Resumen de Microsoft 365 seguridad empresarial para Contoso CorporationSummary of Microsoft 365 for enterprise security for the Contoso Corporation

Para obtener la aprobación para implementar Microsoft 365 para la empresa, el departamento de seguridad de TI de Contoso realizó una revisión de seguridad exhaustiva.To get approval to deploy Microsoft 365 for enterprise, the Contoso IT security department conducted a thorough security review. Identificaron los siguientes requisitos de seguridad para la nube:They identified the following security requirements for the cloud:

  • Use los métodos de autenticación más seguros para el acceso de los empleados a los recursos en la nube.Use the strongest methods of authentication for employee access to cloud resources.
  • Asegúrese de que los equipos y dispositivos móviles se conecten y accedan a las aplicaciones de manera segura.Ensure that PCs and mobile devices connect and access applications in secure ways.
  • Proteger equipos y correo electrónico contra malware.Protect PCs and email from malware.
  • Los permisos en activos digitales basados en la nube definen quién puede tener acceso a lo que y lo que pueden hacer, y están diseñados para el acceso con privilegios mínimosPermissions on cloud-based digital assets define who can access what and what they can do, and are designed for least-privilege access
  • Los activos digitales confidenciales y altamente regulados se etiquetan, cifran y almacenan en ubicaciones seguras.Sensitive and highly regulated digital assets are labeled, encrypted, and stored in secure locations.
  • Los activos digitales altamente regulados están protegidos con permisos y cifrado adicionales.Highly regulated digital assets are protected with additional encryption and permissions.
  • El personal de seguridad de TI puede supervisar la posición de seguridad actual desde los paneles centrales y recibir notificaciones de eventos de seguridad para una respuesta rápida y mitigación.IT security staff can monitor the current security posture from central dashboards and get notified of security events for quick response and mitigation.

La ruta de contoso para Microsoft 365 preparación de seguridadThe Contoso path to Microsoft 365 security readiness

Contoso siguió estos pasos para preparar su seguridad para su implementación de Microsoft 365 para empresas:Contoso followed these steps to prepare their security for their deployment of Microsoft 365 for enterprise:

  1. Limitar cuentas de administrador para la nubeLimit administrator accounts for the cloud

    Contoso hizo una revisión exhaustiva de sus cuentas de administrador de Servicios de dominio de Active Directory (AD DS) existentes y estableció una serie de grupos y cuentas de administrador en la nube dedicadas.Contoso did an extensive review of its existing Active Directory Domain Services (AD DS) administrator accounts and set up series of dedicated cloud administrator accounts and groups.

  2. Clasificar datos en tres niveles de seguridadClassify data into three security levels

    Contoso hizo una revisión cuidadosa y determinó los tres niveles, que se usaron para identificar el Microsoft 365 características empresariales para proteger los datos más valiosos.Contoso did a careful review and determined the three levels, which were used to identify the Microsoft 365 for enterprise features to protect the most valuable data.

  3. Determinar las directivas de acceso, retención y protección de la información para los niveles de datosDetermine access, retention, and information protection policies for data levels

    En función de los niveles de datos, Contoso determinó requisitos detallados para calificar futuras cargas de trabajo de TI que se mueven a la nube.Based on the data levels, Contoso determined detailed requirements to qualify future IT workloads that are moved to the cloud.

Para seguir los procedimientos recomendados de seguridad y Microsoft 365 para los requisitos de implementación empresarial, los administradores de seguridad de Contoso y su departamento de TI implementaron muchas características y funcionalidades de seguridad, como se describe en las secciones siguientes.To follow security best practices and Microsoft 365 for enterprise deployment requirements, Contoso security administrators and its IT department deployed many security features and capabilities, as described in the following sections.

Administración de identidad y accesoIdentity and access management

  • Cuentas de administrador global dedicadas con MFA y PIMDedicated global administrator accounts with MFA and PIM

    En lugar de asignar el rol de administrador global a cuentas de usuario cotidianas, Contoso creó tres cuentas de administrador global dedicadas con contraseñas seguras.Rather than assign the global admin role to everyday user accounts, Contoso created three dedicated global administrator accounts with strong passwords. Las cuentas están protegidas por Azure AD Multi-Factor Authentication (MFA) y Azure Active Directory (Azure AD) Privileged Identity Management (PIM).The accounts are protected by Azure AD Multi-Factor Authentication (MFA) and Azure Active Directory (Azure AD) Privileged Identity Management (PIM). PIM solo está disponible con Microsoft 365 E5.PIM is only available with Microsoft 365 E5.

    Iniciar sesión con una cuenta de administrador global solo se realiza para tareas administrativas específicas.Signing in with a global administrator account is only done for specific administrative tasks. Las contraseñas solo se conocen para el personal designado y solo se pueden usar en un período de tiempo configurado en PIM de Azure AD.The passwords are only known to designated staff and can only be used within a time period that's configured in Azure AD PIM.

    Los administradores de seguridad de Contoso asignaron roles de administrador menores a cuentas que son adecuadas para la función de trabajo del trabajador de TI.Contoso security administrators assigned lesser admin roles to accounts that are appropriate to that IT worker's job function.

    Para obtener más información, consulte Acerca de los roles de administrador de Microsoft 365.For more information, see About Microsoft 365 admin roles.

  • MFA para todas las cuentas de usuarioMFA for all user accounts

    MFA agrega una capa adicional de protección al proceso de inicio de sesión.MFA adds an additional layer of protection to the sign-in process. Requiere que los usuarios confirmen una llamada telefónica, un mensaje de texto o una notificación de aplicación en su teléfono inteligente después de escribir correctamente su contraseña.It requires users to acknowledge a phone call, text message, or app notification on their smart phone after correctly entering their password. Con MFA, las cuentas de usuario de Azure AD están protegidas contra el inicio de sesión no autorizado, incluso si se pone en peligro una contraseña de cuenta.With MFA, Azure AD user accounts are protected against unauthorized sign-in, even if an account password is compromised.

    • Para protegerse contra el riesgo de la suscripción Microsoft 365, Contoso requiere MFA en todas las cuentas de administrador global.To protect against compromise of the Microsoft 365 subscription, Contoso requires MFA on all global administrator accounts.
    • Para protegerse contra los ataques de suplantación de identidad (phishing), en los que un atacante pone en peligro las credenciales de una persona de confianza de la organización y envía mensajes de correo electrónico malintencionados, Contoso habilitó MFA en todas las cuentas de usuario, incluidos los administradores y ejecutivos.To protect against phishing attacks, in which an attacker compromises the credentials of a trusted person in the organization and sends malicious emails, Contoso enabled MFA on all user accounts, including managers and executives.
  • Acceso de dispositivos y aplicaciones más seguro con las directivas de Acceso CondicionalSafer device and application access with Conditional Access policies

    Contoso usa directivas de Acceso Condicional para la identidad, los dispositivos, Exchange Online y SharePoint. Las directivas de Acceso Condicional de identidad incluyen exigir cambios de contraseña para los usuarios de riesgo elevado e impedir que los clientes usen aplicaciones que no admiten la autenticación moderna. Las directivas condicionales de dispositivo incluyen la definición de aplicaciones aprobadas y la exigencia de equipos y dispositivos móviles compatibles. Las directivas de Acceso Condicional de Exchange Online incluyen el bloqueo de los clientes de ActiveSync y la configuración del cifrado de mensajes de Office 365. Las directivas de acceso condicional de SharePoint Online incluyen una protección adicional para sitios confidenciales y altamente regulados.Contoso is using Conditional Access policies for identity, devices, Exchange Online, and SharePoint. Identity Conditional Access policies include requiring password changes for high-risk users and blocking clients from using apps that don't support modern authentication. Device policies include the definition of approved apps and requiring compliant PCs and mobile devices. Exchange Online Conditional Access policies include blocking ActiveSync clients and setting up Office 365 message encryption. SharePoint Conditional Access policies include additional protection for sensitive and highly regulated sites.

  • Windows Hello para empresasWindows Hello for Business

    Contoso implementó Windows Hello para empresas para eliminar finalmente la necesidad de contraseñas mediante una autenticación segura en dos fases en equipos y dispositivos móviles que ejecutan Windows 10 Enterprise.Contoso deployed Windows Hello for Business to eventually eliminate the need for passwords through strong two-factor authentication on PCs and mobile devices running Windows 10 Enterprise.

  • Credential Guard de Windows DefenderWindows Defender Credential Guard

    Para bloquear los ataques dirigidos y el malware que se ejecuta en el sistema operativo con privilegios administrativos, Contoso ha Credential Guard de Windows Defender a través de la directiva de grupo de AD DS.To block targeted attacks and malware running in the operating system with administrative privileges, Contoso enabled Windows Defender Credential Guard through AD DS group policy.

Protección contra amenazasThreat protection

  • Protección contra malware con Antivirus de Windows DefenderProtection from malware with Windows Defender Antivirus

    Contoso usa Antivirus de Windows Defender para la protección contra malware y la administración antimalware en los equipos y dispositivos que ejecutan Windows 10 Enterprise.Contoso is using Windows Defender Antivirus for malware protection and anti-malware management for PCs and devices running Windows 10 Enterprise.

  • Proteger el flujo de correo electrónico y el registro de auditoría de buzones con Microsoft Defender para Office 365Secure email flow and mailbox audit logging with Microsoft Defender for Office 365

    Contoso usa Exchange Online Protection y Defender para Office 365 para proteger contra malware desconocido, virus y direcciones URL malintencionadas transmitidas a través de correos electrónicos.Contoso is using Exchange Online Protection and Defender for Office 365 to protect against unknown malware, viruses, and malicious URLs transmitted through emails.

    Contoso también habilitó el registro de auditoría de buzones para identificar quién inicia sesión en los buzones de usuario, envía mensajes y realiza otras actividades realizadas por el propietario del buzón, un usuario delegado o un administrador.Contoso also enabled mailbox audit logging to identify who logs in to user mailboxes, sends messages, and does other activities performed by the mailbox owner, a delegated user, or an administrator.

  • Supervisión y prevención de ataques con la investigación y respuesta ante amenazas de Office 365Attack monitoring and prevention with Office 365 threat investigation and response

    Contoso usa Office 365 investigación y respuesta de amenazas para proteger a los usuarios, facilitando la identificación y la dirección de los ataques, así como para evitar ataques futuros.Contoso uses Office 365 threat investigation and response to protect users by making it easy to identify and address attacks, and to prevent future attacks.

  • Protección contra ataques más complejos con Advanced Threat AnalyticsProtection from sophisticated attacks with Advanced Threat Analytics

    Contoso usa Advanced Threat Analytics (ATA) para protegerse de ataques dirigidos avanzados. De forma automática, ATA analiza, aprende e identifica el comportamiento de entidades normales e irregulares (usuarios, dispositivos y recursos).Contoso is using Advanced Threat Analytics (ATA) to protect itself from advanced targeted attacks. ATA automatically analyzes, learns, and identifies normal and abnormal entity (user, devices, and resources) behavior.

Protección de la informaciónInformation protection

  • Protección de los activos digitales confidenciales y altamente regulados con etiquetas de Azure Information ProtectionProtect sensitive and highly regulated digital assets with Azure Information Protection labels

    Contoso determinó tres niveles de protección de datos e implementó Microsoft 365 etiquetas de confidencialidad que los usuarios aplican a los activos digitales.Contoso determined three levels of data protection and deployed Microsoft 365 sensitivity labels that users apply to digital assets. Para sus secretos comerciales y otra propiedad intelectual, Contoso usa subetiquetas de confidencialidad para datos altamente regulados.For its trade secrets and other intellectual property, Contoso uses sensitivity sublabels for highly regulated data. Este proceso cifra el contenido y restringe el acceso a grupos y cuentas de usuario específicos.This process encrypts content and restricts access to specific user accounts and groups.

  • Evitar filtraciones de datos de la intranet con Prevención de pérdida de datosPrevent intranet data leaks with Data Loss Prevention

    Contoso configuró directivas de prevención de pérdida de datos Exchange Online, SharePoint y OneDrive para la Empresa para evitar que los usuarios compartan datos confidenciales de forma accidental o intencionada.Contoso configured Data Loss Prevention policies for Exchange Online, SharePoint, and OneDrive for Business to prevent users from accidentally or intentionally sharing sensitive data.

  • Evitar pérdidas de datos de dispositivo con Windows Information ProtectionPrevent device data leaks Windows Information Protection

    Contoso usa Windows Information Protection (WIP) para proteger contra la filtración de datos a través de servicios y aplicaciones basadas en Internet y aplicaciones empresariales y datos en dispositivos de propiedad empresarial y dispositivos personales que los empleados llevan al trabajo.Contoso is using Windows Information Protection (WIP) to protect against data leakage through internet-based apps and services and enterprise apps and data on enterprise-owned devices and personal devices that employees bring to work.

  • Supervisión en la nube con Microsoft Cloud App SecurityCloud monitoring with Microsoft Cloud App Security

    Contoso usa Microsoft Cloud App Security para asignar su entorno de nube, supervisar el uso y detectar los incidentes y eventos de seguridad.Contoso is using Microsoft Cloud App Security to map their cloud environment, monitor its usage, and detect security events and incidents. Microsoft Cloud App Security solo está disponible con Microsoft 365 E5.Microsoft Cloud App Security is only available with Microsoft 365 E5.

  • Administración de dispositivos con Microsoft IntuneDevice management with Microsoft Intune

    Contoso usa Microsoft Intune para inscribir, administrar, y configurar el acceso a los dispositivos móviles y las aplicaciones que se ejecutan en ellos. Los dispositivos basados en políticas de Acceso Condicional también requieren aplicaciones autorizadas, PCs y dispositivos móviles compatibles.Contoso uses Microsoft Intune to enroll, manage, and configure access to mobile devices and the apps that run on them. Device-based Conditional Access policies also require approved apps and compliant PCs and mobile devices.

Administración de seguridadSecurity management

  • Panel de seguridad central para TI con Azure DefenderCentral security dashboard for IT with Azure Defender

    Contoso usa Azure Defender para presentar una vista unificada de la protección contra amenazas y seguridad, para administrar las directivas de seguridad en sus cargas de trabajo y para responder a los ciberataques.Contoso uses the Azure Defender to present a unified view of security and threat protection, to manage security policies across its workloads, and to respond to cyberattacks.

  • Panel de seguridad central para los usuarios con Seguridad de WindowsCentral security dashboard for users with Windows Defender Security Center

    Contoso implementó la Seguridad de Windows en sus equipos y dispositivos que ejecutan Windows 10 Enterprise para que los usuarios puedan ver su posición de seguridad de un vistazo y tomar medidas.Contoso deployed the Windows Security app to its PCs and devices running Windows 10 Enterprise so that users can see their security posture at a glance and take action.