Descripción de la identidad, el acceso y la seguridad de Azure

• Documentación oficial

Servicios de directorio de Azure

Microsoft Entra ID es un servicio de directorio que le permite iniciar sesión y acceder tanto a las aplicaciones en la nube de Microsoft como a las aplicaciones en la nube que desarrolle. Microsoft Entra ID también puede ayudarle a mantener la implementación de Active Directory local.

¿Quién usa Microsoft Entra ID?

• Administradores de TI

• Desarrolladores de aplicaciones

• Usuarios

• Suscriptores de servicios en línea

¿Qué hace Microsoft Entra ID?

Proporciona servicios como:

• Autenticación y Autorización

• Administración de aplicaciones

• Administración de dispositivos

• SSO

¿Puedo conectar mi AD local con Microsoft Entra ID?

• Para tener un entorno hibrído, existe en conector de Entra ID (Anteriormente AzureAD Connect), que nos permite cargar los usuarios OnPremise en nustro Tenant.

¿Qué es Microsoft Entra Domain Services?

Sería como un controlador de dominio local, pero todo en la infraestructura cloud.

Métodos de autenticación de Azure

SSO - Single Sign On

El inicio de sesión único (SSO) permite a los usuarios iniciar sesión una vez y utilizar esa credencial para acceder a varios recursos y aplicaciones de distintos proveedores.

MFA - Autenticación multifactor

La autenticación multifactor es el proceso de solicitar a un usuario una forma adicional (o factor) de identificación durante el proceso de inicio de sesión.

Este sigue 3 principios:

• Algo que tengo (Código SMS)

• Algo que se (Pregunta de seguridad)

• Algo que soy (Huella, biometria)

Dentro de MFA, existen más tipos como:

• FIDO2, una clave que configuramos, donde tenemos un pin, y tampoco utilizamos la contraseña.

• Passwordless, inicio de sesion sin contraseña, esto nos llega un código a autenticator, e iniciamos sesión sin poner nuestra contraseña.

Identidades externas de Azure

Una identidad externa es una persona, un dispositivo, un servicio, etc. que está fuera de la organización.

Las siguientes funcionalidades componen External Identities:

• B2B: Permite que usuarios externos usen su propia cuenta para acceder a aplicaciones empresariales, como las de Microsoft. Los usuarios externos se agregan al directorio como invitados.

  • Ejemplo: Un proveedor externo usa su cuenta de Google para acceder a una aplicación de la empresa a través de Microsoft 365.

• Conexión directa B2B: Establece una relación directa con otra organización de Microsoft Entra para compartir recursos, como en Teams. Los usuarios externos pueden acceder a los recursos sin estar en el directorio, pero son visibles dentro del canal compartido de Teams.

  • Ejemplo: Un socio de negocio accede a un canal de Teams compartido sin tener una cuenta en la organización, pero puede ver el canal desde su propia instancia de Teams.

• B2C (Empresa a Cliente): Permite a las empresas ofrecer acceso a sus aplicaciones a clientes y consumidores, gestionando identidades con Azure AD B2C.

  • Ejemplo: Una tienda en línea usa Azure AD B2C para que los clientes puedan registrarse y acceder a su cuenta con Google o Facebook.

Acceso condicional de Azure

El acceso condicional es una herramienta que usa Microsoft Entra ID para permitir (o denegar) el acceso a los recursos en función de señales de identidad

Ejemplos:

• Denegar acceso a usuarios fuera de España

• Requerir 2FA a administradores

Acceso basado en roles de Azure (RBAC)

Dentro de Azure, existen diversos roles:

• Predefinidos, estos ya vienen por defecto

• Custom, estos los creamos nosotros

Estos roles se asignan a usuario, grupos o aplicaciones, para asignar una serie de permisos dentro del tenant.

Defensa en profundidad

El objetivo de la defensa en profundidad es proteger la información y evitar que personas no autorizadas a acceder puedan sustraerla.

Esta consta de 7 niveles.