Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure ADSecuring privileged access for hybrid and cloud deployments in Azure AD

La seguridad de los recursos empresariales depende de la integridad de las cuentas con privilegios que administran los sistemas de TI.The security of business assets depends on the integrity of the privileged accounts that administer your IT systems. Los atacantes cibernéticos usan ataques de robo de credenciales dirigidos a las cuentas de administrador y otros accesos con privilegios para intentar acceder a los datos confidenciales.Cyber-attackers use credential theft attacks to target admin accounts and other privileged access to try to gain access to sensitive data.

En el caso de los servicios en la nube, la prevención y la respuesta son responsabilidades conjuntas del proveedor de los servicios en la nube y del cliente.For cloud services, prevention and response are the joint responsibilities of the cloud service provider and the customer. Para más información acerca de las amenazas más recientes a los puntos de conexión y a la nube, consulte el informe de inteligencia de seguridad de Microsoft.For more information about the latest threats to endpoints and the cloud, see the Microsoft Security Intelligence Report. Este artículo puede ayudarlo a desarrollar un mapa de ruta que cubra el espacio existente entre sus planes actuales y las directrices que se describen aquí.This article can help you develop a roadmap toward closing the gaps between your current plans and the guidance described here.

Nota

Microsoft se compromete a ofrecer los mayores niveles de confianza, transparencia, así como de cumplimiento de estándares y reglamentaciones.Microsoft is committed to the highest levels of trust, transparency, standards conformance, and regulatory compliance. Aprenda no solo la forma en que el equipo de respuesta a incidentes globales de Microsoft mitiga los efectos de los ataques contra los servicios en la nube, sino también la forma en que se incorpora la seguridad en los productos empresariales y servicios en la nube de Microsoft en Microsoft Trust Center - Seguridady destinos de cumplimiento de Microsoft en Microsoft Trust Center - Cumplimiento normativo.Learn more about how the Microsoft global incident response team mitigates the effects of attacks against cloud services, and how security is built into Microsoft business products and cloud services at Microsoft Trust Center - Security and Microsoft compliance targets at Microsoft Trust Center - Compliance.

Tradicionalmente, la seguridad de la organización se centraba en los puntos de entrada y salida de una red, como el perímetro de seguridad.Traditionally, organizational security was focused on the entry and exit points of a network as the security perimeter. Sin embargo, las aplicaciones SaaS y los dispositivos personales en Internet han hecho que este enfoque sea menos eficaz.However, SaaS apps and personal devices on the Internet have made this approach less effective. En Azure AD, se reemplaza el perímetro de seguridad de red por la autenticación en la capa de identidad de la organización, bajo el control de los usuarios asignados a roles administrativos con privilegios.In Azure AD, we replace the network security perimeter with authentication in your organization's identity layer, with users assigned to privileged administrative roles in control. Su acceso debe estar protegido, independientemente de si el entorno es local, en la nube o híbrido.Their access must be protected, whether the environment is on-premises, cloud, or a hybrid.

La seguridad del acceso con privilegios requiere que se realicen cambios en:Securing privileged access requires changes to:

  • Los procesos, las prácticas administrativas y la administración del conocimiento.Processes, administrative practices, and knowledge management
  • Los componentes técnicos, como las defensas de los hosts, las protecciones de las cuentas y la administración de identidades.Technical components such as host defenses, account protections, and identity management

Proteja el acceso con privilegios de manera que se administre y se notifique en los servicios de Microsoft que le interesan.Secure your privileged access in a way that is managed and reported in the Microsoft services you care about. Si tiene cuentas administrativas locales, consulte la guía para el acceso con privilegios a entornos locales e híbridos en Active Directory en Protección del acceso con privilegios.If you have on-premises admin accounts, see the guidance for on-premises and hybrid privileged access in Active Directory at Securing Privileged Access.

Nota

Las directrices de este artículo hacen referencia principalmente a las características de Azure Active Directory que se incluyen en los planes P1 y P2 de Azure Active Directory Premium.The guidance in this article refers primarily to features of Azure Active Directory that are included in Azure Active Directory Premium plans P1 and P2. Azure Active Directory Premium P2 se incluye en los conjuntos EMS E5 y Microsoft 365 E5.Azure Active Directory Premium P2 is included in the EMS E5 suite and Microsoft 365 E5 suite. En esta guía se da por supuesto que la organización ya ha adquirido licencias de Azure AD Premium P2 para los usuarios.This guidance assumes your organization already has Azure AD Premium P2 licenses purchased for your users. Si no es así, es posible que algunas de las instrucciones no sean válidas para la organización.If you do not have these licenses, some of the guidance might not apply to your organization. Además, en este artículo, el término Administrador global tiene el mismo significado que "administrador de la empresa" o "Administrador de inquilinos".Also, throughout this article, the term Global Administrator means the same thing as "company administrator" or "tenant administrator."

Desarrollo de una hoja de rutaDevelop a roadmap

Microsoft recomienda que se desarrolle una hoja de ruta, y se siga, para proteger el acceso con privilegios frente a ciberatacantes.Microsoft recommends that you develop and follow a roadmap to secure privileged access against cyber attackers. Dicha hoja de ruta se puede ajustar en cualquier momento para adecuarla a las funcionalidades existentes y a los requisitos concretos de cualquier organización.You can always adjust your roadmap to accommodate your existing capabilities and specific requirements within your organization. Cada fase de la hoja de ruta debería no solo aumentar el costo que supone a los adversarios atacar el acceso con privilegios en los recursos locales, híbridos y en la nube, sino también dificultar dicho ataque.Each stage of the roadmap should raise the cost and difficulty for adversaries to attack privileged access for your on-premises, cloud, and hybrid assets. Microsoft recomienda las siguientes cuatro fases de la hoja de ruta.Microsoft recommends the following four roadmap stages. Programe primero las implementaciones más rápidas y eficaces.Schedule the most effective and the quickest implementations first. Este artículo puede ser una guía, basada en la experiencia de Microsoft con incidentes de ataques cibernéticos e implementación de respuestas.This article can be your guide, based on Microsoft's experiences with cyber-attack incident and response implementation. Las escalas de tiempo indicadas para esta hoja de ruta son aproximadas.The timelines for this roadmap are approximations.

Fases de la hoja de ruta con plazos:

  • Fase 1 (24 a 48 horas): elementos críticos que es aconsejable realizar de inmediatoStage 1 (24-48 hours): Critical items that we recommend you do right away

  • Fase 2 (2 a 4 semanas): mitigar las técnicas de ataque que se usan con más frecuenciaStage 2 (2-4 weeks): Mitigate the most frequently used attack techniques

  • Fase 3 (1 a 3 meses): crear visibilidad y crear control total de la actividad de administraciónStage 3 (1-3 months): Build visibility and build full control of admin activity

  • Fase 4 (seis meses y más allá): seguir creando defensas que protejan aún más la plataforma de seguridadStage 4 (six months and beyond): Continue building defenses to further harden your security platform

El marco de esta hoja de ruta está diseñado para maximizar el uso de tecnologías de Microsoft que es posible que ya haya implementado.This roadmap framework is designed to maximize the use of Microsoft technologies that you may have already deployed. Considere la posibilidad de vincular cualquier herramienta de seguridad de otros proveedores que ya haya implementado o que esté pensando implementar.Consider tying in to any security tools from other vendors that you have already deployed or are considering deploying.

Fase 1 Elementos críticos para hacer ahoraStage 1: Critical items to do right now

Fase 1, elementos críticos que se hacen primero

La fase 1 de la hoja de ruta se centra en tareas críticas que se implementan de forma rápida y sencilla.Stage 1 of the roadmap is focused on critical tasks that are fast and easy to implement. Se recomienda realizar estos pocos elementos de inmediato, en las primeras 24 a 48 horas, para garantizar un nivel básico de acceso con privilegios seguro.We recommend that you do these few items right away within the first 24-48 hours to ensure a basic level of secure privileged access. Esta fase de la hoja de ruta del acceso con privilegios protegido incluye las siguientes acciones:This stage of the Secured Privileged Access roadmap includes the following actions:

Preparación generalGeneral preparation

Activación de Azure AD Privileged Identity ManagementTurn on Azure AD Privileged Identity Management

Se recomienda activar Azure AD Privileged Identity Management (PIM) en el entorno de producción de Azure AD.We recommend that you turn on Azure AD Privileged Identity Management (PIM) in your Azure AD production environment. Tras activar PIM, recibirá mensajes de correo electrónico de notificación si se producen cambios en el rol de acceso con privilegios.After you turn on PIM, you'll receive notification email messages for privileged access role changes. Estas notificaciones proporcionan una advertencia anticipada cuando se agregan más usuarios a roles con privilegios elevados.Notifications provide early warning when additional users are added to highly privileged roles.

Azure AD Privileged Identity Management se incluye en Azure AD Premium P2 o EMS E5.Azure AD Privileged Identity Management is included in Azure AD Premium P2 or EMS E5. Para ayudar a proteger el acceso a las aplicaciones y los recursos locales y en la nube, regístrese para obtener la prueba gratuita de 90 días de Enterprise Mobility + Security.To help you protect access to applications and resources on-premises and in the cloud, sign up for the Enterprise Mobility + Security free 90-day trial. Azure AD Privileged Identity Management y Azure AD Identity Protection supervisan la actividad de seguridad con los informes, las auditorías y las alertas de Azure AD.Azure AD Privileged Identity Management and Azure AD Identity Protection monitor security activity using Azure AD reporting, auditing, and alerts.

Después de activar Azure AD Privileged Identity Management:After you turn on Azure AD Privileged Identity Management:

  1. Inicie sesión en Azure Portal con una cuenta que sea un Administrador global de la organización de producción de Azure AD.Sign in to the Azure portal with an account that is a Global Administrator of your Azure AD production organization.

  2. Para seleccionar la organización de Azure AD en la que desea usar Privileged Identity Management, seleccione el nombre de usuario en la esquina superior derecha de Azure Portal.To select the Azure AD organization where you want to use Privileged Identity Management, select your user name in the upper right-hand corner of the Azure portal.

  3. En el menú de Azure Portal, seleccione Todos los servicios y filtre la lista por Azure AD Privileged Identity Management.On the Azure portal menu, select All services and filter the list for Azure AD Privileged Identity Management.

  4. Abra Privileged Identity Management en la lista Todos los servicios y ánclelo al panel.Open Privileged Identity Management from the All services list and pin it to your dashboard.

Asegúrese de que a la primera persona que usa PIM en la organización se le asignan los roles de Administrador de seguridad y Administrador de roles con privilegios.Make sure the first person to use PIM in your organization is assigned to the Security administrator and Privileged role administrator roles. Los administradores de rol con privilegios son los únicos que pueden administrar las asignaciones de roles de directorio de Azure AD de los usuarios.Only privileged role administrators can manage the Azure AD directory role assignments of users. El asistente de seguridad de PIM le guía en la experiencia inicial de detección y asignación.The PIM security wizard walks you through the initial discovery and assignment experience. Ahora puede salir del asistente sin realizar ningún cambio adicional.You can exit the wizard without making any additional changes at this time.

Identificación y clasificación de las cuentas que están en roles con privilegios elevadosIdentify and categorize accounts that are in highly privileged roles

Después de activar Azure AD Privileged Identity Management, puede ver los usuarios con los siguientes roles de Azure AD:After turning on Azure AD Privileged Identity Management, view the users who are in the following Azure AD roles:

  • Administrador globalGlobal administrator
  • Administrador de roles con privilegiosPrivileged role administrator
  • Administrador de ExchangeExchange administrator
  • Administrador de SharePointSharePoint administrator

Si no dispone de Azure AD Privileged Identity Management en la organización, puede usar la API de PowerShell.If you don't have Azure AD Privileged Identity Management in your organization, you can use the PowerShell API. Comience por el rol Administrador global, ya que un administrador global tiene los mismos permisos en todos los servicios en la nube a los que la organización se ha suscrito.Start with the Global Administrator role because a Global Administrator has the same permissions across all cloud services for which your organization has subscribed. Estos permisos se conceden independientemente de dónde se hayan asignado: en el centro de administración de Microsoft 365, en Azure Portal o en el módulo de Azure AD para Microsoft PowerShell.These permissions are granted no matter where they were assigned: in the Microsoft 365 admin center, the Azure portal, or by the Azure AD module for Microsoft PowerShell.

Quite las cuentas que ya no sean necesarias en esos roles.Remove any accounts that are no longer needed in those roles. A continuación, clasifique las restantes que están asignadas a roles de administrador:Then, categorize the remaining accounts that are assigned to admin roles:

  • Asignadas a usuarios administrativos, pero utilizadas también para fines no administrativos (por ejemplo, correo electrónico personal).Assigned to administrative users, but also used for non-administrative purposes (for example, personal email)
  • Asignadas a usuarios administrativos y utilizadas solo para fines administrativos.Assigned to administrative users and used for administrative purposes only
  • Compartidas entre varios usuariosShared across multiple users
  • Para los escenarios de acceso de máxima emergenciaFor break-glass emergency access scenarios
  • Para scripts automatizadosFor automated scripts
  • Para usuarios externosFor external users

Definición de un mínimo de dos de cuentas de acceso de emergenciaDefine at least two emergency access accounts

Es posible que un usuario quede bloqueado de su rol accidentalmente.It's possible for a user to be accidentally locked out of their role. Por ejemplo, si un proveedor de identidades federado del entorno local no está disponible, los usuarios no pueden iniciar sesión ni activar una cuenta de administrador existente.For example, if a federated on-premises identity provider isn't available, users can't sign in or activate an existing administrator account. Puede prepararse para la falta accidental de acceso mediante el almacenamiento de dos o más cuentas de acceso de emergencia.You can prepare for accidental lack of access by storing two or more emergency access accounts.

Las cuentas de acceso de emergencia ayudan a restringir el acceso con privilegios en una organización de Azure AD.Emergency access accounts help restrict privileged access within an Azure AD organization. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos.These accounts are highly privileged and aren't assigned to specific individuals. Las cuentas de acceso de emergencia se limitan a situaciones "excepcionales" o de emergencia en las que no se pueden usar las cuentas administrativas normales.Emergency access accounts are limited to emergency for "break glass" scenarios where normal administrative accounts can't be used. Asegúrese de que controla y reduce el uso de la cuenta de emergencia solo al momento en el que sea necesario.Ensure that you control and reduce the emergency account's usage to only that time for which it's necessary.

Evalúe las cuentas que están asignadas al rol Administrador global o que son aptas para él.Evaluate the accounts that are assigned or eligible for the Global Administrator role. Si no ve ninguna cuenta que se use solo en la nube con el dominio *.onmicrosoft.com (para el acceso de emergencia "excepcional"), créela.If you don't see any cloud-only accounts using the *.onmicrosoft.com domain (for "break glass" emergency access), create them. Para más información, consulte Administración de cuentas administrativas de acceso de emergencia en Azure AD.For more information, see Managing emergency access administrative accounts in Azure AD.

Activación de la autenticación multifactor y registro de las restantes cuentas de administrador no federadas de usuario único con privilegios elevadosTurn on multi-factor authentication and register all other highly privileged single-user non-federated admin accounts

Requiera Azure AD Multi-Factor Authentication (MFA) en el inicio de sesión para todos los usuarios asignados de forma permanente a uno o varios de los roles de administrador de Azure AD: administrador global, administrador de roles con privilegios, administrador de Exchange y administrador de SharePoint.Require Azure AD Multi-Factor Authentication (MFA) at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles: Global administrator, Privileged Role administrator, Exchange administrator, and SharePoint administrator. Use la guía para habilitar Multi-Factor Authentication (MFA) en sus cuentas de administrador y asegúrese de que todos esos usuarios se hayan registrado en https://aka.ms/mfasetup.Use the guide to enable Multi-factor Authentication (MFA) for your admin accounts and ensure that all those users have registered at https://aka.ms/mfasetup. Puede encontrar más información en los pasos 2 y 3 de Protección del acceso a datos y servicios de Microsoft 365.More information can be found under step 2 and step 3 of the guide Protect access to data and services in Microsoft 365.

Fase 2: Mitigación de los ataques usados con más frecuenciaStage 2: Mitigate frequently used attacks

Fase 2, mitigación de ataques de que se usan con frecuencia

La fase 2 de la hoja de ruta se centra en mitigar las técnicas de ataque que se usan con más frecuencia para el robo y uso de credenciales y puede implementarse en aproximadamente 2 a 4 semanas.Stage 2 of the roadmap focuses on mitigating the most frequently used attack techniques of credential theft and abuse and can be implemented in approximately 2-4 weeks. Esta fase de la hoja de ruta del acceso con privilegios protegido incluye las siguientes acciones.This stage of the Secured Privileged Access roadmap includes the following actions.

Preparación generalGeneral preparation

Realice un inventario de los servicios, propietarios y administradoresConduct an inventory of services, owners, and admins

El aumento de las directivas "Bring your own device" (BYOD) y del trabajo desde casa, y el crecimiento de la conectividad inalámbrica hacen que sea fundamental supervisar quiénes se conectan a la red.The increase in "bring your own device" and work from home policies and the growth of wireless connectivity make it critical to monitor who is connecting to your network. Una auditoría de seguridad puede revelar los dispositivos, las aplicaciones y los programas de la red que la organización no admite y que representan un riesgo alto.A security audit can reveal devices, applications, and programs on your network that your organization doesn't support and that represent high risk. Para más información, consulte Información general sobre la administración y la supervisión de la seguridad en Azure.For more information, see Azure security management and monitoring overview. Asegúrese de que incluye las tareas siguientes en el proceso de inventario.Ensure that you include all of the following tasks in your inventory process.

  • Identifique a los usuarios que tengan roles administrativos y los servicios donde pueden administrarlos.Identify the users who have administrative roles and the services where they can manage.

  • Use Azure AD PIM para averiguar qué usuarios de la organización tienen acceso de administrador a Azure AD.Use Azure AD PIM to find out which users in your organization have admin access to Azure AD.

  • Más allá de los roles definidos en Azure AD, Microsoft 365 incluye un conjunto de roles de administrador que se pueden asignar a los usuarios de la organización.Beyond the roles defined in Azure AD, Microsoft 365 comes with a set of admin roles that you can assign to users in your organization. Cada rol de administrador se asigna a funciones empresariales comunes y proporciona a las personas de su organización permisos para realizar tareas específicas en el Centro de administración de Microsoft 365.Each admin role maps to common business functions, and gives people in your organization permissions to do specific tasks in the Microsoft 365 admin center. Use el Centro de administración de Microsoft 365 para averiguar qué usuarios de la organización tienen acceso de administrador a Microsoft 365, incluso mediante roles no administrados en Azure AD.Use the Microsoft 365 admin center to find out which users in your organization have admin access to Microsoft 365, including via roles not managed in Azure AD. Para más información, vea Acerca de los roles de administrador de Microsoft 365 y Procedimientos de seguridad para Office 365.For more information, see About Microsoft 365 admin roles and Security practices for Office 365.

  • Realice el inventario de los servicios utilizados en la organización, como Azure, Intune o Dynamics 365.Do the inventory in services your organization relies on, such as Azure, Intune, or Dynamics 365.

  • Asegúrese de que las cuentas que se usan con fines de administración:Ensure that your accounts that are used for administration purposes:

    • tienen asociadas direcciones de correo electrónico del trabajo yHave working email addresses attached to them
    • se han registrado en Azure AD Multi-Factor Authentication o utilizan MFA en el entorno local.Have registered for Azure AD Multi-Factor Authentication or use MFA on-premises
  • Pida a los usuarios su justificación comercial para el acceso administrativo.Ask users for their business justification for administrative access.

  • Quite el acceso de administrador a los usuarios y servicios que no lo necesiten.Remove admin access for those individuals and services that don't need it.

Identifique las cuentas de Microsoft que tengan roles administrativos y que deban cambiarse a cuentas profesionales o educativasIdentify Microsoft accounts in administrative roles that need to be switched to work or school accounts

Si los administradores globales iniciales reutilizaron sus credenciales de cuenta de Microsoft existentes cuando comenzaron a usar Azure AD, reemplace las cuentas de Microsoft por cuentas individuales basadas en la nube o sincronizadas.If your initial Global Administrators reuse their existing Microsoft account credentials when they began using Azure AD, replace the Microsoft accounts with individual cloud-based or synchronized accounts.

Asegúrese de que haya cuentas de usuario independientes y de que se lleve a cabo el reenvío de correos electrónicos para las cuentas de administrador globalesEnsure separate user accounts and mail forwarding for Global Administrator accounts

Los atacantes cibernéticos normalmente suplantan cuentas de correo electrónico personales, un riesgo que hace que las direcciones de correo electrónico personales no sean aceptables como cuentas de administrador global.Personal email accounts are regularly phished by cyber attackers, a risk that makes personal email addresses unacceptable for Global Administrator accounts. Para ayudar a separar los riesgos de Internet de los privilegios administrativos, cree cuentas dedicadas para cada usuario con privilegios administrativos.To help separate internet risks from administrative privileges, create dedicated accounts for each user with administrative privileges.

  • Asegúrese de crear cuentas independientes para los usuarios que van a realizar tareas de administrador global.Be sure to create separate accounts for users to do Global Administrator tasks.
  • Asegúrese de que los administradores globales no abran mensajes de correo electrónico accidentalmente ni ejecuten programas con sus cuentas de administrador.Make sure that your Global Administrators don't accidentally open emails or run programs with their admin accounts.
  • Asegúrese de que el correo electrónico de dichas cuentas se reenvía a un buzón activo.Be sure those accounts have their email forwarded to a working mailbox.
  • Las cuentas de administrador global (y otros grupos con privilegios) deben ser cuentas solo en la nube sin vínculos a Active Directory local.Global Administrator (and other privileged groups) accounts should be cloud-only accounts with no ties to on-premises Active Directory.

Asegúrese de que las contraseñas de las cuentas administrativas han cambiado recientementeEnsure the passwords of administrative accounts have recently changed

Asegúrese de que todos los usuarios han iniciado sesión en sus cuentas administrativas y han cambiado sus contraseñas al menos una vez en los últimos 90 días.Ensure all users have signed into their administrative accounts and changed their passwords at least once in the last 90 days. Además, compruebe que las contraseñas de las cuentas compartidas han cambiado recientemente.Also, verify that any shared accounts have had their passwords changed recently.

Activación de la sincronización de hashes de contraseñasTurn on password hash synchronization

Azure AD Connect sincroniza un hash del hash de la contraseña de un usuario de Active Directory local con una organización de Azure AD basada en la nube.Azure AD Connect synchronizes a hash of the hash of a user's password from on-premises Active Directory to a cloud-based Azure AD organization. Puede usar la sincronización de hash de contraseña como copia de seguridad si usa la federación con Active Directory Federation Services (AD FS).You can use password hash synchronization as a backup if you use federation with Active Directory Federation Services (AD FS). Esta copia de seguridad puede ser útil si los servidores locales de Active Directory o AD FS no están disponibles temporalmente.This backup can be useful if your on-premises Active Directory or AD FS servers are temporarily unavailable.

La sincronización de hash de contraseña permite que los usuarios inicien sesión en un servicio con la misma contraseña que usan para iniciar sesión en su instancia local de Active Directory.Password hash sync enables users to sign in to a service by using the same password they use to sign in to their on-premises Active Directory instance. La sincronización de hash de contraseña permite a Identity Protection detectar credenciales en peligro mediante la comparación de los hashes de contraseña con contraseñas que se sabe que están en peligro.Password hash sync allows Identity Protection to detect compromised credentials by comparing password hashes with passwords known to be compromised. Para más información, consulte Implementación de la sincronización de hash de contraseñas con la sincronización de Azure AD Connect.For more information, see Implement password hash synchronization with Azure AD Connect sync.

Requisito de autenticación multifactor para los usuarios en roles con privilegios elevados y usuarios expuestosRequire multi-factor authentication for users in privileged roles and exposed users

Azure AD recomienda aplicar la autenticación multifactor (MFA) a todos los usuarios.Azure AD recommends that you require multi-factor authentication (MFA) for all of your users. No olvide a los usuarios que podrían tener un impacto significativo si su cuenta estuviera en peligro (por ejemplo, los responsables financieros).Be sure to consider users who would have a significant impact if their account were compromised (for example, financial officers). MFA reduce el riesgo de ataques debidos a que una contraseña se ha puesto en peligro.MFA reduces the risk of an attack because of a compromised password.

Active:Turn on:

Si usa Windows Hello para empresas, el requisito de MFA se puede cumplir con la experiencia de inicio de sesión de Windows Hello.If you use Windows Hello for Business, the MFA requirement can be met using the Windows Hello sign-in experience. Para más información, consulte Windows Hello.For more information, see Windows Hello.

Configure Identity ProtectionConfigure Identity Protection

Azure AD Identity Protection es una herramienta de supervisión y generación de informes basada en algoritmos que detecta posibles vulnerabilidades que afectan a las identidades de la organización.Azure AD Identity Protection is an algorithm-based monitoring and reporting tool that detects potential vulnerabilities affecting your organization's identities. Puede configurar respuestas automáticas a las actividades sospechosas detectadas y realizar la acción apropiada para resolverlas.You can configure automated responses to those detected suspicious activities, and take appropriate action to resolve them. Para obtener más información, consulte Azure Active Directory Identity Protection.For more information, see Azure Active Directory Identity Protection.

Obtención de la puntuación de seguridad de Microsoft 365 (si se usa Microsoft 365)Obtain your Microsoft 365 Secure Score (if using Microsoft 365)

La puntuación de seguridad examina la configuración y las actividades de los servicios de Microsoft 365 que usa, y las compara con una base de referencia establecida por Microsoft.Secure Score looks at your settings and activities for the Microsoft 365 services you're using and compares them to a baseline established by Microsoft. Obtendrá una puntuación que se basa en su grado de alineación con los procedimientos de seguridad.You'll get a score based on how aligned you are with security practices. Cualquiera que tenga permisos de administrador en una suscripción de Microsoft 365 Business Standard o Enterprise puede acceder a la Puntuación de seguridad en https://securescore.office.com.Anyone who has the admin permissions for a Microsoft 365 Business Standard or Enterprise subscription can access the Secure Score at https://securescore.office.com.

Revisión de la guía de seguridad y cumplimiento de Microsoft 365 (si usa Microsoft 365)Review the Microsoft 365 security and compliance guidance (if using Microsoft 365)

El plan de seguridad y cumplimiento describe el enfoque para que los clientes configuren Office 365 y para habilitar otras funcionalidades de EMS.The plan for security and compliance outlines the approach for an Office 365 customer to configure Office 365 and enable other EMS capabilities. Luego, lea los pasos 3-6 de Protección del acceso a datos y servicios de Microsoft 365 y la guía para supervisar la seguridad y el cumplimiento en Microsoft 365.Then, review steps 3-6 of how to Protect access to data and services in Microsoft 365 and the guide for how to monitor security and compliance in Microsoft 365.

Configuración de la supervisión de la actividad de Microsoft 365 (si usa Microsoft 365)Configure Microsoft 365 Activity Monitoring (if using Microsoft 365)

Supervise a los usuarios de la organización que usan Microsoft 365 para identificar al personal que tiene una cuenta de administrador, pero que podría no necesitar acceso a Microsoft 365 porque no inician sesión en esos portales.Monitor your organization for users who are using Microsoft 365 to identify staff who have an admin account but might not need Microsoft 365 access because they don't sign in to those portals. Para más información, consulte Informes de actividades en el Centro de administración de Microsoft 365.For more information, see Activity reports in the Microsoft 365 admin center.

Establezca los propietarios de plan de respuesta ante incidentes o emergenciasEstablish incident/emergency response plan owners

El establecimiento de una funcionalidad adecuada de respuesta ante incidentes requiere una planeación y unos recursos considerables.Establishing a successful incident response capability requires considerable planning and resources. Debe supervisar continuamente en busca de ataques cibernéticos y establecer prioridades para el tratamiento de incidentes.You must continually monitor for cyber-attacks and establish priorities for incident handling. Recopile, analice y genere informes de datos de incidentes para crear relaciones y establecer comunicación con otros grupos internos y propietarios del plan.Collect, analyze, and report incident data to build relationships and establish communication with other internal groups and plan owners. Para más información, consulte Centro de respuesta de seguridad de Microsoft.For more information, see Microsoft Security Response Center.

Proteja las cuentas administrativas con privilegios locales, si no lo ha hechoSecure on-premises privileged administrative accounts, if not already done

Si la organización de Azure Active Directory está sincronizada con la instancia local de Active Directory, siga las instrucciones que encontrará en Mapa de ruta para proteger el acceso con privilegios: Esta fase incluye:If your Azure Active Directory organization is synchronized with on-premises Active Directory, then follow the guidance in Security Privileged Access Roadmap: This stage includes:

  • Creación de cuentas de administrador independientes para aquellos usuarios que deban llevar a cabo tareas administrativas en el entorno localCreating separate admin accounts for users who need to conduct on-premises administrative tasks
  • Implementación de estaciones de trabajo con acceso con privilegios para los administradores de Active DirectoryDeploying Privileged Access Workstations for Active Directory administrators
  • Creación de contraseñas de administrador locales únicas para estaciones de trabajo y servidoresCreating unique local admin passwords for workstations and servers

Pasos adicionales para las organizaciones que administran el acceso a AzureAdditional steps for organizations managing access to Azure

Complete un inventario de suscripcionesComplete an inventory of subscriptions

Utilice Enterprise Portal y Azure Portal para identificar las suscripciones de la organización que hospedan aplicaciones de producción.Use the Enterprise portal and the Azure portal to identify the subscriptions in your organization that host production applications.

Eliminación de cuentas de Microsoft de roles de administradorRemove Microsoft accounts from admin roles

Las cuentas Microsoft de otros programas, como Xbox, Live y Outlook, no deben usarse como cuentas de administrador para las suscripciones de la organización.Microsoft accounts from other programs, such as Xbox, Live, and Outlook, shouldn't be used as administrator accounts for your organization's subscriptions. Elimine el estado de administrador de todas las cuentas Microsoft y sustitúyalas por cuentas profesionales o educativas de Azure AD (por ejemplo, chris@contoso.com).Remove admin status from all Microsoft accounts, and replace with Azure AD (for example, chris@contoso.com) work or school accounts. Para fines administrativos, utilice cuentas que se autentican en Azure AD y no en otros servicios.For admin purposes, depend on accounts that are authenticated in Azure AD and not in other services.

Supervise la actividad de AzureMonitor Azure activity

El registro de actividad de Azure proporciona un historial de los eventos de nivel de suscripción en Azure.The Azure Activity Log provides a history of subscription-level events in Azure. Ofrece información acerca de quién creó, actualizó o eliminó los recursos y cuándo se produjeron estos eventos.It offers information about who created, updated, and deleted what resources, and when these events occurred. Para más información, consulte, Auditoría y recepción de notificaciones sobre las acciones importantes en su suscripción de Azure.For more information, see Audit and receive notifications about important actions in your Azure subscription.

Pasos adicionales para las organizaciones que administran el acceso a otras aplicaciones en la nube a través de Azure ADAdditional steps for organizations managing access to other cloud apps via Azure AD

Configuración de directivas de acceso condicionalConfigure Conditional Access policies

Prepare directivas de acceso condicional tanto para las aplicaciones locales como para las hospedadas en la nube.Prepare Conditional Access policies for on-premises and cloud-hosted applications. Si los usuarios han unido dispositivos al área de trabajo, obtenga más información de Configuración del acceso condicional local mediante el registro de dispositivos de Azure Active Directory.If you have users workplace joined devices, get more information from Setting up on-premises Conditional Access by using Azure Active Directory device registration.

Fase 3: Toma de control de la actividad administrativaStage 3: Take control of admin activity

Fase 3: Toma de control de la actividad administrativa

La fase 3 se basa en las mitigaciones de riesgos de la fase 2 y se implementará en aproximadamente 1 a 3 meses.Stage 3 builds on the mitigations from Stage 2 and should be implemented in approximately 1-3 months. Esta fase de la hoja de ruta del acceso con privilegios protegido incluye los siguientes componentes.This stage of the Secured Privileged Access roadmap includes the following components.

Preparación generalGeneral preparation

Complete una revisión de acceso de los usuarios en roles de administradorComplete an access review of users in administrator roles

Un mayor número de usuarios corporativos obtienen acceso con privilegios mediante los servicios en la nube, lo que puede llevar a un acceso no administrado.More corporate users are gaining privileged access through cloud services, which can lead to un-managed access. Actualmente, los usuarios se pueden convertir en administradores globales de Microsoft 365, administradores de suscripciones de Azure o tener acceso de administrador a las máquinas virtuales o mediante aplicaciones SaaS.Users today can become Global Administrators for Microsoft 365, Azure subscription administrators, or have admin access to VMs or via SaaS apps.

La organización debe hacer que los empleados realicen las transacciones empresariales ordinarias como usuarios sin privilegios y, después, conceder derechos de administrador solo cuando sea necesario.Your organization should have all employees handle ordinary business transactions as unprivileged users, and then grant admin rights only as needed. Realice revisiones del acceso para identificar y confirmar a aquellos usuarios que son aptos para activar privilegios administrativos.Complete access reviews to identify and confirm the users who are eligible to activate admin privileges.

Se recomienda que:We recommend that you:

  1. Determine qué usuarios son administradores de Azure AD, habilite el acceso de administrador Just-in-Time a petición y los controles de seguridad basados en rol.Determine which users are Azure AD admins, enable on-demand, just-in-time admin access, and role-based security controls.
  2. Convierta los usuarios que no tengan una justificación clara para el acceso de administrador con privilegios a otro rol (si ninguna de las funciones es apta, quítelas).Convert users who have no clear justification for admin privileged access to a different role (if no eligible role, remove them).

Continúe con el lanzamiento de una autenticación más segura para todos los usuariosContinue rollout of stronger authentication for all users

Requiera que los usuarios con una exposición alta utilicen una autenticación sólida y moderna como Azure AD MFA o Windows Hello.Require highly exposed users to have modern, strong authentication such as Azure AD MFA or Windows Hello. Algunos ejemplos de usuarios con alta exposición son:Examples of highly exposed users include:

  • Ejecutivos de máximo rangoC-suite executives
  • Administradores de alto nivelHigh-level managers
  • Personal crítico de TI y seguridadCritical IT and security personnel

Use estaciones de trabajo dedicados para la administración de Azure ADUse dedicated workstations for administration for Azure AD

Los atacantes podrían intentar dirigirse a cuentas con privilegios con el fin de manipular la integridad y la autenticidad de los datos.Attackers might try to target privileged accounts so that they can disrupt the integrity and authenticity of data. A menudo usan código malintencionado que altera la lógica del programa o vigila si el administrador escribe una credencial.They often use malicious code that alters the program logic or snoops the admin entering a credential. Las estaciones de trabajo con privilegios de acceso (PAW) proporcionan un sistema operativo dedicado para tareas delicadas protegido contra ataques de Internet y vectores de amenazas.Privileged Access Workstations (PAWs) provide a dedicated operating system for sensitive tasks that is protected from Internet attacks and threat vectors. La separación de estas tareas confidenciales y las cuentas de los dispositivos y las estaciones de trabajo de uso diario proporciona una protección segura frente a:Separating these sensitive tasks and accounts from the daily use workstations and devices provides strong protection from:

  • Ataques de suplantación de identidad (phishing).Phishing attacks
  • Vulnerabilidades del sistema operativo y las aplicaciones.Application and operating system vulnerabilities
  • Ataques de suplantación.Impersonation attacks
  • Ataques de robo de credenciales, como el registro de pulsaciones de teclas, Pass-the-Hash y Pass-the-Ticket.Credential theft attacks such as keystroke logging, Pass-the-Hash, and Pass-The-Ticket

Mediante la implementación de estaciones de trabajo de acceso con privilegios, se puede reducir el riesgo de que los administradores escriban las credenciales de administrador en un entorno de escritorio que no se haya protegido.By deploying privileged access workstations, you can reduce the risk that admins enter their credentials in a desktop environment that hasn't been hardened. Para más información, consulte Estaciones de trabajo con privilegios de acceso.For more information, see Privileged Access Workstations.

Consulte las recomendaciones de control de incidentes que realiza el Instituto Nacional de Normas y TecnologíaReview National Institute of Standards and Technology recommendations for handling incidents

El National Institute of Standards and Technology (NIST) proporciona directrices para el control de incidentes, especialmente para analizar los datos relacionados con estos y determinar la respuesta más apropiada en cada caso.The National Institute of Standards and Technology's (NIST) provides guidelines for incident handling, particularly for analyzing incident-related data and determining the appropriate response to each incident. Para más información, consulte la guía para el control de incidentes de seguridad en los equipos del NIST (SP 800-61, revisión 2).For more information, see The (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2).

Implemente Privileged Identity Management (PIM) para JIT en más roles administrativosImplement Privileged Identity Management (PIM) for JIT to additional administrative roles

En el caso de Azure Active Directory, use la funcionalidad Azure AD Privileged Identity Management.For Azure Active Directory, use Azure AD Privileged Identity Management capability. La activación por tiempo limitado de roles con privilegios funciona mediante la habilitación para:Time-limited activation of privileged roles works by enabling you to:

  • Activar los privilegios de administrador para llevar a cabo una tarea específica.Activate admin privileges to do a specific task

  • Exigir MFA durante el proceso de activaciónEnforce MFA during the activation process

  • Usar alertas para informar a los administradores acerca de los cambios fuera de bandaUse alerts to inform admins about out-of-band changes

  • Permitir a los usuarios conservar su acceso con privilegios durante un período previamente configurado.Enable users to keep their privileged access for a pre-configured amount of time

  • Permitir a los administradores de seguridad:Allow security admins to:

    • Detectar todas las identidades con privilegios.Discover all privileged identities
    • Ver informes de auditoría.View audit reports
    • Crear revisiones de acceso para identificar a todos aquellos usuarios que sean aptos para activar privilegios administrativos.Create access reviews to identify every user who is eligible to activate admin privileges

Si ya usa Azure AD Privileged Identity Management, ajuste los períodos de tiempo de los privilegios con tiempo limitado, según sea necesario (por ejemplo, las ventanas de mantenimiento).If you're already using Azure AD Privileged Identity Management, adjust timeframes for time-bound privileges as necessary (for example, maintenance windows).

Determine la exposición a protocolos de inicio de sesión mediante contraseña (si usa Exchange Online)Determine exposure to password-based sign-in protocols (if using Exchange Online)

Se recomienda identificar a todos los posibles usuarios con credenciales que resultaría catastrófico para la organización que se vieran en peligro.We recommend you identify every potential user who could be catastrophic to the organization if their credentials were compromised. Para esos usuarios, aplique requisitos de autenticación seguros y use el acceso condicional de Azure AD para evitar que inicien sesión en su correo electrónico con el nombre de usuario y la contraseña.For those users, put in place strong authentication requirements and use Azure AD Conditional Access to keep them from signing in to their email using username and password. Puede bloquear la autenticación heredada mediante el acceso condicional y bloquear la autenticación básica mediante Exchange Online.You can block legacy authentication using Conditional Access, and you can block basic authentication through Exchange online.

Realización de una valoración del examen de los roles de Microsoft 365 (si usa Microsoft 365)Complete a roles review assessment for Microsoft 365 roles (if using Microsoft 365)

Evalúe si todos los usuarios administradores están en los roles correctos (elimínelos y vuelva a asignarlos en función de esta evaluación).Assess whether all admins users are in the correct roles (delete and reassign according to this assessment).

Análisis del enfoque de administración de incidentes de seguridad usado en Microsoft 365 y comparación con la propia organizaciónReview the security incident management approach used in Microsoft 365 and compare with your own organization

Este informe se puede descargar de Administración de incidentes de seguridad en Microsoft 365.You can download this report from Security Incident Management in Microsoft 365.

Continúe con la protección de las cuentas administrativas con privilegios localesContinue to secure on-premises privileged administrative accounts

Si Azure Active Directory está conectado con la instancia local de Active Directory, siga las instrucciones de Hoja de ruta de la seguridad del acceso con privilegios: Fase 2.If your Azure Active Directory is connected to on-premises Active Directory, then follow the guidance in the Security Privileged Access Roadmap: Stage 2. En esta fase, puede:In this stage, you:

  • Implementar estaciones de trabajo con acceso con privilegios para todos los administradores.Deploy Privileged Access Workstations for all administrators
  • Requerir MFARequire MFA
  • Usar solo la administración necesaria para el mantenimiento del controlador de dominio, reduciendo así la superficie de ataque de los dominios.Use Just Enough Admin for domain controller maintenance, lowering the attack surface of domains
  • Implementar la evaluación de amenazas avanzada para la detección de ataques.Deploy Advanced Threat Assessment for attack detection

Pasos adicionales para las organizaciones que administran el acceso a AzureAdditional steps for organizations managing access to Azure

Establezca la supervisión integradaEstablish integrated monitoring

Azure Security Center:The Azure Security Center:

  • Permite supervisar la seguridad y administrar las directivas integradas en las suscripciones de Azure.Provides integrated security monitoring and policy management across your Azure subscriptions
  • Ayuda a detectar amenazas que podrían pasar desapercibidas de otro modo.Helps detect threats that may otherwise go unnoticed
  • Funciona con una amplia gama de soluciones de seguridadWorks with a broad array of security solutions

Realice un inventario de sus cuentas con privilegios en las máquinas virtuales hospedadasInventory your privileged accounts within hosted Virtual Machines

Normalmente, no es necesario conceder a los usuarios permisos sin restricciones a todas las suscripciones o recursos de Azure.You don't usually need to give users unrestricted permissions to all your Azure subscriptions or resources. Use los roles de administrador de Azure AD para conceder solo el acceso que los usuarios necesitan para realizar su trabajo.Use Azure AD admin roles to grant only the access that your users who need to do their jobs. Puede usar los roles de administrador de Azure AD para que un administrador pueda administrar solo las máquinas virtuales de una suscripción, mientras que otro pueda administrar las bases de datos SQL de la misma suscripción.You can use Azure AD administrator roles to let one admin manage only VMs in a subscription, while another can manage SQL databases within the same subscription. Para más información, consulte ¿Qué es el control de acceso basado en rol de Azure?For more information, see What is Azure role-based access control.

Implemente PIM para los roles de administrador de Azure ADImplement PIM for Azure AD administrator roles

Use Privileged Identity Management con los roles de administrador de Azure AD para administrar, controlar y supervisar el acceso a los recursos de Azure.Use Privileged identity Management with Azure AD administrator roles to manage, control, and monitor access to Azure resources. El uso de PIM protege mediante la reducción del tiempo de exposición de los privilegios y el aumento de la visibilidad de su uso mediante alertas e informes.Using PIM protects by lowering the exposure time of privileges and increasing your visibility into their use through reports and alerts. Para más información, consulte ¿Qué es Azure AD Privileged Identity Management?For more information, see What is Azure AD Privileged Identity Management.

Use las integraciones de registros de Azure para enviar los registros de Azure relevantes a los sistemas de SIEMUse Azure log integrations to send relevant Azure logs to your SIEM systems

Azure Log Integration permite integrar los registros sin procesar de los recursos de Azure en los sistemas de administración de eventos e información de seguridad (SIEM) existentes de la organización.Azure log integration enables you to integrate raw logs from your Azure resources to your organization's existing Security Information and Event Management (SIEM) systems. La integración de registros de Azure recopila los eventos de Windows a partir de los registros del Visor de eventos de Windows y los recursos de Azure desde:Azure log integration collects Windows events from Windows Event Viewer logs and Azure resources from:

  • Registros de actividad de AzureAzure activity Logs
  • Alertas de Azure Security CenterAzure Security Center alerts
  • Registros de recursos de AzureAzure resource logs

Pasos adicionales para las organizaciones que administran el acceso a otras aplicaciones en la nube a través de Azure ADAdditional steps for organizations managing access to other cloud apps via Azure AD

Implemente el aprovisionamiento de usuarios para las aplicaciones conectadasImplement user provisioning for connected apps

Azure AD permite automatizar la creación y el mantenimiento de las identidades de usuario de aplicaciones en la nube como Dropbox, Salesforce y ServiceNow.Azure AD allows you to automate creating and maintaining user identities in cloud apps like Dropbox, Salesforce, and ServiceNow. Para más información, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Azure Active Directory.For more information, see Automate user provisioning and deprovisioning to SaaS applications with Azure AD.

Integre la protección de la informaciónIntegrate information protection

Microsoft Cloud App Security permite investigar archivos y establecer directivas en función de las etiquetas de clasificación de Azure Information Protection, lo que permite tener mayor visibilidad y control de los datos en la nube.Microsoft Cloud App Security allows you to investigate files and set policies based on Azure Information Protection classification labels, enabling greater visibility and control of your cloud data. Analice y clasifique los archivos de la nube y aplique las etiquetas de Azure Information Protection.Scan and classify files in the cloud and apply Azure information protection labels. Para más información, consulte Integración de Azure Information Protection.For more information, see Azure Information Protection integration.

Configuración del acceso condicionalConfigure Conditional Access

Configure el acceso condicional en función del grupo, la ubicación y la confidencialidad de la aplicación para las aplicaciones SaaS y las aplicaciones conectadas a Azure AD.Configure Conditional Access based on a group, location, and application sensitivity for SaaS apps and Azure AD connected apps.

Supervise la actividad en las aplicaciones en la nube conectadasMonitor activity in connected cloud apps

Para asegurarse de que el acceso de los usuarios también se protege en las aplicaciones conectadas, se recomienda usar Microsoft Cloud App Security.We recommend using Microsoft Cloud App Security to ensure that user access is also protected in connected applications. Esta característica protege el acceso de la empresa a las aplicaciones en la nube y protege sus cuentas de administrador, ya que le permite:This feature secures the enterprise access to cloud apps and secures your admin accounts, allowing you to:

  • Ampliar la visibilidad y el control a las aplicaciones en la nubeExtend visibility and control to cloud apps
  • Crear directivas de acceso, actividades y uso compartido de datosCreate policies for access, activities, and data sharing
  • Identificar automáticamente las actividades de riesgo, comportamientos anómalos y amenazasAutomatically identify risky activities, abnormal behaviors, and threats
  • Evitar la pérdida de datosPrevent data leakage
  • Minimizar el riesgo, realizar una prevención automática de las amenazas y exigir la aplicación de directivasMinimize risk and automated threat prevention and policy enforcement

El agente de SIEM de Cloud App Security integra Cloud App Security en el servidor de SIEM para habilitar la supervisión centralizada de las actividades y alertas de Microsoft 365.The Cloud App Security SIEM agent integrates Cloud App Security with your SIEM server to enable centralized monitoring of Microsoft 365 alerts and activities. Se ejecuta en el servidor y extrae las alertas y actividades de Cloud App Security y las transmite por secuencias al servidor de SIEM.It runs on your server and pulls alerts and activities from Cloud App Security and streams them into the SIEM server. Para más información, consulte Integración de SIEM.For more information, see SIEM integration.

Fase 4: Continuar creando defensasStage 4: Continue building defenses

Fase 4: Adopción de una posición de seguridad activa

La fase 4 de la hoja de ruta se debe implementar a partir de los seis meses.Stage 4 of the roadmap should be implemented at six months and beyond. Complete la hoja de ruta para fortalecer las protecciones de acceso con privilegios frente a los posibles ataques que se conocen hoy en día.Complete your roadmap to strengthen your privileged access protections from potential attacks that are known today. Para las amenazas de seguridad futuras, se recomienda ver la seguridad como un proceso continuo para aumentar los costos y reducir la tasa de éxito de los adversarios que amenazan el entorno.For the security threats of tomorrow, we recommend viewing security as an ongoing process to raise the costs and reduce the success rate of adversaries targeting your environment.

La protección del acceso con privilegios es importante para establecer garantías de seguridad para los recursos empresariales.Securing privileged access is important to establish security assurances for your business assets. Sin embargo, debe formar parte de un programa de seguridad completo que proporcione garantías de seguridad continuas.However, it should be part of a complete security program that provides ongoing security assurances. Dicho programa debe incluir elementos como:This program should include elements such as:

  • DirectivaPolicy
  • OperacionesOperations
  • Seguridad de la informaciónInformation security
  • ServidoresServers
  • APLICACIONESApplications
  • EquiposPCs
  • DispositivosDevices
  • Tejido en la nubeCloud fabric

Se recomiendan los siguientes procedimientos para administrar las cuentas con acceso con privilegios:We recommend the following practices when you're managing privileged access accounts:

  • Asegúrese de que los administradores realizan sus tareas cotidianas como usuarios sin privilegios.Ensure that admins are doing their day-to-day business as unprivileged users
  • Conceda acceso con privilegios solo cuando sea necesario y revóquelo inmediatamente después (Just-In-Time).Grant privileged access only when needed, and remove it afterward (just-in-time)
  • Conserve los registros de las actividades de auditoría relacionadas con las cuentas con privilegios.Keep audit activity logs relating to privileged accounts

Para más información acerca de cómo crear toda una hoja de ruta de seguridad, consulte Recursos de arquitectura de TI de la nube de Microsoft.For more information on building a complete security roadmap, see Microsoft cloud IT architecture resources. Para solicitar los servicios de Microsoft para ayudarle a implementar cualquiera de las áreas de la hoja de ruta, póngase en contacto con su representante de Microsoft o consulte Creación de ciberdefensas críticas para proteger la empresa.To engage with Microsoft services to help you implement any part of your roadmap, contact your Microsoft representative or see Build critical cyber defenses to protect your enterprise.

Esta fase final de la hoja de ruta del acceso con privilegios protegido incluye los siguientes componentes.This final ongoing stage of the Secured Privileged Access roadmap includes the following components.

Preparación generalGeneral preparation

Revisión de los roles de administrador en Azure ADReview admin roles in Azure AD

Determine si los roles de administrador de Azure AD integrados actuales siguen actualizados y asegúrese de que los usuarios solo están en los roles que necesitan.Determine if current built-in Azure AD admin roles are still up to date and ensure that users are in only the roles they need. Con Azure AD puede asignar administradores independientes que desempeñen distintas funciones.With Azure AD, you can assign separate administrators to serve different functions. Para más información, consulte Asignación de roles de administrador en Azure Active Directory.For more information, see Assigning administrator roles in Azure Active Directory.

Examine los usuarios que tengan la administración de dispositivos unidos a Azure ADReview users who have administration of Azure AD joined devices

Para más información, consulte Configuración de dispositivos híbridos unidos a Azure Active Directory.For more information, see How to configure hybrid Azure Active Directory joined devices.

Revisión de los miembros de los roles de administrador de Microsoft 365 integradosReview members of built-in Microsoft 365 admin roles

Omita este paso si no usa Microsoft 365.Skip this step if you're not using Microsoft 365.

Valide el plan de respuesta ante incidentesValidate incident response plan

Para mejorar su plan, Microsoft recomienda validar periódicamente que funciona según lo esperado:To improve upon your plan, Microsoft recommends you regularly validate that your plan operates as expected:

  • Recorra la hoja de ruta existente para ver lo que faltaGo through your existing road map to see what was missed
  • En función del análisis post mortem, revise los procedimientos existentes o defina otros nuevos.Based on the postmortem analysis, revise existing or define new practices
  • Asegúrese de distribuir a toda la organización el plan de respuesta ante incidentes y los procedimientos actualizados.Ensure that your updated incident response plan and practices are distributed throughout your organization

Pasos adicionales para las organizaciones que administran el acceso a AzureAdditional steps for organizations managing access to Azure

Determine si necesita transferir la propiedad de una suscripción de Azure a otra cuenta.Determine if you need to transfer ownership of an Azure subscription to another account.

"Romper el cristal": qué hacer en caso de emergencia"Break glass": what to do in an emergency

Cuentas para acceder en caso de emergencia

  1. Notifique la información acerca del incidente a los principales directivos y responsables de seguridad.Notify key managers and security officers with information about the incident.

  2. Revise el cuaderno de estrategias para repeler ataques.Review your attack playbook.

  3. Acceda a la combinación de nombre de usuario y contraseña de la cuenta de emergencia "excepcional" para iniciar sesión en Azure AD.Access your "break glass" account username and password combination to sign in to Azure AD.

  4. Obtenga ayuda de Microsoft, para lo que debe abrir una solicitud de soporte técnico de Azure.Get help from Microsoft by opening an Azure support request.

  5. Examine los informes de inicio de sesión de Azure AD.Look at the Azure AD sign-in reports. Puede transcurrir un tiempo entre el momento en el que se produce un evento y el momento en el que se incluye en el informe.There might be some time between an event occurring and when it's included in the report.

  6. En el caso de los entornos híbridos, si la infraestructura local federada y el servidor de AD FS no están disponibles, puede cambiar temporalmente de la autenticación federada al uso de la sincronización de hash de contraseña. Este cambio revierte la federación del dominio a la autenticación administrada hasta que el servidor de AD FS vuelva a estar disponible.For hybrid environments, if your on-premises infrastructure federated and your AD FS server aren't available, you can temporarily switch from federated authentication to use password hash sync. This switch reverts the domain federation back to managed authentication until the AD FS server becomes available.

  7. Supervisar el correo electrónico de las cuentas con privilegios.Monitor email for privileged accounts.

  8. Asegúrese de guardar copias de seguridad de los registros relevantes, por si es preciso realizar una investigación legal o forense.Make sure you save backups of relevant logs for potential forensic and legal investigation.

Para más información acerca de la forma en que Microsoft Office 365 controla los incidentes de seguridad, consulte Security Incident Management in Microsoft Office 365 (Administración de incidentes de seguridad en Microsoft Office 365).For more information about how Microsoft Office 365 handles security incidents, see Security Incident Management in Microsoft Office 365.

PREGUNTAS MÁS FRECUENTES: Respuestas sobre la protección del acceso con privilegiosFAQ: Answers for securing privileged access

P: ¿Qué hago si aún no he implementado ningún componente de acceso seguro?Q: What do I do if I haven't implemented any secure access components yet?

Respuesta: Defina un mínimo de dos cuentas para casos de emergencia, asigne MFA a sus cuentas de administrador con privilegios y separe las cuentas de usuario de las cuentas de administrador global.Answer: Define at least two break-glass account, assign MFA to your privileged admin accounts, and separate user accounts from Global Administrator accounts.

P: Después de una infracción, ¿qué problema es el primero que se debe solucionar?Q: After a breach, what is the top issue that needs to be addressed first?

Respuesta: Asegúrese de exigir la autenticación más segura posible a los usuarios con mayor exposición.Answer: Be sure you're requiring the strongest authentication for highly exposed individuals.

P: ¿Qué ocurre si se han desactivado nuestros administradores con privilegios?Q: What happens if our privileged admins have been deactivated?

Respuesta: Cree una cuenta de administrador global y manténgala siempre actualizada.Answer: Create a Global Administrator account that is always kept up to date.

P: ¿Qué ocurre si solo queda un administrador global y no se le puede localizar?Q: What happens if there's only one Global Administrator left and they can't be reached?

Respuesta: Utilice una de las cuentas de emergencia para obtener acceso con privilegios de inmediato.Answer: Use one of your break-glass accounts to gain immediate privileged access.

P: ¿Cómo puedo proteger a los administradores en mi organización?Q: How can I protect admins within my organization?

Respuesta: Indique a los administradores que siempre deben realizar sus tareas cotidianas como usuarios estándar "sin privilegios".Answer: Have admins always do their day-to-day business as standard "unprivileged" users.

P: ¿Cuáles son los procedimientos recomendados para la creación de cuentas de administrador en Azure AD?Q: What are the best practices for creating admin accounts within Azure AD?

Respuesta: Reserva el acceso con privilegios para tareas de administrador específicas.Answer: Reserve privileged access for specific admin tasks.

P: ¿Qué herramientas existen para reducir el acceso de administrador constante?Q: What tools exist for reducing persistent admin access?

Respuesta: Privileged Identity Management (PIM) y los roles de administrador de Azure AD.Answer: Privileged Identity Management (PIM) and Azure AD admin roles.

P: ¿Cuál es la posición de Microsoft acerca de la sincronización de cuentas de administrador con Azure AD?Q: What is the Microsoft position on synchronizing admin accounts to Azure AD?

Respuesta: Las cuentas de administrador de nivel 0 solo se usan para las cuentas de AD local.Answer: Tier 0 admin accounts are used only for on-premises AD accounts. Estas cuentas normalmente no se sincronizan con Azure AD en la nube.Such accounts aren't typically synchronized with Azure AD in the cloud. El nivel 0 de cuentas de administrador incluye cuentas, grupos y otros recursos que tienen control administrativo directo o indirecto de los bosques, dominios, controladores de dominio y recursos de Active Directory.Tier 0 admin accounts include accounts, groups, and other assets that have direct or indirect administrative control of the on-premises Active Directory forest, domains, domain controllers, and assets.

P: ¿Cómo se evita que los administradores asignen acceso de administrador aleatoriamente en el portal?Q: How do we keep admins from assigning random admin access in the portal?

Respuesta: Use cuentas sin privilegios para todos los usuarios y la mayoría de los administradores.Answer: Use non-privileged accounts for all users and most admins. Para empezar, desarrolle una imagen de la organización para determinar qué cuentas de administrador deberían tener privilegios.Start by developing a footprint of the organization to determine which few admin accounts should be privileged. Y supervise los usuarios administrativos recién creados.And monitor for newly created administrative users.

Pasos siguientesNext steps

Otros servicios de Microsoft Online ServicesOther Microsoft Online Services

  • Seguridad de Microsoft Intune: Intune proporciona funcionalidades de administración de dispositivos móviles, aplicaciones móviles y PC desde la nube.Microsoft Intune Security – Intune provides mobile device management, mobile application management, and PC management capabilities from the cloud.

  • Seguridad de Microsoft Dynamics 365: Dynamics 365 es la solución en la nube de Microsoft que unifica la administración de relaciones con clientes (CRM) y las funcionalidades de planificación de recursos empresariales (ERP).Microsoft Dynamics 365 security – Dynamics 365 is the Microsoft cloud-based solution that unifies customer relationship management (CRM) and enterprise resource planning (ERP) capabilities.