Proteger cuentas de administrador global en el entorno de prueba de Microsoft 365 para empresasProtect global administrator accounts in your Microsoft 365 for enterprise test environment

Esta Guía del laboratorio de pruebas solo se puede usar para Microsoft 365 para entornos de prueba empresariales.This Test Lab Guide can only be used for Microsoft 365 for enterprise test environments.

Puede evitar ataques digitales en su organización asegurándose de que sus cuentas de administrador sean lo más seguras posible.You can prevent digital attacks on your organization by ensuring that your administrator accounts are as secure as possible.

En este artículo se describe cómo usar directivas de acceso condicional de Azure Active Directory (Azure AD) para proteger cuentas de administrador global.This article describes how to use Azure Active Directory (Azure AD) conditional access policies to protect global administrator accounts.

Proteger las cuentas de administrador global en el entorno de prueba de Microsoft 365 para empresas implica dos fases:Protecting global administrator accounts in your Microsoft 365 for enterprise test environment involves two phases:

Guías de laboratorio de pruebas para Microsoft Cloud

Sugerencia

Para obtener un mapa visual de todos los artículos de la pila guía del laboratorio de pruebas de Microsoft 365 para empresas, vaya a Microsoft 365 paraenterprise Test Lab Guide Stack .For a visual map to all the articles in the Microsoft 365 for enterprise Test Lab Guide stack, go to Microsoft 365 for enterprise Test Lab Guide Stack.

Fase 1: Crear el entorno de prueba de Microsoft 365 para empresasPhase 1: Build out your Microsoft 365 for enterprise test environment

Si desea probar la protección de cuentas de administrador global de forma ligera con los requisitos mínimos, siga las instrucciones de Configuración base ligera.If you want to test global administrator account protection in a lightweight way with the minimum requirements, follow the instructions in Lightweight base configuration.

Si desea probar la protección de cuentas de administrador global en una empresa simulada, siga las instrucciones de autenticación de paso a través.If you want to test global administrator account protection in a simulated enterprise, follow the instructions in Pass-through authentication.

Nota

Probar la protección de cuentas de administrador global no requiere el entorno de prueba de empresa simulado, que incluye una intranet simulada conectada a Internet y la sincronización de directorios para servicios de dominio de Active Directory (AD DS).Testing global administrator account protection does not require the simulated enterprise test environment, which includes a simulated intranet connected to the internet and directory synchronization for an Active Directory Domain Services (AD DS). Se proporciona aquí como una opción para que pueda probar la protección de cuentas de administrador global y experimentar con ella en un entorno que representa una organización típica.It is provided here as an option so that you can test global administrator account protection and experiment with it in an environment that represents a typical organization.

Fase 2: Configurar directivas de acceso condicionalPhase 2: Configure conditional access policies

En primer lugar, cree una nueva cuenta de usuario como administrador global dedicado.First, create a new user account as a dedicated global administrator.

  1. En una pestaña independiente, abra el Centro de administración de Microsoft 365.On a separate tab, open the Microsoft 365 admin center.
  2. Seleccione Usuarios > Usuarios activos y, a continuación, seleccione Agregar un usuario.Select Users > Active users, and then select Add a user.
  3. En el panel Agregar usuario, escriba DedicatedAdmin en los cuadros Nombre, Nombre para mostrar y Nombre de usuario.In the Add user pane, enter DedicatedAdmin in the First name, Display name, and Username boxes.
  4. Seleccione Contraseña, seleccione Permitirme crear la contraseña y, a continuación, escriba una contraseña segura.Select Password, select Let me create the password, and then enter a strong password. Registre la contraseña de esta nueva cuenta en una ubicación segura.Record the password for this new account in a secure location.
  5. Seleccione Siguiente.Select Next.
  6. En el panel Asignar licencias de producto, seleccione Microsoft 365 E5 y, a continuación, seleccione Siguiente.In the Assign product licenses pane, select Microsoft 365 E5, and then select Next.
  7. En el panel Configuración opcional, seleccione Roles Admin center > access > Global admin > Next.In the Optional settings pane, select Roles > Admin center access > Global admin > Next.
  8. En el panel Ya casi terminado, seleccione Finalizar adición y, a continuación, seleccione Cerrar.On the You're almost done pane, select Finish adding, and then select Close.

A continuación, cree un nuevo grupo denominado GlobalAdmins y agréle la cuenta DedicatedAdmin.Next, create a new group named GlobalAdmins and add the DedicatedAdmin account to it.

  1. En la pestaña Centro de administración de Microsoft 365, seleccione Grupos en la navegación izquierda y, a continuación, seleccione Grupos.On the Microsoft 365 admin center tab, select Groups in the left navigation, and then select Groups.
  2. Seleccione Agregar un grupo.Select Add a group.
  3. En el panel Elegir un tipo de grupo, seleccione Seguridad y, a continuación, seleccione Siguiente.In the Choose a group type pane, select Security, and then select Next.
  4. En el panel Configurar los conceptos básicos, seleccione Crear grupo y, a continuación, seleccione Cerrar.In the Set up the basics pane, select Create group, and then select Close.
  5. En el panel Revisar y terminar de agregar grupo, escriba GlobalAdmins y, a continuación, seleccione Siguiente.In the Review and finish adding group pane, enter GlobalAdmins, and then select Next.
  6. En la lista de grupos, seleccione el grupo GlobalAdmins.In the list of groups, select the GlobalAdmins group.
  7. En el panel GlobalAdmins, seleccione Miembros y, a continuación, seleccione Ver todos y administrar miembros.In the GlobalAdmins pane, select Members, and then select View all and manage members.
  8. En el panel GlobalAdmins, seleccione Agregar miembros, seleccione la cuenta DedicatedAdmin y la cuenta de administrador global y, a continuación, seleccione Guardar > cerrar > cerrar.In the GlobalAdmins pane, select Add members, select the DedicatedAdmin account and your global admin account, and then select Save > Close > Close.

A continuación, cree directivas de acceso condicional para requerir autenticación multifactor para cuentas de administrador global y para denegar la autenticación si el riesgo de inicio de sesión es medio o alto.Next, create conditional access policies to require multi-factor authentication for global administrator accounts and to deny authentication if the sign-in risk is medium or high.

Esta primera directiva requiere que todas las cuentas de administrador global usen MFA.This first policy requires that all global administrator accounts use MFA.

  1. En una nueva pestaña del explorador, vaya a https://portal.azure.com .In a new tab of your browser, go to https://portal.azure.com.
  2. Haga clic en Azure Active Directory > Security > Conditional Access.Click Azure Active Directory > Security > Conditional Access.
  3. En el panel Acceso condicional: directivas, seleccione Directiva de línea base: Requerir MFA para administradores (versión preliminar).In the Conditional access – Policies pane, select Baseline policy: Require MFA for admins (preview).
  4. En el panel Directiva de línea base, seleccione Usar directiva inmediatamente > Guardar.In the Baseline policy pane, select Use policy immediately > Save.

Esta segunda directiva bloquea el acceso a la autenticación de cuentas de administrador global cuando el riesgo de inicio de sesión es medio o alto.This second policy blocks access to global administrator account authentication when the sign-in risk is medium or high.

  1. En el panel Acceso condicional: directivas, seleccione Nueva directiva.In the Conditional access – Policies pane, select New policy.
  2. En el panel Nuevo, escriba Administradores globales en Nombre.In the New pane, enter Global administrators in Name.
  3. En la sección Asignaciones, seleccione Usuarios y grupos.In the Assignments section, select Users and groups.
  4. En la pestaña Incluir del panel Usuarios y grupos, seleccione Seleccionar usuarios y grupos Usuarios > y grupos > Seleccionar.On the Include tab of the Users and groups pane, select Select users and groups > Users and groups > Select.
  5. En el panel Seleccionar, seleccione el grupo GlobalAdmins y, a continuación, seleccione Seleccionar > listo.In the Select pane, select the GlobalAdmins group, and then select Select > Done.
  6. En la sección Asignaciones, seleccione Condiciones.In the Assignments section, select Conditions.
  7. En el panel Condiciones, seleccione Riesgo de inicio de sesión, Seleccione Sí para Configurar, Seleccione Alto y Medio y, a continuación, seleccione Seleccionar y Listo.In the Conditions pane, select Sign-in risk, select Yes for Configure, select High and Medium, and then select Select and Done.
  8. En la sección Controles de acceso del panel Nuevo, seleccione Conceder.In the Access controls section of the New pane, select Grant.
  9. En el panel Conceder, seleccione Bloquear acceso y, a continuación, seleccione Seleccionar.In the Grant pane, select Block access, and then select Select.
  10. En el panel Nuevo, seleccione Activar para Habilitar directiva y, a continuación, seleccione Crear.In the New pane, select On for Enable policy, and then select Create.
  11. Cierre las pestañas Azure Portal y Centro de administración de Microsoft 365.Close the Azure portal and Microsoft 365 admin center tabs.

Para probar la primera directiva, cerrar sesión e iniciar sesión con la cuenta DedicatedAdmin.To test the first policy, sign out and sign in with the DedicatedAdmin account. Se le pedirá que configure MFA.You should be prompted to configure MFA. Esto demuestra que se está aplicando la primera directiva.This demonstrates that the first policy is being applied.

Paso siguienteNext step

Explorar características de identidad adicionales y funcionalidades en su entorno de prueba.Explore additional identity features and capabilities in your test environment.

Vea tambiénSee also

Guía básica de identidadIdentity roadmap

Guías de entornos de pruebas de Microsoft 365 para empresasMicrosoft 365 for enterprise Test Lab Guides

Información general de Microsoft 365 EnterpriseMicrosoft 365 for enterprise overview

Documentación para Microsoft 365 EnterpriseMicrosoft 365 for enterprise documentation