Procedimientos recomendados para la administración de identidades y la seguridad del control de acceso en AzureAzure Identity Management and access control security best practices

En este artículo, se trata un conjunto de procedimientos recomendados para la seguridad del control de acceso y la administración de identidades en Azure.In this article, we discuss a collection of Azure identity management and access control security best practices. Estos procedimientos recomendados proceden de nuestra experiencia con Azure AD y las experiencias de clientes como usted.These best practices are derived from our experience with Azure AD and the experiences of customers like yourself.

Para cada procedimiento recomendado, explicaremos:For each best practice, we explain:

  • Qué es el procedimiento recomendadoWhat the best practice is
  • Por qué le conviene habilitar este procedimiento recomendadoWhy you want to enable that best practice
  • Cuál podría ser el resultado si no habilita el procedimiento recomendadoWhat might be the result if you fail to enable the best practice
  • Alternativas posibles al procedimiento recomendadoPossible alternatives to the best practice
  • Cómo aprender a habilitar el procedimiento recomendadoHow you can learn to enable the best practice

Este artículo sobre procedimientos recomendados para la seguridad del control de acceso y la administración de identidades en Azure se basa en una opinión consensuada y en las funcionalidades y conjuntos de características de la plataforma de Azure que existen en el momento de su publicación.This Azure identity management and access control security best practices article is based on a consensus opinion and Azure platform capabilities and feature sets, as they exist at the time this article was written. Las opiniones y las tecnologías cambian con el tiempo, por lo que se actualizará de forma periódica para reflejar esos cambios.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Los procedimientos recomendados para la seguridad del control de acceso y la administración de identidades en Azure que se describen en este artículo son:Azure identity management and access control security best practices discussed in this article include:

  • Tratar las amenazas como el perímetro de seguridad principalTreat identity as the primary security perimeter
  • Centralizar la administración de identidadesCentralize identity management
  • Administrar inquilinos conectadosManage connected tenants
  • Habilitar el inicio de sesión únicoEnable single sign-on
  • Activar el acceso condicionalTurn on Conditional Access
  • Habilitación de la administración de contraseñasEnable password management
  • Exigir a los usuarios la verificación multifactorEnforce multi-factor verification for users
  • Uso del control de acceso basado en rolUse role-based access control
  • Menor exposición de las cuentas con privilegiosLower exposure of privileged accounts
  • Controlar las ubicaciones donde se encuentran los recursosControl locations where resources are located
  • Uso de Azure AD para la autenticación de almacenamientoUse Azure AD for storage authentication

Tratar las amenazas como el perímetro de seguridad principalTreat identity as the primary security perimeter

Muchos consideran que la identidad es el perímetro principal para la seguridad.Many consider identity to be the primary perimeter for security. Se trata de un cambio desde el enfoque tradicional de seguridad de red.This is a shift from the traditional focus on network security. Los perímetros de red continúan volviéndose más porosos y esa defensa perimetral no puede ser tan eficaz como lo era antes de la explosión de dispositivos y aplicaciones en la nube de BYOD.Network perimeters keep getting more porous, and that perimeter defense can’t be as effective as it was before the explosion of BYOD devices and cloud applications.

Azure Active Directory (Azure AD) es la solución de Azure para la administración de identidades y de acceso.Azure Active Directory (Azure AD) is the Azure solution for identity and access management. Azure AD es un servicio de administración de identidades y directorios multiinquilino basado en la nube de Microsoft.Azure AD is a multitenant, cloud-based directory and identity management service from Microsoft. Combina servicios de directorio fundamentales, la administración del acceso a las aplicaciones y la protección de identidades en una única solución.It combines core directory services, application access management, and identity protection into a single solution.

En las siguientes secciones se enumeran los procedimientos recomendados de seguridad de acceso e identidades con Azure AD.The following sections list best practices for identity and access security using Azure AD.

Centralizar la administración de identidadesCentralize identity management

En un escenario de identidad híbrida, se recomienda integrar los directorios en el entorno local y en la nube.In a hybrid identity scenario we recommend that you integrate your on-premises and cloud directories. La integración permite al equipo de TI administrar las cuentas desde una ubicación, independientemente de donde se crea una cuenta.Integration enables your IT team to manage accounts from one location, regardless of where an account is created. La integración también hace que los usuarios sean más productivos, ya que proporciona una identidad común para tener acceso a recursos de la nube y del entorno local.Integration also helps your users be more productive by providing a common identity for accessing both cloud and on-premises resources.

Procedimiento recomendado: establecer una única instancia de Azure AD.Best practice: Establish a single Azure AD instance. La coherencia y tener un solo origen de autoridad aumentará la claridad y reducirá los riesgos de seguridad originados por errores humanos, así como la complejidad de la configuración.Consistency and a single authoritative sources will increase clarity and reduce security risks from human errors and configuration complexity. Detalles: designe un solo directorio de Azure AD como origen de autoridad de cuentas corporativas y de la organización.Detail: Designate a single Azure AD directory as the authoritative source for corporate and organizational accounts.

Procedimiento recomendado: Integración de los directorios locales con Azure AD.Best practice: Integrate your on-premises directories with Azure AD.
Detalles: use Azure AD Connect para sincronizar el directorio local con el directorio en la nube.Detail: Use Azure AD Connect to synchronize your on-premises directory with your cloud directory.

Nota

Existen factores que afectan al rendimiento de una instancia de Azure AD Connect.There are factors that affect the performance of Azure AD Connect. Asegúrese de que Azure AD Connect tiene capacidad suficiente para impedir que los sistemas con un rendimiento deficiente obstaculicen la seguridad y productividad.Ensure Azure AD Connect has enough capacity to keep underperforming systems from impeding security and productivity. Las organizaciones grandes o complejas (organizaciones que aprovisionan más de 100 000 objetos) deben seguir las recomendaciones para optimizar su implementación de Azure AD Connect.Large or complex organizations (organizations provisioning more than 100,000 objects) should follow the recommendations to optimize their Azure AD Connect implementation.

Procedimiento recomendado: no sincronizar las cuentas de Azure AD que tienen privilegios elevados en la instancia de Active Directory existente.Best practice: Don’t synchronize accounts to Azure AD that have high privileges in your existing Active Directory instance. Detalles: no cambie el valor predeterminado de la configuración de Azure AD Connect que filtra estas cuentas.Detail: Don’t change the default Azure AD Connect configuration that filters out these accounts. Esta configuración reduce el riesgo de que un adversario pase de la nube a los recursos locales (lo que podría crear un incidente de primera magnitud).This configuration mitigates the risk of adversaries pivoting from cloud to on-premises assets (which could create a major incident).

Procedimiento recomendado: Activación de la sincronización de hashes de contraseñas.Best practice: Turn on password hash synchronization.
Detalles: la sincronización de hash de contraseñas es una característica que sirve para sincronizar hash de contraseñas de usuario de una instancia de Active Directory local con otra de Azure Active Directory (Azure AD) basada en la nube.Detail: Password hash synchronization is a feature used to synch user password hashes from an on-premises Active Directory instance to a cloud-based Azure AD instance. Esta sincronización ayuda a protegerse de la reutilización de credenciales filtradas obtenidas en ataques anteriores.This sync helps to protect against leaked credentials being replayed from previous attacks.

Aunque decida usar la federación con Servicios de federación de Active Directory (AD FS) u otros proveedores de identidades, si quiere, puede configurar la sincronización de hashes de contraseñas para tener una opción alternativa si los servidores locales sufren un error o dejan de estar disponibles temporalmente.Even if you decide to use federation with Active Directory Federation Services (AD FS) or other identity providers, you can optionally set up password hash synchronization as a backup in case your on-premises servers fail or become temporarily unavailable. Esta sincronización permite que los usuarios inicien sesión en el servicio con la misma contraseña que usan para iniciar sesión en su instancia local de Active Directory.This sync enables users to sign in to the service by using the same password that they use to sign in to their on-premises Active Directory instance. También permite que Identity Protection detecte las credenciales que están en peligro mediante la comparación de los hash de contraseña sincronizados con contraseñas que se sepa que están en peligro, si un usuario ha usado su misma dirección de correo electrónico y contraseña en otros servicios que no estén conectados a Azure AD.It also allows Identity Protection to detect compromised credentials by comparing synchronized password hashes with passwords known to be compromised, if a user has used the same email address and password on other services that aren't connected to Azure AD.

Para más información, consulte Implement password hash synchronization with Azure AD Connect sync (Implementación de la sincronización de hash de contraseñas mediante la sincronización de Azure AD Connect).For more information, see Implement password hash synchronization with Azure AD Connect sync.

Procedimiento recomendado: Para el desarrollo de nuevas aplicaciones, usar Azure AD para la autenticación.Best practice: For new application development, use Azure AD for authentication. Detalles: use las capacidades adecuadas para admitir la autenticación:Detail: Use the correct capabilities to support authentication:

  • Azure AD para los empleados.Azure AD for employees
  • B2B de Azure AD para los usuarios invitados y socios externos.Azure AD B2B for guest users and external partners
  • Azure AD B2C para controlar el modo en que los clientes se suscriben, inician sesión y administran sus perfiles al usar las aplicaciones.Azure AD B2C to control how customers sign up, sign in, and manage their profiles when they use your applications

Las organizaciones que no integren la identidad del entorno local con la identidad en la nube pueden tener mayor sobrecarga para administrar cuentas.Organizations that don’t integrate their on-premises identity with their cloud identity can have more overhead in managing accounts. Esta sobrecarga aumenta la probabilidad de que haya errores e infracciones de seguridad.This overhead increases the likelihood of mistakes and security breaches.

Nota

Debe elegir en qué directorios van a residir las cuentas críticas y si la estación de trabajo de administración empleada se administra mediante servicios en la nube nuevos o mediante procesos ya existentes.You need to choose which directories critical accounts will reside in and whether the admin workstation used is managed by new cloud services or existing processes. Usar los procesos de aprovisionamiento de identidades y administración existentes puede reducir algunos riesgos, pero también puede crear el riesgo de que un atacante ponga en peligro una cuenta local y pase a la nube.Using existing management and identity provisioning processes can decrease some risks but can also create the risk of an attacker compromising an on-premises account and pivoting to the cloud. Es posible que desee usar una estrategia diferente para distintos roles (por ejemplo, administradores de TI frente a administradores de unidades de negocio).You might want to use a different strategy for different roles (for example, IT admins vs. business unit admins). Tiene dos opciones:You have two options. La primera es crear cuentas de Azure AD que no estén sincronizadas con la instancia local de Active Directory.First option is to create Azure AD Accounts that aren’t synchronized with your on-premises Active Directory instance. Una su estación de trabajo de administración a Azure AD, que se puede administrar y donde se pueden aplicar revisiones mediante Microsoft Intune.Join your admin workstation to Azure AD, which you can manage and patch by using Microsoft Intune. La segunda consiste en usar cuentas de administrador existentes mediante la sincronización de la instancia de Active Directory local.Second option is to use existing admin accounts by synchronizing to your on-premises Active Directory instance. Use estaciones de trabajo existentes en el dominio de Active Directory para la administración y seguridad.Use existing workstations in your Active Directory domain for management and security.

Administrar inquilinos conectadosManage connected tenants

Su organización de seguridad necesita visibilidad para evaluar los riesgos y determinar si se siguen las directivas de la organización, así como cualquier requisito normativo.Your security organization needs visibility to assess risk and to determine whether the policies of your organization, and any regulatory requirements, are being followed. Debe asegurarse de que su organización de seguridad tiene visibilidad en todas las suscripciones conectadas al entorno de producción y a la red (a través de Azure ExpressRoute o VPN de sitio a sitio).You should ensure that your security organization has visibility into all subscriptions connected to your production environment and network (via Azure ExpressRoute or site-to-site VPN). Un administrador global o un administrador de empresa en Azure AD puede elevar su acceso al rol Administrador de acceso de usuario y ver todas las suscripciones y los grupos administrados conectados al entorno.A Global Administrator/Company Administrator in Azure AD can elevate their access to the User Access Administrator role and see all subscriptions and managed groups connected to your environment.

Vea Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure para asegurarse de que usted y su grupo de seguridad pueden ver todas las suscripciones o grupos de administración conectados al entorno.See elevate access to manage all Azure subscriptions and management groups to ensure that you and your security group can view all subscriptions or management groups connected to your environment. Deberá quitar este acceso con privilegios elevados después de haber evaluado los riesgos.You should remove this elevated access after you’ve assessed risks.

Habilitar el inicio de sesión únicoEnable single sign-on

En un mundo donde la nube y la movilidad son lo primero, resulta útil habilitar el inicio de sesión único (SSO) en dispositivos, aplicaciones y servicios desde cualquier sitio, de modo que los usuarios puedan ser productivos en cualquier momento y lugar.In a mobile-first, cloud-first world, you want to enable single sign-on (SSO) to devices, apps, and services from anywhere so your users can be productive wherever and whenever. Cuando es necesario administrar varias soluciones de identidad, esto supone un problema administrativo no solo para TI, sino también para los usuarios que tendrán que recordar varias contraseñas.When you have multiple identity solutions to manage, this becomes an administrative problem not only for IT but also for users who have to remember multiple passwords.

Mediante el uso de la misma solución de identidad para todas las aplicaciones y los recursos, podrá disfrutar del SSO.By using the same identity solution for all your apps and resources, you can achieve SSO. Además, los usuarios podrán usar el mismo conjunto de credenciales para iniciar sesión y acceder a los recursos que necesitan, con independencia de dónde se ubiquen estos recursos, tanto si es en el entorno local como en la nube.And your users can use the same set of credentials to sign in and access the resources that they need, whether the resources are located on-premises or in the cloud.

Procedimiento recomendado: habilitar SSO.Best practice: Enable SSO.
Detalles: Azure AD extiende Active Directory del entorno local a la nube.Detail: Azure AD extends on-premises Active Directory to the cloud. Los usuarios pueden usar su cuenta profesional o educativa principal para los dispositivos unidos a un dominio, los recursos de la empresa y todas las aplicaciones web y SaaS que necesitan para realizar su trabajo.Users can use their primary work or school account for their domain-joined devices, company resources, and all of the web and SaaS applications that they need to get their jobs done. Los usuarios no tienen que recordar varios nombres de usuario y contraseñas y el acceso a las aplicaciones por parte de los usuarios se puede aprovisionar (o desaprovisionar) automáticamente, en función de su pertenencia a los grupos de la organización y de su estado como empleado.Users don’t have to remember multiple sets of usernames and passwords, and their application access can be automatically provisioned (or deprovisioned) based on their organization group memberships and their status as an employee. Además, puede controlar el acceso de las aplicaciones de la galería o de sus propias aplicaciones locales que ha desarrollado y publicado mediante el proxy de la aplicación de Azure AD.And you can control that access for gallery apps or for your own on-premises apps that you’ve developed and published through the Azure AD Application Proxy.

Use el SSO para permitir que los usuarios accedan a sus aplicaciones SaaS en función de su cuenta profesional o educativa en Azure AD.Use SSO to enable users to access their SaaS applications based on their work or school account in Azure AD. Esto no solo es aplicable a las aplicaciones para SaaS de Microsoft, sino también a otras aplicaciones, como Google Apps y Salesforce.This is applicable not only for Microsoft SaaS apps, but also other apps, such as Google Apps and Salesforce. Puede configurar su aplicación de modo que use Azure AD como un proveedor de identidades basado en SAML.You can configure your application to use Azure AD as a SAML-based identity provider. Como control de seguridad, Azure AD no emite ningún token que permita a los usuarios iniciar sesión en la aplicación, a menos que se les conceda acceso mediante Azure AD.As a security control, Azure AD does not issue a token that allows users to sign in to the application unless they have been granted access through Azure AD. Puede concederles acceso directamente o a través de un grupo al cual pertenezcan.You can grant access directly, or through a group that users are a member of.

Las organizaciones que no crean ninguna identidad común para establecer el SSO para sus usuarios y aplicaciones están más expuestas a escenarios donde los usuarios tienen varias contraseñas.Organizations that don’t create a common identity to establish SSO for their users and applications are more exposed to scenarios where users have multiple passwords. Estos escenarios aumentan la probabilidad de que los usuarios reutilicen las contraseñas o usen contraseñas débiles.These scenarios increase the likelihood of users reusing passwords or using weak passwords.

Activar el acceso condicionalTurn on Conditional Access

Los usuarios pueden acceder a los recursos de su organización mediante diversos dispositivos y aplicaciones desde cualquier lugar.Users can access your organization's resources by using a variety of devices and apps from anywhere. Como administrador de TI, quiere asegurarse de que estos dispositivos cumplan los estándares de seguridad y cumplimiento.As an IT admin, you want to make sure that these devices meet your standards for security and compliance. Ya no es suficiente con centrarse en quién puede acceder a un recurso.Just focusing on who can access a resource is not sufficient anymore.

Para equilibrar la seguridad y la productividad, también debe pensar en cómo se accede a un recurso antes de que pueda tomar una decisión de control de acceso.To balance security and productivity, you need to think about how a resource is accessed before you can make a decision about access control. Con el acceso condicional de Azure AD, puede abordar este requisito.With Azure AD Conditional Access, you can address this requirement. Con el acceso condicional, puede tomar decisiones de control de acceso automatizadas en función de las condiciones para acceder a las aplicaciones en la nube.With Conditional Access, you can make automated access control decisions based on conditions for accessing your cloud apps.

Procedimiento recomendado: Administración y control del acceso a los recursos corporativos.Best practice: Manage and control access to corporate resources.
Detalles: configure el acceso condicional de Azure AD en función del grupo, la ubicación y la confidencialidad de las aplicaciones SaaS y las aplicaciones conectadas a Azure AD.Detail: Configure Azure AD Conditional Access based on a group, location, and application sensitivity for SaaS apps and Azure AD–connected apps.

Procedimiento recomendado: bloquear los protocolos de autenticación heredados.Best practice: Block legacy authentication protocols. Detalles: Los atacantes aprovechan a diario los puntos débiles de protocolos anteriores, especialmente en ataques de difusión de contraseña.Detail: Attackers exploit weaknesses in older protocols every day, particularly for password spray attacks. Configure el acceso condicional para que bloquee los protocolos heredados.Configure Conditional Access to block legacy protocols. Vea el vídeo Azure AD: Qué hacer y qué no para más información.See the video Azure AD: Do’s and Don’ts for more information.

Habilitación de la administración de contraseñasEnable password management

Si tiene varios inquilinos o quiere permitir que los usuarios restablezcan su propia contraseña, es importante utilizar directivas de seguridad adecuadas para evitar un uso inadecuado.If you have multiple tenants or you want to enable users to reset their own passwords, it’s important that you use appropriate security policies to prevent abuse.

Procedimiento recomendado: Configuración del autoservicio de restablecimiento de contraseña (SSPR) para los usuarios.Best practice: Set up self-service password reset (SSPR) for your users.
Detalles: use la característica de autoservicio de restablecimiento de contraseña de Azure AD.Detail: Use the Azure AD self-service password reset feature.

Procedimiento recomendado: Supervisar cómo se usa realmente SSPR o si se puede usar.Best practice: Monitor how or if SSPR is really being used.
Detalles: supervise los usuarios que se registran mediante el informe de actividad de registro de restablecimiento de contraseña de Azure AD.Detail: Monitor the users who are registering by using the Azure AD Password Reset Registration Activity report. La característica de creación de informes que proporciona Azure AD le ayuda a responder preguntas mediante informes creados previamente.The reporting feature that Azure AD provides helps you answer questions by using prebuilt reports. Si está debidamente protegido por licencia, también puede crear consultas personalizadas.If you're appropriately licensed, you can also create custom queries.

Procedimiento recomendado: ampliar las directivas de contraseña basadas en la nube a la infraestructura local.Best practice: Extend cloud-based password policies to your on-premises infrastructure. Detalles: mejore las directivas de contraseña en la organización realizando en el entorno local las mismas comprobaciones de cambios de contraseña que las que se efectúan en la nube.Detail: Enhance password policies in your organization by performing the same checks for on-premises password changes as you do for cloud-based password changes. Instale Protección con contraseña de Azure AD en agentes de Windows Server Active Directory de forma local para ampliar las listas de contraseñas prohibidas a la infraestructura existente.Install Azure AD password protection for Windows Server Active Directory agents on-premises to extend banned password lists to your existing infrastructure. Los usuarios y administradores que cambien, establezcan o restablezcan contraseñas locales deben cumplir la misma directiva de contraseñas que los usuarios que solo están en la nube.Users and admins who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

Exigir a los usuarios la verificación multifactorEnforce multi-factor verification for users

Se recomienda exigir la verificación en dos pasos a todos los usuarios.We recommend that you require two-step verification for all of your users. Esto incluye a los administradores y otras personas de su organización, ya que el hecho de que su cuenta esté en peligro puede tener un impacto significativo (por ejemplo, los directores financieros).This includes administrators and others in your organization who can have a significant impact if their account is compromised (for example, financial officers).

Existen varias opciones para exigir la verificación en dos pasos.There are multiple options for requiring two-step verification. La mejor opción para usted depende de sus objetivos, la edición de Azure AD que ejecuta y su programa de licencias.The best option for you depends on your goals, the Azure AD edition you’re running, and your licensing program. Consulte Exigencia de verificación en dos pasos para un usuario para determinar la mejor opción para usted.See How to require two-step verification for a user to determine the best option for you. Puede encontrar más información sobre licencias y precios en las páginas de precios de Azure AD y Azure Multi-Factor Authentication.See the Azure AD and Azure Multi-Factor Authentication pricing pages for more information about licenses and pricing.

A continuación, se indican las opciones y ventajas para habilitar la verificación en dos pasos:Following are options and benefits for enabling two-step verification:

Opción 1: habilitar Multi-factor Authentication mediante el cambio de estado de usuario.Option 1: Enable Multi-Factor Authentication by changing user state.
Ventaja: este es el método tradicional para exigir la verificación en dos pasos.Benefit: This is the traditional method for requiring two-step verification. Funciona tanto con Azure Multi-factor Authentication en la nube como en el Servidor Azure Multi-factor Authentication.It works with both Azure Multi-Factor Authentication in the cloud and Azure Multi-Factor Authentication Server. El uso de este método requiere que los usuarios realicen la verificación en dos pasos cada vez que inicien sesión, e invalida las directivas de acceso condicional.Using this method requires users to perform two-step verification every time they sign in and overrides Conditional Access policies.

Para averiguar dónde debe habilitarse Multi-Factor Authentication, vea ¿Qué versión de Azure MFA es adecuada en mi organización?To determine where Multi-Factor Authentication needs to be enabled, see Which version of Azure MFA is right for my organization?.

Opción 2: habilitar Multi-Factor Authentication con la directiva de acceso condicional.Option 2: Enable Multi-Factor Authentication with Conditional Access policy. Ventaja: esta opción permite solicitar la verificación en dos pasos en condiciones específicas mediante el uso del acceso condicional.Benefit: This option allows you to prompt for two-step verification under specific conditions by using Conditional Access. Las condiciones específicas pueden ser el inicio de sesión del usuario desde distintas ubicaciones, dispositivos no confiables o aplicaciones que considere de riesgo.Specific conditions can be user sign-in from different locations, untrusted devices, or applications that you consider risky. Definir condiciones específicas donde exija la verificación en dos pasos le permite evitar pedirla constantemente a los usuarios, lo cual puede ser una experiencia desagradable para el usuario.Defining specific conditions where you require two-step verification enables you to avoid constant prompting for your users, which can be an unpleasant user experience.

Esta es la forma más flexible de habilitar la verificación en dos pasos para los usuarios.This is the most flexible way to enable two-step verification for your users. Habilitar la directiva de acceso condicional solo funciona con Azure Multi-Factor Authentication en la nube y es una característica premium de Azure AD.Enabling a Conditional Access policy works only for Azure Multi-Factor Authentication in the cloud and is a premium feature of Azure AD. Puede encontrar más información sobre este método en Implementación de Azure Multi-factor Authentication en la nube.You can find more information on this method in Deploy cloud-based Azure Multi-Factor Authentication.

Opción 3: habilitar Multi-Factor Authentication con directivas de acceso condicional mediante la evaluación de riesgos de usuario e inicio de sesión de Azure AD Identity Protection.Option 3: Enable Multi-Factor Authentication with Conditional Access policies by evaluating user and sign-in risk of Azure AD Identity Protection.
Ventaja: esta opción le permite:Benefit: This option enables you to:

  • Detectar posibles vulnerabilidades que afectan a las identidades de la organización.Detect potential vulnerabilities that affect your organization’s identities.
  • Configurar respuestas automatizadas a acciones sospechosas detectadas que están relacionadas con las identidades de la organización.Configure automated responses to detected suspicious actions that are related to your organization’s identities.
  • Investigar incidentes sospechosos y tomar las medidas adecuadas para resolverlos.Investigate suspicious incidents and take appropriate action to resolve them.

Este método utiliza la evaluación de riesgos de Azure AD Identity Protection para determinar si se requiere la verificación en dos pasos en función de los riesgos del usuario y el inicio de sesión para todas las aplicaciones en la nube.This method uses the Azure AD Identity Protection risk evaluation to determine if two-step verification is required based on user and sign-in risk for all cloud applications. Este método requiere una licencia de Azure Active Directory P2.This method requires Azure Active Directory P2 licensing. Para obtener más información sobre este método, consulte Azure Active Directory Identity Protection.You can find more information on this method in Azure Active Directory Identity Protection.

Nota

La opción 1, en la que se habilita Multi-Factor Authentication al cambiar el estado del usuario, invalida las directivas de acceso condicional.Option 1, enabling Multi-Factor Authentication by changing the user state, overrides Conditional Access policies. Dado que las opciones de 2 y 3 usan directivas de acceso condicional, no puede usar la opción 1 con ellas.Because options 2 and 3 use Conditional Access policies, you cannot use option 1 with them.

Las organizaciones que no agregan capas de protección de la identidad adicionales, como la verificación en dos pasos, son más susceptibles a ataques de robo de credenciales.Organizations that don’t add extra layers of identity protection, such as two-step verification, are more susceptible for credential theft attack. Un ataque de robo de credenciales puede poner en peligro la seguridad de los datos.A credential theft attack can lead to data compromise.

Uso del control de acceso basado en rolUse role-based access control

La administración de acceso de los recursos en la nube es importantísima en cualquier organización que use la nube.Access management for cloud resources is critical for any organization that uses the cloud. El control de acceso basado en rol (RBAC) ayuda a administrar quién tiene acceso a los recursos de Azure, qué pueden hacer con esos recursos y a qué áreas puede acceder.Role-based access control (RBAC)helps you manage who has access to Azure resources, what they can do with those resources, and what areas they have access to.

Designar grupos o roles individuales responsables de funciones específicas de Azure ayuda a evitar la confusión que puede desembocar en errores humanos y de automatización que suponen riesgos de seguridad.Designating groups or individual roles responsible for specific functions in Azure helps avoid confusion that can lead to human and automation errors that create security risks. En organizaciones que quieren aplicar directivas de seguridad para el acceso a los datos, es imperativo restringir el acceso en función de los principios de seguridad necesidad de saber y mínimo privilegio.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce security policies for data access.

El equipo de seguridad necesita visibilidad en los recursos de Azure para evaluar y corregir el riesgo.Your security team needs visibility into your Azure resources in order to assess and remediate risk. Si el equipo de seguridad tiene responsabilidades operativas, necesita más permisos para realizar su labor.If the security team has operational responsibilities, they need additional permissions to do their jobs.

Puede usar RBAC para asignar permisos a los usuarios, los grupos y las aplicaciones en un ámbito determinado.You can use RBAC to assign permissions to users, groups, and applications at a certain scope. El ámbito de una asignación de roles puede ser una suscripción, un grupo de recursos o un único recurso.The scope of a role assignment can be a subscription, a resource group, or a single resource.

Procedimiento recomendado: repartir las tareas entre el equipo y conceder a los usuarios únicamente el nivel de acceso que necesitan para realizar su trabajo.Best practice: Segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. En lugar de proporcionar a todos los empleados permisos no restringidos en los recursos o la suscripción de Azure, permita solo determinadas acciones en un ámbito concreto.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, allow only certain actions at a particular scope. Detalles: use roles de RBAC integrados en Azure para asignar privilegios a los usuarios.Detail: Use built-in RBAC roles in Azure to assign privileges to users.

Nota

Los permisos específicos conllevan una complejidad y una confusión innecesarias, y no hace más que alimentar una configuración "heredada" que es difícil de corregir sin riesgo repercutir negativamente en algo.Specific permissions create unneeded complexity and confusion, accumulating into a “legacy” configuration that’s difficult to fix without fear of breaking something. Evite asignar permisos específicos de recursos.Avoid resource-specific permissions. En su lugar, utilice grupos de administración para asignar permisos en toda la compañía y grupos de recursos para asignar permisos en las suscripciones.Instead, use management groups for enterprise-wide permissions and resource groups for permissions within subscriptions. Evite asignar permisos específicos del usuario.Avoid user-specific permissions. En su lugar, asigne acceso a grupos en Azure AD.Instead, assign access to groups in Azure AD.

Procedimiento recomendado: conceder acceso a los equipos de seguridad a responsabilidades de Azure para ver recursos de Azure y, así, poder evaluar y corregir riesgos.Best practice: Grant security teams with Azure responsibilities access to see Azure resources so they can assess and remediate risk. Detalles: conceda a los equipos de seguridad el rol RBAC Lector de seguridad.Detail: Grant security teams the RBAC Security Reader role. Puede usar el grupo de administración raíz o el grupo de administración de segmento, según el ámbito de responsabilidades:You can use the root management group or the segment management group, depending on the scope of responsibilities:

  • Grupo de administración raíz para equipos responsables de todos los recursos de la empresa.Root management group for teams responsible for all enterprise resources
  • Grupo de administración de segmento para equipos con un ámbito limitado (normalmente, debido a límites organizativos legales o de otra índole).Segment management group for teams with limited scope (commonly because of regulatory or other organizational boundaries)

Procedimiento recomendado: conceder los permisos adecuados a los equipos de seguridad que tienen responsabilidades operativas directas.Best practice: Grant the appropriate permissions to security teams that have direct operational responsibilities. Detalles: revise los roles RBAC integrados para la asignación de rol adecuado.Detail: Review the RBAC built-in roles for the appropriate role assignment. Si los roles integrados no cumplen las necesidades específicas de la organización, puede crear roles personalizados para los recursos de Azure.If the built-in roles don't meet the specific needs of your organization, you can create custom roles for Azure resources. Igual que los roles integrados, puede asignar roles personalizados a usuarios, grupos y entidades de servicio en los ámbitos de suscripción, grupo de recursos y recurso.As with built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

Procedimientos recomendados: conceder acceso de Azure Security Center a los roles de seguridad que lo necesiten.Best practices: Grant Azure Security Center access to security roles that need it. Security Center permite a los equipos de seguridad identificar y corregir riesgos con total rapidez.Security Center allows security teams to quickly identify and remediate risks. Detalles: asigne a los equipos de seguridad con estas necesidades de seguridad el rol RBAC Administrador de seguridad para ver directivas de seguridad, ver estados de seguridad, editar directivas de seguridad, ver alertas y recomendaciones y descartar alertas y recomendaciones.Detail: Add security teams with these needs to the RBAC Security Admin role so they can view security policies, view security states, edit security policies, view alerts and recommendations, and dismiss alerts and recommendations. Para ello, puede usar el grupo de administración raíz o el grupo de administración de segmento, según el ámbito de responsabilidades.You can do this by using the root management group or the segment management group, depending on the scope of responsibilities.

Es posible que las organizaciones que no apliquen el control de acceso a los datos mediante el uso de funcionalidades como RBAC estén concediendo más privilegios de los necesarios a sus usuarios.Organizations that don’t enforce data access control by using capabilities like RBAC might be giving more privileges than necessary to their users. Esto puede poner en peligro los datos al permitir que los usuarios accedan a tipos de datos (por ejemplo, aquellos que son críticos para la empresa) a los que no deberían tener acceso.This can lead to data compromise by allowing users to access types of data (for example, high business impact) that they shouldn’t have.

Menor exposición de las cuentas con privilegiosLower exposure of privileged accounts

La protección del acceso con privilegios es un primer paso esencial para proteger los recursos empresariales.Securing privileged access is a critical first step to protecting business assets. Minimizar el número de personas que tienen acceso a información segura o a recursos reduce la posibilidad de que los usuarios malintencionados obtengan acceso o de que un usuario autorizado, sin darse cuenta, afecte a un recurso confidencial.Minimizing the number of people who have access to secure information or resources reduces the chance of a malicious user getting access, or an authorized user inadvertently affecting a sensitive resource.

Las cuentas con privilegios son cuentas que administran los sistemas de TI.Privileged accounts are accounts that administer and manage IT systems. Estas cuentas son el objetivo de los ciberatacantes, ya que les proporcionan acceso a los datos y los sistemas de una organización.Cyber attackers target these accounts to gain access to an organization’s data and systems. Para proteger el acceso con privilegios, debe aislar las cuentas y los sistemas del riesgo de exposición a usuarios malintencionados.To secure privileged access, you should isolate the accounts and systems from the risk of being exposed to a malicious user.

Recomendamos el desarrollo y seguimiento de una hoja de ruta a fin de proteger el acceso con privilegios de los ciberatacantes.We recommend that you develop and follow a roadmap to secure privileged access against cyber attackers. Para obtener información acerca de cómo crear una hoja de ruta detallada para proteger las identidades y el acceso que se administran o notifican en Azure AD, Microsoft Azure, Office 365 y otros servicios en la nube, revise el artículo Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD.For information about creating a detailed roadmap to secure identities and access that are managed or reported in Azure AD, Microsoft Azure, Office 365, and other cloud services, review Securing privileged access for hybrid and cloud deployments in Azure AD.

A continuación, se resumen los procedimientos recomendados que se encuentran en el artículo Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD:The following summarizes the best practices found in Securing privileged access for hybrid and cloud deployments in Azure AD:

Procedimiento recomendado: Administración, control y supervisión del acceso a las cuentas con privilegios.Best practice: Manage, control, and monitor access to privileged accounts.
Detalles: active Azure AD Privileged Identity Management.Detail: Turn on Azure AD Privileged Identity Management. Tras activar Privileged Identity Management, recibirá mensajes de correo electrónico de notificación si se producen cambios en el rol de acceso con privilegios.After you turn on Privileged Identity Management, you’ll receive notification email messages for privileged access role changes. Estas notificaciones muestran una advertencia anticipada cuando se agregan más usuarios a roles con privilegios elevados en el directorio.These notifications provide early warning when additional users are added to highly privileged roles in your directory.

Procedimiento recomendado: garantizar que todas las cuentas de administrador críticas son cuentas de Azure AD administradas.Best practice: Ensure all critical admin accounts are managed Azure AD accounts. Detalles: quite las cuentas de consumidor de los roles de administrador críticos (por ejemplo, cuentas Microsoft como hotmail.com, live.com y outlook.com).Detail: Remove any consumer accounts from critical admin roles (for example, Microsoft accounts like hotmail.com, live.com, and outlook.com).

Procedimiento recomendado: Asegúrese de que todos los roles de administrador críticos tienen una cuenta aparte para las tareas administrativas, a fin de evitar la suplantación de identidad y otros ataques que pueden poner en peligro los privilegios administrativos.Best practice: Ensure all critical admin roles have a separate account for administrative tasks in order to avoid phishing and other attacks to compromise administrative privileges. Detalles: cree una cuenta de administración aparte que tenga asignados los privilegios necesarios para realizar las tareas administrativas.Detail: Create a separate admin account that’s assigned the privileges needed to perform the administrative tasks. Bloquee el uso de estas cuentas administrativas con herramientas de productividad diarias como el correo electrónico de Microsoft Office 365 o la exploración web arbitraria.Block the use of these administrative accounts for daily productivity tools like Microsoft Office 365 email or arbitrary web browsing.

Procedimiento recomendado: Identificación y clasificación de las cuentas que están en roles con privilegios elevados.Best practice: Identify and categorize accounts that are in highly privileged roles.
Detalles: después de activar Azure AD Privileged Identity Management, vea los usuarios que están en los roles de administrador global, con privilegios y otros con privilegios elevados.Detail: After turning on Azure AD Privileged Identity Management, view the users who are in the global administrator, privileged role administrator, and other highly privileged roles. Quite todas las cuentas que no sean necesarias en los roles y clasifique las restantes que estén asignadas a roles de administrador:Remove any accounts that are no longer needed in those roles, and categorize the remaining accounts that are assigned to admin roles:

  • Se asigna de forma individual a los usuarios administrativos y se puede usar para fines no administrativos (por ejemplo, correo electrónico personal)Individually assigned to administrative users, and can be used for non-administrative purposes (for example, personal email)
  • Asignadas individualmente a usuarios administrativos y designadas solo para fines administrativosIndividually assigned to administrative users and designated for administrative purposes only
  • Compartidas entre varios usuariosShared across multiple users
  • Para los escenarios de acceso de emergenciaFor emergency access scenarios
  • Para scripts automatizadosFor automated scripts
  • Para usuarios externosFor external users

Procedimiento recomendado: Implementar el acceso "Just-In-Time (JIT)" para reducir el tiempo de exposición de privilegios aún más y aumentar la visibilidad sobre el uso de cuentas con privilegios.Best practice: Implement “just in time” (JIT) access to further lower the exposure time of privileges and increase your visibility into the use of privileged accounts.
Detalles: Azure AD Privileged Identity Management le permite:Detail: Azure AD Privileged Identity Management lets you:

  • Limitar a los usuarios a aceptar solo sus privilegios JIT.Limit users to only taking on their privileges JIT.
  • Asignar roles para una duración reducida con confianza de que los privilegios se revocan automáticamente.Assign roles for a shortened duration with confidence that the privileges are revoked automatically.

Procedimiento recomendado: Definición de un mínimo de dos de cuentas de acceso de emergencia.Best practice: Define at least two emergency access accounts.
Detalles: las cuentas de acceso de emergencia ayudan a las organizaciones a restringir el acceso con privilegios en un entorno de Azure Active Directory existente.Detail: Emergency access accounts help organizations restrict privileged access in an existing Azure Active Directory environment. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos.These accounts are highly privileged and are not assigned to specific individuals. Las cuentas de acceso de emergencia se limitan a situaciones en las que no se pueden usar las cuentas administrativas normales.Emergency access accounts are limited to scenarios where normal administrative accounts can’t be used. Las organizaciones deben limitar el uso de la cuenta de emergencia a la cantidad de tiempo necesaria únicamente.Organizations must limit the emergency account's usage to only the necessary amount of time.

Evalúe las cuentas que están asignadas al rol de administrador global o que son aptas para él.Evaluate the accounts that are assigned or eligible for the global admin role. Si no ve que ninguna cuenta que se use solo en la nube mediante el dominio *.onmicrosoft.com (destinado al acceso de emergencia), créelas.If you don’t see any cloud-only accounts by using the *.onmicrosoft.com domain (intended for emergency access), create them. Para más información, consulte Administración de cuentas administrativas de acceso de emergencia en Azure AD.For more information, see Managing emergency access administrative accounts in Azure AD.

Procedimiento recomendado: disponer de un proceso de "emergencia" por si surge una.Best practice: Have a “break glass" process in place in case of an emergency. Detalles: siga los pasos descritos en Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD.Detail: Follow the steps in Securing privileged access for hybrid and cloud deployments in Azure AD.

Procedimiento recomendado: requerir que todas las cuentas de administrador críticas no tengan contraseña (opción preferida) o requerir el uso de Multi-Factor Authentication.Best practice: Require all critical admin accounts to be password-less (preferred), or require Multi-Factor Authentication. Detalles: use la aplicación Microsoft Authenticator para iniciar sesión en cualquier cuenta de Azure AD sin utilizar una contraseña.Detail: Use the Microsoft Authenticator app to sign in to any Azure AD account without using a password. Al igual que Windows Hello para empresas, Microsoft Authenticator usa la autenticación basada en claves para habilitar una credencial de usuario que está asociada a un dispositivo y usa una autenticación biométrica o un PIN.Like Windows Hello for Business, the Microsoft Authenticator uses key-based authentication to enable a user credential that’s tied to a device and uses biometric authentication or a PIN.

Requiera Azure Multi-Factor Authentication en el inicio de sesión para todos los usuarios asignados de forma permanente a uno o varios de los roles de administrador de Azure AD: administrador global, administrador de roles con privilegios, administrador de Exchange Online y administrador de SharePoint Online.Require Azure Multi-Factor Authentication at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles: Global Administrator, Privileged Role Administrator, Exchange Online Administrator, and SharePoint Online Administrator. Habilite Multi-Factor Authentication en sus cuentas de administrador y asegúrese de que todos los usuarios con cuentas de administrador están registrados.Enable Multi-Factor Authentication for your admin accounts and ensure that admin account users have registered.

Procedimiento recomendado: en las cuentas de administrador críticas, tener una estación de trabajo de administración donde no se permitan tareas de producción (por ejemplo, las exploraciones o el correo electrónico).Best practice: For critical admin accounts, have an admin workstation where production tasks aren’t allowed (for example, browsing and email). De este modo, protegerá las cuentas de administrador de vectores de ataque que usan la exploración y el correo electrónico, al tiempo que reducirá considerablemente el riesgo de que se produzca incidentes importantes.This will protect your admin accounts from attack vectors that use browsing and email and significantly lower your risk of a major incident. Detalles: use una estación de trabajo de administración.Detail: Use an admin workstation. Elija el nivel de seguridad de la estación de trabajo:Choose a level of workstation security:

  • Los dispositivos de productividad con una protección elevada proporcionan seguridad avanzada en operaciones de exploración y otras tareas de productividad.Highly secure productivity devices provide advanced security for browsing and other productivity tasks.
  • Las estaciones de trabajo con privilegios de acceso (PAW) proporcionan un sistema operativo dedicado que está protegido de ataques de Internet y vectores de amenazas al realizar tareas delicadas.Privileged Access Workstations (PAWs) provide a dedicated operating system that’s protected from internet attacks and threat vectors for sensitive tasks.

Procedimiento recomendado: desaprovisionar las cuentas de administrador de empleados que dejen la organización.Best practice: Deprovision admin accounts when employees leave your organization. Detalles: tenga implantado un proceso que deshabilite o elimine las cuentas de administrador de los empleados que dejen la organización.Detail: Have a process in place that disables or deletes admin accounts when employees leave your organization.

Procedimiento recomendado: probar con regularidad las cuentas de administrador usando técnicas de ataque actuales.Best practice: Regularly test admin accounts by using current attack techniques. Detalles: use el Simulador de ataques de Office 365 o una oferta de terceros para ejecutar escenarios de ataque realistas dentro de la organización.Detail: Use Office 365 Attack Simulator or a third-party offering to run realistic attack scenarios in your organization. Esto puede ayudar a detectar a los usuarios vulnerables antes de que se produzca un ataque real.This can help you find vulnerable users before a real attack occurs.

Procedimiento recomendado: Pasos necesarios para mitigar las técnicas de ataque usadas más frecuentemente.Best practice: Take steps to mitigate the most frequently used attacked techniques.
Detalles: identifique las cuentas de Microsoft que tengan roles administrativos y que deban cambiarse a cuentas profesionales o educativasDetail: Identify Microsoft accounts in administrative roles that need to be switched to work or school accounts

Asegúrese de que haya cuentas de usuario independientes y de que se lleve a cabo el reenvío de correos electrónicos para las cuentas de administrador globalesEnsure separate user accounts and mail forwarding for global administrator accounts

Asegúrese de que las contraseñas de las cuentas administrativas hayan cambiado recientemente.Ensure that the passwords of administrative accounts have recently changed

Active la sincronización de hashes de contraseñasTurn on password hash synchronization

Requiera Multi-Factor Authentication a los usuarios de todos los roles con privilegios, así como a los usuarios expuestosRequire Multi-Factor Authentication for users in all privileged roles as well as exposed users

Obtenga su Office 365 Secure Score (si usa Office 365)Obtain your Office 365 Secure Score (if using Office 365)

Consulte la guía de seguridad y cumplimiento de Office 365 (si usa Office 365)Review the Office 365 security and compliance guidance (if using Office 365)

Configure la supervisión de la actividad de Office 365 (si usa Office 365)Configure Office 365 Activity Monitoring (if using Office 365)

Establezca los propietarios del plan de respuesta ante incidentes o emergenciasEstablish incident/emergency response plan owners

Proteja las cuentas administrativas con privilegios localesSecure on-premises privileged administrative accounts

Si no protege el acceso con privilegios, es posible que tenga demasiados usuarios en roles con privilegios elevados y sea más vulnerables a ataques.If you don’t secure privileged access, you might find that you have too many users in highly privileged roles and are more vulnerable to attacks. Los actores malintencionados, entre los que se incluyen ciberatacantes, a menudo tienen como objetivo las cuentas de administrador y otros elementos con acceso privilegiado para obtener acceso a datos confidenciales y a sistemas mediante el robo de credenciales.Malicious actors, including cyber attackers, often target admin accounts and other elements of privileged access to gain access to sensitive data and systems by using credential theft.

Controlar las ubicaciones donde se crean los recursosControl locations where resources are created

Es muy importante permitir que los operadores de nube realicen tareas pero al mismo tiempo impedir que transgredan las convenciones que son necesarias para administrar los recursos de la organización.Enabling cloud operators to perform tasks while preventing them from breaking conventions that are needed to manage your organization's resources is very important. Las organizaciones que quieran controlar las ubicaciones donde se crean los recursos deben codificarlas de forma segura.Organizations that want to control the locations where resources are created should hard code these locations.

Puede usar Azure Resource Manager para crear directivas de seguridad cuyas definiciones describan las acciones o los recursos que se deniegan específicamente.You can use Azure Resource Manager to create security policies whose definitions describe the actions or resources that are specifically denied. Esas definiciones de directivas se asignan en el ámbito deseado, como la suscripción, el grupo de recursos o un recurso individual.You assign those policy definitions at the desired scope, such as the subscription, the resource group, or an individual resource.

Nota

Las directivas de seguridad no son las mismas que RBAC.Security policies are not the same as RBAC. En realidad, usan RBAC para autorizar a los usuarios la creación de estos recursos.They actually use RBAC to authorize users to create those resources.

Las organizaciones que no controlan cómo se crean los recursos son más susceptibles a que los usuarios puedan hacer un mal uso del servicio y crear más recursos de los necesarios.Organizations that are not controlling how resources are created are more susceptible to users who might abuse the service by creating more resources than they need. Dificultar el proceso de creación de recursos es un paso importante para proteger escenarios en los que intervienen varios inquilinos.Hardening the resource creation process is an important step to securing a multitenant scenario.

Supervisión activa de actividades sospechosasActively monitor for suspicious activities

Un sistema de supervisión de identidades activo puede detectar un comportamiento sospechoso y desencadenar una alerta para que se investigue.An active identity monitoring system can quickly detect suspicious behavior and trigger an alert for further investigation. En la tabla siguiente se muestran dos de las funcionalidades de Azure AD que pueden ayudar a las organizaciones a supervisar sus identidades:The following table lists two Azure AD capabilities that can help organizations monitor their identities:

Procedimiento recomendado: Tener un método de identificación:Best practice: Have a method to identify:

Detalles: use los informes de anomalías de Azure AD Premium.Detail: Use Azure AD Premium anomaly reports. Contar con procesos y procedimientos implementados para que los administradores de TI ejecuten dichos informes diariamente o a petición (normalmente en un escenario de respuesta a incidentes).Have processes and procedures in place for IT admins to run these reports on a daily basis or on demand (usually in an incident response scenario).

Procedimiento recomendado: Contar con un sistema de supervisión activo que le informa de los riesgos y que puede ajustar el nivel de riesgo (alto, medio o bajo) a sus requisitos empresariales.Best practice: Have an active monitoring system that notifies you of risks and can adjust risk level (high, medium, or low) to your business requirements.
Detalles: use Azure AD Identity Protection, que marca los riesgos actuales en su propio panel y envía notificaciones de resumen diarias por correo electrónico.Detail: Use Azure AD Identity Protection, which flags the current risks on its own dashboard and sends daily summary notifications via email. Para ayudar a proteger las identidades de la organización, puede configurar directivas basadas en riesgos que respondan automáticamente a problemas detectados si se alcanza un nivel de riesgo específico.To help protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level is reached.

Las organizaciones que no supervisen activamente sus sistemas de identidad corren el riesgo de comprometer las credenciales de los usuarios.Organizations that don’t actively monitor their identity systems are at risk of having user credentials compromised. Si las organizaciones no saben que están teniendo lugar actividades sospechosas a través de estas credenciales, no podrán mitigar este tipo de amenaza.Without knowledge that suspicious activities are taking place through these credentials, organizations can’t mitigate this type of threat.

Uso de Azure AD para la autenticación de almacenamientoUse Azure AD for storage authentication

Azure Storage admite la autenticación y autorización con Azure AD para Blob Storage y Queue Storage.Azure Storage supports authentication and authorization with Azure AD for Blob storage and Queue storage. Con la autenticación de Azure AD, puede usar el control de acceso basado en roles de Azure para conceder permisos específicos a usuarios, grupos y aplicaciones hasta el ámbito de una cola o un contenedor de blobs individual.With Azure AD authentication, you can use the Azure role-based access control to grant specific permissions to users, groups, and applications down to the scope of an individual blob container or queue.

Se recomienda usar Azure AD para autenticar el acceso al almacenamiento.We recommend that you use Azure AD for authenticating access to storage.

Paso siguienteNext step

Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe, implemente y administre las soluciones en la nube mediante Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.