para más información sobre los usuarios invitados y la colaboración entre organizaciones, consulte Introducción a la colaboración B2B.
Entidades de servicio. Las entidades de servicio son entidades que no son personas (NPE) en Microsoft Entra ID. Las entidades de servicio pueden representar aplicaciones, cuentas de servicio o automatización y recursos de Azure. Incluso los recursos que no son de Azure, como los servidores locales, pueden tener una entidad de servicio en Microsoft Entra ID e interactuar con otros recursos de Azure. Las entidades de servicio son útiles para automatizar flujos de trabajo de defensa y administrar aplicaciones críticas para las operaciones de defensa. Para obtener más información, consulte Objetos de aplicaciones y entidades de servicio en Microsoft Entra ID.
Sincronización de identidades. Se puede usar Microsoft Entra Connect Sync o Microsoft Entra Connect Cloud Sync para sincronizar objetos de usuario, grupo y equipo (dispositivo) en Active Directory Domain Services con Microsoft Entra ID. Esta configuración se conoce como identidad híbrida.
Permisos
Microsoft Entra ID usa un enfoque diferente para los permisos que las instancias tradicionales en el entorno local de Active Directory Domain Services (AD DS).
Roles de Microsoft Entra. Se pueden asignar permisos en Microsoft Entra ID mediante roles de directorio de Microsoft Entra. Estos roles conceden acceso a determinadas API y ámbitos. El administrador global es el rol con privilegios más alto de Microsoft Entra ID. Hay muchos roles integrados para varias funciones de administración limitadas. Debe delegar permisos pormenorizados para reducir el área expuesta a ataques.
Importante
Microsoft recomienda usar roles con el menor número de permisos. Esto ayuda a mejorar la seguridad de su organización. El administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Asignación de permisos elevados. Para mejorar la seguridad y reducir los privilegios innecesarios, Microsoft Entra ID proporciona dos principios para la asignación de permisos:
Just-In-Time (JIT): Microsoft Entra ID admite el acceso Just-In-Time. La característica JIT permite asignar permisos temporalmente cuando es necesario. El acceso JIT minimiza la exposición de privilegios innecesarios y reduce la superficie expuesta a ataques.
Just-Enough-Admin (JEA): Microsoft Entra ID sigue el principio Just-Enough-Admin. Los roles integrados permiten delegar tareas de administrador sin conceder permisos excesivos. Las unidades administrativas pueden restringir aún más el ámbito de permisos para los roles de Microsoft Entra.
Autenticación
A diferencia de Active Directory, los usuarios de Microsoft Entra ID no se limitan a la autenticación de tarjetas inteligentes o contraseñas. Los usuarios de Microsoft Entra pueden usar contraseñas y muchos otros métodos de comprobación y autenticación. Microsoft Entra ID usa protocolos de autenticación modernos, protege frente a los ataques basados en tokens y detecta comportamientos sospechosos de inicio de sesión.
Métodos de autenticación. Los métodos de autenticación de Microsoft Entra incluyen compatibilidad nativa con certificados de tarjeta inteligente y credenciales derivadas, Microsoft Authenticator sin contraseña, claves de seguridad FIDO2 (clave de paso de hardware) y credenciales de dispositivo, como Windows Hello para empresas. Microsoft Entra ID ofrece métodos sin contraseña y resistentes a la suplantación de identidad en apoyo a las funcionalidades Memorándum 22-09 y Estrategia de confianza cero DODCIO.
Protocolos de autenticación. Microsoft Entra ID no usa Kerberos, NTLM ni LDAP. Usa protocolos abiertos modernos diseñados para su uso a través de Internet, como OpenID Connect, OAuth 2.0, SAML 2.0 y SCIM. Aunque Entra no usa Kerberos para su propia autenticación, puede emitir vales kerberos para identidades híbridas para admitir Azure Files y habilitar el inicio de sesión sin contraseña en recursos locales. El proxy de aplicación Entra te permite configurar el inicio de sesión único de Entra para aplicaciones locales que solo admiten protocolos heredados, como Kerberos y la autenticación basada en encabezados.
Protección contra ataques de token. AD DS tradicional es susceptible a ataques basados en Kerberos. AD DS usa grupos de seguridad con identificadores de seguridad (SID) conocidos, como S-1-5-domain-512
para administradores de dominio. Cuando un administrador de dominio hace un inicio de sesión local o de red, el controlador de dominio emite un vale Kerberos que contiene el SID de administradores de dominio y lo almacena en una caché de credenciales. Los actores de amenazas suelen aprovechar este mecanismo mediante técnicas de movimiento lateral y elevación de privilegios, como Pass-the-Hash y Pass-the-Ticket.
Sin embargo, Microsoft Entra ID no es susceptible a ataques de Kerberos. El equivalente en la nube son técnicas de tipo "adversario en el medio (AiTM)", como el secuestro de sesión y la reproducción de sesión, para robar tokens de sesión (token de inicio de sesión). Las aplicaciones cliente, el administrador de cuentas web (WAM) o el explorador web (cookies de sesión) del usuario almacenan estos tokens de sesión. Para protegerse de ataques de robo de tokens, Microsoft Entra ID registra el uso de tokens para evitar la reproducción y puede requerir que los tokens estén enlazados criptográficamente al dispositivo del usuario.
Para más información sobre el robo de tokens, consulta el cuaderno de estrategias de robo de tokens.
Detección de un comportamiento sospechoso de inicio de sesión. La protección de Microsoft Entra ID usa una combinación de detecciones en tiempo real y sin conexión para identificar usuarios de riesgo y eventos de inicio de sesión. Puedes usar condiciones de riesgo en Acceso condicional de Entra para controlar o bloquear dinámicamente el acceso a las aplicaciones. La evaluación continua de acceso (CAE) permite a las aplicaciones cliente detectar cambios en la sesión de un usuario para aplicar directivas de acceso casi en tiempo real.
APLICACIONES
Microsoft Entra ID no es solo para aplicaciones y servicios de Microsoft. Microsoft Entra ID puede ser el proveedor de identidades de cualquier aplicación, el proveedor de servicios en la nube, el proveedor de SaaS o el sistema de identidad que use los mismos protocolos. Admite fácilmente la interoperabilidad con fuerzas de defensa y contratistas aliados.
Punto de aplicación de directivas (PEP) y punto de decisión de directivas (PDP). Microsoft Entra ID es un punto de aplicación de directivas (PEP) común y un punto de decisión de directivas (PDP) en arquitecturas de confianza cero. Aplica directivas de seguridad y controles de acceso para las aplicaciones.
Microsoft Entra ID Governance. Microsoft Entra ID Governance es una característica de Microsoft Entra. Ayuda a administrar el acceso de los usuarios y a automatizar el ciclo de vida de acceso. Garantiza que los usuarios tengan acceso adecuado y oportuno a las aplicaciones y los recursos.
Acceso condicional. El acceso condicional permite usar atributos para la autorización específica para las aplicaciones. Puede definir directivas de acceso basadas en varios factores. Estos factores incluyen atributos de usuario, seguridad de las credenciales, atributos de aplicación, riesgo de usuario e inicio de sesión, estado del dispositivo y ubicación. Para más información, consulte Confianza cero.
Dispositivos
Microsoft Entra ID proporciona acceso seguro y sin problemas a los servicios de Microsoft mediante la administración de dispositivos. Es posible administrar y unir dispositivos Windows a Microsoft Entra de forma similar a la que lo haría con Active Directory Domain Services.
Dispositivos registrados. Los dispositivos se registran con el inquilino de Entra cuando los usuarios inician sesión en las aplicaciones mediante su cuenta de Entra. El registro de dispositivos de Entra no es el mismo que la inscripción de dispositivos o la unión a Entra. Los usuarios inician sesión en dispositivos registrados con una cuenta local de Microsoft. Los dispositivos registrados suelen incluir “Bring Your Own Devices (BYOD)” como el PC doméstico o el teléfono personal de un usuario.
Dispositivos unidos a Microsoft Entra Cuando los usuarios inician sesión en un dispositivo unido a Microsoft Entra, se desbloquea una clave enlazada al dispositivo mediante un PIN o un gesto. Después de la validación, Microsoft Entra ID emite un token de actualización principal (PRT) al dispositivo. Este PRT facilita el acceso de inicio de sesión único a servicios protegidos de Microsoft Entra ID, como Microsoft Teams.
Los dispositivos unidos a Microsoft Entra inscritos en Microsoft Endpoint Manager (Intune) pueden usar el cumplimiento de dispositivos como control de concesión en el acceso condicional.
Dispositivos unidos a Microsoft Entra híbrido. La unión a Microsoft Entra híbrido permite que los dispositivos Windows se conecten simultáneamente a Active Directory Domain Services y a Microsoft Entra ID. Estos dispositivos autentican primero a los usuarios en Active Directory y, luego, recuperan un token de actualización principal de Microsoft Entra ID.
Aplicaciones y dispositivos administrados por Intune. Microsoft Intune facilita el registro e inscripción de dispositivos para la administración. Intune te permite definir estados compatibles y seguros para los dispositivos de usuario, proteger los dispositivos con Microsoft Defender para punto de conexión y requerir que los usuarios usen un dispositivo conforme para acceder a los recursos de empresa.
Microsoft 365 y Azure
Microsoft Entra ID es la plataforma de identidad de Microsoft. Atiende los servicios de Microsoft 365 y Azure. Las suscripciones de Microsoft 365 crean y usan un inquilino de Microsoft Entra. Los servicios de Azure también dependen de un inquilino de Microsoft Entra.
Identidad de Microsoft 365. Microsoft Entra ID es integral para todas las operaciones de identidad de Microsoft 365. Controla la asignación de permisos, colaboración, uso compartido e inicio de sesión del usuario. Admite la administración de identidades para los servicios de Office 365, Intune y Microsoft Defender XDR. Los usuarios usan Microsoft Entra cada vez que inician sesión en una aplicación de Office, como Word o Outlook, comparten un documento en OneDrive, invitan a un usuario externo a un sitio de SharePoint o crean un nuevo equipo en Microsoft Teams.
Identidad de Azure. En Azure, cada recurso está asociado a una suscripción de Azure y las suscripciones están vinculadas a un único inquilino de Microsoft Entra. Para delegar permisos para administrar recursos de Azure, asigne roles de Azure a usuarios, grupos de seguridad o entidades de servicio.
Las identidades administradas desempeñan un papel fundamental para permitir que los recursos de Azure interactúen de forma segura con otros recursos. Estas identidades administradas son entidades de seguridad del inquilino de Microsoft Entra. Concédales permisos con privilegios mínimos. Es posible autorizar una identidad administrada para acceder a las API protegidas por Microsoft Entra ID, como Microsoft Graph. Cuando un recurso de Azure usa una identidad administrada, esta es un objeto de entidad de servicio. El objeto de entidad de servicio reside en el mismo inquilino de Microsoft Entra que la suscripción asociada al recurso.
Microsoft Graph
Los portales web de Microsoft para Microsoft Entra, Azure y Microsoft 365 proporcionan una interfaz gráfica para Azure AD. Es posible automatizar el acceso mediante programación para leer y actualizar los objetos de Microsoft Entra y las directivas de configuración mediante las llamadas de API de RESTful de Microsoft Graph. Microsoft Graph admite clientes en varios lenguajes. Entre los lenguajes admitidos se incluyen PowerShell, Go, Python, Java, .NET, Ruby, etc. Explore los repositorios de Microsoft Graph en GitHub.
Nubes de Azure Government
Hay dos versiones independientes de las organizaciones de defensa de servicios de Microsoft Entra que pueden usarse en redes públicas (conectadas a Internet): Microsoft Entra Global y Microsoft Entra Government.
Microsoft Entra Global. Microsoft Entra Global es para Azure y Microsoft 365 comercial, Microsoft 365 GCC Moderate. El servicio de inicio de sesión de Microsoft Entra Global es login.microsoftonline.com.
Microsoft Entra Government. Microsoft Entra Government es Azure Government (IL4), DoD (IL5), Microsoft 365 GCC High, Microsoft 365 DoD (IL5). El servicio de inicio de sesión de Microsoft Entra Government es login.microsoftonline.us.
Direcciones URL de servicio. Los distintos servicios de Microsoft Entra usan direcciones URL de inicio de sesión diferentes. Como resultado, debe usar portales web independientes. También debe proporcionar conmutadores de entorno para conectarse con clientes de Microsoft Graph y módulos de PowerShell para administrar Azure y Microsoft 365 (consulte la tabla 1).
Tabla 1. Puntos de conexión de Azure Government.
Punto de conexión | Global | GCC High | Nivel de impacto 5 de DoD (IL5) |
---|---|---|---|
Centro de administración de Microsoft Entra | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
Azure portal | portal.azure.com | portal.azure.us | portal.azure.us |
Centro de administración de Defender | security.microsoft.com | security.microsoft.us | security.apps.mil |
PowerShell de MS Graph | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
Módulo Az de PowerShell | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Azure CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |