Información general sobre seguridad de administración de identidades de Azure

La administración de identidades es el proceso de autenticación y autorización de las entidades de seguridad. También implica controlar información acerca de esas entidades de seguridad (identidades). Las entidades de seguridad (identidades) pueden incluir servicios, aplicaciones, usuarios, grupos, etc. Las soluciones de administración de identidades y acceso de Microsoft ayudan al departamento de TI a proteger el acceso a las aplicaciones y los recursos en el centro de datos corporativo y en la nube. Esta protección permite que haya más niveles de validación, como la autenticación multifactor y las directivas de acceso condicional. La supervisión de actividades sospechosas mediante auditorías, alertas e informes de seguridad avanzados contribuye a minimizar los posibles problemas de seguridad. Microsoft Entra ID P1 o P2 ofrece un inicio de sesión único (SSO) para miles de aplicaciones de software como servicio (SaaS) en la nube y acceso a aplicaciones web que se ejecutan de forma local.

Al aprovechar las ventajas de seguridad de Microsoft Entra ID, puede hacer lo siguiente:

• Crear y administrar una identidad única para cada usuario en toda la empresa híbrida, lo que mantiene los usuarios, grupos y dispositivos sincronizados.
• Proporcionar acceso de SSO a las aplicaciones, incluidas miles de aplicaciones SaaS preintegradas.
• Habilitar la seguridad del acceso de las aplicaciones mediante la aplicación de autenticación multifactor basada en reglas para las aplicaciones locales y en la nube.
• Proporcionar un acceso remoto seguro a las aplicaciones web locales a través del proxy de la aplicación de Microsoft Entra.

El objetivo de este artículo es proporcionar una visión general de las principales características de seguridad de Azure que contribuyen a la administración de identidades. Además, se incluyen vínculos a artículos que ofrecen detalles de cada una de estas características para que pueda tener más información al respecto.

El artículo se centra en las siguientes funcionalidades de administración de identidades de Azure principales:

• Inicio de sesión único
• Proxy inverso
• Autenticación multifactor
• Control de acceso basado en roles de Azure (RBAC de Azure)
• Supervisión de seguridad, alertas e informes basados en aprendizaje automático
• Administración de identidades y acceso de consumidores
• Registro de dispositivos
• Privileged Identity Management
• Protección de identidad
• Administración de identidades híbridas/Azure AD Connect
• Revisión de acceso de Microsoft Entra

Inicio de sesión único

Inicio de sesión único (SSO) significa poder tener acceso a todas las aplicaciones y los recursos que necesita para hacer negocios, iniciando sesión una sola vez con una única cuenta de usuario. Una vez que ha iniciado sesión, puede tener acceso a todas las aplicaciones que necesite sin tener que autenticarse (por ejemplo, escribiendo una contraseña) una segunda vez.

Muchas organizaciones confían en las aplicaciones SaaS, como Microsoft 365, Box y Salesforce para impulsar la productividad del usuario. Tradicionalmente, el personal de TI tenía que crear y actualizar individualmente cuentas de usuario en cada aplicación SaaS y los usuarios tenían que recordar una contraseña para cada aplicación SaaS.

Microsoft Entra ID extiende los entornos de Active Directory locales a la nube, lo que permite a los usuarios utilizar su cuenta de organización principal para iniciar sesión no solo en sus dispositivos unidos a un dominio y recursos de la empresa, sino también en todas las aplicaciones web y SaaS necesarias para su trabajo.

Los usuarios no solo no tienen que administrar varios conjuntos de nombres de usuario y contraseñas, sino que se puede aprovisionar o desaprovisionar el acceso a las aplicaciones automáticamente en función de los grupos de la organización y de su estado de empleado. Microsoft Entra ID introduce controles de gobernanza de acceso y seguridad con los que puede administrar de forma centralizada el acceso de los usuarios a través de aplicaciones SaaS.

Más información:

• Introducción al inicio de sesión único
• Vídeo sobre los aspectos básicos de la autenticación
• Serie de inicios rápidos sobre la administración de aplicaciones

Proxy inverso

El proxy de aplicación de Microsoft Entra le permite publicar aplicaciones en una red privada, como sitios de SharePoint, Outlook Web App y aplicaciones basadas en IIS dentro de la red privada y proporciona acceso seguro a los usuarios externos a la red. Application Proxy ofrece acceso remoto y SSO para muchos tipos de aplicaciones web locales, junto con las miles de aplicaciones SaaS que Microsoft Entra ID admite. Los empleados pueden iniciar sesión en sus aplicaciones desde casa, en sus propios dispositivos, y autenticarse a través de este proxy basado en la nube.

Más información:

• Habilitación del proxy de aplicación de Microsoft Entra
• Publicación de aplicaciones mediante el proxy de aplicación de Microsoft Entra
• Inicio de sesión único con el proxy de aplicación
• Uso del acceso condicional

Autenticación multifactor

La autenticación multifactor de Microsoft Entra es un método de autenticación que requiere el uso de más de un método de verificación y que agrega una segunda capa de seguridad crítica a las transacciones y los inicios de sesión del usuario. La autenticación multifactor ayuda a proteger el acceso a los datos y las aplicaciones, a la vez que satisface la demanda de usuarios para un proceso de inicio de sesión sencillo. Proporciona autenticación sólida mediante diversas opciones de verificación: llamadas telefónicas, mensajes de texto, notificaciones de aplicaciones móviles, códigos de verificación y tokens OAuth de terceros.

Más información: Cómo funciona la autenticación multifactor de Microsoft Entra

Azure RBAC

RBAC de Azure es un sistema de autorización basado en Azure Resource Manager que proporciona administración pormenorizada del acceso a los recursos de Azure. RBAC de Azure permite controlar de forma pormenorizada el nivel de acceso que tienen los usuarios. Por ejemplo, puede limitar a un usuario para que solo administre redes virtuales y otro usuario para que administre todos los recursos de un grupo de recursos. Azure incluye varios roles integrados que puede usar. A continuación se enumeran cuatros roles integrados fundamentales. Los tres primeros se aplican a todos los tipos de recursos.

• Propietario: tiene acceso total a todos los recursos, incluido el derecho a delegar este acceso a otros.
• Colaborador: puede crear y administrar todos los tipos de recursos de Azure, pero no puede conceder acceso a otros.
• Lector: puede ver los recursos existentes de Azure.
• Administrador de acceso de usuario: permite administrar el acceso de los usuarios a los recursos de Azure.

Más información:

• ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
• Roles integrados en los recursos de Azure

Supervisión de seguridad, alertas e informes basados en aprendizaje automático

La supervisión de seguridad, las alertas y los informes basados en aprendizaje automático que identifican patrones de acceso incoherentes, pueden ayudarle a proteger su negocio. Puede usar los informes de acceso y uso de Microsoft Entra ID para proporcionar visibilidad de la integridad y la seguridad del directorio de la organización. Con esta información, un administrador de directorios puede determinar mejor dónde puede haber posibles riesgos de seguridad de modo que pueda planear adecuadamente la mitigación de estos riesgos.

En Azure Portal, los informes se dividen en las siguientes categorías:

• Informes de anomalías: contienen eventos de inicio de sesión que se consideran anómalos. Nuestro objetivo es que sea consciente de dicha actividad y que pueda tomar una decisión sobre si un evento es sospechoso.
• Informes de aplicaciones integradas: proporciona información sobre cómo se usan en la organización las aplicaciones en la nube. Microsoft Entra ID ofrece integración con miles de aplicaciones en la nube.
• Informes de errores: indican errores que se pueden producir al aprovisionar cuentas en aplicaciones externas.
• Informes específicos del usuario: muestran los datos de actividad de dispositivo o de inicio de sesión de un usuario concreto.
• Registros de actividad: contienen un registro de todos los eventos auditados en las últimas 24 horas, los últimos 7 días o los últimos 30 días, así como los cambios en la actividad del grupo y la actividad de registro y de restablecimiento de contraseña.

Más información: Guía de informes de Microsoft Entra ID

Administración de identidades y acceso de consumidores

Azure AD B2C es un servicio de administración de identidades global y de alta disponibilidad para aplicaciones orientadas al consumidor que se puede escalar hasta cientos de millones de identidades. Se puede integrar en plataformas móviles y web. Los consumidores pueden conectarse a todas sus aplicaciones con una experiencia totalmente personalizable, usando sus cuentas de las redes sociales o mediante credenciales nuevas.

En el pasado, los desarrolladores de aplicaciones que querían registrar clientes e iniciar sesión en sus aplicaciones tenían que escribir su propio código. Y usaban bases de datos o sistemas locales para almacenar nombres de usuario y contraseñas. Azure AD B2C ofrece a su organización una manera mejor de integrar la administración de identidades de consumidor en las aplicaciones gracias a la ayuda de una plataforma segura basada en estándares y un amplio conjunto de directivas extensibles.

El uso de Azure AD B2C permite a los consumidores registrarse en las aplicaciones con sus cuentas de redes sociales existentes (Facebook, Google, Amazon, LinkedIn) o creando unas credenciales (dirección de correo electrónico y contraseña o nombre de usuario y contraseña).

Más información:

• ¿Qué es Azure Active Directory B2C?
• Azure Active Directory B2C: Tipos de aplicaciones

Registro de dispositivos

El registro de dispositivos de Microsoft Entra es la base de los escenarios de acceso condicional basado en dispositivos. Cuando se registra un dispositivo, el Registro de dispositivos de Microsoft Entra le proporciona una identidad que se utiliza para autenticar el dispositivo cuando el usuario inicia sesión. El dispositivo autenticado y los atributos del dispositivo pueden utilizarse para aplicar directivas de acceso condicional tanto a las aplicaciones que se hospedan en la nube como en el entorno local.

Cuando se combina con una solución de administración de dispositivos móviles como Intune, los atributos del dispositivo en Microsoft Entra ID se actualizan con información adicional sobre este. Luego se pueden crear reglas de acceso condicional que exijan que el acceso desde los dispositivos cumpla las normas de seguridad y cumplimiento.

Más información:

• Introducción del registro de dispositivos de Microsoft Entra
• Registro automático de dispositivos en Microsoft Entra ID para dispositivos Windows unidos a un dominio

Privileged Identity Management

Mediante Microsoft Entra Privileged Identity Management, puede administrar, controlar y supervisar las identidades con privilegios y el acceso a los recursos en Microsoft Entra ID y otros servicios en línea de Microsoft, como Microsoft 365 y Microsoft Intune.

En ocasiones, los usuarios tienen que realizar operaciones con privilegios en recursos de Azure o Microsoft 365, o bien en otras aplicaciones SaaS. Esta necesidad suele acarrear que las organizaciones tienen que dar a los usuarios acceso con privilegios permanente en Microsoft Entra ID. Este acceso es un riesgo de seguridad cada vez mayor para los recursos hospedados en la nube, ya que las organizaciones no pueden supervisar suficientemente lo que los usuarios hacen con sus privilegios de administrador. Además, si una cuenta de usuario con acceso privilegiado se ve comprometida, esa vulneración podría afectar a la seguridad global de la organización en la nube. Microsoft Entra Privileged Identity Management le ayuda a mitigar este riesgo.

Con Microsoft Entra Privileged Identity Management, puede:

• Ver qué usuarios son administradores de Microsoft Entra.
• Habilitar el acceso administrativo Just-In-Time (JIT) a petición para servicios de Microsoft como Microsoft 365 e Intune.
• Obtener informes sobre el historial de acceso de administrador y los cambios en las asignaciones de administrador.
• Obtener alertas sobre el acceso a un rol con privilegios.

Más información:

• ¿Qué es Microsoft Entra Privileged Identity Management?
• Asignación de roles de directorio de Microsoft Entra en PIM

Protección de identidad

Microsoft Entra ID Protection es un servicio de seguridad que proporciona una vista consolidada de las detecciones de riesgo y las vulnerabilidades potenciales que afectan a las identidades de su organización. Identity Protection aprovecha las funcionalidades de detección de anomalías de Microsoft Entra existentes, que están disponibles a través de los informes de actividades anómalas de Microsoft Entra. Identity Protection también incluye nuevos tipos de detección de riesgo que pueden detectar anomalías en tiempo real.

Más información: Microsoft Entra ID Protection

Administración de identidades híbridas (Microsoft Entra Connect)

Las soluciones de identidad de Microsoft abarcan funcionalidades locales y de nube, de manera que se crea una sola identidad de usuario para la autenticación y la autorización en todos los recursos, sin importar su ubicación. A esto le llamamos identidad híbrida. Microsoft Entra Connect es la herramienta de Microsoft diseñada para satisfacer y lograr sus objetivos de identidad híbrida. Esto le permite proporcionar una identidad común a los usuarios de aplicaciones de Microsoft 365, Azure y SaaS integradas con Microsoft Entra ID. Ofrece las siguientes características:

• Synchronization
• Integración de federación y AD FS
• Autenticación de paso a través
• Supervisión del estado

Más información:

• Notas del producto sobre identidad híbrida
• Microsoft Entra ID

Revisión de acceso de Microsoft Entra

Las revisiones de acceso de Microsoft Entra permiten a las organizaciones administrar de forma eficaz las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles con privilegios.

Consulte Revisiones de acceso de Microsoft Entra para obtener más información