Cuatro pasos para establecer las bases de una identidad segura con Azure Active DirectoryFour steps to a strong identity foundation with Azure Active Directory

La administración del acceso a datos y aplicaciones ya no puede basarse en las tradicionales estrategias de los límites de seguridad de la red, como firewalls y redes perimetrales, dado el rápido movimiento de las aplicaciones a la nube.Managing access to apps and data can no longer rely on the traditional network security boundary strategies such as perimeter networks and firewalls because of the rapid movement of apps to the cloud. Ahora, las organizaciones deben confiar en su solución de identidad para controlar quién y qué tiene acceso a los datos y las aplicaciones de la organización.Now organizations must trust their identity solution to control who and what has access to the organization's apps and data. Cada vez más organizaciones permiten a los empleados traer sus propios dispositivos para trabajar y usar sus dispositivos desde cualquier lugar desde el que puedan conectarse a Internet.More organizations are allowing employees to bring their own devices to work and use their devices from anywhere they can connect to the Internet. Garantizar que esos dispositivos son seguros y cumplen las normas se ha convertido en un importante aspecto a tener en cuenta en la solución de identidad que una organización elige implementar.Ensuring those devices are compliant and secure has become an important consideration in the identity solution an organization chooses to implement. En el lugar de trabajo actual, la identidad es el plano de control principal de cualquier organización que se mueve a la nube.In today's digital workplace, identity is the primary control plane of any organization moving to the cloud.

A la hora de adoptar una solución de identidad híbrida de Azure Active Directory (Azure AD), las organizaciones obtienen acceso a características premium que liberan la productividad gracias a las funcionalidades de automatización, delegación, autoservicio e inicio de sesión único.In adopting an Azure Active Directory (Azure AD) hybrid identity solution, organizations gain access to premium features that unlock productivity through automation, delegation, self-service, and single sign-on capabilities. Los trabajadores pueden acceder a los recursos de la empresa desde cualquier parte, y el equipo de TI puede controlar ese acceso y garantizar que las personas adecuadas tienen el acceso adecuado a los recursos correctos para establecer una productividad segura.It allows your workers to access company resources from wherever they need to do their work while allowing your IT team to govern that access by ensuring that the right people have the right access to the right resources to establish secure productivity.

Según lo que sabemos, esta lista de comprobación de procedimientos recomendados le ayudará a implementar rápidamente las acciones recomendadas para sentar las bases de la identidad segura en su organización:Based on our learnings, this checklist of best practices will help you quickly deploy recommended actions to build a strong identity foundation in your organization:

  • Conexión fácil a las aplicacionesConnect to apps easily
  • Establecimiento de una identidad para cada usuario automáticamenteEstablish one identity for every user automatically
  • Capacitación a los usuarios de forma seguraEmpower your users securely
  • Operacionalización de las conclusionesOperationalize your insights

Paso 1: Conexión fácil a las aplicacionesStep 1 - Connect to apps easily

Al conectar las aplicaciones con Azure AD, puede mejorar la productividad y la seguridad del usuario final al permitir el inicio de sesión único (SSO) y realizar el aprovisionamiento de usuarios.By connecting your apps with Azure AD, you can improve end-user productivity and security by enabling single sign-on (SSO) and do user provisioning. Como las aplicaciones se administran en un solo lugar, Azure AD, puede minimizar la sobrecarga administrativa y lograr un único punto de control para sus directivas de seguridad y cumplimiento.By managing your apps in a single place, Azure AD, you can minimize administrative overhead and achieve a single point of control for your security and compliance policies.

En esta sección se tratan las opciones para administrar el acceso de los usuarios a las aplicaciones, de forma que es posible el acceso remoto seguro a aplicaciones internas, y las ventajas de migrar sus aplicaciones a Azure AD.This section covers your options for managing user access to apps, enabling secure remote access to internal apps, and the benefits of migrating your apps to Azure AD.

Permitir que las aplicaciones estén disponibles para usuarios íntegramenteMake apps available to your users seamlessly

Azure AD permite a los administradores agregar aplicaciones a la galería de aplicaciones empresariales en Azure Portal.Azure AD enables administrators to add applications to the Enterprise applications gallery in the Azure portal. Agregar aplicaciones a la galería de aplicaciones empresariales facilita la configuración de aplicaciones que usan Azure AD como proveedor de identidades.Adding applications to the Enterprise applications gallery makes it easier for you to configure applications to use Azure AD as your identity provider. También permite administrar el acceso de los usuarios a las aplicaciones con directivas de acceso condicional y configurar el inicio de sesión único (SSO) en las aplicaciones, de forma que los usuarios no tengan que escribir sus contraseñas varias veces e inicien sesión automáticamente tanto en aplicaciones locales como basadas en la nube.It also lets you manage user access to the application with Conditional Access policies and configure single sign-on (SSO) to applications so that users don't have to enter their passwords repeatedly and are automatically signed into both on-premises and cloud-based applications.

Una vez que se agregan aplicaciones a la galería de Azure AD, los usuarios pueden ver aquellas que tienen asignadas y buscar y solicitar otras aplicaciones según sea necesario.Once applications are added to the Azure AD gallery, users can see apps that are assigned to them and search and request other apps as needed. Azure AD proporciona varios métodos para que los usuarios accedan a sus aplicaciones:Azure AD provides several methods for users to access their apps:

  • Panel de acceso/AplicacionesAccess panel/My Apps
  • Iniciador de aplicaciones de Microsoft 365Microsoft 365 app launcher
  • Inicio de sesión directo en aplicaciones federadasDirect sign-on to federated apps
  • Vínculos directos de inicio de sesiónDirect sign-on links

Para más información sobre el acceso de los usuarios a las aplicaciones, consulte el Paso 3: Capacitación a los usuarios en este artículo.To learn more about user access to apps, see Step 3 -- Empower Your Users in this article.

Migración de aplicaciones desde los Servicios de federación de Active Directory (AD FS) a Azure ADMigrate apps from Active Directory Federation Services to Azure AD

La migración de la configuración de inicio de sesión único desde los Servicios de federación de Active Directory (AD FS) hasta Azure AD permite funcionalidades adicionales de seguridad, una capacidad de administración más coherente y la colaboración.Migrating single sign-on configuration from Active Directory Federation Services (ADFS) to Azure AD enables additional capabilities on security, a more consistent manageability, and collaboration. Para obtener resultados óptimos, se recomienda migrar las aplicaciones de AD FS a Azure AD.For optimal results, we recommend that you migrate your apps from AD FS to Azure AD. Incluir la autenticación y la autorización de las aplicaciones en Azure AD proporciona las siguientes ventajas:Bringing your application authentication and authorization to Azure AD provides you with the following benefits:

  • Administración de costosManaging cost
  • Administración de riesgosManaging risk
  • Aumento de la productividadIncreasing productivity
  • Satisfacción de los requisitos de gobierno y cumplimientoAddressing compliance and governance

Para más información, consulte las notas del producto Migrating Your Applications to Azure Active Directory (Migración de las aplicaciones a Azure Active Directory).To learn more, see the Migrating Your Applications to Azure Active Directory whitepaper.

Habilitación del acceso remoto seguro a las aplicacionesEnable secure remote access to apps

Azure AD Application Proxy ofrece a las organizaciones una solución sencilla para publicar aplicaciones locales en la nube destinadas a usuarios remotos que necesitan tener acceso a aplicaciones internas de forma segura.Azure AD Application Proxy provides a simple solution for organizations to publish on-premises apps to the cloud for remote users who need access to internal apps in a secure manner. Después de un inicio de sesión único en Azure AD, los usuarios pueden acceder a aplicaciones locales y en la nube mediante direcciones URL externas o un portal de aplicaciones interno.After a single sign-on to Azure AD, users can access both cloud and on-premises applications through external URLs or an internal application portal.

Azure AD Application Proxy ofrece las siguientes ventajas:Azure AD Application Proxy offers the following benefits:

  • Extensión de Azure AD para recursos localesExtending Azure AD to on-premises resources
    • Seguridad y protección de escala en la nubeCloud-scale security and protection
    • Características como acceso condicional y autenticación multifactor que son fáciles de habilitarFeatures like Conditional Access and Multi-Factor Authentication that are easy to enable
  • No hay componentes en la red perimetral, como VPN y soluciones tradicionales de proxy inversoNo components in the perimeter network such as VPN and traditional reverse proxy solutions
  • No se requieren conexiones entrantesNo inbound connections required
  • Inicio de sesión único (SSO) en todos los dispositivos, recursos y aplicaciones en la nube y localesSingle sign-on (SSO) across devices, resources, and apps in the cloud and on-premises
  • Capacita a los usuarios finales para ser productivos en cualquier momento y lugarEmpowers end users to be productive anytime and anywhere

Detectar TI en la sombra con Microsoft Cloud App SecurityDiscover Shadow IT with Microsoft Cloud App Security

En las empresas modernas, los departamentos de TI no son a menudo conscientes de todas las aplicaciones en la nube que usan los usuarios para hacer su trabajo.In modern enterprises, IT departments are often not aware of all the cloud applications that are used by the users to do their work. Cuando a los administradores de TI se les pregunta por el número de aplicaciones que creen que usan sus empleados, como media dicen 30 o 40.When IT admins are asked how many cloud apps they think their employees use, on average they say 30 or 40. En realidad, los empleados de la organización usan más de 1000 aplicaciones diferentes.In reality, the average is over 1,000 separate apps being used by employees in your organization. El 80 % de los empleados usan aplicaciones no autorizadas que nadie ha revisado y que puede que no sean compatibles con las directivas de seguridad y cumplimiento.80% of employees use non-sanctioned apps that no one has reviewed and may not be compliant with your security and compliance policies.

Microsoft Cloud App Security (MCAS) puede ayudarle a identificar aplicaciones útiles que son populares entre los usuarios, y que es posible que TI no autorice, y agregarlas a la galería de aplicaciones empresariales para que los usuarios puedan beneficiarse de funcionalidades como inicio de sesión único y acceso condicional.Microsoft Cloud App Security (MCAS) can help you identify useful apps that are popular with users that IT may sanction and add to the Enterprise applications gallery so that users benefit from capabilities such as SSO and Conditional Access.

"Cloud App Security nos ayuda a garantizar que nuestro personal usa correctamente las aplicaciones SaaS y en la nube de formas tales que respalden las directivas de seguridad fundamentales que ayudan a proteger Accenture"."Cloud App Security helps us ensure that our people are properly using our cloud and SaaS applications, in ways that support the foundational security policies that help protect Accenture." --- John Blasi, director general de seguridad de la información en Accenture --- John Blasi, Managing Director, Information Security, Accenture

Además de detectar TI en la sombra, MCAS también puede determinar el nivel de riesgo de las aplicaciones, impedir el acceso no autorizado a los datos corporativos, evitar una posible pérdida de datos y otros riesgos de seguridad inherentes a las aplicaciones.In addition to detecting shadow IT, MCAS can also determine the risk level of apps, prevent unauthorized access to corporate data, possible data leakage, and other security risks inherent in the applications.

Paso 2: Establecimiento de una identidad para cada usuario automáticamenteStep 2 - Establish one identity for every user automatically

Reunir directorios locales y basados en la nube en una solución de identidad híbrida de Azure AD le permitirá reutilizar su inversión existente en Active Directory local mediante el aprovisionamiento de las identidades existentes en la nube.Bringing on-premises and cloud-based directories together in an Azure AD hybrid identity solution will allow you to reuse your existing on-premises Active Directory investment by provisioning your existing identities in the cloud. La solución sincroniza las identidades locales con Azure AD, mientras el personal de TI sigue ejecutando Active Directory local con cualquier solución de gobierno existente como origen principal de veracidad de las identidades.The solution synchronizes on-premises identities with Azure AD, while IT keeps the on-premises Active Directory running with any existing governance solutions as the primary source of truth for identities. Las soluciones de identidad de Azure AD de Microsoft abarcan funcionalidades locales y basadas en la nube, de forma que se crea una identidad de usuario común para la autenticación y la autorización en todos los recursos, sin importar su ubicación.Microsoft's Azure AD hybrid identity solution spans on-premises and cloud-based capabilities, creating a common user identity for authentication and authorization to all resources regardless of their location.

Cuando los directorios locales se integran con Azure AD, aumenta la productividad de los usuarios dado que al proporcionarse una identidad común para acceder a los recursos locales y en la nube, los usuarios no necesitan usar varias cuentas con las distintas aplicaciones y servicios.Integrating your on-premises directories with Azure AD makes your users more productive and prevents users from using multiple accounts across apps and services by providing a common identity for accessing both cloud and on-premises resources. El uso de varias cuentas es un problema para los usuarios finales y para el personal de TI por igual.Using multiple accounts is a pain point for end users and IT alike. Desde la perspectiva del usuario final, tener varias cuentas significa tener que recordar varias contraseñas.From an end-user perspective, having multiple accounts means having to remember multiple passwords. Para evitar esto, muchos usuarios reutilizan la misma contraseña con cada cuenta, lo que no es bueno para la seguridad.To avoid this, many users reuse the same password for each account, which is bad from a security perspective. Desde la perspectiva del personal de TI, la reutilización conduce generalmente a más restablecimientos de contraseñas y costos de soporte técnico, junto con quejas del usuario final.From an IT perspective, reuse often leads to more password resets and helpdesk costs along with the end-user complaints.

Azure AD Connect es la herramienta que se usa para sincronizar las identidades locales con Azure AD, que luego se pueden emplear para acceder a las aplicaciones en la nube.Azure AD Connect is the tool that is used for to sync your on-premises identities to Azure AD, which can then be used to access cloud applications. Una vez que las identidades están en Azure AD, pueden aprovisionarse con aplicaciones SaaS como Salesforce o Concur.Once the identities are in Azure AD, they can provision to SaaS applications like Salesforce or Concur.

En esta sección, se enumeran las recomendaciones para proporcionar alta disponibilidad y autenticación moderna para la nube, y para reducir la superficie local.In this section, we list recommendations for providing high availability, modern authentication for the cloud, and reducing your on-premises footprint.

Nota

Para más información sobre Azure AD Connect, consulte ¿Qué es Azure AD Connect Sync?If you want to learn more about Azure AD Connect, see What is Azure AD Connect Sync?

Configurar un servidor de ensayo de Azure AD Connect y mantenerlo actualizadoSet up a staging server for Azure AD Connect and keep it up-to-date

Azure AD Connect desempeña un papel clave en el proceso de aprovisionamiento.Azure AD Connect plays a key role in the provisioning process. Si por algún motivo el servidor de sincronización se queda sin conexión, los cambios en el entorno local no se actualizarán en la nube y se producirán problemas de acceso para los usuarios.If the Sync Server goes offline for any reason, changes to on-premises won't be updated in the cloud and cause access issues to users. Es importante definir una estrategia de conmutación por error que permita a los administradores reanudar rápidamente la sincronización después de que el servidor de sincronización se queda sin conexión.It's important to define a failover strategy that allows administrators to quickly resume synchronization after the sync server goes offline.

Para proporcionar alta disponibilidad en caso de que el servidor principal de Azure AD Connect se quede sin conexión, se recomienda implementar otro servidor de ensayo para Azure AD Connect.To provide high availability in the event your primary Azure AD Connect server goes offline, it's recommended that you deploy a separate staging server for Azure AD Connect. La implementación de un servidor permite al administrador "promover" el servidor de ensayo a producción mediante un sencillo cambio de configuración.Deploying a server allows the administrator to "promote" the staging server to production by a simple configuration switch. Tener un servidor en espera configurado en modo de ensayo también le permite probar e implementar nuevos cambios de configuración e introducir un nuevo servidor si retira el antiguo.Having a standby server configured in staging mode also allows you to test and deploy new configuration changes and introduce a new server if decommissioning the old one.

Sugerencia

Azure AD Connect se actualiza de forma periódica.Azure AD Connect is updated on a regular basis. Por lo tanto, se recomienda mantener actualizado el servidor de ensayo para aprovechar las mejoras de rendimiento, corregir errores y hacer uso de las nuevas funcionalidades que proporciona cada nueva versión.Therefore, it's strongly recommended that you keep the staging server current in order to take advantage of the performance improvements, bug fixes, and new capabilities that each new version provides.

Habilitar la autenticación en la nubeEnable cloud authentication

Las organizaciones con una instancia local de Active Directory deben extender su directorio a Azure AD con Azure AD Connect y configurar el método de autenticación adecuado.Organizations with on-premises Active Directory should extend their directory to Azure AD using Azure AD Connect and configure the appropriate authentication method. La elección del método de autenticación correcto para su organización es el primer paso en su viaje para mover las aplicaciones a la nube.Choosing the correct authentication method for your organization is the first step in your journey of moving apps to the cloud. Este componente es esencial puesto que controla el acceso a todos los datos y recursos de la nube.It's a critical component since it controls access to all cloud data and resources.

El método más sencillo y recomendado para permitir la autenticación en la nube para los objetos de directorio local en Azure AD es habilitar la sincronización de hash de contraseña (PHS).The simplest and recommended method for enabling cloud authentication for on-premises directory objects in Azure AD is to enable Password Hash Synchronization (PHS). Como alternativa, algunas organizaciones pueden considerar la posibilidad de habilitar la autenticación de paso a través (PTA).Alternatively, some organizations may consider enabling Pass-through Authentication (PTA).

Tanto si elige PHS o PTA, no olvide habilitar el inicio de sesión único de conexión directa para permitir que los usuarios accedan a las aplicaciones en la nube sin escribir constantemente su nombre de usuario y contraseña cuando usan dispositivos Windows 7 y 8 en la red de la empresa.Whether you choose PHS or PTA, don't forget to enable Seamless Single Sign-on to allow users to access cloud apps without constantly entering their username and password in the app when using Windows 7 and 8 devices on your corporate network. Sin el inicio de sesión único, los usuarios deben recordar cada contraseña específica de la aplicación e iniciar sesión en cada aplicación.Without single sign-on, users must remember application-specific passwords and sign into each application. Del mismo modo, el personal de TI necesita crear y actualizar las cuentas de usuario para cada aplicación como, por ejemplo, Microsoft 365, Box y Salesforce.Likewise, IT staff needs to create and update user accounts for each application such as Microsoft 365, Box, and Salesforce. Los usuarios tienen que recordar sus contraseñas, además de dedicar tiempo a iniciar sesión en cada aplicación.Users need to remember their passwords, plus spend the time to sign into each application. Proporcionar un mecanismo estándar de inicio de sesión único para toda la empresa es fundamental para mejorar la experiencia del usuario, reducir el riesgo, generar informes y facilitar el gobierno.Providing a standardized single sign-on mechanism to the entire enterprise is crucial for best user experience, reduction of risk, ability to report, and governance.

En el caso de las organizaciones que ya usan AD FS u otro proveedor de autenticación local, el hecho de pasarse a Azure AD como proveedor de identidades puede reducir la complejidad y mejorar la disponibilidad.For organizations already using AD FS or another on-premises authentication provider, moving to Azure AD as your identity provider can reduce complexity and improve availability. A menos que tenga escenarios específicos para el uso de la federación, se recomienda migrar de la autenticación federada a PHS y SSO de conexión directa o a PTA y SSO de conexión directa para disfrutar de las ventajas de tener una superficie local reducida y la flexibilidad que ofrece la nube con las experiencias de usuario mejoradas.Unless you have specific use cases for using federation, we recommend migrating from federated authentication to either PHS and Seamless SSO or PTA and Seamless SSO to enjoy the benefits of a reduced on-premises footprint and the flexibility the cloud offers with improved user experiences. Para más información, consulte Migración de la federación a la sincronización de hash de contraseña para Azure Active Directory.For more information, see Migrate from federation to password hash synchronization for Azure Active Directory.

Habilitación del desaprovisionamiento automático de cuentasEnable automatic deprovisioning of accounts

La mejor estrategia para regular el ciclo de vida de las identidades entre numerosos sistemas es habilitar el aprovisionamiento y desaprovisionamiento automáticos para las aplicaciones.Enabling automated provisioning and deprovisioning to your applications is the best strategy for governing the lifecycle of identities across multiple systems. Azure AD admite el aprovisionamiento y desaprovisionamiento automáticos basados en directivas de cuentas de usuario en una variedad de aplicaciones SaaS conocidas, como ServiceNow y Salesforce, además de otras que implementan el protocolo SCIM 2.0.Azure AD supports automated, policy-based provisioning and deprovisioning of user accounts to a variety of popular SaaS applications such as ServiceNow and Salesforce, and others that implement the SCIM 2.0 protocol. A diferencia de las soluciones de aprovisionamiento tradicionales, que requieren código personalizado o la carga manual de archivos CSV, el servicio de aprovisionamiento se hospeda en la nube y presenta conectores ya integrados que se pueden configurar y administran mediante Azure Portal.Unlike traditional provisioning solutions, which require custom code or manual uploading of CSV files, the provisioning service is hosted in the cloud, and features pre-integrated connectors that can be set up and managed using the Azure portal. Una de las principales ventajas del desaprovisionamiento automático es que ayuda a proteger su organización al eliminar al instante las identidades de los usuarios de las aplicaciones SaaS cuando abandonan la organización.A key benefit of automatic deprovisioning is that it helps secure your organization by instantly removing users' identities from key SaaS apps when they leave the organization.

Para más información sobre el aprovisionamiento automático de cuentas de usuario, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Azure Active Directory.To learn more about automatic user account provisioning and how it works, see Automate User Provisioning and Deprovisioning to SaaS Applications with Azure Active Directory.

Paso 3: Capacitación a los usuarios de forma seguraStep 3 - Empower your users securely

En el lugar de trabajo digital de hoy en día, es importante encontrar un equilibrio entre seguridad y productividad.In today's digital workplace, it's important to balance security with productivity. Sin embargo, los usuarios finales a menudo rechazan las medidas de seguridad que ralentizar su productividad y el acceso a las aplicaciones en la nube.However, end users often push back on security measures that slow their productivity and access to cloud apps. Para ayudar a solucionar este problema, Azure AD proporciona funcionalidades de autoservicio que permiten a los usuarios seguir siendo productivos, al tiempo que reducen la sobrecarga administrativa.To help address this, Azure AD provides self-service capabilities that enable users to remain productive while minimizing administrative overhead.

En esta sección se enumeran las recomendaciones para evitar fricciones en su organización y que sea posible capacitar a los usuarios pero al mismo tiempo estar alerta.This section lists recommendations for removing friction from your organization by empowering your users while remaining vigilant.

Habilitación del autoservicio de restablecimiento de contraseña para todos los usuariosEnable Self-Service Password Reset for all users

El autoservicio de restablecimiento de contraseña (SSPR) de Azure ofrece a los administradores de TI un medio simple para permitir a los usuarios restablecer y desbloquear sus contraseñas o cuentas sin la intervención del administrador.Azure's self-service password reset (SSPR) offers a simple means for IT administrators to allow users to reset and unlock their passwords or accounts without administrator intervention. El sistema incluye informes detallados del seguimiento de acceso de los usuarios al sistema, además de notificaciones de alerta de posibles abusos o usos indebidos.The system includes detailed reporting that tracks when users access the system, along with notifications to alert you to misuse or abuse.

De forma predeterminada, Azure AD desbloquea las cuentas cuando se realiza un restablecimiento de contraseña.By default, Azure AD unlocks accounts when it performs a password reset. Sin embargo, cuando habilite la integración local de Azure AD Connect, también tendrá la opción de separar esas dos operaciones, de forma que los usuarios desbloqueen su cuenta sin tener que restablecer la contraseña.However, when you enable Azure AD Connect integration on-premises, you also have the option to separate those two operations, which enable users to unlock their account without having to reset the password.

Garantizar que todos los usuarios están registrados en MFA y SSPREnsure all users are registered for MFA and SSPR

Azure proporciona informes que puede usarlos usted y su organización para asegurarse de que los usuarios se registren en MFA y SSPR.Azure provides reports that can be used by you and your organization to ensure users are registered for MFA and SSPR. Puede que los usuarios que aún no se hayan registrado necesiten instrucciones para realizar el proceso.Users who haven't registered may need to be educated on the process.

El informe de inicios de sesión de MFS incluye información sobre el uso de MFA y le ofrece conclusiones sobre el funcionamiento de MFA en su organización.The MFA sign-ins report includes information about MFA usage and gives you insights into how MFA is working in your organization. El acceso a la actividad de inicio de sesión (así como a las auditorías y las detecciones de riesgo) de Azure AD es fundamental para la solución de problemas, el análisis de uso y las investigaciones forenses.Having access to sign-in activity (and audits and risk detections) for Azure AD is crucial for troubleshooting, usage analytics, and forensics investigations.

Del mismo modo, el informe de autoservicio de administración de contraseñas puede usarse para determinar quién se ha registrado (o no) en SSPR.Likewise, the Self-service Password Management report can be used to determine who has (or hasn't) registered for SSPR.

Autoservicio de administración de aplicacionesSelf-service app management

Para que los usuarios puedan detectar automáticamente aplicaciones en su panel de acceso, debe habilitar el autoservicio de acceso a las aplicaciones para las aplicaciones que quiera que los usuarios detecten automáticamente y puedan solicitar acceso.Before your users can self-discover applications from their access panel, you need to enable self-service application access to any applications that you wish to allow users to self-discover and request access to. El autoservicio de acceso a las aplicaciones es una excelente manera de permitir que los usuarios detecten automáticamente las aplicaciones y, si lo desea, permitir que el grupo de negocios apruebe el acceso a esas aplicaciones.Self-service application access is a great way to allow users to self-discover applications and optionally allow the business group to approve access to those applications. Puede permitir que el grupo de negocios administre las credenciales asignadas a esos usuarios para que puedan realizar un inicio de sesión único con contraseña en las aplicaciones directamente desde sus paneles de acceso.You can allow the business group to manage the credentials assigned to those users for Password Single-Sign On Applications right from their access panels.

Self-service group management (Administración de grupos de autoservicio)Self-service group management

La asignación de usuarios a las aplicaciones se realiza mejor cuando se usan grupos, porque permiten una gran flexibilidad y la posibilidad de administrarlos a escala:Assigning users to applications is best mapped when using groups, because they allow great flexibility and ability to manage at scale:

  • Basada en atributos con pertenencia dinámica a gruposAttribute-based using dynamic group membership
  • Delegación a propietarios de la aplicaciónDelegation to app owners

Azure AD le proporciona la capacidad de administrar el acceso a los recursos mediante grupos de seguridad y grupos de Microsoft 365.Azure AD provides the ability to manage access to resources using security groups and Microsoft 365 groups. Estos grupos los puede administrar el propietario de un grupo que pueda aprobar o rechazar solicitudes de pertenencia y delegar el control de la pertenencia a grupos.These groups can be managed by a group owner who can approve or deny membership requests and delegate control of group membership. Esta característica, conocida como administración de grupos de autoservicio, ahorra tiempo al permitir a los propietarios de los grupos que no tienen asignado un rol administrativo crear y administrar los grupos sin depender de los administradores para gestionar sus solicitudes.Known as self-service group management, this feature saves time by allowing group owners who aren't assigned an administrative role to create and manage groups without having to rely on administrators to handle their requests.

Paso 4: Operacionalización de las conclusionesStep 4 - Operationalize your insights

La auditoría y el registro de eventos relacionados con la seguridad y las alertas relacionadas son componentes esenciales de una estrategia eficaz para garantizar que los usuarios son productivos y la organización es segura.Auditing and logging of security-related events and related alerts are essential components of an efficient strategy to ensure that users remain productive and your organization is secure. Los registros e informes de seguridad pueden ayudarle a responder a preguntas como:Security logs and reports can help answer question such as:

  • ¿Está usando por lo que paga?Are you using what you're paying for?
  • ¿Está sucediendo algo sospechoso o malintencionado en mi inquilino?Is there anything suspicious or malicious happening in my tenant?
  • ¿Qué resultó afectado durante un incidente de seguridad?Who was impacted during a security incident?

Los registros e informes de seguridad proporcionan un registro electrónico de actividades sospechosas y le ayudan a detectar patrones que puedan indicar un acceso externo a la red, así como ataques internos.Security logs and reports provide you with an electronic record of suspicious activities and help you detect patterns that may indicate attempted or successful external penetration of the network, and internal attacks. Puede usar la auditoría para supervisar la actividad del usuario y el cumplimiento normativo de documentos, realizar análisis forenses y mucho más.You can use auditing to monitor user activity, document regulatory compliance, do forensic analysis, and more. Además, las alertas le proporcionarán notificaciones acerca de eventos de seguridad.Alerts provide notifications of security events.

Asignación de roles de administrador con menos privilegios para las operacionesAssign least privileged admin roles for operations

Cuando piense en su enfoque sobre las operaciones, es necesario tener en cuenta dos niveles de administración.As you think about your approach to operations, there are a couple levels of administration to consider. El primer nivel coloca la carga de administración sobre los administradores globales.The first level places the burden of administration on your global administrator(s). Usar siempre el rol de administrador global podría ser adecuado para pequeñas empresas.Always using the global administrator role, might be appropriate for smaller companies. Sin embargo, en el caso de organizaciones más grandes con personal de departamento de soporte técnico y administradores responsables de tareas específicas, asignar el rol de administrador global puede ser un riesgo de seguridad, ya que proporciona a esos individuos la posibilidad de administrar tareas que están por encima de sus capacidades.But for larger organizations with help desk personnel and administrators responsible for specific tasks, assigning the role of global administrator can be a security risk since it provides those individuals with the ability to manage tasks that are above and beyond what they should be capable of doing.

En este caso, debería considerar el siguiente nivel de administración.In this case, you should consider the next level of administration. Con Azure AD, puede designar a los usuarios finales como "administradores limitados" que pueden administrar tareas en roles con menos privilegios.Using Azure AD, you can designate end users as "limited administrators" who can manage tasks in less-privileged roles. Por ejemplo, podría asignar al personal del departamento de soporte técnico el rol lector de seguridad con el fin de proporcionarles la capacidad de administrar las características relacionadas con la seguridad con acceso de solo lectura.For example, you might assign your help desk personnel the security reader role to provide them with the ability to manage security-related features with read-only access. O, quizás, tenga sentido asignar el rol de administrador de autenticación a individuos para ofrecerles la posibilidad de restablecer credenciales sin contraseña o de leer y configurar Azure Service Health.Or perhaps it makes sense to assign the authentication administrator role to individuals to give them the ability to reset non-password credentials or read and configure Azure Service Health.

Para más información, consulte Permisos de roles de administrador en Azure Active Directory.To learn more, see Administrator role permissions in Azure Active Directory.

Supervisión de componentes híbridos (Azure AD Connect Sync, AD FS) con Azure AD Connect HealthMonitor hybrid components (Azure AD Connect sync, AD FS) using Azure AD Connect Health

Azure AD Connect y AD FS son componentes esenciales que pueden afectar a la administración y la autenticación del ciclo de vida y, en última instancia, provocar interrupciones.Azure AD Connect and AD FS are critical components that can potentially break lifecycle management and authentication and ultimately lead to outages. Por lo tanto, debe implementar Azure AD Connect Health para la supervisión y la notificación de información sobre estos componentes.Therefore, you should deploy Azure AD Connect Health for monitoring and reporting of these components.

Para más información, lea Supervisión de AD FS mediante Azure AD Connect Health.To learn more, go read Monitor AD FS using Azure AD Connect Health.

Uso de Azure Monitor para recopilar registros de datos de análisisUse Azure Monitor to collect data logs for analytics

Azure Monitor es un portal de supervisión unificado de todos los registros de Azure AD, que proporciona conclusiones detalladas, análisis avanzados y aprendizaje automático inteligente.Azure Monitor is a unified monitoring portal for all Azure AD logs, which provides deep insights, advanced analytics, and smart machine learning. Con Azure Monitor, puede consumir métricas y registros en el portal y mediante las API para obtener una mayor visibilidad sobre el estado y el rendimiento de sus recursos.With Azure Monitor, you can consume metrics and logs within the portal and via APIs to gain more visibility into the state and performance of your resources. Proporciona una experiencia de panel único dentro del portal y al mismo tiempo ofrece la posibilidad de integrar una amplia variedad de productos mediante API y opciones de exportación de datos que admiten sistemas tradicionales de SIEM de terceros.It enables a single pane of glass experience within the portal while enabling a wide range of product integrations via APIs and data export options that support traditional third-party SIEM systems. Azure Monitor también ofrece la posibilidad de configurar reglas de alerta para recibir notificaciones o de realizar acciones automatizadas sobre problemas que afectan a los recursos.Azure Monitor also gives you the ability to configure alert rules to get notified or to take automated actions on issues impacting your resources.

Azure Monitor

Crear paneles personalizados para el personal directivo y sus ocupaciones diariasCreate custom dashboards for your leadership and your day to day

Las organizaciones que no tienen una solución SIEM pueden descargar el paquete de contenido de Power BI para Azure AD.Organizations that don't have a SIEM solution can download the Power BI Content Pack for Azure AD. El paquete de contenido de Power BI incluye informes pregenerados para ayudarle a comprender cómo los usuarios adoptan y usan características de Azure AD, lo que permite extraer conclusiones sobre todas las actividades dentro del directorio.The Power BI content pack contains pre-built reports to help you understand how your users adopt and use Azure AD features, which allows you to gain insights into all the activities within your directory. También puede crear su propio panel personalizado y compartirlo con su equipo de dirección para informar sobre las actividades diarias.You can also create your own custom dashboard and share with your leadership team to report on day-to-day activities. Los paneles son una excelente manera de supervisar el negocio y ver todas las métricas más importantes de un vistazo.Dashboards are a great way to monitor your business and see all of your most important metrics at a glance. Las visualizaciones de un panel pueden proceder de uno o varios conjuntos de datos subyacentes o de uno o varios informes subyacentes.The visualizations on a dashboard may come from one underlying dataset or many, and from one underlying report or many. En un panel se combinan datos locales y en la nube, de forma que se obtiene una vista consolidada con independencia de donde residan los datos.A dashboard combines on-premises and cloud data, providing a consolidated view regardless of where the data lives.

Panel personalizado de Power BI

Comprender los factores desencadenantes de las llamadas de soporte técnicoUnderstand your support call drivers

Al implementar una solución de identidad híbrida como se describe en este artículo, debería observar al final una reducción en las llamadas al servicio de soporte técnico.When you implement a hybrid identity solution as outlined in this article, you should ultimately notice a reduction in your support calls. Problemas comunes, como contraseñas olvidadas y bloqueos de cuentas se reducen mediante la implementación del autoservicio de restablecimiento de contraseña de Azure, mientras que la habilitación del autoservicio de acceso a las aplicaciones permite a los usuarios la detección automática y la solicitud de acceso a las aplicaciones sin depender del personal de TI.Common issues such as forgotten passwords and account lockouts are mitigated by implementing Azure's self-service password reset, while enabling self-service application access allows users to self-discover and request access to applications without relying on your IT staff.

Si no observa una reducción de las llamadas de soporte técnico, se recomienda analizar los factores que las desencadenan a fin de confirmar si SSPR o el autoservicio de acceso a las aplicaciones se han configurado correctamente o si hay algún otro problema que se pueda solucionar sistemáticamente.If you don't observe a reduction in support calls, we recommend that you analyze your support call drivers in an attempt to confirm if SSPR or self-service application access has been configured correctly or if there are any other new issues that can be systematically addressed.

"En nuestro recorrido por la transformación digital, necesitábamos un proveedor confiable de administración de identidades y acceso para facilitar la integración completa pero segura entre nosotros, los asociados y los proveedores de servicios en la nube, con la finalidad de obtener un ecosistema eficaz; Azure AD fue la mejor opción ya que nos ofrecía las funcionalidades y la visibilidad necesarias que nos permitían detectar los riesgos y responder a ellos"."In our digital transformation journey, we needed a reliable identity and access management provider to facilitate seamless yet secure integration between us, partners and cloud service providers, for an effective ecosystem; Azure AD was the best option offering us the needed capabilities and visibility that enabled us to detect and respond to risks." --- Aramex Yazan Almasri, director de seguridad de la información global en Aramex --- Yazan Almasri, Global Information Security Director, Aramex

Supervisar el uso de aplicaciones para extraer conclusionesMonitor your usage of apps to drive insights

Además de detectar la TI en la sombra, la supervisión del uso de las aplicaciones en la organización mediante Microsoft Cloud App Security puede ayudarles a medida que se mueve a la nube para aprovechar la promesa de las aplicaciones de esta plataforma.In addition to discovering Shadow IT, monitoring app usage across your organization using Microsoft Cloud App Security can help your organization as you move to take full advantage of the promise of cloud applications. También, le puede permitir tener el control de sus recursos gracias a la visibilidad mejorada sobre la actividad y al aumento de la protección de datos críticos en todas las aplicaciones en la nube.It can help keep you in control of your assets through improved visibility into activity and increase the protection of critical data across cloud applications. Supervisar el uso de las aplicaciones en su organización mediante MCAS puede ayudarle a responder a las preguntas siguientes:Monitoring app usage in your organization using MCAS can help you answer the following questions:

  • ¿Qué aplicaciones no autorizadas usan los empleados para almacenar los datos?What unsanctioned apps are employees using to store data in?
  • ¿Dónde y cuándo se almacenan los datos confidenciales en la nube?Where and when is sensitive data being stored in the cloud?
  • ¿Quién tiene acceso a datos confidenciales en la nube?Who is accessing sensitive data in the cloud?

"Con Cloud App Security, podemos detectar rápidamente anomalías y tomar medidas"."With Cloud App Security, we can quickly spot anomalies and take action." --- Eric LePenske, directivo superior de seguridad de la información en Accenture --- Eric LePenske, Senior Manager, Information Security, Accenture

ResumenSummary

Hay muchos aspectos que se deben tener en cuenta al implementar una solución de identidad híbrida, pero esta lista de comprobación de cuatro pasos le ayudará a lograr rápidamente una infraestructura de identidad que permita a los usuarios ser más productivos y seguros.There are many aspects to implementing a hybrid Identity solution, but this four-step checklist will help you quickly accomplish an identity infrastructure that will enable users to be more productive and secure.

  • Conexión fácil a las aplicacionesConnect to apps easily
  • Establecimiento de una identidad para cada usuario automáticamenteEstablish one identity for every user automatically
  • Capacitación a los usuarios de forma seguraEmpower your users securely
  • Operacionalización de las conclusionesOperationalize your insights

Esperamos que este documento sea una guía útil para establecer una buena base para la identidad en su organización.We hope this document is a useful roadmap to establishing a strong identity foundation for your organization.

Lista de comprobación de identidadIdentity checklist

Se recomienda imprimir la lista de comprobación siguiente como referencia cuando comience su viaje hacia una base de identidad más sólida en su organización.We recommend that you print the following checklist for reference as you begin your journey to a more solid identity foundation in your organization.

HoyToday

¿Ha acabado?Done? ElementoItem
Poner a prueba el autoservicio de restablecimiento de contraseña (SSPR) para un grupoPilot Self- Service Password Reset (SSPR) for a group
Supervisar los componentes híbridos mediante Azure AD Connect HealthMonitor hybrid components using Azure AD Connect Health
Asignar roles de administrador con menos privilegios para las operacionesAssign least privileged admin roles for operation
Detectar TI en la sombra con Microsoft Cloud App SecurityDiscover Shadow IT with Microsoft Cloud App Security
Usar Azure Monitor para recopilar registros de datos para el análisisUse Azure Monitor to collect data logs for analysis

Próximas dos semanasNext two weeks

¿Ha acabado?Done? ElementoItem
Poner una aplicación a disposición de los usuariosMake an app available for your users
Poner a prueba el aprovisionamiento de Azure AD para una aplicación SaaS de su elecciónPilot Azure AD provisioning for a SaaS app of choice
Configurar un servidor de ensayo para Azure AD Connect y mantenerlo actualizadoSetup a staging server for Azure AD Connect and keep it up-to-date
Iniciar la migración de aplicaciones de ADFS a Azure ADStart migrating apps from ADFS to Azure AD
Crear paneles personalizados para el personal directivo y sus ocupaciones diariasCreate custom dashboards for your leadership and your day to day

Próximo mesNext month

¿Ha acabado?Done? ElementoItem
Supervisar el uso de aplicaciones para extraer conclusionesMonitor your usage of apps to drive insights
Poner aprueba el acceso remoto seguro a las aplicacionesPilot secure remote access to apps
Garantizar que todos los usuarios están registrados en MFA y SSPREnsure all users are registered for MFA and SSPR
Habilitar la autenticación en la nubeEnable cloud authentication

Tres próximos mesesNext three months

¿Ha acabado?Done? ElementoItem
Habilitar el autoservicio de administración de aplicacionesEnable self-service app management
Habilitar la administración de grupos de autoservicioEnable self-service group management
Supervisar el uso de aplicaciones para extraer conclusionesMonitor your usage of apps to drive insights
Comprender los factores desencadenantes de las llamadas de soporte técnicoUnderstand your support call drivers

Pasos siguientesNext steps

Descubra cómo puede mejorar su posición de seguridad mediante las funcionalidades de Azure Active Directory y esta lista de comprobación de cinco pasos: Cinco pasos para asegurar su infraestructura de identidad.Learn how you can increase your secure posture using the capabilities of Azure Active Directory and this five-step checklist - Five steps to securing your identity infrastructure.

Conozca cómo las características de identidad de Azure AD pueden ayudarle a acelerar la transición a la administración regulada por la nube al proporcionar las soluciones y funcionalidades que permiten a las organizaciones adoptarla rápidamente y mover una mayor parte de administración de identidades desde sistemas tradicionales locales hasta Azure AD: Cómo Azure AD ofrece administración regulada por la nube para cargas de trabajo locales.Learn how the identity features in Azure AD can help you accelerate your transition to cloud governed management by providing the solutions and capabilities that allow organizations to quickly adopt and move more of their identity management from traditional on-premises systems to Azure AD - How Azure AD Delivers Cloud Governed Management for On-Premises Workloads.