Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El DoD Confianza cero Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Confianza cero. Confianza cero elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.
En esta guía se incluyen recomendaciones para las 152 actividades de Confianza cero en el DoD Confianza cero Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Confianza cero doD.
Use los vínculos siguientes para ir a las secciones de la guía.
- Introducción
- Usuario
- Dispositivo
- Aplicaciones y cargas de trabajo
- Datos
- Red
- Automatización y orquestación
- Visibilidad y análisis
1 Usuario
En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de Confianza cero del DoD en el pilar del usuario. Para más información, consulte Securing identity with Confianza cero.
1.1 Inventario de usuarios
Microsoft Entra ID es la plataforma de identidad necesaria para los servicios en la nube de Microsoft. Microsoft Entra ID es un proveedor de identidades (IdP) y una plataforma de gobernanza para admitir identidades híbridas y multinube. Puede usar Microsoft Entra ID para controlar el acceso a nubes que no son de Microsoft, como Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) y mucho más. Microsoft Entra ID usa protocolos de identidad estándar, por lo que es un IdP adecuado para software como servicio (SaaS), aplicaciones web modernas, aplicaciones móviles y de escritorio, también aplicaciones locales heredadas.
Use Microsoft Entra ID para comprobar usuarios y entidades que no son personas (NPE), autorizar continuamente el acceso a aplicaciones y datos, controlar las identidades y sus derechos siguiendo los principios de privilegios mínimos y realizar la administración Just-In-Time (JIT).
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 1.1.1 Inventario de usuariosLas organizaciones del DoD establecen y actualizan manualmente un inventario de usuarios si es necesario, a fin de preparar el enfoque automatizado en fases posteriores. Las cuentas administradas centralmente por un IdP/ICAM y localmente en los sistemas se identificarán e inventariarán. Las cuentas con privilegios se identificarán para futuras auditorías y las cuentas de usuario estándar y con privilegios locales en las aplicaciones y sistemas se identificarán para la migración futura o la retirada. Resultados:- Usuarios normales administrados identificados- Usuarios con privilegios administrados identificados- Aplicaciones identificadas mediante su propia administración de cuentas de usuario para cuentas no administrativas y administrativas |
Microsoft Entra ID Identificar usuarios normales y con privilegios en su organización mediante el Centro de administración de Microsoft Entra o Microsoft Graph API. La actividad del usuario se captura en los registros de inicio de sesión y auditoría de Microsoft Entra ID, que se pueden integrar con sistemas de supervisión de eventos de información de seguridad (SIEM), como Microsoft Sentinel. - Adoptar Microsoft Entra ID - Microsoft Graph API: Enumerar usuarios - Integración del registro de actividad de Microsoft Entra Microsoft Entra y roles de Azure Los usuarios privilegiados son identidades asignadas a roles de Microsoft Entra ID, roles de Azure o grupos de seguridad de Microsoft Entra ID que conceden acceso con privilegios a Microsoft 365 u otras aplicaciones. Se recomienda usar usuarios solo en la nube para el acceso con privilegios. - Roles integrados Microsoft Defender for Cloud Apps Use Defender for Cloud Apps para detectar aplicaciones no aprobadas con su propio almacén de identidad. - Descubrir y administrar IT en la sombra Microsoft Defender for Identity Despliegue y configure sensores de Microsoft Defender for Identity para crear un inventario de recursos de identidad para entornos locales de Active Directory Domain Services. - Descripción general de Microsoft Defender for Identity - Despliegue de Microsoft Defender for Identity - Investigar activos |
1.2 Acceso condicional de usuarios
Microsoft Entra ID ayuda a su organización a implementar el acceso de usuario condicional y dinámico. Entre las características que admiten esta funcionalidad se incluyen Microsoft Entra acceso condicional, Gobierno de Microsoft Entra ID, roles personalizados, grupos de seguridad dinámicos, roles de aplicación y atributos de seguridad personalizados.
El acceso condicional es el motor de políticas de Confianza cero en tiempo real en Microsoft Entra ID. Las directivas de acceso condicional usan señales de seguridad del usuario, el dispositivo, la aplicación, la sesión, el riesgo y mucho más para aplicar la autorización dinámica adaptable para los recursos protegidos por Microsoft Entra ID.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 1.2.1 Implementación de permisos basados en aplicaciones por empresaLa empresa de DoD que trabaja con las organizaciones establece un conjunto básico de atributos de usuario para la autenticación y la autorización. Se integran con el proceso de actividad "Administración del ciclo de vida de la identidad empresarial, parte 1" para lograr un estándar empresarial completo. La solución de administración de identidades, credenciales y acceso (ICAM) de empresa está habilitada para la funcionalidad de autoservicio a fin de agregar o actualizar atributos dentro de la solución. Las actividades restantes de Privileged Access Management (PAM) se migran completamente a la solución PAM. Resultados:- Roles o atributos empresariales necesarios para la autorización de usuarios a funciones de aplicación o datos registrados con la ICAM empresarial- La ICAM empresarial del DoD tiene un servicio de registro de roles o atributos de autoservicio que permite a los propietarios de aplicaciones agregar atributos o usar atributos empresariales existentes- Las actividades con privilegios se migran completamente a PAM |
Microsoft Entra Connect Establece una identidad híbrida con Microsoft Entra Connect para poblar los inquilinos de Microsoft Entra ID con datos de atributos de usuario de los sistemas de directorios actuales. - Microsoft Entra Connect Aplicaciones de Microsoft Entra Integra aplicaciones con Microsoft Entra ID. Diseñe modelos de autorización y permisos de aplicaciones mediante grupos de seguridad y roles de aplicación. Para delegar la administración de aplicaciones, asigne propietarios para administrar la configuración de la aplicación, también registrar y asignar roles de aplicación. - Acceso condicional - Atributos de seguridad personalizados - Filtro para aplicaciones Privileged Identity Management Use el descubrimiento y análisis de PIM para identificar roles y grupos con privilegios. Use PIM para administrar privilegios detectados y convertir asignaciones de usuario de permanentes a válidas.Detección y conclusiones de PIM |
| 1.2.2 Acceso dinámico basado en roles, parte 1Las organizaciones del DoD usan las reglas de la actividad "Autenticación periódica" para crear reglas básicas que habilitan y deshabilitan privilegios de forma dinámica. Las cuentas de usuario de alto riesgo usan la solución PAM para pasar al acceso con privilegios dinámicos mediante el acceso Just-In-Time y los métodos Just Enough-Administration. Resultados:- El acceso a las funciones de la aplicación o el servicio, o a los datos se limita a los usuarios con atributos empresariales adecuados- Todas las aplicaciones posibles usan permisos JIT/JEA para los usuarios administrativos |
Microsoft Entra ID Use las características de autorización y gobernanza de Microsoft Entra ID para limitar el acceso a las aplicaciones en función de los atributos de usuario, las asignaciones de roles, el riesgo y los detalles de la sesión. See Microsoft guidance in 1.2.1. Privileged Identity Management Use PIM para roles de Microsoft Entra y Azure. Ampliar PIM a otras aplicaciones de Microsoft Entra ID con PIM para Groups. - PIM para roles de Microsoft Entra - PIM para roles de Azure - PIM para grupos |
| 1.2.3 Acceso dinámico basado en reglas, parte 2Las organizaciones del DoD expanden el desarrollo de reglas para la toma de decisiones de acceso dinámico teniendo en cuenta el riesgo. Las soluciones utilizadas para el acceso dinámico se integran con funcionalidades de aprendizaje automático e inteligencia artificial que abarcan diferentes pilares, lo que permite la gestión automatizada de reglas. Resultados:- Los componentes y servicios usan completamente las reglas para permitir el acceso dinámico a las aplicaciones y los servicios- La tecnología utilizada para el acceso dinámico basado en reglas admite la integración con herramientas de IA/ML |
Protección de Microsoft Entra ID Protección de Microsoft Entra ID usa algoritmos de aprendizaje automático (ML) para detectar usuarios e riesgo de inicio de sesión. Uso de condiciones de riesgo en directivas de acceso condicional para el acceso dinámico, basados en el nivel de riesgo. - Protección de Microsoft Entra ID - Detecciones de riesgos - Directivas de acceso basadas en riesgos Microsoft Defender XDR Microsoft Defender XDR es una solución de detección y respuesta extendidas (XDR). Implemente Microsoft Defender para punto de conexión y Microsoft Defender for Cloud Apps y configure integraciones. - Integre Defender for Endpoint con Defender for Cloud Apps |
| 1.2.4 Roles y permisos de gobernanza empresarial, parte 1Las organizaciones del DoD federan los atributos restantes de usuario y grupo según corresponda a la solución de administración de identidades, credenciales y acceso (ICAM) empresarial. El conjunto de atributos actualizado se usa para crear roles universales para que las organizaciones los usen. Las funciones principales de las soluciones de proveedor de identidades (IdP) y de administración de identidades, credenciales y acceso (ICAM) se migran a servicios en la nube o entornos que permiten mejorar la resistencia y el rendimiento. Resultados:- Repositorio de datos de roles y atributos de componente federado con ICAM empresarial- Las aplicaciones locales y en la nube pueden usar proveedores de identidades empresariales basados en la nube- Se crean conjuntos estandarizados de roles y permisos y se alinean con atributos |
Microsoft Entra ID Microsoft Entra ID es una plataforma de gestión de identidad, credenciales y acceso (ICAM) multinube administrada centralmente y un proveedor de identidad (IdP). Establezca la identidad híbrida con Microsoft Entra Connect para rellenar los datos de usuario en el directorio. - Microsoft Entra ID - Identidad híbrida Aplicaciones de Microsoft Entra Integrar aplicaciones con Microsoft Entra ID y usar grupos de seguridad dinámicos, roles de aplicación y atributos de seguridad personalizados para controlar el acceso a las aplicaciones. - Administrar aplicaciones - Gestionar el acceso a las aplicaciones Proxy de aplicación de Microsoft Entra Para usar Microsoft Entra ID en aplicaciones que usan protocolos de autenticación heredados, implemente y configure el proxy de aplicación o integre soluciones de socios de acceso híbrido seguro (SHA). - SHA: Proteger aplicaciones heredadas |
| 1.2.5 Roles y permisos de gobernanza empresarial, parte 2Las organizaciones del DoD mueven todas las funciones posibles de las soluciones de proveedor de identidades (IdP) y administración de identidades, credenciales y acceso (ICAM) a entornos en la nube. Los entornos de enclave o DDIL admiten funciones locales para admitir funciones desconectadas, pero en última instancia se administran mediante las soluciones centralizadas de administración de identidades, credenciales y acceso (ICAM). Ahora se exigen roles actualizados para el uso y las excepciones se revisan siguiendo un enfoque basado en riesgos. Resultados:- La mayoría de los componentes usan la funcionalidad de IdP en la nube Siempre que sea posible, se retira el IdP local- Se exigen permisos y roles de uso al evaluar atributos |
Aplicaciones de Microsoft Entra Migrar aplicaciones modernas de Servicios de federación de Active Directory (AD FS) (AD FS) a Microsoft Entra ID y, a continuación, retirar la infraestructura de AD FS. - Migrar la autenticación de aplicaciones de AD FS a Microsoft Entra ID Aprovisionamiento de aplicaciones de Microsoft Entra Mover los procesos restantes de ICAM y aprovisionamiento de aplicaciones desde sistemas de administración de identidades locales a Microsoft Entra ID. - Aprovisionamiento entrante impulsado por API - Aprovisionamiento de aplicaciones |
1.3 Autenticación multifactor
Microsoft Entra ID admite la autenticación basada en certificados (CBA), incluidas las tarjetas de acceso comunes (CAC) de DoD y la verificación de identidad personal (PIV) sin federarse con otro IdP, para usuarios en la nube y usuarios híbridos (sincronizados). Microsoft Entra ID admite varios métodos de autenticación multifactor sin contraseña resistentes a la suplantación de identidad, incluidos CBA, Windows Hello para empresas, claves de seguridad FIDO2 y claves de acceso.
Puede crear directivas de acceso condicional para aplicar la seguridad de autenticación y autorizar dinámicamente el acceso en función de las condiciones de usuario, dispositivo y entorno, incluido el nivel de riesgo.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 1.3.1 MFA e IDP para la organizaciónLas organizaciones del DoD adquieren e implementan una solución de proveedor de identidades (IdP) centralizada y una solución multifactor (MFA). La solución de IdP y MFA se pueden combinar en una sola aplicación o separarse según sea necesario, siempre que las dos soluciones admitan la integración automatizada. Tanto IdP como MFA admiten la integración con la funcionalidad de PKI empresarial y permiten que las entidades de certificación raíz de confianza firmen pares de claves. Las aplicaciones y servicios críticos para la tarea o la misión usan la solución de IdP y MFA para la administración de usuarios y grupos. Resultados: - El componente usa IdP con MFA para aplicaciones o servicios críticos- Los componentes han implementado un proveedor de identidades (IdP) que habilita la autenticación multifactor PKI del DoD- PKI estandarizada de la organización para servicios críticos | Métodos de autenticación Microsoft Entra Configure Microsoft Entra CBA mediante PKI de DoD. Establezca el nivel de protección global en la autenticación de un solo factor. Cree reglas para cada CA emisora del DoD o política OID para identificar la PKI del DoD como nivel de seguridad de autenticación multifactor. Después de la configuración, los usuarios inician sesión en Microsoft Entra con un CAC del DoD. - Autenticación en Microsoft Entra ID - Microsoft Entra CBA - Configurar CBA Implementación por etapas Utilice una implementación por etapas para migrar la autenticación de usuario desde un servicio de federación local a Microsoft Entra CBA. Consulte las instrucciones de Microsoft en 1.2.4. Fortaleza de autenticación de Microsoft Entra Cree una nueva fortaleza de autenticación denominada DoD CAC. Elija la autenticación basada en certificados (multifactor). Configure opciones avanzadas y seleccione emisores de certificados para doD PKI. - Seguridad de autenticación - Puntos fuertes de autenticación personalizada Microsoft Intune Microsoft Entra admite dos métodos para usar certificados en un dispositivo móvil: credenciales derivadas (certificados en el dispositivo) y claves de seguridad de hardware. Para usar credenciales derivadas de PKI de DoD en dispositivos móviles administrados, use Intune para implementar DISA Purebred.Credenciales derivadas CBA en dispositivos iOS CBA en dispositivos Android |
| 1.3.2 MFA flexible alternativa, parte 1El proveedor de identidades (IdP) de la organización del DoD admite métodos alternativos de autenticación multifactor que cumplen los requisitos de ciberseguridad (por ejemplo, FIPS 140-2, FIPS 197, etc.). Se pueden usar tokens alternativos para la autenticación basada en aplicaciones. Las opciones multifactor admiten la funcionalidad biométrica y se pueden administrar mediante un enfoque de autoservicio. Siempre que sea posible, los proveedores multifactor se mueven a servicios en la nube en lugar de hospedarse en el entorno local. Resultados:- IdP proporciona token alternativo de autoservicio de usuario- IdP proporciona autenticación multifactor de token alternativo para aplicaciones aprobadas según la política |
Microsoft Entra métodos de autenticación Configure Microsoft Entra métodos de autenticación para que los usuarios registren claves de acceso (claves de seguridad FIDO2). Use valores opcionales para configurar una directiva de restricción de claves para las claves compatibles con FIPS 140-2. Inicio de sesión con clave de seguridad sin contraseña Métodos de autenticaciónPase de acceso temporalConfigure un pase de acceso temporal (TAP) para que los usuarios registren autenticadores sin contraseña alternativos sin un CAC. Configuración de TAPAcceso condicionalCree una directiva de acceso condicional a fin de exigir la seguridad de la autenticación: CAC de DoD para el registro de información de seguridad. La directiva exige que CAC registre otros autenticadores, como las claves de seguridad FIDO2. Registro de información de seguridadConsulte la guía de Microsoft en la versión 1.3.1. Windows Hello para empresas Utilice Windows Hello para empresas con un PIN o un gesto biométrico para iniciar sesión en Windows. Utilice directivas de administración de dispositivos para la inscripción en Windows Hello para empresas para los dispositivos Windows proporcionados por la empresa. - Windows Hello para empresas |
| 1.3.3 MFA flexible alternativa, parte 2Los tokens alternativos utilizan patrones de actividad de usuario de actividades entre pilares, como "Supervisión de la actividad del usuario (UAM) y Análisis del comportamiento de entidades y usuarios (UEBA)" para ayudar con la toma de decisiones de acceso (por ejemplo, no conceder acceso cuando se produce la desviación del patrón). Esta funcionalidad también se amplía a los tokens alternativos habilitados para biometría. Resultado: - Patrones de actividad de usuario implementados |
Protección de Microsoft Entra ID Protección de Microsoft Entra ID usa aprendizaje automático (ML) e inteligencia sobre amenazas para detectar eventos de inicio de sesión y usuarios de riesgo. Utilice las condiciones de riesgo de inicio de sesión y de usuario para asignar las directivas de acceso condicional a los niveles de riesgo. Comience con la protección básica requiriendo MFA para los inicios de sesión riesgosos. - Protección de Microsoft Entra ID Implementación de la protección de la identidadAcceso condicionalCree un conjunto de directivas de acceso condicional basadas en riesgo que usen controles de concesión y sesión para exigir una protección más sólida a medida que aumenta el riesgo. Configuración y habilitación de directivas de riesgo Acceso condicional: Sesión Acceso condicional: Concesión Ejemplos de directivas de acceso condicional basado en riesgos: Riesgo medio de inicio de sesión - Exigir la seguridad de autenticación: MFA resistente a la suplantación de identidad - Exigir dispositivos compatibles - Frecuencia de inicio de sesión: 1 hora Alto riesgo de acceso - Exigir la seguridad de autenticación: MFA resistente a la suplantación de identidad - Exigir dispositivos compatibles - Frecuencia de inicio de sesión: siempre Riesgo de usuario alto - Exigir la seguridad de autenticación: MFA resistente a la suplantación de identidad - Exigir dispositivos compatibles - Frecuencia de inicio de sesión: cada vez Microsoft Sentinel Configurar una regla de análisis de Sentinel y un procedimiento para crear un incidente para las alertas de Protección de Microsoft Entra ID cuando el riesgo del usuario es alto. - Conector de protección de ID de Microsoft Entra a Sentinel Usuario:revokeSignInSessions |
1.4 Administración de acceso con privilegios
Gobierno de Microsoft Entra ID habilita las características de PAM, como la administración Just-In-Time (JIT), la administración de derechos y las revisiones de acceso periódicas. Microsoft Entra Privileged Identity Management (PIM) le ayuda a descubrir cómo se asignan los roles en su organización. Use PIM para convertir asignaciones de roles permanentes a JIT, personalizar los requisitos de asignación y activación de roles, y también programar revisiones de acceso.
El acceso condicional exige la seguridad de autenticación, el nivel de riesgo y el dispositivo de estación de trabajo de acceso con privilegios (PAW) compatible para el acceso con privilegios. Las acciones administrativas de Microsoft Entra ID se registran en los registros de auditoría de Microsoft Entra.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 1.4.1 Implementación del sistema y migración de usuarios con privilegios, parte 1 Las organizaciones del DoD adquieren e implementan una solución de Privileged Access Management (PAM) para admitir todos los casos de uso con privilegios críticos. Los puntos de integración de aplicaciones o servicios se identifican para determinar el estado de compatibilidad con la solución de PAM. Las aplicaciones o servicios que se integran fácilmente con la solución de PAM pasan a usar la solución frente a los permisos con privilegios estáticos y directos. Resultados: - Se implementan herramientas de Privilege Access Management (PAM) - Aplicaciones y dispositivos que admiten y no admiten herramientas de PAM identificadas - Las aplicaciones que admiten PAM ahora usan PAM para controlar las cuentas integradas o de emergencia |
Privileged Identity Management Implemente PIM para proteger los roles de Microsoft Entra ID y Azure. Utilizar PIM Discovery e Insights para identificar roles y grupos con privilegios. Use PIM para administrar privilegios detectados y convertir asignaciones de usuario de permanentes a aptas. Información general de PIM Descubrimiento y perspectivas para roles - Azure resources Microsoft Intune Despliegue PAW administrada por Intune para la administración de Microsoft Entra, Microsoft 365 y Azure. Estrategia de acceso con privilegios Acceso condicional Use directivas de acceso condicional para exigir dispositivos compatibles. Para aplicar PAW, utilice los filtros de dispositivo en el control de concesión de dispositivos compatibles de Acceso Condicional. Filtros para dispositivos |
| 1.4.2 Implementación del sistema y migración de usuarios con privilegios, parte 2 Las organizaciones del DoD usan el inventario de aplicaciones o servicios admitidos y no admitidos para la integración con la solución de Privileged Access Management (PAM) para ampliar las integraciones. PAM se integra con las aplicaciones y servicios más difíciles para maximizar la cobertura de la solución de PAM. Las excepciones se gestionan con un enfoque metódico basado en riesgos, con el objetivo de migrar desde y/o retirar aplicaciones/servicios que no admiten soluciones de PAM. Resultado: - Las actividades con privilegios se migran a PAM y el acceso está totalmente administrado |
Privileged Identity Management Use grupos de acceso con privilegios y PIM para grupos para ampliar el acceso Just-In-Time (JIT) más allá de Microsoft Entra ID y Azure. Utilice los grupos de seguridad de Microsoft 365, Microsoft Defender XDR, o asignados a declaraciones de funciones privilegiadas para aplicaciones no pertenecientes a Microsoft que están integradas con Microsoft Entra ID. Grupos a los que se pueden asignar roles Inclusión de grupos en PIM Asignaciones de usuarios y grupos a una aplicación Acceso condicional Usar acciones protegidas para agregar otra capa de protección cuando los administradores realizan acciones que requieren permisos con privilegios elevados en Microsoft Entra ID. Por ejemplo, administre directivas de acceso condicional y la configuración de acceso entre inquilinos. Acciones protegidas Cree una directiva de acceso condicional para los usuarios con pertenencia a roles de Microsoft Entra activos. Exija la seguridad de autenticación: MFA resistente a la suplantación de identidad y dispositivos compatibles. Use filtros de dispositivo para exigir PAW compatibles. Exigir autenticación multifactor para administradores Filtro para dispositivos |
| 1.4.3 Aprobaciones en tiempo real y análisis de JIT y JEA, parte 1 La identificación de los atributos necesarios (usuarios, grupos, etc.) se automatiza e integra en la solución de Privileged Access Management (PAM). Las solicitudes de acceso con privilegios se migran a la solución de PAM para aprobaciones y denegaciones automatizadas. Resultados: - Cuentas, aplicaciones, dispositivos y datos identificados (de mayor riesgo para la misión del DoD) - Mediante las herramientas de PAM, se aplicó acceso JIT/JEA a cuentas de alto riesgo - Las solicitudes de acceso con privilegios se automatizan según corresponda |
Privileged Identity Management Identifique roles de alto riesgo en su entorno, como los roles de Microsoft Entra, los roles de Azure como Propietario y Administrador de acceso de usuario, así como los grupos de seguridad con privilegios. Mejores prácticas para los roles Roles con privilegios Configure los valores de rol de PIM para exigir la aprobación. - Configuración del rol de recursos de Azure - Configuración de roles de Microsoft Entra Configuración de PIM para grupos Gobierno de Microsoft Entra ID Utiliza paquetes de acceso para administrar grupos de seguridad y la elegibilidad de roles. Este mecanismo administra los administradores aptos; agrega solicitudes de autoservicio, aprobaciones y revisiones de acceso para la idoneidad del rol. Administración de derechos Cree grupos a los que se les pueda asignar roles para roles con privilegios a fin de configurar las solicitudes y aprobaciones de idoneidad. Cree un catálogo denominado Administradores aptos para roles con privilegios. Agregue grupos a los que se pueden asignar roles como recursos. Grupos a los que se pueden asignar roles Creación y administración de catálogos de recursos Cree paquetes de acceso para grupos a los que se pueden asignar roles en el catálogo Administradores aptos para roles con privilegios. Puede exigir la aprobación cuando los usuarios soliciten elegibilidad en la administración de derechos, necesiten aprobación tras la activación en PIM o en ambos casos. Paquetes de acceso |
| 1.4.4 Aprobaciones en tiempo real y análisis JIT y JEA, parte 2 Las organizaciones del DoD integran las soluciones Análisis del comportamiento de entidades y usuarios (UEBA) y Supervisión de la actividad del usuario (UAM) con la solución Privileged Access Management (PAM) a fin de proporcionar análisis de patrones de usuario para la toma de decisiones. Resultado: - UEBA o un sistema de análisis similar integrado con herramientas de PAM para aprobaciones de cuentas JIT o JEA |
Acceso condicional Defina un contexto de autenticación para el acceso con privilegios. Cree una o varias directivas de acceso condicional destinadas al contexto de autenticación de acceso con privilegios. Use condiciones de riesgo en la directiva y aplique controles de concesión y sesión para el acceso con privilegios. Se recomienda exigir la seguridad de la autenticación: MFA resistente a la suplantación de identidad, estación de trabajo de acceso con privilegios compatible. Configuración del contexto de autenticación Consulte la guía de Microsoft en la versión 1.4.1. Para bloquear el acceso con privilegios cuando el riesgo de inicio de sesión es alto, cree más directivas de acceso condicional que tengan como destino el contexto de autenticación de acceso con privilegios con una condición para un alto riesgo de inicio de sesión. Repita este paso con una política para un alto riesgo de usuario. Implementación de directivas Privileged Identity Management Configurar las configuraciones de rol de PIM para requerir el contexto de autenticación. Este valor aplica las directivas de acceso condicional para el contexto de autenticación elegido tras la activación del rol. Requerir contexto de autenticación |
1.5 Federación de identidades y credenciales de usuarios
Microsoft Entra ID desempeña un papel clave en la administración del ciclo de vida de la identidad (ILM). Una entidad de Microsoft Entra es una solución de administración de identidades, credenciales y acceso (ICAM) en la nube de hiperescala y proveedor de identidades (IdP). Admite el aprovisionamiento entre directorios y el aprovisionamiento de aplicaciones para administrar el ciclo de vida de los usuarios internos en Microsoft Entra ID y otras aplicaciones.
Las características de Gobierno de Microsoft Entra ID le ayudan a administrar el ciclo de vida de acceso para permisos como aplicaciones, Microsoft Teams y membresía en grupos de seguridad. La administración de derechos también se puede usar para incorporar y controlar invitados externos. Puede bloquear el acceso y quitar objetos de usuario invitado cuando se quite su último paquete de acceso. Para comprender cómo su organización puede migrar las funciones de ILM a Microsoft Entra ID, consulte Road a la nube.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 1.5.1 Administración del ciclo de vida de identidad de la organización Las organizaciones del DoD establecen un proceso para la administración del ciclo de vida de los usuarios, tanto con privilegios como estándar. Mediante el Proveedor de Identidad Organizacional (IdP) de la organización, el proceso es implementado y seguido por el máximo número de usuarios. Los usuarios que se encuentran fuera del proceso estándar se aprueban mediante excepciones basadas en riesgos que se evaluarán periódicamente para la retirada. Resultado: - Proceso de ciclo de vida de identidad estandarizado |
Microsoft Entra ID Estandarizar el ciclo de vida de las cuentas para identidades, incluidos usuarios, administradores, usuarios externos e identidades de aplicaciones (principales de servicio). - Gestión del ciclo de vida de identidades - Operaciones de administración de identidades y acceso Gobierno de Microsoft Entra ID Establecer revisiones de acceso periódicas para usuarios y aplicaciones con privilegios en un inquilino. - Revisiones de Acceso |
| 1.5.2 Administración del ciclo de vida de la identidad empresarial, parte 1La empresa del DoD trabaja con organizaciones para revisar y alinear los estándares, directivas y procesos de ciclo de vida de la identidad existentes. Las organizaciones del DoD desarrollan y siguen una política consensuada finalizada y un proceso complementario. Mediante las soluciones de proveedor de identidades (IdP) y administración de identidad y acceso (IdAM) centralizadas o federadas, las organizaciones del DoD implementan el proceso de administración del ciclo de vida empresarial para el número máximo de identidades, grupos y permisos. Las excepciones a la directiva se administran en un enfoque metódico basado en riesgos. Resultados:- Procesos de ciclo de vida de la identidad automatizados - Integración con herramientas y procesos de ICAM empresarial |
Microsoft Entra ID Si su organización usa Active Directory, sincronice los usuarios en Microsoft Entra ID con Microsoft Entra Connect Sync o Microsoft Entra Connect Cloud Sync. Nota: No sincronizar cuentas de Active Directory con privilegios, ni asignar roles de nube con privilegios a las cuentas sincronizadas. - Connect Sync - Cloud Sync - Proteger Microsoft 365 de ataques locales - Reducir la superficie de ataque Privileged Identity Management Administre el acceso administrativo con PIM. Establecer una cadencia de revisión de acceso para las cuentas con privilegios y roles de Microsoft Entra y Azure. - Cuentas con privilegios Métodos de autenticación de Microsoft Entra Utilice métodos MFA resistentes a la suplantación basados en la nube. Configura la autenticación basada en certificados (CBA) de Microsoft Entra con tarjetas de acceso comunes (CAC) del DoD para registrar otras credenciales sin contraseña. Consulta la guía de Microsoft en 1.3.2. |
| 1.5.3 Administración del ciclo de vida de la identidad empresarial, parte 2Las organizaciones del DoD integran aún más las funciones de automatización críticas de las soluciones de proveedor de identidades (IdP) y administración de identidades, credenciales y acceso (ICAM) siguiendo el proceso de administración del ciclo de vida empresarial para habilitar la automatización y el análisis empresariales. Los procesos principales de administración del ciclo de vida de la identidad se integran en la solución de ICAM empresarial basada en la nube. Resultados:- Integración con funciones de IDM o IDP críticas- Las funciones de ILM principales se basan en la nube |
Gobierno de Microsoft Entra ID Use la administración de derechos y las revisiones de acceso para administrar los ciclos de vida de acceso de usuario de la organización y los ciclos de vida de identidad de invitado externos. - Gestión de derechos - Gobernanza del acceso de usuarios externos Identidades administradas Uso de identidades administradas para recursos de Azure y federación de identificadores de cargas de trabajo para reducir el riesgo de gestionar credenciales de aplicación. - Identidades gestionadas - Federación de identidades de carga de trabajo Directiva de administración de aplicaciones Configurar directivas de administración de aplicaciones para controlar los tipos de credenciales agregados a las aplicaciones en su inquilino. Use la restricción passwordAddition a fin de exigir credenciales de certificado para las aplicaciones.API de métodos de aplicaciónCredenciales de certificado de autenticación de aplicaciones |
| 1.5.4 Administración del ciclo de vida de la identidad empresarial, parte 3Las organizaciones del DoD integran los procesos restantes de administración del ciclo de vida de la identidad con la solución empresarial de administración de identidades, credenciales y acceso. Los entornos de enclave o DDIL, aunque todavía están autorizados para operar, se integran con la ICAM empresarial mediante conectores locales en el entorno de nube. Resultados:- Todas las funciones de ILM se mueven a la nube según corresponda- Integración con todas las funciones de IDM o IDP |
Microsoft Entra aprovisionamiento de aplicaciones Utilice Microsoft Entra aprovisionamiento de aplicaciones para sincronizar identidades con aplicaciones SCIM, SQL, LDAP, PowerShell y servicios web. Use la aplicación controlada por API para aprovisionar usuarios en instancias dispares de Active Directory. - Aprovisionar aplicaciones - Aprovisionamiento de aplicaciones locales - Configurar aplicación de aprovisionamiento controlada por API |
1.6 Comportamiento, identificador contextual y biometría
Protección de Microsoft Entra ID le ayuda a detectar, corregir y evitar amenazas de identidad mediante el aprendizaje automático (ML) y la inteligencia sobre amenazas. Esta característica detecta riesgos en tiempo real durante el inicio de sesión del usuario y los riesgos sin conexión calculados a lo largo del tiempo. Entre los riesgos se incluyen anomalías en tokens de seguridad, propiedades de inicio de sesión inusuales, desplazamientos imposibles, comportamientos sospechosos del usuario, etc.
Identity Protection se integra con Microsoft Defender XDR para mostrar los riesgos de identidad detectados por otros componentes de la familia de productos Microsoft Defender.
Para más información, vea ¿Qué son las detecciones de riesgo?
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 1.6.1 Implemente Análisis de Comportamiento de Usuarios y EntidadesLas organizaciones del DoD adquieren e implementan herramientas de Análisis de Comportamiento de Usuarios y Entidades (UEBA) y de Supervisión de Actividades de Usuario (UAM). El punto de integración inicial con el IdP empresarial se ha completado para permitir el uso futuro en la toma de decisiones. Resultado:- Se implementa la funcionalidad de UEBA y UAM para el IDP empresarial |
Protección de Microsoft Entra ID Deploy Protección de Microsoft Entra ID para obtener detenciones de riesgo en tiempo real y sin conexión para los usuarios y eventos de inicio de sesión. Ampliar las detecciones de riesgo de identidad a las identidades de aplicación (entidades de servicio) mediante Id. de carga de trabajo de Microsoft Entra, edición Workload Identities Premium. - Protege las identidades de las cargas de trabajo - Política basada en el riesgo para las identidades de las cargas de trabajo Consulta la guía de Microsoft en 1.3.3. Microsoft Defender for Cloud Apps Despliega Defender for Cloud Apps y configura integraciones con Microsoft Defender para punto de conexión y soluciones externas. Configurar directivas de detección de anomalías en Defender for Cloud Apps. - Integrar Defender para Endpoint con Defender for Cloud Apps - Integraciones de soluciones externas - Detectar la actividad sospechosa del usuario con UEBA Microsoft Defender para punto de conexión Incorporar puntos de conexión a Defender para Endpoint. Configurar integraciones entre Defender para punto de conexión y Microsoft Intune. - Defender para punto de conexión y otras soluciones Microsoft Intune Configurar integraciones con Defender para punto de conexión y usar la puntuación de riesgo de la máquina de Defender para punto de conexión en la directiva de cumplimiento de dispositivos. - Defender para reglas de punto de conexión Acceso condicional Crear directivas de acceso condicional para requerir dispositivos compatibles. Antes de conceder acceso, el control requiere un dispositivo marcado como compatible en Microsoft Intune. La integración entre Defender para Endpoint e Intune proporciona una imagen general del estado del dispositivo y el nivel de riesgo en función del estado de cumplimiento. - Directivas de cumplimiento para establecer reglas para dispositivos administrados de Intune Microsoft Sentinel Conectar orígenes de datos a Sentinel y habilitar UEBA para los registros de auditoría, registros de inicio de sesión, actividad de Azure y eventos de seguridad. - Habilitar UEBA - Amenazas avanzadas gestionadas con UEBA |
| 1.6.2 Supervisión de la actividad del usuario, parte 1Las organizaciones del DoD integran soluciones de Análisis de comportamiento de usuarios y entidades (UEBA) y Supervisión de actividades de usuario (UAM) con proveedores de identidades (IdP) de la organización para obtener una visibilidad ampliada según sea necesario. El análisis y los datos generados por UEBA y UAM para aplicaciones y servicios críticos se integran con la solución Just-In-Time y Just-Enough-Access, lo que mejora aún más la toma de decisiones. Resultados: - UEBA se integra con los IDP de la organización según corresponda- UEBA se integra con JIT/JEA para servicios críticos |
Privileged Identity Management Deploy PIM e incorporar roles con privilegios. Defina un contexto de autenticación para el acceso con privilegios. Use condiciones de riesgo en el contexto de autenticación y configure las opciones de rol de PIM para requerir el contexto de autenticación tras la activación. Consulte la guía de Microsoft en 1.4.4. Microsoft Sentinel Conecte fuentes de datos a Sentinel y habilite UEBA para registros de auditoría, registros de inicio de sesión, actividad de Azure y eventos de seguridad. - Habilitar UEBA - Amenazas avanzadas con UEBA Microsoft Defender for Cloud Apps Monitorear y controlar sesiones en aplicaciones en la nube con Defender for Cloud Apps. - Proteger aplicaciones con el Control de Aplicaciones - Políticas de sesión - Investigar usuarios de riesgo |
| 1.6.3 Supervisión de la actividad del usuario, parte 2Las organizaciones del DoD continúan con el uso del análisis de soluciones de Análisis de comportamiento de usuarios y entidades (UEBA) y Supervisión de actividades de usuario (UAM) mediante datos generados para todas las aplicaciones y servicios supervisados cuando la toma de decisiones tiene lugar en la solución Just-in-Time y Just-Enough-Access. Resultados:- La supervisión de entidades o UEBA se integra con JIT/JEA para todos los servicios | Gestión de Identidades con Privilegios Utilice la gestión de identidades con privilegios (PIM) para extender el acceso JIT a las aplicaciones que usan roles de aplicación. Asigne grupos, administrados por PIM, a los roles de aplicación con privilegios.PIM para gruposAdición de roles de aplicación a una aplicación |
1.7 Acceso con privilegios mínimos
El acceso a las aplicaciones que usan Microsoft Entra ID es denegado de forma predeterminada. Gobierno de Microsoft Entra ID tiene características como la administración de derechos y las revisiones de acceso que garantizan que el acceso está acotado en el tiempo, se alinea con el principio de privilegios mínimos e impone controles para la separación de tareas.
Utilice los roles integrados de Microsoft Entra para asignar permisos con privilegios mínimos por tarea. Las unidades administrativas permiten definir el ámbito de los permisos basados en recursos para los usuarios y dispositivos de Microsoft Entra ID.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 1.7.1 Política de Denegar Usuario por DefectoLas organizaciones del DoD auditan el uso interno de usuarios y grupos en lo que respecta a permisos y revocan dichos permisos siempre que sea posible. Esta actividad incluye la revocación o retirada de permisos y acceso excesivos para identidades y grupos basados en aplicaciones o servicios. Siempre que sea posible, los usuarios con privilegios estáticos se retiran o se reducen los permisos, como preparación al acceso futuro dinámico o basado en reglas. Resultados:- Las aplicaciones se actualizan para denegar de forma predeterminada funciones o datos que exigen roles o atributos específicos para el acceso- Se implementan niveles de permisos predeterminados reducidos- Las aplicaciones o los servicios han revisado o auditado a todos los usuarios con privilegios y han quitado a los usuarios con privilegios que no necesitan ese nivel de acceso |
Microsoft Entra ID Revisa e restringe los permisos de usuario e invitado predeterminados en Microsoft Entra ID. Restringa el consentimiento del usuario a las aplicaciones y revise el consentimiento actual en su organización. - Permisos de usuario Predeterminados - Restricción de permisos de consentimiento del usuario aplicaciones de Microsoft Entra El acceso a aplicaciones de Microsoft Entra se deniega de forma predeterminada. Microsoft Entra ID comprueba los derechos y aplica directivas de acceso condicional para autorizar el acceso a recursos. - Integración de aplicaciones - Integración de aplicaciones Gobierno de Microsoft Entra ID Use la característica de administración de derechos de gobernanza de identidades para administrar los ciclos de vida de identidad y acceso. Buscar flujos de trabajo de solicitud de acceso automatizado, asignaciones de acceso, revisiones y expiración. - Entitlement management - Revisiones de acceso Roles personalizados Utilice roles integrados de Microsoft Entra ID para la administración de recursos. Pero si los roles no satisfacen las necesidades de la organización, o para minimizar los privilegios de los usuarios administrativos, cree un rol personalizado. Conceder permisos pormenorizados a roles personalizados para la administración de usuarios, grupos, dispositivos, aplicaciones y más. - Custom roles Administrative units Una unidad administrativa es un recurso de Microsoft Entra que contiene otros recursos de Microsoft Entra, como usuarios, grupos o dispositivos. Use unidades administrativas para delegar permisos a un subconjunto de administradores, en función de la estructura organizativa.Unidades administrativasunidades administrativas de administración restringidasCrear o eliminar unidades administrativasAdministración de identidades privilegiadasUsar la detección e información de PIM para administrar privilegios y reducir el número de administradores. Configure alertas de PIM cuando se asignan roles con privilegios fuera de PIM. - Acceso privilegiado para entornos híbridos y en la nube - Alertas de seguridad para roles de Microsoft Entra - Alertas de seguridad para roles de Azure Microsoft Defender para aplicaciones en la nube Revisar permisos concedidos a las aplicaciones. Investigue las aplicaciones de OAuth de riesgo en Defender for Cloud Apps. - Revise permisos concedidos a las aplicaciones - Aplicaciones de OAuth de riesgo Microsoft Sentinel Use PIM para asignar roles de Azure para el acceso a Sentinel y auditar periódicamente consultas y actividades. - Audite consultas y actividades |
1.8 Autenticación continua
Microsoft Entra ID usa tokens de corta y larga duración para autenticar a los usuarios periódicamente en aplicaciones y servicios que Microsoft Entra protegen. Microsoft Entra ID tiene el mecanismo de evaluación continua de acceso (CAE) para mejorar el protocolo estándar. El motor de directivas responde a los cambios del entorno casi en tiempo real y aplica directivas de acceso adaptables.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 1.8.1 Autenticación únicaLas organizaciones del DoD usan procesos de autenticación básicos para autenticar a los usuarios y NPE al menos una vez por sesión (por ejemplo, al inicio de sesión). En concreto, los usuarios autenticados se administran mediante la actividad paralela "MFA/IDP de la organización" con el proveedor de identidades (IdP) de la organización frente al uso de identidades y grupos basados en aplicaciones o servicios. Resultado:- Autenticación implementada en todas las aplicaciones por sesión |
Microsoft Entra ID Microsoft Entra ID es un proveedor de identidades centralizado (IdP) que facilita el inicio de sesión único (SSO) entre aplicaciones en la nube de Microsoft y aplicaciones que usa su organización. - Microsoft Entra ID Single sign-on El método de autenticación de inicio de sesión único (SSO) permite a los usuarios usar sus credenciales de Microsoft Entra ID para autenticar aplicaciones y servicios. Las aplicaciones pueden ser SaaS, aplicaciones de línea de negocio personalizadas o aplicaciones locales. Use Microsoft Entra funcionalidades de autenticación y Confianza cero para habilitar el acceso seguro y sencillo a las aplicaciones. - ¿Qué es SSO? - Microsoft Entra integraciones con protocolos de autenticación Microsoft Entra aprovisionamiento de aplicaciones Microsoft Entra aprovisionamiento de aplicaciones crea, actualiza y quita usuarios, roles y grupos en aplicaciones SaaS y aplicaciones personalizadas o locales. Use Microsoft Entra ID como origen de identidad centralizado para las aplicaciones. Minimice las identidades de aplicación o servicio y usuarios. - Aprovisionamiento automático - Aprovisionamiento de aplicaciones Microsoft Entra ID Workload Las entidades de servicio y las identidades gestionadas son identidades de entidad no personal (NPE) en Microsoft Entra. Use entidades de servicio para el acceso automatizado (no interactivo) a las API protegidas por Microsoft Entra. - Workload identities - Entidades de servicio en Microsoft Entra ID |
| 1.8.2 Autenticación periódicaLas organizaciones del DoD habilitan los requisitos de autenticación periódica para aplicaciones y servicios. Tradicionalmente, estos se basan en la duración o el tiempo de espera, pero se pueden usar otros análisis basados en períodos para volver a exigir la autenticación de las sesiones de usuario. Resultado:- Autenticación implementada varias veces por sesión en función de los atributos de seguridad |
Aplicaciones de Microsoft Entra Las aplicaciones de Microsoft Entra administran automáticamente la actualización de la sesión sin interacción del usuario. Consulte la guía de Microsoft en 1.8.1. Acceso Condicional Configure el control de frecuencia de inicio de sesión en Acceso Condicional para volver a autenticar las sesiones de usuario. Use la característica cuando los inicios de sesión sean peligrosos o un dispositivo de usuario sea no administrado o no compatible.Configuración de la administración de sesiones de autenticaciónDirectivas de acceso en Defender for Cloud Apps |
| 1.8.3 Autenticación continua, parte 1Las aplicaciones o servicios de las organizaciones del DoD usan varias autenticaciones de sesión basadas en atributos de seguridad y acceso solicitados. Los cambios de privilegios y las solicitudes de transacciones asociadas requieren niveles adicionales de autenticación, como la autenticación multifactor (MFA) enviada a los usuarios. Resultado:- Autenticación de la transacción implementada por sesión en función de los atributos de seguridad | Evaluación continua del accesoCAE se basa en un estándar OpenID que mejora el vencimiento de tokens y los mecanismos basados en tiempo para la actualización de tokens, logrando una respuesta más oportuna a las infracciones de políticas. CAE requiere un token de acceso nuevo en respuesta a eventos críticos, como un usuario que pasa de una ubicación de red de confianza a otra que no lo es. Implemente CAE con aplicaciones clientes y las API de servicio back-end. Evaluación continua del acceso Evaluaciones de eventos críticos Las aplicaciones de Microsoft Office que usan Microsoft Graph API, Outlook Online API y SharePoint Online API admiten CAE. Desarrolle aplicaciones con las bibliotecas de autenticación de Microsoft (MSAL) más recientes para acceder a las API habilitadas para CAE. - CAE para Microsoft 365 - API habilitadas para CAE en aplicaciones Acceso Condicional Defina y use el contexto de autenticación de Acceso Condicional para proteger sitios confidenciales de SharePoint, Microsoft Teams, aplicaciones protegidas de Microsoft Defender for Cloud Apps, activación de roles de PIM y aplicaciones personalizadas. - Contexto de autenticación - Directiva para sitios de SharePoint y OneDrive - Directivas de sesión en Defender for Cloud Apps - Requerir el contexto de autenticación para roles de PIM - Guía de contexto de autenticación Use acciones protegidas para agregar otra capa de protección cuando los administradores realicen acciones que requieren permisos con privilegios elevados en Microsoft Entra ID, como administrar directivas de Acceso Condicional y configuración de acceso entre inquilinos. Proteja acciones de usuario como registrar información de seguridad y unir dispositivos. |
| 1.8.4 Autenticación continua, parte 2Las organizaciones del DoD siguen usando la autenticación basada en transacciones para incluir la integración, como los patrones de usuario. Resultado:- Autenticación de la transacción implementada por sesión en función de los atributos de seguridad, incluidos patrones de usuario |
Protección de Microsoft Entra ID When Protección de Microsoft Entra ID detecta un comportamiento anómalo, sospechoso o arriesgado, aumenta el nivel de riesgo del usuario. Cree directivas de Acceso Condicional utilizando condiciones de riesgo, incrementando las protecciones con el nivel de riesgo.Detecciones de riesgoVéase la guía de Microsoft en 1.3.3.Evaluación continua del accesoEl incremento del nivel de riesgo es un evento CAE crítico. Los servicios que implementan CAE, por ejemplo, Exchange Online API, requieren el cliente (Outlook), para volver a autenticarse para la siguiente transacción. Las directivas de acceso condicional para el nivel de riesgo incrementado se cumplen antes de que Microsoft Entra ID emita un nuevo token de acceso para el acceso a Exchange Online. - Evaluación de eventos críticos |
1.9 Plataforma de ICAM integrada
Microsoft Entra ID admite la autenticación con certificados emitidos por una infraestructura de clave pública externa (PKI) para entidades de usuario y entidades no personales (NPE). Los NPE de Microsoft Entra ID son identidades de aplicación y dispositivo. Configuraciones de acceso entre inquilinos de Id. externa de Microsoft Entra ayudan a las organizaciones de multitenencia, como el DoD, a colaborar sin problemas entre inquilinos.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 1.9.1 PKI e IDP empresarial, parte 1La empresa del DoD trabaja con las organizaciones para implementar soluciones de Infraestructura de clave pública (PKI) y proveedor de identidades (IdP) de forma centralizada o federada. La solución de PKI empresarial utiliza una única autoridad de certificación raíz (CA) o un conjunto de autoridades certificadoras raíz de nivel empresarial en las que las organizaciones pueden confiar para crear CA intermedias. La solución de Proveedor de Identidad puede ser una única solución o un conjunto federado de IdP de las organizaciones con un nivel estándar de acceso entre organizaciones y un conjunto estandarizado de atributos. Los IdP y las entidades de certificación PKI de las organizaciones se integran con las soluciones de IdP y PKI de empresa. Resultados:- Componentes usan IdP con MFA para todas las aplicaciones o servicios- MFA o PKI de la organización integrado con IdP O PKI de empresa- PKI estandarizado de la organización para todos los servicios |
Métodos de autenticación de Microsoft Entra ID Usar la directiva de métodos de autenticación en Microsoft Entra ID para controlar los métodos de autenticación de usuario. - Microsoft Entra CBA Consulte la guía de Microsoft en 1.3.1. Fuerza de autenticación Usar la fuerza de autenticación para controlar el acceso de usuario a los recursos. - Fuerza de autenticación Id. externa de Microsoft Entra Configure el acceso entre inquilinos para los inquilinos de Microsoft Entra ID de DoD. Utilice la configuración de confianza para aceptar MFA y reclamaciones de dispositivos compatibles para identidades externas de arrendatarios confiables del DoD.Acceso entre arrendatariosDirectiva de gestión de aplicacionesLa directiva de gestión de aplicaciones del arrendatario es un marco para implementar las mejores prácticas de seguridad para las aplicaciones del arrendatario. Use la directiva para restringir las credenciales de aplicación a los certificados emitidos por una PKI de confianza.Para crear una cadena de certificados de confianza, agregue una nueva colección de entidades de certificación (CA) a certificados de CA raíz e intermedios para la PKI empresarial.Tipo de recurso certificateBasedApplicationConfigurationPara crear una directiva de administración de aplicaciones a fin de exigir certificados emitidos por entidades de certificación de confianza, configure restricciones para no permitir passwordAddition y exigir trustedCertificateauthority. Especifique el identificador de colección de CA de confianza que creó. - App authentication methods API Microsoft Intune Intune admite certificados de cifrado de clave pública y privada (PKCS). - Certificados PKCS |
| 1.9.2 PKI o IDP de empresa, parte 2Las organizaciones del DoD habilitan la compatibilidad biométrica en el proveedor de identidades (IdP) para aplicaciones y servicios críticos para la misión o la tarea según corresponda. La funcionalidad biométrica se ha transferido de las soluciones organizacionales al nivel empresarial. La autenticación multifactor (MFA) y la infraestructura de clave pública (PKI) de la organización se han retirado y migrado a la empresa según corresponda. Resultados:- Servicios de la organización críticos integrados con biometría- Retirada de MFA y PKI de la organización según corresponda en lugar de MFA y PKI empresarial- Funciones biométricas empresariales implementadas |
Microsoft Entra ID Microsoft admite la biometría en varios componentes compatibles con la autenticación de Microsoft Entra ID. Métodos de autenticación Microsoft Entra ID admite claves de acceso de hardware (claves de seguridad FIDO2) que utilizan presencia o huella digital. - Claves de seguridad FIDO Windows Hello para empresas Windows Hello para empresas usa gestos biométricos como la huella digital y el reconocimiento facial. - Configuración del perfil de protección de identidad MacOS Los dispositivos MacOS tienen biometría, como Touch ID, para iniciar sesión con credenciales vinculadas al dispositivo. - Complemento de SSO para dispositivos Apple Microsoft Authenticator Los dispositivos móviles y Authenticator utilizan la función táctil y el reconocimiento facial para la autenticación sin contraseña. La compatibilidad con la clave de paso es otro método de autenticación resistente a la suplantación de identidad en Authenticator.AutenticadorInicio de sesión sin contraseñaAutenticación mejorada resistente a la suplantación de identidad (phishing) |
| 1.9.3 PKI/IDP empresarial Parte 3Las organizaciones de DoD integran las aplicaciones o servicios restantes con funcionalidades biométricas. Se pueden usar tokens alternativos de Multi-Factor (MFA). Resultado:Todos los servicios de la organización integran datos biométricos |
Id. verificada por Microsoft Entra Los escenarios de identidad descentralizada que usan Verified ID pueden requerir la verificación facial al presentar las credenciales. Id. comprobadoComprobación facial |
Pasos siguientes
Configura los servicios en la nube de Microsoft para la estrategia de Confianza cero del DoD.
- Introducción
- Usuario
- Dispositivo
- Aplicaciones y cargas de trabajo
- Datos
- Red
- Automatización y orquestación
- Visibilidad y análisis