Compartir por


Protección de las identidades de la organización con el identificador de Microsoft Entra ID

Tratar de proteger a sus trabajadores en el mundo actual puede parecer desalentador, especialmente cuando tiene que responder rápidamente y proporcionar acceso a muchos servicios con rapidez. Este artículo ayuda a proporcionar una lista concisa de las acciones que se deben realizar, lo que le ayuda a identificar las características y asignarles prioridades en función del tipo de licencia que posee.

Microsoft Entra ID ofrece muchas características y proporciona muchos niveles de seguridad para las identidades, ya que determinar qué característica es relevante puede resultar abrumador en ocasiones. Este documento está diseñado para ayudar a las organizaciones a implementar servicios rápidamente, pensando principalmente en las identidades seguras.

En cada tabla se proporcionan recomendaciones de seguridad para proteger las identidades frente a ataques de seguridad frecuentes y, al mismo tiempo, se minimiza la fricción del usuario.

Esta guía ayudan a:

  • Configurar el acceso a aplicaciones de software como servicio (SaaS) y locales de forma segura y protegida
  • Tanto las identidades híbridas y en la nube
  • Usuarios que trabajan de forma remota o presencial

Requisitos previos

En esta guía se da por supuesto que en Microsoft Entra ID ya se han establecido las identidades híbridas o en la nube. Para obtener ayuda sobre cómo elegir su tipo de identidad, consulte el artículo, Elegir el método de autenticación (AuthN) adecuado para su solución de identidad híbrida Microsoft Entra.

Microsoft recomienda que las organizaciones tengan dos cuentas de acceso de emergencia de solo nube con el rol de administrador global asignado permanentemente. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas se limitan a escenarios de emergencia o de "romper el vidrio" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de cuentas de acceso de emergencia.

Tutorial guiado

Para ver un tutorial guiado de muchas de las recomendaciones de este artículo, consulte la guía Configuración de Microsoft Entra ID al iniciar sesión en el Centro de Administración de Microsoft 365. Para revisar las prácticas recomendadas sin iniciar sesión ni activar las funciones de configuración automática, vaya al Portal de configuración de Microsoft 365.

Guía para clientes de Microsoft Entra ID Free, Office 365 o Microsoft 365

Existen muchas recomendaciones que deben seguir los clientes de aplicaciones Microsoft Entra ID Free, Office 365 o Microsoft 365 para proteger las identidades de sus usuarios. La tabla siguiente tiene como objetivo resaltar acciones clave de las suscripciones de licencia siguientes:

  • Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
  • Microsoft 365 (Empresa Básico, Aplicaciones para negocios, Empresa Estándar, Empresa Premium, A1)
  • Microsoft Entra ID Free (incluido con Azure, Dynamics 365, Intune y Power Platform)
Acción recomendada Detalle
Habilitar los valores predeterminados de seguridad Proteja todas las identidades y aplicaciones de los usuarios activando la autenticación multifactor y bloqueando la autenticación heredada.
Habilitar la sincronización de hash de contraseñas (si se usan identidades híbridas) Proporcione redundancia para la autenticación y mejore la seguridad (incluido el bloqueo inteligente, el bloqueo de IP y la capacidad de detectar las credenciales filtradas).
Habilitar el bloqueo inteligente de AD FS (si procede) Protege a los usuarios de los bloqueos de cuentas de extranet debido a actividades malintencionadas.
Habilitar el bloqueo inteligente de Microsoft Entra (si se usan identidades administradas) El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para obtenerlas.
Deshabilitar el consentimiento del usuario final a las aplicaciones El flujo de trabajo de consentimiento del administrador proporciona a los administradores una manera segura de conceder acceso a las aplicaciones que requieren la aprobación del administrador, de modo que los usuarios finales no expongan los datos de la empresa. Microsoft recomienda deshabilitar las operaciones futuras de consentimiento del usuario para ayudar a reducir el área expuesta y a mitigar este riesgo.
Integre aplicaciones SaaS compatibles de la galería a Microsoft Entra ID y habilite el inicio de sesión único (SSO) Microsoft Entra ID incluye una galería que contiene miles de aplicaciones previamente integradas. Algunas de las aplicaciones que su organización usa probablemente estén en la galería y se pueda acceder a ellas desde Azure Portal. Proporcione acceso a las aplicaciones SaaS corporativas de forma remota y segura con una experiencia de usuario mejorada (inicio de sesión único (SSO)).
Automatizar el aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS (si procede) Cree automáticamente roles e identidades de usuario en las aplicaciones en la nube (SaaS) a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian, de modo que mejora la seguridad de su organización.
Habilitar el acceso híbrido seguro: Protección de aplicaciones heredadas con redes y controladores de entrega de aplicaciones existentes (si procede) Publique y proteja sus aplicaciones de autenticación heredadas locales y en la nube conectándolas a Microsoft Entra ID con su red o controlador de entrega de aplicaciones existentes.
Habilitar el autoservicio de restablecimiento de contraseña (aplicable solo a cuentas en la nube) Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación.
Usar roles con privilegios mínimos siempre que sea posible Asigne a los administradores solo el acceso que necesitan a las áreas a las que necesitan acceso.
Habilitación de la guía de contraseñas de Microsoft Olvídese de solicitar a los usuarios que cambien periódicamente la contraseña, deshabilite los requisitos de complejidad y a los usuarios les será más fácil recordar la contraseña y mantener una segura.

Guía para Microsoft Entra clientes de ID P1

La tabla siguiente tiene como objetivo resaltar las acciones clave de las siguientes suscripciones de licencia:

  • Microsoft Entra ID P1
  • Microsoft Enterprise Mobility + Security E3
  • Microsoft 365 (E3 A3, F1, F3)
Acción recomendada Detalle
Habilitar la experiencia de registro combinada para Microsoft Entra MFA y SSPR para simplificar la experiencia de registro del usuario Permita que los usuarios se registren para una de las experiencias comunes: Microsoft Entra Multi-Factor Authentication o el autoservicio de restablecimiento de contraseña.
Configure la autenticación multifactor para su organización Asegúrese de que las cuentas están protegidas frente a los riesgos de la autenticación multifactor.
Habilitar el autoservicio de restablecimiento de contraseña Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación.
Implementar la escritura diferida de contraseñas (si usa identidades híbridas) Permita la escritura diferida de los cambios de contraseña en la nube en un entorno de Windows Server Active Directory local.
Crear y habilitar directivas de acceso condicional Autenticación multifactor para que los administradores protejan las cuentas a las que se asignan derechos administrativos..

Bloquear los protocolos de autenticación heredados debido al aumento de riesgo asociado a los protocolos de autenticación heredados.

Autenticación multifactor para todos los usuarios y aplicaciones para crear una directiva de autenticación multifactor equilibrada para su entorno, asegurando a sus usuarios y aplicaciones.

Exigir autenticación multifactor para Azure Management para proteger sus recursos privilegiados exigiendo autenticación multifactor para cualquier usuario que acceda a los recursos de Azure.
Habilitar la sincronización de hash de contraseñas (si se usan identidades híbridas) Proporcione redundancia para la autenticación y mejore la seguridad (incluido el bloqueo inteligente, el bloqueo de IP y la capacidad de detectar las credenciales filtradas).
Habilitar el bloqueo inteligente de AD FS (si procede) Protege a los usuarios de los bloqueos de cuentas de extranet debido a actividades malintencionadas.
Habilitar el bloqueo inteligente de Microsoft Entra (si se usan identidades administradas) El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para obtenerlas.
Deshabilitar el consentimiento del usuario final a las aplicaciones El flujo de trabajo de consentimiento del administrador proporciona a los administradores una manera segura de conceder acceso a las aplicaciones que requieren la aprobación del administrador, de modo que los usuarios finales no expongan los datos de la empresa. Microsoft recomienda deshabilitar las operaciones futuras de consentimiento del usuario para ayudar a reducir el área expuesta y a mitigar este riesgo.
Habilitar el acceso remoto a las aplicaciones heredadas locales con Application Proxy Habilite Microsoft Entra Application Proxy e intégrela con aplicaciones heredadas para que los usuarios tengan acceso seguro a aplicaciones locales, iniciando sesión con su cuenta de Microsoft Entra.
Habilitar el acceso híbrido seguro: Protección de aplicaciones heredadas con redes y controladores de entrega de aplicaciones existentes (si procede) Publique y proteja sus aplicaciones de autenticación heredadas locales y en la nube conectándolas a Microsoft Entra ID con su red o controlador de entrega de aplicaciones existentes.
Integre aplicaciones SaaS compatibles de la galería a Microsoft Entra ID y habilite el inicio de sesión único Microsoft Entra ID incluye una galería que contiene miles de aplicaciones previamente integradas. Algunas de las aplicaciones que su organización usa probablemente estén en la galería y se pueda acceder a ellas desde Azure Portal. Proporcione acceso a las aplicaciones SaaS empresariales de forma remota y segura mediante una experiencia de usuario mejorada (SSO).
Automatizar el aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS (si procede) Cree automáticamente roles e identidades de usuario en las aplicaciones en la nube (SaaS) a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian, de modo que mejora la seguridad de su organización.
Habilitar el acceso condicional Basado en dispositivos Mejore la seguridad y las experiencias de usuario con el acceso condicional basado en dispositivos. Este paso garantiza que los usuarios solo pueden tener acceso desde dispositivos que cumplen los estándares de seguridad y cumplimiento. A estos dispositivos también se les conoce como dispositivos administrados. Los dispositivos administrados pueden ser conformes con Intune o dispositivos unidos a Microsoft Entra híbrido.
Habilitación de la protección con contraseña Proteja a los usuarios del uso de contraseñas poco seguras y fáciles de adivinar.
Usar roles con privilegios mínimos siempre que sea posible Asigne a los administradores solo el acceso que necesitan a las áreas a las que necesitan acceso.
Habilitación de la guía de contraseñas de Microsoft Olvídese de solicitar a los usuarios que cambien periódicamente la contraseña, deshabilite los requisitos de complejidad y a los usuarios les será más fácil recordar la contraseña y mantener una segura.
Creación de una lista de contraseñas prohibidas personalizada específica de la organización Evite que los usuarios creen contraseñas que incluyan palabras o frases comunes de su organización o zona.
Implementar métodos de autenticación sin contraseña para los usuarios Proporcione a los usuarios métodos cómodos de autenticación sin contraseñas.
Creación de un plan para el acceso de usuarios invitados Colabore con los usuarios invitados y permítales iniciar sesión en las aplicaciones y los servicios con sus propias identidades profesionales, educativas o sociales.

Guía para clientes Microsoft Entra ID P2

La tabla siguiente tiene como objetivo resaltar las acciones clave de las siguientes suscripciones de licencia:

  • Microsoft Entra ID P2
  • Microsoft Enterprise Mobility + Security E5
  • Microsoft 365 (E5, A5)
Acción recomendada Detalle
Habilitar la experiencia de registro combinada para Microsoft Entra MFA y SSPR para simplificar la experiencia de registro del usuario Permita que los usuarios se registren para una de las experiencias comunes: Microsoft Entra Multi-Factor Authentication o el autoservicio de restablecimiento de contraseña.
Configure la autenticación multifactor para su organización Asegúrese de que las cuentas están protegidas frente a los riesgos de la autenticación multifactor.
Habilitar el autoservicio de restablecimiento de contraseña Esta capacidad reduce las llamadas al departamento de soporte técnico y la pérdida de productividad cuando un usuario no puede iniciar sesión en su dispositivo o en una aplicación.
Implementar la escritura diferida de contraseñas (si usa identidades híbridas) Permita la escritura diferida de los cambios de contraseña en la nube en un entorno de Windows Server Active Directory local.
Habilitar directivas de Protección de id. de Microsoft Entra para aplicar el registro de autenticación multifactor Administre la implementación de Microsoft Entra autenticación multifactor.
Habilitar las directivas de acceso condicional basadas en el riesgo del usuario y de inicio de sesión La directiva de inicio de sesión recomendada es centrarse en los inicios de sesión de riesgo medio y exigir una autenticación multifactor. En el caso de las directivas de usuario, debe dirigirse a los usuarios de alto riesgo que necesitan la acción de cambio de contraseña.
Crear y habilitar directivas de acceso condicional Autenticación multifactor para que los administradores protejan las cuentas a las que se asignan derechos administrativos..

Bloquear los protocolos de autenticación heredados debido al aumento de riesgo asociado a los protocolos de autenticación heredados.

Exigir autenticación multifactor para Azure Management para proteger sus recursos privilegiados exigiendo autenticación multifactor para cualquier usuario que acceda a los recursos de Azure.
Habilitar la sincronización de hash de contraseñas (si se usan identidades híbridas) Proporcione redundancia para la autenticación y mejore la seguridad (incluido el bloqueo inteligente, el bloqueo de IP y la capacidad de detectar las credenciales filtradas).
Habilitar el bloqueo inteligente de AD FS (si procede) Protege a los usuarios de los bloqueos de cuentas de extranet debido a actividades malintencionadas.
Habilitar el bloqueo inteligente de Microsoft Entra (si se usan identidades administradas) El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para obtenerlas.
Deshabilitar el consentimiento del usuario final a las aplicaciones El flujo de trabajo de consentimiento del administrador proporciona a los administradores una manera segura de conceder acceso a las aplicaciones que requieren la aprobación del administrador, de modo que los usuarios finales no expongan los datos de la empresa. Microsoft recomienda deshabilitar las operaciones futuras de consentimiento del usuario para ayudar a reducir el área expuesta y a mitigar este riesgo.
Habilitar el acceso remoto a las aplicaciones heredadas locales con Application Proxy Habilite Microsoft Entra Application Proxy e intégrela con aplicaciones heredadas para que los usuarios tengan acceso seguro a aplicaciones locales, iniciando sesión con su cuenta de Microsoft Entra.
Habilitar el acceso híbrido seguro: Protección de aplicaciones heredadas con redes y controladores de entrega de aplicaciones existentes (si procede) Publique y proteja sus aplicaciones de autenticación heredadas locales y en la nube conectándolas a Microsoft Entra ID con su red o controlador de entrega de aplicaciones existentes.
Integre aplicaciones SaaS compatibles de la galería a Microsoft Entra ID y habilite el inicio de sesión único Microsoft Entra ID incluye una galería que contiene miles de aplicaciones previamente integradas. Algunas de las aplicaciones que su organización usa probablemente estén en la galería y se pueda acceder a ellas desde Azure Portal. Proporcione acceso a las aplicaciones SaaS empresariales de forma remota y segura mediante una experiencia de usuario mejorada (SSO).
Automatizar el aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS (si procede) Cree automáticamente roles e identidades de usuario en las aplicaciones en la nube (SaaS) a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian, de modo que mejora la seguridad de su organización.
Habilitar el acceso condicional Basado en dispositivos Mejore la seguridad y las experiencias de usuario con el acceso condicional basado en dispositivos. Este paso garantiza que los usuarios solo pueden tener acceso desde dispositivos que cumplen los estándares de seguridad y cumplimiento. A estos dispositivos también se les conoce como dispositivos administrados. Los dispositivos administrados pueden ser conformes con Intune o dispositivos unidos a Microsoft Entra híbrido.
Habilitación de la protección con contraseña Proteja a los usuarios del uso de contraseñas poco seguras y fáciles de adivinar.
Usar roles con privilegios mínimos siempre que sea posible Asigne a los administradores solo el acceso que necesitan a las áreas a las que necesitan acceso.
Habilitación de la guía de contraseñas de Microsoft Olvídese de solicitar a los usuarios que cambien periódicamente la contraseña, deshabilite los requisitos de complejidad y a los usuarios les será más fácil recordar la contraseña y mantener una segura.
Creación de una lista de contraseñas prohibidas personalizada específica de la organización Evite que los usuarios creen contraseñas que incluyan palabras o frases comunes de su organización o zona.
Implementar métodos de autenticación sin contraseña para los usuarios Proporcione a los usuarios métodos cómodos de autenticación sin contraseñas.
Creación de un plan para el acceso de usuarios invitados Colabore con los usuarios invitados y permítales iniciar sesión en las aplicaciones y los servicios con sus propias identidades profesionales, educativas o sociales.
Habilitar Administración de identidades privilegiadas (PIM) Permite administrar, controlar y supervisar el acceso a recursos importantes de la organización, lo que garantiza que los administradores tengan acceso solo cuando sea necesario y reciban aprobación.
Completar una revisión de acceso para los roles de directorio de Microsoft Entra en PIM Trabaje con los equipos de seguridad y dirección para crear una directiva de revisión de acceso para revisar el acceso de los administradores de conformidad con las directivas de la organización.

Confianza cero

Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de Confianza cero:

  • Comprobación explícita
  • Usar privilegios mínimos
  • Presunción de intrusiones al sistema

Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de instrucciones de Confianza cero.

Pasos siguientes