Creación de una línea de base de Administración de identidad y acceso

  • 5 minutos

La administración de identidad y acceso (IAM) es clave para conceder acceso a los recursos corporativos y aumentar la mejora de la seguridad de estos. Para proteger y controlar los activos basados en la nube, debe administrar la identidad y el acceso de los administradores de Azure, los desarrolladores de aplicaciones y los usuarios de estas.

Recomendaciones de seguridad para IAM

En las secciones siguientes se describen las recomendaciones de IAM que se encuentran en CIS Microsoft Azure Foundations Security Benchmark v.1.3.0. En cada recomendación se incluyen los pasos básicos que se deben seguir en Azure Portal. Debe completar estos pasos con su propia suscripción y usar sus propios recursos para validar cada recomendación de seguridad. Tenga en cuenta que las opciones de nivel 2 pueden restringir algunas características o actividades, por lo que debe considerar detenidamente las opciones de seguridad que decide aplicar.

Importante

Debe ser administrador de la instancia de Microsoft Entra para realizar algunos de estos pasos.

Restringir el acceso al portal de administración de Microsoft Entra: nivel 1

Los usuarios que no son administradores no deberían tener acceso al portal de administración de Microsoft Entra porque los datos son confidenciales y están bajo las reglas de privilegios mínimos.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el menú izquierdo, seleccione Configuración de usuario.

  4. En Configuración de usuario, en Portal de administración, asegúrese de que Restringir el acceso al portal de administración de Microsoft Entra esté establecido en . Al establecer este valor en , se impide el acceso a todos los usuarios que no son administradores a los datos del portal de administración de Microsoft Entra. La configuración no restringe el acceso al uso de PowerShell u otro cliente, como Visual Studio.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

Habilitación de la autenticación multifactor para usuarios de Microsoft Entra

  • Habilitación de la autenticación multifactor para usuarios con privilegios de Microsoft Entra ID: nivel 1
  • Habilitación de la autenticación multifactor para usuarios sin privilegios de Microsoft Entra: nivel 2

Habilitación de la autenticación multifactor para todos los usuarios de Microsoft Entra.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En la barra de menús Todos los usuarios, seleccione MFA por usuario.

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. En la ventana Autenticación multifactor, asegúrese de que Estado de la autenticación multifactor esté establecido en Habilitado para todos los usuarios. Para habilitar la autenticación multifactor, seleccione un usuario. En Pasos rápidos, seleccione Habilitar>Habilitar autenticación multifactor.

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

No recuerdo la autenticación multifactor en dispositivos de confianza: nivel 2

La característica de recordar la autenticación multifactor para dispositivos y exploradores que el usuario considera de confianza es gratis para todos los usuarios de la autenticación multifactor. Los usuarios pueden omitir las comprobaciones posteriores durante un número especificado de días, una vez hayan iniciado sesión correctamente en un dispositivo mediante el uso de la autenticación multifactor.

Si una cuenta o un dispositivo corren peligro, el hecho de recordar Multi-Factor Authentication para los dispositivos de confianza puede afectar a la seguridad de forma negativa. Una recomendación de seguridad es desactivar el recuerdo de la autenticación multifactor para dispositivos de confianza.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En la barra de menús Todos los usuarios, seleccione MFA por usuario.

  4. En la ventana Autenticación multifactor, seleccione un usuario. En Pasos rápidos, seleccione Administrar configuración de usuario.

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. Active la casilla Restaurar autenticación multifactor en todos los dispositivos recordados y, a continuación, seleccione Guardar.

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

Sin acceso o acceso limitado de usuarios invitados: nivel 1

Asegúrese de que no existe ningún usuario invitado o, si la empresa requiere usuarios invitados, asegúrese de limitar sus permisos.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. Seleccione el botón Agregar filtros.

  4. En Filtros, seleccione Tipo de usuario. En Valor, seleccione Invitado. Seleccione Aplicar para comprobar que no existen usuarios invitados.

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Opciones de contraseña

  • Notificar a los usuarios el restablecimiento de contraseñas: nivel 1
  • Notificar a todos los administradores cuando otros administradores restablecen contraseñas: nivel 2
  • Requerir dos métodos para restablecer contraseñas: nivel 1

Con la autenticación multifactor establecida, un atacante tendría que comprometer ambos formularios de autenticación de identidad antes de que pudiera restablecer la contraseña de un usuario de forma malintencionada. Asegúrese de que el restablecimiento de contraseña requiere dos formas de autenticación de identidad.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el menú izquierdo, seleccione Restablecimiento de contraseña.

  4. En el menú izquierdo, en Administrar, seleccione Métodos de autenticación.

  5. Establezca el valor de Número de métodos requeridos para el restablecimiento en 2.

  6. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

Establecer un intervalo para volver a confirmar los métodos de autenticación de usuario: nivel 1

Si la opción de volver a confirmar la autenticación está desactivada, nunca se pedirá a los usuarios registrados que vuelvan a confirmar la información de autenticación. La opción más segura es activar la reconfirmación de la autenticación para un intervalo establecido.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el panel de menús de la izquierda, seleccione Restablecimiento de contraseña.

  4. En el menú izquierdo, en Administrar, seleccione Registro.

  5. Asegúrese de que Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticaciónno está establecido en 0. El valor predeterminado es de 180 días.

  6. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

Configuración de la invitación para invitado: nivel 2

Solo los administradores deberían poder invitar a usuarios invitados. Restringir las invitaciones a los administradores garantiza que únicamente las cuentas autorizadas tengan acceso a los recursos de Azure.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el menú izquierdo, seleccione Configuración de usuario.

  4. Seleccione Configuración de usuario y, luego, en Usuarios externos, seleccione Administrar la configuración de colaboración externa.

  5. En Configuración de colaboración externa, en Configuración de la invitación de usuarios, seleccione Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados.

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Los usuarios pueden crear y administrar grupos de seguridad: nivel 2

Cuando esta característica está habilitada, todos los usuarios de Microsoft Entra ID pueden crear nuevos grupos de seguridad. La creación de grupos de seguridad debe restringirse a los administradores.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Grupos.

  3. En el panel Todos los grupos, en el menú izquierdo que aparece en Configuración, seleccione General.

  4. En Grupos de seguridad, asegúrese de que Los usuarios pueden crear grupos de seguridad en Azure Portal, API o PowerShell está establecido en No.

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Administrar grupos de autoservicio habilitada: nivel 2

A menos que su empresa necesite delegar la administración de grupos de autoservicio a varios usuarios, una recomendación de seguridad es deshabilitar esta característica.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Grupos.

  3. En el panel Todos los grupos, en el menú izquierdo que aparece en Configuración, seleccione General.

  4. En Administración de grupos de autoservicio, asegúrese de que todas las opciones estén establecidas en No.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Screenshot that shows Microsoft Entra self-service group options set to No.

Opciones de aplicación: permitir que los usuarios registren aplicaciones (nivel 2)

Requiera a los administradores a registrar aplicaciones personalizadas.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el menú izquierdo, seleccione Configuración de usuario.

  4. En el panel Configuración de usuario, asegúrese de que Registros de aplicaciones esté establecido en No.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Screenshot that shows Microsoft Entra users with app registrations set to No.