Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo comprobar la configuración PIM de Office 365

[20/08/2019] La presentación titulada "Attacking and Defending the Microsoft Cloud (Office 365 & Azure AD) en la conferencia Black Hat a cargo de Sean Metcalf, CTO de Trimarc, y Mark Morowczynski, director de programas principal de Microsoft, me hizo pensar en la configuración de Office 365 que los administradores deberían revisar. Una de las opciones que los administradores de Office 365 deben evaluar es la gestión de identidades privilegiadas (PIM).

La idea detrás de PIM es que los derechos para las funciones administrativas deben habilitarse solo cuando se necesiten. Si es la primera persona en su organización en registrarse para las cuentas de Azure, se le asignarán las funciones de administrador de seguridad y administrador privilegiado. Cualquier otro usuario/administrador de la organización debe tener derechos de administrador solo cuando los necesite.

Para poder utilizar PIM, necesita tener una licencia para Azure Active Directory (AD) Premium P2, Enterprise Mobility + Security (EMS) E5 o Microsoft 365 M5. Para Azure AD, solo necesita licenciar la función que quiera por persona. Para Office, sin embargo, las licencias son generalmente necesarias para todos los usuarios. Para usar PIM, puede comprar licencias de Azure P2 para administradores o usuarios que tengan roles de PIM, pero que tengan licencias de P1 o básicas de Azure AD para todos los demás usuarios.

Se requiere una licencia P2 para:

  • Administradores con roles de Azure AD gestionados mediante PIM
  • Administradores con roles de recursos de Azure administrados usando PIM
  • Administradores asignados a la función de administrador privilegiado
  • Usuarios asignados como elegibles para roles de Azure AD administrados usando PIM
  • Usuarios capaces de aprobar/rechazar solicitudes en PIM
  • Usuarios asignados a un rol de recurso de Azure con asignaciones justo a tiempo o directas (basadas en el tiempo).
  • Usuarios asignados a una revisión de acceso
  • Usuarios que realizan revisiones de acceso.

Para empezar, vaya al portal de Azure y busque la gestión de identidades de privilegios. Abra el link ofrecido. Antes de configurarlo, el sistema verificará que tiene habilitada la autenticación de dos factores (2FA). A continuación, tendrá que dar su consentimiento para que el servicio pueda configurarlo.

Comprobación del estado MFA.
PIM, Office 365, Azure

Una vez activado, puede revisar los roles y permisos. La PIM puede ser difícil de administrar en una empresa pequeña. Si solo tiene un administrador y esa persona es un administrador global, no puede limitar fácilmente los derechos. Sin embargo, en empresas más grandes se puede reducir fácilmente el alcance de los derechos de administrador y sus actividades.

Inicie el módulo Azure PIM y revise los roles de Azure AD haciendo clic en la pestaña de vista general y luego en la vista de administrador para descubrir los roles privilegiados utilizados en la organización. Deseará reducir el número de usuarios de su organización que tienen asignaciones de roles privilegiados permanentes. La reducción de estas asignaciones de funciones minimizará su vulnerabilidad a las infracciones de seguridad.

Configuración de los requisitos de administración predeterminados.
PIM, Office 365, Azure

También querrá revisar las reglas de activación predeterminadas para cada rol. Recomendaría que se habiliten las notificaciones que se envían cuando las funciones de administración están habilitadas, así como que la autenticación multifactorial (MFA) sea obligatoria.

Revisar las funciones de administración.
PIM, Azure, Office 365

Cuando PIM está habilitado, debe elevar a los usuarios elegibles a los privilegios otorgados por el rol. El proceso de elevación también puede incluir la obtención de la aprobación, la realización de MFA, o proporcionar una razón por la cual se están activando.

Funciones administrativas a vigilar en Office 365

Microsoft recomienda que las siguientes funciones administrativas estén disponibles, limitadas y se utilicen y activen solo cuando sea necesario.

  • El administrador global tiene acceso a todas las funciones administrativas de Azure AD.
  • El administrador de seguridad tiene todos los permisos de solo lectura de la función de lector de seguridad, además de la capacidad de administrar la configuración de los servicios relacionados con la seguridad.
  • El administrador de usuarios puede crear y administrar todos los aspectos de los usuarios y grupos.
  • El administrador de Exchange tiene permisos globales dentro de Microsoft Exchange Online.
  • El administrador del servicio SharePoint tiene permisos globales dentro de Microsoft SharePoint Online.
  • El administrador del servicio de Intune tiene permisos globales dentro de Microsoft Intune Online.
  • El lector de seguridad tiene acceso global de solo lectura, incluyendo toda la información en Azure AD, Identity Protection y PIM.
  • El administrador del servicio puede abrir solicitudes de soporte con Microsoft para los servicios Azure y Office 365.
  • El administrador de facturación realiza compras, gestiona suscripciones, gestiona tickets de soporte y monitoriza el estado del servicio.
  • El administrador de Skype para empresas tiene permisos globales dentro de Microsoft Skype para empresas.

Todas estas funciones de administración deben estar activas y asignadas al usuario administrador solo cuando lo necesite. Habilitar PIM contribuirá en gran medida a mantenerse a salvo y seguro en la nube.

Otros productos de seguridad

Por supuesto, PIM no es la única configuración o consideración de seguridad que los administradores de Office 365 deben tener en cuenta. Al final de su presentación, Metcalf y Morowczynski recomendaron los siguientes pasos a seguir:

  • Requiera MFA para todas las cuentas de administración en nube.
  • Configure PIM para todas las cuentas de administración en la nube
  • Habilite Password Hash Sync (Azure AD Connect).
  • Asegúrese de que todas las aplicaciones utilicen Modern Authentication (Microsoft Azure Active Directory Authentication Librery-ADAL) para conectarse a los servicios de Office 365.
  • Habilite el registro de actividad de usuarios y administradores en Office 365 (UnifiedAuditLogIngestionEnabled).
  • Habilite la auditoría de actividad de buzones de correo en todos los buzones de Office 365.
  • Acceso condicional: Asegúrese de bloquear la autenticación heredada.
  • Integre los registros de Azure AD con su SIEM, o utilice Azure Log Analytics o Azure Sentinel.
  • Despliegue Azure AD Banned Password para su AD local.
  • Active Azure AD Connect Health para los servicios de Active Directory Federation (ADFS) y ADFS Smart Lockout.
  • Asegúrese de que todos los usuarios estén registrados en el MFA.
  • Habilite el restablecimiento de contraseñas de autoservicio (SSPR).
  • Habilite MFA para todos los usuarios a través de acceso condicional o configuraciones basadas en el riesgo (Conditional Access or Risk Based settings).
  • Utilice FIDO (Fast ID Online) para las cuentas de administración.
  • Siga las mejores prácticas de cuentas de administrador para administradores en nube.
  • Audite el consentimiento de los permisos para las aplicaciones y el acceso de los usuarios a las aplicaciones.
  • Revise los permisos de las aplicaciones.
  • Monitoree los registros de las aplicaciones.
  • Revise las recomendaciones en Microsoft Secure Score e implemente tantas como sea posible.