Compartir a través de

Configuración de los controles del control de acceso (AC) de nivel 2 de CMMC

  • Artículo

Microsoft Entra ID puede ayudar a cumplir los requisitos de prácticas relacionadas con identidades en cada nivel de certificación del modelo de madurez de ciberseguridad (CMMC). Para cumplir con los requisitos de CMMC V2.0 de nivel 2, es responsabilidad de las empresas que colaboran con el Departamento de Defensa (DoD) de EE. UU. y que operan en su nombre completar otras configuraciones o procesos.

En CMMC nivel 2, hay trece dominios que tienen una o varias prácticas relacionadas con la identidad:

  • Control de acceso (CA)
  • Auditoría y responsabilidad (AU)
  • Administración de configuración (CM)
  • Identificación y autenticación (IA)
  • Respuesta a los incidentes (IR)
  • Mantenimiento (MA)
  • Protección de medios (MP)
  • Seguridad del personal (PS)
  • Protección física (PE)
  • Evaluación de riesgos (RA)
  • Evaluación de la seguridad (CA)
  • Protección del sistema y de las comunicaciones
  • Integridad de la información y del sistema

En el resto de este artículo se proporciona una guía sobre el dominio de Access Control (AC). Hay una tabla con vínculos a contenido que proporciona instrucciones paso a paso para llevar a cabo la práctica.

Control de acceso (CA)

En la tabla siguiente se proporciona una lista de objetivos e instrucciones de práctica, junto con indicaciones y recomendaciones de Microsoft Entra para que cumpla estos requisitos con Microsoft Entra ID.

Instrucción y objetivos de práctica de CMMC Instrucciones y recomendaciones de Microsoft Entra
AC.L2-3.1.3

Instrucción de práctica: Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas.

Objetivos:
Determinar si:
[a.] se definen directivas de control de flujo de información;
[b.] se definen métodos y mecanismos de aplicación para controlar el flujo de CUI;
[c.] se identifican fuentes y destinos designados (por ejemplo, redes, individuos y dispositivos) para CUI dentro del sistema y entre sistemas intercfeetonnected;
[d.] se definen las autorizaciones para controlar el flujo de CUI; y
[e.] se aplican las autorizaciones aprobadas para controlar el flujo de CUI.		 Configure directivas de acceso condicional para controlar el flujo de CUI desde ubicaciones de confianza, dispositivos de confianza y aplicaciones aprobadas y exija una directiva de protección de aplicaciones. Para que la autorización para CUI sea más precisa, configure las restricciones impuestas por la aplicación (Exchange/SharePoint Online), App Control (con Microsoft Defender for Cloud Apps), Authentication Context. Implemente el proxy de aplicación de Microsoft Entra para proteger el acceso a las aplicaciones locales.
Condición de ubicación en el Acceso condicional de Microsoft Entra
Concesión de controles en la directiva de acceso condicional: exigir que el dispositivo se marque como compatible
Concesión de controles en la directiva de acceso condicional: exigir un dispositivo híbrido unido a Microsoft Entra
Concesión de controles en la directiva de acceso condicional: exigir una aplicación cliente aprobada
Concesión de controles en la directiva de acceso condicional: exigir directivas de protección de aplicaciones
Controles de sesión en la directiva de acceso condicional: restricciones impuestas por la aplicación
Protección con el Control de aplicaciones de acceso condicional de Microsoft Defender para aplicaciones en la nube
Aplicaciones en la nube, acciones y contexto de autenticación en la directiva de acceso condicional
Acceso remoto a aplicaciones locales mediante el proxy de aplicación de Microsoft Entra

Contexto de autenticación
Configuración del contexto de autenticación y asignación a la directiva de acceso condicional

Information Protection
Conozca y proteja los datos; ayude a evitar la pérdida de datos.
Protección de los datos confidenciales con Microsoft Purview

Acceso condicional
Acceso condicional para Azure Information Protection (AIP)

Proxy de aplicación
Acceso remoto a aplicaciones locales mediante el proxy de aplicación de Microsoft Entra
AC.L2-3.1.4

Instrucción de práctica: Divide las obligaciones de los usuarios para reducir el riesgo de actividad malintencionada sin colusión.

Objetivos:
Determinar si:
[a.] se definen las tareas de las personas que requieren separación;
[b.] las responsabilidades de las tareas que requieren separación se asignan a individuos independientes; y
[c.] los privilegios de acceso que permiten a las personas ejercer las tareas que requieren separación se conceden a individuos independientes.		 Garantizar una adecuada separación de tareas mediante un acceso apropiado. Configure los paquetes de acceso de administración de derechos para controlar el acceso a aplicaciones, grupos, equipos y sitios de SharePoint. Configure las comprobaciones de separación de tareas dentro de los paquetes de acceso para evitar que un usuario obtenga acceso excesivo. En la administración de derechos de Microsoft Entra, puede configurar varias directivas con diferentes configuraciones para cada comunidad de usuarios que necesitará acceso mediante un paquete de acceso. Esta configuración incluye restricciones tales como que a un usuario de un grupo determinado, o que ya tenga asignado un paquete de acceso diferente, no se le asignen otros paquetes de acceso, por directiva.

Configure unidades administrativas en Microsoft Entra ID para delimitar los privilegios administrativos, de modo que los administradores con roles con privilegios solo tengan esos privilegios sobre un conjunto limitado de objetos de directorio (usuarios, grupos, dispositivos).
¿Qué es la administración de derechos?
¿Qué son los paquetes de acceso y qué recursos puedo administrar con ellos?
Configuración de la separación de tareas de un paquete de acceso en la administración de derechos de Microsoft Entra
Unidades administrativas en Microsoft Entra ID
AC.L2-3.1.5

Instrucción de práctica: Utiliza el principio de privilegios mínimos, también con cuentas con privilegios y funciones de seguridad específicas.

Objetivos:
Determinar si:
[a.] se identifican las cuentas con privilegios;
[b.] el acceso a cuentas con privilegios está autorizado de acuerdo con el principio de privilegios mínimos;
[c.] se identifican las funciones de seguridad; y
[d.] el acceso a las funciones de seguridad está autorizado de acuerdo con el principio de privilegios mínimos.		 Usted es responsable de implementar y aplicar la regla de privilegios mínimos. Esta acción se puede realizar con Privileged Identity Management para configurar la aplicación, la supervisión y las alertas. Establezca los requisitos y condiciones para la pertenencia a roles.

Una vez identificadas y administradas las cuentas con privilegios, use la administración del ciclo de vida de derechos y las revisiones de acceso para establecer, mantener y auditar el acceso adecuado. Use MS Graph API para detectar y supervisar roles de directorio.

Asignar roles
Asignación de roles de Microsoft Entra en PIM
Asignación de roles de recursos de Azure en Privileged Identity Management
Asignación de propietarios y miembros elegibles para PIM para grupos

Establecimiento de la configuración de roles
Configuración de las opciones de rol de Microsoft Entra en PIM
Configuración de roles de recurso de Azure en PIM
Configuración de PIM para grupos en PIM

Configuración de alertas
Alertas de seguridad para roles de Microsoft Entra en PIM
Configuración de alertas de seguridad para roles de recursos de Azure en Privileged Identity Management
AC.L2-3.1.6

Instrucción de práctica: Utiliza cuentas o roles sin privilegios para acceder a funciones que no son de seguridad.

Objetivos:
Determinar si:
[a.] se identifican funciones que no son de seguridad; y
[b.] se exige a los usuarios que utilicen cuentas o roles sin privilegios cuando accedan a funciones que no sean de seguridad.

AC.L2-3.1.7

Instrucción de práctica: Impide que los usuarios sin privilegios ejecuten funciones con privilegios y capturen la ejecución de estas funciones en registros de auditoría.

Objetivos:
Determinar si:
[a.] se definen funciones con privilegios;
[b.] se definen usuarios sin privilegios;
[c.] no se impide que los usuarios con privilegios ejecuten funciones con privilegios; y
[d.] la ejecución de funciones con privilegios se captura en los registros de auditoría.		 Los requisitos de AC.L2-3.1.6 y AC.L2-3.1.7 se complementan entre sí. Exija cuentas distintas para el uso con privilegios y sin privilegios. Configure Privileged Identity Management (PIM) para agregar el acceso con privilegios (JIT) y eliminar el acceso permanente. Configure directivas de acceso condicional basadas en roles para limitar el acceso a la aplicación de productividad para usuarios con privilegios. Para los usuarios con privilegios elevados, proteja los dispositivos como parte del acceso con privilegios. Todas las acciones con privilegios se capturan en los registros de auditoría de Microsoft Entra.
Introducción a la protección del acceso con privilegios
Configuración de las opciones de rol de Microsoft Entra en PIM
Usuarios y grupos en la directiva de acceso condicional.
¿Por qué son importantes los dispositivos de acceso con privilegios?
AC.L2-3.1.8

Instrucción de práctica: Limite los intentos de inicio de sesión incorrectos.

Objetivos:
Determinar si:
[a.] se definen los medios para limitar los intentos de inicio de sesión incorrectos; y
[b.] se implementan los medios definidos para limitar los intentos de inicio de sesión incorrectos.		 Habilite la configuración personalizada del bloqueo inteligente. Configure el umbral y la duración del bloqueo en segundos para implementar estos requisitos.
Protección de las cuentas de usuario frente a ataques con el bloqueo inteligente de Microsoft Entra
Administrar los valores de bloqueo inteligente de Microsoft Entra
AC.L2-3.1.9

Instrucción de práctica: Proporcione avisos de privacidad y seguridad coherentes con las reglas CUI aplicables.

Objetivos:
Determinar si:
[a.] Los avisos de privacidad y seguridad requeridos por las reglas especificadas por CUI se identifican, son coherentes y están asociados a la categoría CUI específica; y
[b.] se muestran los avisos de privacidad y seguridad.		 Con Microsoft Entra ID, puede entregar mensajes de notificación o emergentes para todas las aplicaciones que lo necesiten y registrar la confirmación antes de conceder acceso. Puede dirigir de forma granular estas directivas de condiciones de uso a usuarios específicos (miembro o invitado). También puede personalizarlas por aplicación a través de directivas de acceso condicional.

Acceso condicional
¿Qué es el acceso condicional en Microsoft Entra ID?

Condiciones de uso
Términos de uso de Microsoft Entra
Ver quién los ha aceptado y rechazado
AC.L2-3.1.10

Instrucción de práctica: Use el bloqueo de sesión con pantallas de ocultación de patrones para impedir el acceso y la visualización de datos después de un período de inactividad.

Objetivos:
Determinar si:
[a.] el período de inactividad después del cual el sistema inicia un bloqueo de sesión se define;
[b.] se impide el acceso al sistema y la visualización de datos iniciando un bloqueo de sesión después del período definido de inactividad; y
[c.] la información visible anteriormente se oculta a través de una pantalla oculta de patrones después del período definido de inactividad.		 Implemente el bloqueo del dispositivo mediante una directiva de Acceso Condicional para restringir el acceso a los dispositivos compatibles o unidos a Microsoft Entra híbrido. Configure opciones de directiva en el dispositivo para aplicar el bloqueo del dispositivo en el nivel de sistema operativo con soluciones MDM, como Intune. Microsoft Intune, Configuration Manager o los objetos de la directiva de grupo también se pueden considerar en las implementaciones híbridas. En el caso de los dispositivos no administrados, configure la frecuencia de inicio de sesión para obligar a los usuarios a volver a autenticarse.
Requerir que el dispositivo esté marcado como compatible
Concesión de controles en la directiva de acceso condicional: exigir un dispositivo híbrido unido a Microsoft Entra
Frecuencia de inicio de sesión de usuario

Configure el número máximo de minutos de inactividad en el dispositivo hasta que se bloquee la pantalla (Android, iOS, Windows 10).
AC.L2-3.1.11

Instrucción de práctica: Terminar (automáticamente) una sesión de usuario después de una condición definida.

Objetivos:
Determinar si:
[a.] se definen las condiciones que requieren una sesión de usuario para finalizar; y
[b.] una sesión de usuario finaliza automáticamente después de que se produzca alguna de las condiciones definidas.		 Habilite la Evaluación continua de acceso (CAE) para todas las aplicaciones compatibles. En el caso de las aplicaciones que no admiten CAE o para condiciones no aplicables a CAE, implemente directivas en Microsoft Defender for Cloud Apps para finalizar automáticamente las sesiones cuando se produzcan condiciones. Además, configure Protección de Microsoft Entra ID para evaluar el riesgo de usuario e inicio de sesión. Use el acceso condicional con Identity Protection para permitir que el usuario corrija automáticamente el riesgo.
Evaluación continua de acceso en Microsoft Entra ID
Control de aplicaciones en la nube mediante la creación de directivas
¿Qué es Microsoft Entra ID Protection?
AC.L2-3.1.12

Instrucción de práctica: Supervisa y controla las sesiones de acceso remoto.

Objetivos:
Determinar si:
[a.] se permiten sesiones de acceso remoto;
[b.] se identifican los tipos de acceso remoto permitido;
[c.] se controlan las sesiones de acceso remoto; y
[d.] se supervisan las sesiones de acceso remoto.		 En el mundo actual, los usuarios acceden a aplicaciones basadas en la nube casi exclusivamente desde redes desconocidas o que no son de confianza. Es fundamental proteger este patrón de acceso para adoptar entidades de seguridad de confianza cero. Para cumplir estos requisitos de controles en un mundo moderno de nube, debemos comprobar cada solicitud de acceso explícitamente, implementar privilegios mínimos y asumir las vulneraciones de la seguridad.

Configure ubicaciones con nombre para delinear las redes internas y externas. Configure el control de aplicaciones de acceso condicional para enrutar el acceso a través de Microsoft Defender for Cloud Apps. Configure Defender for Cloud Apps para controlar y supervisar todas las sesiones.
Guía de implementación de Confianza cero para Microsoft Entra ID
Condición de ubicación en el Acceso condicional de Microsoft Entra
Implementación de control de aplicaciones de acceso condicional de Cloud App Security para aplicaciones de Microsoft Entra
¿Qué es Microsoft Defender for Cloud Apps?
Supervisión de alertas en Microsoft Defender for Cloud Apps
AC.L2-3.1.13

Instrucción de práctica: Emplear mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto.

Objetivos:
Determinar si:
[a.] se identifican mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto; y
[b.] se implementan mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto.		 Todos los servicios web orientados al cliente de Microsoft Entra se protegen con el protocolo de seguridad de la capa de transporte (TLS) y se implementan mediante criptografía validada por FIPS.
Consideraciones de seguridad de datos de Microsoft Entra (microsoft.com)
AC.L2-3.1.14

Instrucción de práctica: Enruta el acceso remoto a través de puntos de control de acceso administrados.

Objetivos:
Determinar si:
[a.] los puntos de control de acceso administrados se identifican e implementan; y
[b.] el acceso remoto se enruta a través de puntos de control de acceso de red administrados.		 Configure ubicaciones con nombre para delinear las redes internas y externas. Configure el control de aplicaciones de acceso condicional para enrutar el acceso a través de Microsoft Defender for Cloud Apps. Configure Defender for Cloud Apps para controlar y supervisar todas las sesiones. Proteja los dispositivos usados por las cuentas con privilegios como parte del acceso con privilegios.
Condición de ubicación en el Acceso condicional de Microsoft Entra
Controles de sesión en la directiva de acceso condicional
Introducción a la protección del acceso con privilegios
AC.L2-3.1.15

Instrucción de práctica: Autoriza la ejecución remota de los comandos con privilegios y el acceso remoto a información importante para la seguridad.

Objetivos:
Determinar si:
[a.] se identifican los comandos con privilegios autorizados para la ejecución remota;
[b.] se identifica la información relevante para la seguridad autorizada para acceder a ella de forma remota;
[c.] la ejecución de los comandos con privilegios identificados a través del acceso remoto está autorizado; y
[d.] el acceso a la información relevante para la seguridad identificada a través del acceso remoto está autorizado.		 El acceso condicional, cuando se combina con el contexto de autenticación, es el plano de control de Confianza cero de las directivas de destino para el acceso a las aplicaciones. Puede aplicar directivas diferentes en esas aplicaciones. Proteja los dispositivos usados por las cuentas con privilegios como parte del acceso con privilegios. Configure directivas de acceso condicional para exigir el uso de estos dispositivos protegidos por usuarios con privilegios al ejecutar comandos con privilegios.
Aplicaciones en la nube, acciones y contexto de autenticación en la directiva de acceso condicional
Introducción a la protección del acceso con privilegios
Filtro para dispositivos como una condición de la directiva de acceso condicional
AC.L2-3.1.18

Instrucción de práctica: Controlar la conexión de dispositivos móviles.

Objetivos:
Determinar si:
[a.] se identifican los dispositivos móviles que procesan, almacenan o transmiten CUI;
[b.] las conexiones de dispositivos móviles están autorizadas; y
[c.] las conexiones de dispositivos móviles se supervisan y registran.		 Configure directivas de administración de dispositivos mediante MDM (como Microsoft Intune), Configuration Manager u objetos de directiva de grupo (GPO) para exigir la configuración de dispositivos móviles y el perfil de conexión. Configure directivas de acceso condicional para exigir el cumplimiento de los dispositivos.

Acceso condicional
Requerir que el dispositivo esté marcado como compatible
Requerir un dispositivo híbrido unido a Microsoft Entra

InTune
Directivas de cumplimiento de dispositivos en Microsoft Intune
¿Qué es la administración de aplicaciones de Microsoft Intune?
AC.L2-3.1.19

Instrucción de práctica: Cifrar la CUI en dispositivos móviles y plataformas de equipos móviles.

Objetivos:
Determinar si:
[a.] se identifican dispositivos móviles y plataformas informáticas móviles que procesan, almacenan o transmiten CUI; y
[b.] el cifrado se emplea para proteger CUI en dispositivos móviles identificados y plataformas informáticas móviles.		 Dispositivo administrado
Configure las políticas de acceso condicional para aplicar el dispositivo unido a Microsoft Entra compatible o híbrido y garantizar que los dispositivos gestionados estén configurados adecuadamente a través de la solución de gestión de dispositivos para cifrar CUI.

Dispositivos no administrados
Configure directivas de acceso condicional para exigir directivas de protección de aplicaciones.
Concesión de controles en la directiva de acceso condicional: exigir que el dispositivo se marque como compatible
Concesión de controles en la directiva de acceso condicional: exigir un dispositivo híbrido unido a Microsoft Entra
Concesión de controles en la directiva de acceso condicional: exigir directivas de protección de aplicaciones
AC.L2-3.1.21

Instrucción de práctica: Limitar el uso de dispositivos de almacenamiento portátiles en sistemas externos.

Objetivos:
Determinar si:
[a.] el uso de dispositivos de almacenamiento portátiles que contienen CUI en sistemas externos se identifica y documenta;
[b.] se definen límites en el uso de dispositivos de almacenamiento portátiles que contienen CUI en sistemas externos; y
[c.] el uso de dispositivos de almacenamiento portátiles que contienen CUI en sistemas externos está limitado según lo definido.		 Configure directivas de administración de dispositivos mediante MDM (como Microsoft Intune), Configuration Manager u objetos de directiva de grupo (GPO) para controlar el uso de dispositivos de almacenamiento portátiles en los sistemas. Configure opciones de directiva en el dispositivo Windows para prohibir o restringir completamente el uso del almacenamiento portátil a nivel de sistema operativo. Para todos los demás dispositivos en los que es posible que no pueda controlar de forma granular el acceso a la descarga de bloques de almacenamiento portátil por completo con Microsoft Defender for Cloud Apps. Configure directivas de acceso condicional para exigir el cumplimiento de los dispositivos.

Acceso condicional
Requerir que el dispositivo esté marcado como compatible
Requerir un dispositivo híbrido unido a Microsoft Entra
Configuración de la administración de las sesiones de autenticación

Intune
Directivas de cumplimiento de dispositivos en Microsoft Intune
Restricción de dispositivos USB mediante plantillas administrativas en Microsoft Intune

Microsoft Defender para aplicaciones en la nube
Creación de directivas de sesión en Defender for Cloud Apps

Pasos siguientes