Proteger las cuentas de administrador global de Office 365

Nota:  Nos gustaría proporcionarle el contenido de ayuda actual lo más rápido posible en su idioma. Esta página se ha traducido mediante un sistema automático y es posible que contenga imprecisiones o errores gramaticales. Nuestro objetivo es que este contenido sea útil para usted. ¿Puede informarnos sobre si la información le ha sido útil al final de la página? Aquí tiene el artículo en inglés para que pueda consultarlo fácilmente.

Resumen: Proteja su suscripción de Office 365 ataques basado el compromiso de una cuenta de administrador global.

Las infracciones de seguridad de una suscripción a Office 365, incluidos los ataques de suplantación de identidad y de recopilación de datos, se llevan a cabo normalmente mediante la obtención de credenciales de una cuenta de administrador global de Office 365. La seguridad en la nube es un compromiso entre usted y Microsoft:

  • los servicios en la nube de Microsoft se basan en unos cimientos de confianza y seguridad. Microsoft le proporciona funcionalidades y controles de seguridad para ayudarle a proteger sus datos y sus aplicaciones.

  • Usted es propietario de sus datos e identidades, así como es usted el encargado de protegerlos, tal y como debe hacer con sus recursos locales y con la seguridad de los componentes en la nube que controle.

Microsoft proporciona funciones para ayudar a proteger su organización, pero son eficaces únicamente si usa ellos. Si no se utiliza, es posible que vulnerable a ataques. Para proteger sus cuentas de administrador global, Microsoft está aquí para ayudarle con instrucciones detalladas para:

  1. Cree cuentas de administrador global de Office 365 dedicadas y úselas solo cuando sea necesario.

  2. Configure Multi-Factor Authentication para sus cuentas de administrador global de Office 365 y use la forma más segura de autenticación secundaria.

  3. Habilitar y configurar la seguridad de aplicación de nube de Office 365 para supervisar la actividad de la cuenta de administrador global sospechoso.

Nota: Aunque en este artículo se centra en las cuentas de administrador global, también debe considerar si adicionales cuentas con amplias permisos para tener acceso a los datos de la suscripción, como administrador de exhibición de documentos electrónicos o de seguridad o de cumplimiento cuentas de administrador, debe protegerse de la misma manera.

Paso 1. Crear cuentas de administrador global de Office 365 dedicadas y usarlos solo cuando sea necesario

Hay relativamente pocas tareas administrativas, como la asignación de roles a cuentas de usuario, que requieren privilegios de administrador global. Por lo tanto, en lugar de usar cuentas de usuario habituales que ha asignado el rol de administrador global, siga estos pasos:

  1. Determinar el conjunto de cuentas de usuario que ha asignado el rol de administrador global. Puede hacerlo con este comando en el símbolo del sistema de Microsoft Azure Active Directory Module para Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Inicie sesión en la suscripción a Office 365 con una cuenta de usuario a la que se le haya asignado el rol de administrador global.

  3. Cree al menos uno y hasta un máximo de cinco dedicado cuentas de usuario de administrador global. Caracteres largo contraseñas seguras al menos 12 de uso. Para obtener más información, consulte crear una contraseña segura . Almacenar las contraseñas de las cuentas de nuevas en una ubicación segura.

  4. Asigne el rol de administrador global a cada una de las nuevas cuentas de usuario de administrador global dedicadas.

  5. Cierre la sesión de Office 365.

  6. Inicie sesión con una de las nuevas cuentas de usuario de administrador global dedicadas.

  7. Para cada cuenta de usuario existente a la que se le haya asignado el rol de administrador global en el paso 1:

    • quite el rol de administrador global.

    • Asignar roles de administrador a la cuenta que son las más apropiadas en función de la tarea y la responsabilidad de ese usuario. Para obtener más información sobre los distintos roles de administrador en Office 365, vea los roles de administrador de información sobre Office 365.

  8. Cierre la sesión de Office 365.

El resultado debería ser:

  • Las cuentas de usuario solo en la suscripción que tengan el rol de administrador global son el nuevo conjunto de cuentas de administrador global dedicado. Para comprobarlo, con el siguiente comando PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Las demás cuentas de usuario de uso diario que administran su suscripción tienen roles de administrador asignados que están asociados de acuerdo a sus responsabilidades laborales.

A partir de este momento, solo deberá iniciar sesión con las cuentas de administrador global dedicadas para aquellas tareas que requieran privilegios de administrador global. Toda la administración restante de Office 365 debe realizarse asignando otros roles de administrador a las cuentas de usuario.

Nota: Sí, para esto tendrá que cerrar sesión con su cuenta de uso diario e iniciar sesión con una cuenta de administrador global dedicada. Sin embargo, esto solamente es necesario en ocasiones para poder realizar operaciones de administrador global. Tenga en cuenta que la recuperación de su suscripción a Office 365 después de una infracción de cuenta de administrador global es mucho más tediosa.

Paso 2. Configurar la autenticación multifactor para sus cuentas de administrador global de Office 365 dedicadas y usar la forma más segura de autenticación secundaria

Autenticación multifactor (AMF) para las cuentas de administrador global requiere información adicional más allá de la cuenta y la contraseña. Office 365 es compatible con estos métodos de verificación:

  • Una llamada de teléfono

  • Un código de acceso generado de forma aleatoria

  • Una tarjeta inteligente (física o virtual)

  • Un dispositivo biométrico

Si es una pequeña empresa que está utilizando las cuentas de usuario solo en la nube (el modelo de identidad de nube), siga estos pasos para configurar AMF mediante una llamada de teléfono o un código de comprobación de mensaje de texto enviado a un teléfono inteligente:

  1. Habilite MFA.

  2. Configure la verificación en dos pasos para Office 365 para configurar cada cuenta de administrador global dedicada con el método de verificación de mensaje de texto o de llamada telefónica.

Si es una organización mayor que esté usando un modelo de identidad de Office 365 híbrido, tiene más opciones de comprobación. Si ya tiene la infraestructura de seguridad en lugar de un método de autenticación secundario más seguro, siga estos pasos:

  1. Habilite MFA.

  2. Configure la verificación en dos pasos para Office 365 para configurar cada cuenta de administrador global dedicada con el método de verificación adecuado.

Si la infraestructura de seguridad para el método de comprobación segura deseado no está en su lugar y funcionamiento para Office 365 AMF, le recomendamos encarecidamente que configure las cuentas de administrador global dedicado con AMF mediante una llamada de teléfono o un mensaje de texto código de verificación enviado a un teléfono inteligente para las cuentas de administrador global como una medida de seguridad provisionales. No deje sus cuentas de administrador global dedicado sin la protección adicional proporcionada por MFA.

Para obtener más información, consulte el Plan para la autenticación multifactor para implementaciones de Office 365.

Para conectarse a los servicios de Office 365 con MFA y PowerShell, consulte este artículo.

Paso 3. Monitor de actividad de la cuenta de administrador global sospechosos

Seguridad de aplicación de nube de Office 365 le permite crear directivas para que le notifique de comportamiento sospechoso en su suscripción. Seguridad de la aplicación de nube integrada en Office 365 E5, pero también está disponible como servicio independiente. Por ejemplo, si no tiene Office 365 E5, puede adquirir licencias individuales de seguridad de la aplicación de nube para las cuentas de usuario que se ha asignado el administrador global, Administrador de seguridad y roles de administrador de cumplimiento.

Si tiene la seguridad de la aplicación de nube en su suscripción de Office 365, siga estos pasos:

  1. Iniciar sesión en el portal de Office 365 con una cuenta que se ha asignado el rol de administrador de seguridad o administrador de cumplimiento.

  2. Activar la aplicación de Office 365 nube seguridad.

  3. Revise las directivas de detección de anomalías para que le notifique por correo electrónico de patrones anómalas de actividad administrativa con privilegios.

Para agregar una cuenta de usuario a la función de administrador de seguridad, conectarse a Office 365 PowerShell con una cuenta de administrador global dedicado y AMF, rellene el nombre de usuario principal de la cuenta de usuario y luego ejecute estos comandos:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Para agregar una cuenta de usuario a la función de administrador de cumplimiento, rellene el nombre de usuario principal de la cuenta de usuario y, a continuación, ejecutar estos comandos:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Protección adicional para las organizaciones empresariales

Después de pasos 1 a 3, utilizan estos métodos adicionales para asegurarse de que su cuenta de administrador global y la configuración que realiza usarlo, son tan seguros como sea posible.

Estación de trabajo con privilegios de acceso (PATA)

Para asegurarse de que la ejecución de tareas amplios privilegios es más segura posible, use un PATA. Un PATA es un equipo dedicado que solo se usa para las tareas de configuración confidencial, como la configuración de Office 365 que requiere una cuenta de administrador global. Porque este equipo no se usa diariamente para explorar Internet o correo electrónico, está mejor protegido de amenazas y ataques de Internet.

Para obtener instrucciones sobre cómo configurar un pata, vea http://aka.ms/cyberpaw.

Administración de identidades de Azure con privilegios de AD (PIM)

En lugar de sus cuentas de administrador global asignarse permanentemente el rol de administrador global, puede usar Azure AD PIM para habilitar la asignación a petición, en el tiempo de la función de administrador global cuando es necesario.

En lugar de sus cuentas de administrador global que ser un administrador permanente, se convierten en administradores elegibles. El rol de administrador global está inactivo hasta que alguien lo necesite. A continuación, completar un proceso de activación para agregar el rol de administrador global para la cuenta de administrador global para una cantidad de tiempo predeterminada. Cuando se agota el tiempo, PIM quita el rol de administrador global de la cuenta de administrador global.

Usar PIM y este proceso disminuye significativamente la cantidad de tiempo que sus cuentas de administrador global son vulnerables a ataques y usar por usuarios malintencionados.

Para obtener más información, vea configurar AD de Azure con privilegios de administración de identidades.

Nota: PIM está disponible con Azure Active Directory Premium P2, que se incluye con la movilidad de la empresa + E5 de seguridad (EMS), o puede adquirir licencias individuales para sus cuentas de administrador global.

Software de administración (SIEM) de seguridad eventos e información de registro de Office 365

Ejecutar en un servidor de software SIEM realiza análisis en tiempo real de las alertas de seguridad y eventos creados por aplicaciones y hardware de red. Para permitir que el servidor SIEM incluir las alertas de seguridad de Office 365 y eventos en su análisis y funciones de elaboración de informes, integrar en el sistema SIEM:

Siguiente paso

Consulte prácticas recomendadas de seguridad para Office 365.

Ampliar sus conocimientos de Office
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×