Creación de una línea de base de Administración de identidad y acceso

  • 5 minutos

La administración de identidad y acceso (IAM) es clave para conceder acceso a los recursos corporativos y aumentar la mejora de la seguridad de estos. Para proteger y controlar los activos basados en la nube, debe administrar la identidad y el acceso de los administradores de Azure, los desarrolladores de aplicaciones y los usuarios de estas.

Recomendaciones de seguridad para IAM

En las secciones siguientes se describen las recomendaciones de IAM que se encuentran en CIS Microsoft Azure Foundations Security Benchmark v.1.3.0. En cada recomendación se incluyen los pasos básicos que se deben seguir en Azure Portal. Debe completar estos pasos con su propia suscripción y usar sus propios recursos para validar cada recomendación de seguridad. Tenga en cuenta que las opciones de nivel 2 pueden restringir algunas características o actividades, por lo que debe considerar detenidamente las opciones de seguridad que decide aplicar.

Importante

Debe ser administrador de la instancia de Microsoft Entra para realizar algunos de estos pasos.

Restringir el acceso al portal de administración de Microsoft Entra: nivel 1

Los usuarios que no son administradores no deberían tener acceso al portal de administración de Microsoft Entra porque los datos son confidenciales y están bajo las reglas de privilegios mínimos.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el menú izquierdo, seleccione Configuración de usuario.

  4. En Configuración de usuario, en Portal de administración, asegúrese de que Restringir el acceso al portal de administración de Microsoft Entra esté establecido en . Al establecer este valor en , se impide el acceso a todos los usuarios que no son administradores a los datos del portal de administración de Microsoft Entra. La configuración no restringe el acceso al uso de PowerShell u otro cliente, como Visual Studio.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Captura de pantalla de Azure Portal que muestra la opción Restringir el acceso al portal de administración de Microsoft Entra establecida en Sí.

Habilitación de la autenticación multifactor para usuarios de Microsoft Entra

  • Habilitación de la autenticación multifactor para usuarios con privilegios de Microsoft Entra ID: nivel 1
  • Habilitación de la autenticación multifactor para usuarios sin privilegios de Microsoft Entra: nivel 2

Habilitación de la autenticación multifactor para todos los usuarios de Microsoft Entra.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En la barra de menús Todos los usuarios, seleccione MFA por usuario.

    Captura de pantalla que muestra la opción de autenticación multifactor en el panel Microsoft Entra de Azure Portal.

  4. En la ventana Autenticación multifactor, asegúrese de que Estado de la autenticación multifactor esté establecido en Habilitado para todos los usuarios. Para habilitar la autenticación multifactor, seleccione un usuario. En Pasos rápidos, seleccione Habilitar>Habilitar autenticación multifactor.

    Captura de pantalla en la que se muestra cómo encender la autenticación multifactor para un usuario mediante el vínculo pasos rápidos.

No recuerdo la autenticación multifactor en dispositivos de confianza: nivel 2

La característica de recordar la autenticación multifactor para dispositivos y exploradores que el usuario considera de confianza es gratis para todos los usuarios de la autenticación multifactor. Los usuarios pueden omitir las comprobaciones posteriores durante un número especificado de días, una vez hayan iniciado sesión correctamente en un dispositivo mediante el uso de la autenticación multifactor.

Si una cuenta o un dispositivo corren peligro, el hecho de recordar Multi-Factor Authentication para los dispositivos de confianza puede afectar a la seguridad de forma negativa. Una recomendación de seguridad es desactivar el recuerdo de la autenticación multifactor para dispositivos de confianza.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En la barra de menús Todos los usuarios, seleccione MFA por usuario.

  4. En la ventana Autenticación multifactor, seleccione un usuario. En Pasos rápidos, seleccione Administrar configuración de usuario.

    Captura de pantalla en la que se muestra la ventana de usuarios de la autenticación multifactor de Microsoft Entra y el vínculo de administrar configuración de usuario.

  5. Active la casilla Restaurar autenticación multifactor en todos los dispositivos recordados y, a continuación, seleccione Guardar.

    Captura de pantalla en la que se muestra la opción Restore multifactor authentication on all remembered devices (Restaurar autenticación multifactor en todos los dispositivos recordados) seleccionada.

Sin acceso o acceso limitado de usuarios invitados: nivel 1

Asegúrese de que no existe ningún usuario invitado o, si la empresa requiere usuarios invitados, asegúrese de limitar sus permisos.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. Seleccione el botón Agregar filtros.

  4. En Filtros, seleccione Tipo de usuario. En Valor, seleccione Invitado. Seleccione Aplicar para comprobar que no existen usuarios invitados.

    Captura de pantalla de Azure Portal en la que se muestra el filtrado de Microsoft Entra ID para usuarios invitados.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Opciones de contraseña

  • Notificar a los usuarios el restablecimiento de contraseñas: nivel 1
  • Notificar a todos los administradores cuando otros administradores restablecen contraseñas: nivel 2
  • Requerir dos métodos para restablecer contraseñas: nivel 1

Con la autenticación multifactor establecida, un atacante tendría que comprometer ambos formularios de autenticación de identidad antes de que pudiera restablecer la contraseña de un usuario de forma malintencionada. Asegúrese de que el restablecimiento de contraseña requiere dos formas de autenticación de identidad.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el menú izquierdo, seleccione Restablecimiento de contraseña.

  4. En el menú izquierdo, en Administrar, seleccione Métodos de autenticación.

  5. Establezca el valor de Número de métodos requeridos para el restablecimiento en 2.

  6. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Captura de pantalla de Azure Portal en la que se muestra el panel de métodos de autenticación para el restablecimiento de la contraseña de Microsoft Entra, con el número de métodos necesarios para el restablecimiento establecido en 2.

Establecer un intervalo para volver a confirmar los métodos de autenticación de usuario: nivel 1

Si la opción de volver a confirmar la autenticación está desactivada, nunca se pedirá a los usuarios registrados que vuelvan a confirmar la información de autenticación. La opción más segura es activar la reconfirmación de la autenticación para un intervalo establecido.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el panel de menús de la izquierda, seleccione Restablecimiento de contraseña.

  4. En el menú izquierdo, en Administrar, seleccione Registro.

  5. Asegúrese de que Número de días antes de que se solicite a los usuarios que vuelvan a confirmar su información de autenticaciónno está establecido en 0. El valor predeterminado es de 180 días.

  6. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Captura de pantalla de Azure Portal en la que se muestra el formulario del número de días antes de volver a confirmar la información de autenticación.

Configuración de la invitación para invitado: nivel 2

Solo los administradores deberían poder invitar a usuarios invitados. Restringir las invitaciones a los administradores garantiza que únicamente las cuentas autorizadas tengan acceso a los recursos de Azure.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el menú izquierdo, seleccione Configuración de usuario.

  4. Seleccione Configuración de usuario y, luego, en Usuarios externos, seleccione Administrar la configuración de colaboración externa.

  5. En Configuración de colaboración externa, en Configuración de la invitación de usuarios, seleccione Solo los usuarios asignados a roles de administrador específicos pueden invitar a usuarios invitados.

    Captura de pantalla en la que se muestra la Configuración de la invitación de usuarios con la opción Only user assigned to specific admin roles can invite guest users (Solo los usuarios asignados a funciones de administración específicas pueden invitar a usuarios invitados) seleccionada.

  6. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Los usuarios pueden crear y administrar grupos de seguridad: nivel 2

Cuando esta característica está habilitada, todos los usuarios de Microsoft Entra ID pueden crear nuevos grupos de seguridad. La creación de grupos de seguridad debe restringirse a los administradores.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Grupos.

  3. En el panel Todos los grupos, en el menú izquierdo que aparece en Configuración, seleccione General.

  4. En Grupos de seguridad, asegúrese de que Los usuarios pueden crear grupos de seguridad en Azure Portal, API o PowerShell está establecido en No.

    Captura de pantalla en la que se muestra el panel Groups General settings (Configuración general de grupos) con la opción Los usuarios pueden crear grupos de seguridad establecida en No.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Administrar grupos de autoservicio habilitada: nivel 2

A menos que su empresa necesite delegar la administración de grupos de autoservicio a varios usuarios, una recomendación de seguridad es deshabilitar esta característica.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Grupos.

  3. En el panel Todos los grupos, en el menú izquierdo que aparece en Configuración, seleccione General.

  4. En Administración de grupos de autoservicio, asegúrese de que todas las opciones estén establecidas en No.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Captura de pantalla en la que se muestran las opciones del grupo de autoservicio de Microsoft Entra establecidas en No.

Opciones de aplicación: permitir que los usuarios registren aplicaciones (nivel 2)

Requiera a los administradores a registrar aplicaciones personalizadas.

  1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.

  2. En el menú izquierdo, en Administrar, seleccione Usuarios.

  3. En el menú izquierdo, seleccione Configuración de usuario.

  4. En el panel Configuración de usuario, asegúrese de que Registros de aplicaciones esté establecido en No.

  5. Si cambia alguna configuración, en la barra de menús, seleccione Guardar.

Captura de pantalla en la que se muestran los usuario de Microsoft Entra con los registros de aplicación establecidos en No.