Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona un plan de implementación para crear Confianza cero seguridad con Microsoft 365. Confianza cero es un modelo de seguridad que supone una infracción y comprueba cada solicitud como si se origina en una red no controlada. Independientemente de dónde se origine la solicitud o del recurso al que accede, el modelo de Confianza cero nos enseña a "nunca confiar, comprobar siempre".
Use este artículo junto con este póster.
| Elemento | Descripción |
|---|---|
PDF | Visio Actualizado en abril de 2025 |
Guías de soluciones relacionadas
|
principios y arquitectura de Confianza cero
Confianza cero es una estrategia de seguridad. No es un producto ni un servicio, sino un enfoque para diseñar e implementar el siguiente conjunto de principios de seguridad.
| Principio | Descripción |
|---|---|
| Comprobación explícita | Realice siempre las operaciones de autorización y autenticación en función de todos los puntos de datos disponibles. |
| Utilizar el acceso con menos privilegios | Limite el acceso de los usuarios con los modelos Just-In-Time (JIT) y Just-Enough-Access (JEA), políticas adaptativas basadas en el nivel de riesgo y protección de datos. |
| Dar por hecho que habrá intrusiones al sistema | Minimice el radio de explosión y segmente el acceso. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
La guía de este artículo le ayuda a aplicar estos principios mediante la implementación de funcionalidades con Microsoft 365.
Un enfoque de Confianza cero se extiende a lo largo de todo el patrimonio digital y actúa como filosofía de seguridad integrada y estrategia integral.
En esta ilustración se proporciona una representación de los elementos principales que contribuyen a Confianza cero.
En la ilustración:
- La aplicación de directivas de seguridad está en el centro de una arquitectura de Confianza cero. Esto incluye la autenticación multifactor con acceso condicional que tiene en cuenta el riesgo de la cuenta de usuario, el estado del dispositivo y otros criterios y directivas que establezca.
- Las identidades, los dispositivos, los datos, las aplicaciones, la red y otros componentes de infraestructura están configurados con la seguridad adecuada. Las directivas configuradas para cada uno de estos componentes se coordinan con la estrategia general de Confianza cero. Por ejemplo, las directivas de dispositivo determinan los criterios para los dispositivos en buen estado y las directivas de acceso condicional requieren dispositivos en buen estado para el acceso a aplicaciones y datos específicos.
- La protección contra amenazas y la inteligencia supervisan el entorno, exponen los riesgos actuales y toman medidas automatizadas para corregir los ataques.
Para obtener más información sobre Confianza cero, consulte el Confianza cero Centro de instrucciones.
Implementación de Confianza cero para Microsoft 365
Microsoft 365 se crea intencionadamente con muchas funcionalidades de seguridad y protección de la información para ayudarle a crear Confianza cero en su entorno. Muchas de las funcionalidades se pueden ampliar para proteger el acceso a otras aplicaciones SaaS que usa su organización y los datos de estas aplicaciones.
En esta ilustración se representa el trabajo de desplegar capacidades de Confianza cero. Este trabajo está alineado con los escenarios empresariales de Confianza cero en el marco de adopción de Confianza cero.
En esta ilustración, el trabajo de implementación se clasifica en cinco carriles de natación:
- Protección del trabajo remoto e híbrido : este trabajo crea una base de protección de dispositivos e identidades.
- Prevención o reducción de daños empresariales por una vulneración : la protección contra amenazas proporciona supervisión y corrección en tiempo real de las amenazas de seguridad. Defender for Cloud Apps proporciona la detección de aplicaciones SaaS, incluidas las aplicaciones de inteligencia artificial, y le permite ampliar la protección de datos a estas aplicaciones.
- Identificar y proteger datos empresariales confidenciales : las funcionalidades de protección de datos proporcionan controles sofisticados dirigidos a tipos específicos de datos para proteger su información más valiosa.
- Protección de datos y aplicaciones de inteligencia artificial : proteja rápidamente el uso que hace su organización de las aplicaciones de inteligencia artificial y los datos con los que interactúan.
- Cumplir los requisitos normativos y de cumplimiento : comprenda y realice un seguimiento de su progreso hacia el cumplimiento de las regulaciones que afectan a su organización.
En este artículo se supone que usa identidad de nube. Si necesita instrucciones para este objetivo, consulte Deploy your identity infrastructure for Microsoft 365.
Sugerencia
Cuando comprenda los pasos y el proceso de implementación de principio a fin, puede usar la guía de implementación avanzada Configurar el modelo de seguridad de Microsoft Confianza cero cuando haya iniciado sesión en el centro de administración de Microsoft 365. Esta guía le guía a través de la aplicación de principios de Confianza cero para los pilares tecnológicos estándar y avanzados.
Swim lane 1: trabajo remoto e híbrido seguro
La protección del trabajo remoto e híbrido implica la configuración de la protección de acceso a dispositivos e identidades. Estas protecciones contribuyen al principio de Confianza Cero: verifica explícitamente.
Realice el trabajo de protección del trabajo remoto e híbrido en tres fases.
Fase 1: Implementación de directivas de acceso a dispositivos e identidades de punto de partida
Microsoft recomienda un conjunto completo de directivas de acceso a dispositivos e identidades para Confianza cero en esta guía: Confianza cero configuraciones de identidad y acceso a dispositivos.
En la fase 1, empiece por implementar el nivel de punto inicial. Estas directivas no requieren la inscripción de dispositivos en la administración.
Vaya a protección de acceso de identidad y dispositivos de Confianza cero para obtener instrucciones prescriptivas detalladas. En esta serie de artículos se describe un conjunto de configuraciones de requisitos previos de acceso a identidades y dispositivos, y un conjunto de directivas de acceso condicional de Microsoft Entra, Microsoft Intune y otras políticas para proteger el acceso a las aplicaciones y servicios en la nube de Microsoft 365 para empresas, otros servicios SaaS y aplicaciones locales publicadas con el proxy de aplicaciones de Microsoft Entra.
| Incluye | Prerrequisitos | No incluye |
|---|---|---|
Directivas recomendadas de acceso a identidades y dispositivos para tres niveles de protección:
Recomendaciones adicionales para:
|
Microsoft E3 o E5 Microsoft Entra ID en cualquiera de estas configuraciones:
|
Inscripción de dispositivos para políticas que requieren dispositivos administrados. Consulte Administración de dispositivos con Intune para inscribir dispositivos. |
Fase 2: Inscribir dispositivos en la administración con Intune
A continuación, inscriba los dispositivos en la administración y comience a protegerlos con controles más sofisticados.
Consulte Administración de dispositivos con Intune para obtener instrucciones prescriptivas detalladas sobre la inscripción de dispositivos en la administración.
| Incluye | Prerrequisitos | No incluye |
|---|---|---|
Inscribir dispositivos con Intune:
Configurar políticas:
|
Registro de puntos de conexión con Microsoft Entra ID | Configuración de funcionalidades de protección de la información, entre las que se incluyen:
Para obtener estas funcionalidades, consulte Swim lane 3: Identificar y proteger datos empresariales confidenciales (más adelante en este artículo). |
Para obtener más información, consulte Confianza cero para Microsoft Intune.
Fase 3: Incorporación de Confianza cero protección de acceso a dispositivos e identidades: Directivas empresariales
Con los dispositivos inscritos en la administración, ahora puede implementar el conjunto completo de directivas de identidad y acceso a dispositivos de Confianza cero recomendadas, lo cual requiere dispositivos compatibles.
Vuelva a las directivas comunes de acceso a identidades y dispositivos y agregue las directivas en el nivel Enterprise.
Obtenga más información sobre cómo proteger el trabajo remoto e híbrido en el marco de adopción de Confianza cero : Trabajo remoto e híbrido.
Carril de baño 2: evitar o reducir los daños empresariales por una brecha
Microsoft Defender XDR es una solución de detección y respuesta extendida (XDR) que recopila, correlaciona y analiza automáticamente los datos de señal, amenaza y alerta desde todo el entorno de Microsoft 365, incluido el punto de conexión, el correo electrónico, las aplicaciones y las identidades. Además, Microsoft Defender for Cloud Apps ayuda a las organizaciones a identificar y administrar el acceso a las aplicaciones SaaS, incluidas las aplicaciones de GenAI.
Evite o reduzca los daños empresariales de una infracción mediante la prueba piloto y la implementación de Microsoft Defender XDR.
Vaya a Pilot e implemente Microsoft Defender XDR para obtener una guía metódica para pilotar e implementar componentes de Microsoft Defender XDR.
| Incluye | Prerrequisitos | No incluye |
|---|---|---|
Configure el entorno piloto y de evaluación para todos los componentes:
Protección contra amenazas Investigación y respuesta ante amenazas |
Consulte las instrucciones para obtener información sobre los requisitos de arquitectura de cada componente de Microsoft Defender XDR. | Protección de Microsoft Entra ID no se incluye en esta guía de solución. Está incluido en Swim lane 1: seguro trabajo remoto e híbrido. |
Obtenga más información sobre cómo evitar o reducir los daños empresariales de una infracción en el marco de adopción de Confianza cero — Evitar o reducir los daños empresariales de una infracción.
Swim lane 3: identificación y protección de datos empresariales confidenciales
Implemente Microsoft Purview Information Protection para ayudarle a detectar, clasificar y proteger información confidencial dondequiera que resida o viaje.
Microsoft Purview Information Protection funcionalidades se incluyen con Microsoft Purview y proporcionan las herramientas para conocer los datos, proteger los datos y evitar la pérdida de datos. Puede comenzar este trabajo en cualquier momento.
Microsoft Purview Information Protection proporciona un marco, un proceso y funcionalidades que puede usar para lograr sus objetivos empresariales específicos.
Para obtener más información sobre cómo planear e implementar information protection, consulte Deploy a Microsoft Purview Information Protection solution.
Obtenga más información sobre cómo identificar y proteger datos empresariales confidenciales en el marco de adopción Confianza cero — Identificar y proteger los datos empresariales confidenciales.
Swim lane 4: protección de datos y aplicaciones de inteligencia artificial
Microsoft 365 incluye funcionalidades para ayudar a las organizaciones a proteger rápidamente las aplicaciones de inteligencia artificial y los datos que usan.
Empiece por usar Purview Administración de postura de seguridad de datos (DSPM) para AI. Esta herramienta se centra en cómo se usa la inteligencia artificial en su organización, especialmente los datos confidenciales que interactúan con las herramientas de inteligencia artificial. DSPM para IA proporciona información más detallada sobre Microsoft Copilots y aplicaciones SaaS de terceros, como ChatGPT Enterprise y Google Gemini.
En el diagrama siguiente se muestra una de las vistas agregadas sobre el impacto del uso de inteligencia artificial en tus datos: interacciones sensibles por aplicación de inteligencia artificial generativa.
Diagrama que muestra las interacciones confidenciales por aplicación de IA generativa.
Use DSPM para la inteligencia artificial para:
- Obtenga visibilidad sobre el uso de la inteligencia artificial, incluidos los datos confidenciales.
- Revise las evaluaciones de datos para obtener información sobre las brechas en el uso compartido excesivo que se pueden mitigar con los controles de uso compartido excesivo de SharePoint.
- Busque brechas en la cobertura de políticas para etiquetas de confidencialidad y prevención de pérdida de datos (DLP).
Defender for Cloud Apps es otra herramienta eficaz para detectar y controlar el uso y las aplicaciones SaaS GenAI. Defender for Cloud Apps incluye más de mil aplicaciones generativas relacionadas con la inteligencia artificial en el catálogo, lo que proporciona visibilidad sobre cómo se usan las aplicaciones de inteligencia artificial generativas en su organización y le ayuda a administrarlas de forma segura.
Además de estas herramientas, Microsoft 365 proporciona un conjunto completo de funcionalidades para proteger y gobernar la inteligencia artificial. Consulte Detección, protección y gobernanza de aplicaciones y datos de inteligencia artificial para obtener información sobre cómo empezar a trabajar con estas funcionalidades.
En la tabla siguiente se enumeran las funcionalidades de Microsoft 365 con vínculos a más información en la biblioteca Security for AI.
| Capacidad | Información adicional |
|---|---|
| Control de uso compartido excesivo en SharePoint, incluida la gestión avanzada de SharePoint | Aplicar los controles de SharePoint para evitar el exceso de compartición |
| DSPM para la inteligencia artificial | Obtener visibilidad sobre el uso de la inteligencia artificial con (DSPM) para la inteligencia artificial Protección de datos a través de DSPM para IA |
| Etiquetas de confidencialidad y directivas DLP | Seguir identificando brechas en las etiquetas de confidencialidad y las directivas DLP |
| Administración de riesgos internos (IRM): plantilla de directiva de uso de inteligencia artificial de riesgo | Aplica la plantilla de IA de riesgo |
| Protección adaptativa | Configuración de la protección adaptable para la administración de riesgos internos |
| Defender para aplicaciones en la nube | Detección, sanción y bloqueo de aplicaciones de inteligencia artificial Triaje y protección del uso de aplicaciones de inteligencia artificial Administración de aplicaciones de inteligencia artificial en función del riesgo de cumplimiento |
| Administrador de cumplimiento de Purview | Creación y administración de evaluaciones para regulaciones relacionadas con la inteligencia artificial |
| Cumplimiento de comunicación de Purview | Analizar mensajes y respuestas introducidos en aplicaciones de inteligencia artificial generativas para ayudar a detectar interacciones inapropiadas o de riesgo o el uso compartido de información confidencial |
| Administración del ciclo de vida de datos de Purview | Eliminación proactiva del contenido que ya no es necesario mantener para reducir el riesgo de sobreexposición de datos en las herramientas de inteligencia artificial |
| Descubrimiento electrónico | Busque palabras clave en mensajes y respuestas, administre los resultados en casos de eDiscovery. |
| Registros de auditoría para actividades de Copilot e inteligencia artificial | identificar cómo, cuándo y dónde se produjeron las interacciones de Copilot y a qué elementos se accedió, incluidas las etiquetas de confidencialidad de esos elementos |
| Evaluaciones de privacidad de Priva | Inicie evaluaciones de impacto de privacidad para las aplicaciones de inteligencia artificial que desarrolle |
Swim lane 5: cumplir los requisitos normativos y de cumplimiento
Independientemente de la complejidad del entorno de TI de la organización o del tamaño de la organización, los nuevos requisitos normativos que podrían afectar a su negocio se están sumando continuamente. Un enfoque de Confianza cero suele superar algunos tipos de requisitos impuestos por las normativas de cumplimiento, por ejemplo, aquellos que controlan el acceso a los datos personales. Las organizaciones que han implementado un enfoque de Confianza cero pueden encontrar que ya cumplen algunas condiciones nuevas o pueden basarse fácilmente en su arquitectura de Confianza cero para que sea compatible.
Microsoft 365 incluye funcionalidades para ayudar con el cumplimiento normativo, entre las que se incluyen:
- Administrador de cumplimiento
- Explorador de contenido
- Directivas de retención, etiquetas de confidencialidad y directivas DLP
- Cumplimiento de comunicaciones
- Administración del ciclo de vida de los datos
- Gestión de Riesgos de Privacidad Priva
Use los siguientes recursos para cumplir los requisitos normativos y de cumplimiento.
| Recurso | Información adicional |
|---|---|
| Marco de adopción de Confianza cero: Cumplir con los requisitos normativos y de cumplimiento | Describe un enfoque metódico que puede seguir su organización, incluida la definición de la estrategia, el planeamiento, la adopción y la gobernanza. |
| Gobernanza de aplicaciones y datos de inteligencia artificial para el cumplimiento normativo | Aborda el cumplimiento normativo de las regulaciones emergentes relacionadas con la inteligencia artificial, incluidas las funcionalidades específicas que ayudan. |
| Administrar la privacidad de los datos y la protección de datos con Microsoft Priva y Microsoft Purview | Evalúe los riesgos y tome las medidas adecuadas para proteger los datos personales en el entorno de su organización mediante Microsoft Priva y Microsoft Purview. |
Pasos siguientes
Para más información sobre Confianza cero, visite el centro de instrucciones Confianza cero.