Compartir a través de


Protección del control de acceso mediante grupos en Microsoft Entra ID

Microsoft Entra ID permite el uso de grupos para administrar el acceso a los recursos de una organización. Deberás usar los grupos para el control de acceso cuando quieras administrar y minimizar el acceso a las aplicaciones. Cuando se usan los grupos, solo los miembros de esos grupos pueden acceder al recurso. El uso de grupos también habilita las siguientes características de administración:

  • Grupos de pertenencia dinámica basada en atributos
  • Grupos externos sincronizados desde Active Directory local
  • Grupos administrados por el administrador o por autoservicio

Para obtener más información sobre las ventajas de los grupos para el control de acceso, consulta Administración del acceso a una aplicación.

Cuando desarrollas una aplicación, puedes autorizar el acceso con la notificación de grupos. Para obtener más información, consulta Configuración de notificaciones de grupo para aplicaciones mediante Microsoft Entra ID.

En la actualidad, muchas aplicaciones seleccionan un subconjunto de grupos con la marca securityEnabled establecida en true para evitar desafíos de escala, es decir, para reducir el número de grupos devueltos en el token. Establecer la marca securityEnabled en true para un grupo no garantiza que el grupo se administre de forma segura.

Procedimientos recomendados para mitigar el riesgo

En esta tabla se exponen varios procedimientos de seguridad recomendados para los grupos de seguridad y los posibles riesgos de seguridad que mitiga cada práctica.

Práctica recomendada de seguridad Riesgo de seguridad mitigado
Asegúrate de que el propietario de los recursos y el propietario de los grupos sean la misma entidad de seguridad. Las aplicaciones deben crear su propia experiencia de administración de grupos y crear nuevos grupos para administrar el acceso. Por ejemplo, una aplicación puede crear grupos con el permiso Group.Create y agregarse como propietaria del grupo. De esta manera, la aplicación tiene control sobre sus grupos sin tener privilegios para modificar otros grupos del inquilino. Cuando los propietarios del grupo y los propietarios del recurso son entidades diferentes, los propietarios del grupo pueden agregar usuarios al grupo, que no deberían tener acceso al recurso. Aún así, luego pueden acceder a él de forma involuntaria.
Crea un contrato implícito entre los propietarios del recurso y los propietarios del grupo. El propietario de los recurso y el propietario de los grupos deben adaptarse en función del propósito del grupo, las directivas y los miembros que se pueden agregar al grupo para obtener acceso al recurso. Este nivel de confianza no es técnico y se basa en contratos humanos o empresariales. Cuando los propietarios del grupo y los propietarios del recurso tienen intenciones diferentes, el propietario del grupo puede agregar usuarios al grupo al que el propietario del recurso no pretendía dar acceso. Esto puede dar lugar a accesos innecesarios y de posible riesgo.
Usa grupos privados para el control de acceso. Los grupos de Microsoft 365 se administran mediante el concepto de visibilidad. Esta propiedad controla la directiva de unión del grupo y la visibilidad de los recursos del grupo. Los grupos de seguridad tienen directivas de unión que permiten a cualquier persona unirse o requieren la aprobación del propietario. Los grupos sincronizados en el entorno local también pueden ser públicos o privados. Los usuarios que se unan a un grupo sincronizado local también podrán obtener acceso al recurso en la nube. Cuando se usa un grupo público para el control de acceso, cualquier miembro puede unirse al grupo y obtener acceso al recurso. Cuando se usa un grupo público para dar acceso a un recurso externo, existe el riesgo de elevación de privilegios.
Anidación de grupos. Cuando se usa un grupo para el control de acceso y tiene otros grupos como miembros, los miembros de los subgrupos pueden obtener acceso al recurso. En este caso, hay varios propietarios de grupos: propietarios del grupo primario y de los subgrupos. Adaptarse a varios propietarios de grupos en función del propósito de cada grupo y de la manera de agregar los miembros adecuados a estos grupos es más complejo y más propenso a la concesión accidental de acceso. Por lo tanto, debes limitar el número de grupos anidados o, si es posible, no usarlos en lo más mínimo.

Pasos siguientes