Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para que cualquier usuario pueda usar Azure, necesita una identidad segura y bien administrada. Microsoft Entra ID es la red troncal de la administración de identidades y acceso en Azure. Este artículo le guía por los pasos esenciales para establecer una base de identidad sólida. Tanto si va a configurar un nuevo inquilino como si está ajustando la seguridad en uno existente, estos procedimientos recomendados le ayudarán a proteger el acceso a los recursos en la nube desde el primer día.
Requisito previo:Creación de una cuenta de Azure. Las startups comprueben si califican para créditos de Azure.
Creación de cuentas de usuario individuales
Cada persona que necesite acceso a Azure debe tener su propia cuenta de usuario en Microsoft Entra. Esta configuración ayuda a garantizar la responsabilidad y facilita el seguimiento de los cambios y la aplicación de directivas de seguridad.
Agregue un dominio personalizado. Cuando se crea un inquilino de Microsoft Entra, se incluye un dominio predeterminado (yourtenant.onmicrosoft.com). Al agregar un dominio personalizado (por ejemplo, contoso.com), los usuarios pueden iniciar sesión con nombres conocidos como alex@contoso.com. Si crea cuentas antes de agregar el dominio personalizado, debe actualizarlas más adelante. Para ver los pasos detallados, consulte Agregar el nombre de dominio personalizado a su arrendatario en Microsoft Entra.
Cree una cuenta única para cada usuario. No permita cuentas compartidas. Las cuentas compartidas dificultan el seguimiento y la asignación de la responsabilidad de los cambios. Para obtener instrucciones, consulte Creación, invitación y eliminación de usuarios en Microsoft Entra.
Cree cuentas de acceso de emergencia. Cree dos cuentas de acceso de emergencia para asegurarse de que puede acceder al inquilino si se produce un error en los métodos de inicio de sesión normales.
Asignación de roles de administración de identidades
Microsoft Entra usa el control de acceso basado en rol (RBAC) para asignar roles a usuarios, grupos asignables de roles o principales de servicio. Estos roles definen qué acciones pueden realizar en El Centro de administración de Microsoft Entra, Microsoft 365, Microsoft Defender, Microsoft Purview, etc. Incluye la creación de cuentas, la administración de grupos y la configuración de directivas de seguridad.
Utiliza roles integrados. Microsoft proporciona roles predefinidos para tareas comunes. Cada rol tiene un conjunto específico de permisos. Por ejemplo, el rol Administrador de usuarios puede crear y administrar cuentas de usuario. Revise la lista de roles integrados de Microsoft Entra y asigne solo lo que necesita.
Asigne roles basados en privilegios mínimos. Conceda solo a los usuarios los permisos que necesitan para realizar su trabajo. Si alguien no necesita administrar Microsoft Entra, Centro de administración de Microsoft 365, Microsoft Defender o Microsoft Purview, déjelos como usuario normal sin asignaciones de roles.
Utiliza el acceso justo a tiempo. Si su organización tiene una licencia para Microsoft Entra Privileged Identity Management (PIM), puede permitir que los usuarios activen permisos elevados solo cuando sea necesario y durante un tiempo limitado. Esta configuración reduce el riesgo de tener demasiados usuarios con acceso de alto nivel permanente.
Limitar el acceso al rol de administrador global. El rol de administrador global tiene control total sobre la entidad de Microsoft Entra. No use este rol para las tareas cotidianas.
Revise periódicamente las asignaciones de roles. Compruebe quién tiene roles asignados y quite los que ya no sean necesarios. Puede usar informes y alertas integrados para ayudar a supervisar los cambios.
Para obtener más información, consulte Procedimientos recomendados para los roles de Microsoft Entra.
Configuración de la autenticación multifactor
La autenticación multifactor (MFA) ayuda a proteger a su organización frente a credenciales en peligro y acceso no autorizado.
Comprenda los valores predeterminados de seguridad. Los nuevos inquilinos de Microsoft Entra tienen los valores predeterminados de seguridad activados automáticamente. Esta configuración requiere que todos los usuarios se registren en MFA, requieran que los administradores realicen MFA cada inicio de sesión y requieran que los usuarios finales realicen MFA cuando sea necesario.
Use el acceso condicional para escenarios avanzados. Si su organización necesita más flexibilidad, puede crear directivas de acceso condicional para aplicar MFA solo en situaciones específicas, como cuando los usuarios inician sesión desde ubicaciones desconocidas. Los valores predeterminados de seguridad y el acceso condicional no se pueden usar simultáneamente. Para habilitar el acceso condicional, primero debe deshabilitar los valores predeterminados de seguridad y adquirir una licencia Premium. Consulte Protección del inicio de sesión de usuario con la autenticación multifactor de Microsoft Entra.