Ciberseguridad

Las 15 configuraciones clave de Microsoft Entra ID que no puedes ignorar

Tiempo de lectura: 20 minutos

En el panorama actual de la ciberseguridad, los ataques dirigidos a las identidades de los usuarios están en constante aumento. Estudios recientes indican que más del 80% de las brechas de seguridad involucran credenciales comprometidas o identidades vulneradas. Esto resalta la importancia crucial de proteger las identidades en entornos empresariales. Microsoft Entra ID, antes conocido como Azure Active Directory, es una herramienta poderosa para gestionar identidades y accesos en la nube, pero requiere ajustes específicos para garantizar la máxima seguridad.

En Allbit Solutions, nuestras auditorías de seguridad en Microsoft 365 revisan más de 300 configuraciones críticas, siguiendo las mejores prácticas de Microsoft y las guías del CCNCert, orientadas al cumplimiento del Esquema Nacional de Seguridad (ENS). Este análisis exhaustivo es el primer paso de nuestro a servicio de seguridad, diseñado para identificar vulnerabilidades y mejorar la protección de su organización.

Las recomendaciones que compartiremos en este artículo forman parte de un subset de medidas esenciales relacionadas con Entra ID que verificamos en nuestra auditoría y corregimos, si es necesario, durante la prestación de nuestros a servicios de seguridad. Aunque no podemos asegurar que estas acciones evitarán completamente el robo de identidades, constituyen un sólido punto de partida para fortalecer la seguridad de su empresa y mitigar riesgos.

Este es el primero de una serie de artículos de Allbit Solutions donde abordaremos recomendaciones mínimas para distintos servicios de Microsoft 365. ¡Comencemos!

1. Limitar la Cantidad de Administradores Globales a 5 o Menos

Recomendación: Asegure que el número de Administradores Globales en su tenant sea igual o menor a cinco.

Por qué es importante: Los Administradores Globales tienen acceso completo a todas las configuraciones y recursos de Microsoft 365. Limitar su número reduce el riesgo de acceso no autorizado y posibles brechas de seguridad.

Cómo implementarlo:

  1. Inicie sesión en el Centro de administración de Microsoft 365 con credenciales de Administrador Global.
  2. Navegue a Usuarios > Usuarios activos.
  3. Seleccione Roles y luego Roles de administrador.
  4. Revise los usuarios asignados al rol de Administrador Global.
  5. Reasigne roles para reducir el número de Administradores Globales a cinco o menos.
  6. Asigne roles con menores privilegios a otros administradores según sus funciones.
https://admin.microsoft.com/#/users

2. No Expirar Contraseñas y Activar la Autenticación Multifactor

Recomendación: Configure las contraseñas para que no expiren y asegure que la autenticación multifactor (MFA) esté activa.

Por qué es importante: Las contraseñas que expiran pueden llevar a prácticas inseguras como contraseñas débiles. Combinarlas con MFA aumenta significativamente la seguridad al requerir un método de verificación adicional.

Cómo implementarlo:

  1. En el Centro de administración de Microsoft 365, vaya a Configuración > Configuración de la organización.
  2. Seleccione Seguridad y privacidad.
    https://admin.microsoft.com/#/Settings/SecurityPrivacy/:/Settings/L1/PasswordPolicy
  3. Desactive la opción Establecer que las contraseñas de usuario expiren después de un número de días.
  4. Inicie sesión en el Portal de Azure con credenciales de Administrador Global.
    • Navegue a Microsoft Entra ID > Seguridad > Acceso condicional.
    • Seleccione Crear nueva directiva a partir de plantillas.
      https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview
    • Revise y aplique las siguientes plantillas mínimas recomendadas:
      • Requerir MFA para administradores:
        • Protege las cuentas con roles administrativos exigiendo MFA al iniciar sesión.
        • Seleccione la plantilla y haga clic en Usar plantilla.
        • Revise la configuración y haga clic en Crear.
      • Requerir MFA para todos los usuarios:
        • Exige MFA para todos los usuarios de la organización al acceder a aplicaciones en la nube.
        • Seleccione la plantilla y haga clic en Usar plantilla.
        • Revise la configuración y haga clic en Crear.
      • Requerir MFA para la administración de Azure:
        • Asegura que cualquier acceso a tareas de administración de Azure requiera MFA.
        • Seleccione la plantilla y haga clic en Usar plantilla.
        • Revise la configuración y haga clic en Crear.
    • Asegúrese de habilitar cada política después de crearla.

      Antes de activar las directivas de acceso condicional en modo forzado, es recomendable configurarlas inicialmente en modo auditoría. Esto permite evaluar el impacto de las políticas sin afectar el acceso de los usuarios, evitando posibles bloqueos inesperados o pérdida de acceso. Además, este periodo de auditoría brinda tiempo suficiente para que los usuarios configuren el Multi-Factor Authentication (MFA) de forma adecuada, garantizando una transición más suave y controlada cuando las directivas se activen de manera definitiva. Mas abajo, en el punto "5. Asegurar que Todos los Usuarios Completen el Registro de MFA" podrás verificar que todos los usuarios hayan completado el registro antes de forzar la política.

    • Notificar a los usuarios:
  5. Nota: Las plantillas de acceso condicional proporcionan configuraciones predeterminadas que siguen las mejores prácticas de seguridad. Usarlas simplifica la implementación de políticas de seguridad efectivas sin necesidad de configurarlas desde cero.

3. No Permitir a los Usuarios Otorgar Consentimiento a Aplicaciones No Confiables

Recomendación: Impida que los usuarios otorguen permisos a aplicaciones que no son de confianza.

Por qué es importante: Permitir que los usuarios consientan aplicaciones no verificadas puede exponer a la organización a riesgos de seguridad, incluyendo acceso no autorizado y filtraciones de datos.

Cómo implementarlo:

  1. Inicie sesión en el Portal de Azure como Administrador Global.
  2. Navegue a Microsoft Entra ID -> Aplicaciones empresariales.
  3. Seleccione Seguridad -> Configuración del consentimiento de los usuarios.
    https://portal.azure.com/#view/Microsoft_AAD_IAM/ConsentPoliciesMenuBlade/~/UserSetting
  4. En Configuración del consentimiento de los usuarios, establezca No permitir consentimiento del usuario.
  5. Guarde los cambios.

4. Habilitar Política para Bloquear Autenticación Antigua

Recomendación: Implemente una política para bloquear protocolos de autenticación antiguos.

Por qué es importante: Los protocolos de autenticación antiguos no soportan métodos de seguridad modernos como MFA, lo que los hace vulnerables a ataques.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID -> Seguridad > Acceso condicional.
  2. Cree una nueva política a partir de plantillas: bloqueo de la autenticación heredada
    https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/CaTemplates.ReactView
  3. En Asignaciones, seleccione Usuarios y grupos y elija Todos los usuarios.
  4. En Aplicaciones en la nube o acciones, seleccione Todas las aplicaciones en la nube.
  5. En Condiciones, configure Cliente y marque Autenticación antigua.
  6. En Control de acceso, seleccione Bloquear acceso.
  7. Habilite la política.

Nota: Al crear una nueva política de acceso condicional a partir de la plantilla "Bloquear autenticación heredada", es importante excluir aquellas cuentas que, por razones de compatibilidad, necesiten utilizar protocolos antiguos como SMTP. Por ejemplo, algunas impresoras multifunción o aplicaciones antiguas podrían requerir estos protocolos. Asegúrese de restringir al mínimo tanto los usuarios afectados como las direcciones IP de origen.

Además, active inicialmente la política en modo de auditoría para monitorear su impacto y asegurarse de que las exclusiones y restricciones funcionen correctamente, sin interrumpir servicios críticos. Una vez validado el comportamiento, puede activar en modo forzado.

5. Asegurar que Todos los Usuarios Completen el Registro de MFA

Recomendación: Asegure que todos los usuarios hayan completado el registro de MFA.

Por qué es importante: La adopción completa de MFA mejora la postura de seguridad general. Habilitar MFA no es efectivo si los usuarios no completan el proceso de registro.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Métodos de autenticación > Detalles de registro del usuario
    https://portal.azure.com/#view/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/~/UserRegistrationDetails
  2. Revise el estado de MFA para todos los usuarios.
  3. Comuníquese con los usuarios que no hayan completado el registro.
  4. Ofrezca guía y soporte según sea necesario.

6. Proteger a Todos los Usuarios con una Política de Riesgo de Inicio de Sesión

Recomendación: Implemente una política de riesgo de inicio de sesión para proteger a los usuarios basándose en riesgos detectados.

Por qué es importante: Las políticas de riesgo de inicio de sesión ayudan a proteger automáticamente contra intentos sospechosos de inicio de sesión. Nota: Requiere la licencia Microsoft Entra ID P2.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID -> Seguridad > Protección de identidad > Directiva de riesgo de inicio de sesión.
    https://portal.azure.com/#view/Microsoft_AAD_IAM/IdentityProtectionMenuBlade/~/SignInPolicy
  2. Configure la política para incluir Todos los usuarios.
  3. En Condiciones, establezca el nivel de Riesgo de inicio de sesión en Baja y superior.
  4. En Acceso, seleccione Bloquear acceso.
  5. Habilite la política.

7. Proteger a Todos los Usuarios con una Política de Riesgo de Usuario

Recomendación: Implemente una política de riesgo de usuario para abordar cuentas comprometidas.

Por qué es importante: Las políticas de riesgo de usuario ayudan a detectar y remediar cuentas de usuario comprometidas. Nota: Requiere la licencia Microsoft Entra ID P2.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID > Seguridad > Protección de identidad > Política de riesgo de usuario.
    https://portal.azure.com/#view/Microsoft_AAD_IAM/IdentityProtectionMenuBlade/~/UserPolicy
  2. Incluya Todos los usuarios.
  3. Establezca el nivel de Riesgo de usuario en Medio y superior.
  4. En Acceso, seleccione Bloquear acceso.
  5. Habilite la política.

8. Prevenir que los Usuarios Creen Grupos de Seguridad

Recomendación: Restrinja a los usuarios la creación de grupos de seguridad.

Por qué es importante: Controlar la creación de grupos previene configuraciones inseguras y mantiene una administración ordenada.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID > Grupos > Configuración general.
    https://portal.azure.com/#view/Microsoft_AAD_IAM/GroupsManagementMenuBlade/~/General
  2. Establezca Los usuarios pueden crear grupos de seguridad en Azure Portals en No.
  3. Guarde los cambios.

9. Prevenir que los Usuarios Creen Grupos de Microsoft 365

Recomendación: Impida que los usuarios creen grupos de Microsoft 365.

Por qué es importante: Limitar la creación de grupos evita la proliferación de recursos innecesarios y posibles riesgos de seguridad.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID > Grupos > Configuración general.
    https://portal.azure.com/#view/Microsoft_AAD_IAM/GroupsManagementMenuBlade/~/General
  2. Establezca Los usuarios pueden crear grupos de Microsoft 365 en Azure Portal en No.
  3. Guarde los cambios.

10. Los Usuarios Invitados Deberían Tener Acceso Limitado a las Propiedades y Pertenencias de los Objetos del Directorio

Recomendación: Asegure que los usuarios invitados tengan acceso limitado a propiedades y membresías del directorio.

Por qué es importante: Limitar el acceso de invitados protege información sensible y reduce el riesgo de filtraciones de datos.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID > Usuarios > Configuración de usuario.
    https://portal.azure.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/UserSettings
  2. En Acceso de usuarios invitados, establezca Restricciones del acceso de usuario invitados en Los Usuarios Invitados Deberían Tener Acceso Limitado a las Propiedades y Pertenencias de los Objetos del Directorio.
  3. Guarde los cambios.

11. Solo los Usuarios Asignados a Roles de Administrador Específicos Pueden Invitar a Usuarios Invitados

Recomendación: Permita que solo ciertos roles administrativos puedan invitar a usuarios invitados.

Por qué es importante: Controlar quién puede invitar reduce riesgos de acceso no autorizado y protege la información interna.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID > Usuarios > Configuración de usuario > Administrar la Configuración de colaboración externa.
    https://portal.azure.com/#view/Microsoft_AAD_IAM/AllowlistPolicyBlade
  2. En Configuración de la invitación de usuarios, establezca Los usuarios miembros y los usuarios asignados a roles de administrador específicos pueden invitar a usuarios, incluidos aquellos con permisos de miembro.
  3. Asigne el rol Invitador de usuarios invitados a los usuarios que necesiten esta capacidad.

12. No Permitir el Consentimiento para Aplicaciones que Acceden a Datos

Recomendación: Impida que los usuarios y propietarios de grupos otorguen consentimiento a aplicaciones que acceden a datos de la organización.

Por qué es importante: Esto previene que aplicaciones no autorizadas accedan a datos sensibles a través del consentimiento de propietarios de grupos.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID > Aplicaciones empresariales > Consentimiento y permisos > Configuración del consentimiento de los usuarios.
    https://portal.azure.com/#view/Microsoft_AAD_IAM/ConsentPoliciesMenuBlade/~/UserSettings
  2. En Consentimiento del usuario para las aplicaciones, establezca No permitir consentimiento del usuario.
  3. Guarde los cambios.
  4. En Configuración de consentimiento del administrador, establezca Solicitudes de consentimiento del administrador en No.
  5. Guarde los cambios.

13. Los Buzones Compartidos Deberían Tener el Inicio de Sesión Bloqueado

Recomendación: Asegure que el inicio de sesión esté deshabilitado para todos los buzones compartidos.

Por qué es importante: Los buzones compartidos están diseñados para acceso sin credenciales individuales; habilitar el inicio de sesión puede representar un riesgo de seguridad.

Cómo implementarlo:

  1. En el Centro de administración de Microsoft 365, vaya a Usuarios activos.
    https://admin.microsoft.com/Adminportal/Home#/users
  2. Buscar y s eleccione los asociados a buzones compartidos.
  3. Asegure que la opción Inicio de sesión esté en Bloqueado.
  4. Repita el proceso para todos los buzones compartidos.

14. Habilitar Contraseñas de Acceso Temporal

Recomendación: Active el uso de Contraseñas de Acceso Temporal (TAP) para la incorporación de usuarios.

Por qué es importante: Las TAP ofrecen una forma segura de configurar métodos de autenticación sin exponer contraseñas permanentes.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID > Seguridad > Métodos de autenticación > Configuración de Pase de acceso temporal.
    https://portal.azure.com/#view/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/~/AdminAuthMethods
  2. Habilite Contraseña de acceso temporal.
  3. Configure las opciones según las necesidades de su organización.
  4. Guarde los cambios.

15. Configurar la Marca de la Empresa para la Página de Inicio de Sesión

Recomendación: Establezca la marca de su empresa en la página de inicio de sesión.

Por qué es importante: Una página de inicio de sesión personalizada ayuda a los usuarios a verificar la autenticidad, reduciendo el riesgo de ataques de phishing.

Cómo implementarlo:

  1. En el Portal de Azure, vaya a Microsoft Entra ID > Personalización de marca de empresa.
  2. Haga clic en Personalizar.
  3. Cargue el logotipo y personalice los elementos de marca.
  4. Guarde los cambios.

No demores más en aplicar estas medidas básicas de seguridad en Entra ID. Aunque el esfuerzo para configurarlas es menor que los enormes beneficios que aportan, el riesgo de no hacerlo es demasiado alto. Implementarlas protegerá a tu organización de amenazas importantes y mejorará considerablemente la seguridad de tu tenant. Si necesitas nuestra ayuda para llevarlas a cabo o tienes alguna duda durante el proceso, no dudes en contactarnos. Si este artículo te ha resultado interesante pero no eres quien se encarga de la seguridad en tu organización, te invitamos a compartirlo con la persona adecuada. Y, si no cuentas con un responsable de seguridad, nosotros estamos aquí para ayudarte a cubrir ese vacío.

Ver todas