Paso 2: Configurar Microsoft Entra ID: Básico

El núcleo para administrar la autenticación y el acceso es usar Microsoft Entra ID. En este artículo se describen los pasos básicos de configuración de Microsoft Entra ID y las consideraciones para configurar Microsoft Entra ID después de cada paso.

Roles y responsabilidades

  • TI Administración
  • Administración de identidad

Pasos de configuración iniciales para Microsoft Entra ID: Básico

Para configurar Microsoft Entra ID, abra la guía de configuración de Microsoft Entra ID.

  1. Microsoft Entra ID cuentas de licencia y administrador

    Microsoft Entra ID ofrece varias opciones de licencia para satisfacer diferentes necesidades organizativas:

    • licencia de Microsoft Entra ID

      • Microsoft Entra ID gratis: se incluye con suscripciones en la nube de Microsoft como Azure y Microsoft 365. Proporciona características básicas de administración de identidades y acceso.
      • Microsoft Entra ID P1: disponible como producto independiente o incluido con Microsoft 365 E3 y Business Premium. Ofrece características avanzadas de administración de identidades, incluido el acceso condicional y el autoservicio de restablecimiento de contraseña.
      • Microsoft Entra ID P2: disponible como un producto independiente o incluido con Microsoft 365 E5. Incluye todas las características P1, además de la protección avanzada de identidades y la administración de identidades con privilegios.

    • cuentas de Administración: las cuentas Administración de Microsoft Entra ID son fundamentales para administrar y proteger la infraestructura de identidad de su organización. Estos son los tipos clave de roles de administrador:

      • Administrador global: Tiene acceso a todas las características administrativas de Microsoft Entra ID y otros servicios de Microsoft.
      • Administrador de usuarios: Puede administrar usuarios y grupos, incluido el restablecimiento de contraseñas y la supervisión del estado del servicio.
      • Administrador de seguridad: Administra características relacionadas con la seguridad, incluido el acceso condicional y la protección de identidades.
      • Administrador de roles con privilegios: Administra las asignaciones de roles en Microsoft Entra Privileged Identity Management (PIM) y puede activar roles.

  2. Autenticación, inicio de sesión único y acceso a la aplicación

    Microsoft Entra ID proporciona características sólidas de autenticación, inicio de sesión único (SSO) y administración del acceso a aplicaciones para mejorar la seguridad y la experiencia del usuario.

    • Autenticación: Microsoft Entra ID admite varios métodos de autenticación para garantizar un acceso seguro:
      • Autenticación basada en contraseña: Los usuarios inician sesión con su nombre de usuario y contraseña.
      • Autenticación multifactor (MFA): Agrega una capa adicional de seguridad al requerir métodos de verificación adicionales, como una llamada telefónica, un mensaje de texto o una notificación de aplicación.
      • Autenticación sin contraseña: Usa métodos como Windows Hello, claves de seguridad FIDO2 o la aplicación Microsoft Authenticator para iniciar sesión sin una contraseña.
    • Single Sign-On (SSO): el inicio de sesión único permite a los usuarios acceder a varias aplicaciones con un único conjunto de credenciales, lo que reduce la fatiga de las contraseñas y mejora la seguridad. Microsoft Entra ID admite varios métodos de SSO:
      • Sso federado: Usa protocolos como SAML, WS-Federation o OpenID Connect para autenticar a los usuarios en distintos sistemas.
      • Inicio de sesión único basado en contraseña: Almacena y reproduce nombres de usuario y contraseñas para aplicaciones que no admiten protocolos de autenticación modernos.
      • Inicio de sesión único basado en vinculado: Redirige a los usuarios a la página de inicio de sesión de la aplicación y los inicia automáticamente.
    • Acceso a aplicaciones: Microsoft Entra ID simplifica la administración del acceso a aplicaciones:
      • Aplicaciones empresariales: Integre miles de aplicaciones preconfiguradas desde la galería de aplicaciones de Microsoft Entra para el inicio de sesión único.
      • Acceso condicional: Cree directivas para controlar el acceso en función de condiciones como la ubicación del usuario, el estado del dispositivo y el nivel de riesgo.
      • Aplicaciones Portal: proporciona una ubicación centralizada para que los usuarios accedan a sus aplicaciones y administren sus credenciales.

  3. Administración e identidad híbrida

    Microsoft Entra ID administración implica la administración de identidades, acceso y seguridad dentro de la organización. Estos son algunos aspectos clave:

    • Administración de usuarios y grupos:
      • Agregar y administrar usuarios: cree, actualice y elimine cuentas de usuario.
      • Administración de grupos: organice los usuarios en grupos para facilitar la administración y el control de acceso.
    • Access Control basado en rol (RBAC):
      • Asignar roles: use roles predefinidos o cree roles personalizados para delegar permisos.
      • Privileged Identity Management (PIM): administre, controle y supervise el acceso dentro de su organización para reducir el riesgo de permisos de acceso excesivos, innecesarios o mal utilizados.
    • Seguridad y cumplimiento:
      • Acceso condicional: implemente directivas para controlar el acceso en función de condiciones como la ubicación del usuario, el estado del dispositivo y el nivel de riesgo.
      • Identity Protection: detecte y responda a riesgos basados en identidades mediante el aprendizaje automático y el análisis de comportamiento.
    • Supervisión e informes:
      • Registros de auditoría: realice un seguimiento de los cambios y los eventos de acceso.
      • Registros de inicio de sesión: supervise los inicios de sesión de usuario para detectar actividad inusual.

  4. Autoservicio de usuario final

    Microsoft Entra ID ofrece varias características de autoservicio para capacitar a los usuarios y reducir la carga del soporte técnico de TI. Estas son algunas funcionalidades clave de autoservicio:

    • Autoservicio de restablecimiento de contraseña (SSPR): los usuarios pueden restablecer sus contraseñas sin necesidad de ponerse en contacto con el departamento de soporte técnico. Esta característica se puede configurar para requerir varios métodos de autenticación para agregar seguridad.
    • Aplicaciones Portal: el portal de Aplicaciones es una ubicación centralizada donde los usuarios pueden detectar y administrar sus aplicaciones. Proporciona acceso de inicio de sesión único (SSO) a todas las aplicaciones que necesitan, lo que facilita su búsqueda y uso.
    • Portal de mi cuenta : este portal permite a los usuarios administrar su propia información de identidad, incluida la actualización de los detalles de contacto de seguridad y la administración de sus métodos de autenticación.
    • Mis inicios de sesión : los usuarios pueden ver su historial de inicio de sesión y supervisar cualquier actividad sospechosa. Si observan algo inusual, pueden notificarlo directamente a través del portal.
    • Mi acceso : desde el portal Mi acceso, los usuarios pueden solicitar acceso a aplicaciones y servicios, administrar sus paquetes de acceso y ver el estado de sus solicitudes.

    Ventajas del autoservicio

    • Carga de trabajo de TI reducida: Al permitir que los usuarios administren sus propias cuentas y acceso, el número de llamadas del departamento de soporte técnico se puede reducir considerablemente.
    • Seguridad mejorada: Los usuarios pueden actualizar rápidamente su configuración de seguridad y supervisar su propia actividad, lo que ayuda a detectar y responder a posibles amenazas más rápido.
    • Experiencia de usuario mejorada: Los portales de autoservicio proporcionan una manera cómoda y eficaz para que los usuarios administren su acceso e información de identidad.

Consideraciones locales e híbridas

  1. Microsoft Entra ID Connect (Sincronización) para el inicio de sesión único (SSO)

    Para habilitar Single Sign-On (SSO) con Microsoft Entra ID, puede usar Microsoft Entra Connect o Microsoft Entra Cloud Sync. Esta es una guía paso a paso para configurar el inicio de sesión único:

    • Uso de Microsoft Entra Connect

      • Instale Microsoft Entra Connect:
        • Descargue la versión más reciente de Microsoft Entra Connect desde el Centro de administración Microsoft Entra.
        • Ejecute el instalador y siga el asistente de instalación para configurar la sincronización entre el Active Directory local (AD) y Microsoft Entra ID.

    • Habilitación del inicio de sesión único de conexión directa:

      • Abra la herramienta Microsoft Entra Connect y vaya a la sección Tareas adicionales.
      • Seleccione Configurar inicio de sesión único de conexión directa y siga las indicaciones para habilitarlo.

    • Configuración de la autenticación:

      • Elija el método de autenticación preferido (sincronización de hash de contraseña, autenticación Pass-Through o federación).
      • Asegúrese de que el entorno cumple los requisitos previos para el método elegido.

    • Comprobación de la configuración:

      • Inicie sesión en el Centro de administración Microsoft Entra.
      • Vaya a Administración > híbrida de identidades > Microsoft Entra Connect > Connect Sync.
      • Compruebe que sso de conexión directa esté establecido en Habilitado.

  2. Microsoft Entra ID Conectar (sincronizar) con identidades en la nube

    • Configuración de Cloud Sync:
      • Inicie sesión en el Centro de administración Microsoft Entra.
      • Vaya a Administración híbrida de > identidades > Microsoft Entra Cloud Sync.
      • Siga el asistente de instalación para configurar la sincronización entre ad local y Microsoft Entra ID.
    • Habilitación del inicio de sesión único de conexión directa:
      • Descargue y extraiga los archivos necesarios para el inicio de sesión único de conexión directa.
      • Importe el módulo de PowerShell sso de conexión directa y habilite la característica para los bosques de AD mediante comandos de PowerShell.
    • Comprobación de la configuración:
      • Asegúrese de que el inicio de sesión único de conexión directa está habilitado y funciona correctamente comprobando el estado en el Centro de administración Microsoft Entra.

    Ventajas del inicio de sesión único con Microsoft Entra ID

    • Experiencia de usuario mejorada: Los usuarios pueden acceder a varias aplicaciones con un único conjunto de credenciales, lo que reduce la necesidad de recordar varias contraseñas.
    • Seguridad mejorada: La autenticación centralizada y las directivas de acceso condicional ayudan a protegerse frente al acceso no autorizado.
    • Administración simplificada: Los administradores pueden administrar la configuración de autenticación y acceso de usuario desde una única plataforma.

  3. Asociaciones de acceso seguro

    Microsoft Entra ID colabora con varios asociados para mejorar el acceso seguro a las aplicaciones, especialmente para entornos híbridos y heredados. Estos son algunos aspectos clave de estas asociaciones:

    • Acceso híbrido seguro: Microsoft Entra ID permite el acceso híbrido seguro mediante la integración con soluciones de asociados para proteger las aplicaciones locales y en la nube. Esto incluye lo siguiente:
      • Application Proxy: proporciona acceso remoto seguro a aplicaciones web locales sin necesidad de una VPN. Los usuarios pueden conectarse a aplicaciones desde cualquier dispositivo mediante el inicio de sesión único (SSO) y la autenticación multifactor (MFA).
      • Acceso condicional: permite a las organizaciones aplicar directivas que controlan el acceso en función de la ubicación del usuario, el estado del dispositivo y el nivel de riesgo.
    • Integraciones de asociados : Microsoft colabora con varios asociados para ofrecer soluciones pregeneradas para un acceso híbrido seguro. Estos asociados ayudan a integrar aplicaciones locales y heredadas con Microsoft Entra ID, lo que garantiza que puedan usar métodos de autenticación modernos, como SSO y MFA. Algunos asociados importantes incluyen:
      • Akamai Technologies: proporciona soluciones para integrar el inicio de sesión único con Microsoft Entra ID.
      • Banyan Security, Datawiza Access Broker y CheckPoint Harmony: ofrecen soluciones de acceso híbrido seguras para admitir aplicaciones heredadas.

    Ventajas de las integraciones de asociados

    • Seguridad mejorada: al integrarse con asociados de confianza, las organizaciones pueden garantizar un acceso seguro a las aplicaciones, protegiendo a los usuarios, las aplicaciones y los datos tanto en la nube como en el entorno local.
    • Administración simplificada: las soluciones de asociados ayudan a simplificar la administración de entornos híbridos, lo que facilita la implementación y aplicación de directivas de seguridad.
    • estrategia de Confianza cero: estas integraciones admiten la adopción de principios de Confianza cero, lo que garantiza que todas las solicitudes de acceso se autentiquen, autoricen y cifren.

  4. Control de acceso basado en roles (RBAC)

    Microsoft Entra ID usa el control de acceso basado en rol (RBAC) para administrar los permisos y el acceso a los recursos.

    • Conceptos clave
      • Asignaciones de roles: vinculan una definición de rol a un usuario, grupo o entidad de servicio en un ámbito específico (por ejemplo, recursos específicos o de toda la organización) para conceder acceso1.
      • Definiciones de roles: hay roles integrados con permisos predefinidos y roles personalizados que puede adaptar para satisfacer necesidades específicas1.
      • Ámbitos: defina el conjunto de recursos a los que puede acceder el miembro de rol. Los ámbitos comunes incluyen objetos específicos o de toda la organización, como aplicaciones.
    • Tipos de roles
      • Roles integrados: vienen con un conjunto fijo de permisos y no se pueden modificar.
      • Roles personalizados: puede crearlos seleccionando permisos de una lista preestablecida y asignándolos a usuarios o grupos.
    • Aplicación de RBAC
      • Roles de aplicación: defina roles para las aplicaciones y asígnelos a usuarios o grupos. Estos roles se incluyen en tokens de seguridad y ayudan a tomar decisiones de autorización.
      • Grupos de seguridad: use grupos para administrar el acceso, donde las pertenencias a grupos se interpretan como pertenencias a roles.

Aprovisionamiento de usuarios y grupos

  1. Administración de usuarios

    El aprovisionamiento de usuarios en Microsoft Entra ID implica la creación automática, el mantenimiento y la eliminación de identidades de usuario y roles en varias aplicaciones a las que los usuarios necesitan acceso. Este es un desglose de cómo funciona:

    • Aspectos clave del aprovisionamiento de usuarios
      • Aprovisionamiento automático: este proceso usa el protocolo System for Cross-Domain Identity Management (SCIM) 2.0 para automatizar la creación, actualización y eliminación de cuentas de usuario en aplicaciones en la nube1. Esto garantiza que las identidades de usuario se administren de forma coherente en distintos sistemas.
      • HR-Driven Aprovisionamiento: cuando se agrega un nuevo empleado al sistema de RR. HH., su cuenta de usuario se crea automáticamente en Microsoft Entra ID, Active Directory y otras aplicaciones necesarias2. Esto también incluye la actualización de atributos de usuario y la deshabilitación de cuentas cuando los empleados abandonan la organización.
      • Aprovisionamiento de aplicaciones: se refiere a la creación automática de identidades de usuario y roles específicamente para aplicaciones en la nube. Incluye el mantenimiento y la eliminación de estas identidades a medida que cambian los estados de usuario o los roles.
      • Aprovisionamiento de directorios: esto implica la sincronización de identidades de usuario entre directorios locales y Microsoft Entra ID, lo que garantiza una identidad unificada en ambos entornos.
    • Flujo de trabajo de aprovisionamiento
      • Aprovisionamiento saliente: desde Microsoft Entra ID a aplicaciones SaaS, creando y administrando cuentas de usuario en función de los cambios en Microsoft Entra ID.
      • Aprovisionamiento entrante: desde sistemas de RR. HH. hasta Microsoft Entra ID, lo que garantiza que las nuevas contrataciones y los cambios en el estado de los empleados se reflejen en las cuentas de usuario.
    • Seguridad y cumplimiento
      • Cifrado: todos los datos de aprovisionamiento se cifran mediante HTTPS TLS 1.2 para garantizar una comunicación segura entre Microsoft Entra ID y los puntos de conexión de la aplicación.
      • Autorización: se requieren credenciales para conectar Microsoft Entra ID a la API de administración de usuarios de la aplicación, lo que garantiza un acceso seguro y autorizado.

  2. Administración de grupos

    El aprovisionamiento de grupos en Microsoft Entra ID permite administrar y automatizar la creación, el mantenimiento y la eliminación de pertenencias a grupos en varias aplicaciones y directorios.

    • Características clave
      • Aprovisionamiento automático de grupos: con una licencia Microsoft Entra ID P1 o P2, puede usar grupos para asignar acceso a aplicaciones SaaS. El servicio de aprovisionamiento agrega o quita automáticamente los usuarios de estas aplicaciones en función de sus pertenencias a grupos.
      • Sincronización de grupos: puede configurar el aprovisionamiento de grupos para sincronizar las pertenencias a grupos entre Microsoft Entra ID y Active Directory local. Esto garantiza que las pertenencias a grupos sean coherentes en ambos entornos.
      • Protocolo SCIM: el protocolo System for Cross-Domain Identity Management (SCIM) se usa para automatizar el aprovisionamiento y desaprovisionamiento de pertenencias a grupos en aplicaciones en la nube.
    • Pasos de configuración
      • Inicio de sesión: acceda a la Centro de administración Microsoft Entra con los privilegios administrativos adecuados.
      • Vaya a Aprovisionamiento: vaya a Administración > híbrida de identidades > Microsoft Entra Conectar > sincronización en la nube.
      • Crear configuración: seleccione Nueva configuración y elija Microsoft Entra ID para la sincronización de AD.
      • Establecer ámbito de aprovisionamiento: defina el ámbito para sincronizar solo los usuarios y grupos asignados.

    Ventajas : eficiencia: automatiza las tareas repetitivas, lo que reduce la sobrecarga administrativa. - Coherencia: garantiza que las pertenencias a grupos estén actualizadas en todos los sistemas conectados. - Seguridad: ayuda a mantener el principio de privilegios mínimos al garantizar que los usuarios tengan acceso adecuado en función de sus pertenencias a grupos.

Autenticación multifactor y acceso condicional

  1. La autenticación multifactor (MFA) Microsoft Entra ID la autenticación multifactor (MFA) mejora la seguridad al requerir a los usuarios que proporcionen varias formas de comprobación durante el inicio de sesión.

    • Funcionamiento: Microsoft Entra MFA requiere dos o más de los siguientes métodos de autenticación:

      • Algo que sabe: normalmente una contraseña.
      • Algo que tiene: un dispositivo de confianza como un teléfono o una clave de hardware.
      • Algo que usted es: biometría como una huella digital o un examen facial.

    • Métodos de verificación disponibles

      • Microsoft Authenticator: una aplicación móvil que proporciona una segunda capa de seguridad.
      • Authenticator Lite (en Outlook): una versión simplificada de Microsoft Authenticator.
      • Windows Hello para empresas: usa opciones de inicio de sesión biométrico.
      • Passkey (FIDO2): método de autenticación basado en hardware.
      • Autenticación basada en certificados: usa certificados digitales.
      • Tokens de hardware y software oath: tokens de contraseña de un solo uso.
      • SMS y llamada de voz: envía un código a través de un mensaje de texto o una llamada telefónica.

    • Habilitación de MFA

      • Valores predeterminados de seguridad: habilite rápidamente MFA para todos los usuarios que usan valores predeterminados de seguridad en Microsoft Entra inquilinos2.
      • Directivas de acceso condicional: cree directivas para requerir MFA para eventos de inicio de sesión específicos o grupos de usuarios.

    Ventajas : mayor seguridad: reduce el riesgo de acceso no autorizado mediante la adición de capas de verificación. - Flexibilidad: admite varios métodos de autenticación para satisfacer las diferentes necesidades del usuario. - Facilidad de uso: integrado en el proceso de inicio de sesión Microsoft Entra, lo que hace que sea fácil para los usuarios

  2. Sin contraseña

    Microsoft Entra ID ofrece varios métodos de autenticación sin contraseña para mejorar la seguridad y la comodidad del usuario mediante la eliminación de la necesidad de contraseñas.

    • Métodos de autenticación sin contraseña

      • Windows Hello para empresas: usa biometría (huella digital o reconocimiento facial) o un PIN vinculado al dispositivo del usuario. Este método es ideal para usuarios con equipos Windows dedicados.
      • Microsoft Authenticator: esta aplicación móvil proporciona autenticación basada en claves. Los usuarios pueden iniciar sesión mediante la aprobación de una notificación en su dispositivo, mediante un PIN o una verificación biométrica.
      • Claves de seguridad FIDO2: estos dispositivos de hardware usan criptografía de clave pública para proporcionar una autenticación segura. Los usuarios pueden autenticarse insertando la clave en un puerto USB o tocando en un lector NFC.
      • autenticación Certificate-Based: usa certificados digitales para autenticar a los usuarios, a menudo en entornos en los que las tarjetas inteligentes ya están en uso.

    • Ventajas de la autenticación sin contraseña

      • Seguridad mejorada: reduce el riesgo de ataques relacionados con suplantación de identidad (phishing) y contraseña.
      • Comodidad del usuario: simplifica el proceso de inicio de sesión mediante la eliminación de la necesidad de recordar y administrar contraseñas.
      • Cumplimiento: ayuda a cumplir los requisitos normativos para una autenticación segura.

    • Configuración de la autenticación sin contraseña

      • Habilitar inicio de sesión sin contraseña: en el Centro de administración Microsoft Entra, vaya a la directiva de métodos de autenticación y habilite los métodos sin contraseña deseados.
      • Registro de usuarios: los usuarios deben registrar sus dispositivos o métodos (por ejemplo, configurar Windows Hello, registrar la aplicación Authenticator) a través de la página de información de seguridad.
      • Directivas de acceso condicional: configure directivas para aplicar la autenticación sin contraseña para escenarios o grupos de usuarios específicos.

  3. Protección y administración de contraseñas globales (solo usuarios en la nube)

    Microsoft Entra ID ofrece sólidas características globales de administración y protección de contraseñas para mejorar la seguridad de los usuarios en la nube.

    • Características clave
      • Lista global de contraseñas prohibidas: Microsoft Entra ID aplica automáticamente una lista global de contraseñas prohibidas a todos los usuarios. Esta lista se actualiza continuamente en función de la telemetría de seguridad para bloquear las contraseñas débiles de uso frecuente y sus variantes.
      • Lista de contraseñas prohibidas personalizadas: las organizaciones pueden definir sus propias listas de contraseñas prohibidas personalizadas para bloquear términos específicos que son débiles o relevantes para su entorno1.
      • Protección contra ataques por difusión de contraseñas: el sistema detecta y bloquea los intentos de usar contraseñas comunes en varias cuentas, lo que protege frente a ataques de difusión de contraseñas.
      • Listas de contraseñas en peligro de terceros: Microsoft Entra ID pueden integrarse con servicios de terceros para bloquear las contraseñas que se han visto comprometidas en infracciones de datos.
    • Funcionamiento
      • Cambio y restablecimiento de contraseña: cuando los usuarios cambian o restablecen sus contraseñas, el sistema comprueba la nueva contraseña en las listas de contraseñas prohibidas globales y personalizadas para asegurarse de que cumple los estándares de seguridad.
      • No se necesita configuración: la lista global de contraseñas prohibidas se aplica automáticamente y no se puede deshabilitar, lo que garantiza una protección coherente entre todos los usuarios.
    • Ventajas
      • Seguridad mejorada: al bloquear contraseñas débiles y en peligro, el sistema reduce significativamente el riesgo de acceso no autorizado.
      • Facilidad de uso: los usuarios se guían para crear contraseñas más seguras sin necesidad de configuración adicional por parte de los administradores.
      • Cumplimiento: ayuda a las organizaciones a cumplir los estándares de seguridad y los requisitos normativos para la administración de contraseñas.

  4. Acceso condicional

    Microsoft Entra ID acceso condicional es una característica eficaz que ayuda a las organizaciones a aplicar directivas de seguridad basadas en condiciones específicas. El acceso condicional es un enfoque basado en directivas que evalúa varias señales para tomar decisiones sobre cómo conceder o denegar el acceso a los recursos. Es un componente principal del modelo de seguridad Confianza cero de Microsoft.

    • Componentes clave
      • Señales: estas son las condiciones que evalúan las directivas de acceso condicional, como la identidad del usuario, el cumplimiento de dispositivos, la ubicación y el nivel de riesgo1.
      • Directivas: estas son las reglas que definen qué acciones realizar en función de las señales evaluadas. Las directivas se pueden configurar para requerir autenticación multifactor (MFA), bloquear el acceso o conceder acceso con restricciones.
    • Casos de uso comunes
      • Requerir MFA para todos los usuarios: aplique MFA para todos los usuarios que acceden a aplicaciones confidenciales.
      • Bloquear el acceso desde ubicaciones que no son de confianza: denegar el acceso desde ubicaciones geográficas o intervalos IP específicos.
      • Cumplimiento de dispositivos: asegúrese de que solo los dispositivos compatibles puedan acceder a los recursos corporativos.
    • Configuración del acceso condicional
      • Definir condiciones: especifique las señales que se van a evaluar, como grupos de usuarios, ubicaciones, dispositivos y aplicaciones.
      • Configurar controles de acceso: decida qué acciones realizar cuando se cumplan las condiciones, como requerir MFA o bloquear el acceso.
      • Habilitar directiva: pruebe la directiva con un grupo pequeño antes de implementarla en toda la organización para asegurarse de que funciona según lo esperado.
    • Ventajas
      • Seguridad mejorada: protege contra el acceso no autorizado mediante la evaluación de varios factores antes de conceder acceso.
      • Flexibilidad: permite un control pormenorizado sobre el acceso en función de varias condiciones.
      • Cumplimiento: ayuda a cumplir los requisitos normativos mediante la aplicación de controles de acceso estrictos.

Gobierno de identidad

  1. Aprovisionamiento automatizado de usuarios en aplicaciones SaaS

    El aprovisionamiento automatizado de usuarios en Microsoft Entra ID simplifica el proceso de administración de identidades de usuario y roles en varias aplicaciones SaaS.

    • Características clave
      • Creación automática de usuarios: cuando se agrega un nuevo usuario a Microsoft Entra ID, su cuenta se crea automáticamente en aplicaciones SaaS conectadas, como Salesforce, ServiceNow y Dropbox.
      • Mantenimiento y Novedades: el servicio de aprovisionamiento mantiene actualizada la información del usuario en todas las aplicaciones. Si cambia el rol o el estado de un usuario, estas actualizaciones se reflejan automáticamente en las aplicaciones conectadas.
      • Desaprovisionamiento: cuando un usuario deja la organización o ya no necesita acceso, sus cuentas en las aplicaciones SaaS se deshabilitan o quitan automáticamente.
    • Pasos de configuración
      • Inicio de sesión: acceda a la Centro de administración Microsoft Entra con los privilegios administrativos adecuados.
      • Vaya a Aplicaciones empresariales Aplicaciones > de identidad > Aplicaciones > empresariales Aplicaciones empresariales.
      • Seleccione Aplicación: elija la aplicación SaaS que desea configurar para el aprovisionamiento.
      • Vaya a la pestaña Aprovisionamiento y establezca modo de aprovisionamiento en Automático.
      • Administración Credenciales: proporcione las credenciales de administrador necesarias para conectar Microsoft Entra ID a la API de administración de usuarios de la aplicación.
      • Asignación y ámbito: defina los atributos de usuario y el ámbito del aprovisionamiento (por ejemplo, grupos específicos o todos los usuarios).
    • Ventajas
      • Eficiencia: reduce el esfuerzo manual necesario para administrar cuentas de usuario en varias aplicaciones.
      • Coherencia: garantiza que la información del usuario sea coherente y actualizada en todos los sistemas conectados.
      • Seguridad: elimina automáticamente el acceso de los usuarios que ya no lo necesitan, lo que reduce el riesgo de acceso no autorizado.

Generación de informes y registro de eventos

  1. Informes básicos de seguridad y uso

    Microsoft Entra ID proporciona varios informes básicos de seguridad y uso para ayudarle a supervisar y administrar el entorno de forma eficaz.

    • Informes clave
      • Informe de inicios de sesión: este informe proporciona información detallada sobre los inicios de sesión de usuario, incluido el estado (correcto o erróneo), la ubicación y la aplicación a la que se accede. Ayuda a identificar patrones de inicio de sesión inusuales y posibles riesgos de seguridad.
      • Registros de auditoría: estos registros capturan todos los cambios realizados en los recursos de Microsoft Entra ID, como las actividades de administración de usuarios y grupos. Son esenciales para realizar un seguimiento de las acciones administrativas y garantizar el cumplimiento1.
      • Informe de uso e información: este informe ofrece una vista centrada en la aplicación de los datos de inicio de sesión, incluidos los métodos de autenticación usados, los inicios de sesión de la entidad de servicio y la actividad de credenciales de la aplicación. Le ayuda a comprender cómo los usuarios acceden a las aplicaciones e identificar posibles problemas.
      • Actividad de métodos de autenticación: en este informe se muestra cómo se usan los distintos métodos de autenticación dentro de la organización. Incluye datos sobre el registro y el uso de métodos como MFA, inicios de sesión sin contraseña y mucho más.
    • Acceso a informes
      • Microsoft Entra Administración Center: inicie sesión en el centro de administración y vaya a > Identity Monitoring & health > Usage & insights para acceder a estos informes.
      • Microsoft Graph API: también puede consultar estos informes mediante programación mediante microsoft Graph API para obtener informes e integración más personalizados con otras herramientas.
    • Ventajas
      • Seguridad mejorada: al supervisar las actividades y los cambios de inicio de sesión, puede detectar y responder rápidamente a posibles amenazas de seguridad.
      • Cumplimiento: los registros de auditoría y los informes detallados ayudan a cumplir los requisitos normativos y las directivas internas.
      • Conclusiones operativas: los informes de uso proporcionan información valiosa sobre cómo interactúan los usuarios con las aplicaciones, lo que ayuda a optimizar la asignación de recursos y la experiencia del usuario.

  2. La conectividad de administración de eventos e información de seguridad (SIEM) Microsoft Entra ID se integra con las herramientas de administración de eventos e información de seguridad (SIEM) para ayudarle a supervisar y analizar eventos de seguridad.

    • Pasos para integrar con SIEM
      • Creación de un centro de eventos de Azure: este es el primer paso para transmitir los registros de Microsoft Entra. Event Hub actúa como una canalización para enviar registros a la herramienta SIEM.
      • Configuración de la configuración de diagnóstico:
        • Inicie sesión en el Centro de administración Microsoft Entra.
        • Vaya a Supervisión de identidades > & configuración de diagnóstico de estado>.
        • Seleccione + Agregar configuración de diagnóstico para crear una nueva integración o Editar configuración para una existente.
        • Escriba un nombre para la configuración de diagnóstico.
        • Seleccione las categorías de registro que desea transmitir (por ejemplo, AuditLogs, Inicios de sesión).
        • Compruebe la opción Stream a un centro de eventos.
        • Elija la suscripción Azure y el espacio de nombres de Event Hubs.
    • Configuración de la integración de la herramienta SIEM:
      • Una vez que los registros se transmiten al centro de eventos, configure la herramienta SIEM para recopilar estos registros.
      • Las herramientas SIEM admitidas incluyen Splunk, SumoLogic y ArcSight.
      • Siga los pasos de integración específicos de la herramienta SIEM, como instalar el complemento Splunk para Microsoft Cloud Services o configurar SumoLogic para recopilar registros.
    • Ventajas
      • Supervisión centralizada: consolide los registros de varios orígenes para una supervisión de seguridad completa.
      • Seguridad mejorada: detecte y responda a los incidentes de seguridad de forma más eficaz mediante el análisis de registros en tiempo real.
      • Cumplimiento: ayuda a cumplir los requisitos normativos mediante el mantenimiento de registros detallados de eventos de seguridad.

Pasos siguientes

El siguiente paso consiste en tener en cuenta qué aplicaciones de identidad desea usar.

Siguiente: Considere los pasos de identidad de educación>

  • Last updated on