Administración de cuentas administrativas de acceso de emergencia en Azure ADManage emergency-access administrative accounts in Azure AD

Para la mayoría de las actividades cotidianas, los usuarios no necesitan derechos de administrador global.For most day-to-day activities, global administrator rights are not needed by your users. No se debería asignar permanentemente a los usuarios a este rol, ya que podrían realizar de forma no intencionada alguna tarea que requiera permisos más elevados de los que deberían tener.Users should not be permanently assigned to the role, because they might inadvertently perform a task that requires higher permissions than they should have. Cuando los usuarios no necesitan actuar como administrador global, deberían activar la asignación de roles mediante Azure Active Directory (Azure AD) Privileged Identity Management (PIM) en sus propias cuentas o en una cuenta administrativa alternativa.When users don't need to act as a global administrator, they should activate the role assignment by using Azure Active Directory (Azure AD) Privileged Identity Management (PIM), on either their own account or an alternate administrative account.

Además de que los usuarios se puedan asignar derechos de acceso administrativo a ellos mismos, debe impedir que se le bloquee de forma no intencionada de la administración de su inquilino de Azure AD ya que no podría iniciar sesión ni activar una cuenta existente de usuario individual como administrador.In addition to users' taking on administrative access rights for themselves, you need to prevent being inadvertently locked out of the administration of your Azure AD tenant because you can neither sign in nor activate an existing individual user's account as an administrator. Puede mitigar el efecto de una falta involuntaria de acceso administrativo mediante el almacenamiento de dos o más cuentas de acceso de emergencia en su inquilino.You can mitigate the impact of inadvertent lack of administrative access by storing two or more emergency access accounts in your tenant.

Las cuentas de acceso de emergencia pueden ayudar a las organizaciones a restringir el acceso con privilegios en un entorno de Azure Active Directory existente.Emergency access accounts can help organizations restrict privileged access within an existing Azure Active Directory environment. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos.Such accounts are highly privileged, and they are not assigned to specific individuals. Las cuentas de acceso de emergencia se limitan a escenarios "excepcionales" o de emergencia, situaciones en las que no se pueden usar las cuentas administrativas normales.Emergency access accounts are limited to emergency or 'break glass' scenarios, situations where normal administrative accounts cannot be used. Las organizaciones deben incluir como objetivo la restricción del uso de las cuentas de emergencia solo para aquellos casos en los que sean necesarias.Organizations must maintain a goal of restricting the emergency account's usage to only that time during which it is necessary.

Puede que una organización necesite usar una cuenta de acceso de emergencia en las siguientes situaciones:An organization might need to use an emergency access account in the following situations:

  • Las cuentas de usuario están federadas y la federación no está disponible en este momento debido a una interrupción de la red de telefonía móvil o una interrupción del proveedor de identidades.The user accounts are federated, and federation is currently unavailable because of a cell-network break or an identity-provider outage. Por ejemplo, si se ha interrumpido el host del proveedor de identidades de su entorno, puede que los usuarios no puedan iniciar sesión cuando Azure AD les redirija a su proveedor de identidades.For example, if the identity provider host in your environment has gone down, users might be unable to sign in when Azure AD redirects to their identity provider.
  • Los administradores están registrados mediante Azure Multi-Factor Authentication y todos sus dispositivos individuales están deshabilitados.The administrators are registered through Azure Multi-Factor Authentication, and all their individual devices are unavailable. Puede que los usuarios no puedan completar la autenticación multifactor para activar un rol.Users might be unable to complete Multi-Factor Authentication to activate a role. Por ejemplo, una interrupción de la red de telefonía móvil les impide responder a llamadas telefónicas o recibir mensajes de texto, los únicos dos mecanismos de autenticación que registraron para sus dispositivos.For example, a cell network outage is preventing them from answering phone calls or receiving text messages, the only two authentication mechanisms that they registered for their device.
  • La persona con el acceso administrativo global más reciente ha dejado la organización.The person with the most recent global administrative access has left the organization. Azure AD impide que se pueda eliminar la última cuenta de administrador global, pero no impide que esta se pueda eliminar o deshabilitar de forma local.Azure AD prevents the last global administrator account from being deleted, but it does not prevent the account from being deleted or disabled on-premises. Es posible que alguna de estas situaciones impida a la organización recuperar la cuenta.Either situation might make the organization unable to recover the account.

Configuración inicialInitial configuration

Cree dos o más cuentas de acceso de emergencia.Create two or more emergency access accounts. Estas deben ser cuentas que estén solo en la nube, que usen el dominio *.onmicrosoft.com y que no estén federadas ni sincronizadas desde un entorno local.These should be cloud-only accounts that use the *.onmicrosoft.com domain and that are not federated or synchronized from an on-premises environment.

Las cuentas no se deberían asociar a ningún usuario individual de la organización.The accounts should not be associated with any individual user in the organization. Las organizaciones se deben asegurar de que las credenciales de estas cuentas están protegidas y solo las conocen los usuarios que están autorizados para usarlas.Organizations need to ensure that the credentials for these accounts are kept secure and known only to individuals who are authorized to use them.

Nota

La contraseña de una cuenta de acceso de emergencia se encuentra normalmente dividida en dos o tres partes, escrita en diferentes fragmentos de papel que se almacenan en cajas de seguridad a prueba de incendios que están en ubicaciones separadas seguras.An account password for an emergency access account is usually separated into two or three parts, written on separate pieces of paper, and stored in secure, fireproof safes that are in secure, separate locations.

Asegúrese de que las cuentas de acceso de emergencia no están conectadas a ningún teléfono móvil suministrado por un empleado, ni a tokens de hardware que viajen con empleados individuales ni con otras credenciales específicas de un empleado.Make sure that your emergency access accounts are not connected with any employee-supplied mobile phones, hardware tokens that travel with individual employees, or other employee-specific credentials. Esta precaución debe incluir también los casos en los que un empleado individual pueda no estar disponible cuando se necesiten las credenciales.This precaution covers instances where an individual employee is unreachable when the credential is needed.

Configuración inicial con asignaciones permanentesInitial configuration with permanent assignments

Una opción es hacer a los usuarios miembros permanentes del rol administrador global.One option is to make users permanent members of the global administrator role. Esta opción sería adecuada para organizaciones que no tienen suscripciones de Azure AD Premium P2.This option would be appropriate for organizations that do not have Azure AD Premium P2 subscriptions.

Para reducir el riesgo de ataques como resultado de una contraseña que se ha puesto en peligro, Azure AD recomienda que requiera autenticación multifactor a todos los usuarios individuales.To reduce the risk of an attack resulting from a compromised password, Azure AD recommends that you require Multi-Factor Authentication for all individual users. Este grupo debe incluir a los administradores y a todos aquellos (por ejemplo, los agentes financieros) cuyas cuentas, si se ponen en peligro, tendrían un impacto significativo.This group should include administrators and all others (for example, financial officers) whose compromised account would have a significant impact.

Sin embargo, si su organización no tiene dispositivos compartidos, puede que la autenticación multifactor no sea posible para estas cuentas de acceso de emergencia.However, if your organization does not have shared devices, Multi-Factor Authentication might not be possible for these emergency access accounts. Si va a configurar una directiva de acceso condicional para requerir el registro mediante autenticación multifactor para cada administrador de Azure AD y de otras aplicaciones conectadas de software como servicio (SaaS), tendrá que configurar las exclusiones de directiva para excluir a las cuentas de acceso de emergencia de este requisito.If you are configuring a conditional access policy to require Multi-Factor Authentication registration for every admin for Azure AD and other connected software as a service (SaaS) apps, you might need to configure policy exclusions to exclude emergency access accounts from this requirement.

Configuración inicial con aprobacionesInitial configuration with approvals

Otra opción consiste en configurar a los usuarios como aptos y como aprobadores para activar el rol de administrador global.Another option is to configure your users as eligible and approvers to activate the global administrator role. Esta opción requiere que su organización tenga suscripciones de Azure AD Premium P2.This option would require your organization to have Azure AD Premium P2 subscriptions. También requeriría una opción de la autenticación multifactor que sea adecuada para su uso compartido entre varios usuarios y el entorno de red.It would also require a Multi-Factor Authentication option that's suitable for shared use among multiple individuals and the network environment. Estos requisitos se deben a que la activación del rol de administrador global requiere que los usuarios hayan realizado previamente la autenticación multifactor.These requirements are because activation of the global administrator role requires users to have previously performed Multi-Factor Authentication. Para más información, consulte Exigencia de MFA en Privileged Identity Management de Azure AD.For more information, see How to require Multi-Factor Authentication in Azure AD Privileged Identity Management.

No se recomienda usar una autenticación multifactor que esté asociada con dispositivos personales para cuentas de acceso de emergencia.We do not recommend using Multi-Factor Authentication that's associated with personal devices for emergency access accounts. En caso de emergencia real, la persona que necesita acceso a un dispositivo registrado con autenticación multifactor puede que no sea la persona que tiene el dispositivo personal.In an actual emergency, the person who needs access to a Multi-Factor Authentication-registered device might not be the one who has the personal device.

Tenga en cuenta también el panorama de posibles amenazas.Also consider the threat landscape. Por ejemplo, puede surgir una circunstancia imprevista, como un desastre natural, durante la cual puede que las redes de telefonía móvil u otras redes no estén disponibles.For example, an unforeseen circumstance such as a natural disaster emergency might arise, during which a mobile phone or other networks might be unavailable. Es importante garantizar que todos los dispositivos registrados se almacenen en una ubicación conocida y segura que tenga varias formas de comunicarse con Azure AD.It is important to ensure that any registered devices are kept in a known, secure location that has multiple means of communicating with Azure AD.

Supervisión continuaOngoing monitoring

Supervise el inicio de sesión en Azure AD y los registros de auditoría para analizar los inicios de sesión y actividades de auditoría de las cuentas de acceso de emergencia.Monitor the Azure AD sign-in and audit logs for any sign-ins and audit activity from the emergency-access accounts. Normalmente, esas cuentas no deben iniciar sesión y no deberían realizar cambios, por lo que su uso es anómalo y requiere una investigación de seguridad.Normally those accounts should not be signing in and should not be making changes, so use of them is likely to be anomalous and require security investigation.

Se debe efectuar una validación de comprobación de cuentas en intervalos regulares.Account-check validation must occur at regular intervals

Efectúe la validación de la cuenta en los siguientes casos como mínimo:To validate the account, perform the following steps at minimum:

  • Cada 90 días.Every 90 days.
  • Cuando se ha producido un cambio reciente en el personal de TI, como un cambio de trabajo, una salida o un nuevo empleado.When there has been a recent change in IT staff, such as a job change, a departure, or a new hire.
  • Cuando se han cambiado las suscripciones de Azure AD de la organización.When the Azure AD subscriptions in the organization have changed.

Para formar a los miembros del personal para que usen las cuentas de acceso de emergencia, haga lo siguiente:To train staff members to use emergency access accounts, do the following:

  • Asegúrese de que el personal de supervisión de seguridad sea consciente de que la actividad de comprobación de las cuentas es continua.Ensure that security-monitoring staff are aware that the account-check activity is ongoing.
  • Compruebe que las cuentas de usuarios en la nube pueden iniciar sesión y activar sus roles, y que aquellos usuarios que tengan que realizar estos pasos en caso de emergencia conozcan el proceso.Validate that the cloud user accounts can sign in and activate their roles, and that users who might need to perform these steps during an emergency are trained on the process.
  • Asegúrese de que estos no han registrado la autenticación multifactor ni el restablecimiento de contraseña de autoservicio (SSPR) en ningún dispositivo de usuario individual o con información personal.Ensure that they have not registered Multi-Factor Authentication or self-service password reset (SSPR) to any individual user’s device or personal details.
  • Si las cuentas se han registrado para la autenticación multifactor en un dispositivo, para su uso durante la activación de rol, asegúrese de que este dispositivo sea accesible para todos los administradores que podrían tener que usarlo en caso de emergencia.If the accounts are registered for Multi-Factor Authentication to a device, for use during role activation, ensure that the device is accessible to all administrators who might need to use it during an emergency. Compruebe también que el dispositivo se ha registrado mediante dos mecanismos que no compartan un modo de avería común.Also verify that the device is registered through at least two mechanisms that do not share a common failure mode. Por ejemplo, el dispositivo puede comunicarse con Internet a través de la red inalámbrica de la oficina y a través de una red de un proveedor de telefonía móvil.For example, the device can communicate to the internet through both a facility's wireless network and a cell provider network.
  • Actualice las credenciales de la cuenta.Update the account credentials.

Pasos siguientesNext steps