Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La estrategia y la hoja de ruta de confianza cero de DoD describen una ruta para los componentes del Departamento de Defensa y los asociados de base industrial de defensa (DIB) para adoptar un nuevo marco de ciberseguridad basado en principios de confianza cero. Confianza cero al elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, la experiencia del usuario y el rendimiento de la misión.
En esta guía se incluyen recomendaciones para las actividades de confianza cero de 152 en la hoja de ruta de ejecución de la funcionalidad de confianza cero de DoD. Las secciones corresponden a los siete pilares del modelo de confianza cero de DoD.
Use los vínculos siguientes para ir a las secciones de la guía.
- Introducción
- Usuario
- Dispositivo
- Aplicaciones y cargas de trabajo
- Datos
- Red
- Automatización y orquestación
- Visibilidad y análisis
1 Usuario
En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de Confianza cero de DoD en el pilar Usuario. Para más información, vea Protección de la identidad con Confianza cero.
1.1 Inventario de usuarios
Microsoft Entra ID es la plataforma de identidad necesaria para los servicios en la nube de Microsoft. Microsoft Entra ID es un proveedor de identidades (IdP) y una plataforma de gobernanza para admitir identidades híbridas y multinube. Puede usar Microsoft Entra ID para controlar el acceso a nubes que no son de Microsoft, como Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) y muchas más. Microsoft Entra ID usa protocolos de identidad estándar, lo que lo convierte en un IdP adecuado para software como servicio (SaaS), aplicaciones web modernas, aplicaciones de escritorio y móviles, y también aplicaciones locales heredadas.
Use Microsoft Entra ID para comprobar usuarios y entidades que no son personas (NPE), autorizar continuamente el acceso a aplicaciones y datos, controlar las identidades y sus derechos siguiendo los principios de privilegios mínimos y realizar la administración Just-In-Time (JIT).
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target
1.1.1 Inventario de usuariosLas organizaciones del DoD establecen y actualizan manualmente un inventario de usuarios si es necesario, a fin de preparar el enfoque automatizado en fases posteriores. Las cuentas administradas centralmente por un IdP/ICAM y localmente en los sistemas se identificarán e inventariarán. Las cuentas con privilegios se identificarán para futuras auditorías y las cuentas de usuario estándar y con privilegios locales en las aplicaciones y sistemas se identificarán para la migración futura o la retirada. Resultados: - Usuarios normales administrados identificados - Usuarios con privilegios administrados identificados - Aplicaciones identificadas mediante su propia administración de cuentas de usuario para cuentas no administrativas y administrativas |
Microsoft Entra ID Identifique usuarios normales y con privilegios en la organización mediante el Centro de administración de Microsoft Entra o Microsoft Graph API. La actividad del usuario se captura en los registros de inicio de sesión y auditoría de Microsoft Entra ID, que se pueden integrar con sistemas de supervisión de eventos de información de seguridad (SIEM), como Microsoft Sentinel. - Adopción de Microsoft Entra ID - Microsoft Graph API: Enumeración de usuarios - Integración del registro de actividad de Microsoft Entra Roles de Microsoft Entra y Azure Los usuarios con privilegios son identidades asignadas a roles de Microsoft Entra ID, roles de Azure o grupos de seguridad de Microsoft Entra ID que conceden acceso con privilegios a Microsoft 365 u otras aplicaciones. Se recomienda usar usuarios solo en la nube para el acceso con privilegios. - Roles integrados Microsoft Defender for Cloud Apps Usar Defender for Cloud Apps para detectar aplicaciones no aprobadas mediante su propio almacén de identidades. - Detectar y administrar shadow IT Microsoft Defender for Identity Implementar y configurar sensores de Microsoft Defender for Identity para crear un inventario de recursos de identidad para entornos locales de Active Directory Domain Services. - Introducción a Microsoft Defender for Identity - Implementación de Microsoft Defender for Identity - Investigar recursos |
1.2 Acceso condicional de usuarios
Microsoft Entra ID ayuda a la organización a implementar el acceso de usuarios condicional y dinámico. Entre las características que admiten esta funcionalidad se incluyen el acceso condicional de Microsoft Entra, la gobernanza de Microsoft Entra ID, los roles personalizados, los grupos de seguridad dinámicos, los roles de aplicación y los atributos de seguridad personalizados.
El acceso condicional es el motor de directivas de Confianza cero en tiempo real en Microsoft Entra ID. Las directivas de acceso condicional usan señales de seguridad del usuario, el dispositivo, la aplicación, la sesión, el riesgo y mucho más para aplicar la autorización dinámica adaptable para los recursos protegidos por Microsoft Entra ID.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target
1.2.1 Implementación de permisos basados en aplicaciones por empresaLa empresa de DoD que trabaja con las organizaciones establece un conjunto básico de atributos de usuario para la autenticación y la autorización. Se integran con el proceso de actividad "Administración del ciclo de vida de la identidad empresarial, parte 1" para lograr un estándar empresarial completo. La solución de administración de identidades, credenciales y acceso (ICAM) de empresa está habilitada para la funcionalidad de autoservicio a fin de agregar o actualizar atributos dentro de la solución. Las actividades restantes de Privileged Access Management (PAM) se migran completamente a la solución PAM. Resultados: - Roles o atributos empresariales necesarios para la autorización de usuarios a funciones de aplicación o datos registrados con la ICAM empresarial - La ICAM empresarial del DoD tiene un servicio de registro de roles o atributos de autoservicio que permite a los propietarios de aplicaciones agregar atributos o usar atributos empresariales existentes - Las actividades con privilegios se migran completamente a PAM |
Microsoft Entra Connect Establecimiento de la identidad híbrida con Microsoft Entra Connect para rellenar los inquilinos de Microsoft Entra ID con datos de atributos de usuario de los sistemas de directorio actuales. - Microsoft Entra Connect Aplicaciones de Microsoft Entra Integración de aplicaciones con Microsoft Entra ID. Diseñe modelos de autorización y permisos de aplicaciones mediante grupos de seguridad y roles de aplicación. Para delegar la administración de aplicaciones, asigne propietarios para administrar la configuración de la aplicación y también registrar y asignar roles de aplicación. - Integración de aplicaciones con Microsoft Entra ID - Grupos de seguridad dinámicos - Roles de aplicación para aplicaciones Gobernanza de Microsoft Entra ID Configuración de paquetes de acceso en la administración de derechos para que los usuarios puedan solicitar acceso a roles o grupos de aplicaciones. - Control del acceso a las aplicaciones - Delegación de la gobernanza de paquetes de acceso Acceso condicional Configuración de directivas de acceso condicional para la autorización dinámica a aplicaciones y servicios protegidos por Microsoft Entra ID. En las directivas de acceso condicional, use atributos de seguridad personalizados y filtros de aplicación para definir el ámbito de la autorización de atributos de seguridad asignada a objetos de aplicación, como la confidencialidad. - Acceso condicional - Atributos de seguridad personalizados - Filtro para aplicaciones Privileged Identity Management Uso de la detección y las conclusiones de PIM para identificar roles y grupos con privilegios. Use PIM para administrar privilegios detectados y convertir asignaciones de usuario de permanentes a válidas. - Detección y conclusiones de PIM |
Target
1.2.2 Acceso dinámico basado en roles, parte 1Las organizaciones del DoD usan las reglas de la actividad "Autenticación periódica" para crear reglas básicas que habilitan y deshabilitan privilegios de forma dinámica. Las cuentas de usuario de alto riesgo usan la solución PAM para pasar al acceso con privilegios dinámicos mediante el acceso Just-In-Time y los métodos Just Enough-Administration. Resultados: - El acceso a las funciones de la aplicación o el servicio, o a los datos se limita a los usuarios con atributos empresariales adecuados - Todas las aplicaciones posibles usan permisos JIT/JEA para los usuarios administrativos |
Microsoft Entra ID Uso de las características de autorización y gobernanza de Microsoft Entra ID para limitar el acceso a las aplicaciones en función de los atributos de usuario, las asignaciones de roles, el riesgo y los detalles de la sesión. consulte la guía de Microsoft 1.2.1. Privileged Identity Management Uso de PIM para roles de Microsoft Entra y Azure. Amplíe PIM a otras aplicaciones de Microsoft Entra ID con PIM para grupos. - PIM para roles de Microsoft Entra - PIM para roles de Azure - PIM para grupos |
Advanced
1.2.3 Acceso dinámico basado en reglas, parte 2Las organizaciones del DoD expanden el desarrollo de reglas para la toma de decisiones de acceso dinámico teniendo en cuenta el riesgo. Las soluciones que se usan para el acceso dinámico se integran con la funcionalidad de aprendizaje automático e inteligencia artificial entre pilares y permiten la administración automatizada de reglas. Resultados: - Los componentes y servicios usan completamente las reglas para permitir el acceso dinámico a las aplicaciones y los servicios - La tecnología utilizada para el acceso dinámico basado en reglas admite la integración con herramientas de IA/ML |
Protección de Microsoft Entra ID Protección de Microsoft Entra ID usa algoritmos de aprendizaje automático (ML) para detectar usuarios y riesgos de inicio de sesión. Use condiciones de riesgo en las directivas de acceso condicional para el acceso dinámico, en función del nivel de riesgo. - Protección de Microsoft Entra ID - Detecciones de riesgos - Directivas de acceso basadas en riesgos XDR de Microsoft Defender XDR de Microsoft Defender es una solución de detección y respuesta extendidas (XDR). Implemente Microsoft Defender para punto de conexión y Microsoft Defender for Cloud Apps y configure integraciones. - Integración de Defender para punto de conexión con Defender for Cloud Apps |
Advanced
1.2.4 Roles y permisos de gobernanza empresarial, parte 1Las organizaciones del DoD federan los atributos restantes de usuario y grupo según corresponda a la solución de administración de identidades, credenciales y acceso (ICAM) empresarial. El conjunto de atributos actualizado se usa para crear roles universales para que las organizaciones los usen. Las funciones principales de las soluciones de proveedor de identidades (IdP) y de administración de identidades, credenciales y acceso (ICAM) se migran a servicios en la nube o entornos que permiten mejorar la resistencia y el rendimiento. Resultados: - Repositorio de datos de roles y atributos de componente federado con ICAM empresarial - Las aplicaciones locales y en la nube pueden usar proveedores de identidades empresariales basados en la nube - Se crean conjuntos estandarizados de roles y permisos y se alinean con atributos |
Microsoft Entra ID es una plataforma de administración de identidades, credenciales y acceso (ICAM) administrada centralmente y multinube y un proveedor de identidades (IdP). Establezca la identidad híbrida con Microsoft Entra Connect para rellenar los datos de usuario en el directorio. - Microsoft Entra ID - Identidad híbrida Aplicaciones de Microsoft Entra Integración de aplicaciones con Microsoft Entra ID y uso de grupos de seguridad dinámicos, roles de aplicación y atributos de seguridad personalizados para controlar el acceso a las aplicaciones. - Administración de aplicaciones - Control del acceso a las aplicaciones Proxy de aplicación de Microsoft Entra A fin de usar Microsoft Entra ID para las aplicaciones que usan protocolos de autenticación heredados, implemente y configure el proxy de aplicación o integre soluciones de asociados de acceso híbrido seguro (SHA). - SHA: protección de aplicaciones heredadas |
Advanced
1.2.5 Roles y permisos de gobernanza empresarial, parte 2Las organizaciones del DoD mueven todas las funciones posibles de las soluciones de proveedor de identidades (IdP) y administración de identidades, credenciales y acceso (ICAM) a entornos en la nube. Los entornos de enclave o DDIL admiten funciones locales para admitir funciones desconectadas, pero en última instancia se administran mediante las soluciones centralizadas de administración de identidades, credenciales y acceso (ICAM). Ahora se exigen roles actualizados para el uso y las excepciones se revisan siguiendo un enfoque basado en riesgos. Resultados: - La mayoría de los componentes usan la funcionalidad de IdP en la nube Siempre que sea posible, se retira el IdP local - Se exigen permisos y roles de uso al evaluar atributos |
Aplicaciones de Microsoft Entra Migración de aplicaciones modernas de Servicios de federación de Active Directory (AD FS) a Microsoft Entra ID y, después, retirada la infraestructura de AD FS. - Migración de la autenticación de aplicaciones de AD FS a Microsoft Entra ID Aprovisionamiento de aplicaciones de Microsoft Entra Movimiento de los procesos restantes de ICAM y aprovisionamiento de aplicaciones desde sistemas de administración de identidades locales a Microsoft Entra ID. - Aprovisionamiento de entrada controlado por API - Aprovisionamiento de aplicaciones de |
1.3 Autenticación multifactor
Microsoft Entra ID admite la autenticación basada en certificados (CBA), incluidas las tarjetas de acceso común (CAC) de DoD y la verificación de identidad personal (PIV) sin la federación con otro IdP, para usuarios en la nube e híbridos (sincronizados). Microsoft Entra ID admite varios métodos de autenticación sin contraseña multifactor resistentes a la suplantación de identidad estándar del sector, como CBA, Windows Hello para empresas, claves de seguridad FIDO2 y claves de acceso.
Puede crear directivas de acceso condicional para aplicar la seguridad de autenticación y autorizar dinámicamente el acceso en función de las condiciones de usuario, dispositivo y entorno, incluido el nivel de riesgo.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target
1.3.1 MFA e IDP para la organizaciónLas organizaciones del DoD adquieren e implementan una solución de proveedor de identidades (IdP) centralizada y una solución multifactor (MFA). La solución de IdP y MFA se pueden combinar en una sola aplicación o separarse según sea necesario, siempre que las dos soluciones admitan la integración automatizada. Tanto IdP como MFA admiten la integración con la funcionalidad de PKI empresarial y permiten que las entidades de certificación raíz de confianza firmen pares de claves. Las aplicaciones y servicios críticos para la tarea o la misión usan la solución de IdP y MFA para la administración de usuarios y grupos. Resultados: - El componente usa IdP con MFA para aplicaciones o servicios críticos - Los componentes han implementado un proveedor de identidades (IdP) que habilita la autenticación multifactor PKI del DoD - PKI estandarizada de la organización para servicios críticos |
Métodos de autenticación de Microsoft Entra Configuración de CBA de Microsoft Entra mediante PKI de DoD. Establezca el nivel de protección global en la autenticación de un solo factor. Cree reglas para cada CA emisora del DoD u OID de directiva para identificar la PKI de DoD como nivel de protección de autenticación multifactor. Tras la configuración, los usuarios inician sesión en Microsoft Entra con un CAC del DoD. - Autenticación en Microsoft Entra CBA - Microsoft Entra CBA - Configure CBA Implementación escalonada Use una implementación escalonada para migrar la autenticación de usuarios desde un servicio de federación local a Microsoft Entra CBA. Véase la guía de Microsoft en 1.2.4. Fuerza de autenticación de Microsoft Entra Cree una nueva fuerza de autenticación denominada CAC de DoD. Elija la autenticación basada en certificados (multifactor). Configure opciones avanzadas y seleccione emisores de certificados para PKI de DoD. - Seguridad de autenticación - Puntos fuertes de la autenticación personalizada Microsoft Intune Microsoft Entra admite dos métodos para usar certificados en un dispositivo móvil: credenciales derivadas (certificados en el dispositivo) y claves de seguridad de hardware. Para usar credenciales derivadas de PKI de DoD en dispositivos móviles administrados, use Intune para implementar DISA Purebred. - Credenciales derivadas - CBA en dispositivos iOS - CBA en dispositivos Android |
Advanced
1.3.2 MFA flexible alternativa, parte 1El proveedor de identidades (IdP) de la organización del DoD admite métodos alternativos de autenticación multifactor que cumplen los requisitos de ciberseguridad (por ejemplo, FIPS 140-2, FIPS 197, etc.). Se pueden usar tokens alternativos para la autenticación basada en aplicaciones. Las opciones multifactor admiten la funcionalidad biométrica y se pueden administrar mediante un enfoque de autoservicio. Siempre que sea posible, los proveedores multifactor se mueven a servicios en la nube en lugar de hospedarse en el entorno local. Resultados: - IdP proporciona tokens alternativo de autoservicio de usuario - IdP proporciona MFA de token alternativo para aplicaciones aprobadas por la directiva |
Métodos de autenticación de Microsoft Entra Configure métodos de autenticación de Microsoft Entra para que los usuarios registren claves de acceso (claves de seguridad FIDO2). Use valores opcionales para configurar una directiva de restricción de claves para las claves compatibles con FIPS 140-2. - Inicio de sesión con clave de seguridad sin contraseña - Métodos de autenticación Pase de acceso temporal Configure un pase de acceso temporal (TAP) para que los usuarios registren autenticadores sin contraseña alternativos sin un CAC. - Configuración de TAP Acceso condicional Cree una directiva de acceso condicional a fin de exigir la seguridad de la autenticación: CAC de DoD para el registro de información de seguridad. La directiva exige que CAC registre otros autenticadores, como las claves de seguridad FIDO2. - Registro de información de seguridad Consulte la guía de Microsoft en la versión 1.3.1. Windows Hello para empresas Use Windows Hello para empresas con un PIN o un gesto biométrico para el inicio de sesión de Windows. Use directivas de administración de dispositivos para la inscripción de Windows Hello para empresas para dispositivos Windows proporcionados por la empresa. - Windows Hello para empresas |
Advanced
1.3.3 MFA flexible alternativa, parte 2Los tokens alternativos utilizan patrones de actividad de usuario de actividades entre pilares, como "Supervisión de la actividad del usuario (UAM) y Análisis del comportamiento de entidades y usuarios (UEBA)" para ayudar con la toma de decisiones de acceso (por ejemplo, no conceder acceso cuando se produce la desviación del patrón). Esta funcionalidad también se amplía a los tokens alternativos habilitados para biometría. Resultado: - Patrones de actividad de usuario implementados |
Protección de Microsoft Entra ID Protección de Microsoft Entra ID aprendizaje automático (ML) e inteligencia sobre amenazas para detectar usuarios y riesgos de inicio de sesión. Use las condiciones de riesgo de inicio de sesión y de usuarios para dirigir las directivas de acceso condicional a los niveles de riesgo. Comience con la protección de línea de base de exigir la MFA para los inicios de sesión de riesgo. - Microsoft Entra ID Protection - Implementación de la protección de la identidad Acceso condicional Cree un conjunto de directivas de acceso condicional basadas en riesgo que usen controles de concesión y sesión para exigir una protección más sólida a medida que aumenta el riesgo. - Configuración y habilitación de directivas de riesgo - Acceso condicional: Sesión - Acceso condicional: Concesión Ejemplos de directivas de acceso condicional basado en riesgos: Riesgo de inicio de sesión medio - Exigir la seguridad de autenticación: MFA resistente a la suplantación de identidad - Exigir dispositivos compatibles - Frecuencia de inicio de sesión: 1 hora Alto riesgo de inicio de sesión - Exigir la seguridad de autenticación: MFA resistente a la suplantación de identidad - Exigir dispositivos compatibles - Frecuencia de inicio de sesión: siempre Riesgo de usuario alto - Exigir la seguridad de autenticación: MFA resistente a la suplantación de identidad - Exigir dispositivos compatibles - Frecuencia de inicio de sesión: siempre Microsoft Sentinel Configure una regla de análisis de Sentinel y un cuaderno de estrategias a fin de crear un incidente para alertas de Protección de Entra ID cuando el riesgo del usuario sea alto. - Conector de Protección Microsoft Entra ID para Sentinel - User:revokeSignInSessions |
1.4 Administración de acceso con privilegios
Gobierno de Microsoft Entra ID habilita las características de PAM, como la administración Just-In-Time (JIT), la administración de derechos y las revisiones de acceso periódicas. Privileged Identity Management (PIM) de Microsoft Entra le ayuda a descubrir cómo se asignan los roles en la organización. Use PIM para convertir JIT de asignaciones de roles permanentes, personalizar los requisitos de asignación de roles y activación, y también programar revisiones de acceso.
El acceso condicional exige la seguridad de autenticación, el nivel de riesgo y el dispositivo de estación de trabajo de acceso con privilegios (PAW) compatible para el acceso con privilegios. Las acciones administrativas en Microsoft Entra ID se registran en los registros de auditoría de Microsoft Entra.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target
1.4.1 Implementación del sistema y migración de usuarios con privilegios, parte 1Las organizaciones del DoD adquieren e implementan una solución de Privileged Access Management (PAM) para admitir todos los casos de uso con privilegios críticos. Los puntos de integración de aplicaciones o servicios se identifican para determinar el estado de compatibilidad con la solución de PAM. Las aplicaciones o servicios que se integran fácilmente con la solución de PAM pasan a usar la solución frente a los permisos con privilegios estáticos y directos. Resultados: - Se implementan herramientas de Privilege Access Management (PAM) - Aplicaciones y dispositivos que admiten y no admiten herramientas de PAM identificadas - Las aplicaciones que admiten PAM ahora usan PAM para controlar las cuentas integradas o de emergencia |
Privileged Identity Management Implemente PIM para proteger los roles de Microsoft Entra ID y Azure. Use detección y conclusiones de PIM para identificar roles y grupos con privilegios. Use PIM para administrar privilegios detectados y convertir asignaciones de usuario de permanentes a aptas. - Información general de PIM - Detección y conclusiones para roles - Recursos de Azure Microsoft Intune Implemente PAW administrada por Intune para la administración de Microsoft Entra, Microsoft 365 y Azure. - Estrategia de acceso con privilegios Acceso condicional Use directivas de acceso condicional para exigir dispositivos compatibles. Para aplicar PAW, use filtros de dispositivo en el control de concesión de dispositivos compatibles con el acceso condicional. - Filtros para dispositivos |
Target
1.4.2 Implementación del sistema y migración de usuarios con privilegios, parte 2Las organizaciones del DoD usan el inventario de aplicaciones o servicios admitidos y no admitidos para la integración con la solución de Privileged Access Management (PAM) para ampliar las integraciones. PAM se integra con las aplicaciones y servicios más difíciles para maximizar la cobertura de la solución de PAM. Las excepciones se administran en un enfoque metódico basado en riesgos con el objetivo de desactivar la migración o retirar las aplicaciones o servicios que no admiten soluciones de PAM. Resultado: - Las actividades con privilegios se migran a PAM y el acceso está totalmente administrado |
Privileged Identity Management Uso de grupos de acceso con privilegios y PIM para grupos para ampliar el acceso Just-In-Time (JIT) más allá de Microsoft Entra ID y Azure. Use los grupos de seguridad de Microsoft 365, XDR de Microsoft Defender o asignados a notificaciones de rol con privilegios para aplicaciones que no son de Microsoft integradas con Microsoft Entra ID. - Grupos a los que se pueden asignar roles - Inclusión de grupos en PIM - Asignaciones de usuarios y grupos a una aplicación Acceso condicional Use acciones protegidas para agregar otra capa de protección cuando los administradores realizan acciones que necesitan permisos con privilegios elevados en Microsoft Entra ID. Por ejemplo, administre directivas de acceso condicional y la configuración de acceso entre inquilinos. - Acciones protegidas Cree una directiva de acceso condicional para los usuarios con pertenencia activa a roles de Microsoft Entra. Exija la seguridad de autenticación: MFA resistente a la suplantación de identidad y dispositivos compatibles. Use filtros de dispositivo para exigir PAW compatibles. - Exigir autenticación multifactor para administradores - Filtro para dispositivos |
Advanced
1.4.3 Aprobaciones en tiempo real y análisis de JIT y JEA, parte 1La identificación de los atributos necesarios (usuarios, grupos, etc.) se automatiza e integra en la solución de Privileged Access Management (PAM). Las solicitudes de acceso con privilegios se migran a la solución de PAM para aprobaciones y denegaciones automatizadas. Resultados: - Cuentas, aplicaciones, dispositivos y datos identificados (de mayor riesgo para la misión del DoD) - Uso de herramientas de PAM, acceso JIT y JEA aplicado a cuentas de alto riesgo - Las solicitudes de acceso con privilegios se automatizan según corresponda |
Privileged Identity Manager Identifique roles de alto riesgo en el entorno, como roles de Microsoft Entra, roles de Azure como los de Propietario y Administrador de acceso de usuarios, y también grupos de seguridad con privilegios. - Procedimientos recomendados para roles - Roles con privilegios Configure los valores de rol de PIM para exigir la aprobación. - Configuración de roles de recurso de Azure - Configuración de roles de Microsoft Entra - Configuración de PIM para grupos Microsoft Entra ID Governance Use paquetes de acceso para administrar grupos de seguridad para la idoneidad de roles. Este mecanismo administra los administradores aptos; agrega solicitudes de autoservicio, aprobaciones y revisiones de acceso para la idoneidad del rol. - Administración de derechos Cree grupos a los que se les pueda asignar roles para roles con privilegios a fin de configurar las solicitudes y aprobaciones de idoneidad. Cree un catálogo denominado Administradores aptos para roles con privilegios. Agregue grupos a los que se pueden asignar roles como recursos. - Grupos a los que se pueden asignar roles - Creación y administración de catálogos de recursos Cree paquetes de acceso para grupos a los que se pueden asignar roles en el catálogo Administradores aptos para roles con privilegios. Puede exigir la aprobación cuando los usuarios soliciten elegibilidad en la administración de derechos, necesiten aprobación tras la activación en PIM o en ambos casos. - Paquetes de acceso |
Advanced
1.4.4 Aprobaciones en tiempo real y análisis JIT y JEA, parte 2Las organizaciones del DoD integran las soluciones Análisis del comportamiento de entidades y usuarios (UEBA) y Supervisión de la actividad del usuario (UAM) con la solución Privileged Access Management (PAM) a fin de proporcionar análisis de patrones de usuario para la toma de decisiones. Resultado: - UEBA o un sistema de análisis similar integrado con herramientas de PAM para aprobaciones de cuentas JIT o JEA |
Acceso condicional Defina un contexto de autenticación para el acceso con privilegios. Cree una o varias directivas de acceso condicional destinadas al contexto de autenticación de acceso con privilegios. Use condiciones de riesgo en la directiva y aplique controles de concesión y sesión para el acceso con privilegios. Se recomienda exigir la seguridad de la autenticación: MFA resistente a la suplantación de identidad, estación de trabajo de acceso con privilegios compatible. - Configuración del contexto de autenticación Consulte la guía de Microsoft en la versión 1.4.1. Para bloquear el acceso con privilegios cuando el riesgo de inicio de sesión es alto, cree más directivas de acceso condicional que tengan como destino el contexto de autenticación de acceso con privilegios con una condición para un alto riesgo de inicio de sesión. Repita este paso con una directiva para un riesgo de usuario alto. - Implementación de directivas Privileged Identity Management Configure los valores de rol de PIM para exigir el contexto de autenticación. Este valor aplica las directivas de acceso condicional para el contexto de autenticación elegido tras la activación del rol. - Pedir un contexto de autenticación |
1.5 Federación de identidades y credenciales de usuarios
Microsoft Entra ID desempeña un papel clave en la administración del ciclo de vida de la identidad (ILM). Un inquilino de Microsoft Entra es un servicio de directorio en la nube de hiperescala, una solución de identidad, credenciales y administración de acceso (ICAM) y proveedor de identidades (IdP). Admite el aprovisionamiento entre directorios y el aprovisionamiento de aplicaciones para administrar el ciclo de vida de los usuarios internos en Microsoft Entra ID y otras aplicaciones.
Las características de Gobierno de Microsoft Entra ID le ayudan a administrar el ciclo de vida de acceso de los derechos, como aplicaciones, Microsoft Teams y pertenencia a grupos de seguridad. La administración de derechos también se puede usar para incorporar y controlar invitados externos. Puede bloquear el acceso y quitar objetos de usuario invitado cuando se quite su último paquete de acceso. Para comprender cómo la organización puede migrar funciones de ILM a Microsoft Entra ID, consulte Camino a la nube.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target
1.5.1 Administración del ciclo de vida de identidad de la organizaciónLas organizaciones del DoD establecen un proceso para la administración del ciclo de vida de los usuarios, tanto con privilegios como estándar. Mediante el proveedor de identidades (IdP) de la organización el proceso se implementa y lo sigue el número máximo de usuarios. Los usuarios que se encuentran fuera del proceso estándar se aprueban mediante excepciones basadas en riesgos que se evaluarán periódicamente para la retirada. Resultado: - Proceso de ciclo de vida de identidad estandarizado |
Microsoft Entra ID Estandarice el ciclo de vida de las cuentas para identidades, incluidos usuarios, administradores, usuarios externos e identidades de aplicación (entidades de servicio). - Administración del ciclo de vida de la identidad - Operaciones de administración de identidades y acceso Gobierno de Microsoft Entra ID Establezca revisiones de acceso periódicas para usuarios y aplicaciones con privilegios en un inquilino. - Revisiones de acceso |
Target
1.5.2 Administración del ciclo de vida de la identidad empresarial, parte 1La empresa del DoD trabaja con organizaciones para revisar y alinear los estándares, directivas y procesos de ciclo de vida de la identidad existentes. Las organizaciones del DoD desarrollan y siguen una directiva consensuada finalizada y los procesos complementarios. Mediante las soluciones de proveedor de identidades (IdP) y administración de identidad y acceso (IdAM) centralizadas o federadas, las organizaciones del DoD implementan el proceso de administración del ciclo de vida empresarial para el número máximo de identidades, grupos y permisos. Las excepciones a la directiva se administran en un enfoque metódico basado en riesgos. Resultados: - Procesos de ciclo de vida de la identidad automatizados - Integración con herramientas y procesos de ICAM empresarial |
Microsoft Entra ID Si en la organización usan Active Directory, sincronice los usuarios para Microsoft Entra ID con Microsoft Entra Connect Sync o Microsoft Entra Connect Cloud Sync. Nota: No sincronice cuentas de Active Directory con privilegios ni asigne roles de nube con privilegios a cuentas sincronizadas. - Connect Sync - Cloud Sync - Protección de Microsoft 365 frente a ataques locales - Reducción del área expuesta a ataques Privileged Identity Management Administre el acceso administrativo con PIM. Establezca una cadencia de revisión de acceso para roles con privilegios de Microsoft Entra y Azure. - Cuentas con privilegios Métodos de autenticación de Microsoft Entra Usar métodos de MFA resistentes a la suplantación de identidad basada en la nube. Configure la autenticación basada en certificados (CBA) de Microsoft Entra con tarjetas de acceso comunes (CAC) de DoD para registrar otras credenciales sin contraseña. Consulte las instrucciones de Microsoft en 1.3.2. |
Advanced
1.5.3 Administración del ciclo de vida de la identidad empresarial, parte 2Las organizaciones del DoD integran aún más las funciones de automatización críticas de las soluciones de proveedor de identidades (IdP) y administración de identidades, credenciales y acceso (ICAM) siguiendo el proceso de administración del ciclo de vida empresarial para habilitar la automatización y el análisis empresariales. Los procesos principales de administración del ciclo de vida de la identidad se integran en la solución de ICAM empresarial basada en la nube. Resultados: - Integración con funciones de IDM o IDP críticas - Las funciones de ILM principales se basan en la nube |
Gobierno de Microsoft Entra ID Use la administración de derechos y las revisiones de acceso para administrar los ciclos de vida de acceso de los usuarios de la organización y los ciclos de vida de identidad de invitado externos. - Administración de derechos - Gobernanza de acceso de usuarios externos Identidades administradas Uso de identidades administradas para recursos de Azure y federación de identificadores de carga de trabajo para reducir el riesgo de administrar las credenciales de aplicación. - Identidades administradas - Federación de identidades de carga de trabajo directiva de administración de aplicaciones Configurar directivas de administración de aplicaciones para controlar los tipos de credenciales agregados a las aplicaciones del inquilino. Use la restricción passwordAddition a fin de exigir credenciales de certificado para las aplicaciones. - API de métodos de aplicación - Credenciales de certificado de autenticación de aplicaciones |
Advanced
1.5.4 Administración del ciclo de vida de la identidad empresarial, parte 3Las organizaciones del DoD integran los procesos restantes de administración del ciclo de vida de la identidad con la solución empresarial de administración de identidades, credenciales y acceso. Los entornos de enclave o DDIL, aunque todavía están autorizados para operar, se integran con la ICAM empresarial mediante conectores locales en el entorno de nube. Resultados: - Todas las funciones de ILM se mueven a la nube según corresponda - Integración con todas las funciones de IDM o IDP |
Aprovisionamiento de aplicaciones de Microsoft Entra Use el aprovisionamiento de aplicaciones de Microsoft Entra para sincronizar identidades con las aplicaciones de SCIM, SQL, LDAP, PowerShell y servicios web. Use la aplicación controlada por API para aprovisionar usuarios en instancias dispares de Active Directory. - Aprovisionamiento de aplicaciones - Aprovisionamiento de aplicaciones locales - Configuración de aplicaciones de aprovisionamiento controladas por API |
1.6 Comportamiento, identificador contextual y biometría
Protección de Microsoft Entra ID le ayuda a detectar, corregir y evitar amenazas de identidad mediante el aprendizaje automático (ML) y la inteligencia sobre amenazas. Esta característica detecta riesgos en tiempo real durante el inicio de sesión del usuario y los riesgos sin conexión calculados a lo largo del tiempo. Entre los riesgos se incluyen anomalías en tokens, propiedades de inicio de sesión inusuales, recorridos imposibles, comportamientos sospechoso del usuario, etc.
La protección de la identidad se integra con XDR de Microsoft Defender para mostrar los riesgos de identidad detectados por otros componentes de la familia de productos de Microsoft Defender.
Para más información, vea ¿Qué son las detecciones de riesgo?
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target
1.6.1 Implementación de análisis de comportamiento de usuarios y entidadesLas herramientas (UEBA) y de supervisión de actividades del usuario (UAM) de las organizaciones del DoD adquieren e implementan soluciones de Análisis de comportamiento de usuarios y entidades (UEBA) y Supervisión de actividades de usuario (UAM). El punto de integración inicial con el IdP empresarial se ha completado para permitir el uso futuro en la toma de decisiones. Resultado: - Se implementa la funcionalidad de UEBA y UAM para el IDP empresarial |
Protección de Microsoft Entra ID Implemente Protección de Microsoft Entra ID para obtener detenciones de riesgo en tiempo real y sin conexión para los usuarios y los eventos de inicio de sesión. Amplíe las detecciones de riesgos de identidad a las identidades de aplicación (entidades de servicio) mediante Microsoft Entra Workload ID, Workload Identities Premium edition. - Asegure las identidades de carga de trabajo - Directiva basada en riesgos para identidades de carga de trabajo Vea las directrices de Microsoft en 1. 3.3. Microsoft Defender for Cloud Apps Implemente Defender for Cloud Apps y configure las integraciones con Microsoft Defender para punto de conexión y soluciones externas. Configure directivas de detección de anomalías en Defender for Cloud Apps. - Integración de Defender para punto de conexión con Defender for Cloud Apps - Integraciones de soluciones externas - Detección de actividad sospechosa del usuario con UEBA Microsoft Defender para punto de conexión Incorporación de puntos de conexión a Defender para punto de conexión. Configure las integraciones entre Defender para punto de conexión y Microsoft Intune. - Defender para punto de conexión y otras soluciones Microsoft Intune Configure integraciones con Defender para punto de conexión y use la puntuación de riesgo de la máquina de Defender para punto de conexión en la directiva de cumplimiento de dispositivos. - Reglas de Defender para punto de conexión Acceso condicional Cree directivas de acceso condicional para exigir dispositivos compatibles. Antes de conceder acceso, el control necesita un dispositivo marcado como compatible en Microsoft Intune. La integración entre Defender para punto de conexión e Intune proporciona una imagen general del estado del dispositivo y el nivel de riesgo en función del estado de cumplimiento. - Directivas de cumplimiento para establecer reglas para dispositivos administrados por Intune Microsoft Sentinel Conexión de orígenes de datos a Sentinel y habilitación de UEBA para registros de auditoría, registros de inicio de sesión, actividad de Azure y eventos de seguridad. - Habilitación de UEBA - Amenazas avanzadas con UEBA |
Advanced
1.6.2 Supervisión de la actividad del usuario, parte 1Las organizaciones del DoD integran soluciones de Análisis de comportamiento de usuarios y entidades (UEBA) y Supervisión de actividades de usuario (UAM) con proveedores de identidades (IdP) de la organización para obtener una visibilidad ampliada según sea necesario. El análisis y los datos generados por UEBA y UAM para aplicaciones y servicios críticos se integran con la solución Just-In-Time y Just-Enough-Access, lo que mejora aún más la toma de decisiones. Resultados: - UEBA se integra con los IDP de la organización según corresponda - UEBA se integra con JIT/JEA para servicios críticos |
Privileged Identity Management Implementación de PIM e incorporación de roles con privilegios. Defina un contexto de autenticación para el acceso con privilegios. Use condiciones de riesgo en el contexto de autenticación y configure los ajustes del rol PIM para requerir el contexto de autenticación en el momento de la activación. Vea la guía de Microsoft en 1.4.4. Microsoft Sentinel Conecte las fuentes de datos a Sentinel y habilite UEBA para registros de auditoría, registros de inicio de sesión, actividad de Azure y eventos de seguridad. - Habilite UEBA - Amenazas avanzadas con UEBA Microsoft Defender for Cloud Apps Supervise y controle las sesiones a aplicaciones en la nube con Defender for Cloud Apps. - Proteja las aplicaciones con App Control - Directivas de sesión - Investigación a los usuarios de riesgo |
Advanced
1.6.3 Supervisión de la actividad del usuario, parte 2Las organizaciones del DoD continúan con el uso del análisis de soluciones de Análisis de comportamiento de usuarios y entidades (UEBA) y Supervisión de actividades de usuario (UAM) mediante datos generados para todas las aplicaciones y servicios supervisados cuando la toma de decisiones tiene lugar en la solución Just-in-Time y Just-Enough-Access. Resultados: - La supervisión de entidades o UEBA se integra con JIT/JEA para todos los servicios |
Privileged Identity Management Use PIM para grupos para ampliar el acceso Just-In-Time (JIT) a las aplicaciones mediante roles de aplicación. Asigne grupos, administrados por PIM, a los roles de aplicación con privilegios. - PIM para grupos - Adición de roles de aplicación a una aplicación |
1.7 Acceso con privilegios mínimos
El acceso a las aplicaciones que usan Microsoft Entra ID es denegado de manera predeterminada. Las características de Gobierno de Microsoft Entra ID, como la administración de derechos y las revisiones de acceso, garantizan que el acceso está limitado al tiempo, se alinea con el principio de privilegios mínimos y aplica controles para la separación de tareas.
Use roles integrados de Microsoft Entra para asignar permisos con privilegios mínimos por tarea. Las unidades administrativas permiten definir el ámbito de los permisos basados en recursos para los usuarios y dispositivos de Microsoft Entra ID.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target
1.7.1 Denegación del usuario por la directiva predeterminadaLas organizaciones del DoD auditan el uso interno de usuarios y grupos para permisos y revocan permisos siempre que sea posible. Esta actividad incluye la revocación o retirada de permisos y acceso excesivos para identidades y grupos basados en aplicaciones o servicios. Siempre que sea posible, los usuarios con privilegios estáticos se retiran o se reducen los permisos, como preparación al acceso futuro dinámico o basado en reglas. Resultados: - Las aplicaciones se actualizan para denegar de forma predeterminada funciones o datos que exigen roles o atributos específicos para el acceso - Se implementan niveles de permisos predeterminados reducidos - Las aplicaciones o los servicios han revisado o auditado a todos los usuarios con privilegios y han quitado a los usuarios con privilegios que no necesitan ese nivel de acceso |
Microsoft Entra ID Revisión y restricción de los permisos de usuario e invitado predeterminados en Microsoft Entra ID. Restrinja el consentimiento del usuario a las aplicaciones y revise el consentimiento actual en la organización. - Permisos de usuario predeterminados - Restricción de los permisos de consentimiento del usuario Aplicaciones de Microsoft Entra El acceso a las aplicaciones de Microsoft Entra se deniega de forma predeterminada. Microsoft Entra ID comprueba los derechos y aplica las directivas de acceso condicional para autorizar el acceso a los recursos. - Integración de aplicaciones - Integración de aplicaciones Gobierno de Microsoft Entra ID Use la característica de gobernanza de identidades de administración de derechos para administrar los ciclos de vida de identidad y acceso. Busque flujos de trabajo de solicitud de acceso automatizados, asignaciones de acceso, revisiones y expiración. - Administración de derechos - Revisiones de acceso Roles personalizados Uso de roles integrados de Microsoft Entra ID para la administración de recursos. Pero si los roles no satisfacen las necesidades de la organización, o para minimizar los privilegios de los usuarios administrativos, cree un rol personalizado. Conceda permisos granulares de roles personalizados para administrar usuarios, grupos, dispositivos, aplicaciones y mucho más. - Roles personalizados Unidades administrativas Una unidad administrativa es un recurso de Microsoft Entra que contiene otros recursos de Microsoft Entra, como usuarios, grupos o dispositivos. Use unidades administrativas para delegar permisos a un subconjunto de administradores, en función de la estructura organizativa. - Unidades administrativas - unidades administrativas de administración restringidas - Crear o eliminar unidades administrativas Administración de identidades privilegiadas Usar la detección e información de PIM para administrar privilegios y reducir el número de administradores. Configure alertas de PIM cuando se asignen roles con privilegios fuera de PIM. - Acceso con privilegios híbrido y en la nube - Alertas de seguridad para roles de Microsoft Entra - Alertas de seguridad para roles de Azure Microsoft Defender for Cloud Apps Revisión de los permisos concedidos a las aplicaciones. Investigue las aplicaciones de OAuth de riesgo en Defender for Cloud Apps. - Revisión de los permisos concedidos a las aplicaciones - Investigación de aplicaciones de OAuth de riesgo Microsoft Sentinel Uso de PIM para asignar roles de Azure para el acceso a Sentinel y auditar periódicamente consultas y actividades. - Auditoría de consultas y actividades |
1.8 Autenticación continua
Microsoft Entra ID usa tokens de corta y larga duración para autenticar a los usuarios periódicamente en aplicaciones y servicios que Microsoft Entra protege. Microsoft Entra ID tiene el mecanismo de evaluación continua de acceso (CAE) para mejorar el protocolo estándar. El motor de directivas responde a los cambios del entorno casi en tiempo real y aplica directivas de acceso adaptables.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target
1.8.1 Autenticación únicaLas organizaciones del DoD usan procesos de autenticación básicos para autenticar a los usuarios y NPE al menos una vez por sesión (por ejemplo, al inicio de sesión). En concreto, los usuarios autenticados se administran mediante la actividad paralela "MFA/IDP de la organización" con el proveedor de identidades (IdP) de la organización frente al uso de identidades y grupos basados en aplicaciones o servicios. Resultado: - Autenticación implementada en todas las aplicaciones por sesión |
Microsoft Entra ID Microsoft Entra ID es un proveedor de identidades (IdP) centralizado que facilita el inicio de sesión único (SSO) entre las aplicaciones en la nube de Microsoft y las aplicaciones que se usan en la organización. - Microsoft Entra ID Inicio de sesión único El método de autenticación de inicio de sesión único (SSO) permite a los usuarios usar sus credenciales de Microsoft Entra ID para autenticar aplicaciones y servicios. Las aplicaciones pueden ser SaaS, aplicaciones de línea de negocio personalizadas o aplicaciones locales. Use la autenticación de Microsoft Entra y las funcionalidades de Confianza cero para permitir el acceso seguro y sencillo a las aplicaciones. - ¿Qué es el inicio de sesión único? - Integraciones de Microsoft Entra con protocolos de autenticación Aprovisionamiento de aplicaciones de Microsoft Entra El aprovisionamiento de aplicaciones de Microsoft Entra crea, actualiza y quita usuarios, roles y grupos en aplicaciones SaaS y aplicaciones personalizadas o locales. Use Microsoft Entra ID como origen de identidad centralizado para las aplicaciones. Minimice las identidades de aplicación o servicio y los usuarios. - Aprovisionamiento automatizado - Aprovisionamiento de aplicaciones Carga de trabajo de Microsoft Entra ID Las entidades de servicio e identidades administradas son identidades de entidad no persona (NPE) en Microsoft Entra. Use entidades de servicio para el acceso automatizado (no interactivo) a las API protegidas por Microsoft Entra. - Identidades de carga de trabajo - Entidades de servicio de Microsoft Entra ID |
Target
1.8.2 Autenticación periódicaLas organizaciones del DoD habilitan los requisitos de autenticación periódica para aplicaciones y servicios. Tradicionalmente, estos se basan en la duración o el tiempo de espera, pero se pueden usar otros análisis basados en períodos para volver a exigir la autenticación de las sesiones de usuario. Resultado: - Autenticación implementada varias veces por sesión en función de los atributos de seguridad |
Aplicaciones de Microsoft Entra Las aplicaciones de Microsoft Entra administran automáticamente la actualización de sesión sin interacción del usuario. Vea la guía de Microsoft en 1.8.1. Acceso condicional Configuración del control de sesiones frecuencia de inicio de sesión en el acceso condicional para volver a autenticar las sesiones de usuario. Use la característica cuando los inicios de sesión sean peligrosos o un dispositivo de usuario sea no administrado o no compatible. - Configuración de la administración de sesiones de autenticación - Directivas de acceso en Defender for Cloud Apps |
Advanced
1.8.3 Autenticación continua, parte 1Las aplicaciones o servicios de las organizaciones del DoD usan varias autenticaciones de sesión basadas en atributos de seguridad y acceso solicitados. Los cambios de privilegios y las solicitudes de transacción de asociación necesitan niveles de autenticación adicionales, como envíos de autenticación multifactor (MFA) para los usuarios. Resultado: - Autenticación de la transacción implementada por sesión en función de los atributos de seguridad |
Evaluación continua del acceso CAE se basa en un estándar OpenID que mejora la expiración y los mecanismos de actualización de tokens basados en tiempo para lograr una respuesta a las infracciones de directivas. CAE requiere un token de acceso nuevo en respuesta a eventos críticos, como un usuario que pasa de una ubicación de red de confianza a otra que no lo es. Implemente CAE con aplicaciones cliente y las API de servicio back-end. - Evaluación continua del acceso - Evaluaciones de eventos críticos Las aplicaciones de Microsoft Office que usan Microsoft Graph API, Outlook Online API y SharePoint Online API admiten CAE. Desarrolle aplicaciones con las bibliotecas de autenticación de Microsoft (MSAL) más recientes para acceder a las API habilitadas para CAE. - CAE para Microsoft 365 - API habilitadas para CAE en aplicaciones Acceso condicional Defina y use el contexto de autenticación de acceso condicional para proteger sitios confidenciales de SharePoint, Microsoft Teams, aplicaciones protegidas de Microsoft Defender for Cloud Apps, activación de roles de PIM y aplicaciones personalizadas. - Contexto de autenticación - Directiva para sitios de SharePoint y OneDrive - Directivas de sesión en Defender for Cloud Apps - Exigencia del contexto de autenticación para roles de PIM - Guía de contexto de autenticación Use acciones protegidas para agregar otra capa de protección cuando los administradores realizan acciones que requieren permisos con privilegios elevados en Microsoft Entra ID, como administrar directivas de acceso condicional y valores de acceso entre inquilinos. Proteja las acciones de usuario, como las de registrar información de seguridad y unir dispositivos. - Acciones protegidas - Recurso de destino Privileged Identity Management Exigencia del contexto de autenticación para la activación de roles de PIM. Vea la guía de Microsoft en 1.4.4. |
Advanced
1.8.4 Autenticación continua, parte 2Las organizaciones del DoD siguen usando la autenticación basada en transacciones para incluir la integración, como los patrones de usuario. Resultado: - Autenticación de la transacción implementada por sesión en función de los atributos de seguridad, incluidos patrones de usuario |
Protección de Microsoft Entra ID Cuando Protección de Microsoft Entra ID detecta comportamientos anómalos, sospechosos o de riesgo, aumenta el nivel de riesgo del usuario. Cree directivas de Acceso Condicional utilizando condiciones de riesgo, incrementando las protecciones con el nivel de riesgo. - Detecciones de riesgo Véase la guía de Microsoft en 1.3.3. Evaluación continua del acceso El incremento del nivel de riesgo es un evento CAE crítico. Los servicios que implementan CAE, por ejemplo, la API de Exchange Online, requieren que el cliente (Outlook) vuelva a autenticarse para la siguiente transacción. Las directivas de acceso condicional para el mayor nivel de riesgo se cumplen antes de que Microsoft Entra ID emita un nuevo token de acceso para el acceso a Exchange Online. - Evaluación de eventos críticos |
1.9 Plataforma de ICAM integrada
Microsoft Entra ID admite la autenticación de certificados con certificados emitidos por una infraestructura de clave pública externa (PKI) para entidades de usuario y no persona (NPE). Las NPE de Microsoft Entra ID son identidades de aplicación y dispositivo. La configuración de acceso entre inquilinos de Id. externa de Microsoft Entra ayuda a las organizaciones multiinquilino, como DoD, a colaborar sin problemas entre inquilinos.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target
1.9.1 PKI e IDP empresarial, parte 1La empresa del DoD trabaja con las organizaciones para implementar soluciones de Infraestructura de clave pública (PKI) y proveedor de identidades (IdP) de forma centralizada o federada. La solución de PKI empresarial utiliza un único conjunto de entidades de certificación raíz (CA) de nivel de empresa en las que, después, pueden confiar la organizaciones para crear CA intermedias. La solución Proveedor de identidades puede ser una única solución o un conjunto federado de IdP de la organización con nivel estándar de acceso entre organizaciones y un conjunto estandarizado de atributos. Los IdP y las entidades de certificación PKI de las organizaciones se integran con las soluciones de IdP y PKI de empresa. Resultados: - Componentes usan IdP con MFA para todas las aplicaciones o servicios - MFA o PKI de la organización integrado con IdP O PKI de empresa - PKI estandarizado de la organización para todos los servicios |
Métodos de autenticación de Microsoft Entra ID Utilice la directiva de métodos de autenticación en Microsoft Entra ID para controlar los métodos de autenticación del usuario. - Microsoft Entra CBA Vea la guía de Microsoft en 1.3.1. Fuerza de autenticación Use la fuerza de autenticación para controlar el acceso de los usuarios a los recursos. - Fuerza de autenticación Identificación externa de Microsoft Entra Configure el acceso entre inquilinos para los inquilinos de Microsoft Entra ID del DoD. Use la configuración de confianza para aceptar MFA y notificaciones de dispositivos compatibles para identidades externas de inquilinos de DoD de confianza. - Acceso entre inquilinos Directiva de administración de aplicaciones La directiva de administración de aplicaciones de inquilino es un marco para implementar procedimientos recomendados de seguridad para las aplicaciones del inquilino. Use la directiva para restringir las credenciales de aplicación a los certificados emitidos por una PKI de confianza. Para crear una cadena de certificados de confianza, agregue una nueva colección de entidades de certificación (CA) a certificados de CA raíz e intermedios para la PKI empresarial. - Tipo de recurso certificateBasedApplicationConfiguration Para crear una directiva de administración de aplicaciones a fin de exigir certificados emitidos por entidades de certificación de confianza, configure restricciones para no permitir passwordAddition y exigir trustedCertificateauthority. Especifique el identificador de colección de la CA de confianza que ha creado. - API de métodos de autenticación de aplicaciones Microsoft Intune Intune admite certificados de estándares de criptografía de clave pública y privada (PKCS). - Certificados PKCS |
Advanced
1.9.2 PKI o IDP de empresa, parte 2Las organizaciones del DoD habilitan la compatibilidad biométrica en el proveedor de identidades (IdP) para aplicaciones y servicios críticos para la misión o la tarea según corresponda. La funcionalidad biométrica se ha cambiado de soluciones de la organización a la empresa. La infraestructura de clave pública (PKI) y la autenticación multifactor (MFA) de la organización se han retiran y migran a la empresa según corresponda. Resultados: - Servicios de la organización críticos integrados con biometría - Retirada de MFA y PKI de la organización según corresponda en lugar de MFA y PKI empresarial - Funciones biométricas empresariales implementadas |
Microsoft Entra ID Microsoft admite la biometría en varios componentes compatibles con la autenticación de Microsoft Entra ID Métodos de autenticación Microsoft Entra ID admite claves de acceso de hardware (claves de seguridad FIDO2) que usan presencia o huella digital. - Claves de seguridad FIDO Windows Hello para empresas Windows Hello para empresas usa gestos biométricos, como la huella digital y el examen facial. - Configuración del perfil de protección de identidades MacOS Los dispositivos MacOS tienen biometría, como Touch ID, para iniciar sesión con una credencial enlazada al dispositivo. - Complemento SSO para dispositivos Apple Microsoft Authenticator Los dispositivos móviles y Authenticator usan la función táctil y la cara para la autenticación sin contraseña. La compatibilidad con la clave de paso es otro método de autenticación resistente a la suplantación de identidad en Authenticator. - Autenticador - Inicio de sesión sin contraseña - Autenticación mejorada resistente a la suplantación de identidad (phishing) |
Advanced
1.9.3 PKI/IDP empresarial Parte 3Las organizaciones de DoD integran las aplicaciones o servicios restantes con funcionalidades biométricas. Se pueden usar tokens alternativos de Multi-Factor (MFA). Resultado: Todos los servicios de la organización integran datos biométricos |
Id. comprobado de Microsoft Entra Los escenarios de identidad descentralizada mediante el identificador comprobado puede requerir la verificación facial tras la presentación de credenciales. - Id. comprobado - Comprobación facial |
Pasos siguientes
Configuración de servicios en la nube de Microsoft para la estrategia de confianza cero del DoD: