GrupoAval-MinimoProductoViable-SharePointOnline-TenantCompartido - V1 PDF

Tenant Compartido - Minimo Producto
Viable - SharePoint Online – V1.0
Grupo Aval S.A.
Facilitamos la adopción de nuevas tecnologías, agilizando su impacto en

resultados directos de negocio.
www.visionsoftware.com.co
2019
Tenant Compartido - Minimo Producto Viable - SharePoint Online – V1.0
Historial de revisiones
Fecha Autor Observaciones
8 de mayo de 2019 Fabian Plata Martinez Versión inicial

Ajuste de configuraciones y versión
17 de junio de 2019 Alejandro Moreno para sesión de profundización con
entidades.
Inclusión de definiciones hechas
8 de julio de 2019 Alejandro Moreno con entidades y liberación de
versión pública del documento
Inclusión de consideraciones de
Grupos de Office 365 y Controles
9 de Julio de 2019 Alejandro Moreno de cambio requeridos para la
habilitación del MPV 1.0 de
SharePoint Online
www.visionsoftware.com.co Confidencial 1
Tabla de Contenido
Historial de revisiones ..................................................................................... 1
Tabla de Contenido ......................................................................................... 2
Declaración de confidencialidad ..................................................................... 4
Audiencia objetivo del documento ................................................................. 5
Alcance del documento ................................................................................... 5
Introducción y resumen ejecutivo ................................................................... 6
SharePoint Online – Características básicas disponibles que quedarán

habilitadas para uso a través del MPV ............................................................ 7
Arquitectura .................................................................................................. 14
Definiciones y conclusiones de arquitectura: ..................................................16
Seguridad ...................................................................................................... 17
Bitácoras de seguridad .....................................................................................19
Cumplimientos de normas y regulación...........................................................20
Definiciones y conclusiones de seguridad: .......................................................22
Comunicaciones ............................................................................................ 23
URL`s, Dominios, IP's Puertos necesarios.........................................................23
Consideraciones adicinoales ............................................................................25

Paso de las comunicaciones por firewall y no por el proxy .........................25
Tamaño del pool de direcciones publicas NAT ............................................26
Dispositivos de detección de intrusos y de prevención ...............................26
Configuraciones requeridas para habilitar el servicio MPV 1.0 ..................... 27
Requerimientos técnicos ............................................................................... 30
Anexo 1 – Grupos de Office 365.................................................................... 32
Anexo 2 - Controles de cambio ..................................................................... 34
Declaración de confidencialidad
El contenido del documento, incluyendo tarifas, valores, términos y condiciones
estipulados, se considera de carácter confidencial entre Visión y el destinatario de este
(en este caso Grupo Aval S.A.) y no puede ser utilizado total o parcialmente por éste
para propósitos distintos al objeto del documento. Un documento clasificado como
confidencial puede ser utilizado por las personas designadas por la organización
destinataria para su análisis y evaluación dentro del proceso comercial al cual hace
referencia el documento (en este caso Tenant Compartido - Minimo Producto Viable -
SharePoint Online – V1.0) También puede ser utilizado por áreas interesadas en los
procesos de contratación que se pudieran derivar de una eventual negociación entre
Visión y la organización destinataria del documento (en este caso Grupo Aval S.A.). El
sello de confidencialidad hace referencia explícita a que la información contenida en
el documento no puede ser reproducida ni revelada a terceros distintos a los antes
mencionados.
Las normas que fundamentan el carácter reservado de la información son los artículos
260 y siguientes de la Decisión 486 de 2000 de la Comunidad Andina, el artículo 308
del código penal y los artículos 16 y siguientes de la ley 256 de 1996.
Audiencia objetivo del documento

Este documento está dirigido a los equipos de trabajo de infraestructura, seguridad y
comunicaciones del grupo AVAL que hagan parte del proyecto de habilitación de servicios
de office 365 en sus respectivos tenant.
• El equipo técnico y de arquitectura (IT) de Grupo Aval y organizaciones que pertenecen

a Grupo Aval y requieren del servicio de SharePoint Online de Office 365.
• Administradores (IT) de las organizaciones de Grupo Aval que requieran los servicios de
SharePoint Online de Office 365.
• Equipo de seguridad informática de Grupo Aval S.A. que requieren que las
configuraciones del servicio de SharePoint Online de Office 365 se habilite conforme a
los estándares de seguridad de la entidad.
• Proveedores de servicios y de soluciones de IT (tecnologías de la información) para Grupo

Aval.
Alcance del documento

• Diseñar el servicio de SharePoint Online contextualizado en tres perspectivas técnicas
correspondientes a: Arquitectura, Seguridad y Comunicaciones.
• Definir los componentes y configuraciones mínimas requeridos para habilitar el

servicio de SharePoint Online teniendo como base aspectos de arquitectura,
seguridad y comunicaciones.
• El presente documento expone las definiciones del mínimo producto viable en

aspectos que se delimitan a la arquitectura, seguridad y comunicaciones, con el fin
de estipular la base del servicio SharePoint Online. El diseño aquí presentado sirve de
insumo para habilitar las capacidades básicas de la plataforma, así como para limitar
las definiciones a nivel de seguridad que deberán tenerse en cuenta en el momento
de atacar casos de uso específicos.
Introducción y resumen ejecutivo

Mínimo Producto Viable, es la versión inicial que permite habilitar de un servicio de Office
365, de tal forma que pueda ser usado con funcionalidades y lineamientos de seguridad
establecidos bajo un escenario base que permita a futuro a las entidades montar soluciones
a los casos de uso usando la plataforma ya desplegada.
SharePoint Online es uno de los principales componentes de Office 365, tiene como objetivo
principal ser la plataforma de colaboración de Office 365, habilitando capacidades como las
de compartir información y contenido, facilitando el trabajo en equipo; estas capacidades
apalancan la funcionalidad de otras herramientas que potencian este uso integrando sus
funcionalidades con otros productos de O365 como Teams, Groups y OneDrive.
El presente documento tiene como fin exponer el diseño del mínimo producto viable para el
servicio SharePoint Online de Grupo Aval S.A., teniendo en cuenta las premisas definidas para
el MPV, como son:
• Máxima seguridad, mínima funcionalidad.

• Prevalece el bien común del grupo empresarial frente a necesidades y beneficios de
entidades particulares.
• Se busca dar los lineamientos básicos de configuración para habilitar el servicio de
SharePoint Online en las entidades, dando los pilares básicos para su consiguiente
uso en casos de uso específicos.
SharePoint Online – Características básicas

disponibles que quedarán habilitadas para uso a
través del MPV
Microsoft SharePoint Online posibilita la centralización de la información a través de
portales de intranet con una estrategia basada en sitios para el almacenamiento de
información y documentos, para áreas específicas o para de forma transversal a la
organización. Los sitios de SharePoint usan bibliotecas de documentos o listas de
datos para el almacenamiento y columnas o campos de varios tipos de datos para la
clasificación de distintos tipos de contenido.
SharePoint Online está integrado con Office Online, lo que permite generar
documentos en modo de coautoría para redacción en tiempo real por parte de varios
usuarios. Sobre cada documento se puede hacer seguimiento de correcciones y
comentarios, directamente en el documento o con las funcionalidades de
colaboración de los sitios.
A continuación, se mencionan y se da una breve explicación de algunas de las

características funcionales más importantes que se pueden explotar con SharePoint
Online sobre Office 365 enfocándonos en los usos más comunes y las funcionalidades
que quedarán disponibles una vez habilitado el Mínimo Producto Viable de SharePoint
Online:
• Microsoft Graph: SharePoint Online, dispone de experiencias modernas para los

portales de equipo con páginas mejoradas de inicio, que permiten aprovechar las
características de búsqueda inteligente de Graph, resaltando los documentos y las
interacciones con el contenido más recientes y relevantes para cada usuario dentro
de la compañía, haciéndolos más productivos, dando una visualización sencilla de qué
está pasando y quien está haciendo qué con el contenido corporativo.
• Microsoft Delve: Delve permite descubrir información nueva y relevante basándose
en las personas y el contenido con el que un usuario interactúa. Esto les permite a las
personas descubrir nueva información útil y relevante en el momento que la
necesitan. Los usuarios no necesariamente tendrán que recordar los nombre o
ubicación de documentos de referencia, Delve sugiere documentos basado en
técnicas de machine learning basados en la forma de trabajo de los usuarios de forma
individual y la forma de trabajo de los equipos a los que pertenece.
• Reportes de actividad de SharePoint y OneDrive: Estos reportes le permiten tener un

panorama completo y detallado acerca de cómo los usuarios de la compañía están
trabajando y colaborando. Se pueden usar estos reportes para analizar que usuarios
están activos y colaborando activamente con los contenidos corporativos. Además
de tener la capacidad de entender que usuarios están sincronizando documentos
localmente e incluso cuándo estos usuarios comparten información tanto interna
como externamente.
• Búsquedas: Con las capacidades de búsqueda de SharePoint Online, cuando un
usuario hace una búsqueda obtiene “Security-trimmed-results” lo que significa que
los usuarios solo verán en los resultados de búsqueda aquello a lo que tienen permiso
de acceder. Según el escenario, los índices de búsqueda pueden llegar a componerse
de contenidos almacenados en la nube de SharePoint Online y combinarlos con
contenidos alojados en ambientes on-premise para generar una experiencia de
búsqueda empresarial enriquecida y más robusta.
• Tipos de contenido: un tipo de contenido define las características comunes de un
grupo de documentos, en escenarios tradicionales de gestión documental se usan
para representar los tipos archivísticos y definir sus características comunes sin
importar si están en ubicaciones diversas.
• Vistas de atención: Permiten identificar rápida y visualmente cuando algún contenido
tiene falencias en su captura y clasificación, por ejemplo, cuando hay metadatos
pendientes por diligenciar, un metadato es requerido o es necesario que los usuarios
tomen acción sobre un contenido específico, adicionalmente se pueden llevar a cabo
operaciones de forma masiva para corregir estas falencias
• Movimiento de contenidos de OneDrive a SharePoint y Viceversa: las funcionalidades

disponibles en SharePoint y OneDrive actualmente permiten hacer movimiento de
los contenidos entre ubicaciones de forma sencilla y rápida, puede moverse
información de OneDrive a un portal de SharePoint con un par de clics, o de
SharePoint a OneDrive, o de un portal de SharePoint a otro.
• Integración con office: dentro de las aplicaciones de Office, en el tab de “Archivo” o
lo que se conoce como la vista de “backstage” se permite a los usuarios editar las
propiedades del documento, cuando el documento ha sido abierto desde SharePoint
estas propiedades corresponderán con los metadatos del tipo documental asignado
al documento en la biblioteca de SharePoint. Además, si se tiene habilitado el manejo
de versiones en la biblioteca, el cliente de Word estará en capacidad de hacer
comparación de las versiones almacenadas en el servidor, también se guardarán los
cambios de forma automática en un modo de sincronización con el SharePoint.
• SharePoint Mobile: SharePoint cuenta con un App que permite acceder a los
contenidos fácilmente desde cualquier dispositivo, dando acceso rápido a
componentes como: la actividad de un sitio y sus listas, ver perfiles y realizar
búsquedas. También se pueden ver y crear noticias de un portal de equipo.
• Bibliotecas de documentos: son una ubicación segura para crear, compartir y

organizar contenidos. Están diseñadas para entregar una forma de trabajo
consistente sobre los archivos.
o Propiedades: La navegación basada en metadatos hace más fácil para los

usuarios encontrar contenidos, especialmente en bibliotecas con grandes
volúmenes de información.
o Vistas: Las vistas dan la capacidad de almacenar consultas específicas sobre
los datos de una biblioteca, permitiendo reutilizar cosas como: los metadatos
que se visualizan, los filtros, el ordenamiento, los criterios de agrupación y/o
el formato que se da columnas específicas. Teniendo la capacidad de
almacenar cada una de estas consultas con un nombre distintivo para su
posterior uso.
o Vistas previas: Las bibliotecas cuentan con la capacidad de mostrar vistas
previas de los documentos, así como de representarlos en la biblioteca como
íconos grandes o “Thumbnails”, estos aplican para los documentos de Office,
imágenes y videos.
o Anclado de documentos: Las bibliotecas permiten marcar documentos como
importantes, anclándolos a la parte superior de la zona de visualización de
contenidos de la biblioteca, esto permite tener acceso rápido a los contenidos
más importantes sin necesidad de navegar todos los contenidos de un
repositorio particular.
• Adjuntos modernos: los adjuntos modernos son una característica de Outlook, que
permite integrar como adjuntos a un correo electrónico, documentos almacenados
en SharePoint o OneDrive, con la particularidad que estos adjuntos son en realidad
enlaces a los repositorios de SharePoint, dando así la posibilidad de tener acceso a la
información más reciente del documento y centralizando cualquier tipo de
interacción con el documento.
• Compartir información: Los archivos almacenados en SharePoint usualmente están
compartidos con un grupo de personas que tienen acceso al sitio y a la biblioteca
documental en donde están almacenados, sin embargo, SharePoint da la capacidad
de dar permisos a documentos específicos o carpetas a grupos diferentes de
personas, lo que permite flexibilizar la estructura de permisos y habilita la
colaboración en un mismo repositorio para diversos públicos.
• Colaboración: SharePoint Online permite que múltiples personas trabajen de forma
conjunta en un mismo documento (Word, Excel o PowerPoint) habilitando escenarios
de coautoría (edición simultanea por varios usuarios en tiempo real). Office incluye
además características como comentarios, control de cambios y la habilidad de ver
en donde cada editor está haciendo los cambios, en el momento que los está
haciendo.
• Control de versiones: El control de versiones se puede habilitar en las bibliotecas, de

tal forma se pueden revisar versiones previas de un documento o recuperar una
versión anterior en caso de ser necesario. Se puede definir el número de versiones a
mantener para cumplir regulaciones o requisitos legales o de auditoría. Además de
esto, se puede integrar el control de versiones con los procesos de aprobación, de tal
forma que los usuarios finales (aquellos que no participan activamente de la
construcción de un documento) solo puedan ver los documentos en sus versiones
aprobadas.
• Office 365 Records Management & Retention: Es una nueva capacidad ofrecida en
Office 365 y que es transversal a Exchange, Skype, OneDrive y SharePoint. Permite a
los administradores definir políticas de etiquetado de información de forma
centralizada desde el Centro de Seguridad y Cumplimiento de Office 365 para forzar
políticas de retención y eliminación de los documentos, incluyendo eventos externos
como, por ejemplo, el cierre de un proyecto, recibo de pagos, o una revisión manual.
• Information Rights Management: Permite encriptar los archivos con Azure

Information Protection. Permitiendo que los usuarios accedan a los archivos siempre
que cumplan con las validaciones de identidad y permisos requeridos para poder
abrirlos y usarlos, esta tecnología permite garantizar que quien abre y usa un
documento tiene permisos para tales operaciones ya que la seguridad se aplica
directamente en el archivo integrándola con los permisos configurados en SharePoint
y siendo el cliente de Office el encargado de una vez validados los permisos y la
identidad contra el servicio de Office 365 aplica los permisos en el cliente

directamente.
• Auditoria: SharePoint cuenta con capacidades de auditoría sobre sus contenidos, lo
que permite auditar eventos como la apertura, edición o borrado de un documento.
• Políticas de acceso condicional: estas políticas permiten definir reglas de acceso a los
contenidos basados en la sensibilidad de los datos, la ubicación del usuario o el
dispositivo desde el que se está accediendo a dicha información. Por ejemplo,
actualmente las entidades del grupo cuentan con Acceso Condicional por Ubicación
lo que permite bloquear el acceso a los contenidos desde determinados países, y dar
acceso a la información solo desde ciertas IPs autorizadas por cada entidad.
Arquitectura
A nivel de infraestructura el requisito principal para la utilización del servicio de SharePoint

Online, es la disponibilidad de usuarios en el tenant de Office 365, en este orden de ideas se
requiere la sincronización de usuarios desde Directorio Activo hacia el tenant, esta
configuración se hace a través de la herramienta ADConnect, de esta forma se genera una
mejor experiencia de usuario y facilidad para los usuarios al tener sincronizadas las
identidades de directorio con la nube.
Por otro lado, es importante que los usuarios de SharePoint cuenten con versiones recientes
de Office Professional (2016 o superior), esto para poder aprovechar todas las características
funcionales asociadas al manejo y gestión de documentos que ofrece la solución, por
ejemplo: la coautoría y factores de seguridad como la autenticación de doble factor. Es
importante aclarar que las versiones anteriores de Office pueden consumir los servicios de
SharePoint Online, pero no contarán con la capacidad de aprovechar todas las
características, como las dos mencionadas como ejemplo.
Como parte de las consideraciones importantes a tener en cuenta dentro de las definiciones
de arquitectura, está el hecho que SharePoint es una parte fundamental de los demás
componentes de la suite de Office 365, por ejemplo: SharePoint es indispensable para tener
activadas las funcionalidades asociadas a OneDrive, producto que a su vez es una
implementación basada en un portal y una serie de bibliotecas documentales de SharePoint.
Otro ejemplo es Microsoft Teams, producto que al crear un nuevo equipo de trabajo (un
Team) genera automáticamente una colección de sitios, en donde quedan depositados los
documentos gestionados desde la interfaz de la herramienta, dicho sea de paso, que la
colección de sitios que se crea, tiene las mismas capacidades de personalización de páginas,
gestión de documentos y colaboración que cualquier otra colección de sitios creada de forma
manual desde la consola de administración del SharePoint.
Exchange Online
SharePoint Online and

OneDrive for Business
Skype
En la gráfica anterior, se puede ver la forma como SharePoint es usado por Teams a través
de los Grupos de Office 365 (Al final del documento se encuentra un anexo asociado a
algunas consideraciones que se debe tener en cuenta respecto a los grupos y su uso en las
entidades de Grupo Aval) y como bajo la sombrilla del producto de SharePoint se encuentra
OneDrive.
En cuanto capacidad de almacenamiento, SharePoint Online cuenta con una capacidad inicial
de 1 TB para el tenant, a esto se le suma que por cada usuario licenciado Microsoft provisiona
10 GB adicionales sobre el almacenamiento base. Este almacenamiento es compartido por
todas las colecciones de sitios (excepto las de OneDrive que cuentan con un almacenamiento
específico), de tal forma que en tenant compartido Graval, todas las entidades cuentan con
una bolsa común de storage, esta bolsa de almacenamiento debe ser administrado aplicando
cuotas a las colecciones de sitio, de tal forma que esta distribución pueda ser controlada y
manejada de forma sencilla y transparente para las entidades del tenant.
Definiciones y conclusiones de arquitectura:

• Las entidades del tenant compartido ya cuentan con la sincronización de
identidades de directorio activo a través de ADConnect.
• Las entidades del tenant compartido no están todos con las últimas versiones
de Office, por lo que es necesario contar con características que permitan
hacer uso de las funcionalidades de SharePoint desde versiones anteriores a
Office 2016.
• Cada entidad cuenta actualmente con una colección de sitios dentro del
tenant.
• Se definió una cuota de almacenamiento de 5 GB como base para las nuevas
colecciones de sitios que se creen en SharePoint Online sobre el tenant. Por
ejemplo: las que serán creadas automáticamente al crear equipos de
Microsoft Teams.
Seguridad
SharePoint gestiona la seguridad de la información mediante niveles de permisos específicos
aplicados global o directamente a todo un sitio o biblioteca o incluso a carpetas o archivos
puntualmente. Los niveles de permisos son en general de lectura, colaboración o control
total y son controlados por usuarios con privilegios de administración sobre cada uno de los
portales
La autenticación de SharePoint Online está basada en la plataforma de autenticación de

Microsoft implementada en los servicios de Office 365, de este modo SharePoint no se
encarga de procesos de autenticación, ya que confía en el proceso de autenticación contra
Office 365. Este proceso de autenticación en el caso de Grupo Aval está configurado para
que sincronice las identidades desde el directorio activo hacia el Azure Active Directory en el
que confían los servicios de Office 365 incluyendo SharePoint Online, garantizando que tanto
los nombres de usuario como las contraseñas son las mismas cuando el usuario se conecta a
su máquina local y cuando se conecta con los servicios de nube.
SharePoint se encarga de gestionar la autorización de acceso a los contenidos almacenados

en él y que son solicitados por un usuario ya autenticado. En este orden de ideas, SharePoint
maneja una estructura de seguridad basada en Roles, en donde se definen grupos de
usuarios, asociados a niveles de permisos (conjunto de acciones que pueden realizar) contra
un repositorio de información. Los niveles de información en donde se pueden aplicar los
permisos pueden llegar a un nivel de granularidad de documento, es importante aclarar que
la estructura de seguridad y las recomendaciones propias del manejo de las funcionalidades
de seguridad deberán ser revisadas en detalle durante el proceso de implementación de cada

caso de uso que se monte sobre el MPV definido en este documento.
Las sesiones de usuario pueden ser gestionadas por inicio de sesión en el navegador o por
credenciales de usuario almacenadas de Windows, esto último para facilitar la integración
con las demás aplicaciones de Office.
SharePoint predeterminadamente está integrado con Active Directory, pero también se

puede permitir el acceso a usuarios externos mediante el uso de credenciales Office 365 o
federadas de una organización partner, o mediante el registro de cuentas Microsoft. La
aplicación de permisos y gestión de usuarios externos una vez registrados se realiza de igual
forma que con usuarios de la organización.
SharePoint también permite integrarse con IRM (Information Rights Management) que
realiza la protección de documentos Office y pdf más allá del repositorio de almacenamiento,
es decir que si un documento protegido con IRM es descargado o viaja por correo electrónico
mantendrá los privilegios definidos.
Bitácoras de seguridad
Todos los eventos de inicio de sesión, acceso, lectura, escritura, modificación o eliminación
quedan almacenados en registros de auditoría que se activan en los sitios de SharePoint o
disponibles en las herramientas de administración de Seguridad y Cumplimiento de Office
365.
Cumplimientos de normas y regulación

Microsoft mantiene las ofertas de cumplimiento aplicables a nivel mundial cubiertas en esta
sección con aplicabilidad global en industrias y mercados regulados. Con frecuencia, los
clientes pueden confiar en ellos cuando abordan obligaciones específicas de cumplimiento
de la industria y regionales. Por ejemplo, la certificación ISO 27001 proporciona un conjunto
de requisitos básicos para muchas otras normas y regulaciones internacionales.
Entre las que podemos encontrar:
Certificación Aplicable Componentes de Office 365
CSA Cloud Control o Office 365 Exchange Online, Exchange Online Protection,
Matrix The Cloud o GCC SharePoint Online, including OneDrive for
Security Alliance Business, Skype for Business, Office Online,
(CSA). Office Services Infrastructure, Suite User
Experience, Domain Name Service, Security
Workload Environment
ISO 27001:2013 o Office 365 Exchange Online, Exchange Online Protection,

SharePoint Online, including OneDrive for
Business, Skype for Business, Office Online,
Office Services

o GCC SharePoint Online, including OneDrive for
o GCC High Business, Skype for Business, Office Online,
o DoD Office Services Infrastructure, Suite User
Experience, Domain Name Service, Security
Workload Environment

o GCC SharePoint Online, including OneDrive for
Business, Skype for Business, Microsoft Teams,
Office Online, Office Services Infrastructure,
Suite User Experience, Domain Name Service,
Security Workload Environment
SOC 1 Type 2 o Office 365 GCC Exchange Online, Exchange Online Protection,
SharePoint Online (including OneDrive for
Business, Delve, Access Online, and Project
Online), Skype for Business, Microsoft Teams,
Security Workload Environment, Identity

Manager, Service Encryption with Customer
Key, Lockbox (Torus), Customer Lockbox, Griffin,
and Office 365 Microservices (Kaizala,
ObjectStore, Forms, Planner, Sway, PowerPoint
Online Document Service, Query Annotation
Service, School Data Sync, Siphon, Speech,
StaffHub, eXtensible Application Program)
SOC 2 Type 2 o Office 365 GCC Exchange Online, Exchange Online Protection,
SharePoint Online (including OneDrive for
Business, Delve, Access Online, and Project
Online), Skype for Business, Microsoft Teams,
Security Workload Environment, Identity
Manager, Service Encryption with Customer
Key, Lockbox (Torus), Customer Lockbox, Griffin,
and Office 365 Microservices (Kaizala,
ObjectStore, Forms, Planner, Sway, PowerPoint
Online Document Service, Query Annotation
Service, School Data Sync, Siphon, Speech,
StaffHub, eXtensible Application Program)
WCAG 2.0 (ISO o Office 365 Excel, Exchange Admin Center, Office 365
40500:2012) o GCC Admin Center (Portal), Office 365 and Azure AD
o GCC High login experience, Office 365 Security &
o DoD Compliance Center, Office 365 Video, Office
Lens, Office.com, OneDrive Admin Center,
OneDrive for Business, OneDrive Sync Client,
OneNote, Orcas, Outlook, Outlook Groups,
PowerPoint, Project, Suite User Experience,
Word
Definiciones y conclusiones de seguridad:

• Al ser este un tenant compartido entre varias entidades, los requisitos de
compartir con usuarios externos a la organización pueden diferir entre
entidades por lo que se tienen las siguientes definiciones:
o El tenant quedará configurado para que se permita compartir
información con externos, estos usuarios externos deben autenticarse
en la plataforma para poder acceder a los contenidos compartidos.
o Las colecciones de sitio por defecto se crean con la opción más
restrictiva, es decir, la opción “NO compartir con externos”.
o Cada entidad, debe definir si desea o no permitir compartir con
externos y entregar una lista de dominios admitidos o de confianza
(lista blanca de dominios) para que sean configurados a nivel de la
colección (o colecciones) de sitios pertenecientes a la entidad.
o En ninguna circunstancia se debe permitir el compartir información
con usuarios anónimos.
o Se debe asignar un grupo de seguridad por entidad en donde se
encontrarán los usuarios que tienen permiso de compartir con
externos, solo estos grupos de usuarios contarán con esta capacidad.
Comunicaciones
URL`s, Dominios, IP's Puertos necesarios
A continuación, se listan los requisitos a nivel de comunicaciones que debe cumplir la entidad
para poder hacer uso completo de las características de SharePoint Online en el MPV, de tal
forma que no se generen interrupciones en la conectividad con el servicio, así como el uso
de todas las características tanto de seguridad como de funcionalidad del SharePoint.
Los requisitos de URLS, IPs y puertos requeridos para el correcto funcionamiento de la

plataforma se presentan en una tabla con las siguientes columnas, cuyo significado y uso se
encuentra a continuación:
ID: el número de identificación de la fila, también conocido como un conjunto de puntos de

conexión. Este identificador es el mismo que devuelve el servicio web para el conjunto de
puntos de conexión.
Categoría: muestra si el conjunto de puntos de conexión se clasifica como "Optimizar",

"Permitir" o "Predeterminado". Puede leer acerca de estas categorías y encontrar
indicaciones para su administración en http://aka.ms/pnc. Esta columna también muestra
los conjuntos de puntos de conexión que deben tener conectividad de red. Para los conjuntos
de puntos de conexión que no necesitan conectividad de red, le proporcionamos notas en
este campo para indicar qué funcionalidad faltaría si se bloqueara el conjunto de puntos de
conexión. Si va a excluir un área de servicio completa, los conjuntos de puntos de conexión
enumerados como necesarios no necesitan conectividad.
ER: aparece como Sí si el conjunto de puntos de conexión se admite en Azure ExpressRoute

con prefijos de ruta de Office 365. La comunidad de BGP que incluye los prefijos de ruta que
aparecen se alinea con el área de servicio que se muestra. Si EMERGENCIA aparece como
No, esto significa que ExpressRoute no es compatible con este conjunto de puntos de
conexión. Sin embargo, no se debe dar por hecho que no se anuncia ninguna ruta para un
conjunto de puntos de conexión cuando EMERGENCIA se establezca como No.
Direcciones: enumera los FQDN o nombres de dominio con caracteres comodín y los
intervalos de direcciones IP para el conjunto de puntos de conexión. Tenga en cuenta que
un intervalo de direcciones IP está en formato CIDR y puede incluir varias direcciones IP
individuales en la red especificada.
Puertos: muestra los puertos TCP o UDP que se combinan con las direcciones para formar el
punto de conexión de la red. Es posible que observe repeticiones de intervalos de direcciones
IP cuando se enumeran diferentes puertos.
ID Categoría ER Direcciones Puertos
31 Requerido Sí <tenant>.sharepoint.com, <tenant>-my.sharepoint.com TCP: 443, 80

13.107.136.0/22, 40.108.128.0/17, 52.104.0.0/14,
104.146.128.0/17, 134.170.200.0/21, 134.170.208.0/21,
150.171.40.0/22, 191.232.0.0/23, 2603:1026:630::/44,
2603:1026:830::/44, 2603:1039:e01::/48, 2603:1039:1001::/48,
2620:1ec:8f8::/46, 2620:1ec:908::/46, 2620:1ec:a92::150/128,
2a01:111:f402::/48
32 Predeterm No *.log.optimizely.com, click.email.microsoftonline.com, TCP: 443

inada ssw.live.com, storage.live.com
Opcional
Notas:
OneDrive
para la
Empresa:
vínculos
de correo
electrónic
o
incrustado
, API,
telemetría
y
compatibil
idad
33 Predeterm No *.search.production.apac.trafficmanager.net, TCP: 443

inada *.search.production.emea.trafficmanager.net,
Opcional *.search.production.us.trafficmanager.net
Notas:
Búsqueda
híbrida de
SharePoin
t: punto
de
conexión a
SearchCon
tentServic
e, donde
el
rastreador
ID Categoría ER Direcciones Puertos
híbrido
alimenta
document
os
35 Requerido No admin.onedrive.com, officeclient.microsoft.com, TCP: 443

skydrive.wns.windows.com
36 Requerido No g.live.com, oneclient.sfx.ms TCP: 443, 80
37 Requerido No *.sharepointonline.com, cdn.sharepointonline.com, TCP: 443, 80

privatecdn.sharepointonline.com,
publiccdn.sharepointonline.com, spoprod-a.akamaihd.net,
static.sharepointonline.com
38 Predeterm No prod.msocdn.com, watson.telemetry.microsoft.com TCP: 443, 80

inada
Opcional
Notas:
SharePoin
t Online:
URL
auxiliares
39 Requerido No *.svc.ms, <tenant>-files.sharepoint.com, <tenant>- TCP: 443, 80

myfiles.sharepoint.com
Consideraciones adicionales
Paso de las comunicaciones por firewall y no por el proxy
Microsoft recomienda evitar el uso de servidores proxy para el manejo de las

comunicaciones del servicio de SharePoint Online. El uso de estos dispositivos no
hace más seguro la comunicación porque el tráfico ya está encriptado.
Los problemas que se pueden presentar por usar servidores proxy para manejo de
este tráfico pueden generar inconvenientes en el rendimiento por latencias y
perdidas de paquetes.
Tamaño del pool de direcciones publicas NAT
Cuando varios usuarios o dispositivos acceden a Office 365 con traducción de

direcciones de red (NAT) o traducción de direcciones de puerto (PAT), debe
asegurarse de que los dispositivos ocultos detrás de cada dirección IP enrutable
públicamente no supera el número soportado.
Para mitigar este riesgo, asegúrese de tener la cantidad de direcciones IP públicas
asignadas al pool de NAT para evitar agotamiento de puertos (port exhaustion).
Agotamiento de puertos hará que los usuarios finales internos y los dispositivos
enfrenten problemas al conectarse a los servicios de Office 365.
Dispositivos de detección de intrusos y de prevención
Si su entorno tiene dispositivos de detección de intrusiones y/o sistema de

prevención (IDS/IPS) implementado para obtener un nivel adicional de seguridad para
las conexiones salientes, asegúrese de que todo el tráfico con destino a las
direcciones URL de Office 365 está en la lista blanca.
Configuraciones requeridas para habilitar el

servicio MPV 1.0
Con base en los capítulos anteriores que estaban enfocados en dar la contextualización de
las capacidades y consideraciones para tener en cuenta en el servicio a nivel de Arquitectura,
Seguridad y Comunicaciones, a continuación, se relaciona la lista de definiciones acordadas
con las entidades.
Ítem de configuración Estado final Observaciones

Uso Compartido
No permitir el uso compartido fuera de la organización Desactivado
Permitir el uso compartido solo con los usuarios externos que ya existen en
Desactivado
el directorio de la organización
Permitir a los usuarios invitar y a usuarios externos autenticados y
Activado
compartir contenido con ellos
Quién puede compartir elementos con usuarios ajenos a la organización
Permitir que solo los usuarios de los grupos de seguridad seleccionados

Desactivado
compartan con usuarios externos y con vínculos anónimos
• ATH: SG_ADM_SP
Permitir que solo los usuarios de los grupos de seguridad seleccionados
Activado • Entidades: Pendiente por la entrega de estos
compartan con usuarios externos autenticado
grupos por cada entidad
Tipo de vínculo predeterminado
Elija el tipo de vínculo que se creará de forma predeterminada cuando los
Activado
usuarios obtengan vínculos
Directo: personas específicas
Permiso de vínculo predeterminado
Elige el permiso predeterminado que está seleccionado cuando los usuarios
comparten. Esto se aplica al acceso anónimo y a los vínculos internos y Activado
directos.
VER
Configuración adicional
• El Servicio está abierto a usuarios autenticados.

Limitar el uso compartido externo mediante dominios (se aplicará a todas
• Se debe realizar Configuración a nivel de
las invitaciones de uso compartido futuras). Separar los diferentes dominios Activado
colección de sitios para cada entidad:
con espacios.
o Dominios Base: Bancos y Concesiones
Impedir que los usuarios externos compartan archivos, carpetas y sitios de

Activado
los cuales no sean propietarios
Los usuarios externos deben aceptar las invitaciones para compartir con la
Activado
misma cuenta a la que se han enviado las invitaciones
Requerir que los destinatarios demuestren de manera continua la

Activado
propiedad de la cuenta cuando obtengan acceso a elementos compartidos
Enviar correo electrónico a los propietarios de OneDrive para la

Empresa cuando:
· Otros usuarios invitan a usuarios externos a ver archivos compartidos
Activado
· Los usuarios externos aceptan invitaciones para tener acceso a
archivos
· Crear o modificar un vínculo de acceso anónimo
Configuración
Mostrar u ocultar opciones (Tiles)
Activado
OneDrive para la Empresa - Ocultar
Mostrar u ocultar opciones (Tiles)
Activado
Sitios – Mostrar
Administración de almacenamiento de las colecciones de sitios
Activado • Para Nuevos Portales: 5GB
- Manual
Experiencia de OneDrive para la Empresa
Activado
- Nueva experiencia
Experiencia de Listas y bibliotecas de SharePoint
Activado
- Nueva experiencia (detectar automáticamente)
Experiencia del Centro de administración
Activado
- Usar avanzada
Colaboración social para empresas
Activado
Utilizar SharePoint Newsfeed (valor predeterminado)
Impedir la creación de versiones antiguas de colecciones de sitios, pero
permitir la creación de versiones nuevas de colecciones de sitios. Permitir la
Activado
activación de la actualización a las nuevas versiones de colecciones de
sitios.
Utilizar IRM para este espacio empresarial Activado
Mostrar el comando de creación de sitio Desactivado
Mostrar el comando de menú de subsitio Desactivado
Permitir a los administradores de colección de sitios conectar sitios a
Activado
nuevos grupos de Office 365
Control de Acceso
Esta configuración se habilita teniendo en cuenta
que actualmente no se tiene control de
dispositivos a través de Intune, en el momento de
la implementación de Intune (en caso de darse)
debe tenerse en cuenta que al habilitar el control
Dispositivos no administrados
de dispositivos no administrados sobre-escribiría
Permitir acceso pleno desde aplicaciones de escritorio, aplicaciones móviles Activado
las reglas de acceso condicional. Por lo que se
y la web
recomienda a aquellas entidades interesadas en la
implementación de Intune para la administración
de dispositivos incluir dentro de su análisis y diseño
de Intune las consideraciones propias del servicio
de SharePoint.
Esta configuración se mantiene habilitada por
Aplicaciones que no usan autenticación moderna petición de las entidades ya que no todas cuentan
Esta opción se aplica a aplicaciones de terceros y a Office 2010 y versiones Activado con una versión de Office 2013 o superior, por lo
anteriores. - Permitir que si se llegase a desactivar se estaría bloqueando
el acceso al servicio de SharePoint Online.

Es importante mencionar que al mantener esta
opción activa se tiene una vulnerabilidad ya que el
API usado para la generación de tokens de
identidad y el proceso de autenticación por parte
del cliente hacia el servicio no están protegidos por
las últimas técnicas implementadas en el modo de
autenticación Moderna, haciendo susceptible la
aplicación (Cliente de Office) a ataques tipo MITM.
Este riesgo se socializó con las entidades y estas
estuvieron de acuerdo en asumirlo y evaluar
internamente las opciones de actualización en el
corto plazo.
Esta configuración se mantiene desactivada ya que
las entidades cuentan con reglas de acceso
Permitir el acceso solo desde ubicaciones de direcciones IP específicas Desactivado
condicional basadas en ubicación a nivel de Azure
AD, lo que hace que esta opción no sea necesaria.
Requerimientos técnicos1
Para poder trabajar en SharePoint Online, se especifican los siguientes requerimientos
Equipo y procesador Windows: 1,6 gigahercios (GHz) o más rápido, dos núcleos. 2 GHz o más
recomendado para Skype Empresarial.
macOS: Procesador Intel
Memoria Windows: 4 GB de RAM; 2 GB de RAM (32 bits)
macOS: 4 GB de RAM
Disco duro Windows: 4 GB de espacio disponible en disco
macOS: 10 GB de espacio disponible en disco. Disco duro con formato HFS+ (también
conocido como macOS Extended o APFS)
Pantalla Windows: Resolución de pantalla de 1280 × 768
macOS: Resolución de pantalla de 1280 × 800
Gráficos Windows: La aceleración de hardware de gráficos necesita DirectX 9 o versiones

posteriores, con WDDM 2.0 o posteriores para Windows 10 (o bien WDDM 1.3 o posteriores
para Windows 10 Fall Creators Update). Para usar Skype Empresarial, se necesita DirectX 9 o
posteriores, memoria de gráficos de 128 MB y un formato con capacidad para 32 bits por
píxel.
macOS: Sin requisitos de gráficos
Sistema operativo Windows 10 SAC, Windows 10 LTSB 2016, Windows 10 LTSB 2015,
Windows 8.1, Windows 7 Service Pack 1, Windows Server 2016, Windows Server 2012 R2,
Windows Server 2012 o Windows Server 2008 R2. Ten en cuenta que Office 365 ProPlus no
1
Estos son los requerimientos mínimos expuestos en la página oficial de Microsoft para usar
Office 365. Úselos como base para evaluar la necesidad de incrementar la capacidad de los
usuarios de acuerdo con los roles o tareas que va a ejecutar en SharePoint Online.
será compatible en Windows 10 LTSC 2019 en su lanzamiento. Office 365 ProPlus no será
compatible con ninguna versión de Windows 10 LTSC/LTSB ni en Windows Server 2012 R2 o
más antiguos después de enero de 2020. Office 365 ProPlus será compatible en Windows
Server 2016 hasta octubre de 2025.
macOS: Office para Mac es compatible con las tres versiones más recientes de macOS.
Cuando se publica una nueva versión de macOS, el requisito del sistema operativo de Office
para Mac será las dos versiones más recientes en ese momento: la nueva versión de macOS
y la versión anterior.
La disponibilidad de funciones y características del producto puede variar en sistemas

anteriores. Para disfrutar de la mejor experiencia, use la versión más reciente de cualquier
sistema operativo especificado anteriormente.
Explorador: La versión actual de Microsoft Edge, Internet Explorer, Safari, Chrome o Firefox.
Más información. Nota: Para usar funciones de Internet, se necesita una conexión a Internet.
Versión de .NET Windows: Para usar algunas de las características, también es necesario
instalar .NET 3.5 o 4.6
Anexo 1 – Grupos de Office 365
Los Grupos de Office 365 son un servicio que trabaja con las herramientas de Office 365 que
usted ya usa para colaborar con sus compañeros de equipo y pueden ser implementados
para editar documentos en conjunto en Office, compartir archivos de OneDrive, crear
reuniones, trabajar en proyectos en común y crear equipos de interés en Teams.
Esta característica le permite crear los grupos de personas que usted desee para colaborar y
compartir colecciones de recursos con su equipo.
Para la implementación de sus servicios de Office 365, los Grupos de Office 365 son un
componente que se moverá de manera transversal ya que para muchos de los servicios que
se activen; se tendrá que basar en los mismos grupos para delimitar los usuarios finales que
tendrán acceso a diferentes tipos de servicios y contenidos.
Para este Tenant, se definió el grupo solo nube (no sincronizado desde el directorio activo)
para restringir la creación de grupos a los usuarios dentro del servicio. El nombre del grupo
es GRAVAL_Permisoscreaciongrupos.
Cada entidad de este tenant, entonces, debe definir lo siguiente en su respectivo directorio
activo on premises:
• Usuarios que podrán crear Grupos en Office 365. Estos usuarios para facilidad de
administración, se recomienda unirlos a un grupo de directorio activo.
• Grupo que albergara los usuarios (del punto anterior); que tendrán la autorización
de crear los grupos en Office 365.
Por último, el grupo on premises se anidará al grupo solo nube llamado

“GRAVAL_Permisoscreaciongrupos”.
Un Grupo de Office 365esta constituido por lo siguiente:
• Tipo: Tipo de grupo que quiere crear, en este caso Grupos de Office 365.
• Nombre: Nombre que quiera establecer para el grupo con base en el estándar
adoptado por cada una de las entidades.
• Email Address: La dirección de correo que tendrá estampada el grupo de ser
necesaria.
• Descripción: La descripción o detalles del grupo.
• Privacidad: El tipo de acceso que quiere para el grupo, este puede ser Público o
Privado.
• Owner o Propietario: Propietario del mismo grupo, que para este caso se
recomienda sea el mismo propietario o administrador del servicio designado por
cada entidad.
Con base en lo anterior, lo recomendable es que las entidades adopten el gobierno y la

administración para la creación de Grupos de Office 365 apoyándose en los mismos
administradores de su Directorio Activo Local; esto quiere decir, que la creación de grupo se
dará a través de solicitudes realizadas por los administradores del servicio respectivo a los
administradores de su directorio activo local y por lo tanto de los grupos en Office 365, la
solicitud de creación de un grupo deberá tener documentadas las características y los
requerimientos que el Grupo de Office 365 debe tener para su configuración final.
NOTA: Una vez solicitado y creado el Grupo de Office 365, este tardará hasta 60 minutos en
propagarse a través de los servicios del portal de Office 365.
Anexo 2 - Controles de cambio

Para habilitar el servicio de SharePoint Online, a todos los usuarios de la entidad, según todos
los requisitos consignados en el presente documento; se necesitan aprobar los siguientes
controles de cambio por parte de las entidades:
Control de cambio Descripción Detalle del control de cambio Impacto Responsable

# de la
ejecución
01 – Ajuste Apertura de puertos y Se deben ajustar los dispositivos Alto Entidades

dispositivos de excepciones en firewall, según de comunicaciones para que los
seguridad / el capítulo URL`s, Dominios, servicios de SharePoint Online no
comunicaciones IP's Puertos necesarios sufran “degradación” cuando se
estén usando.
02 - Configuración Aplicar en el tenant las Aplicar las configuraciones Bajo Vision -

mínima requerida configuraciones mínimas para relacionadas en este documento Entidad
(MPV) para el cumplir con el “Mínimo en el capítulo: “Configuraciones
servicio. Producto Viable” del servicio requeridas para habilitar el
Microsoft Teams servicio MPV 1.0”
03 – Habilitar Prender la característica de Se debe modificar la licencia y Bajo Vision -

característica SharePoint Online a los prender la característica a los Entidad
usuarios. usuarios licenciados.
04 – Requisitos de Es necesario que las entidades Las entidades deben cumplir con Alto Entidad
cliente garanticen que sus usuarios las definiciones hechas en el
cumplen con los requisitos capítulo: “Requerimientos
técnicos mínimos para el técnicos”
correcto uso del MPV de
SharePoint Online.
Anexo 3 – Requerimientos de cambio al

documento
Entidad Observación Respuesta
Grupo Aval Acciones y Deshabilitarla opción Newsfeed No se puede desactivar. La alternativa a la
Valores S.A. configuración definida es Yammer y este
servicio aún no se va a habilitar.
• ATH Solicitan que se deshabilite la En la sesión de seguridad trabajada con las
• NEXA opción “Permitir uso de entidades, aunque se mencionó la
aplicaciones que no usan vulnerabilidad, las entidades en mayoría
Autenticación Moderna” definieron que se debía dejar activa la opción,
para efectos de permitir a los usuarios a los que
no se les ha actualizado la versión de Office (a
2016 o superior), puedan hacer uso del servicio,
manifestaron tomar nota de los riesgos de
seguridad y evaluar la actualización de los
clientes en el corto plazo evaluando las
implicaciones de seguridad, económicas y otros
asociados en cada entidad.

GrupoAval-MinimoProductoViable-SharePointOnline-TenantCompartido - V1 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GrupoAval-MinimoProductoViable-SharePointOnline-TenantCompartido - V1 PDF

Cargado por

Copyright:

Formatos disponibles

Tenant Compartido - Minimo Producto

Viable - SharePoint Online – V1.0

Grupo Aval S.A.

Facilitamos la adopción de nuevas tecnologías, agilizando su impacto en

8 de mayo de 2019 Fabian Plata Martinez Versión inicial

Tabla de Contenido ......................................................................................... 2

Declaración de confidencialidad ..................................................................... 4

Audiencia objetivo del documento ................................................................. 5

Alcance del documento ................................................................................... 5

Introducción y resumen ejecutivo ................................................................... 6

SharePoint Online – Características básicas disponibles que quedarán

Definiciones y conclusiones de arquitectura: ..................................................16

Bitácoras de seguridad .....................................................................................19

Cumplimientos de normas y regulación...........................................................20

Definiciones y conclusiones de seguridad: .......................................................22

URL`s, Dominios, IP's Puertos necesarios.........................................................23

Consideraciones adicinoales ............................................................................25

Configuraciones requeridas para habilitar el servicio MPV 1.0 ..................... 27

Requerimientos técnicos ............................................................................... 30

Anexo 1 – Grupos de Office 365.................................................................... 32

Anexo 2 - Controles de cambio ..................................................................... 34

Audiencia objetivo del documento

• El equipo técnico y de arquitectura (IT) de Grupo Aval y organizaciones que pertenecen

• Proveedores de servicios y de soluciones de IT (tecnologías de la información) para Grupo

Alcance del documento

• Definir los componentes y configuraciones mínimas requeridos para habilitar el

• El presente documento expone las definiciones del mínimo producto viable en

Introducción y resumen ejecutivo

• Máxima seguridad, mínima funcionalidad.

SharePoint Online – Características básicas

A continuación, se mencionan y se da una breve explicación de algunas de las

• Microsoft Graph: SharePoint Online, dispone de experiencias modernas para los

• Reportes de actividad de SharePoint y OneDrive: Estos reportes le permiten tener un

• Movimiento de contenidos de OneDrive a SharePoint y Viceversa: las funcionalidades

• Bibliotecas de documentos: son una ubicación segura para crear, compartir y

o Propiedades: La navegación basada en metadatos hace más fácil para los

• Control de versiones: El control de versiones se puede habilitar en las bibliotecas, de

• Information Rights Management: Permite encriptar los archivos con Azure

identidad contra el servicio de Office 365 aplica los permisos en el cliente

A nivel de infraestructura el requisito principal para la utilización del servicio de SharePoint

SharePoint Online and

Definiciones y conclusiones de arquitectura:

La autenticación de SharePoint Online está basada en la plataforma de autenticación de

SharePoint se encarga de gestionar la autorización de acceso a los contenidos almacenados

de seguridad deberán ser revisadas en detalle durante el proceso de implementación de cada

SharePoint predeterminadamente está integrado con Active Directory, pero también se

Cumplimientos de normas y regulación

Entre las que podemos encontrar:

Certificación Aplicable Componentes de Office 365

ISO 27001:2013 o Office 365 Exchange Online, Exchange Online Protection,

ISO 27017:2015 o Office 365 Exchange Online, Exchange Online Protection,

ISO 27018:2014 o Office 365 Exchange Online, Exchange Online Protection,

Security Workload Environment, Identity

Definiciones y conclusiones de seguridad:

Los requisitos de URLS, IPs y puertos requeridos para el correcto funcionamiento de la

ID: el número de identificación de la fila, también conocido como un conjunto de puntos de

Categoría: muestra si el conjunto de puntos de conexión se clasifica como "Optimizar",

ER: aparece como Sí si el conjunto de puntos de conexión se admite en Azure ExpressRoute

ID Categoría ER Direcciones Puertos

31 Requerido Sí <tenant>.sharepoint.com, <tenant>-my.sharepoint.com TCP: 443, 80

32 Predeterm No *.log.optimizely.com, click.email.microsoftonline.com, TCP: 443

33 Predeterm No *.search.production.apac.trafficmanager.net, TCP: 443

ID Categoría ER Direcciones Puertos