Compartir vía


Creación de un plan de seguridad para el acceso a recursos

Antes de crear un plan de seguridad de acceso externo, revise los dos artículos siguientes, que agregan contexto e información para el plan de seguridad.

Antes de empezar

Este artículo es el número 3 de una serie de 10 artículos. Se recomienda leer los artículos en orden. Vaya a la sección Pasos siguientes para ver toda la serie.

Documentación del plan de seguridad

Para el plan de seguridad, documente la siguiente información:

  • Aplicaciones y recursos agrupados para el acceso
  • Condiciones de inicio de sesión para los usuarios externos
    • Estado del dispositivo, ubicación de inicio de sesión, requisitos de las aplicaciones cliente, riesgos para el usuario, etc.
  • Directivas para determinar el tiempo de las revisiones y la eliminación de acceso
  • Poblaciones de usuarios agrupados para una experiencia similar

Para implementar el plan de seguridad, puede usar directivas de administración de identidades y acceso de Microsoft u otro proveedor de identidades (IdP).

Más información: Introducción a la administración de identidades y acceso

Uso de grupos para el acceso

Consulte los vínculos siguientes a artículos sobre estrategias de agrupación de recursos:

Documente las aplicaciones agrupadas. Entre las consideraciones se incluyen las siguientes:

  • Perfil de riesgo: evalúe el riesgo si un actor malintencionado obtiene acceso a una aplicación
    • Identifique si la aplicación es de riesgo alto, medio o bajo. Le recomendamos que no agrupe alto riesgo con bajo riesgo.
    • Documente las aplicaciones que no se pueden compartir con usuarios externos.
  • Marcos de cumplimiento: determine los marcos de cumplimiento para las aplicaciones
    • Identifique los requisitos de acceso y revisión.
  • Aplicaciones para roles o departamentos: evalúe las aplicaciones agrupadas para el acceso por rol o departamento
  • Aplicaciones de colaboración: identifique las aplicaciones de colaboración a las que pueden acceder los usuarios externos, como Teams o SharePoint
    • En el caso de las aplicaciones de productividad, es posible que los usuarios externos tengan licencias o deberá proporcionarles acceso.

Para el acceso a aplicaciones y grupos de recursos por parte de usuarios externos, documente la siguiente información.

  • Nombre descriptivo para el grupo, p. ej.: Finanzas_Acceso_Externo_Alto_Riesgo
  • Aplicaciones y recursos del grupo
  • Propietarios de aplicaciones y recursos y su información de contacto
  • El equipo de TI controla el acceso o el control se delega a un propietario de la empresa
  • Requisitos previos del acceso: comprobación de antecedentes, formación, etc.
  • Requisitos de cumplimiento para acceder a los recursos
  • Desafíos, p. ej.: autenticación multifactor para algunos recursos
  • Cadencia de las revisiones, quién las realiza y dónde se documentan los resultados

Sugerencia

Use este tipo de plan de gobernanza para el acceso interno.

Documentación de las condiciones de inicio de sesión para los usuarios externos

Determine los requisitos de inicio de sesión para los usuarios externos que solicitan acceso. Base los requisitos en el perfil de riesgo del recurso y la evaluación de riesgo del usuario durante el inicio de sesión. Configure las condiciones de inicio de sesión mediante el acceso condicional: una condición y un resultado. Por ejemplo, se podría requerir una autenticación multifactor.

Para más información, vea ¿Qué es el acceso condicional?.

Condiciones de inicio de sesión según el perfil de riesgo de los recursos

Tenga en cuenta las siguientes directivas basadas en el riesgo para desencadenar la autenticación multifactor (MFA).

  • Bajo: autenticación multifactor para algunos conjuntos de aplicaciones.
  • Medio: autenticación multifactor cuando hay otros riesgos.
  • Alto: los usuarios externos siempre usan la autenticación multifactor.

Más información:

Condiciones de inicio de sesión según el usuario y el dispositivo

Use la tabla siguiente para evaluar qué directiva de administración de riesgos aplicar.

Riesgo para el usuario o el inicio de sesión Directiva propuesta
Dispositivo Requerir dispositivos compatibles
Aplicaciones móviles Exigir aplicaciones aprobadas
Alto riesgo de usuario detectado por Protección de id. de Microsoft Entra Exigir que el usuario cambie la contraseña
Ubicación de red Para acceder a proyectos confidenciales, exija el inicio de sesión desde un intervalo de direcciones IP.

Para usar el estado del dispositivo como entrada para una directiva, el dispositivo debe estar registrado o unido al inquilino. El acceso entre inquilinos debe configurarse para confiar en las notificaciones de dispositivo del inquilino principal. Consulte Modificación de la configuración del acceso de entrada.

Puede usar directivas de riesgo de protección de la identidad, Sin embargo, mitigue el problema en el inquilino principal del usuario. Vea Directiva de acceso condicional común: autenticación multifactor basada en el riesgo de inicio de sesión.

En las ubicaciones de red, puede restringir el acceso a cualquier intervalo de direcciones IP que posea. Use este método si los asociados externos acceden a las aplicaciones mientras están en su ubicación. Consulte Acceso condicional: Bloqueo del acceso por ubicación.

Documentación de las directivas de revisión de acceso

Documente las directivas que dictan cuándo revisar el acceso a los recursos y cuándo quitar el acceso de los usuarios externos a la cuenta. Las entradas pueden incluir:

  • Requisitos de los marcos de cumplimiento
  • Directivas y procesos empresariales internos
  • Comportamiento del usuario

Por lo general, las organizaciones personalizan la directiva, pero tenga en cuenta los parámetros siguientes:

Métodos de control de acceso

Algunas características, como la administración de derechos, están disponibles con una licencia de Microsoft Entra ID P1 o P2. Las licencias de Microsoft 365 E5 y Office 365 E5 incluyen licencias de Microsoft Entra ID P2. Obtenga más información en la siguiente sección de administración de derechos.

Nota:

Las licencias son para un usuario. Por lo tanto, los usuarios, los administradores y los propietarios de empresa pueden tener control de acceso delegado. Este escenario se puede producir con Microsoft Entra ID P2 o Microsoft 365 E5, y no es necesario habilitar licencias para todos los usuarios. Los primeros 50 000 usuarios externos son gratuitos. Si no habilita licencias P2 para otros usuarios internos, estos no podrán usar la administración de derechos.

Otras combinaciones de Microsoft 365, Office 365 y Microsoft Entra ID también tienen funcionalidades para administrar usuarios externos. Vea Guía de seguridad y cumplimiento de Microsoft 365.

Gobernanza del acceso con Microsoft Entra ID P2 y Microsoft 365 u Office 365 E5

Microsoft Entra ID P2, incluido en Microsoft 365 E5, tiene funcionalidades adicionales de seguridad y gobernanza.

Aprovisionamiento, inicio de sesión, revisión del acceso y desaprovisionamiento del acceso

Las entradas en negrita son acciones recomendadas.

Característica Aprovisionamiento de usuarios externos Exigir requisitos de inicio de sesión Revisar acceso Desaprovisionar el acceso
Colaboración B2B de Microsoft Entra Invitación por correo electrónico, contraseña de un solo uso (OTP), autoservicio N/D Revisión periódica de asociados Quitar cuenta
Restricción del inicio de sesión
Administración de derechos Adición de usuarios mediante asignación o acceso de autoservicio N/D Revisiones de acceso Expiración o eliminación de un paquete de acceso
Grupos de Office 365 N/D N/D Revisar las pertenencias a grupos Expiración o eliminación de grupos
Eliminación del grupo
Grupos de seguridad de Microsoft Entra N/D Directivas de acceso condicional: adición de usuarios externos a grupos de seguridad según sea necesario N/D N/D

Acceso a los recursos

Las entradas en negrita son acciones recomendadas.

Característica Acceso a aplicaciones y recursos Acceso a SharePoint y OneDrive Acceso a Teams Seguridad de documentos y correo electrónico
Administración de derechos Adición de usuarios mediante asignación o acceso de autoservicio Paquetes de acceso Paquetes de acceso N/D
Grupo de Office 365 N/D Acceso a los sitios y al contenido del grupo Acceso a los equipos y al contenido de grupo N/D
Etiquetas de confidencialidad N/D Clasificar y restringir el acceso de forma manual y automática Clasificar y restringir el acceso de forma manual y automática Clasificar y restringir el acceso de forma manual y automática
Grupos de seguridad de Microsoft Entra Directivas de acceso condicional de acceso no incluidas en los paquetes de acceso N/D N/D N/D

Administración de derechos

Use la administración de derechos para aprovisionar y desaprovisionar el acceso a grupos y equipos, aplicaciones y sitios de SharePoint. Defina las organizaciones conectadas a las que se permite el acceso, las solicitudes de autoservicio y los flujos de trabajo de aprobación. Para garantizar que el acceso finaliza correctamente, defina directivas de expiración y revisiones de acceso para los paquetes.

Para más información, vea Creación de un paquete de acceso en la administración de derechos.

Administración del acceso con Microsoft Entra ID P1, Microsoft 365, Office 365 E3

Aprovisionamiento, inicio de sesión, revisión del acceso y desaprovisionamiento del acceso

Los elementos en negrita son acciones recomendadas.

Característica Aprovisionamiento de usuarios externos Exigir requisitos de inicio de sesión Revisar acceso Desaprovisionar el acceso
Colaboración B2B de Microsoft Entra Invitación por correo electrónico, OTP, autoservicio Federación de B2B directa Revisión periódica de asociados Quitar cuenta
Restricción del inicio de sesión
Grupos de Microsoft 365 u Office 365 N/D N/D N/D Expiración o eliminación de grupos
Eliminación del grupo
Grupos de seguridad N/D Adición de usuarios externos a grupos de seguridad (organización, equipo, proyecto, etc.) N/D N/D
Directivas de acceso condicional N/D Directivas de acceso condicional de inicio de sesión para usuarios externos N/D N/D

Acceso a los recursos

Característica Acceso a aplicaciones y recursos Acceso a SharePoint y OneDrive Acceso a Teams Seguridad de documentos y correo electrónico
Grupos de Microsoft 365 u Office 365 N/D Acceso a los sitios del grupo y al contenido asociado Acceso a los equipos del grupo de Microsoft 365 y al contenido asociado N/D
Etiquetas de confidencialidad N/D Clasificar y restringir el acceso manualmente Clasificar y restringir el acceso manualmente Clasificar manualmente para restringir y cifrar
Directivas de acceso condicional Directivas de acceso condicional del control de acceso N/D N/D N/D
Otros métodos N/D Restricción del acceso a sitios de SharePoint con grupos de seguridad
Denegación del uso compartido directo
Restricción de las invitaciones externas de un equipo N/D

Pasos siguientes

Use la siguiente serie de artículos para obtener más información sobre cómo proteger el acceso externo a los recursos. Se recomienda seguir el orden indicado.

  1. Determinación de la posición de seguridad para el acceso externo con Microsoft Entra ID

  2. Detección del estado actual de la colaboración externa en su organización

  3. Creación de un plan de seguridad para el acceso a recursos (Usted está aquí)

  4. Protección del acceso externo con grupos en Microsoft Entra ID y Microsoft 365

  5. Transición a la colaboración controlada con la colaboración B2B de Microsoft Entra

  6. Administración del acceso externo con la administración de derechos de Microsoft Entra

  7. Administración del acceso externo a los recursos mediante directivas de acceso condicional

  8. Control del acceso externo a los recursos en Microsoft Entra ID mediante etiquetas de confidencialidad

  9. Protección del acceso externo a Microsoft Teams, SharePoint y OneDrive para la Empresa con Microsoft Entra ID

  10. Conversión de cuentas de invitado locales en cuentas de invitado B2B de Microsoft Entra