Aspectos básicos de Microsoft Entra

Microsoft Entra ID proporciona un límite de identidad y acceso para los recursos de Azure y las aplicaciones de confianza. La mayoría de los requisitos de separación de entornos se pueden cumplir con la administración delegada en un único inquilino de Microsoft Entra. Esta configuración reduce la sobrecarga de administración de los sistemas. Sin embargo, algunos casos específicos, por ejemplo, el aislamiento completo de recursos e identidades, requieren varios inquilinos.

Debe determinar la arquitectura de separación de entornos en función de sus necesidades. Entre las áreas que se deben tener en cuenta, se incluyen:

• Separación de recursos. Si un recurso puede cambiar objetos de directorio (como los objetos de usuario) y el cambio puede interferir con otros recursos, es posible que se deba aislar el recurso en una arquitectura multiinquilino.

• Separación de configuraciones. Las configuraciones de todo el inquilino afectan a todos los recursos. El efecto de algunas configuraciones para todo el inquilino puede tener como ámbito directivas de acceso condicional y otros métodos. Si necesita configuraciones de inquilino diferentes cuyo ámbito no se puede definir con directivas de acceso condicional, es posible que necesite una arquitectura multiinquilino.

• Separación administrativa. Puede delegar la administración de grupos de administración, suscripciones, grupos de recursos, recursos y algunas directivas dentro de un solo inquilino. Un administrador global siempre tiene acceso a todo lo que se encuentra dentro del inquilino. Si necesita asegurarse de que el entorno no comparta administradores con otro entorno, necesita una arquitectura multiinquilino.

Para mantener la seguridad, debe seguir los procedimientos recomendados para el aprovisionamiento de identidades, la administración de la autenticación, la gobernanza de identidades, la administración del ciclo de vida y las operaciones de forma coherente en todos los inquilinos.

Terminología

Esta lista de términos se asocia normalmente con Microsoft Entra ID y es pertinente para este contenido:

Inquilino de Microsoft Entra. Es una instancia dedicada y de confianza de Microsoft Entra ID que se crea automáticamente cuando la organización se registra en una suscripción de un servicio en la nube de Microsoft. Algunos ejemplos de suscripciones son Microsoft Azure, Microsoft Intune y Microsoft 365. Un inquilino de Microsoft Entra suele representar una única organización o un límite de seguridad. El inquilino de Microsoft Entra incluye los usuarios, grupos, dispositivos y aplicaciones que se usan para la Administración de identidad y acceso (IAM) en los recursos del inquilino.

Entorno. En el contexto de este contenido, un entorno es una colección de suscripciones de Azure, recursos de Azure y aplicaciones que están asociados a uno o varios inquilinos de Microsoft Entra. El inquilino de Microsoft Entra proporciona el plano de control de identidad para gobernar el acceso a estos recursos.

Entorno de producción. En el contexto de este contenido, un entorno de producción es el entorno activo con la infraestructura y los servicios con los que los usuarios finales interactúan directamente. Por ejemplo, un entorno corporativo u orientado al cliente.

Entorno que no es de producción. En el contexto de este contenido, un entorno que no es de producción hace referencia a un entorno utilizado para:

• Desarrollo

• Prueba

• Propósitos de laboratorio

Los entornos que no son de producción se conocen normalmente como entornos de espacio aislado.

Identidad. Una identidad es un objeto de directorio que se puede autenticar y autorizar para acceder a un recurso. Existen objetos de identidad para identidades humanas e identidades no humanas. Entre las entidades no humanas, se incluyen:

• Objetos de la aplicación

• Identidades de carga de trabajo (anteriormente descritas como entidades de servicio)

• Identidades administradas

• Dispositivos

Las identidades humanas son objetos de usuario que generalmente representan las personas de una organización. Estas identidades se crean y administran directamente en Microsoft Entra ID o se sincronizan desde una instancia de Active Directory local a Microsoft Entra ID para una organización determinada. Estos tipos de identidades se conocen como identidades locales. También puede haber objetos de usuario invitados desde una organización asociada o un proveedor de identidades sociales mediante la colaboración B2B de Microsoft Entra. En este contenido, nos referimos a estos tipos de identidades como identidades externas.

Las identidades no humanas incluyen cualquier identidad que no esté asociada a un ser humano. Este tipo de identidad es un objeto, como una aplicación que requiere una identidad para su ejecución. En este contenido, nos referimos a este tipo de identidad como una identidad de carga de trabajo. Se usan varios términos para describir este tipo de identidad, incluidos objetos de aplicación y entidades de servicio.

• Objeto de aplicación. Una aplicación de Microsoft Entra se define mediante su objeto de aplicación. El objeto reside en el inquilino de Microsoft Entra en el que se registró la aplicación. El inquilino se conoce como el inquilino "principal" de la aplicación.

  • Las aplicaciones de inquilino único se crean para autorizar solo las identidades procedentes del inquilino "principal".

  • Las aplicaciones multiinquilino permiten autenticar identidades de cualquier inquilino de Microsoft Entra.

• Objeto de entidad de servicio. Aunque hay excepciones, los objetos de aplicación se pueden considerar como la definición de una aplicación. Los objetos de entidad de servicio se pueden considerar como una instancia de una aplicación. Las entidades de servicio suelen hacer referencia a un objeto de aplicación. Asimismo, varias entidades de servicio de diversos directorios hacen referencia a un mismo objeto de aplicación.

Los objetos de entidad de servicio también son identidades de directorio que pueden realizar tareas independientemente de la intervención humana. La entidad de seguridad define la directiva de acceso y los permisos de un usuario o una aplicación del inquilino de Microsoft Entra. Este mecanismo habilita características básicas como la autenticación del usuario o de la aplicación durante el inicio de sesión y la autorización durante el acceso a los recursos.

Microsoft Entra ID permite que los objetos de entidad de servicio y aplicación se autentiquen con una contraseña (también conocida como secreto de aplicación) o con un certificado. Se desaconseja el uso de contraseñas para las entidades de servicio y se recomienda usar un certificado siempre que sea posible.

• Identidades administradas para recursos de Azure. Las identidades administradas son entidades de servicio especiales de Microsoft Entra ID. Este tipo de entidad de servicio se puede usar para autenticarse en los servicios que admiten la autenticación de Microsoft Entra sin necesidad de almacenar credenciales en el código ni controlar la administración de secretos. Para obtener más información, consulte ¿Qué son las identidades administradas para recursos de Azure?

• Identidad de dispositivo: una identidad de dispositivo comprueba que el dispositivo en el flujo de autenticación haya experimentado un proceso para atestiguar que el dispositivo sea legítimo y cumpla los requisitos técnicos. Una vez que el dispositivo haya completado correctamente este proceso, se puede usar la identidad asociada para controlar aún más el acceso a los recursos de una organización. Con Microsoft Entra ID, los dispositivos se pueden autenticar con un certificado.

Algunos escenarios heredados requerían una identidad humana para su uso en escenarios no humanos. Por ejemplo, cuando las cuentas de servicio que se usan en las aplicaciones locales (por ejemplo, scripts o trabajos por lotes) requieren acceso a Microsoft Entra ID. No se recomienda utilizar este patrón y se recomienda usar certificados. Sin embargo, si usa una identidad humana con contraseña para la autenticación, proteja las cuentas de Microsoft Entra con autenticación multifactor de Microsoft Entra.

Identidad híbrida. Una identidad híbrida es una identidad que abarca entornos locales y en la nube. Esto proporciona la ventaja de poder usar la misma identidad para acceder a los recursos locales y en la nube. El origen de autoridad en este escenario suele ser un directorio local y el ciclo de vida de la identidad en cuanto al aprovisionamiento, el desaprovisionamiento y la asignación de recursos también se controla desde el entorno local. Para más información, consulte Documentación de identidad híbrida.

Objetos de directorio. Un inquilino de Microsoft Entra contiene los siguientes objetos comunes:

• Los objetos de usuario representan identidades humanas e identidades no humanas para los servicios que actualmente no admiten entidades de servicio. Los objetos de usuario contienen atributos que tienen la información necesaria sobre el usuario, incluidos los detalles personales, las pertenencias a grupos, los dispositivos y los roles asignados al usuario.

• Los objetos de dispositivo representan dispositivos asociados a un inquilino de Microsoft Entra. Los objetos de dispositivo contienen atributos que tienen la información necesaria sobre el dispositivo. Esto incluye el sistema operativo, el usuario asociado, el estado de cumplimiento y la naturaleza de la asociación con el inquilino de Microsoft Entra. Esta asociación puede adoptar varias formas en función de la naturaleza de la interacción y el nivel de confianza del dispositivo.

  • Unido a un dominio híbrido. Dispositivos que son propiedad de la organización y se han unido tanto a la instancia de Active Directory local como a Microsoft Entra ID. Normalmente, un dispositivo comprado y administrado por una organización y administrado mediante System Center Configuration Manager.

  • Unión a un dominio de Microsoft Entra. Dispositivos que son propiedad de la organización y se han unido al inquilino de Microsoft Entra de la organización. Normalmente, un dispositivo comprado y administrado por una organización, que se ha unido a Microsoft Entra ID y se administra con un servicio como Microsoft Intune.

  • Microsoft Entra registrado. Dispositivos que no son propiedad de la organización, por ejemplo, un dispositivo personal, y que se usan para acceder a los recursos de la empresa. Las organizaciones pueden requerir que el dispositivo se inscriba mediante la Administración de dispositivos (MDM) o que se aplique el cumplimiento mediante la Administración de aplicaciones móviles (MAM) sin inscripción para acceder a los recursos. Un servicio como Microsoft Intune puede proporcionar esta funcionalidad.

• Los objetos de grupo contienen objetos con fines de asignación de acceso a los recursos, la aplicación de controles o la configuración. Los objetos de grupo contienen atributos que tienen la información necesaria sobre el grupo, incluidos el nombre, la descripción, los miembros del grupo, los propietarios del grupo y el tipo de grupo. Los grupos de Microsoft Entra ID toman varias formas en función de los requisitos de una organización y se pueden administrar en Microsoft Entra ID o se pueden sincronizar desde la instancia local de Active Directory Domain Services (AD DS).

  • Grupos asignados. En los grupos asignados, los usuarios se agregan o quitan del grupo manualmente, se sincronizan desde AD DS local o se actualizan como parte de un flujo de trabajo automatizado con scripts. Un grupo asignado se puede sincronizar desde AD DS local o puede estar hospedado en Microsoft Entra ID.

  • Grupos de pertenencia dinámica. En los grupos dinámicos, los usuarios se asignan automáticamente al grupo en función de los atributos definidos. Esto permite que la pertenencia a grupos se actualice dinámicamente en función de los datos contenidos en los objetos de usuario. Un grupo dinámico solo se puede estar hospedado en Microsoft Entra ID.

Cuenta de Microsoft (MSA). Puede crear suscripciones e inquilinos de Azure con cuentas de Microsoft (MSA). Una cuenta de Microsoft es una cuenta personal (en lugar de una cuenta de una organización) y se suele usar para escenarios de prueba y por parte de los desarrolladores. Cuando se usa, la cuenta personal siempre se convierte en un invitado de un inquilino de Microsoft Entra.

Áreas funcionales de Microsoft Entra

Estas son las áreas funcionales proporcionadas por Microsoft Entra ID relativas a los entornos aislados. Para obtener más información sobre las funcionalidades de Microsoft Entra ID, consulte ¿Qué es Microsoft Entra ID?.

Autenticación

Autenticación. Microsoft Entra ID proporciona compatibilidad con protocolos de autenticación compatibles con estándares abiertos, como Open ID Connect, OAuth y SAML. Microsoft Entra ID también proporciona funcionalidades para permitir a las organizaciones federar los proveedores de identidades locales existentes, como los Servicios de federación de Active Directory (AD FS), para autenticar el acceso a las aplicaciones integradas en Microsoft Entra.

Microsoft Entra ID proporciona opciones de autenticación sólida líderes del sector que las organizaciones pueden usar para proteger el acceso a los recursos. La autenticación multifactor de Microsoft Entra, la autenticación de dispositivos y las funcionalidades sin contraseña permiten a las organizaciones implementar opciones de autenticación sólidas que se adapten a los requisitos de sus empleados.

Inicio de sesión único (SSO). Con el inicio de sesión único, los usuarios inician sesión una vez con una cuenta para acceder a todos los recursos que confían en el directorio, como los dispositivos unidos a un dominio, los recursos de la empresa, las aplicaciones de software como servicio (SaaS) y todas las aplicaciones integradas en Microsoft Entra. Para obtener más información, consulte ¿Qué es el inicio de sesión único en Microsoft Entra ID?.

Autorización

Asignación de acceso a los recursos. Microsoft Entra ID proporciona y protege el acceso a los recursos. En Microsoft Entra ID, la asignación de acceso a un recurso se puede realizar de dos maneras:

• Asignación de usuario: el usuario tiene asignado directamente el acceso al recurso, y el rol o los permisos adecuados se asignan al usuario.

• Asignación de grupo: se asigna al recurso un grupo que contiene uno o varios usuarios, y el rol o los permisos adecuados se asignan al grupo.

Directivas de acceso a las aplicaciones. Microsoft Entra ID proporciona funcionalidades para controlar y proteger aún más el acceso a las aplicaciones de la organización.

Acceso condicional. Las directivas de acceso condicional de Microsoft Entra son herramientas para incorporar el contexto de usuario y de dispositivo al flujo de autorización al acceder a los recursos de Microsoft Entra. Las organizaciones deben explorar el uso de las directivas de acceso condicional para permitir, denegar o mejorar la autenticación en función del usuario, el riesgo, el dispositivo y el contexto de red. Para obtener más información, consulte Documentación sobre el acceso condicional de Microsoft Entra.

Protección de Microsoft Entra ID. Esta característica permite a las organizaciones automatizar la detección y corrección de riesgos basados en identidades, investigar los riesgos y exportar los datos de detección de riesgos a utilidades de terceros para analizarlos más a fondo. Para obtener más información, consulte información general sobre la protección de Microsoft Entra ID.

Administración

Administración de identidades. Microsoft Entra ID proporciona herramientas para administrar el ciclo de vida de las identidades de usuario, grupo y dispositivo. Microsoft Entra Connect permite a las organizaciones ampliar la solución de administración de identidades local actual a la nube. Microsoft Entra Connect administra el aprovisionamiento, el desaprovisionamiento y las actualizaciones de estas identidades en Microsoft Entra ID.

Microsoft Entra ID también proporciona un portal y Microsoft Graph API para permitir que las organizaciones administren las identidades o integren la administración de identidades de Microsoft Entra en los flujos de trabajo o la automatización existentes. Para más información sobre Microsoft Graph, consulte Uso de Microsoft Graph API.

Administración de dispositivos. Microsoft Entra ID se usa para administrar el ciclo de vida y la integración con las infraestructuras de administración de dispositivos locales y en la nube. También se usa para definir directivas para controlar el acceso desde los dispositivos locales o en la nube a los datos de la organización. Microsoft Entra ID proporciona los servicios del ciclo de vida de los dispositivos del directorio y el aprovisionamiento de credenciales para habilitar la autenticación. También administra un atributo clave de un dispositivo en el sistema, que es el nivel de confianza. Este detalle es importante al diseñar una directiva de acceso a los recursos. Para obtener más información, consulte Documentación de Microsoft Entra Device Management .

Administración de configuración: Microsoft Entra ID tiene elementos del servicio que se deben configurar y administrar para asegurarse de que el servicio esté configurado según los requisitos de una organización. Estos elementos incluyen la administración de dominios, la configuración de SSO y la administración de aplicaciones, por nombrar algunos. Microsoft Entra ID proporciona un portal y Microsoft Graph API para permitir que las organizaciones administren estos elementos o los integren en los procesos existentes. Para más información sobre Microsoft Graph, consulte Uso de Microsoft Graph API.

Gobernanza

Ciclo de vida de las identidades. Microsoft Entra ID proporciona funcionalidades para crear, recuperar, eliminar y actualizar las identidades del directorio, incluidas las identidades externas. Microsoft Entra ID también proporciona servicios para automatizar el ciclo de vida de las identidades para asegurarse de que se mantenga en línea con las necesidades de la organización. Por ejemplo, mediante revisiones de acceso para quitar los usuarios externos que no han iniciado sesión durante un período especificado.

Informes y análisis. Un aspecto importante de la gobernanza de identidades es la visibilidad de las acciones del usuario. Microsoft Entra ID proporciona información sobre los patrones de uso y la seguridad del entorno. Esto incluye información detallada sobre:

• A qué acceden los usuarios

• Desde dónde acceden

• Qué dispositivos usan

• Qué aplicaciones usan para acceder

Microsoft Entra ID también proporciona información sobre las acciones que se realizan en Microsoft Entra ID e informa sobre los riesgos de seguridad. Para más información, consulte Informes y supervisión de Microsoft Entra.

Auditoría. La auditoría proporciona trazabilidad mediante los registros de todos los cambios realizados por características específicas de Microsoft Entra ID. Algunos ejemplos de actividades que se encuentran en los registros de auditoría incluyen los cambios realizados en cualquier recurso de Microsoft Entra ID, como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas. La creación de informes de Microsoft Entra ID permite auditar las actividades de inicio de sesión, los inicios de sesión de riesgo y los usuarios marcados como de riesgo. Para más información, consulte Informes de actividad de auditoría en Azure Portal.

Certificación de acceso. La certificación de acceso es el proceso para demostrar que un usuario tiene derecho a tener acceso a un recurso en un momento dado. Las revisiones de acceso de Microsoft Entra revisan continuamente las pertenencias de grupos o aplicaciones y proporcionan información para determinar si se necesita o se debe quitar el acceso. Esto permite a las organizaciones administrar eficazmente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles para asegurarse de que solo las personas adecuadas tengan acceso continuado. Para obtener más información, consulte ¿Qué son las revisiones de acceso de Microsoft Entra?

Acceso con privilegios. Microsoft Entra Privileged Identity Management (PIM) proporciona una activación de roles basada en tiempo y en aprobación para mitigar los riesgos de tener unos permisos de acceso excesivos, innecesarios o mal utilizados en los recursos de Azure. Se usa para proteger las cuentas con privilegios mediante la reducción del tiempo de exposición de los privilegios y el aumento de la visibilidad de su uso mediante alertas e informes.

Autoservicio de administración

Registro de credenciales. Microsoft Entra ID proporciona funcionalidades para administrar todos los aspectos del ciclo de vida de las identidades de usuario y funcionalidades de autoservicio para reducir la carga de trabajo del departamento de soporte técnico de una organización.

Administración de grupos. Microsoft Entra ID proporciona funcionalidades que permiten a los usuarios solicitar la pertenencia a un grupo para el acceso a los recursos y crear grupos que se pueden usar para proteger los recursos o la colaboración. La organización puede controlar estas funcionalidades para que se adopten los controles adecuados.

Administración de identidad y acceso (IAM) de consumidor

Azure AD B2C. Azure AD B2C es un servicio que se puede habilitar en una suscripción de Azure para proporcionar identidades a los consumidores para las aplicaciones orientadas al cliente de la organización. Se trata de una isla de identidades independiente y estos usuarios no aparecen en el inquilino de Microsoft Entra de la organización. Los administradores del inquilino asociado a la suscripción de Azure administran Azure AD B2C.

Pasos siguientes

• Introducción a la administración delegada y los entornos aislados

• Aspectos básicos de la administración de recursos de Azure

• Aislamiento de recursos en un único inquilino

• Aislamiento de recursos con varios inquilinos

• procedimientos recomendados