Creación de un plan de seguridad para el acceso a recursos
Antes de crear un plan de seguridad de acceso externo, revise los dos artículos siguientes, que agregan contexto e información para el plan de seguridad.
- Determinación de la posición de seguridad para el acceso externo con Microsoft Entra ID
- Detección del estado actual de la colaboración externa en su organización
Antes de empezar
Este artículo es el número 3 de una serie de 10 artículos. Se recomienda leer los artículos en orden. Vaya a la sección Pasos siguientes para ver toda la serie.
Documentación del plan de seguridad
Para el plan de seguridad, documente la siguiente información:
- Aplicaciones y recursos agrupados para el acceso
- Condiciones de inicio de sesión para los usuarios externos
- Estado del dispositivo, ubicación de inicio de sesión, requisitos de las aplicaciones cliente, riesgos para el usuario, etc.
- Directivas para determinar el tiempo de las revisiones y la eliminación de acceso
- Poblaciones de usuarios agrupados para una experiencia similar
Para implementar el plan de seguridad, puede usar directivas de administración de identidades y acceso de Microsoft u otro proveedor de identidades (IdP).
Más información: Introducción a la administración de identidades y acceso
Uso de grupos para el acceso
Consulte los vínculos siguientes a artículos sobre estrategias de agrupación de recursos:
- Microsoft Teams agrupa los archivos, los hilos de conversación y otros recursos
- Formule una estrategia de acceso externo para Teams
- Consulte Protección del acceso externo a Microsoft Teams, SharePoint y OneDrive para la Empresa con Microsoft Entra ID.
- Use paquetes de acceso de administración de derechos para crear y delegar la administración de paquetes de aplicaciones, grupos, equipos, sitios de SharePoint, etc.
- Aplique directivas de acceso condicional hasta a 250 aplicaciones con los mismos requisitos de acceso.
- Definición del acceso para grupos de aplicaciones de usuario externo
Documente las aplicaciones agrupadas. Entre las consideraciones se incluyen las siguientes:
- Perfil de riesgo: evalúe el riesgo si un actor malintencionado obtiene acceso a una aplicación
- Identifique si la aplicación es de riesgo alto, medio o bajo. Le recomendamos que no agrupe alto riesgo con bajo riesgo.
- Documente las aplicaciones que no se pueden compartir con usuarios externos.
- Marcos de cumplimiento: determine los marcos de cumplimiento para las aplicaciones
- Identifique los requisitos de acceso y revisión.
- Aplicaciones para roles o departamentos: evalúe las aplicaciones agrupadas para el acceso por rol o departamento
- Aplicaciones de colaboración: identifique las aplicaciones de colaboración a las que pueden acceder los usuarios externos, como Teams o SharePoint
- En el caso de las aplicaciones de productividad, es posible que los usuarios externos tengan licencias o deberá proporcionarles acceso.
Para el acceso a aplicaciones y grupos de recursos por parte de usuarios externos, documente la siguiente información.
- Nombre descriptivo para el grupo, p. ej.: Finanzas_Acceso_Externo_Alto_Riesgo
- Aplicaciones y recursos del grupo
- Propietarios de aplicaciones y recursos y su información de contacto
- El equipo de TI controla el acceso o el control se delega a un propietario de la empresa
- Requisitos previos del acceso: comprobación de antecedentes, formación, etc.
- Requisitos de cumplimiento para acceder a los recursos
- Desafíos, p. ej.: autenticación multifactor para algunos recursos
- Cadencia de las revisiones, quién las realiza y dónde se documentan los resultados
Sugerencia
Use este tipo de plan de gobernanza para el acceso interno.
Documentación de las condiciones de inicio de sesión para los usuarios externos
Determine los requisitos de inicio de sesión para los usuarios externos que solicitan acceso. Base los requisitos en el perfil de riesgo del recurso y la evaluación de riesgo del usuario durante el inicio de sesión. Configure las condiciones de inicio de sesión mediante el acceso condicional: una condición y un resultado. Por ejemplo, se podría requerir una autenticación multifactor.
Para más información, vea ¿Qué es el acceso condicional?.
Condiciones de inicio de sesión según el perfil de riesgo de los recursos
Tenga en cuenta las siguientes directivas basadas en el riesgo para desencadenar la autenticación multifactor (MFA).
- Bajo: autenticación multifactor para algunos conjuntos de aplicaciones.
- Medio: autenticación multifactor cuando hay otros riesgos.
- Alto: los usuarios externos siempre usan la autenticación multifactor.
Más información:
- Tutorial: Aplicación de la autenticación multifactor para usuarios invitados de B2B
- Confianza en la autenticación multifactor desde inquilinos externos
Condiciones de inicio de sesión según el usuario y el dispositivo
Use la tabla siguiente para evaluar qué directiva de administración de riesgos aplicar.
| Riesgo para el usuario o el inicio de sesión | Directiva propuesta |
|---|---|
| Dispositivo | Requerir dispositivos compatibles |
| Aplicaciones móviles | Exigir aplicaciones aprobadas |
| Protección de identidad es de riesgo alto | Exigir que el usuario cambie la contraseña |
| Ubicación de red | Para acceder a proyectos confidenciales, exija el inicio de sesión desde un intervalo de direcciones IP. |
Para usar el estado del dispositivo como entrada para una directiva, el dispositivo debe estar registrado o unido al inquilino. El acceso entre inquilinos debe configurarse para confiar en las notificaciones de dispositivo del inquilino principal. Consulte Modificación de la configuración del acceso de entrada.
Puede usar directivas de riesgo de protección de la identidad, Sin embargo, mitigue el problema en el inquilino principal del usuario. Vea Directiva de acceso condicional común: autenticación multifactor basada en el riesgo de inicio de sesión.
En las ubicaciones de red, puede restringir el acceso a cualquier intervalo de direcciones IP que posea. Use este método si los asociados externos acceden a las aplicaciones mientras están en su ubicación. Consulte Acceso condicional: Bloqueo del acceso por ubicación.
Documentación de las directivas de revisión de acceso
Documente las directivas que dictan cuándo revisar el acceso a los recursos y cuándo quitar el acceso de los usuarios externos a la cuenta. Las entradas pueden incluir:
- Requisitos de los marcos de cumplimiento
- Directivas y procesos empresariales internos
- Comportamiento del usuario
Por lo general, las organizaciones personalizan la directiva, pero tenga en cuenta los parámetros siguientes:
- Revisiones de acceso de administración de derechos:
- Cambio de la configuración del ciclo de vida para un paquete de acceso en la administración de derechos
- Creación de una revisión de acceso de un paquete de acceso de la administración de derechos
- Agregar una organización conectada en la administración de derechos: Agrupar usuarios de un asociado y programar revisiones
- Grupos de Microsoft 365
- Opciones:
- Si los usuarios externos no usan paquetes de acceso o grupos de Microsoft 365, determine cuándo quedan inactivas o se eliminan las cuentas.
- Retire la capacidad de inicio de sesión de las cuentas que no hayan iniciado sesión durante 90 días.
- Evalúe periódicamente el acceso de los usuarios externos.
Métodos de control de acceso
Algunas características, como la administración de derechos, están disponibles con una licencia de Microsoft Entra ID P1 o P2. Las licencias de Microsoft 365 E5 y Office 365 E5 incluyen licencias de Microsoft Entra ID P2. Obtenga más información en la siguiente sección de administración de derechos.
Nota:
Las licencias son para un usuario. Por lo tanto, los usuarios, los administradores y los propietarios de empresa pueden tener control de acceso delegado. Este escenario se puede producir con Microsoft Entra ID P2 o Microsoft 365 E5, y no es necesario habilitar licencias para todos los usuarios. Los primeros 50 000 usuarios externos son gratuitos. Si no habilita licencias P2 para otros usuarios internos, estos no podrán usar la administración de derechos.
Otras combinaciones de Microsoft 365, Office 365 y Microsoft Entra ID también tienen funcionalidades para administrar usuarios externos. Vea Guía de seguridad y cumplimiento de Microsoft 365.
Gobernanza del acceso con Microsoft Entra ID P2 y Microsoft 365 u Office 365 E5
Microsoft Entra ID P2, incluido en Microsoft 365 E5, tiene funcionalidades adicionales de seguridad y gobernanza.
Aprovisionamiento, inicio de sesión, revisión del acceso y desaprovisionamiento del acceso
Las entradas en negrita son acciones recomendadas.
| Característica | Aprovisionamiento de usuarios externos | Exigir requisitos de inicio de sesión | Revisar acceso | Desaprovisionar el acceso |
|---|---|---|---|---|
| Colaboración B2B de Microsoft Entra | Invitación por correo electrónico, contraseña de un solo uso (OTP), autoservicio | N/D | Revisión periódica de asociados | Quitar cuenta Restricción del inicio de sesión |
| Administración de derechos | Adición de usuarios mediante asignación o acceso de autoservicio | N/D | Revisiones de acceso | Expiración o eliminación de un paquete de acceso |
| Grupos de Office 365 | N/D | N/D | Revisar las pertenencias a grupos | Expiración o eliminación de grupos Eliminación del grupo |
| Grupos de seguridad de Microsoft Entra | N/D | Directivas de acceso condicional: adición de usuarios externos a grupos de seguridad según sea necesario | N/D | N/D |
Acceso a los recursos
Las entradas en negrita son acciones recomendadas.
| Característica | Acceso a aplicaciones y recursos | Acceso a SharePoint y OneDrive | Acceso a Teams | Seguridad de documentos y correo electrónico |
|---|---|---|---|---|
| Administración de derechos | Adición de usuarios mediante asignación o acceso de autoservicio | Paquetes de acceso | Paquetes de acceso | N/D |
| Grupo de Office 365 | N/D | Acceso a los sitios y al contenido del grupo | Acceso a los equipos y al contenido de grupo | N/D |
| Etiquetas de confidencialidad | N/D | Clasificar y restringir el acceso de forma manual y automática | Clasificar y restringir el acceso de forma manual y automática | Clasificar y restringir el acceso de forma manual y automática |
| Grupos de seguridad de Microsoft Entra | Directivas de acceso condicional de acceso no incluidas en los paquetes de acceso | N/D | N/D | N/D |
Administración de derechos
Use la administración de derechos para aprovisionar y desaprovisionar el acceso a grupos y equipos, aplicaciones y sitios de SharePoint. Defina las organizaciones conectadas a las que se permite el acceso, las solicitudes de autoservicio y los flujos de trabajo de aprobación. Para garantizar que el acceso finaliza correctamente, defina directivas de expiración y revisiones de acceso para los paquetes.
Para más información, vea Creación de un paquete de acceso en la administración de derechos.
Administración del acceso con Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Aprovisionamiento, inicio de sesión, revisión del acceso y desaprovisionamiento del acceso
Los elementos en negrita son acciones recomendadas.
| Característica | Aprovisionamiento de usuarios externos | Exigir requisitos de inicio de sesión | Revisar acceso | Desaprovisionar el acceso |
|---|---|---|---|---|
| Colaboración B2B de Microsoft Entra | Invitación por correo electrónico, OTP, autoservicio | Federación de B2B directa | Revisión periódica de asociados | Quitar cuenta Restricción del inicio de sesión |
| Grupos de Microsoft 365 u Office 365 | N/D | N/D | N/D | Expiración o eliminación de grupos Eliminación del grupo |
| Grupos de seguridad | N/D | Adición de usuarios externos a grupos de seguridad (organización, equipo, proyecto, etc.) | N/D | N/D |
| Directivas de acceso condicional | N/D | Directivas de acceso condicional de inicio de sesión para usuarios externos | N/D | N/D |
Acceso a los recursos
| Característica | Acceso a aplicaciones y recursos | Acceso a SharePoint y OneDrive | Acceso a Teams | Seguridad de documentos y correo electrónico |
|---|---|---|---|---|
| Grupos de Microsoft 365 u Office 365 | N/D | Acceso a los sitios del grupo y al contenido asociado | Acceso a los equipos del grupo de Microsoft 365 y al contenido asociado | N/D |
| Etiquetas de confidencialidad | N/D | Clasificar y restringir el acceso manualmente | Clasificar y restringir el acceso manualmente | Clasificar manualmente para restringir y cifrar |
| Directivas de acceso condicional | Directivas de acceso condicional del control de acceso | N/D | N/D | N/D |
| Otros métodos | N/D | Restricción del acceso a sitios de SharePoint con grupos de seguridad Denegación del uso compartido directo |
Restricción de las invitaciones externas de un equipo | N/D |
Pasos siguientes
Use la siguiente serie de artículos para obtener más información sobre cómo proteger el acceso externo a los recursos. Se recomienda seguir el orden indicado.
Determinación de la posición de seguridad para el acceso externo con Microsoft Entra ID
Detección del estado actual de la colaboración externa en su organización
Creación de un plan de seguridad para el acceso a recursos (Usted está aquí)
Protección del acceso externo con grupos en Microsoft Entra ID y Microsoft 365
Transición a la colaboración controlada con la colaboración B2B de Microsoft Entra
Administración del acceso externo con la administración de derechos de Microsoft Entra
Administración del acceso externo a los recursos mediante directivas de acceso condicional
Conversión de cuentas de invitado locales en cuentas de invitado B2B de Microsoft Entra