Planificar una implementación de protección de Id.

Protección de id. de Microsoft Entra detecta riesgos basados en identidades, los informa y permite a los administradores investigar y corregir estos riesgos para mantener a las organizaciones seguras y protegidas. Los datos de riesgos se pueden insertar posteriormente en herramientas como Acceso condicional para tomar decisiones de acceso o alimentar una herramienta de administración de eventos e información de seguridad (SIEM) para realizar análisis y una investigación más detallada.

Este plan de implementación amplía los conceptos mencionados en el plan de implementación de acceso condicional.

Requisitos previos

• Un inquilino de Microsoft Entra en funcionamiento con Microsoft Entra ID P2 o una licencia de prueba habilitada. Si es preciso, cree una cuenta gratuita.
• Los administradores que interactúan con Protección de id. deben tener asignados uno o varios de los siguientes roles en función de las tareas que realicen. Para seguir el principio de Confianza cero de privilegios mínimos, considere la posibilidad de usar Privileged Identity Management (PIM) para activar las asignaciones de roles con privilegios cuando es necesario.
  • Lea las directivas y opciones de configuración de Protección de id. y acceso condicional
    • Lector de seguridad
    • Lector global
  • Administración de Protección de id.
    • Operador de seguridad
    • Administrador de seguridad
  • Creación o modificación de directivas de acceso condicional
    • Administrador de acceso condicional
    • Administrador de seguridad
• Un usuario de prueba que no sea administrador para comprobar que las directivas funcionan según lo previsto antes de que se implementen en los usuarios reales. Si necesita crear un usuario, consulte Inicio rápido: Agregar nuevos usuarios a Microsoft Entra ID.
• Grupo al que pertenece el usuario. Para crear un grupo, consulte Crear un grupo y agregar miembros en Microsoft Entra ID.

Interactuar con las partes interesadas adecuadas

Cuando fracasan los proyectos tecnológicos, por lo general, se debe a expectativas incorrectas relacionadas con su efecto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de involucrar a las partes interesadas correctas y que los roles de las partes interesadas en el proyecto se entiendan bien; para ello, documente las partes interesadas y sus aportes y responsabilidades en el proyecto.

Comunicación del cambio

La comunicación es fundamental para el éxito de cualquier nueva funcionalidad. Debería comunicar de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si experimentan cualquier problema.

Paso 1: Revisar los informes existentes

Es importante revisar los informes de Protección de id. antes de implementar directivas de acceso condicional basadas en riesgos. Esta revisión ofrece la oportunidad de investigar cualquier comportamiento sospechoso existente. Puedes optar por descartar el riesgo o confirmar que estos usuarios son seguros si determinas que no están en riesgo.

• Investigación de detecciones de riesgos
• Corregir riesgos y desbloquear usuarios
• Realizar cambios masivos con PowerShell de Microsoft Graph

Para mejorar la eficacia, se recomienda permitir que los usuarios puedan realizar correcciones por su cuenta mediante directivas que se describen en el paso 3.

Paso 2: Planear directivas de riesgo de acceso condicional

La protección de Id. envía señales de riesgo al acceso condicional para tomar decisiones y aplicar las directivas de la organización. Estas directivas pueden requerir que los usuarios realicen la autenticación multifactor o el cambio de contraseña seguro. Hay varios elementos que las organizaciones deben planificar antes de crear sus directivas.

Exclusiones de directivas

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a errores de configuración de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional asignadas a los usuarios. Usa el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas.

Autenticación multifactor

Sin embargo, para que los usuarios corrijan el riesgo por su cuenta, deben registrarse para la autenticación multifactor de Microsoft Entra antes de que sean estos usuarios quienes representen un riesgo. Para más información, consulte el artículo Planear una implementación de autenticación multifactor de Microsoft Entra.

Ubicaciones de red conocidas

Es importante configurar ubicaciones con nombre en el acceso condicional y agregar los intervalos de VPN a Defender for Cloud Apps. Los inicios de sesión de ubicaciones con nombre, marcados como de confianza o conocidos, mejoran la precisión de los cálculos de riesgo de protección de Id. Estos inicios de sesión reducen el riesgo de un usuario cuando se autentican desde una ubicación marcada como de confianza o conocida. Esta práctica reduce los falsos positivos para algunas detecciones en su entorno.

Modo de solo informe

El modo de solo informe es un nuevo estado de la directiva de acceso condicional que permite a los administradores evaluar el impacto de las directivas de acceso condicional antes de habilitarlas en su entorno.

Paso 3: Configurar las directivas

Directiva de registro de MFA de protección de Id.

Usa la directiva de registro de MFA de protección de Id. para ayudar a que los usuarios se registren para la autenticación multifactor de Microsoft Entra antes de que necesiten usarla. Siga los pasos del artículo Instrucciones: Configuración de la directiva de registro de MFA de Microsoft Entra para habilitar esta directiva.

Directivas de acceso condicional

Riesgo de inicio de sesión: La mayoría de los usuarios tienen un comportamiento normal al que se puede dar seguimiento, pero cuando se salen de esta norma, podría ser peligroso permitirles que inicien sesión sin ninguna restricción. Tal vez quieras bloquear a ese usuario o solicitarle que realice una autenticación multifactor para demostrar que realmente es quien dice ser. Para empezar, debes definir el ámbito de estas directivas en un subconjunto de los usuarios.

Riesgo de usuario: Microsoft trabaja con investigadores, cuerpos legales, varios equipos de seguridad de Microsoft y otros orígenes de confianza para buscar pares de nombre de usuario y contraseña filtrados. Cuando se detectan estos usuarios en riesgo, se recomienda requerir que los usuarios realicen la autenticación multifactor y luego restablezcan su contraseña.

En el artículo Configuración y habilitación de directivas de riesgo, se proporcionan instrucciones para crear directivas de acceso condicional para abordar estos riesgos.

Paso 4: Supervisión y necesidades operativas continuas

Notificaciones por correo electrónico

Habilita las notificaciones para que puedas responder cuando un usuario esté marcado como en riesgo. Estas notificaciones te permiten empezar a investigar inmediatamente. También puede configurar correos electrónicos de resumen semanales que le ofrecen información general del riesgo de esa semana.

Supervisión e investigación

El libro de análisis de impacto de las directivas de acceso basado en riesgos ayuda a los administradores a comprender el impacto del usuario antes de crear directivas de acceso condicional basadas en riesgos.

El libro de protección de Id. puede ayudar a supervisar y buscar patrones en el inquilino. Supervise este libro para ver las tendencias y también los resultados del modo de solo informe del acceso condicional para ver si hay cambios que deben realizarse, por ejemplo, adiciones a ubicaciones con nombre.

Microsoft Defender for Cloud Apps proporciona un marco de investigación que las organizaciones pueden usar como punto de partida. Para más información, consulte el artículo Instrucciones para investigar las alertas de detección de anomalías.

También puede usar las API de Protección de id. para exportar información de riesgo a otras herramientas, por lo que el equipo de seguridad puede supervisar y alertar sobre eventos de riesgo.

Durante las pruebas, es posible que desee simular algunas amenazas para probar los procesos de investigación.

Pasos siguientes

¿Qué es el riesgo?