Guía de referencia de operaciones de Gobierno de Microsoft Entra ID
En esta sección de la guía de referencia de operaciones de Microsoft Entra, se describen las comprobaciones y las acciones que debe realizar para evaluar y confirmar el acceso concedido a las identidades sin privilegios y con privilegios, así como auditar y controlar los cambios en el entorno.
Nota
Estas recomendaciones están actualizadas hasta la fecha de publicación, pero pueden cambiar con el tiempo. Las organizaciones deben evaluar continuamente sus prácticas de gobernanza a medida que los productos y servicios de Microsoft evolucionen con el tiempo.
Procesos operativos clave
Asignación de propietarios a las tareas clave
La administración de Microsoft Entra ID requiere la ejecución continua de tareas y procesos operativos clave que pueden no formar parte de un proyecto de lanzamiento. Aun así, es importante que configure estas tareas con el fin de optimizar su entorno. Entre las tareas clave y sus propietarios recomendados se incluyen:
| Tarea | Propietario |
|---|---|
| Archivo de registros de auditoría de Microsoft Entra en el sistema SIEM | Equipo de operaciones de InfoSec |
| Detección de aplicaciones que se administran fuera del cumplimiento | Equipo de operaciones IAM |
| Revisión periódica del acceso a las aplicaciones | Equipo de arquitectura de InfoSec |
| Revisión periódica del acceso a identidades externas | Equipo de arquitectura de InfoSec |
| Revisión periódica de quién tiene roles con privilegios | Equipo de arquitectura de InfoSec |
| Definición de puertas de seguridad para activar los roles con privilegios | Equipo de arquitectura de InfoSec |
| Revisión periódica de las concesiones de consentimiento | Equipo de arquitectura de InfoSec |
| Diseño de catálogos y paquetes de acceso para aplicaciones y recursos basados en empleados de la organización | Propietarios de la aplicación |
| Definición de directivas de seguridad para asignar usuarios a paquetes de acceso | Equipo de InfoSec + propietarios de aplicaciones |
| Si las directivas incluyen flujos de trabajo de aprobación, revisión periódica de las aprobaciones de flujo de trabajo | Propietarios de la aplicación |
| Revisión de excepciones en las directivas de seguridad, como las directivas de acceso condicional, mediante las revisiones de acceso | Equipo de operaciones de InfoSec |
A medida que revisa la lista, es posible que tenga que asignar un propietario a las tareas que no tienen uno o ajustar la propiedad de aquellas tareas cuyos propietarios no se ajustan a las recomendaciones anteriores.
Lectura recomendada para propietarios
Pruebas de los cambios de configuración
Hay cambios que requieren consideraciones especiales a la hora de realizar pruebas, desde técnicas sencillas como la implementación de un subconjunto de usuarios de destino para implementar un cambio en un inquilino de prueba paralelo. Si todavía no ha implementado una estrategia de pruebas, debe definir un enfoque de prueba basado en las directrices de la tabla siguiente:
| Escenario | Recomendación |
|---|---|
| Cambio del tipo de autenticación de federado a PHS/PTA o viceversa | Use el lanzamiento preconfigurado para probar la repercusión del cambio del tipo de autenticación. |
| Implementación de una nueva directiva de acceso condicional | Cree una nueva directiva de acceso condicional y asígnela a usuarios de prueba. |
| Incorporación de un entorno de prueba de una aplicación | Agregue la aplicación a un entorno de producción, ocúltela en el panel Mis aplicaciones y asígnela a usuarios de prueba durante la fase de control de calidad. |
| Cambio de las reglas de sincronización | Realiza los cambios en Microsoft Entra Connect de prueba con la misma configuración que está actualmente en producción, también conocido como modo de ensayo, y analice los resultados de exportación. Si está satisfecho, pase a producción cuando esté listo. |
| Cambio de personalización de marca | Pruebe en un inquilino de prueba independiente. |
| Implementación de una nueva característica | Si la característica admite la implementación en un conjunto de usuarios de destino, identifique los usuarios piloto y la compilación. Por ejemplo, el autoservicio de restablecimiento de contraseña y la autenticación multifactor pueden dirigirse a usuarios o grupos específicos. |
| Traslado de una aplicación de un proveedor de identidades (IdP) local, por ejemplo, Active Directory, a Microsoft Entra ID | Si la aplicación admite varias configuraciones de IdP, por ejemplo, Salesforce, configure y pruebe Microsoft Entra ID durante una ventana de cambio (en caso de que la aplicación introduzca una página). Si la aplicación no admite varios IdP, programe las pruebas durante una ventana de control de cambios y un tiempo de inactividad del programa. |
| Actualización de reglas de grupos de pertenencia dinámica | Cree un grupo dinámico paralelo con la nueva regla. Compárelo con el resultado calculado, por ejemplo, ejecute PowerShell con la misma condición. Si la prueba es satisfactoria, intercambie los lugares donde se usó el grupo anterior (si es factible). |
| Migración de licencias de productos | Consulte Cambio de la licencia de un solo usuario de un grupo con licencia en Microsoft Entra ID. |
| Cambio de reglas de AD FS como autorización, emisión, MFA | Use las notificaciones de grupo para dirigirse a un subconjunto de usuarios. |
| Cambio de la experiencia de autenticación de AD FS o cambios similares en toda la granja de servidores | Cree una granja de servidores paralela con el mismo nombre de host, implemente cambios de configuración y realice pruebas en clientes mediante el archivo HOSTS, las reglas de enrutamiento de NLB o un enrutamiento similar. Si la plataforma de destino no admite archivos HOSTS (por ejemplo, dispositivos móviles), controle el cambio. |
Revisiones de acceso
Revisiones de acceso a las aplicaciones
Con el tiempo, los usuarios pueden acumular acceso a recursos a medida que van rotando entre distintos equipos y puestos. Es importante que los propietarios de recursos revisen periódicamente el acceso a las aplicaciones. Este proceso de revisión puede implicar la eliminación de privilegios que ya no son necesarios durante el ciclo de vida de los usuarios. Las revisiones de acceso de Microsoft Entra permiten a las organizaciones administrar de forma eficaz las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los propietarios de los recursos deben revisar el acceso de los usuarios de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuo. Idealmente, debería considerar el uso de revisiones de acceso de Microsoft Entra para esta tarea.
Nota
Cada usuario que interactúa con las revisiones de acceso debe tener una licencia de pago de Microsoft Entra ID P2.
Revisiones de acceso a identidades externas
Es fundamental mantener el acceso a las identidades externas restringido solo a los recursos necesarios, durante el tiempo necesario. Establezca un proceso de revisión de acceso automatizado periódico para todas las identidades externas y el acceso a las aplicaciones mediante revisiones de acceso de Microsoft Entra. Si ya existe un proceso local, considere la posibilidad de usar revisiones de acceso de Microsoft Entra. Una vez que una aplicación se retire o se deje de usar, quite todas las identidades externas que tuvieran acceso a la aplicación.
Nota
Cada usuario que interactúa con las revisiones de acceso debe tener una licencia de pago de Microsoft Entra ID P2.
Administración de cuentas con privilegios
Uso de cuentas con privilegios
Los hackers a menudo tienen como objetivo las cuentas de administrador y otros elementos con acceso con privilegios para obtener acceso rápido a datos confidenciales y a sistemas. Dado que con el tiempo tienden a acumularse los usuarios con roles con privilegios, es importante revisar y administrar el acceso de administrador de forma periódica y proporcionar acceso con privilegios cuando sea necesario a Microsoft Entra ID y los recursos de Azure.
Si no hay ningún proceso en su organización para administrar cuentas con privilegios o si actualmente tiene administradores que usan sus cuentas de usuario habituales para administrar servicios y recursos, debe empezar a usar de inmediato cuentas independientes. Por ejemplo, una para las actividades diarias normales y otra para el acceso con privilegios y configurada con MFA. Mejor aún, si su organización tiene una suscripción Microsoft Entra ID P2, debe implementar inmediatamente Microsoft Entra Privileged Identity Management (PIM). En el mismo token, también debe revisar esas cuentas con privilegios y asignar roles con menos privilegios, si procede.
Otro aspecto de la administración de cuentas con privilegios que se debe implementar es la definición de revisiones de acceso para esas cuentas, ya sea de forma manual o automatizada a través de PIM.
Lectura recomendada para la administración de cuentas con privilegios
Cuentas de acceso de emergencia
Microsoft recomienda que las organizaciones tengan dos cuentas de acceso de emergencia de solo nube con el rol de administrador global asignado permanentemente. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas se limitan a escenarios de emergencia o de "máxima emergencia" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de cuentas de acceso de emergencia.
Acceso con privilegios a EA Portal de Azure
El portal de Contrato Enterprise de Azure (Azure EA) le permite crear suscripciones de Azure en el marco de un Contrato Enterprise, que es un rol importante dentro de la empresa. Es habitual arrancar la creación de este portal antes de incluso poner en marcha Microsoft Entra ID. En este caso, es necesario utilizar las identidades de Microsoft Entra para bloquearlo, quitar cuentas personales del portal, asegurarse de que está implantada la delegación habitual y mitigar el riesgo de bloqueo.
En aras de la claridad, si el nivel de autorización de EA Portal está configurado actualmente en "modo mixto", debe eliminar cualquier cuenta de Microsoft de todos los accesos con privilegios de EA Portal y configurar EA Portal para usar solo cuentas de Microsoft Entra. Si los roles delegados de EA Portal no están configurados, también debe buscar e implementar roles delegados para departamentos y cuentas.
Lectura recomendada para el acceso con privilegios
Administración de derechos
La administración de derechos (EM) permite a los propietarios de aplicaciones agrupar recursos y asignarlos a roles específicos de la organización (tanto internos como externos). EM posibilita la delegación y el registro de autoservicio a los propietarios de empresa, a la vez que mantiene las directivas de gobernanza para conceder acceso, establecer duraciones de acceso y permitir flujos de trabajo de aprobación.
Nota
La administración de derechos de Microsoft Entra requiere licencias Microsoft Entra ID P2.
Resumen
Una gobernanza de identidades segura está conformada por ocho aspectos. Esta lista le ayudará a identificar las acciones que debe realizar para evaluar y confirmar el acceso concedido a las identidades sin privilegios y con privilegios, así como auditar y controlar los cambios en el entorno.
- Asignar propietarios a las tareas principales.
- Implementar una estrategia de pruebas.
- Usar las revisiones de acceso de identidad de Microsoft Entra para administrar de forma eficiente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles.
- Establecer un proceso de revisión de acceso automatizado periódico para todos los tipos de identidades externas y acceso a las aplicaciones.
- Establecer un proceso de revisión de acceso para revisar y administrar el acceso de administrador de forma periódica y proporcionar acceso con privilegios cuando es necesario a Microsoft Entra ID y los recursos de Azure.
- Aprovisionar cuentas de emergencia para que estén preparadas para administrar Microsoft Entra ID ante interrupciones inesperadas.
- Bloquear el acceso al portal de Azure EA.
- Implementar la administración de derechos para proporcionar acceso controlado a una colección de recursos.
Pasos siguientes
Comience con las comprobaciones y las acciones operativas de Microsoft Entra.