Guía de protección del control de acceso
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar la Ley de responsabilidad y portabilidad de seguros de salud de 1996 (HIPAA). Para cumplir con HIPAA, implemente las medidas de seguridad mediante esta guía. Es posible que tenga que modificar otras configuraciones o procesos.
Para comprender la Protección de identificación del usuario, le recomendamos que investigue y establezca objetivos que le permitan:
Asegurarse de que los identificadores son únicos para todos los usuarios que necesiten conectarse al dominio.
Establecer un proceso de Unión, Movimiento y Salida (JML).
Auditoría del habilitador para el seguimiento de identidades.
Para la Protección de Access Control autorizada, establezca objetivos para que:
El acceso del sistema está limitado a los usuarios autorizados.
Los usuarios autorizados se identificaron.
El acceso a los datos personales está limitado a los usuarios autorizados.
Para la Protección del procedimiento de acceso de emergencia:
Garantizar la alta disponibilidad de los servicios principales.
Eliminar los únicos puntos de error.
Establezca un plan de recuperación ante desastres.
Asegúrese de realizar copias de seguridad de datos de alto riesgo.
Establezca y mantenga cuentas de acceso de emergencia.
Para la Protección de cierre de sesión automático:
Establezca un procedimiento que finalice una sesión electrónica después de un tiempo predeterminado de inactividad.
Configure e implemente una directiva de cierre de sesión automático.
Identificación de usuario única
En la tabla siguiente se incluyen medidas de seguridad de control de acceso de la guía HIPAA para la identificación de usuario única. Encuentre recomendaciones de Microsoft para cumplir los requisitos de implementación de protección.
Protección HIPAA: identificación de usuario única
Assign a unique name and/or number for identifying and tracking user identity.
| Recomendación | Acción |
|---|---|
| Configuración de un entorno híbrido para usar Microsoft Entra ID | Microsoft Entra Connect integra directorios locales con Microsoft Entra ID, lo que admite el uso de identidades únicas para acceder a aplicaciones locales y servicios en la nube, como Microsoft 365. Organiza la sincronización entre Active Directory (AD) y Microsoft Entra ID. Para empezar a trabajar con Microsoft Entra Connect, revise los requisitos previos, tomando nota de los requisitos del servidor y cómo preparar el inquilino de Microsoft Entra para la administración. Sincronización de Microsoft Entra Connect es un agente de aprovisionamiento administrado en la nube. El agente de aprovisionamiento admite la sincronización con Microsoft Entra ID desde un entorno de AD desconectado de varios bosques. Los agentes ligeros se instalan y se pueden usar con Microsoft Entra Connect. Se recomienda usar Sincronización de hash de contraseñas para ayudar a reducir el número de contraseñas y protegerse frente a la detección de credenciales filtradas. |
| Aprovisionamiento de las cuentas de usuario | Microsoft Entra ID es un servicio de administración de acceso e identidades basado en la nube que proporciona inicio de sesión único, autenticación multifactor y acceso condicional para protegerse frente a ataques de seguridad. Para crear una cuenta de usuario, inicie sesión en el Centro de administración de Microsoft Entra como Administrador de usuarios y cree una nueva cuenta; para ello, vaya a Todos los usuarios en el menú. Microsoft Entra ID proporciona compatibilidad con el aprovisionamiento automatizado de usuarios para sistemas y aplicaciones. Entre las funcionalidades se incluyen la creación, actualización y eliminación de una cuenta de usuario. El aprovisionamiento automatizado crea nuevas cuentas en los sistemas adecuados para nuevas personas cuando se unen a un equipo de una organización y el desaprovisionamiento automatizado desactiva las cuentas cuando los usuarios abandonan el equipo. Para configurar el aprovisionamiento, vaya al Centro de administración de Microsoft Entra y seleccione aplicaciones empresariales para agregar y administrar la configuración de la aplicación. |
| Aprovisionamiento controlado por recursos humanos | Integración del aprovisionamiento de cuentas de Microsoft Entra dentro de un sistema de recursos humanos (HR) reduce el riesgo de acceso excesivo y el acceso ya no es necesario. El sistema de RR. HH. se convierte en el inicio de la autoridad, para las cuentas recién creadas, ampliando las funcionalidades al desaprovisionamiento de cuentas. Automation administra el ciclo de vida de la identidad y reduce el riesgo de sobreaprovisionamiento. Este enfoque sigue el procedimiento recomendado de seguridad para proporcionar acceso con privilegios mínimos. |
| Creación de Flujos de trabajo de ciclo de vida | Los Flujos de trabajo del ciclo de vida proporcionan gobernanza de identidades para automatizar el ciclo de vida del unión, movimiento y salida (JML). Los flujos de trabajo del ciclo de vida centralizan el proceso de flujo de trabajo mediante las plantillas integradas o creando sus propios flujos de trabajo personalizados. esta práctica ayuda a reducir o quitar potencialmente tareas manuales para los requisitos de estrategia JML de la organización. En Azure Portal, vaya a Gobernanza de identidades en el menú de Microsoft Entra para revisar o configurar tareas que se ajusten a los requisitos de la organización. |
| Administración de identidades con privilegios | Microsoft Entra Privileged Identity Management (PIM) permite la administración, el control y la capacidad de supervisar el acceso. Proporcione acceso cuando sea necesario, en una activación de roles basada en el tiempo y en la aprobación. Este enfoque limita el riesgo de permisos de acceso excesivos, innecesarios o incorrectos. |
| Supervisión y alertas | Protección de identidad proporciona una vista consolidada en eventos de riesgo y posibles puntos vulnerables que podrían afectar a las identidades de su organización. La habilitación de la protección aplica las funcionalidades existentes de detección de anomalías de Microsoft Entra e introduce tipos de eventos de riesgo que detectan anomalías en tiempo real. A través del Centro de administración de Microsoft Entra, puede iniciar sesión, auditar y revisar los registros de aprovisionamiento. Los registros se pueden descargar, archivar y transmitir a la herramienta de administración de eventos e información de seguridad (SIEM). Los registros de Microsoft Entra se pueden encontrar en la sección de supervisión del menú de Microsoft Entra. Los registros también se pueden enviar a Azure Monitor mediante un área de trabajo de Azure Log Analytics donde puede configurar alertas sobre los datos conectados. Microsoft Entra ID identifica de forma única a los usuarios a través de la ID, propiedad en el objeto de directorio respectivo. Este enfoque le permite filtrar identidades específicas en los archivos de registro. |
Control de acceso autorizado
En la tabla siguiente se incluyen instrucciones HIPAA para las medidas de seguridad de control de acceso para el control de acceso autorizado. Encuentre recomendaciones de Microsoft para cumplir los requisitos de implementación de protección.
Protección HIPAA: control de acceso autorizado
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
| Recomendación | Acción |
|---|---|
| Habilitar Multi-Factor Authentication (MFA) | MFA en Microsoft Entra ID protege las identidades agregando otra capa de seguridad. La autenticación de capa adicional es eficaz para ayudar a evitar el acceso no autorizado. El uso de un enfoque de MFA permite requerir más validación de las credenciales de inicio de sesión durante el proceso de autenticación. Algunos ejemplos incluyen la configuración de la aplicación Authenticator para la verificación con un solo clic o la habilitación de la autenticación sin contraseña. |
| Habilitar directivas de acceso condicional | Las directivas de acceso condicional ayudan a las organizaciones a restringir el acceso a las aplicaciones aprobadas. Microsoft Entra analiza las señales del usuario, el dispositivo o la ubicación para automatizar las decisiones y aplicar directivas organizativas para el acceso a los recursos y los datos. |
| Habilitar el control de acceso basado en roles (RBAC) | RBAC proporciona seguridad a nivel empresarial con el concepto de separación de tareas. RBAC le permite ajustar y revisar los permisos para proteger la confidencialidad, privacidad y administración de acceso a recursos y datos confidenciales junto con los sistemas. Microsoft Entra ID proporciona compatibilidad con roles integrados, que es un conjunto fijo de permisos que no se pueden modificar. También es posible crear sus propios roles personalizados, donde podrá agregar una lista preestablecida. |
| Control de acceso basado en atributos (ABAC) | ABAC define el acceso en función de los atributos asociados a las entidades de seguridad, los recursos y el entorno. Proporciona un control de acceso específico y reduce el número de asignaciones de roles. El uso de ABAC se puede limitar al contenido dentro del almacenamiento de Azure dedicado. |
| Configurar el acceso a grupos de usuarios en SharePoint | Los grupos de SharePoint son una colección de usuarios. Los permisos se limitan al nivel de colección de sitios para acceder al contenido. La aplicación de esta restricción se puede limitar a las cuentas de servicio que requieren acceso de flujo de datos entre aplicaciones. |
Procedimiento de acceso de emergencia
En la tabla siguiente se incluyen las medidas de seguridad de control de acceso de la guía HIPAA para los procedimientos de acceso de emergencia. Encuentre recomendaciones de Microsoft para cumplir los requisitos de implementación de protección.
Protección HIPAA: procedimiento de acceso de emergencia
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
| Recomendación | Acción |
|---|---|
| Usar Azure Recovery Services | Azure Backups proporciona la compatibilidad necesaria para realizar copias de seguridad de datos vitales y confidenciales. La cobertura incluye almacenamiento/bases de datos e infraestructura en la nube, junto con dispositivos windows locales en la nube. Establezca directivas de copia de seguridad para abordar los riesgos de los procesos de copia de seguridad y recuperación. Asegúrese de que los datos se almacenan de forma segura y se pueden recuperar con un tiempo de inactividad mínimo. Azure Site Recovery proporciona replicación de datos casi constante para asegurarse de que las copias están sincronizadas. Los pasos iniciales antes de configurar el servicio son determinar el objetivo de punto de recuperación (RPO) y el objetivo de tiempo de recuperación (RTO) para admitir los requisitos de la organización. |
| Garantizar la resistencia | La resistencia ayuda a mantener los niveles de servicio cuando hay interrupciones en las operaciones empresariales y los servicios de TI principales. La funcionalidad abarca los servicios, los datos, Microsoft Entra ID y las consideraciones de Active Directory. Determinar un plan de resistencia incluir qué sistemas y datos dependen de Microsoft Entra y entornos híbridos. Resistencia de Microsoft 365 que abarca los servicios principales, incluyendo Exchange, SharePoint y OneDrive para protegerse contra daños en los datos y aplicar puntos de datos de resistencia para proteger el contenido de ePHI. |
| Creación de cuentas de emergencia | El establecimiento de una cuenta de emergencia o cuenta de acceso especial garantiza que se pueda acceder a los sistemas y servicios en circunstancias imprevistas, como errores de red u otras razones para la pérdida de acceso administrativo. Se recomienda no asociar esta cuenta a un usuario o cuenta individual. |
Seguridad de la estación de trabajo: cierre de sesión automático
En la tabla siguiente se incluyen instrucciones HIPAA sobre la protección automática del cierre de sesión. Encuentre recomendaciones de Microsoft para cumplir los requisitos de implementación de protección.
Protección HIPAA: cierre de sesión automático
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
| Recomendación | Acción |
|---|---|
| Crear directiva de grupo | Los dispositivos no migrados a Microsoft Entra ID y no administrados por Intune, pueden recibir soporte mediante la directiva de grupo (GPO) para aplicar el cierre de sesión o el tiempo de bloqueo para los dispositivos en AD o en entornos híbridos. |
| Evaluar los requisitos de administración de dispositivos | Microsoft Intune proporciona administración de dispositivos móviles (MDM) y administración de aplicaciones móviles (MAM). Proporciona control sobre los dispositivos personales y de la empresa. Puede administrar el uso de dispositivos y aplicar directivas para controlar las aplicaciones móviles. |
| Directiva de acceso condicional de dispositivo | Implemente el bloqueo del dispositivo mediante una directiva de Acceso Condicional para restringir el acceso a los dispositivos compatibles o unidos a Microsoft Entra híbrido. Establezca configuraciones de directiva. En el caso de los dispositivos no administrados, configure la frecuencia de inicio de sesión para exigir los usuarios a volver a autenticarse. |
| Configurar el tiempo de espera de sesión para Microsoft 365 | Revise los tiempos de espera de sesión de las aplicaciones y servicios de Microsoft 365 para modificar los tiempos de espera prolongados. |
| Configuración del tiempo de espera de la sesión para Azure Portal | Revise los tiempos de espera de sesión para la sesión de Azure Portal mediante la implementación de un tiempo de espera debido a la inactividad que ayude a proteger los recursos frente al acceso no autorizado. |
| Revisión de las sesiones de acceso a aplicaciones | Las directivas de evaluación de acceso pueden denegar o conceder acceso a las aplicaciones. Si el inicio de sesión se realiza correctamente, el usuario recibe un token de acceso válido durante una (1) hora. Una vez que el token de acceso expira, el cliente es redirigido a Microsoft Entra ID, se vuelven a evaluar las condiciones y el token se actualiza durante otra hora. |
Saber más
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de