Saltar al contenido

Seguridad de Microsoft 365 y Entra ID

Los inquilinos de Microsoft 365 y el sistema de autenticación subyacente Entra ID (Azure AD) disponen de muchas opciones de configuración diferentes para permitir que su empresa implemente diferentes niveles de seguridad. Muchas de estas opciones no están activadas de forma predeterminada. Si bien este documento no cubre todas las opciones de seguridad disponibles, ni analiza otras tecnologías como la administración de dispositivos y la prevención de pérdida de datos (DLP), ofrece una orientación a nuestros clientes sobre la configuración recomendada que ayudará a mejorar la protección de identidades y reducir la estafa por correo electrónico corporativo comprometido (BEC).

La guía cubre dos secciones: la configuración recomendada y la configuración opcional. Instamos a todos los clientes a implementar la configuración recomendada. También le sugerimos que considere e investigue la configuración opcional y la aplique según sea conveniente para su entorno.

Cualquier cambio en su entorno que esté considerando debe revisarse y probarse en su organización después de consultar la documentación adecuada de Microsoft. Le recomendamos que haga cualquier cambio en lotes, utilizando cuentas de prueba, usuarios piloto y departamentos pequeños antes de aplicarlos a toda la organización. Asegúrese de tener una cuenta de acceso de emergencia disponible, como se documenta a continuación, para evitar ser bloqueado.

Orientación sobre licencias

Algunos de los elementos de configuración que se detallan a continuación están disponibles en todos los inquilinos de M365, independientemente de las licencias que se utilicen. Sin embargo, la mayoría requerirá al menos que las licencias 'Entra ID P1' estén disponibles en su inquilino y algunos requieren licencias 'Entra ID P2'. 'Entra ID P1' está incluido en los paquetes de M365 Business Premium E3/A3, con licencias 'Entra ID P2' disponibles en paquetes de M365 E5/A5.

Si no está usando licencias que incluyen al menos licencias 'Entra ID P1', entonces le recomendamos encarecidamente el uso de los 'valores predeterminados de seguridad' de Microsoft. Es un conjunto básico de políticas de seguridad controladas por Microsoft. Consulte Proporcionar un nivel de seguridad predeterminado en Microsoft Entra ID - Microsoft Entra.

Al integrar alertas de Microsoft al servicio de Sophos MDR, 'Entra ID P1' es la licencia mínima que debe usar, sin embargo le recomendamos el uso de 'Entra ID P2', debido a la mayor cantidad de alertas generadas por Microsoft. Consulte estos artículos para ver ejemplos de estas alertas:

Le recomendamos que solicite información adicional sobre licencias a su especialista en licencias de Microsoft.

Elementos de la configuración recomendada

- **Reemplazar 'Valores predeterminados de seguridad' con políticas de acceso condicional** --- Al usar licencias 'Entra ID P1' y posteriores, podrá crear políticas de acceso condicional personalizadas para mejorar su seguridad. Para crear estas políticas, deberá desactivar 'Valores predeterminados de seguridad' y crear políticas de acceso condicional a partir de plantillas de Microsoft que le permitirán aplicar MFA. Asegúrese de excluir cualquier cuenta o grupo de 'Acceso de emergencia' al crear estas políticas. **Ubicación**: - Entra ID > Resumen > Propiedades - Entra ID > Proteger y asegurar > Acceso condicional **Referencias**: - Plantillas de acceso condicional: - [Bloquear la autenticación heredada: Bloquear la autenticación heredada con acceso condicional - Microsoft Entra ID](https://docs.microsoft.com/es-es/azure/active-directory/conditional-access/howto-conditional-access-policy-block-legacy) - [Requerir MFA para administradores: Requerir MFA para administradores con acceso condicional - Microsoft Entra ID](https://docs.microsoft.com/es-es/azure/active-directory/conditional-access/howto-conditional-access-policy-admin-mfa) - [Requerir MFA para Azure Management: Requerir MFA para la Azure Management con acceso condicional - Microsoft Entra ID](https://docs.microsoft.com/es-es/azure/active-directory/conditional-access/howto-conditional-access-policy-azure-management) - [Requerir MFA para todos los usuarios: Requerir MFA para todos los usuarios con acceso condicional - Microsoft Entra ID](https://docs.microsoft.com/es-es/azure/active-directory/conditional-access/howto-conditional-access-policy-all-users-mfa) - Guía sobre las políticas de acceso condicional: - [Planificar una implementación de acceso condicional de Microsoft Entra - Microsoft Entra ID](https://docs.microsoft.com/es-es/azure/active-directory/conditional-access/plan-conditional-access#follow-best-practices) - [Ayuda para la cuenta de trabajo o escuela - Soporte técnico de Microsoft](https://docs.microsoft.com/azure/active-directory/user-help/) - [Cómo ejecutar una campaña de registro para configurar Microsoft Authenticator - Microsoft Entra ID](https://docs.microsoft.com/es-es/azure/active-directory/authentication/how-to-mfa-registration-campaign)
  • Requerir MFA para registrarse o unirse a dispositivos


    Esto garantiza que los usuarios que intentan unir nuevos dispositivos Windows a Entra ID deben realizar la autenticación multifactor.

    Ubicación: Entra ID > Proteger y asegurar > Acceso condicional

    • Nombre: Requerir MFA para registrarse o unirse a dispositivos.
    • Usuarios: Todos los usuarios, asegúrese de excluir cualquier cuenta o grupo de 'Acceso de emergencia'.
    • Aplicaciones o acciones en la nube: Acciones de usuarios > Registrarse o unirse a dispositivos.
    • Condiciones: Ninguna.
    • Controles de acceso > Conceder: Requerir autenticación multifactor.
  • Permitir solo inicios de sesión desde países autorizados


    Recomendamos reducir el riesgo de compromiso de cuentas limitando el número de países desde los cuales los usuarios pueden iniciar sesión en su entorno. Si no tiene personal que viaje al extranjero, impida que la totalidad de los usuarios de su organización acceda a su entorno fuera de su país de origen. Si tiene usuarios que viajan, estas políticas se pueden implementar por grupos. Por ejemplo, puede permitir el acceso desde todos los países, o un subconjunto de países para un grupo específico de usuarios que viajan, o dividir a los usuarios en regiones geográficas, limitando su acceso por región.

    Esto se logra mediante el uso de políticas de acceso condicional. Cree una lista de ubicaciones con nombre, por ejemplo, "Países permitidos" y añada los países a los que desea tener acceso. A continuación, cree una política de acceso condicional para bloquear el acceso de todos los usuarios y todas las aplicaciones en la nube, excluyendo "Países permitidos" y "Usuarios o grupos de emergencia".

    Aviso

    Pruebe esta política cuidadosamente antes de aplicarla a todos los usuarios.

    Ubicación: Entra ID > Proteger y asegurar > Acceso condicional

  • Bloquear usuarios de alto riesgo


    El nivel de riesgo del usuario de M365 es una característica que ayuda a determinar el riesgo de una cuenta de usuario en Entra ID. Forma parte de Entra ID Identity Protection y se realiza mediante el análisis de varias señales de la cuenta de usuario, como direcciones IP, estado del dispositivo, actividad sospechosa y credenciales comprometidas conocidas.

    El nivel de riesgo del usuario se divide en tres categorías:

    • Riesgo bajo: Las cuentas de usuario de riesgo bajo se consideran legítimas.
    • Riesgo medio: Las cuentas de usuario de riesgo medio pueden ser legítimas pero también son más propensas a verse comprometidas o atacadas por un ciberdelincuente.
    • Riesgo alto: Las cuentas de usuario de riesgo alto se consideran comprometidas.

    Recomendamos bloquear las cuentas de usuario que se consideren de riesgo alto y requerir un cambio de contraseña seguro en un usuario considerado de riesgo medio.

    Ubicación: Entra ID > Proteger y asegurar > Acceso condicional

    Referencia:

- **Bloquear los inicios de sesión de riesgo alto** --- El nivel de riesgo de inicio de sesión M365 es una característica que ayuda a determinar el riesgo de un intento de inicio de sesión individual para Entra ID. Forma parte de Entra ID Identity Protection y analiza múltiples señales como parte del proceso de inicio de sesión para determinar el nivel de riesgo. El nivel de riesgo de inicio de sesión se divide en tres categorías: - **Riesgo bajo**: Los intentos de inicio de sesión de riesgo bajo se consideran legítimos. - **Riesgo medio**: Los intentos de inicio de sesión de riesgo medio pueden ser legítimos pero también son más propensos a verse comprometidos o atacados por un ciberdelincuente. - **Riesgo alto**: Los intentos de inicio de sesión de riesgo alto se consideran comprometidos. Recomendamos bloquear los intentos de inicio de sesión que se consideran de riesgo alto y requerir MFA en los inicios de sesión de riesgo medio. **Ubicación**: Entra ID > Proteger y asegurar > Acceso condicional **Referencia**: - [Políticas de acceso basadas en riesgos para la protección Microsoft Entra ID - Protección Microsoft Entra ID](https://learn.microsoft.com/es-es/azure/active-directory/identity-protection/concept-identity-protection-policies#sign-in-risk-based-conditional-access-policy)

Elementos de la configuración opcional

  • Cuentas de acceso de emergencia


    Microsoft recomienda cuentas de administrador de acceso de emergencia que estén excluidas de las políticas de acceso condicional. Estas cuentas deben tener el rol de "administrador global", estar protegidas con contraseñas extremadamente largas y complejas, guardarse en un almacén de contraseñas seguro y utilizarse solo para emergencias.

    Referencia:

- **Configurar las políticas de caducidad de contraseña** --- Asegúrese de que la caducidad de su contraseña está en consonancia con la política corporativa y los requisitos de cumplimiento. !!! note "Nota" Microsoft recomienda que las contraseñas se establezcan en "Nunca caduca" si MFA se aplica en toda la organización. **Ubicación**: Centro de administración de Microsoft 365 > Configuración > Seguridad y privacidad
  • Administrar el consentimiento y los permisos de la aplicación


    De forma predeterminada, todos los usuarios pueden conceder permisos a aplicaciones y complementos de terceros. Esto puede ser peligroso, ya que los ciberdelincuentes pueden crear aplicaciones maliciosas y enviar correos electrónicos de phishing a los usuarios pidiéndoles que proporcionen acceso no intencionado a sus buzones y archivos. Recomendamos limitar esto a editores de confianza o bloquearlo, requiriendo el consentimiento del administrador.

    Ubicación: Entra ID > Aplicaciones > Aplicaciones empresariales > Consentimiento y permisos

    Referencia:

- **Requerir MFA para invitados** --- Recomendamos requerir MFA para invitados a los que se les permita acceder a los recursos dentro de su entorno con el objetivo de reducir la posibilidad de que se pueda acceder a sus datos desde una cuenta de terceros comprometida. Esto se puede implementar usando una plantilla de política de acceso condicional. **Ubicación**: Entra ID > Proteger y asegurar > Acceso condicional