Trabajo previo para implementar directivas de identidad de confianza cero y acceso a dispositivos
Se aplica a
En este artículo se describen los requisitos previos que los administradores deben cumplir para usar las directivas recomendadas de acceso a dispositivos y identidades de confianza cero y para usar el acceso condicional. También analiza los valores predeterminados recomendados para configurar plataformas cliente para la mejor experiencia de inicio de sesión único (SSO).
Requisitos previos
Antes de usar las directivas de identidad de confianza cero y acceso a dispositivos que se recomiendan, la organización debe cumplir los requisitos previos. Los requisitos son diferentes para los distintos modelos de identidad y autenticación enumerados:
- Solo de nube
- Híbrido con autenticación de sincronización de hash de contraseña (PHS)
- Híbrido con autenticación de paso a través (PTA)
- Federado
En la tabla siguiente se detallan las características de requisitos previos y su configuración que se aplican a todos los modelos de identidad, excepto donde se indica.
| Configuración | Excepciones | Licencias |
|---|---|---|
| Configurar PHS. Esto debe habilitarse para detectar credenciales filtradas y actuar sobre ellas para el acceso condicional basado en riesgos. Nota: Esto es necesario independientemente de si su organización usa la autenticación federada. | Solo de nube | Microsoft 365 E3 o E5 |
| Habilite el inicio de sesión único sin problemas para iniciar sesión automáticamente a los usuarios cuando estén en sus dispositivos de la organización conectados a la red de la organización. | Solo en la nube y federada | Microsoft 365 E3 o E5 |
| Configurar ubicaciones con nombre. Azure AD Identity Protection recopila y analiza todos los datos de sesión disponibles para generar una puntuación de riesgo. Se recomienda especificar los intervalos IP públicos de la organización para la red en la Azure AD de ubicaciones con nombre. El tráfico procedente de estos intervalos tiene una puntuación de riesgo reducida y el tráfico de fuera del entorno de la organización tiene una mayor puntuación de riesgo. | Microsoft 365 E3 o E5 | |
| Registrar todos los usuarios para el restablecimiento de contraseñas sin servicio (SSPR) y la autenticación multifactor (MFA). Se recomienda registrar usuarios para la Azure AD multifactor con antelación. Azure AD Identity Protection usa la Azure AD multifactor para realizar una comprobación de seguridad adicional. Además, para obtener la mejor experiencia de inicio de sesión, se recomienda que los usuarios instalen la aplicación Microsoft Authenticator y la aplicación Portal de empresa Microsoft en sus dispositivos. Se pueden instalar desde la tienda de aplicaciones para cada plataforma. | Microsoft 365 E3 o E5 | |
| Habilitar el registro automático de dispositivos de equipos unidos Windows dominio. El acceso condicional garantizará que los dispositivos que se conecten a aplicaciones estén unidos a un dominio o sean compatibles. Para permitir esto en equipos Windows, el dispositivo debe estar registrado con Azure AD. En este artículo se explica cómo configurar el registro automático de dispositivos. | Solo de nube | Microsoft 365 E3 o E5 |
| Preparar el equipo de soporte técnico. Tenga preparado un plan para los usuarios que no puedan completar MFA. Esto podría ser agregarlos a un grupo de exclusión de directivas o registrar nueva información de MFA para ellos. Antes de realizar cualquiera de estos cambios confidenciales de seguridad, debe asegurarse de que el usuario real realiza la solicitud. Un paso eficaz es exigir a los administradores de los usuarios que ayuden con la aprobación. | Microsoft 365 E3 o E5 | |
| Configurar la escritura diferida de contraseñas en AD local. La reescribición de contraseñas Azure AD requerir que los usuarios cambien sus contraseñas locales cuando se detecte un riesgo de cuenta de alto riesgo. Esta característica se puede habilitar Azure AD Conectar de dos maneras: habilitar la escritura de contraseña en la pantalla de características opcionales de la configuración de Azure AD Conectar o habilitarla a través de Windows PowerShell. | Solo de nube | Microsoft 365 E3 o E5 |
| Configurar Azure AD de contraseña. La protección de contraseñas de Azure AD detecta y bloquea las contraseñas que son conocidas por ser vulnerables y sus variantes. Además, también puede bloquear los términos vulnerables adicionales que sean específicos de su organización. Las listas de contraseñas desvetadas global predeterminada se aplican automáticamente a todos los usuarios de un inquilino de Azure AD. Se puede definir entradas adicionales en una lista personalizada de contraseñas prohibidas. Cuando los usuarios cambien o restablezcan sus contraseñas, estas listas de contraseñas prohibidas se comprueban para exigir el uso de contraseñas seguras. | Microsoft 365 E3 o E5 | |
| Habilitar Azure Active Directory de identidad. Azure AD Identity Protection le permite detectar posibles vulnerabilidades que afectan a las identidades de su organización y configurar una directiva de corrección automatizada en riesgo de inicio de sesión bajo, medio y alto y riesgo de usuario. | Microsoft 365 E5 o Microsoft 365 E3 con el complemento seguridad E5 | |
| Habilitar la autenticación moderna para Exchange Online y para Skype Empresarial Online. La autenticación moderna es un requisito previo para usar MFA. La autenticación moderna está habilitada de forma predeterminada para Office clientes de 2016 y 2019, SharePoint y OneDrive para la Empresa. | Microsoft 365 E3 o E5 | |
| Habilite la evaluación de acceso continua para Azure AD. La evaluación continua de acceso termina proactivamente las sesiones de usuario activas y aplica los cambios de directiva de inquilino en casi tiempo real. | Microsoft 365 E3 o E5 | |
Configuraciones de cliente recomendadas
En esta sección se describen las configuraciones de cliente de plataforma predeterminadas que se recomiendan para proporcionar la mejor experiencia de SSO a los usuarios, así como los requisitos previos técnicos para el acceso condicional.
Dispositivos Windows
Se recomienda Windows 11 o Windows 10 (versión 2004 o posterior), ya que Azure está diseñado para proporcionar la experiencia de SSO más fluida posible tanto para entornos locales como Azure AD. Los dispositivos de trabajo o emitidos por la escuela deben configurarse para unirse Azure AD directamente o si la organización usa una combinación de dominio de AD local, estos dispositivos deben configurarse para registrarse automáticamente y silenciosamente con Azure AD.
Para dispositivos Windows BYOD, los usuarios pueden usar Agregar cuenta de trabajo o escuela. Tenga en cuenta que los usuarios del explorador de Google Chrome en dispositivos Windows 11 o Windows 10 necesitan instalar una extensión para obtener la misma experiencia de inicio de sesión sin problemas que Microsoft Edge usuarios. Además, si su organización tiene dispositivos unidos a un dominio Windows 8 o 8.1, puede instalar Microsoft Workplace Join para equipos que no Windows 10 usuario. Descargue el paquete para registrar los dispositivos con Azure AD.
Dispositivos iOS
Se recomienda instalar la aplicación Microsoft Authenticator en dispositivos de usuario antes de implementar directivas de MFA o acceso condicional. Como mínimo, la aplicación debe instalarse cuando se pida a los usuarios que registren su dispositivo con Azure AD agregando una cuenta laboral o educativa, o cuando instalen la aplicación del portal de empresa de Intune para inscribir su dispositivo en la administración. Esto depende de la directiva de acceso condicional configurada.
dispositivos Android
Se recomienda que los usuarios instalen la Portal de empresa de Intune y la Microsoft Authenticator antes de implementar las directivas de acceso condicional o cuando sea necesario durante determinados intentos de autenticación. Después de la instalación de la aplicación, se puede pedir a los usuarios que se registren con Azure AD o que inscriban su dispositivo con Intune. Esto depende de la directiva de acceso condicional configurada.
También recomendamos que los dispositivos propiedad de la organización estén estandarizados en OEM y versiones compatibles con Android for Work o Samsung Knox para permitir cuentas de correo, administrarse y protegerse con la directiva MDM de Intune.
Clientes de correo electrónico recomendados
Los siguientes clientes de correo electrónico admiten la autenticación moderna y el acceso condicional.
| Plataforma | Cliente | Versión/Notas |
|---|---|---|
| Windows | Outlook | 2019, 2016, 2013 |
| iOS | Outlook para iOS | Más reciente |
| Android | Outlook para Android | Más reciente |
| macOS | Outlook | 2019 y 2016 |
| Linux | No compatible | |
Plataformas de cliente recomendadas para proteger documentos
Se recomiendan los siguientes clientes cuando se ha aplicado una directiva de documentos seguros.
| Plataforma | Word/Excel/PowerPoint | OneNote | Aplicación OneDrive | Aplicación SharePoint | Cliente de sincronización de OneDrive |
|---|---|---|---|---|---|
| Windows 11 o Windows 10 | Compatible | Compatible | N/D | N/D | Compatible |
| Windows 8.1 | Compatible | Compatible | N/D | N/D | Compatible |
| Android | Compatible | Compatible | Compatible | Compatible | No aplicable |
| iOS | Compatible | Compatible | Compatible | Compatible | No aplicable |
| macOS | Compatible | Compatible | N/D | N/D | No compatible |
| Linux | No se admite | No se admite | No se admite | No se admite | No se admite |
Soporte técnico para el cliente de Microsoft 365
Para obtener más información acerca de la compatibilidad de Microsoft 365, vea los siguientes artículos:
- Microsoft 365 de aplicaciones cliente: acceso condicional
- Microsoft 365 de aplicaciones cliente: autenticación multifactor
Protección de cuentas de administrador
Para Microsoft 365 E3 O E5 o con licencias Azure AD Premium P1 o P2 independientes, puede requerir MFA para cuentas de administrador con una directiva de acceso condicional creada manualmente. Consulte Acceso condicional: requerir MFA para administradores para obtener más información.
Para las ediciones de Microsoft 365 o Office 365 que no admiten el acceso condicional, puede habilitar los valores predeterminados de seguridad para requerir MFA para todas las cuentas.
Estas son algunas recomendaciones adicionales:
- Use Azure AD Privileged Identity Management para reducir el número de cuentas administrativas persistentes.
- Use la administración de acceso con privilegios para proteger su organización de infracciones que pueden usar cuentas de administrador con privilegios existentes con acceso permanente a datos confidenciales o acceso a opciones de configuración críticas.
- Cree y use cuentas independientes a las que se Microsoft 365 roles de administrador solo para la administración. Los administradores deben tener su propia cuenta de usuario para un uso normal no administrativo y usar solo una cuenta administrativa cuando sea necesario para completar una tarea asociada a su función o función de trabajo.
- Siga los procedimientos recomendados para proteger cuentas con privilegios en Azure AD.
Paso siguiente
Configurar las directivas comunes de acceso a dispositivos y identidad de confianza cero