Trabajo de requisitos previos para implementar directivas de acceso a dispositivos y identidades de Confianza cero

En este artículo se describen los requisitos previos que deben cumplir los administradores para usar las directivas de acceso a dispositivos y identidades de Confianza cero recomendadas y para usar el acceso condicional. También se describen los valores predeterminados recomendados para configurar plataformas cliente para obtener la mejor experiencia de inicio de sesión único (SSO).

Requisitos previos

Antes de usar las directivas de acceso a dispositivos y identidades de Confianza cero recomendadas, la organización debe cumplir los requisitos previos. Los requisitos son diferentes para los distintos modelos de identidad y autenticación enumerados:

  • Solo de nube
  • Híbrido con autenticación de sincronización de hash de contraseñas (PHS)
  • Híbrido con autenticación de paso a través (PTA)
  • Federado

En la tabla siguiente se detallan las características de requisitos previos y su configuración que se aplican a todos los modelos de identidad, excepto donde se indique.

Configuración Excepciones Licencias
Configurar PHS. Esta característica debe estar habilitada para detectar credenciales filtradas y actuar sobre ellas para el acceso condicional basado en riesgos. Tenga en cuenta que esto es necesario independientemente de si la organización usa la autenticación federada. Solo de nube Microsoft 365 E3 o E5
Habilitar el inicio de sesión único de conexión directa para iniciar sesión automáticamente a los usuarios cuando están en sus dispositivos de la organización conectados a la red de la organización. Solo en la nube y federado Microsoft 365 E3 o E5
Configurar las ubicaciones con nombre. Microsoft Entra ID Protection recopila y analiza todos los datos de sesión disponibles para generar una puntuación de riesgo. Se recomienda que especifique los intervalos de IP públicas de su organización para la red en la configuración de ubicaciones con nombre de Microsoft Entra ID. El tráfico procedente de estos intervalos recibe una puntuación de riesgo reducida y el tráfico procedente de fuera del entorno de la organización recibe una puntuación de riesgo mayor. Microsoft 365 E3 o E5
Registrar todos los usuarios para el autoservicio de restablecimiento de contraseña (SSPR) y la autenticación multifactor (MFA). Se recomienda registrar usuarios para la autenticación multifactor de Microsoft Entra con antelación. Microsoft Entra ID Protection usa la autenticación multifactor de Microsoft Entra para realizar una comprobación de seguridad adicional. Además, para obtener la mejor experiencia de inicio de sesión, se recomienda que los usuarios instalen la aplicación Microsoft Authenticator y la aplicación Portal de empresa de Microsoft en sus dispositivos. Se pueden instalar desde la tienda de aplicaciones para cada plataforma. Microsoft 365 E3 o E5
Planificar la implementación de la unión a Microsoft Entra híbrido. El acceso condicional se asegurará de que los dispositivos que se conectan a las aplicaciones estén unidos a un dominio o sean compatibles. Para que este método de seguridad se admita en equipos Windows, el dispositivo debe estar registrado con Microsoft Entra ID. En este artículo se describe cómo configurar el registro automático de dispositivos. Solo de nube Microsoft 365 E3 o E5
Prepare el equipo de soporte técnico. Disponga de un plan para los usuarios que no puedan completar MFA. Por ejemplo, puede agregarlos a un grupo de exclusión de directivas o registrar nueva información de MFA para ellos. Antes de realizar cualquiera de estos cambios de seguridad delicados, debe asegurarse de que el usuario real realice la solicitud. Un paso útil es pedir a los responsables de los usuarios que ayuden con la aprobación. Microsoft 365 E3 o E5
Configure la escritura diferida de contraseñas en AD local. La escritura diferida de contraseñas permite a Microsoft Entra ID exigir que los usuarios cambien sus contraseñas locales cuando se haya detectado un alto riesgo de que las cuentas se vean comprometidas. Puede habilitar esta característica mediante Microsoft Entra Connect de una de estas dos maneras: habilitar la escritura diferida de contraseñas en la pantalla de características opcionales de la configuración de Microsoft Entra Connect o habilitarla a través de Windows PowerShell. Solo de nube Microsoft 365 E3 o E5
Configurar la protección de contraseñas de Microsoft Entra. La característica Protección con contraseña de Microsoft Entra detecta y bloquea las contraseñas no seguras conocidas y sus variantes, y también puede bloquear otros términos poco seguros específicos de una organización. La lista global de contraseñas prohibidas predeterminada se aplica automáticamente a todos los usuarios de un inquilino de Microsoft Entra. Puede definir entradas adicionales en una lista personalizada de contraseñas prohibidas. Cuando los usuarios cambian o restablecen sus contraseñas, se consultan estas listas de contraseñas prohibidas para exigir el uso de contraseñas seguras. Microsoft 365 E3 o E5
Habilitar Microsoft Entra ID Protection. Microsoft Entra ID Protection le permite detectar vulnerabilidades potenciales que afectan las identidades de su organización y configurar la directiva de corrección automatizada para los riesgos bajos, medios y altos de inicio de sesión y de usuario. Microsoft 365 E5 o Microsoft 365 E3 con el complemento de Seguridad E5
Habilitar la autenticación moderna para Exchange Online y para Skype Empresarial Online. La autenticación moderna es un requisito previo para usar MFA. La autenticación moderna está habilitada de forma predeterminada para clientes de Office 2016 y 2019, SharePoint y OneDrive para la Empresa. Microsoft 365 E3 o E5
Habilitar la evaluación continua de acceso para Microsoft Entra ID. La evaluación continua de acceso finaliza de forma proactiva las sesiones de usuario activas y aplica los cambios de directivas de inquilinos casi en tiempo real. Microsoft 365 E3 o E5

En esta sección se describen las configuraciones de cliente de plataforma predeterminadas que se recomiendan para proporcionar la mejor experiencia de inicio de sesión único a sus usuarios, así como los requisitos previos para el acceso condicional.

Dispositivos Windows

Se recomienda Windows 11 o Windows 10 (versión 2004 o posterior), dado que Azure está diseñado para proporcionar la mejor experiencia posible de inicio de sesión único tanto para el entorno local como para Microsoft Entra ID. Los dispositivos emitidos por una institución educativa o una empresa deben estar configurados para unirse directamente a Microsoft Entra ID; o bien, si la organización usa la unión a un dominio de AD local, esos dispositivos deben estar configurados para registrarse de manera automática y silenciosa con Microsoft Entra ID.

En dispositivos Windows BYOD, los usuarios pueden usar Agregar cuenta profesional o educativa. Tenga en cuenta que los usuarios del explorador Google Chrome en dispositivos Windows 11 o Windows 10 deben instalar una extensión para obtener la misma experiencia de inicio de sesión sin problemas que los usuarios de Microsoft Edge. Además, si su organización tiene dispositivos Windows 8 o 8.1 unidos a un dominio, puede instalar el paquete de Microsoft Workplace Join para equipos que no son Windows 10. Descargar el paquete para registrar los dispositivos con Microsoft Entra ID.

Dispositivos iOS

Se recomienda instalar la aplicación Microsoft Authenticator en los dispositivos de usuario antes de implementar directivas MFA o de acceso condicional. Como mínimo, la aplicación se debe instalar cuando se solicite a los usuarios registrar su dispositivo en Microsoft Entra ID agregando una cuenta profesional o educativa, o cuando instalan la aplicación del portal de empresa de Intune para inscribir sus dispositivos en la administración. Esto depende de la directiva de acceso condicional configurada.

Dispositivos Android

Se recomienda que los usuarios instalen la aplicación del Portal de empresa de Intune y la aplicación Microsoft Authenticator antes de que se implementen las directivas de acceso condicional o cuando sea necesario durante determinados intentos de autenticación. Después de instalar la aplicación, puede que se pida a los usuarios que se registren en Microsoft Entra ID o que inscriban su dispositivo en Intune. Esto depende de la directiva de acceso condicional configurada.

También se recomienda que los dispositivos de propiedad organizativa se estandaricen en los fabricantes de equipos originales (OEM) y las versiones que admitan Android for Work o Samsung Knox a fin de permitir que las cuentas de correo se administren y protejan con una directiva de Intune MDM.

Los siguientes clientes de correo electrónico admiten autenticación moderna y acceso condicional.

Plataforma Remoto Versión/notas
Windows Outlook 2019, 2016

Actualizaciones necesarias

iOS Outlook para iOS Más reciente
Android Outlook para Android Más reciente
macOS Outlook 2019 y 2016
Linux No compatible

Se recomiendan los siguientes clientes cuando se ha aplicado una directiva de protección de documentos.

Plataforma Word/Excel/PowerPoint OneNote Aplicación OneDrive Aplicación SharePoint Cliente de sincronización de OneDrive
Windows 11 o Windows 10 Compatible Compatible N/D N/D Compatible
Windows 8.1 Compatible Compatible N/D N/D Compatible
Android Compatible Admitido Admitido Compatible N/D
iOS Compatible Admitido Admitido Compatible N/D
macOS Compatible Compatible N/D N/A No compatible
Linux No compatible No compatible No compatible No compatible No compatible

Compatibilidad con clientes de Microsoft 365

Para obtener más información sobre la compatibilidad con clientes en Microsoft 365, consulte los siguientes artículos:

Protección de cuentas de administrador

Para Microsoft 365 E3 o E5 o con licencias de Microsoft Entra ID P1 o P2 independientes, puede exigir MFA para las cuentas de administrador con una directiva de acceso condicional creada manualmente. Consulte Acceso condicional: Exigir autenticación multifactor (MFA) para administradores para obtener más información.

En el caso de las ediciones de Microsoft 365 u Office 365 que no admiten el acceso condicional, puede habilitar valores predeterminados de seguridad para exigir MFA para todas las cuentas.

Estas son algunas recomendaciones adicionales:

  • Use Microsoft Entra Privileged Identity Management para reducir el número de cuentas administrativas persistentes.
  • Usar la administración de acceso con privilegios para proteger a su organización frente a infracciones que pueden usar cuentas de administrador con privilegios existentes con acceso permanente a datos confidenciales o acceso a las opciones de configuración críticas.
  • Cree y use cuentas independientes que tengan asignados roles de administrador de Microsoft 365 solo para la administración. Los administradores deben tener su propia cuenta de usuario para uso normal no administrativo y usar solo una cuenta administrativa cuando sea necesario para completar una tarea asociada a su rol o función de trabajo.
  • Siga los procedimientos recomendados para proteger cuentas con privilegios en Microsoft Entra ID.

Paso siguiente

Paso 2: Configurar las directivas comunes de acceso condicional e identidad de Confianza cero.

Consulte Configurar las directivas comunes de acceso a dispositivos e identidad de Confianza cero