Planificar una implementación de Protección de id.

Protección de id. de Microsoft Entra detecta riesgos basados en identidades, los informa y permite a los administradores investigar y corregir estos riesgos para mantener a las organizaciones seguras y protegidas. Los datos de riesgos se pueden insertar posteriormente en herramientas como Acceso condicional para tomar decisiones de acceso o alimentar una herramienta de administración de eventos e información de seguridad (SIEM) para realizar análisis y una investigación más detallada.

Este plan de implementación amplía los conceptos mencionados en el plan de implementación de acceso condicional.

Requisitos previos

• Un inquilino de Microsoft Entra en funcionamiento con Microsoft Entra ID P2 o una licencia de prueba habilitada. Si es preciso, cree una cuenta gratuita.
• Los administradores que interactúan con Protección de id. deben tener asignados uno o varios de los siguientes roles en función de las tareas que realicen. Para seguir el principio de Confianza cero de privilegios mínimos, considere la posibilidad de usar Privileged Identity Management (PIM) para activar las asignaciones de roles con privilegios cuando es necesario.
  • Lea las directivas y opciones de configuración de Protección de id. y acceso condicional
    • Lector de seguridad
    • Lector global
  • Administración de Protección de id.
    • Operador de seguridad
    • Administrador de seguridad
  • Creación o modificación de directivas de acceso condicional
    • Administrador de acceso condicional
    • Administrador de seguridad
• Un usuario de prueba que no sea administrador para verificar que las directivas funcionan según lo previsto antes de que se implementen en los usuarios reales. Si necesita crear un usuario, consulte Inicio rápido: Agregar nuevos usuarios a Microsoft Entra ID.
• Grupo al que pertenece el usuario. Para crear un grupo, consulte Crear un grupo y agregar miembros en Microsoft Entra ID.

Involucración de las partes interesadas adecuadas

Cuando fracasan los proyectos tecnológicos, por lo general, se debe a expectativas incorrectas relacionadas con su efecto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de involucrar a las partes interesadas adecuadas y garantice que sus roles en el proyecto se entiendan bien; para ello, documente lo relacionado con ellas (sus aportes y responsabilidades en el proyecto).

Comunicación del cambio

La comunicación es fundamental para el éxito de cualquier nueva funcionalidad. Debería comunicar de forma proactiva a los usuarios cómo y cuándo va a cambiar sus experiencias e informarles cómo obtener soporte técnico si experimentan cualquier problema.

Paso 1: Revisar los informes existentes

Es importante revisar los informes de Protección de id. antes de implementar directivas de acceso condicional basadas en riesgos. Esta revisión ofrece la oportunidad de investigar cualquier comportamiento sospechoso existente. Puedes elegir ignorar el riesgo o confirmar que estos usuarios son seguros si determina que no están en riesgo.

• Investigación de detecciones de riesgos
• Corregir riesgos y desbloquear usuarios
• Realizar cambios masivos con PowerShell de Microsoft Graph

Para mejorar la eficacia, se recomienda permitir que los usuarios puedan aplicar autocorrecciones mediante directivas que se describen en el paso 3.

Paso 2: Planear directivas de riesgo de acceso condicional

Protección de Id. envía señales de riesgo al acceso condicional para tomar decisiones y aplicar las directivas de la organización. Estas directivas pueden requerir que los usuarios realicen la autenticación multifactor o el cambio de contraseña seguro. Hay varios elementos que las organizaciones deben planificar antes de crear sus directivas.

Exclusiones de directivas

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o emergencia para evitar el bloqueo de cuentas en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional asignadas a los usuarios. Use el acceso condicional con las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas. Como solución alternativa, puede excluir estas cuentas específicas de la directiva de línea de base.

Autenticación multifactor

Sin embargo, para que los usuarios apliquen autocorrecciones, deben registrarse para la autenticación multifactor de Microsoft Entra antes de que sean estos usuarios quienes representen un riesgo. Para más información, consulte el artículo Planear una implementación de autenticación multifactor de Microsoft Entra.

Ubicaciones de red conocidas

Es importante configurar ubicaciones con nombre en el acceso condicional y agregar los intervalos de VPN a Defender for Cloud Apps. Los inicios de sesión de ubicaciones con nombre, marcados como de confianza o conocidos, mejoran la precisión de los cálculos de riesgo de Protección de Id. Estos inicios de sesión reducen el riesgo de un usuario cuando se autentican desde una ubicación marcada como de confianza o conocida. Esta práctica reduce los falsos positivos de algunas detecciones en su entorno.

Modo de solo informe

El modo de solo informe es un nuevo estado de la directiva de acceso condicional que permite a los administradores evaluar el impacto de las directivas de acceso condicional antes de habilitarlas en su entorno.

Paso 3: Configurar las directivas

Directiva de registro de MFA de Protección de id.

Use la directiva de registro de MFA de Protección de Id. para ayudar a que los usuarios se registren para la autenticación multifactor de Microsoft Entra antes de que necesiten usarla. Siga los pasos del artículo Instrucciones: Configuración de la directiva de registro de MFA de Microsoft Entra para habilitar esta directiva.

Directivas de acceso condicional

Riesgo de inicio de sesión: La mayoría de los usuarios tienen un comportamiento normal al que se puede dar seguimiento, pero cuando se salen de esta norma, podría ser peligroso permitirles que inicien sesión sin ninguna restricción. Tal vez quiera bloquear a ese usuario o solicitarle que realice una autenticación multifactor para demostrar que realmente es quien dice ser. Para empezar, debe definir el ámbito de estas directivas en un subconjunto de los usuarios.

Riesgo de usuario: Microsoft trabaja con investigadores, cuerpos legales, varios equipos de seguridad de Microsoft y otros orígenes de confianza para buscar pares de nombre de usuario y contraseña filtrados. Cuando se detectan estos usuarios en riesgo, se recomienda requerir que los usuarios realicen la autenticación multifactor y luego restablezcan su contraseña.

En el artículo Configuración y habilitación de directivas de riesgo, se proporciona una guía para crear directivas de acceso condicional y poder abordar estos riesgos.

Paso 4: Supervisión y necesidades operativas continuas

Notificaciones por correo electrónico

Habilita las notificaciones para que pueda responder cuando un usuario esté marcado como en riesgo. Estas notificaciones le permiten empezar a investigar inmediatamente. También puede configurar correos electrónicos de resumen semanales que le ofrecen información general del riesgo de esa semana.

Supervisión e investigación

El libro de análisis de impacto de las directivas de acceso basado en riesgos ayuda a los administradores a comprender el impacto del usuario antes de crear directivas de acceso condicional basadas en riesgos.

El libro de Protección de Id. puede ayudar a supervisar y buscar patrones en el inquilino. Supervise este libro para ver las tendencias y también los resultados del modo de solo informe del acceso condicional para ver si hay cambios que deben realizarse, por ejemplo, adiciones a ubicaciones con nombre.

Microsoft Defender for Cloud Apps proporciona un marco de investigación que las organizaciones pueden usar como punto inicial. Para más información, consulte el artículo Instrucciones para investigar las alertas de detección de anomalías.

También puede usar las API de Protección de id. para exportar información de riesgo a otras herramientas, por lo que el equipo de seguridad puede supervisar y alertar sobre eventos de riesgo.

Durante las pruebas, es posible que desee simular algunas amenazas para probar los procesos de investigación.

Pasos siguientes

¿Qué es un riesgo?