Confianza cero plan de implementación con Microsoft 365

En este artículo se proporciona un plan de implementación para crear Confianza cero seguridad con Microsoft 365. Confianza cero es un nuevo modelo de seguridad que supone una infracción y comprueba cada solicitud como si se originase en una red no controlada. Independientemente de dónde se origine la solicitud o del recurso al que acceda, el modelo de Confianza cero nos enseña a "no confiar nunca, comprobar siempre".

Use este artículo junto con este póster.

Elemento Descripción
Ilustración del plan de implementación de Microsoft 365 Confianza cero.
PDF | Visio
Actualizado en marzo de 2024
Guías de soluciones relacionadas

arquitectura de seguridad de Confianza cero

Un enfoque de Confianza cero se extiende por todo el patrimonio digital y actúa como una filosofía de seguridad integrada y una estrategia integral.

En esta ilustración se proporciona una representación de los elementos principales que contribuyen a Confianza cero.

La arquitectura de seguridad Confianza cero

En la ilustración:

  • La aplicación de directivas de seguridad está en el centro de una arquitectura de Confianza cero. Esto incluye la autenticación multifactor con acceso condicional que tiene en cuenta el riesgo de la cuenta de usuario, el estado del dispositivo y otros criterios y directivas que establezca.
  • Las identidades, los dispositivos, los datos, las aplicaciones, la red y otros componentes de infraestructura están configurados con la seguridad adecuada. Las directivas que se configuran para cada uno de estos componentes se coordinan con la estrategia general de Confianza cero. Por ejemplo, las directivas de dispositivo determinan los criterios para los dispositivos en buen estado y las directivas de acceso condicional requieren dispositivos en buen estado para el acceso a aplicaciones y datos específicos.
  • La protección contra amenazas y la inteligencia supervisan el entorno, exponen los riesgos actuales y toman medidas automatizadas para corregir los ataques.

Para obtener más información sobre Confianza cero, consulte el Centro de orientación de Confianza cero de Microsoft.

Implementación de Confianza cero para Microsoft 365

Microsoft 365 se ha creado intencionadamente con muchas funcionalidades de seguridad y protección de la información para ayudarle a crear Confianza cero en su entorno. Muchas de las funcionalidades se pueden ampliar para proteger el acceso a otras aplicaciones SaaS que usa su organización y los datos de estas aplicaciones.

Esta ilustración representa el trabajo de implementación de funcionalidades de Confianza cero. Este trabajo se divide en unidades de trabajo que se pueden configurar conjuntamente, empezando desde la parte inferior y trabajando hasta la parte superior para asegurarse de que el trabajo previo está completo.

Diagrama que muestra la pila de implementación de Microsoft 365 Confianza cero.

En esta ilustración:

  • Confianza cero comienza con una base de protección de dispositivos e identidades.
  • Las funcionalidades de protección contra amenazas se basan en esta base para proporcionar supervisión y corrección en tiempo real de las amenazas de seguridad.
  • La protección de la información y la gobernanza proporcionan controles sofisticados dirigidos a tipos específicos de datos para proteger su información más valiosa y ayudarle a cumplir con los estándares de cumplimiento, incluida la protección de la información personal.

En este artículo se supone que usa la identidad en la nube. Si necesita instrucciones para este objetivo, consulte Implementación de la infraestructura de identidad para Microsoft 365.

Sugerencia

Cuando comprenda los pasos y el proceso de implementación de un extremo a otro, puede usar la guía de implementación avanzada Configurar el modelo de seguridad de Microsoft Confianza cero al iniciar sesión en el Centro de administración de Microsoft 365. Esta guía le guiará a través de la aplicación de principios de Confianza cero para los pilares de tecnología estándar y avanzada. Para recorrer la guía sin iniciar sesión, vaya al portal de instalación de Microsoft 365.

Paso 1: Configurar Confianza cero identidad y protección de acceso a dispositivos: Directivas de punto de inicio

El primer paso consiste en crear la base de Confianza cero mediante la configuración de la protección de identidad y acceso a dispositivos.

Diagrama que muestra el proceso para configurar Confianza cero protección de acceso a dispositivos e identidades.

Vaya a Confianza cero protección de identidad y acceso a dispositivos para obtener instrucciones prescriptivas detalladas. En esta serie de artículos se describe un conjunto de configuraciones de requisitos previos de acceso a dispositivos e identidades y un conjunto de Microsoft Entra acceso condicional, Microsoft Intune y otras directivas para proteger el acceso a Microsoft 365 para aplicaciones y servicios en la nube empresariales, otros servicios SaaS y aplicaciones locales publicadas con Microsoft Entra aplicación proxy.

Incluye Requisitos previos No incluye
Directivas de acceso a dispositivos e identidades recomendadas para tres niveles de protección:
  • Punto de inicio
  • Enterprise (recomendado)
  • Especializado

Recomendaciones adicionales para:
  • Usuarios externos (invitados)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
Microsoft E3 o E5

Microsoft Entra ID en cualquiera de estos modos:
  • Solo de nube
  • Autenticación híbrida con sincronización de hash de contraseña (PHS)
  • Híbrido con autenticación de paso a través (PTA)
  • Federado
Inscripción de dispositivos para directivas que requieren dispositivos administrados. Consulte el paso 2. Administración de puntos de conexión con Intune para inscribir dispositivos

Para empezar, implemente el nivel de punto inicial. Estas directivas no requieren la inscripción de dispositivos en la administración.

Diagrama que muestra las directivas de identidad y acceso de Confianza cero para el nivel de punto inicial

Paso 2: Administración de puntos de conexión con Intune

A continuación, inscriba los dispositivos en la administración y comience a protegerlos con controles más sofisticados.

Diagrama que muestra el elemento Administrar puntos de conexión con Intune.

Consulte Administración de dispositivos con Intune para obtener instrucciones prescriptivas detalladas.

Incluye Requisitos previos No incluye
Inscribir dispositivos con Intune:
  • Dispositivos de propiedad corporativa
  • Autopilot/automatizado
  • inscripción

Configurar directivas:
  • Directivas de App Protection
  • Directivas de cumplimiento
  • Directivas de perfil de dispositivo
Registro de puntos de conexión con Microsoft Entra ID Configuración de funcionalidades de protección de la información, entre las que se incluyen:
  • Tipos de información confidencial
  • Etiquetas
  • Directivas DLP

Para obtener estas funcionalidades, consulte el paso 5. Proteger y controlar la información confidencial (más adelante en este artículo).

Para obtener más información, consulte Confianza cero para Microsoft Intune.

Paso 3: Agregar Confianza cero identidad y protección de acceso a dispositivos: Directivas empresariales

Con los dispositivos inscritos en la administración, ahora puede implementar el conjunto completo de directivas de acceso a dispositivos e identidades de Confianza cero recomendadas, que requieren dispositivos compatibles.

Las directivas de identidad y acceso de Confianza cero con la administración de dispositivos

Vuelva a Las directivas comunes de acceso a dispositivos e identidades y agregue las directivas en el nivel Enterprise.

Diagrama en el que se muestran las directivas de identidad y acceso de Confianza cero para el nivel Enterprise (recomendado).

Paso 4: Evaluación, prueba piloto e implementación de Microsoft Defender XDR

Microsoft Defender XDR es una solución de detección y respuesta extendida (XDR) que recopila, correlaciona y analiza automáticamente datos de señales, amenazas y alertas de todo el entorno de Microsoft 365, incluidos los puntos de conexión, el correo electrónico, las aplicaciones y las identidades.

Proceso de adición de Microsoft Defender XDR a la arquitectura de Confianza cero

Vaya a Evaluación y Microsoft Defender XDR piloto para obtener una guía metódica para probar e implementar componentes de Microsoft Defender XDR.

Incluye Requisitos previos No incluye
Configure el entorno piloto y de evaluación para todos los componentes:
  • Defender for Identity
  • Defender para Office 365
  • Defender para punto de conexión
  • Microsoft Defender for Cloud Apps

Protección contra amenazas

Investigar y responder a amenazas
Consulte las instrucciones para obtener información sobre los requisitos de arquitectura de cada componente de Microsoft Defender XDR. Protección de Microsoft Entra ID no se incluye en esta guía de solución. Se incluye en el paso 1. Configure Confianza cero protección de identidad y acceso a dispositivos.

Para obtener más información, consulte estos artículos de Confianza cero adicionales:

Paso 5: Protección y control de datos confidenciales

Implemente Microsoft Purview Information Protection para ayudarle a detectar, clasificar y proteger información confidencial dondequiera que viva o viaje.

Microsoft Purview Information Protection funcionalidades se incluyen con Microsoft Purview y le proporcionan las herramientas para conocer los datos, proteger los datos y evitar la pérdida de datos.

Funcionalidades de protección de la información que protegen los datos mediante la aplicación de directivas

Aunque este trabajo se representa en la parte superior de la pila de implementación ilustrada anteriormente en este artículo, puede comenzar este trabajo en cualquier momento.

Microsoft Purview Information Protection proporciona un marco, un proceso y funcionalidades que puede usar para lograr sus objetivos empresariales específicos.

Microsoft Purview Information Protection

Para obtener más información sobre cómo planear e implementar la protección de la información, consulte Implementación de una solución de Microsoft Purview Information Protection.

Si va a implementar la protección de la información para las regulaciones de privacidad de datos, esta guía de solución proporciona un marco recomendado para todo el proceso: Implementar la protección de la información para las regulaciones de privacidad de datos con Microsoft 365.