Seguridad de Microsoft 365 y Entra ID
Los inquilinos de Microsoft 365 y el sistema de autenticación subyacente Entra ID (Azure AD) disponen de muchas opciones de configuración diferentes para permitir que su empresa implemente diferentes niveles de seguridad. Muchas de estas opciones no están activadas de forma predeterminada. Si bien este documento no cubre todas las opciones de seguridad disponibles, ni analiza otras tecnologías como la administración de dispositivos y la prevención de pérdida de datos (DLP), ofrece una orientación a nuestros clientes sobre la configuración recomendada que ayudará a mejorar la protección de identidades y reducir la estafa por correo electrónico corporativo comprometido (BEC).
La guía cubre dos secciones: la configuración recomendada y la configuración opcional. Instamos a todos los clientes a implementar la configuración recomendada. También le sugerimos que considere e investigue la configuración opcional y la aplique según sea conveniente para su entorno.
Cualquier cambio en su entorno que esté considerando debe revisarse y probarse en su organización después de consultar la documentación adecuada de Microsoft. Le recomendamos que haga cualquier cambio en lotes, utilizando cuentas de prueba, usuarios piloto y departamentos pequeños antes de aplicarlos a toda la organización. Asegúrese de tener una cuenta de acceso de emergencia disponible, como se documenta a continuación, para evitar ser bloqueado.
Orientación sobre licencias
Algunos de los elementos de configuración que se detallan a continuación están disponibles en todos los inquilinos de M365, independientemente de las licencias que se utilicen. Sin embargo, la mayoría requerirá al menos que las licencias 'Entra ID P1' estén disponibles en su inquilino y algunos requieren licencias 'Entra ID P2'. 'Entra ID P1' está incluido en los paquetes de M365 Business Premium E3/A3, con licencias 'Entra ID P2' disponibles en paquetes de M365 E5/A5.
Si no está usando licencias que incluyen al menos licencias 'Entra ID P1', entonces le recomendamos encarecidamente el uso de los 'valores predeterminados de seguridad' de Microsoft. Es un conjunto básico de políticas de seguridad controladas por Microsoft. Consulte Proporcionar un nivel de seguridad predeterminado en Microsoft Entra ID - Microsoft Entra.
Al integrar alertas de Microsoft al servicio de Sophos MDR, 'Entra ID P1' es la licencia mínima que debe usar, sin embargo le recomendamos el uso de 'Entra ID P2', debido a la mayor cantidad de alertas generadas por Microsoft. Consulte estos artículos para ver ejemplos de estas alertas:
- Políticas de alertas de Microsoft 365
- ¿Cuáles son los riesgos en la protección de Microsoft Entra ID - Protección de Microsoft Entra ID
Le recomendamos que solicite información adicional sobre licencias a su especialista en licencias de Microsoft.
Elementos de la configuración recomendada
-
Aplicar principios del privilegio mínimo
Utilice cuentas de administrador y roles RBAC separados para limitar los privilegios de administrador. Conceda solo los roles requeridos para la función del cargo. Microsoft recomienda un máximo de cinco cuentas de administrador globales. No reutilice las credenciales de administrador para diferentes dominios o servicios.
Impacto: Los usuarios solo deben tener acceso a las áreas permitidas para las funciones de su cargo. Los administradores deben usar cuentas separadas.
Ubicación: Entra ID > Roles y administradores
Referencias:
-
Configurar métodos de autenticación
Este ajuste configura los métodos de autenticación disponibles para que los usuarios accedan al entorno. Recomendamos configurar al menos Microsoft Authenticator, correo electrónico con código de acceso de un solo uso y pase de acceso temporal, y desactivar la llamada al teléfono como opción.
Ubicación: Entra ID > Proteger y asegurar > Métodos de autenticación > Políticas
Referencias:
- Cómo funciona la coincidencia de números en las notificaciones push de autenticación multifactor para Microsoft Authenticator - Microsoft Entra ID
- Controlar el registro de información de seguridad con acceso condicional - Microsoft Entra ID
- Inicio de sesión sin contraseña con Microsoft Authenticator - Microsoft Entra ID
-
Requerir MFA para registrarse o unirse a dispositivos
Esto garantiza que los usuarios que intentan unir nuevos dispositivos Windows a Entra ID deben realizar la autenticación multifactor.
Ubicación: Entra ID > Proteger y asegurar > Acceso condicional
- Nombre: Requerir MFA para registrarse o unirse a dispositivos.
- Usuarios: Todos los usuarios, asegúrese de excluir cualquier cuenta o grupo de 'Acceso de emergencia'.
- Aplicaciones o acciones en la nube: Acciones de usuarios > Registrarse o unirse a dispositivos.
- Condiciones: Ninguna.
- Controles de acceso > Conceder: Requerir autenticación multifactor.
-
Permitir solo inicios de sesión desde países autorizados
Recomendamos reducir el riesgo de compromiso de cuentas limitando el número de países desde los cuales los usuarios pueden iniciar sesión en su entorno. Si no tiene personal que viaje al extranjero, impida que la totalidad de los usuarios de su organización acceda a su entorno fuera de su país de origen. Si tiene usuarios que viajan, estas políticas se pueden implementar por grupos. Por ejemplo, puede permitir el acceso desde todos los países, o un subconjunto de países para un grupo específico de usuarios que viajan, o dividir a los usuarios en regiones geográficas, limitando su acceso por región.
Esto se logra mediante el uso de políticas de acceso condicional. Cree una lista de ubicaciones con nombre, por ejemplo, "Países permitidos" y añada los países a los que desea tener acceso. A continuación, cree una política de acceso condicional para bloquear el acceso de todos los usuarios y todas las aplicaciones en la nube, excluyendo "Países permitidos" y "Usuarios o grupos de emergencia".
Aviso
Pruebe esta política cuidadosamente antes de aplicarla a todos los usuarios.
Ubicación: Entra ID > Proteger y asegurar > Acceso condicional
-
Bloquear usuarios de alto riesgo
El nivel de riesgo del usuario de M365 es una característica que ayuda a determinar el riesgo de una cuenta de usuario en Entra ID. Forma parte de Entra ID Identity Protection y se realiza mediante el análisis de varias señales de la cuenta de usuario, como direcciones IP, estado del dispositivo, actividad sospechosa y credenciales comprometidas conocidas.
El nivel de riesgo del usuario se divide en tres categorías:
- Riesgo bajo: Las cuentas de usuario de riesgo bajo se consideran legítimas.
- Riesgo medio: Las cuentas de usuario de riesgo medio pueden ser legítimas pero también son más propensas a verse comprometidas o atacadas por un ciberdelincuente.
- Riesgo alto: Las cuentas de usuario de riesgo alto se consideran comprometidas.
Recomendamos bloquear las cuentas de usuario que se consideren de riesgo alto y requerir un cambio de contraseña seguro en un usuario considerado de riesgo medio.
Ubicación: Entra ID > Proteger y asegurar > Acceso condicional
Referencia:
Elementos de la configuración opcional
-
Cuentas de acceso de emergencia
Microsoft recomienda cuentas de administrador de acceso de emergencia que estén excluidas de las políticas de acceso condicional. Estas cuentas deben tener el rol de "administrador global", estar protegidas con contraseñas extremadamente largas y complejas, guardarse en un almacén de contraseñas seguro y utilizarse solo para emergencias.
Referencia:
-
Administrar el consentimiento y los permisos de la aplicación
De forma predeterminada, todos los usuarios pueden conceder permisos a aplicaciones y complementos de terceros. Esto puede ser peligroso, ya que los ciberdelincuentes pueden crear aplicaciones maliciosas y enviar correos electrónicos de phishing a los usuarios pidiéndoles que proporcionen acceso no intencionado a sus buzones y archivos. Recomendamos limitar esto a editores de confianza o bloquearlo, requiriendo el consentimiento del administrador.
Ubicación: Entra ID > Aplicaciones > Aplicaciones empresariales > Consentimiento y permisos
Referencia: