Configuraciones de acceso a dispositivos e identidadesIdentity and device access configurations

El perímetro de seguridad moderno de su organización ahora se extiende más allá de la red para incluir a los usuarios que acceden a las aplicaciones basadas en la nube desde cualquier ubicación con una variedad de dispositivos.The modern security perimeter of your organization now extends beyond your network to include users accessing cloud-based apps from any location with a variety of devices. La infraestructura de seguridad debe determinar si se debe conceder una solicitud de acceso determinada y en qué condiciones.Your security infrastructure needs to determine whether a given access request should be granted and under what conditions.

Esta determinación debe basarse en el inicio de sesión de la cuenta de usuario, el dispositivo que se está usando, las aplicaciones a las que el usuario intenta obtener acceso, la ubicación desde la que se realiza la solicitud de acceso y una evaluación del riesgo de la solicitud.This determination should be based on the user account sign-in, the device being used, the apps the user is trying to access, the location from which the access request is made, and an assessment of the risk of the request. Esta funcionalidad ayuda a garantizar que solo los usuarios y dispositivos aprobados puedan obtener acceso a los recursos críticos.This capability helps ensure that only approved users and devices can access your critical resources.

En esta serie de artículos se describe un conjunto de configuraciones de requisitos previos de acceso a dispositivos e identidades y un conjunto de acceso condicional de Azure Active Directory (Azure AD), Microsoft Intune y otras directivas para proteger el acceso a Microsoft 365 para aplicaciones y servicios en la nube de empresa, otros servicios SaaS y aplicaciones locales publicadas con el proxy de aplicación de Azure AD.This series of articles describes a set of identity and device access prerequisite configurations and a set of Azure Active Directory (Azure AD) Conditional Access, Microsoft Intune, and other policies to secure access to Microsoft 365 for enterprise cloud apps and services, other SaaS services, and on-premises applications published with Azure AD Application Proxy.

Se recomienda la configuración y las directivas de acceso a los dispositivos y la identidad en tres niveles: protección de línea base, protección confidencial y protección para entornos con datos altamente regulados o clasificados.Identity and device access settings and policies are recommended in three tiers: baseline protection, sensitive protection, and protection for environments with highly regulated or classified data. Estos niveles y las configuraciones correspondientes proporcionan niveles de protección coherentes en los datos, las identidades y los dispositivos.These tiers and their corresponding configurations provide consistent levels of protection across your data, identities, and devices.

Estas capacidades y sus recomendaciones:These capabilities and their recommendations:

Si su organización tiene requisitos de entorno únicos o complejidades, use estas recomendaciones como punto de partida.If your organization has unique environment requirements or complexities, use these recommendations as a starting point. Sin embargo, la mayoría de las organizaciones pueden implementar estas recomendaciones como se recomiendan.However, most organizations can implement these recommendations as prescribed.

Nota

Microsoft también vende licencias de Enterprise Mobility + Security (EMS) para las suscripciones de Office 365.Microsoft also sells Enterprise Mobility + Security (EMS) licenses for Office 365 subscriptions. Las capacidades de EMS E3 y EMS E5 son equivalentes a las de Microsoft 365 E3 y Microsoft 365 E5.EMS E3 and EMS E5 capabilities are equivalent to those in Microsoft 365 E3 and Microsoft 365 E5. Consulte planes de EMS para obtener información detallada.See EMS plans for the details.

Público objetivoIntended audience

Estas recomendaciones están destinadas a arquitectos empresariales y profesionales de ti que están familiarizados con los servicios de seguridad y productividad en la nube de Microsoft 365, que incluyen Azure AD (identidad), Microsoft Intune (administración de dispositivos) y Azure Information Protection (protección de datos).These recommendations are intended for enterprise architects and IT professionals who are familiar with Microsoft 365 cloud productivity and security services, which includes Azure AD (identity), Microsoft Intune (device management), and Azure Information Protection (data protection).

Entorno del clienteCustomer environment

Las directivas recomendadas se aplican a las organizaciones empresariales que operan completamente en la nube de Microsoft y a los clientes con una infraestructura de identidades híbrida, que es un bosque local de servicios de dominio de Active Directory (AD DS) que se sincroniza con un inquilino de Azure AD.The recommended policies are applicable to enterprise organizations operating both entirely within the Microsoft cloud and for customers with hybrid identity infrastructure, which is an on-premises Active Directory Domain Services (AD DS) forest that is synchronized with an Azure AD tenant.

Muchas de las recomendaciones proporcionadas dependen de los servicios disponibles solo con Microsoft 365 E5, Microsoft 365 E3 con las licencias Identity & Threat Protection Add-on, EMS E5 o Azure Premium P2.Many of the provided recommendations rely on services available only with Microsoft 365 E5, Microsoft 365 E3 with the Identity & Threat Protection add-on, EMS E5, or Azure Premium P2 licenses.

Para las organizaciones que no tienen estas licencias, Microsoft le recomienda al menos implementar los valores predeterminados de seguridad, que se incluye con todos los planes de Microsoft 365.For those organizations who do not have these licenses, Microsoft recommends you at least implement security defaults, which is included with all Microsoft 365 plans.

ADVERTENCIASCaveats

Es posible que su organización esté sujeta a requisitos normativos o de cumplimiento normativo, incluidas recomendaciones específicas que puedan requerir la aplicación de directivas que difieran de estas configuraciones recomendadas.Your organization may be subject to regulatory or other compliance requirements, including specific recommendations that may require you to apply policies that diverge from these recommended configurations. Estas configuraciones recomiendan controles de uso que históricamente no han estado disponibles.These configurations recommend usage controls that have not historically been available. Le recomendamos estos controles porque creemos que representan un equilibrio entre la seguridad y la productividad.We recommend these controls because we believe they represent a balance between security and productivity.

Hemos hecho lo mejor para explicar una amplia variedad de requisitos de protección organizacional, pero no podemos tener en cuenta todos los requisitos posibles o todos los aspectos exclusivos de su organización.We've done our best to account for a wide variety of organizational protection requirements, but we're not able to account for all possible requirements or for all the unique aspects of your organization.

Tres niveles de protecciónThree tiers of protection

La mayoría de las organizaciones tienen requisitos concretos relacionados con la seguridad y la protección de datos.Most organizations have specific requirements regarding security and data protection. Estos requisitos varían dentro de las organizaciones según el segmento sectorial y las funciones de trabajo.These requirements vary by industry segment and by job functions within organizations. Por ejemplo, el departamento legal y los administradores pueden requerir controles adicionales de protección de la información y seguridad en torno a su correspondencia de correo electrónico que no son necesarios para otras unidades de negocio.For example, your legal department and administrators might require additional security and information protection controls around their email correspondence that are not required for other business units.

Cada sector además tiene su propio conjunto de normas especializadas.Each industry also has their own set of specialized regulations. En lugar de proporcionar una lista de todas las opciones de seguridad posibles o una recomendación por segmento de la industria o función de trabajo, se han proporcionado recomendaciones para tres niveles distintos de seguridad y protección que se pueden aplicar en función de la granularidad de sus necesidades.Rather than providing a list of all possible security options or a recommendation per industry segment or job function, recommendations have been provided for three different tiers of security and protection that can be applied based on the granularity of your needs.

  • Protección de línea base: le recomendamos que establezca un estándar mínimo para la protección de datos, así como las identidades y los dispositivos que tienen acceso a sus datos.Baseline protection: We recommend you establish a minimum standard for protecting data, as well as the identities and devices that access your data. Puede seguir estas recomendaciones de línea base para proporcionar una protección segura predeterminada que satisfaga las necesidades de muchas organizaciones.You can follow these baseline recommendations to provide strong default protection that meets the needs of many organizations.
  • Protección confidencial: algunos clientes tienen un subconjunto de datos que deben protegerse en niveles superiores o pueden requerir que todos los datos estén protegidos en un nivel superior.Sensitive protection: Some customers have a subset of data that must be protected at higher levels, or they may require all data to be protected at a higher level. Puede aplicar una mayor protección a todos o conjuntos de datos específicos en su entorno de Microsoft 365.You can apply increased protection to all or specific data sets in your Microsoft 365 environment. Se recomienda proteger las identidades y los dispositivos que acceden a información confidencial con niveles de seguridad comparables.We recommend protecting identities and devices that access sensitive data with comparable levels of security.
  • Altamente regulado: algunas organizaciones pueden tener una pequeña cantidad de datos clasificados en gran medida, que constituyen secretos comerciales o que son datos regulados.Highly regulated: Some organizations may have a small amount of data that is highly classified, constitutes trade secrets, or is regulated data. Microsoft proporciona capacidades para ayudar a las organizaciones a cumplir estos requisitos, incluida protección adicional para identidades y dispositivos.Microsoft provides capabilities to help organizations meet these requirements, including added protection for identities and devices.

Cono de seguridad: todos los clientes > algunos clientes > clientes específicos.

En esta guía se muestra cómo implementar la protección de las identidades y los dispositivos de cada uno de estos niveles de protección.This guidance shows you how to implement protection for identities and devices for each of these tiers of protection. Use esta guía como punto de partida para su organización y ajuste las directivas para cumplir los requisitos específicos de su organización.Use this guidance as a starting point for your organization and adjust the policies to meet your organization's specific requirements.

Es importante usar niveles de protección coherentes en los datos, las identidades y los dispositivos.It's important to use consistent levels of protection across your data, identities, and devices. Por ejemplo, si implementa esta guía, asegúrese de proteger los datos en niveles comparables.For example, if you implement this guidance, be sure to protect your data at comparable levels.

El modelo de arquitectura de identidad y de protección de dispositivos para Microsoft 365 muestra qué capacidades son comparables.The Identity and device protection for Microsoft 365 architecture model shows you which capabilities are comparable.

Imagen en miniatura para la protección de identidades y dispositivos para el póster 365 de MicrosoftThumb image for Identity and device protection for Microsoft 365 poster
Ver como PDF | Descargar como PDF | Descargar como Visio View as a PDF | Download as a PDF | Download as a Visio

Además, consulte la solución de implementación de protección de información para las regulaciones de privacidad de datos para proteger la información almacenada en Microsoft 365.Additionally, see the Deploy information protection for data privacy regulations solution to protect information stored in Microsoft 365.

Equilibrio entre seguridad y productividadSecurity and productivity trade-offs

La implementación de cualquier estrategia de seguridad requiere equilibrio entre la seguridad y la productividad.Implementing any security strategy requires trade-offs between security and productivity. Es útil evaluar cómo afecta cada decisión al equilibrio de seguridad, funcionalidad y facilidad de uso.It's helpful to evaluate how each decision affects the balance of security, functionality, and ease of use.

Seguridad tríada equilibrar la seguridad, la funcionalidad y la facilidad de uso.

Las recomendaciones proporcionadas se basan en los siguientes principios:The recommendations provided are based on the following principles:

  • Conozca a sus usuarios y sea flexible con respecto a sus requisitos de seguridad y funcionamiento.Know your users and be flexible to their security and functional requirements.
  • Aplique una directiva de seguridad justo a tiempo y asegúrese de que es significativa.Apply a security policy just in time and ensure it is meaningful.

Servicios y conceptos de protección de acceso a dispositivos e identidadesServices and concepts for identity and device access protection

Microsoft 365 para empresas está diseñado para organizaciones de gran tamaño para que todo el mundo pueda ser creativo y trabajar juntos de manera segura.Microsoft 365 for enterprise is designed for large organizations to empower everyone to be creative and work together securely.

En esta sección se proporciona información general sobre los servicios y capacidades de Microsoft 365 que son importantes para el acceso a los dispositivos e identidades.This section provides an overview of the Microsoft 365 services and capabilities that are important for identity and device access.

Azure ADAzure AD

Azure AD ofrece un conjunto completo de capacidades de administración de identidades.Azure AD provides a full suite of identity management capabilities. Se recomienda usar estas funciones para proteger el acceso.We recommend using these capabilities to secure access.

Funcionalidad o característicaCapability or feature DescriptionDescription LicenciasLicensing
Autenticación multifactor (MFA)Multi-factor authentication (MFA) La MFA requiere que los usuarios proporcionen dos formas de comprobación, como una contraseña de usuario y una notificación de la aplicación Microsoft Authenticator o una llamada telefónica.MFA requires users to provide two forms of verification, such as a user password plus a notification from the Microsoft Authenticator app or a phone call. La MFA reduce en gran medida el riesgo de que se puedan usar credenciales robadas para obtener acceso al entorno.MFA greatly reduces the risk that stolen credentials can be used to access your environment. Microsoft 365 usa el servicio de autenticación multifactor de Azure para iniciar sesión en MFA.Microsoft 365 uses the Azure Multi-Factor Authentication service for MFA-based sign-ins. Microsoft 365 E3 o E5Microsoft 365 E3 or E5
Acceso condicionalConditional Access Azure AD evalúa las condiciones del inicio de sesión de los usuarios y usa directivas de acceso condicional para determinar el acceso permitido.Azure AD evaluates the conditions of the user sign-in and uses Conditional Access policies to determine the allowed access. Por ejemplo, en esta guía le mostramos cómo crear una directiva de acceso condicional para exigir el cumplimiento de dispositivos para el acceso a datos confidenciales.For example, in this guidance we show you how to create a Conditional Access policy to require device compliance for access to sensitive data. Esto reduce en gran medida el riesgo de que un pirata informático con su propio dispositivo y las credenciales robadas puedan tener acceso a sus datos confidenciales.This greatly reduces the risk that a hacker with their own device and stolen credentials can access your sensitive data. También protege los datos confidenciales de los dispositivos, ya que los dispositivos deben cumplir requisitos específicos para la seguridad y la salud.It also protects sensitive data on the devices, because the devices must meet specific requirements for health and security. Microsoft 365 E3 o E5Microsoft 365 E3 or E5
Grupos de Azure ADAzure AD groups Las directivas de acceso condicional, administración de dispositivos con Intune e, incluso, los permisos para archivos y sitios de la organización dependen de la asignación a las cuentas de usuario o grupos de Azure AD.Conditional Access policies, device management with Intune, and even permissions to files and sites in your organization rely on the assignment to user accounts or Azure AD groups. Le recomendamos que cree grupos de Azure AD que se correspondan con los niveles de protección que está implementando.We recommend you create Azure AD groups that correspond to the levels of protection you are implementing. Por ejemplo, el personal ejecutivo probablemente es un objetivo de mayor valor para los hackers.For example, your executive staff are likely higher value targets for hackers. Por lo tanto, tiene sentido agregar las cuentas de usuario de estos empleados a un grupo de Azure AD y asignar este grupo a las directivas de acceso condicional y otras directivas que imponen un mayor nivel de protección para el acceso.Therefore, it makes sense to add the user accounts of these employees to an Azure AD group and assign this group to Conditional Access policies and other policies that enforce a higher level of protection for access. Microsoft 365 E3 o E5Microsoft 365 E3 or E5
Inscripción de dispositivosDevice enrollment Inscriba un dispositivo en Azure AD para crear una identidad para el dispositivo.You enroll a device into Azure AD to create an identity for the device. Esta identidad se usa para autenticar el dispositivo cuando un usuario inicia sesión y aplica directivas de acceso condicional que requieren equipos compatibles o Unidos a un dominio.This identity is used to authenticate the device when a user signs in and to apply Conditional Access policies that require domain-joined or compliant PCs. Para esta guía, usamos la inscripción de dispositivos para inscribir automáticamente equipos con Windows Unidos a un dominio.For this guidance, we use device enrollment to automatically enroll domain-joined Windows computers. La inscripción de dispositivos es un requisito previo para administrar dispositivos con Intune.Device enrollment is a prerequisite for managing devices with Intune. Microsoft 365 E3 o E5Microsoft 365 E3 or E5
Azure AD Identity ProtectionAzure AD Identity Protection Permite detectar posibles vulnerabilidades que afectan a las identidades de su organización y configurar la Directiva de corrección automatizada para el riesgo de inicio de sesión de usuario, los riesgos y el riesgo de inicio de sesión bajo, medio y alto.Enables you to detect potential vulnerabilities affecting your organization's identities and configure automated remediation policy to low, medium, and high sign-in risk and user risk. Esta guía se basa en esta evaluación de riesgos para aplicar directivas de acceso condicional para la autenticación multifactor.This guidance relies on this risk evaluation to apply Conditional Access policies for multi-factor authentication. Esta guía también incluye una directiva de acceso condicional que requiere que los usuarios cambien su contraseña si se detecta una actividad de alto riesgo para su cuenta.This guidance also includes a Conditional Access policy that requires users to change their password if high-risk activity is detected for their account. Microsoft 365 E5, Microsoft 365 E3 con las licencias Identity & Threat Protection Add-on, EMS E5 o Azure Premium P2Microsoft 365 E5, Microsoft 365 E3 with the Identity & Threat Protection add-on, EMS E5, or Azure Premium P2 licenses
Autoservicio de restablecimiento de contraseña (SSPR)Self-service password reset (SSPR) Permitir a los usuarios restablecer sus contraseñas de forma segura y sin intervención del servicio de asistencia técnica, mediante la comprobación de varios métodos de autenticación que el administrador puede controlar.Allow your users to reset their passwords securely and without help-desk intervention, by providing verification of multiple authentication methods that the administrator can control. Microsoft 365 E3 o E5Microsoft 365 E3 or E5
Protección con contraseña de Azure ADAzure AD password protection Detectar y bloquear contraseñas débiles conocidas y sus variantes y términos débiles adicionales específicos de la organización.Detect and block known weak passwords and their variants and additional weak terms that are specific to your organization. Las listas de contraseñas permitidas globales de forma predeterminada se aplican automáticamente a todos los usuarios de un inquilino de Azure AD.Default global banned password lists are automatically applied to all users in an Azure AD tenant. Puede definir entradas adicionales en una lista de contraseñas no permitidas personalizada.You can define additional entries in a custom banned password list. Cuando los usuarios cambian o restablecen sus contraseñas, estas listas de contraseñas prohibidas se comprueban para exigir el uso de contraseñas seguras.When users change or reset their passwords, these banned password lists are checked to enforce the use of strong passwords. Microsoft 365 E3 o E5Microsoft 365 E3 or E5

Componentes de la identidad y el acceso al dispositivo.

Microsoft IntuneMicrosoft Intune

Intune es el servicio de administración de dispositivos móviles basado en la nube de Microsoft.Intune is Microsoft's cloud-based mobile device management service. Esta guía recomienda la administración de dispositivos de Windows con Intune y recomienda la configuración de directivas de cumplimiento de dispositivos.This guidance recommends device management of Windows PCs with Intune and recommends device compliance policy configurations. Intune determina si los dispositivos son compatibles y envía los datos a Azure AD para usarlos cuando se aplican directivas de acceso condicional.Intune determines whether devices are compliant and sends this data to Azure AD to use when applying Conditional Access policies.

Protección de aplicaciones de IntuneIntune app protection

Las directivas de protección de aplicaciones de Intune se pueden usar para proteger los datos de su organización en aplicaciones móviles, con o sin inscribir los dispositivos en la administración.Intune app protection policies can be used to protect your organization's data in mobile apps, with or without enrolling devices into management. Intune ayuda a proteger la información, asegurándose de que sus empleados todavía puedan ser productivos y evitando la pérdida de datos.Intune helps protect information, making sure your employees can still be productive, and preventing data loss. Mediante la implementación de directivas de nivel de aplicación, puede restringir el acceso a los recursos de la empresa y mantener los datos dentro del control del Departamento de ti.By implementing app-level policies, you can restrict access to company resources and keep data within the control of your IT department.

En esta guía se muestra cómo crear directivas recomendadas para exigir el uso de aplicaciones aprobadas y determinar cómo se pueden usar estas aplicaciones con los datos profesionales.This guidance shows you how to create recommended policies to enforce the use of approved apps and to determine how these apps can be used with your business data.

Microsoft 365Microsoft 365

Esta guía le muestra cómo implementar un conjunto de directivas para proteger el acceso a los servicios en la nube de Microsoft 365, incluidos Microsoft Teams, Exchange Online, SharePoint Online y OneDrive para la empresa.This guidance shows you how to implement a set of policies to protect access to Microsoft 365 cloud services, including Microsoft Teams, Exchange Online, SharePoint Online, and OneDrive for Business. Además de implementar estas directivas, se recomienda aumentar también el nivel de protección del espacio empresarial con estos recursos:In addition to implementing these policies, we recommend you also raise the level of protection for your tenant using these resources:

Aplicaciones de Microsoft 365 para empresas y Windows 10Windows 10 and Microsoft 365 Apps for enterprise

Windows 10 con Microsoft 365 apps for Enterprise es el entorno de cliente recomendado para equipos PC.Windows 10 with Microsoft 365 Apps for enterprise is the recommended client environment for PCs. Recomendamos Windows 10 porque Azure está diseñado para proporcionar la experiencia más fluida posible tanto en local como en Azure AD.We recommend Windows 10 because Azure is designed to provide the smoothest experience possible for both on-premises and Azure AD. Windows 10 también incluye funciones de seguridad avanzada que se pueden administrar a través de Intune.Windows 10 also includes advanced security capabilities that can be managed through Intune. Microsoft 365 apps for Enterprise incluye las versiones más recientes de las aplicaciones de Office.Microsoft 365 Apps for enterprise includes the latest versions of Office applications. Estos usan la autenticación moderna, que es más segura y un requisito de acceso condicional.These use modern authentication, which is more secure and a requirement for Conditional Access. Estas aplicaciones también incluyen herramientas de seguridad y cumplimiento mejoradas.These apps also include enhanced security and compliance tools.

Aplicación de estas funcionalidades en los tres niveles de protecciónApplying these capabilities across the three tiers of protection

La siguiente tabla resume nuestras recomendaciones para usar estas capacidades en los tres niveles de protección.The following table summarizes our recommendations for using these capabilities across the three tiers of protection.

Mecanismo de protecciónProtection mechanism Línea baseBaseline ConfidencialSensitive Extremadamente reguladoHighly regulated
Exigir MFAEnforce MFA En riesgo de inicio de sesión medio o superiorOn medium or above sign-in risk En riesgo de inicio de sesión bajo o superiorOn low or above sign-in risk En todas las sesiones nuevasOn all new sessions
Exigir cambio de contraseñaEnforce password change Para usuarios de alto riesgoFor high-risk users Para usuarios de alto riesgoFor high-risk users Para usuarios de alto riesgoFor high-risk users
Exigir la protección de Intune ApplicationEnforce Intune application protection Yes Yes Yes
Exigir la inscripción de Intune para el dispositivo de propiedad de la organizaciónEnforce Intune enrollment for organization-owned device Requerir un equipo compatible o unido a un dominio, pero permite que los teléfonos y las tabletas de los dispositivos (BYOD)Require a compliant or domain-joined PC, but allow bring-your-own devices (BYOD) phones and tablets Requerir un dispositivo compatible o unido a un dominioRequire a compliant or domain-joined device Requerir un dispositivo compatible o unido a un dominioRequire a compliant or domain-joined device

Propiedad del dispositivoDevice ownership

La tabla anterior refleja la tendencia de muchas organizaciones para admitir una combinación de dispositivos propiedad de la organización, así como personal o BYODs para habilitar la productividad móvil en todo el personal.The above table reflects the trend for many organizations to support a mix of organization-owned devices, as well as personal or BYODs to enable mobile productivity across the workforce. Las directivas de protección de aplicaciones de Intune garantizan que el correo electrónico esté protegido de la exfiltrating de la aplicación móvil de Outlook y otras aplicaciones móviles de Office, tanto en los dispositivos que pertenecen a la organización como en BYODs.Intune app protection policies ensure that email is protected from exfiltrating out of the Outlook mobile app and other Office mobile apps, on both organization-owned devices and BYODs.

Se recomienda que los dispositivos de propiedad de la organización se administren con Intune o con un dominio Unido para aplicar protecciones y control adicionales.We recommend organization-owned devices be managed by Intune or domain-joined to apply additional protections and control. En función de la sensibilidad de los datos, su organización puede optar por no permitir BYODs para determinados grupos de usuarios o aplicaciones específicas.Depending on data sensitivity, your organization may choose to not allow BYODs for specific user populations or specific apps.

Pasos del proceso de configuración de la identidad y el acceso a dispositivosSteps in the process of configuring identity and device access

Pasos para configurar la identidad y el acceso al dispositivo.

  1. Configure las características de identidad de requisitos previos y su configuración.Configure prerequisite identity features and their settings.
  2. Configure las directivas de acceso condicional de acceso y de identidad comunes.Configure the common identity and access Conditional Access policies.
  3. Configurar directivas de acceso condicional para usuarios externos y invitados.Configure Conditional Access policies for guest and external users.
  4. Configure las directivas de acceso condicional para las aplicaciones en la nube de Microsoft 365, como Microsoft Teams, Exchange Online y SharePoint.Configure Conditional Access policies for Microsoft 365 cloud apps such as Microsoft Teams, Exchange Online, and SharePoint.

Paso siguienteNext step

Trabajo de requisitos previos para implementar directivas de acceso a dispositivos e identidadesPrerequisite work for implementing identity and device access policies