Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta sección de la guía de referencia de operaciones de Microsoft Entra se describen las comprobaciones y las acciones que debe realizar para optimizar las operaciones generales de Microsoft Entra ID.
Nota:
Estas recomendaciones están actualizadas hasta la fecha de publicación, pero pueden cambiar con el tiempo. Las organizaciones deben evaluar continuamente sus prácticas operativas a medida que los productos y servicios de Microsoft evolucionan con el tiempo.
Procesos operativos clave
Asignar propietarios a las tareas principales
La administración de Microsoft Entra ID requiere la ejecución continua de tareas y procesos operativos clave que pueden no formar parte de un proyecto de lanzamiento. Aun así, es importante que configure estas tareas con el fin de optimizar su entorno. Entre las tareas clave y sus propietarios recomendados se incluyen:
| Tarea | Propietario |
|---|---|
| Impulsar mejoras en la puntuación de seguridad de la identidad | Equipo de operaciones de InfoSec |
| Mantenimiento de servidores de Microsoft Entra Connect | Equipo de operaciones IAM |
| Ejecutar y evaluar periódicamente los informes de IdFix | Equipo de operaciones IAM |
| Evaluación de prioridades de las alertas de Microsoft Entra Health para la sincronización y AD FS | Equipo de operaciones IAM |
| Si no usa Microsoft Entra Connect Health, el cliente tiene herramientas y procesos equivalentes para supervisar la infraestructura personalizada | Equipo de operaciones IAM |
| Si no usa AD FS, el cliente tiene herramientas y procesos equivalentes para supervisar la infraestructura personalizada. | Equipo de operaciones IAM |
| Supervisión de registros híbridos: Conectores de red privada de Microsoft Entra | Equipo de operaciones IAM |
| Supervisar registros híbridos: Agentes para la autenticación de paso a través | Equipo de operaciones IAM |
| Supervisión de registros híbridos: servicio de escritura diferida de contraseñas | Equipo de operaciones IAM |
| Supervisar registros híbridos: Puerta de enlace de protección con contraseña local | Equipo de operaciones IAM |
| Supervisar registros híbridos: extensión NPS de autenticación multifactor de Microsoft Entra (si corresponde) | Equipo de operaciones IAM |
A medida que revise la lista, es posible que tenga que asignar un propietario a las tareas que no tienen uno o ajustar la propiedad de aquellas tareas cuyos propietarios no se ajustan a las recomendaciones anteriores.
Lectura recomendada para propietarios
Administración híbrida
Versiones recientes de componentes locales
Tener las versiones más actualizadas de los componentes locales proporciona al cliente todas las actualizaciones de seguridad más recientes, mejoras de rendimiento y funcionalidad que podrían ayudarle a simplificar aún más el entorno. La mayoría de los componentes tienen una configuración de actualización automática, que automatizará el proceso de actualización.
Estos componentes incluyen:
- Microsoft Entra Connect
- Conectores de red privada de Microsoft Entra
- Agentes de autenticación transferida a través de Microsoft Entra
- Agentes de Microsoft Entra Connect Health
A menos que se haya establecido uno, debe definir un proceso para actualizar estos componentes y confiar en la característica de actualización automática siempre que sea posible. Si encuentra componentes que tienen seis o más meses de retraso, debe actualizar lo antes posible.
Lectura recomendada sobre gestión híbrida
- Microsoft Entra Connect: actualización automática
- Descripción de los conectores de red privada de Microsoft Entra | Actualizaciones automáticas
Línea base de alertas de Microsoft Entra Connect Health
Las organizaciones deben implementar Microsoft Entra Connect Health para supervisar e informar de Microsoft Entra Connect y AD FS. Microsoft Entra Connect y AD FS son componentes críticos que pueden interrumpir la administración y la autenticación del ciclo de vida y, por lo tanto, provocar interrupciones. Microsoft Entra Connect Health ayuda a supervisar y obtener información sobre la infraestructura de identidad local, lo que garantiza la confiabilidad de su entorno.
A medida que supervisa el estado de su entorno, debe abordar inmediatamente las alertas de gravedad alta, seguidas de alertas de gravedad inferior.
Lectura recomendada de Microsoft Entra Connect Health
Registros de los agentes locales
Algunos servicios de administración de identidades y acceso requieren agentes locales para habilitar escenarios híbridos. Algunos ejemplos son el restablecimiento de contraseña, la autenticación de paso a través (PTA), el proxy de aplicación de Microsoft Entra y la extensión NPS de autenticación multifactor de Microsoft Entra. Es clave que el equipo de operaciones establezca una línea de base y supervise el estado de estos componentes mediante el archivado y el análisis de los registros de agentes de componentes utilizando soluciones como System Center Operations Manager o SIEM. Es igualmente importante que el equipo de operaciones de Infosec o el departamento de soporte técnico comprendan cómo solucionar los patrones de errores.
Lectura recomendada de registros de agentes locales
- Solución de problemas de proxy de aplicación
- Solución de problemas de restablecimiento de contraseña en autoservicio
- Descripción de los conectores de red privada de Microsoft Entra
- Microsoft Entra Connect: Solución de problemas de autenticación transferida
- Solución de problemas de códigos de error para la extensión NPS de autenticación multifactor de Microsoft Entra
Administración de agentes locales
La adopción de procedimientos recomendados puede ayudar al funcionamiento óptimo de los agentes locales. Puede usar los siguientes procedimientos recomendados:
- Se recomiendan varios conectores de red privada de Microsoft Entra por grupo de conectores para proporcionar equilibrio de carga sin problemas y alta disponibilidad evitando puntos únicos de error al acceder a las aplicaciones proxy. Si actualmente solo tiene un conector en un grupo de conectores que controla las aplicaciones en producción, debe implementar al menos dos conectores para la redundancia.
- La creación y el uso de un grupo de conectores de red privada con fines de depuración pueden ser útiles para escenarios de solución de problemas y al incorporar nuevas aplicaciones locales. También se recomienda instalar herramientas de red como Message Analyzer y Fiddler en las máquinas conectadas.
- Se recomiendan varios agentes de autenticación de paso a través para proporcionar equilibrio de carga sin problemas y alta disponibilidad evitando un único punto de error durante el flujo de autenticación. Asegúrese de implementar al menos dos agentes de autenticación de paso a través para la redundancia.
Lectura recomendada sobre la gestión de agentes locales
- Descripción de los conectores de red privada de Microsoft Entra
- Autenticación de paso directo de Microsoft Entra: guía de inicio rápido
Administración a escala
Puntuación segura de identidad
La puntuación de seguridad de identidad proporciona una medida cuantificable de la posición de seguridad de su organización. Es clave revisar y abordar constantemente los hallazgos notificados y esforzarse por tener la puntuación más alta posible. La puntuación le ayuda a:
- Mide objetivamente tu estado de seguridad de la identidad
- Planeamiento de las mejoras en la seguridad de identidad
- Ver si las mejoras han logrado sus objetivos
Si su organización no tiene ningún programa implementado actualmente para supervisar los cambios en la puntuación de seguridad de identidad, se recomienda implementar un plan y asignar propietarios para supervisar e impulsar las acciones de mejora. Las organizaciones deben corregir las acciones de mejora con un impacto de puntuación superior a 30 lo antes posible.
Notificaciones
Microsoft envía comunicaciones por correo electrónico a los administradores para notificar varios cambios en el servicio, actualizaciones de configuración necesarias y errores que requieren intervención del administrador. Es importante que los clientes establezcan las direcciones de correo electrónico de notificación para que las notificaciones se envíen a los miembros del equipo adecuados que puedan confirmar y actuar en todas las notificaciones. Se recomienda agregar varios destinatarios al Centro de mensajes y solicitar que las notificaciones (incluidas las notificaciones de Microsoft Entra Connect Health) se envíen a una lista de distribución o a un buzón compartido. Si solo tiene una cuenta de administrador global con una dirección de correo electrónico, asegúrese de configurar al menos dos cuentas compatibles con correo electrónico.
Hay dos direcciones "From" usadas por Microsoft Entra ID: o365mc@email2.microsoft.com, que envía notificaciones del Centro de mensajes; y azure-noreply@microsoft.com, que envía notificaciones relacionadas con:
- Revisiones de acceso de Microsoft Entra
- Microsoft Entra Connect Health
- Microsoft Entra ID Protection
- Microsoft Entra Privileged Identity Management (PIM)
- Notificaciones de certificado de expiración de aplicaciones empresariales
- Notificaciones de Enterprise App Provisioning Service
Consulte la tabla siguiente para obtener información sobre el tipo de notificaciones que se envían y dónde buscarlas:
| Origen de notificación | ¿Qué se envía? | Dónde comprobar |
|---|---|---|
| Contacto técnico | Errores de sincronización | Azure Portal: hoja de propiedades |
| Centro de mensajes | Avisos de incidentes y degradación de servicios de identidad y servicios back-end de Microsoft 365 | Portal de Office |
| Resumen semanal de Identity Protection | Resumen de Protección de Identidad | Hoja de protección de Microsoft Entra ID |
| Microsoft Entra Connect Health | Notificaciones de alerta | Microsoft Azure Portal - Hoja de Microsoft Entra Connect Health |
| Notificaciones de aplicaciones empresariales | Notificaciones cuando los certificados están a punto de expirar y errores de aprovisionamiento | Azure portal - Panel de aplicación empresarial (cada aplicación tiene su propia configuración de dirección de correo electrónico) |
Lectura recomendada de notificaciones
Área expuesta operativa
Bloqueo de AD FS
Las organizaciones, que configuran las aplicaciones para autenticarse directamente en el identificador de Microsoft Entra se benefician del bloqueo inteligente de Microsoft Entra. Si usa AD FS en Windows Server 2012 R2, implemente la protección de bloqueo de extranet de AD FS. Si usa AD FS en Windows Server 2016 o posterior, implemente el bloqueo inteligente de extranet. Como mínimo, se recomienda habilitar el bloqueo de extranet para que contenga el riesgo de ataques por fuerza bruta contra Active Directory local. Sin embargo, si tiene AD FS en Windows 2016 o superior, también debe habilitar el bloqueo inteligente de extranet que ayudará a mitigar los ataques de difusión de contraseñas.
Si AD FS solo se usa para la federación de Microsoft Entra, hay algunos puntos de conexión que se pueden desactivar para minimizar el área expuesta a ataques. Por ejemplo, si AD FS solo se usa para Microsoft Entra ID, debe deshabilitar el punto de conexión WS-Trust aparte de los puntos de conexión habilitados para usernamemixed y windowstransport.
Acceso a máquinas con componentes de identidad locales
Las organizaciones deben bloquear el acceso a las máquinas con componentes híbridos locales de la misma manera que el dominio local. Por ejemplo, un operador de copia de seguridad o Hyper-V administrador no debe poder iniciar sesión en Microsoft Entra Connect Server para cambiar las reglas.
El modelo de nivel administrativo de Active Directory se diseñó para proteger los sistemas de identidad mediante un conjunto de zonas de búfer entre el control total del entorno (nivel 0) y los recursos de estación de trabajo de alto riesgo que los atacantes suelen poner en peligro.
El modelo de nivel se compone de tres niveles y solo incluye cuentas administrativas, no cuentas de usuario estándar.
- Nivel 0 : Control directo de identidades empresariales en el entorno. El nivel 0 incluye cuentas, grupos y otros recursos que tienen control administrativo directo o indirecto del árbol, dominios o controladores de dominio de Active Directory, y todos los recursos que contiene. La sensibilidad de seguridad de todos los activos de nivel 0 es equivalente, ya que todos están efectivamente en control unos de otros.
- Nivel 1 : control de las aplicaciones y servidores empresariales. Los recursos de nivel 1 incluyen sistemas operativos de servidor, servicios en la nube y aplicaciones empresariales. Las cuentas de administrador de nivel 1 tienen control administrativo de una cantidad significativa de valor empresarial hospedado en estos recursos. Un rol de ejemplo común es los administradores de servidores que mantienen estos sistemas operativos con la capacidad de afectar a todos los servicios empresariales.
- Nivel 2 : control de estaciones de trabajo y dispositivos de usuario. Las cuentas de administrador de nivel 2 tienen control administrativo de una cantidad significativa de valor empresarial hospedado en estaciones de trabajo y dispositivos de usuario. Entre los ejemplos se incluyen el departamento de soporte técnico y los administradores de soporte técnico de equipos, ya que pueden afectar a la integridad de casi cualquier dato de usuario.
Bloquee el acceso a componentes de identidad locales, como Microsoft Entra Connect, AD FS y servicios SQL de la misma manera que para los controladores de dominio.
Resumen
Hay siete aspectos para una infraestructura de identidad segura. Esta lista le ayudará a encontrar las acciones que debe realizar para optimizar las operaciones de Microsoft Entra ID.
- Asignar propietarios a las tareas principales.
- Automatice el proceso de actualización para los componentes híbridos locales.
- Implemente Microsoft Entra Connect Health para supervisar e informar de Microsoft Entra Connect y AD FS.
- Supervise el estado de los componentes híbridos locales mediante el archivado y el análisis de los registros del agente de componentes mediante System Center Operations Manager o una solución SIEM.
- Implemente mejoras de seguridad mediante la medición de su postura de seguridad con el Identity Secure Score.
- Bloquear AD FS.
- Bloquee el acceso a equipos con componentes de identidad locales
Pasos siguientes
Consulte los planes de implementación de Microsoft Entra para obtener detalles de implementación sobre las funcionalidades que no ha implementado.