Paso 2. Protección de las cuentas con privilegios de Microsoft 365

Este artículo afecta tanto a Office 365 Enterprise como a Microsoft 365 Enterprise

Eche un vistazo a todo el contenido de nuestra pequeña empresa sobre el aprendizaje de ayuda para pequeñas empresas.

Las infracciones de seguridad de un inquilino de Microsoft 365, incluida la recopilación de información y los ataques de suplantación de identidad (phishing), normalmente se realizan poniendo en peligro las credenciales de una cuenta con privilegios de Microsoft 365. La seguridad en la nube es una asociación entre usted y Microsoft:

• Los servicios en la nube de Microsoft se basan en unos cimientos de confianza y seguridad. Microsoft le proporciona funcionalidades y controles de seguridad para ayudarle a proteger sus datos y sus aplicaciones.

• Usted es propietario de sus datos e identidades, así como es usted mismo el encargado de protegerlos, tal y como debe hacer con sus recursos locales y con la seguridad de los componentes en la nube que controle.

Microsoft proporciona funcionalidades para ayudar a proteger su organización, pero solo son eficaces si las usa. Si no los usa, es posible que sea vulnerable a ataques. Para proteger sus cuentas con privilegios, Microsoft está aquí para ayudarle con instrucciones detalladas para:

1. Cree cuentas dedicadas, con privilegios y basadas en la nube y úselas solo cuando sea necesario.

2. Configure la autenticación multifactor (MFA) para las cuentas con privilegios de Microsoft 365 dedicadas y use la forma más segura de autenticación secundaria.

3. Proteja las cuentas con privilegios con Confianza cero recomendaciones de acceso a dispositivos e identidades.

Nota:

Para proteger los roles con privilegios, consulte Procedimientos recomendados para Microsoft Entra roles con el fin de proteger el acceso con privilegios al inquilino.

1. Cree cuentas de usuario dedicadas, con privilegios y basadas en la nube y úselas solo cuando sea necesario.

En lugar de usar cuentas de usuario diarias a las que se han asignado roles de administrador, cree cuentas de usuario dedicadas que tengan los roles de administrador en Microsoft Entra ID.

A partir de este momento, inicia sesión con las cuentas con privilegios dedicados solo para las tareas que requieren privilegios de administrador. El resto de la administración de Microsoft 365 debe realizarse mediante la asignación de otros roles de administración a las cuentas de usuario.

Nota:

Esto requiere pasos adicionales para cerrar sesión como cuenta de usuario diaria e iniciar sesión con una cuenta de administrador dedicada. Pero esto solo se debe hacer ocasionalmente para las operaciones de administrador. Tenga en cuenta que la recuperación de la suscripción de Microsoft 365 después de una infracción de la cuenta de administrador requiere muchos más pasos.

También debe crear cuentas de acceso de emergencia para evitar que se bloquee accidentalmente Microsoft Entra ID.

Puede proteger aún más las cuentas con privilegios con Microsoft Entra Privileged Identity Management (PIM) para la asignación just-in-time a petición de roles de administrador.

2. Configuración de la autenticación multifactor para las cuentas con privilegios de Microsoft 365 dedicadas

La autenticación multifactor (MFA) requiere información adicional más allá del nombre y la contraseña de la cuenta. Microsoft 365 admite estos métodos de comprobación adicionales:

• La aplicación de Microsoft Authenticator
• Una llamada de teléfono
• Código de verificación generado aleatoriamente enviado a través de un mensaje de texto
• Una tarjeta inteligente (virtual o física) (requiere autenticación federada)
• Un dispositivo biométrico
• Token de Oauth

Nota:

Para las organizaciones que deben cumplir los estándares del Instituto Nacional de Estándares y Tecnología (NIST), el uso de una llamada telefónica o métodos de verificación adicionales basados en mensajes de texto están restringidos. Haga clic aquí para obtener los detalles.

Si es una pequeña empresa que usa cuentas de usuario almacenadas solo en la nube (el modelo de identidad solo en la nube), configure MFA para configurar MFA mediante una llamada telefónica o un código de verificación de mensajes de texto enviado a un teléfono inteligente para cada cuenta con privilegios dedicada.

Si es una organización más grande que usa un modelo de identidad híbrida de Microsoft 365, tiene más opciones de verificación. Si ya dispone de la infraestructura de seguridad para un método de autenticación secundario más seguro, configure MFA y configure cada cuenta con privilegios dedicados para el método de verificación adecuado.

Si la infraestructura de seguridad del método de verificación más seguro deseado no está en vigor y funciona para Microsoft 365 MFA, se recomienda encarecidamente configurar cuentas con privilegios dedicados con MFA mediante la aplicación Microsoft Authenticator, una llamada telefónica o un código de verificación de mensajes de texto enviados a un teléfono inteligente para las cuentas con privilegios como medida de seguridad provisional. No deje las cuentas con privilegios dedicados sin la protección adicional proporcionada por MFA.

Para obtener más información, consulte MFA para Microsoft 365.

3. Protección de cuentas de administrador con recomendaciones de acceso a dispositivos e identidades de Confianza cero

Para ayudar a garantizar una fuerza de trabajo segura y productiva, Microsoft proporciona un conjunto de recomendaciones para el acceso a identidades y dispositivos. Para la identidad, use las recomendaciones y la configuración de estos artículos:

• Requisitos previos
• Directivas comunes de acceso a dispositivos e identidades

Protecciones adicionales para organizaciones empresariales

Use estos métodos adicionales para asegurarse de que la cuenta con privilegios y la configuración que realice con ella sean lo más seguras posible.

Estación de trabajo de acceso con privilegios

Para asegurarse de que la ejecución de tareas con privilegios elevados es lo más segura posible, use una estación de trabajo de acceso con privilegios (PAW). Un PAW es un equipo dedicado que solo se usa para tareas de configuración confidenciales, como la configuración de Microsoft 365 que requiere una cuenta con privilegios. Dado que este equipo no se usa diariamente para la navegación por Internet o el correo electrónico, está mejor protegido frente a ataques y amenazas de Internet.

Para obtener instrucciones sobre cómo configurar una PAW, consulte Protección de dispositivos como parte de la historia de acceso con privilegios.

Para habilitar Azure PIM para las cuentas de inquilino y administrador de Microsoft Entra, consulte los pasos para configurar PIM.

Para desarrollar una hoja de ruta completa para proteger el acceso con privilegios frente a los ciberataques, consulte Protección del acceso con privilegios para implementaciones híbridas y en la nube en Microsoft Entra ID.

Privileged Identity Management

En lugar de tener a las cuentas con privilegios asignadas permanentemente un rol de administrador, puede usar PIM para habilitar la asignación just-in-time a petición del rol de administrador cuando sea necesario.

Las cuentas de administrador pasan de ser administradores permanentes a administradores aptos. El rol de administrador permanece inactivo hasta que lo necesite. A continuación, complete un proceso de activación para agregar el rol de administrador a la cuenta con privilegios durante un período de tiempo predeterminado. Cuando expire el tiempo, PIM quita el rol de administrador de la cuenta con privilegios.

El uso de PIM y este proceso reduce significativamente la cantidad de tiempo que las cuentas con privilegios son vulnerables a ataques y usos por parte de usuarios malintencionados.

El uso de esta característica requiere suscripciones Gobierno de Microsoft Entra ID o Microsoft Entra ID P2. Para encontrar la licencia adecuada para sus requisitos, consulte Comparación de las características disponibles con carácter general de Microsoft Entra ID.

Para obtener información sobre las licencias de los usuarios, consulte Requisitos de licencia para usar Privileged Identity Management.

Para obtener más información, consulte:

• Privileged Identity Management.
• Protección del acceso con privilegios para implementaciones híbridas y en la nube en Microsoft Entra ID

Administración del acceso con privilegios

La administración de acceso con privilegios se habilita mediante la configuración de directivas que especifican el acceso Just-In-Time para las actividades basadas en tareas en el inquilino. Puede ayudar a proteger su organización frente a infracciones que pueden usar cuentas de administrador con privilegios existentes con acceso permanente a datos confidenciales o acceso a la configuración crítica. Por ejemplo, podría configurar una directiva de administración de acceso con privilegios que requiera aprobación explícita para acceder y cambiar la configuración del buzón de la organización en el inquilino.

En este paso, habilitará la administración de acceso con privilegios en el inquilino y configurará directivas de acceso con privilegios que proporcionan seguridad adicional para el acceso basado en tareas a los datos y la configuración de la organización. Hay tres pasos básicos para empezar a usar el acceso con privilegios en su organización:

• Crear un grupo de aprobadores
• Habilitar el acceso con privilegios
• Crear directivas de aprobación

La administración de acceso con privilegios permite a su organización operar sin privilegios permanentes y proporcionar una capa de defensa contra las vulnerabilidades que se producen debido a este acceso administrativo permanente. El acceso con privilegios requiere aprobaciones para ejecutar cualquier tarea que tenga definida una directiva de aprobación asociada. Los usuarios que necesiten ejecutar tareas incluidas en la directiva de aprobación deben solicitar y obtener la aprobación de acceso.

Para habilitar la administración de acceso con privilegios, consulte Introducción a la administración de acceso con privilegios.

Para obtener más información, consulte Información sobre la administración de acceso con privilegios.

Software de administración de eventos e información de seguridad (SIEM) para el registro de Microsoft 365

El software SIEM que se ejecuta en un servidor realiza un análisis en tiempo real de alertas de seguridad y eventos creados por aplicaciones y hardware de red. Para permitir que el servidor SIEM incluya alertas y eventos de seguridad de Microsoft 365 en sus funciones de análisis e informes, integre Microsoft Entra ID en el SEIM. Consulte Introducción a Azure Log Integration.

Paso siguiente

Continúe con el paso 3 para proteger las cuentas de usuario.