Configurar el inquilino de Microsoft 365 para aumentar la seguridad
Importante
El Portal de Microsoft 365 Defender mejorado ya está disponible. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el portal de Microsoft 365 Defender. Ver las novedades.
Se aplica a
- Exchange Online Protection
- Plan 1 y Plan 2 de Microsoft Defender para Office 365
- Microsoft 365 Defender
En este tema se le guía a través de la configuración recomendada para la configuración de todo el espacio empresarial que afecta a la seguridad del Microsoft 365 empresarial. Sus necesidades de seguridad pueden requerir más o menos seguridad. Use estas recomendaciones como punto de partida.
Comprobar Office 365 puntuación segura
Office 365 puntuación segura analiza la seguridad de la organización en función de las actividades regulares y la configuración de seguridad y asigna una puntuación. Comience tomando nota de la puntuación actual. Ajustar algunas opciones de configuración de todo el espacio empresarial aumentará la puntuación. El objetivo no es lograr la puntuación máxima, sino tener en cuenta las oportunidades para proteger el entorno que no afectan negativamente a la productividad de los usuarios. Consulta Puntuación segura de Microsoft.
Ajustar las directivas de administración de amenazas en el portal Microsoft 365 Defender amenazas
El portal Microsoft 365 Defender incluye funcionalidades que protegen el entorno. También incluye informes y paneles que puede usar para supervisar y realizar acciones. Algunas áreas vienen con configuraciones de directiva predeterminadas. Algunas áreas no incluyen directivas o reglas predeterminadas. Visite estas directivas en Email & collaboration Policies & > rules Threat > policies to tune threat management settings for a more secure environment.
| Área | ¿Directiva predeterminada? | Recomendación |
|---|---|---|
| Anti-phishing | Sí | Configure la directiva contra suplantación de identidad predeterminada como se describe aquí: Configure anti-phishing protection settings in EOP and Defender for Office 365. Más información:
|
| Motor antimalware | Sí | Configure la directiva antimalware predeterminada como se describe aquí: Configure anti-malware protection settings in EOP. Más información: |
| Datos adjuntos seguros en Microsoft Defender para Office 365 | No | Configure la configuración global de los datos adjuntos de Caja fuerte y cree una directiva de datos adjuntos de Caja fuerte como se describe aquí: Configure Caja fuerte Attachments settings in Microsoft Defender for Office 365. Más información: |
| Caja fuerte vínculos en Microsoft Defender para Office 365 | No | Configure la configuración global de Caja fuerte Links y cree una directiva de vínculos de Caja fuerte como se describe aquí: Configure Caja fuerte Links settings in Microsoft Defender for Office 365. Más información: |
| Correo no deseado (filtrado de correo) | Sí | Configure la directiva contra correo no deseado predeterminada como se describe aquí: Configurar la configuración de protección contra correo no deseado en EOP Más información: |
| Autenticación de correo electrónico | Sí | La autenticación de correo electrónico usa registros DNS para agregar información verificable a los mensajes de correo electrónico sobre el origen y el remitente del mensaje. Microsoft 365 configura automáticamente la autenticación de correo electrónico para su dominio predeterminado (onmicrosoft.com), pero Microsoft 365 administradores también pueden configurar la autenticación de correo electrónico para dominios personalizados. Se usan tres métodos de autenticación:
|
Nota
Para implementaciones no estándar de SPF, implementaciones híbridas y solución de problemas: cómo Microsoft 365 usa Sender Policy Framework (SPF)para evitar la suplantación de identidad .
Ver paneles e informes en el portal Microsoft 365 Defender web
Visite estos informes y paneles para obtener más información sobre el estado de su entorno. Los datos de estos informes se enriquecerán a medida que su organización use Office 365 servicios. Por ahora, familiarícese con lo que puede supervisar y realizar acciones.
| Panel | Description |
|---|---|
| Informes de seguridad de correo electrónico | Estos informes están disponibles en Exchange Online Protection. Para obtener más información, vea View email security reports in the Microsoft 365 Defender portal. |
| Defender para Office 365 informes | Los informes solo están disponibles en Defender para Office 365. Para obtener más información, vea View Defender for Office 365 reports in the Microsoft 365 Defender portal. |
| Informes e información sobre el flujo de correo | Estos informes e información están disponibles en el Centro Exchange administración (EAC). Para obtener más información, vea Informes de flujo de correo e Información de flujo de correo. |
| Explorador de amenazas (o detecciones en tiempo real) | Si está investigando o experimentando un ataque contra su inquilino, use explorer (o detecciones en tiempo real) para analizar las amenazas. El Explorador (y el informe de detecciones en tiempo real) muestra el volumen de ataques con el tiempo y puede analizar estos datos por familias de amenazas, infraestructura de atacantes y mucho más. También puede marcar cualquier correo electrónico sospechoso para la lista incidentes. |
Configurar opciones Exchange Online configuración para todo el espacio empresarial
Estos son un par de opciones de configuración adicionales que se recomiendan.
| Área | Recomendación |
|---|---|
| Reglas de flujo de correo (también conocidas como reglas de transporte) | Agregue una regla de flujo de correo para ayudar a proteger contra ransomware bloqueando tipos de archivos ejecutables y Office tipos de archivo que contienen macros. Para obtener más información, vea Use mail flow rules to inspect message attachments in Exchange Online. Vea estos temas adicionales:
Cree una regla de flujo de correo para evitar el reenvío automático de correo electrónico a dominios externos. Para obtener más información, vea Mitigating Client External Forwarding Rules with Secure Score. Más información: Reglas de flujo de correo (reglas de transporte) en Exchange Online |
| Autenticación moderna | La autenticación moderna es un requisito previo para usar la autenticación multifactor (MFA). Mfa se recomienda para proteger el acceso a recursos en la nube, incluido el correo electrónico. Vea estos temas:
La autenticación moderna está habilitada de forma predeterminada Office clientes de 2016, SharePoint Online y OneDrive para la Empresa. Más información: Cómo funciona la autenticación moderna para Office 2013 y Office aplicaciones cliente de 2016 |
Configurar directivas de uso compartido en todo el espacio empresarial SharePoint centro de administración
Recomendaciones de Microsoft para configurar SharePoint de grupo en niveles crecientes de protección, empezando por la protección de línea base. Para obtener más información, vea Policy recommendations for securing SharePoint sites and files.
SharePoint de grupo configurados en el nivel de línea base permiten compartir archivos con usuarios externos mediante vínculos de acceso anónimo. Este enfoque se recomienda en lugar de enviar archivos por correo electrónico.
Para admitir los objetivos de protección de línea base, configure directivas de uso compartido en todo el espacio empresarial como se recomienda aquí. La configuración de uso compartido de sitios individuales puede ser más restrictiva que esta directiva para todo el espacio empresarial, pero no más permisiva.
| Área | Incluye una directiva predeterminada | Recomendación |
|---|---|---|
| Uso compartido (SharePoint Online y OneDrive para la Empresa) | Sí | El uso compartido externo está habilitado de forma predeterminada. Se recomienda esta configuración:
Más información: Introducción al uso compartido externo |
SharePoint centro de administración y OneDrive para la Empresa de administración incluyen la misma configuración. La configuración de cualquier centro de administración se aplica a ambos.
Configurar la configuración en Azure Active Directory
Asegúrese de visitar estas dos áreas en Azure Active Directory para completar la configuración de todo el espacio empresarial para entornos más seguros.
Configurar ubicaciones con nombre (en acceso condicional)
Si su organización incluye oficinas con acceso seguro a la red, agregue los intervalos de direcciones IP de confianza Azure Active Directory como ubicaciones con nombre. Esta característica ayuda a reducir el número de falsos positivos notificados para eventos de riesgo de inicio de sesión.
Vea: Ubicaciones con nombre en Azure Active Directory
Bloquear aplicaciones que no admiten la autenticación moderna
La autenticación multifactor requiere aplicaciones compatibles con la autenticación moderna. Las aplicaciones que no admiten la autenticación moderna no se pueden bloquear mediante reglas de acceso condicional.
Para entornos seguros, asegúrese de deshabilitar la autenticación para aplicaciones que no admiten la autenticación moderna. Puede hacerlo en Azure Active Directory con un control que estará disponible próximamente.
Mientras tanto, use uno de los siguientes métodos para lograrlo para SharePoint Online y OneDrive para la Empresa:
- Use PowerShell, vea Bloquear aplicaciones que no usan la autenticación moderna.
- Configúrelo en el centro SharePoint administración en la página "Acceso de dispositivos": "Controle el acceso desde aplicaciones que no usan la autenticación moderna". Elija Bloquear.
Introducción a Cloud App Security o Office 365 Cloud App Security
Use Office 365 Cloud App Security para evaluar el riesgo, para alertar sobre actividades sospechosas y para tomar medidas automáticamente. Requiere Office 365 E5 plan.
O bien, use Microsoft Cloud App Security para obtener una visibilidad más profunda incluso después de conceder acceso, controles completos y protección mejorada para todas las aplicaciones en la nube, incluidos Office 365.
Dado que esta solución recomienda el plan EMS E5, le recomendamos que empiece por Cloud App Security para que pueda usarlo con otras aplicaciones SaaS del entorno. Comience con las directivas y la configuración predeterminadas.
Más información:
- Implementar Cloud App Security
- Más información sobre Microsoft Cloud App Security
- ¿Qué es Cloud App Security?
Recursos adicionales
Estos artículos y guías proporcionan información prescriptiva adicional para proteger el entorno Microsoft 365 usuario:
Guía de seguridad de Microsoft para campañas políticas, organizaciones sin ánimo de lucro y otras organizaciones ágiles (puede usar estas recomendaciones en cualquier entorno, especialmente en entornos solo en la nube)
Directivas y configuraciones de seguridad recomendadas para identidades y dispositivos (estas recomendaciones incluyen ayuda para entornos de AD FS)