Guía de referencia de operaciones de administración de autenticación de Azure Active DirectoryAzure Active Directory Authentication management operations reference guide

En esta sección de la guía de referencia de operaciones de Azure AD se describen las comprobaciones y las acciones que debe realizar para proteger y administrar las credenciales, definir la experiencia de autenticación, delegar la asignación, medir el uso y definir directivas de acceso basadas en la posición de seguridad de la empresa.This section of the Azure AD operations reference guide describes the checks and actions you should take to secure and manage credentials, define authentication experience, delegate assignment, measure usage, and define access policies based on enterprise security posture.

Nota

Estas recomendaciones están actualizadas hasta la fecha de publicación, pero pueden cambiar con el tiempo.These recommendations are current as of the date of publishing but can change over time. Las organizaciones deben evaluar continuamente sus prácticas de identidad a medida que los productos y servicios de Microsoft evolucionen.Organizations should continuously evaluate their identity practices as Microsoft products and services evolve over time.

Procesos operativos claveKey operational processes

Asignación de propietarios a las tareas claveAssign owners to key tasks

La administración de Azure Active Directory requiere la ejecución continua de tareas y procesos operativos clave que pueden no formar parte de un proyecto de lanzamiento.Managing Azure Active Directory requires the continuous execution of key operational tasks and processes, which may not be part of a rollout project. Aun así, es importante que configure estas tareas con miras a optimizar su entorno.It is still important you set up these tasks to optimize your environment. Entre las tareas clave y sus propietarios recomendados se incluyen:The key tasks and their recommended owners include:

TareaTask PropietarioOwner
Administrar el ciclo de vida de la configuración de inicio de sesión único (SSO) en Azure ADManage lifecycle of single sign-on (SSO) configuration in Azure AD Equipo de operaciones IAMIAM Operations Team
Diseñar directivas de acceso condicional para aplicaciones de Azure ADDesign conditional access policies for Azure AD applications Equipo de arquitectura de InfoSecInfoSec Architecture Team
Archivar la actividad de inicio de sesión en un sistema SIEMArchive sign-in activity in a SIEM system Equipo de operaciones de InfoSecInfoSec Operations Team
Archivar eventos de riesgo en un sistema SIEMArchive risk events in a SIEM system Equipo de operaciones de InfoSecInfoSec Operations Team
Evaluar las propiedades e investigar las alertas de seguridadTriage and investigate security reports Equipo de operaciones de InfoSecInfoSec Operations Team
Evaluar las propiedades e investigar los eventos de seguridadTriage and investigate risk events Equipo de operaciones de InfoSecInfoSec Operations Team
Evaluar las propiedades e investigar los usuarios marcados en informes de vulnerabilidades y riesgos desde Azure AD Identity ProtectionTriage and investigate users flagged for risk and vulnerability reports from Azure AD Identity Protection Equipo de operaciones de InfoSecInfoSec Operations Team

Nota

Azure AD Identity Protection requiere una licencia de Azure AD Premium P2.Azure AD Identity Protection requires an Azure AD Premium P2 license. Para obtener la licencia correcta para sus requisitos, consulte Comparación de las características con disponibilidad general de las ediciones Azure AD Free y Azure AD Premium.To find the right license for your requirements, see Comparing generally available features of the Azure AD Free and Azure AD Premium editions.

A medida que revise la lista, es posible que tenga que asignar un propietario a las tareas que no tienen uno o ajustar la propiedad de aquellas tareas cuyos propietarios no se ajustan a las recomendaciones anteriores.As you review your list, you may find you need to either assign an owner for tasks that are missing an owner or adjust ownership for tasks with owners that aren't aligned with the recommendations above.

Administración de credencialesCredentials management

Directivas de contraseñaPassword policies

Administrar contraseñas de forma segura es una de las partes más destacadas de la administración de identidades y acceso y, a menudo, el objetivo más importante de los ataques.Managing passwords securely is one of the most critical parts of identity and access management and often the biggest target of attacks. Azure AD admite varias características que pueden ayudarle a evitar que un ataque tenga éxito.Azure AD supports several features that can help prevent an attack from being successful.

Use la tabla siguiente para encontrar la solución recomendada para mitigar el problema que debe abordarse:Use the table below to find the recommended solution for mitigating the issue that needs to be addressed:

ProblemaIssue RecomendaciónRecommendation
No hay ningún mecanismo que le proteja contra contraseñas poco segurasNo mechanism to protect against weak passwords Habilite el autoservicio de restablecimiento de contraseña (SSPR) y la protección con contraseña de Azure AD.Enable Azure AD self-service password reset (SSPR) and password protection
No hay ningún mecanismo para detectar contraseñas filtradasNo mechanism to detect leaked passwords Habilite la sincronización de hash de contraseñas (PHS) para obtener más detalles.Enable password hash sync (PHS) to gain insights
Se está usando AD FS y no es posible ir a la autenticación administradaUsing AD FS and unable to move to managed authentication Habilite el bloqueo inteligente de la extranet de AD FS o el bloqueo inteligente de Azure AD.Enable AD FS Extranet Smart Lockout and / or Azure AD Smart Lockout
La directiva de contraseñas usa reglas basadas en la complejidad, como la longitud, los conjuntos de varios caracteres o la caducidadPassword policy uses complexity-based rules such as length, multiple character sets, or expiration Reconsidere usar los procedimientos recomendados de Microsoft,cambie su enfoque a la administración de contraseñas e implemente la protección con contraseñas de Azure AD.Reconsider in favor of Microsoft Recommended Practices and switch your approach to password management and deploy Azure AD password protection.
Los usuarios no están registrados para usar la autenticación multifactor (MFA)Users aren't registered to use multi-factor authentication (MFA) Registre toda la información de seguridad del usuario de modo que se pueda usar como mecanismo para comprobar la identidad del usuario junto con su contraseña.Register all user's security information so it can be used as a mechanism to verify the user's identity along with their password
No hay ninguna revocación de contraseñas en función del riesgo del usuarioThere is no revocation of passwords based on user risk Implemente directivas de riesgo de usuario de Azure AD Identity Protection para forzar cambios de contraseña en credenciales perdidas mediante SSPR.Deploy Azure AD Identity Protection user risk policies to force password changes on leaked credentials using SSPR
No hay ningún mecanismo de bloqueo inteligente para proteger la autenticación malintencionada de actores no válidos procedentes de direcciones IP identificadasThere is no smart lockout mechanism to protect malicious authentication from bad actors coming from identified IP addresses Implemente la autenticación administrada mediante la nube con la sincronización de hash de contraseñas o mediante la autenticación de paso a través (PTA).Deploy cloud-managed authentication with either password hash sync or pass-through authentication (PTA)

Habilitar el autoservicio de restablecimiento de contraseña y la protección con contraseñaEnable self-service password reset and password protection

Los usuarios que necesitan cambiar o restablecer sus contraseñas son uno de los principales orígenes de volumen y costo debido a las llamadas que realizan al departamento de soporte técnico.Users needing to change or reset their passwords is one of the biggest sources of volume and cost of help desk calls. Además del costo, cambiar la contraseña como una herramienta para mitigar el riesgo de un usuario es un paso fundamental para mejorar la posición de seguridad de su organización.In addition to cost, changing the password as a tool to mitigate a user risk is a fundamental step in improving the security posture of your organization.

Como mínimo, se recomienda implementar el autoservicio de restablecimiento de contraseña (SSPR) de Azure AD y la protección de contraseñas local para realizar lo siguiente:At a minimum, it is recommended you deploy Azure AD self-service password reset (SSPR) and on-premises password protection to accomplish:

  • Desviar las llamadas del departamento de soporte técnico.Deflect help desk calls.
  • Reemplazar el uso de contraseñas temporales.Replace the use of temporary passwords.
  • Reemplazar cualquier solución de autoservicio de administración de contraseñas existente que se base en una solución local.Replace any existing self-service password management solution that relies on an on-premises solution.
  • Eliminar las contraseñas no seguras de su organización.Eliminate weak passwords in your organization.

Nota

En el caso de las organizaciones con una suscripción de Azure AD Premium P2, se recomienda implementar SSPR y usarlo como parte de una directiva de riesgo de usuario de Identity Protection.For organizations with an Azure AD Premium P2 subscription, it is recommended to deploy SSPR and use it as part of an Identity Protection User Risk Policy.

Administración segura de credencialesStrong credential management

Las contraseñas por sí mismas no son lo suficientemente seguras para evitar que los actores no válidos obtengan acceso a su entorno.Passwords by themselves aren't secure enough to prevent bad actors from gaining access to your environment. Como mínimo, cualquier usuario con una cuenta con privilegios debe estar habilitado para poder realizar la autenticación multifactor (MFA).At a minimum, any user with a privileged account must be enabled for multi-factor authentication (MFA). Idealmente, debe habilitar el registro combinado y requerir que todos los usuarios se registren en MFA y SSPR mediante la experiencia de registro combinada.Ideally, you should enable combined registration and require all users to register for MFA and SSPR using the combined registration experience. Asimismo, se recomienda adoptar una estrategia para proporcionar resistencia y así reducir el riesgo de bloqueo debido a circunstancias imprevistas.Eventually, we recommend you adopt a strategy to provide resilience to reduce the risk of lockout due to unforeseen circumstances.

Flujo de experiencia de usuario combinado

Resistencia de la autenticación a las interrupciones localesOn-premises outage authentication resiliency

Además de las ventajas de la simplicidad y la posibilidad de habilitar la detección de credenciales filtradas, la sincronización de hash de contraseñas (PHS) de Azure AD y Azure AD MFA permiten a los usuarios obtener acceso a las aplicaciones SaaS y a Microsoft 365 a pesar de las interrupciones locales debido a ciberataques, como NotPetya.In addition to the benefits of simplicity and enabling leaked credential detection, Azure AD Password Hash Sync (PHS) and Azure AD MFA allow users to access SaaS applications and Microsoft 365 in spite of on-premises outages due to cyberattacks such as NotPetya. También es posible habilitar PHS mientras esté usando la federación.It is also possible to enable PHS while in conjunction with federation. Si habilita PHS, podrá realizar una reserva de autenticación cuando los servicios de federación no estén disponibles.Enabling PHS allows a fallback of authentication when federation services aren't available.

Si la organización local no tiene una estrategia de resistencia frente a interrupciones o tiene una que no está integrada con Azure AD, debe implementar PHS de Azure AD y definir un plan de recuperación ante desastres que incluya PHS.If your on-premises organization is lacking an outage resiliency strategy or has one that isn't integrated with Azure AD, you should deploy Azure AD PHS and define a disaster recovery plan that includes PHS. Si habilita PHS de Azure AD, los usuarios podrán autenticarse en Azure AD si su instancia de Active Directory local no está disponible.Enabling Azure AD PHS will allow users to authenticate against Azure AD should your on-premises Active Directory be unavailable.

flujo de sincronización de hash de contraseñas

Para comprender mejor las opciones de autenticación, consulte Elegir el método de autenticación adecuado para la solución de identidad híbrida de Azure Active Directory.To better understand your authentication options, see Choose the right authentication method for your Azure Active Directory hybrid identity solution.

Uso de credenciales mediante programaciónProgrammatic usage of credentials

Los scripts de Azure AD que utilizan PowerShell o las aplicaciones que usan Microsoft Graph API requieren una autenticación segura.Azure AD scripts using PowerShell or applications using the Microsoft Graph API require secure authentication. La mala administración de credenciales que ejecutan esos scripts y herramientas aumenta el riesgo de robo de credenciales.Poor credential management executing those scripts and tools increase the risk of credential theft. Si usa scripts o aplicaciones que se basan en contraseñas codificadas de forma rígida o en mensajes de contraseñas, primero debe revisar las contraseñas de los archivos de configuración o el código fuente y, a continuación, reemplazar esas dependencias y usar las identidades administradas de Azure, la autenticación integrada de Windows o los certificados siempre que sea posible.If you are using scripts or applications that rely on hard-coded passwords or password prompts you should first review passwords in config files or source code, then replace those dependencies and use Azure Managed Identities, Integrated-Windows Authentication, or certificates whenever possible. En cuanto a aplicaciones donde no se puedan aplicar las soluciones anteriores, use Azure Key Vault.For applications where the previous solutions aren't possible, consider using Azure Key Vault.

Si ve que hay entidades de servicio con credenciales de contraseña y no está seguro de cómo los scripts o las aplicaciones protegen esas credenciales de contraseña, póngase en contacto con el propietario de la aplicación para comprender mejor los patrones de uso.If you determine that there are service principals with password credentials and you're unsure how those password credentials are secured by scripts or applications, contact the owner of the application to better understand usage patterns.

Microsoft también le recomienda que se ponga en contacto con los propietarios de las aplicaciones para comprender los patrones de uso, si es que existen entidades de servicio con credenciales de contraseña.Microsoft also recommends you contact application owners to understand usage patterns if there are service principals with password credentials.

Experiencia de autenticaciónAuthentication experience

Autenticación localOn-premises authentication

La autenticación federada con la Autenticación integrada de Windows (IWA) o la autenticación administrada de inicio de sesión único (SSO) de conexión directa con la sincronización de hash de contraseña o la autenticación de paso a través, es la mejor experiencia de usuario cuando use la red corporativa relacionada con los controladores de dominio locales.Federated Authentication with Integrated Windows Authentication (IWA) or Seamless Single Sign-On (SSO) managed authentication with password hash sync or pass-through authentication is the best user experience when inside the corporate network with line-of-sight to on-premises domain controllers. Gracias a ello, se minimiza la fatiga de la petición de credenciales y reduce el riesgo de que los usuarios caigan en ataques de suplantación de identidad.It minimizes credential prompt fatigue and reduces the risk of users falling prey to phishing attacks. Si ya usa la autenticación administrada en la nube con PHS o PTA, pero los usuarios todavía tienen que escribir su contraseña al autenticarse de forma local, debe implementar de inmediato el SSO de conexión directa.If you are already using cloud-managed authentication with PHS or PTA, but users still need to type in their password when authenticating on-premises, then you should immediately deploy Seamless SSO. Por otro lado, si está federado con planes para migrar definitivamente a la autenticación administrada en la nube, debe implementar el SSO de conexión directa como parte del proyecto de migración.On the other hand, if you are currently federated with plans to eventually migrate to cloud-managed authentication, then you should implement Seamless SSO as part of the migration project.

Directivas de acceso de confianza de dispositivosDevice trust access policies

Al igual que un usuario de su organización, un dispositivo es una identidad principal que desea proteger.Like a user in your organization, a device is a core identity you want to protect. Puede usar una identidad de dispositivo para proteger los recursos en cualquier momento y ubicación.You can use a device's identity to protect your resources at any time and from any location.  La autenticación del dispositivo y tener en cuenta su tipo de confianza mejoran la seguridad y facilidad de uso, ya que:Authenticating the device and accounting for its trust type improves your security posture and usability by:

Puede llevar a cabo este objetivo mediante la incorporación de identidades de dispositivo, y administrarlas en Azure AD mediante uno de los métodos siguientes:You can carry out this goal by bringing device identities and managing them in Azure AD by using one of the following methods:

  • Las organizaciones pueden usar Microsoft Intune para administrar el dispositivo y aplicar las directivas de cumplimiento, atestar el estado del dispositivo y establecer directivas de acceso condicional en función de si el dispositivo es compatible.Organizations can use Microsoft Intune to manage the device and enforce compliance policies, attest device health, and set conditional access policies based on whether the device is compliant. Microsoft Intune puede administrar dispositivos iOS, dispositivos de escritorio Mac (a través de la integración JAMF), dispositivos de escritorio de Windows (de modo nativo mediante la administración de dispositivos móviles para Windows 10 y la administración conjunta con Microsoft Endpoint Configuration Manager) y dispositivos móviles Android.Microsoft Intune can manage iOS devices, Mac desktops (Via JAMF integration), Windows desktops (natively using Mobile Device Management for Windows 10, and co-management with Microsoft Endpoint Configuration Manager) and Android mobile devices.
  • La combinación de Azure AD híbrido proporciona la opción de administrar contenido con directivas de grupo o Microsoft Endpoint Configuration Manager en un entorno con equipos unidos a un dominio de Active Directory.Hybrid Azure AD join provides management with Group Policies or Microsoft Endpoint Configuration Manager in an environment with Active Directory domain-joined computers devices. Las organizaciones pueden implementar un entorno administrado a través de PHS o PTA con un SSO de conexión directa.Organizations can deploy a managed environment either through PHS or PTA with Seamless SSO. Si lleva sus dispositivos a Azure AD, podrá maximizar la productividad de los usuarios a través de SSO en los recursos locales y en la nube, a la vez que protegerá el acceso a los recursos en la nube y locales con la opción de acceso condicional al mismo tiempo.Bringing your devices to Azure AD maximizes user productivity through SSO across your cloud and on-premises resources while enabling you to secure access to your cloud and on-premises resources with Conditional Access at the same time.

Si tiene dispositivos Windows unidos a un dominio que no están registrados en la nube, o dispositivos Windows unidos a un dominio que sí están registrados en la nube, pero sin directivas de acceso condicional, debe registrar los dispositivos no registrados y, en cualquier caso, usar la combinación de Azure AD híbrido como control de las directivas de acceso condicional.If you have domain-joined Windows devices that aren't registered in the cloud, or domain-joined Windows devices that are registered in the cloud but without conditional access policies, then you should register the unregistered devices and, in either case, use Hybrid Azure AD join as a control in your conditional access policies.

Una captura de pantalla para la concesión de acceso en la directiva de acceso condicional que requiere un dispositivo híbrido

Si está administrando dispositivos con MDM o Microsoft Intune, pero no usa controles de dispositivo en las directivas de acceso condicional, se recomienda usar la opción Requerir que el dispositivo esté marcado como compatible como control en esas directivas.If you are managing devices with MDM or Microsoft Intune, but not using device controls in your conditional access policies, then we recommend using Require device to be marked as compliant as a control in those policies.

Una captura de pantalla para la concesión de acceso en la directiva de acceso condicional que requiere un dispositivo compatible

Windows Hello para empresasWindows Hello for Business

En Windows 10, Windows Hello para empresas reemplaza las contraseñas por la autenticación en dos fases segura en equipos.In Windows 10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs. Windows Hello para empresas permite obtener una experiencia de MFA más simplificada para los usuarios y reduce la dependencia de las contraseñas.Windows Hello for Business enables a more streamlined MFA experience for users and reduces your dependency on passwords. Si no ha empezado a implementar dispositivos con Windows 10 o solo los ha implementado parcialmente, se recomienda actualizar a Windows 10 y habilitar Windows Hello para empresas en todos los dispositivos.If you haven't begun rolling out Windows 10 devices, or have only partially deployed them, we recommend you upgrade to Windows 10 and enable Windows Hello for Business on all devices.

Si quiere obtener más información sobre la autenticación sin contraseñas, consulte Un mundo sin contraseñas con Azure Active Directory.If you would like to learn more about passwordless authentication, see A world without passwords with Azure Active Directory.

Asignación y autenticación de la aplicaciónApplication authentication and assignment

Inicio de sesión único para aplicacionesSingle sign-on for apps

Proporcionar un mecanismo estándar de inicio de sesión único para toda la empresa es fundamental para mejorar la experiencia del usuario, reducir el riesgo, generar informes y facilitar el gobierno.Providing a standardized single sign-on mechanism to the entire enterprise is crucial for best user experience, reduction of risk, ability to report, and governance. Si usa aplicaciones que admiten SSO con Azure AD pero actualmente están configuradas para usar cuentas locales, debe volver a configurar esas aplicaciones para poder usar SSO con Azure AD.If you are using applications that support SSO with Azure AD but are currently configured to use local accounts, you should reconfigure those applications to use SSO with Azure AD. Del mismo modo, si usa cualquier aplicación que admita SSO con Azure AD pero usa otro proveedor de identidades, debe volver a configurar esas aplicaciones para usar SSO con Azure AD también.Likewise, if you are using any applications that support SSO with Azure AD but are using another Identity Provider, you should reconfigure those applications to use SSO with Azure AD as well. En el caso de las aplicaciones que no admiten protocolos de federación, pero que admiten la autenticación basada en formularios, se recomienda que configure la aplicación para usar el almacenamiento de contraseñas con Azure AD Application Proxy.For applications that don't support federation protocols but do support forms-based authentication, we recommend you configure the application to use password vaulting with Azure AD Application Proxy.

Inicio de sesión basado en contraseñas de AppProxy

Nota

Si no tiene un mecanismo para detectar aplicaciones no administradas en su organización, le recomendamos que implemente un proceso de detección mediante una solución de agente de seguridad de acceso a la nube (CASB), como Microsoft Cloud App Security.If you don't have a mechanism to discover unmanaged applications in your organization, we recommend implementing a discovery process using a cloud access security broker solution (CASB) such as Microsoft Cloud App Security.

Por último, si tiene una galería de aplicaciones de Azure AD y usa aplicaciones que admiten SSO con Azure AD, es recomendable enumerar la aplicación en la galería de aplicaciones.Finally, if you have an Azure AD app gallery and use applications that support SSO with Azure AD, we recommend listing the application in the app gallery.

Migración de aplicaciones de AD FS a Azure ADMigration of AD FS applications to Azure AD

La migración de aplicaciones desde AD FS a Azure AD habilita funcionalidades adicionales en cuanto a seguridad, capacidad de administración más coherente y una mejor experiencia de colaboración.Migrating apps from AD FS to Azure AD enables additional capabilities on security, more consistent manageability, and a better collaboration experience. Si tiene aplicaciones configuradas en AD FS que admiten SSO con Azure AD, debe volver a configurar esas aplicaciones para que usen SSO con Azure AD.If you have applications configured in AD FS that support SSO with Azure AD, then you should reconfigure those applications to use SSO with Azure AD. Si tiene aplicaciones configuradas en AD FS con configuraciones poco comunes y que no admite Azure AD, debe ponerse en contacto con los propietarios de la aplicación para saber si la configuración especial es un requisito absoluto de la aplicación.If you have applications configured in AD FS with uncommon configurations unsupported by Azure AD, you should contact the app owners to understand if the special configuration is an absolute requirement of the application. Si no es necesario, debe volver a configurar la aplicación para usar SSO con Azure AD.If it isn't required, then you should reconfigure the application to use SSO with Azure AD.

Azure AD como proveedor de identidades principal

Nota

Azure AD Connect Health para ADFS se puede usar para recopilar los detalles de configuración de cada aplicación que se pueda migrar a Azure AD.Azure AD Connect Health for ADFS can be used to collect configuration details about each application that can potentially be migrated to Azure AD.

Asignar usuarios a aplicacionesAssign users to applications

La asignación de usuarios a las aplicaciones se realiza mejor cuando se usan grupos, porque permiten una gran flexibilidad y la posibilidad de administrarlos a escala.Assigning users to applications is best mapped by using groups because they allow greater flexibility and ability to manage at scale. Las ventajas de usar grupos incluyen las opciones de pertenencia dinámica a grupos basada en atributos y de delegación a los propietarios de las aplicaciones.The benefits of using groups include attribute-based dynamic group membership and delegation to app owners. Por lo tanto, si ya usa y administra grupos, es recomendable realizar las siguientes acciones para mejorar la administración a escala:Therefore, if you are already using and managing groups, we recommend you take the following actions to improve management at scale:

  • Delegar la administración y la gobernanza de grupos a los propietarios de la aplicación.Delegate group management and governance to application owners.
  • Permitir el acceso de autoservicio a la aplicación.Allow self-service access to the application.
  • Definir grupos dinámicos si los atributos de usuario pueden determinar de forma coherente el acceso a las aplicaciones.Define dynamic groups if user attributes can consistently determine access to applications.
  • Implementar la atestación en los grupos que se usan para obtener acceso a las aplicaciones mediante la srevisiones de acceso de Azure AD.Implement attestation to groups used for application access using Azure AD access reviews.

Por otro lado, si encuentra aplicaciones que tienen una asignación a usuarios individuales, asegúrese de implementar la gobernanza en esas aplicaciones.On the other hand, if you find applications that have assignment to individual users, be sure to implement governance around those applications.

Directivas de accesoAccess policies

Ubicaciones con nombreNamed locations

Gracias a las ubicaciones con nombre en Azure AD, puede etiquetar intervalos de direcciones IP de confianza en su organización.With named locations in Azure AD, you can label trusted IP address ranges in your organization. Azure AD usa las ubicaciones con nombre para:Azure AD uses named locations to:

Ubicación con nombre

Según la prioridad, use la tabla siguiente para encontrar la solución recomendada que mejor se adapte a las necesidades de su organización:Based on priority, use the table below to find the recommended solution that best meets your organization's needs:

PrioridadPriority EscenarioScenario RecomendaciónRecommendation
11 Si usa PHS o PTA y no se han definido las ubicaciones con nombreIf you use PHS or PTA and named locations haven't been defined Defina las ubicaciones con nombre para mejorar la detección de eventos de riesgo.Define named locations to improve detection of risk events
22 Si está federado y no usa la notificaciones de tipo "insideCorporateNetwork" y si no se han definido las ubicaciones con nombreIf you are federated and don't use "insideCorporateNetwork" claim and named locations haven't been defined Defina las ubicaciones con nombre para mejorar la detección de eventos de riesgo.Define named locations to improve detection of risk events
33 Si no usa ubicaciones con nombre en las directivas de acceso condicional y no hay ningún riesgo ni controles de dispositivo en las directivas de acceso condicionalIf you don't use named locations in conditional access policies and there is no risk or device controls in conditional access policies Configure la directiva de acceso condicional para incluir ubicaciones con nombre.Configure the conditional access policy to include named locations
44 Si está federado y usa la notificación de tipo "insideCorporateNetwork" y no se han definido las ubicaciones con nombreIf you are federated and do use "insideCorporateNetwork" claim and named locations haven't been defined Defina las ubicaciones con nombre para mejorar la detección de eventos de riesgo.Define named locations to improve detection of risk events
55 Si usa direcciones IP de confianza con MFA en lugar de ubicaciones con nombre y las marca como de confianzaIf you are using trusted IP addresses with MFA rather than named locations and marking them as trusted Defina ubicaciones con nombre y márquelas como de confianza para mejorar la detección de eventos de riesgo.Define named locations and mark them as trusted to improve detection of risk events

Directivas de acceso basadas en riesgosRisk-based access policies

Azure AD puede calcular el riesgo de todos los inicios de sesión y de todos los usuarios.Azure AD can calculate the risk for every sign-in and every user. El uso del riesgo como criterio en las directivas de acceso puede proporcionar una experiencia de usuario mejor (por ejemplo, recibirá menos mensajes de autenticación y la seguridad será superior); solo debe preguntar a los usuarios cuando sea necesario y automatizar la respuesta y la corrección.Using risk as a criterion in access policies can provide a better user experience, for example, fewer authentication prompts, and better security, for example, only prompt users when they are needed, and automate the response and remediation.

Directiva de riesgo de inicio de sesión

Si ya posee licencias de Azure AD Premium P2 que admiten el uso del riesgo en las directivas de acceso, pero no se usan estas directivas, le recomendamos encarecidamente agregar riesgo a su posición de seguridad.If you already own Azure AD Premium P2 licenses that support using risk in access policies, but they aren't being used, we highly recommend adding risk to your security posture.

Directivas de acceso de aplicaciones clienteClient application access policies

La administración de aplicaciones de Microsoft Intune (MAM) ofrece la posibilidad de incorporar controles de protección de datos como el cifrado de almacenamiento, el PIN o la limpieza remota del almacenamiento a aplicaciones móviles cliente compatibles, como Outlook Mobile.Microsoft Intune Application Management (MAM) provides the ability to push data protection controls such as storage encryption, PIN, remote storage cleanup, etc. to compatible client mobile applications such as Outlook Mobile. Además, se pueden crear directivas de acceso condicional para restringir el acceso a servicios en la nube, como Exchange Online, desde aplicaciones aprobadas o compatibles.In addition, conditional access policies can be created to restrict access to cloud services such as Exchange Online from approved or compatible apps.

Si los empleados instalan aplicaciones compatibles con MAM, como aplicaciones móviles de Office, para obtener acceso a recursos corporativos como Exchange Online o SharePoint Online, y si también admite la opción BYOD (traiga su propio dispositivo), es recomendable implementar las directivas de MAM de la aplicación para administrar la configuración de la aplicación en dispositivos de su propiedad sin tener que realizar la inscripción de MDM; a continuación, solo debe actualizar las directivas de acceso condicional para permitir el acceso solo desde clientes compatibles con MAM.If your employees install MAM-capable applications such as Office mobile apps to access corporate resources such as Exchange Online or SharePoint Online, and you also support BYOD (bring your own device), we recommend you deploy application MAM policies to manage the application configuration in personally owned devices without MDM enrollment and then update your conditional access policies to only allow access from MAM-capable clients.

Control de concesiones de acceso condicional

Si los empleados instalan aplicaciones compatibles con MAM en recursos corporativos y el acceso está restringido en los dispositivos que administra Intune, debe considerar la posibilidad de implementar directivas MAM de aplicaciones, para así poder administrar la configuración de la aplicación en dispositivos personales. Actualice las directivas de acceso condicional para permitir el acceso solo desde clientes compatibles con MAM.Should employees install MAM-capable applications against corporate resources and access is restricted on Intune Managed devices, then you should consider deploying application MAM policies to manage the application configuration for personal devices, and update Conditional Access policies to only allow access from MAM capable clients.

Implementación del acceso condicionalConditional Access implementation

El acceso condicional es una herramienta esencial para mejorar la posición de seguridad de su organización.Conditional Access is an essential tool for improving the security posture of your organization. Por lo tanto, es importante que siga estos procedimientos recomendados:Therefore, it is important you follow these best practices:

  • Asegúrese de que todas las aplicaciones SaaS tienen al menos una directiva aplicada.Ensure that all SaaS applications have at least one policy applied
  • Evite combinar el filtro Todas las aplicaciones con el control de bloqueo, para evitar el riesgo de bloqueo.Avoid combining the All apps filter with the block control to avoid lockout risk
  • Evite usar la opción Todos los usuarios como filtro y agregar sin querer Invitados.Avoid using the All users as a filter and inadvertently adding Guests
  • Migre todas las directivas "heredadas" a Azure PortalMigrate all "legacy" policies to the Azure portal
  • Recopile todos los criterios de los usuarios, los dispositivos y las aplicaciones.Catch all criteria for users, devices, and applications
  • Use las directivas de acceso condicional para implementar MFA, en lugar de usar un MFA por usuario.Use Conditional Access policies to implement MFA, rather than using a per-user MFA
  • Conserve un pequeño conjunto de directivas básicas que se puedan aplicar a varias aplicaciones.Have a small set of core policies that can apply to multiple applications
  • Defina grupos de excepciones vacíos y agréguelos a las directivas para tener una estrategia de excepción.Define empty exception groups and add them to the policies to have an exception strategy
  • Planifique las cuentas de emergencia sin controles MFA.Plan for break glass accounts without MFA controls
  • Asegúrese de que proporciona una experiencia coherente entre las aplicaciones cliente de Microsoft 365 (por ejemplo, Teams, OneDrive u Outlook) al implementar el mismo conjunto de controles para servicios como Exchange Online y SharePoint Online.Ensure a consistent experience across Microsoft 365 client applications, for example, Teams, OneDrive, Outlook, etc.) by implementing the same set of controls for services such as Exchange Online and Sharepoint Online
  • Recuerde que la asignación a directivas debe implementarse a través de grupos, no de personas.Assignment to policies should be implemented through groups, not individuals
  • Realice revisiones periódicas de los grupos de excepciones que se usan en las directivas para limitar el tiempo que los usuarios no usan la posición de seguridad.Do regular reviews of the exception groups used in policies to limit the time users are out of the security posture. Si tiene Azure AD P2, puede usar las revisiones de acceso para automatizar el proceso.If you own Azure AD P2, then you can use access reviews to automate the process

Área expuesta de accesoAccess surface area

Autenticación heredadaLegacy authentication

Las credenciales seguras, como MFA, no pueden proteger las aplicaciones que usan protocolos de autenticación heredados, por lo que se convierten en el objetivo de ataque preferido de los actores malintencionados.Strong credentials such as MFA cannot protect apps using legacy authentication protocols, which make it the preferred attack vector by malicious actors. Bloquear la autenticación heredada es fundamental para mejorar la posición de seguridad de acceso.Locking down legacy authentication is crucial to improve the access security posture.

La autenticación heredada es un término que hace referencia a los protocolos de autenticación que usan aplicaciones como:Legacy authentication is a term that refers to authentication protocols used by apps like:

  • Clientes de Office antiguos que no usan la autenticación moderna (por ejemplo, un cliente de Office 2010).Older Office clients that don't use modern authentication (for example, Office 2010 client)
  • Clientes que usan protocolos de correo electrónico como IMAP/SMTP/POP.Clients that use mail protocols such as IMAP/SMTP/POP

Los atacantes prefieren estos protocolos; de hecho, casi el 100 % de los ataques de difusión de contraseñas usan protocolos de autenticación heredados.Attackers strongly prefer these protocols - in fact, nearly 100% of password spray attacks use legacy authentication protocols! Los hackers usan protocolos de autenticación heredados, ya que no admiten el inicio de sesión interactivo, que es necesario para superar otros desafíos de seguridad como la autenticación multifactor y la autenticación de dispositivos.Hackers use legacy authentication protocols, because they don't support interactive sign-in, which is needed for additional security challenges like multi-factor authentication and device authentication.

Si la autenticación heredada se usa ampliamente en su entorno, debe planear la migración de los clientes heredados a clientes que admitan una autenticación moderna lo antes posible.If legacy authentication is widely used in your environment, you should plan to migrate legacy clients to clients that support modern authentication as soon as possible. En el mismo token, si tiene algunos usuarios que ya usan la autenticación moderna, pero otros que siguen usando la autenticación heredada, debe realizar los siguientes pasos para bloquear a los clientes de autenticación heredada:In the same token, if you have some users already using modern authentication but others that still use legacy authentication, you should take the following steps to lock down legacy authentication clients:

  1. Use los informes de actividad de inicio de sesión para identificar a los usuarios que siguen usando la autenticación heredada y la corrección de planes:Use Sign-In Activity reports to identify users who are still using legacy authentication and plan remediation:

    a.a. Actualice los clientes con capacidad de autenticación moderna a los usuarios afectados.Upgrade to modern authentication capable clients to affected users.

    b.b. Planifique un período de tiempo de transición para realizar un bloqueo según los pasos siguientes.Plan a cutover timeframe to lock down per steps below.

    c.c. Identifique las aplicaciones heredadas que tengan una dependencia permanente en la autenticación heredada.Identify what legacy applications have a hard dependency on legacy authentication. Consulte el paso 3 que tiene a continuación.See step 3 below.

  2. Deshabilite los protocolos heredados en el origen (por ejemplo, el buzón de correo de Exchange) para los usuarios que no usen la autenticación heredada para así evitar una mayor exposición.Disable legacy protocols at the source (for example Exchange Mailbox) for users who aren't using legacy auth to avoid more exposure.

  3. En el caso de las cuentas restantes (idealmente, son las identidades no humanas, como las cuentas de servicio), use el acceso condicional para restringir los protocolos heredados después de la autenticación.For the remaining accounts (ideally non-human identities such as service accounts), use conditional access to restrict legacy protocols post-authentication.

En un ataque para otorgar consentimientos ilícito, el atacante crea una aplicación registrada en Azure AD que solicita acceso a ciertos datos, como la información de contacto, el correo electrónico o los documentos.In an illicit consent grant attack, the attacker creates an Azure AD-registered application that requests access to data such as contact information, email, or documents. Los usuarios pueden otorgar su consentimiento a aplicaciones malintencionadas a través de ataques de suplantación de identidad (phishing) al acceder a sitios web malintencionados.Users might be granting consent to malicious applications via phishing attacks when landing on malicious websites.

A continuación se muestra una lista de aplicaciones con permisos que es posible quiera examinar para los servicios en la nube de Microsoft:Below are a list of apps with permissions you might want to scrutinize for Microsoft cloud services:

  • Aplicaciones con permisos *.ReadWrite delegados o de aplicaciónApps with app or delegated *.ReadWrite Permissions
  • Aplicaciones con permisos delegados que pueden leer, enviar o administrar el correo electrónico en nombre del usuarioApps with delegated permissions can read, send, or manage email on behalf of the user
  • Aplicaciones a las que se concede el uso de los siguientes permisos:Apps that are granted the using the following permissions:
ResourceResource PermisoPermission
Exchange OnlineExchange Online EAS.AccessAsUser.AllEAS.AccessAsUser.All
EWS.AccessAsUser.AllEWS.AccessAsUser.All
Mail.ReadMail.Read
Microsoft Graph APIMicrosoft Graph API Mail.ReadMail.Read
Mail.Read.SharedMail.Read.Shared
Mail.ReadWriteMail.ReadWrite
  • Aplicaciones a las que se le concede la suplantación completa del usuario que inició sesión.Apps granted full user impersonation of the signed-in user. Por ejemplo:For example:
ResourceResource PermisoPermission
Microsoft Graph APIMicrosoft Graph API Directory.AccessAsUser.AllDirectory.AccessAsUser.All
API REST de AzureAzure REST API user_impersonationuser_impersonation

Para evitar este escenario, consulte Detectar y solucionar la concesión de consentimiento ilegal en Office 365 para identificar y corregir cualquier aplicación con concesiones ilícitas o aplicaciones que tengan más concesiones de las necesarias.To avoid this scenario, you should refer to detect and remediate illicit consent grants in Office 365 to identify and fix any applications with illicit grants or applications that have more grants than are necessary. A continuación, quite el autoservicio por completo y establezca los procedimientos de gobernanza.Next, remove self-service altogether and establish governance procedures. Por último, programe revisiones periódicas de los permisos de la aplicación y quítelos cuando no sean necesarios.Finally, schedule regular reviews of app permissions and remove them when they are not needed.

Configuración de usuario y de grupoUser and group settings

A continuación, se muestra la configuración de usuario y de grupo que se puede bloquear si no existe una necesidad empresarial explícita:Below are the user and group settings that can be locked down if there isn't an explicit business need:

Configuración de usuarioUser settings

  • Usuarios externos: la colaboración externa puede producirse de forma orgánica en la empresa mediante servicios como Teams, Power BI, SharePoint Online y Azure Information Protection.External Users - external collaboration can happen organically in the enterprise with services like Teams, Power BI, Sharepoint Online, and Azure Information Protection. Si tiene restricciones explícitas para controlar cualquier colaboración externa que inicie el usuario, es recomendable que habilite usuarios externos mediante la administración de derechos de Azure AD o con una operación controlada como, por ejemplo, a través del departamento de soporte técnico.If you have explicit constraints to control user-initiated external collaboration, it is recommended you enable external users by using Azure AD Entitlement management or a controlled operation such as through your help desk. Si no quiere permitir la colaboración externa orgánica en los servicios, puede impedir totalmente que los miembros inviten a usuarios externos.If you don't want to allow organic external collaboration for services, you can block members from inviting external users completely. Como alternativa, también puede permitir o bloquear dominios específicos en invitaciones de usuarios externos.Alternatively, you can also allow or block specific domains in external user invitations.
  • Registros de aplicaciones: cuando la característica Registros de aplicaciones está habilitada, los usuarios finales pueden incorporar aplicaciones y conceder acceso a sus datos.App Registrations - when App registrations are enabled, end users can onboard applications themselves and grant access to their data. Un ejemplo típico de la característica Registro de aplicaciones, son los usuarios que habilitan los complementos de Outlook o los asistentes de voz como Alexa y Siri que se usan para leer los correos electrónicos y el calendario, o para enviar correos electrónicos en su nombre.A typical example of App registration is users enabling Outlook plug-ins, or voice assistants such as Alexa and Siri to read their email and calendar or send emails on their behalf. Si el cliente decide desactivar Registro de aplicaciones, los equipos de InfoSec e IAM deben participar en la administración de excepciones (esto es, registros de aplicaciones que son necesarios según los requisitos empresariales), ya que tendrán que registrar las aplicaciones con una cuenta de administrador, y lo más probable es que necesite diseñar un proceso para poner en marcha esta operación.If the customer decides to turn off App registration, the InfoSec and IAM teams must be involved in the management of exceptions (app registrations that are needed based on business requirements), as they would need to register the applications with an admin account, and most likely require designing a process to operationalize the process.
  • Portal de administración: las organizaciones pueden bloquear la hoja de Azure AD en Azure Portal para que los usuarios que no sean administradores no puedan obtener acceso a la administración de Azure AD en Azure Portal y se confundan debido a ello.Administration Portal - organizations can lock down the Azure AD blade in the Azure portal so that non-administrators can't access Azure AD management in the Azure portal and get confused. Vaya a la configuración de usuario en el portal de administración de Azure AD para restringir el acceso:Go to the user settings in the Azure AD management portal to restrict access:

Acceso restringido del portal de administración

Nota

Los usuarios que no son administradores todavía pueden obtener acceso a las interfaces de administración de Azure AD a través de la línea de comandos u otras interfaces de programación.Non-adminstrators can still access to the Azure AD management interfaces via command-line and other programmatic interfaces.

Configuración de grupoGroup settings

Administración de grupos de autoservicio: los usuarios pueden crear grupos de seguridad o grupos de Microsoft 365.Self-Service Group Management / Users can create Security groups / Microsoft 365 groups. Si no hay ninguna iniciativa de autoservicio actual para los grupos en la nube, los clientes pueden decidir desactivarla hasta que estén listos para usar esta funcionalidad.If there is no current self-service initiative for groups in the cloud, customers might decide to turn it off until they are ready to use this capability.

Tráfico desde ubicaciones inesperadasTraffic from unexpected locations

Los atacantes son de varias partes del mundo.Attackers originate from various parts of the world. Administre este riesgo mediante el uso de directivas de acceso condicional con la ubicación establecida como condición.Manage this risk by using conditional access policies with location as the condition. La condición de ubicación de una directiva de acceso condicional le permite bloquear el acceso a ubicaciones donde no haya ningún motivo empresarial debido al cual se deba iniciar sesión.The location condition of a Conditional Access policy enables you to block access for locations from where there is no business reason to sign in from.

Creación de una nueva ubicación con nombre

Si está disponible, use una solución de Administración de eventos e información de seguridad (SIEM) para analizar y buscar patrones de acceso entre regiones.If available, use a security information and event management (SIEM) solution to analyze and find patterns of access across regions. Si no usa un producto SIEM o no ingiere información de autenticación de Azure AD, se recomienda usar Azure Monitor para identificar patrones de acceso entre regiones.If you don't use a SIEM product, or it isn't ingesting authentication information from Azure AD, we recommend you use Azure Monitor to identify patterns of access across regions.

Uso de accesoAccess usage

Registros de Azure AD archivados e integrados con planes de respuesta a incidentesAzure AD logs archived and integrated with incident response plans

Tener acceso a la actividad de inicio de sesión, las auditorías y los eventos de riesgo de Azure AD es fundamental para la solución de problemas, el análisis de uso y las investigaciones de análisis forense.Having access to sign-in activity, audits and risk events for Azure AD is crucial for troubleshooting, usage analytics, and forensics investigations. Azure AD proporciona acceso a estos orígenes a través de las API de REST que tienen un período de retención limitado.Azure AD provides access to these sources through REST APIs that have a limited retention period. Un sistema de Administración de eventos e información de seguridad (SIEM) o una tecnología de archivo equivalente, es fundamental para el almacenamiento a largo plazo de auditorías y compatibilidad.A security information and event management (SIEM) system, or equivalent archival technology, is key for long-term storage of audits and supportability. Para habilitar el almacenamiento a largo plazo de los registros de Azure AD, debe agregarlos a la solución SIEM existente o usar Azure Monitor.To enable long-term storage of Azure AD Logs, you must either add them to your existing SIEM solution or use Azure Monitor. Archive los registros que se puedan usar como parte de las investigaciones y los planes de respuesta a incidentes.Archive logs that can be used as part of your incident response plans and investigations.

ResumenSummary

Existen 12 aspectos en una infraestructura de identidades segura.There are 12 aspects to a secure Identity infrastructure. Esta lista le permitirá administrar y asegurar las credenciales, definir la experiencia de autenticación, delegar la asignación, medir el uso y definir las directivas de acceso basadas en la postura de seguridad de la empresa.This list will help you further secure and manage credentials, define authentication experience, delegate assignment, measure usage, and define access policies based on enterprise security posture.

  • Asignar propietarios a las tareas principales.Assign owners to key tasks.
  • Implementar soluciones para detectar contraseñas débiles o filtradas, mejore la protección y la administración de contraseñas y proteja aún más el acceso de los usuarios a los recursos.Implement solutions to detect weak or leaked passwords, improve password management and protection, and further secure user access to resources.
  • Administrar la identidad de los dispositivos para proteger los recursos en cualquier momento y desde cualquier ubicación.Manage the identity of devices to protect your resources at any time and from any location.
  • Implementar la autenticación con contraseña.Implement passwordless authentication.
  • Proporcionar un mecanismo de inicio de sesión único estandarizado en toda la organización.Provide a standardized single sign-on mechanism across the organization.
  • Migrar aplicaciones desde AD FS a Azure AD para obtener una seguridad mejor y una capacidad de administración más coherente.Migrate apps from AD FS to Azure AD to enable better security and more consistent manageability.
  • Asignar usuarios a las aplicaciones mediante el uso de grupos para permitir una mayor flexibilidad y capacidad administrativa a escala.Assign users to applications by using groups to allow greater flexibility and ability to manage at scale.
  • Configurar directivas de acceso basadas en riesgos.Configure risk-based access policies.
  • Bloquear los protocolos de autenticación heredados.Lock down legacy authentication protocols.
  • Detectar y corrija las opciones ilícitas para otorgar consentimiento.Detect and remediate illicit consent grants.
  • Bloquear la configuración de usuario y de grupo.Lock down user and group settings.
  • Habilitar el almacenamiento a largo plazo de registros de Azure AD para la solución de problemas, el análisis de uso y las investigaciones de análisis forense.Enable long-term storage of Azure AD logs for troubleshooting, usage analytics, and forensics investigations.

Pasos siguientesNext steps

Comience a trabajar con las comprobaciones y las acciones operativas de gobernanza de identidad.Get started with the Identity governance operational checks and actions.