Introducción: Siguiente Unidad: Descripción Del Modelo de Responsabilidad Compartida

Introducción
Completado100 XP
 1 minuto
A medida que se obtiene acceso a más datos empresariales desde ubicaciones

fuera de la red corporativa tradicional, la seguridad y el cumplimiento se han
convertido en preocupaciones importantes. Las organizaciones deben comprender
cómo pueden proteger mejor sus datos, independientemente de dónde se tenga
acceso a ellos y de si se encuentran en la red corporativa o en la nube. Además, las
organizaciones deben asegurarse de que cumplen los requisitos normativos y del
sector para garantizar la protección y la privacidad de los datos.
Este módulo presenta algunos conceptos importantes sobre seguridad y

cumplimiento. Conocerá el modelo de responsabilidad compartida, defensa en
profundidad y Confianza cero. Se le presentarán los conceptos de cifrado y hash
como formas de proteger los datos. Por último, obtendrá información sobre los
conceptos relacionados con el cumplimiento.
Después de completar este módulo, podrá:
 Describir la responsabilidad compartida y los modelos de seguridad

para una defensa en profundidad
 Describir el modelo de Confianza cero
 Describir los conceptos de cifrado y hash.
 Describir algunos conceptos básicos de cumplimiento
Siguiente unidad: Descripción del modelo de

responsabilidad compartida
Descripción del modelo de

Completado100 XP
 3 minutos
En organizaciones que solo ejecutan hardware y software local, la organización es

un 100 % responsable de la implementación de la seguridad y el cumplimiento.
Con los servicios basados en la nube, esa responsabilidad se comparte entre el
cliente y el proveedor de la nube.
El modelo de responsabilidad compartida identifica qué tareas de seguridad

administra el proveedor de la nube y qué tareas de seguridad administra usted
como cliente. Igualmente, las responsabilidades varían en función de dónde se
hospede la carga de trabajo:
 Software como servicio (SaaS)

 Plataforma como servicio (PaaS)
 Infraestructura como servicio (IaaS)
 Centro de datos local
El modelo de responsabilidad compartida hace que las responsabilidades resulten

claras. Cuando las organizaciones realizan migraciones a la nube, algunas
responsabilidades se transfieren al proveedor de la nube y otras a la organización
del cliente.
En el diagrama siguiente se muestran las áreas de responsabilidad entre el cliente y

el proveedor de la nube, en función de dónde se encuentran los datos.
 Centros de datos locales. En un centro de datos local, usted es el
responsable de todo, desde la seguridad física hasta el cifrado de la
información confidencial.
 Infraestructura como servicio (IaaS). De todos los servicios en la
nube, IaaS requiere que el cliente en la nube se encargue de la mayor
parte de la administración. Con IaaS, se usa la infraestructura
informática del proveedor de la nube. El cliente en la nube no es
responsable de los componentes físicos, como los equipos y la red, ni
de la seguridad física del centro de datos. Sin embargo, el cliente en la
nube sigue siendo responsable de los componentes de software, como
los sistemas operativos, los controles de red, las aplicaciones y la
protección de datos.
 Plataforma como servicio (PaaS). PaaS proporciona un entorno para
compilar, probar e implementar aplicaciones de software. El objetivo
de PaaS es ayudarle a crear una aplicación rápidamente sin tener que
administrar la infraestructura subyacente. Con PaaS, el proveedor de la
nube administra el hardware y los sistemas operativos, y el cliente es
responsable de las aplicaciones y los datos.
 Software como servicio (SaaS). El proveedor en la nube se encarga
de hospedar y administrar SaaS para el cliente. Normalmente, esto se
licencia a través de una suscripción mensual o anual. Microsoft 365,
Skype y Dynamics CRM Online son ejemplos del software de SaaS. El
cliente en la nube solo debe administrar el mínimo de SaaS. Asimismo,
el proveedor de la nube es responsable de administrar todo, excepto
los datos, los dispositivos, las cuentas y las identidades.
En cuanto a todos los tipos de implementación en la nube, usted es el propietario

de sus datos e identidades como cliente de la nube. Asimismo, es responsable de
proteger la seguridad de los datos, las identidades y los recursos locales.
En resumen, las responsabilidades que siempre retiene la organización del cliente

incluyen:
 La información y los datos.

 Los dispositivos (móviles y equipos).
 Las cuentas e identidades.
La ventaja del modelo de responsabilidad compartida es que las organizaciones

tienen claras sus responsabilidades y las del proveedor de la nube.
Siguiente unidad: Descripción de la defensa en
profundidad
Descripción del modelo de

Completado100 XP
 3 minutos
En organizaciones que solo ejecutan hardware y software local, la organización es

un 100 % responsable de la implementación de la seguridad y el cumplimiento.
Con los servicios basados en la nube, esa responsabilidad se comparte entre el
cliente y el proveedor de la nube.
El modelo de responsabilidad compartida identifica qué tareas de seguridad

administra el proveedor de la nube y qué tareas de seguridad administra usted
como cliente. Igualmente, las responsabilidades varían en función de dónde se
hospede la carga de trabajo:
 Software como servicio (SaaS)

 Plataforma como servicio (PaaS)
 Infraestructura como servicio (IaaS)
 Centro de datos local
El modelo de responsabilidad compartida hace que las responsabilidades resulten

claras. Cuando las organizaciones realizan migraciones a la nube, algunas
responsabilidades se transfieren al proveedor de la nube y otras a la organización
del cliente.
En el diagrama siguiente se muestran las áreas de responsabilidad entre el cliente y

el proveedor de la nube, en función de dónde se encuentran los datos.
 Centros de datos locales. En un centro de datos local, usted es el
responsable de todo, desde la seguridad física hasta el cifrado de la
 Infraestructura como servicio (IaaS). De todos los servicios en la
nube, IaaS requiere que el cliente en la nube se encargue de la mayor
parte de la administración. Con IaaS, se usa la infraestructura
informática del proveedor de la nube. El cliente en la nube no es
responsable de los componentes físicos, como los equipos y la red, ni
de la seguridad física del centro de datos. Sin embargo, el cliente en la
nube sigue siendo responsable de los componentes de software, como
los sistemas operativos, los controles de red, las aplicaciones y la
protección de datos.
 Plataforma como servicio (PaaS). PaaS proporciona un entorno para
compilar, probar e implementar aplicaciones de software. El objetivo
de PaaS es ayudarle a crear una aplicación rápidamente sin tener que
administrar la infraestructura subyacente. Con PaaS, el proveedor de la
nube administra el hardware y los sistemas operativos, y el cliente es
responsable de las aplicaciones y los datos.
 Software como servicio (SaaS). El proveedor en la nube se encarga
de hospedar y administrar SaaS para el cliente. Normalmente, esto se
licencia a través de una suscripción mensual o anual. Microsoft 365,
Skype y Dynamics CRM Online son ejemplos del software de SaaS. El
cliente en la nube solo debe administrar el mínimo de SaaS. Asimismo,
el proveedor de la nube es responsable de administrar todo, excepto
los datos, los dispositivos, las cuentas y las identidades.
En cuanto a todos los tipos de implementación en la nube, usted es el propietario

de sus datos e identidades como cliente de la nube. Asimismo, es responsable de
proteger la seguridad de los datos, las identidades y los recursos locales.
En resumen, las responsabilidades que siempre retiene la organización del cliente

incluyen:
 La información y los datos.

 Los dispositivos (móviles y equipos).
 Las cuentas e identidades.
La ventaja del modelo de responsabilidad compartida es que las organizaciones

tienen claras sus responsabilidades y las del proveedor de la nube.
Siguiente unidad: Descripción de la defensa en

profundidad
Continuar
Descripción de la defensa en
profundidad
Completado100 XP
 4 minutos
La defensa en profundidad usa un enfoque por capas para la seguridad, en lugar

de depender de un solo perímetro. Una estrategia de defensa en profundidad usa
una serie de mecanismos para ralentizar el avance de un ataque. Cada capa
proporciona protección de modo que, si se infringe una de ellas, una capa
posterior impedirá que un atacante obtenga acceso no autorizado a los datos.
Los niveles de seguridad de ejemplo pueden incluir:

 La seguridad física, como limitar el acceso a un centro de datos solo al
personal autorizado.
 Controles de seguridad de identidad y acceso, como la autenticación
multifactor o el acceso basado en condiciones, para controlar el acceso a la
infraestructura y el control de cambios.
 La seguridad perimetral de la red corporativa incluye la protección frente a
ataques de denegación de servicio distribuido (DDoS) para filtrar los ataques
a gran escala antes de que puedan causar una denegación de servicio para
los usuarios.
 Seguridad de red, como la segmentación de red y los controles de acceso a
la red, para limitar la comunicación entre los recursos.
 Seguridad de capa de proceso, como la protección del acceso a las máquinas
virtuales, ya sea de forma local o en la nube, cerrando determinados puertos.
 Seguridad de capa de aplicación, que garantiza que las aplicaciones sean
seguras y estén libres de vulnerabilidades de seguridad.
 Seguridad de capa de datos que incluye controles para administrar el acceso
a los datos empresariales y de clientes, y el cifrado para proteger los datos.
Confidencialidad, integridad, disponibilidad (CIA)
Como se ha descrito anteriormente, una estrategia de defensa en profundidad usa

una serie de mecanismos para ralentizar el avance de un ataque. Todos los
distintos mecanismos (tecnologías, procesos y formación) son elementos de una
estrategia de ciberseguridad, cuyos objetivos incluyen garantizar la
confidencialidad, la integridad y la disponibilidad, a los que se suele hacer
referencia como CIA, por sus siglas en inglés.
 La confidencialidad se refiere a la necesidad de conservar datos

confidenciales, como información de clientes, contraseñas o datos
financieros. Puede cifrar los datos para mantener la confidencialidad,
pero también debe mantener la confidencialidad de las claves de
cifrado. La confidencialidad es la parte más visible de la seguridad;
gracias a ella, podemos ver claramente la necesidad de mantener la
confidencialidad de los datos privados, las claves, las contraseñas y
otros secretos.
 La integridad indica la necesidad de mantener los datos o mensajes

correctos. Cuando envíe un mensaje de correo electrónico,
probablemente quiera asegurarse de que el mensaje recibido sea el
mismo que el mensaje enviado. Al almacenar datos en una base de
datos, quiere asegurarse también de que los datos que recupera son
los mismos que los datos almacenados. El cifrado de datos hace que
este proceso sea confidencial, pero debe ser capaz de descifrarlo para
obtener el mismo contenido que antes del cifrado. La integridad
consiste en tener la confianza de que los datos no se han alterado ni
modificado.
 La disponibilidad se refiere a poner los datos a disposición de los

usuarios cuando los necesiten. Es importante para la organización
mantener seguros los datos de los clientes, pero al mismo tiempo
también debe estar disponible para los empleados que trabajan con
los clientes. Aunque puede ser más seguro almacenar los datos en un
formato cifrado, los empleados necesitan obtener acceso a los datos
descifrados.
Aunque los objetivos de una estrategia de ciberseguridad son preservar la

confidencialidad, la integridad y la disponibilidad de sistemas, redes, aplicaciones y
datos, los ciberdelincuentes pretenden interrumpir estos objetivos. La cartera de
Microsoft incluye las soluciones y tecnologías para permitir a las organizaciones
cumplir el triple objetivo CIA.
Siguiente unidad: Descripción del modelo de

Confianza cero
Continuar
Descripción del modelo de Confianza

cero
Completado100 XP
 5 minutos
La confianza cero presupone que todo está en una red abierta y que no es de
confianza, incluso los recursos detrás de los firewalls de la red corporativa. El
modelo de confianza cero funciona con el principio de "no confiar en nadie y
comprobarlo todo".
La capacidad de los atacantes para eludir los controles de acceso convencionales

está acabando con cualquier ilusión de que las estrategias de seguridad
tradicionales son suficientes. Por lo tanto, al no confiar en la integridad de la red
corporativa, se refuerza la seguridad.
En la práctica, esto significa que ya no asumimos que una contraseña es suficiente
para validar a un usuario, sino que agregamos la autenticación multifactor para
proporcionar comprobaciones adicionales. En lugar de conceder acceso a todos los
dispositivos de la red corporativa, solo se permite el acceso de los usuarios a las
aplicaciones o a los datos específicos que necesiten.
En este vídeo se muestra la metodología de confianza cero:
Principios de GUID de confianza cero

El modelo de confianza cero tiene tres principios que guían y respaldan el modo de
implementar la seguridad. Son los siguientes: la comprobación de forma explícita,
el acceso con privilegios mínimos y asumir infracciones de seguridad.
 Comprobación de forma explícita. Autentique y autorice siempre el

contenido en función de los puntos de datos disponibles, como la identidad
del usuario, la ubicación, el dispositivo, el servicio o la carga de trabajo, la
clasificación de los datos y las anomalías.
 Acceso con privilegios mínimos. Limite el acceso de los usuarios con acceso
Just-in-Time y Just-Enough Access (JIT/JEA), LAS directivas de adaptación
basadas en riesgos y LA protección de datos para proteger los datos y la
productividad.
 Asumir infracciones de seguridad. Acceda al segmento mediante la red, el
usuario, los dispositivos y la aplicación. Use el cifrado para proteger los datos
y el análisis para obtener visibilidad, detectar amenazas y mejorar la
seguridad.
Seis pilares básicos
En el modelo de confianza cero, todos los elementos funcionan juntos para

proporcionar seguridad de un extremo a otro. Estos seis elementos son los pilares
básicos del modelo de confianza cero:
 Las identidades pueden ser usuarios, servicios o dispositivos. Cuando una

identidad intenta obtener acceso a un recurso, debe comprobarse mediante
la autenticación sólida y seguir los principios de acceso con privilegios
mínimos.
 Los dispositivos crean una superficie de ataque de gran tamaño a medida
que los datos fluyen desde los dispositivos hasta las cargas de trabajo locales
y en la nube. La supervisión del estado y el cumplimiento de los dispositivos
es un aspecto importante de la seguridad.
 Las aplicaciones son la manera en que se consumen los datos. Esto incluye la
detección de todas las aplicaciones que se usan, lo que a veces se denomina
Shadow IT, ya que no todas las aplicaciones se administran de forma
centralizada. Este pilar también incluye la administración de permisos y
acceso.
 Los datos se deben clasificar, etiquetar y cifrar en función de sus atributos. En
última instancia, los esfuerzos de seguridad están relacionados con la
protección de los datos y garantizan que permanecen seguros cuando salen
de los dispositivos, las aplicaciones, la infraestructura y las redes que controla
la organización.
 La infraestructura, ya sea local o en la nube, representa un vector de
amenazas. Para mejorar la seguridad, debe evaluar la versión, la
configuración y el acceso JIT, y usar la telemetría para detectar ataques y
anomalías. Esto le permite bloquear o marcar automáticamente el
comportamiento de riesgo y tomar medidas de protección.
 Las redes deben segmentarse, incluida la microsegmentación en la red más
profunda. Asimismo, es necesario emplear la protección contra amenazas en
tiempo real, el cifrado, la supervisión y el análisis de un extremo a otro.
Una estrategia de seguridad que emplea los tres principios del modelo de
Confianza cero en los seis pilares fundamentales ayuda a las empresas a ofrecer y
aplicar la seguridad en toda su organización.
Siguiente unidad: Descripción del cifrado y el

código hash
Continuar
Descripción del cifrado y el código

hash
Completado100 XP
 4 minutos
Una manera de mitigar las amenazas de ciberseguridad más comunes es cifrar

datos confidenciales o valiosos. El cifrado es el proceso para hacer que los datos
aparezcan ilegibles e inútiles para visores no autorizados. Para usar o leer los datos
cifrados, es necesario descifrarlos, lo que exige el uso de una clave secreta.
Hay dos tipos de cifrado de nivel superior: simétrico y asimétrico. El cifrado

simétrico usa la misma clave para cifrar y descifrar los datos. El cifrado asimétrico
usa un par de claves pública y privada. Cualquiera de las claves puede cifrar los
datos, pero no se puede usar una sola clave para descifrar los datos cifrados. Para
descifrarlos se necesita la otra clave emparejada. El cifrado asimétrico se usa para
cosas como el acceso a sitios en Internet mediante el protocolo HTTPS y las
soluciones de firma de datos electrónicas. El cifrado puede proteger los datos en
reposo o en tránsito.
Cifrado de datos en reposo
Los datos en reposo son los datos que se almacenan en un dispositivo físico, como
un servidor. Pueden estar almacenados en una base de datos o en una cuenta de
almacenamiento, pero, independientemente de dónde estén almacenados, el
cifrado de datos en reposo garantiza que los datos no se puedan leer sin las claves
y los secretos necesarios para descifrarlos.
Si un atacante obtuviera una unidad de disco duro con datos cifrados, pero no
tuviera acceso a las claves de cifrado, no podría leer los datos.
Cifrado de datos en tránsito
Los datos en tránsito son los que se están moviendo de una ubicación a otra, por
ejemplo, por Internet o a través de una red privada. La transferencia segura se
puede controlar mediante varias capas diferentes. Esto se puede hacer mediante el
cifrado de los datos en el nivel de aplicación antes de enviarlos a través de una red.
HTTPS es un ejemplo de cifrado en tránsito.
El cifrado de datos en tránsito protege los datos de observadores externos y
proporciona un mecanismo para transmitirlos que limita el riesgo de exposición.
Cifrado de datos en uso
Un caso de uso común para el cifrado de datos en uso conlleva proteger los datos
en un almacenamiento no persistente, como la RAM o la memoria caché de CPU.
Esto se puede lograr mediante tecnologías que crean un enclave (como si fuera
una caja fuerte con llave) que protege los datos y los mantiene cifrados mientras la
CPU los procesa.
Aplicación de algoritmo hash

El hash utiliza un algoritmo para convertir el texto en un valor hash de longitud
fija único denominado hash. Cada vez que se aplica un algoritmo hash al mismo
texto mediante el mismo algoritmo, se genera el mismo valor hash. Ese hash se
puede usar como identificador único de los datos asociados.
El hash es diferente del cifrado, ya que no usa claves, y el valor al que se aplica el
algoritmo hash no se descifra posteriormente en el original.
El hash se usa para almacenar contraseñas. Cuando un usuario escribe su

contraseña, el mismo algoritmo que creó el hash almacenado crea un hash de la
contraseña escrita. A continuación, se compara con la versión hash almacenada de
la contraseña. Si coinciden, es que el usuario ha escrito correctamente la
contraseña. Esto es más seguro que el almacenamiento de contraseñas de texto sin
formato, pero los hackers también conocen los algoritmos hash. Dado que las
funciones hash son deterministas (esto es, la misma entrada produce el mismo
resultado), los hackers pueden usar los ataques de diccionario por fuerza bruta
mediante el hash de las contraseñas. Por cada hash coincidente, obtienen la
contraseña real. Para reducir este riesgo, a menudo las contraseñas se "cifran con
sal". Esto hace referencia a que se agrega un valor aleatorio de longitud fija a la
entrada de las funciones hash para crear valores hash únicos para la misma
entrada.
Siguiente unidad: Descripción de los conceptos de
cumplimiento
Continuar
Descripción de los conceptos de

cumplimiento
Completado100 XP
 2 minutos
Los datos son más importantes que nunca. Las organizaciones, las instituciones y
sociedades enteras generan datos y dependen de ellos para que funcionar
correctamente día a día. La gran escala de datos generados y la creciente
dependencia de ellos significa que la privacidad y la protección de esos datos se
han vuelto fundamentales. A medida que las organizaciones e instituciones
mueven sus datos a las nubes del proveedor de servicios, con centros de datos de
todo el mundo, entran en juego consideraciones adicionales.
Los organismos gubernamentales y los grupos del sector han aprobado

reglamentos para ayudar a proteger y controlar el uso de los datos. Desde la
información personal y financiera hasta la protección de datos y la privacidad, las
organizaciones pueden tener la responsabilidad de cumplir decenas de
reglamentos. A continuación se enumeran algunos conceptos y términos
importantes relacionados con el cumplimiento de los datos.
 Residencia de datos: cuando se trata de cumplimiento, los

reglamentos de residencia de datos rigen las ubicaciones físicas donde
se pueden almacenar los datos y cómo y cuándo se pueden transferir,
procesar o acceder a escala internacional. Estos reglamentos pueden
variar significativamente en función de la jurisdicción.
 Soberanía de datos: otra consideración importante es la soberanía de
los datos, el concepto de que los datos, especialmente los datos
personales, están sujetos a las leyes y los reglamentos del país o la
región donde se recopilan, conservan o procesan físicamente. Esto
puede agregar una capa de complejidad cuando se trata de
cumplimiento porque se puede recopilar el mismo fragmento de datos
en una ubicación, almacenarse en otra y procesarse en otra, por lo que
estaría sujeto a las leyes de diferentes regiones o países.
 Privacidad de los datos: proporcionar avisos y ser transparentes sobre
la recopilación, el procesamiento, el uso y el uso compartido de los
datos personales constituyen los principios fundamentales de las leyes
y los reglamentos sobre privacidad. "Datos personales" hace referencia
a cualquier información relativa a una persona física identificada o
identificable. Las leyes sobre privacidad antes hacían referencia a "DCP"
o "información de identificación personal", pero las leyes han ampliado
la definición a cualquier dato que esté directamente vinculado o que se
pueda vincular indirectamente a una persona. Las organizaciones están
sujetas a una multitud de leyes, reglamentos, códigos de conducta,
estándares específicos del sector y estándares de cumplimiento que
rigen la privacidad de los datos y, por tanto, deben operar conforme a
ellos.
En la mayoría de los casos, las leyes y los reglamentos no determinan ni prescriben

las tecnologías específicas que las organizaciones deben usar para proteger los
datos. Dejan a discreción de una organización identificar las tecnologías, las
operaciones y otras medidas de protección de datos apropiadas que cumplan la
normativa.
Siguiente unidad: Prueba de conocimientos
Introducción
Completado100 XP
 1 minuto
Todos los usuarios y todos los dispositivos tienen una identidad que se puede usar
para tener acceso a los recursos. La identidad es la forma en que se identifican las
personas y las cosas en la red corporativa y en la nube. Tener la seguridad de quién
o qué está accediendo a los datos de la organización y otros recursos es una parte
fundamental de la protección del entorno.
En este módulo, conocerá los conceptos clave de autenticación y autorización, y

por qué la identidad es importante para proteger los recursos corporativos.
También obtendrá información sobre algunos servicios relacionados con la
identidad.
 Entienda la diferencia entre autenticación y autorización.

 Describir el concepto de identidad como perímetro de seguridad.
 Describir los servicios relacionados con la identidad.
Definición de autenticación y
autorización
Completado100 XP
 2 minutos
Autenticación
La autenticación es el proceso de demostrar que una persona es quien dice ser.

Cuando alguien compra un artículo con una tarjeta de crédito, es posible que
tenga que mostrar una forma adicional de identificación. De esta manera,
demuestra que es la persona cuyo nombre aparece en la tarjeta. En este ejemplo, el
usuario puede mostrar el DNI, que sirve como forma de autenticación y verifica su
identidad.
Si desea acceder a un equipo o un dispositivo, se encontrará con un tipo de

autenticación similar. Es posible que se le pida que escriba un nombre de usuario y
una contraseña. El nombre de usuario indica quién es, pero no es suficiente por sí
solo para concederle acceso. Cuando lo combina con la contraseña, que solo usted
debe conocer, obtiene acceso a los sistemas. El nombre de usuario y la contraseña,
juntos, son una forma de autenticación. A veces, la autenticación se abrevia como
AuthN.
Autorización
Cuando autentique a un usuario, tendrá que decidir adónde puede ir y qué se le

permite ver y tocar. Este proceso se denomina autorización.
Supongamos que quiere pasar la noche en un hotel. Lo primero que hará es ir a la

recepción para iniciar el "proceso de autenticación". Una vez que el recepcionista
haya comprobado quién es, le dará una tarjeta-llave y ya podrá dirigirse a su
habitación. Piense en la tarjeta-llave como el proceso de autorización. La tarjeta-
llave solo le permitirá abrir las puertas y los ascensores a los que puede acceder,
como la puerta de su habitación.
En términos de ciberseguridad, la autorización determina el nivel de acceso o los

permisos de una persona autenticada a los datos y los recursos. A veces, la
autorización se abrevia como AuthZ.
Siguiente unidad: Definición de identidad como

perímetro de seguridad principal
Definición de identidad como

perímetro de seguridad principal
Completado100 XP
 3 minutos
La colaboración digital ha cambiado. Los empleados y asociados ahora necesitan

colaborar y acceder a los recursos de la organización desde cualquier lugar, en
cualquier dispositivo y sin que ello afecte a su productividad. También se ha
producido una aceleración en el número de personas que trabajan desde casa.
La seguridad de la empresa debe adaptarse a esta nueva realidad. El perímetro de

seguridad ya no se puede ver como la red local. Ahora se extiende a:
 Aplicaciones SaaS para cargas de trabajo críticas para la empresa que

se pueden hospedar fuera de la red corporativa.
 Los dispositivos personales que los empleados usan para tener acceso
a los recursos corporativos (BYOD o Bring Your Own Device) mientras
trabajan desde casa.
 Los dispositivos no administrados que usan los asociados o clientes al
interactuar con los datos corporativos o colaborar con los empleados
 Internet de las cosas, conocido como dispositivos IoT, instalado en la
red corporativa y dentro de las ubicaciones de los clientes.
El modelo de seguridad tradicional basado en el perímetro ya no es suficiente. La

identidad se ha convertido en el nuevo perímetro de seguridad que permite a las
organizaciones proteger sus recursos.
Pero ¿qué significa una identidad? Una identidad es el conjunto de aspectos que
definen o caracterizan a alguien o algo. Por ejemplo, la identidad de una persona
incluye la información que usa para autenticarse, como su nombre de usuario y
contraseña, y su nivel de autorización.
Una identidad puede estar asociada a un usuario, una aplicación, un dispositivo o

cualquier otra cosa.
Cuatro pilares de una infraestructura de identidad

La identidad es un concepto que abarca todo un entorno, por lo que las
organizaciones deben pensar en ello en general. Hay una colección de procesos,
tecnologías y directivas para administrar identidades digitales y controlar cómo se
usan para tener acceso a los recursos. Pueden organizarse en cuatro pilares
fundamentales que las organizaciones deben tener en cuenta al crear una
infraestructura de identidad.
 Administración. La administración consiste en la creación y la

administración o gobernanza de identidades para los usuarios,
dispositivos y servicios. Como administrador, puede administrar cómo
y en qué circunstancias pueden cambiar las características de las
identidades (se pueden crear, actualizar y eliminar).
 Autenticación. El pilar de autenticación indica cuánto necesita saber
un sistema de TI sobre una identidad para tener pruebas suficientes de
que realmente son quienes dicen ser. Implica el acto de solicitar a un
usuario credenciales legítimas.
 Autorización. El pilar de autorización trata sobre el procesamiento de
los datos de identidad entrante para determinar el nivel de acceso de
una persona o servicio autenticado dentro de la aplicación o servicio al
que quiere obtener acceso.
 Auditoría. El pilar de auditoría consiste en realizar un seguimiento de
quién realiza qué, cuándo, dónde y cómo. La auditoría incluye la
creación de informes, alertas y gobernanza de identidades en
profundidad.
Direccionar cada uno de estos cuatro pilares es clave para una solución completa y
sólida de identidad y control de acceso.
Siguiente unidad: Descripción del rol del proveedor

de identidades
Descripción del rol del proveedor de

identidades
Completado100 XP
 7 minutos
Autenticación moderna es un término genérico para los métodos de
autenticación y autorización entre un cliente, como un portátil o un teléfono, y un
servidor, como un sitio web o una aplicación. En el centro de la autenticación
moderna está el rol del proveedor de identidades. Un proveedor de identidades
crea, mantiene y administra la información de identidad al tiempo que proporciona
servicios de autenticación, autorización y auditoría.
Con la autenticación moderna, quien proporciona todos los servicios, incluidos

todos los servicios de autenticación, es un proveedor de identidades central. El
proveedor de identidades almacena y administra de forma centralizada la
información que se usa para autenticar el usuario en el servidor.
Con un proveedor de identidades central, las organizaciones pueden establecer

directivas de autenticación y autorización, supervisar el comportamiento de los
usuarios, identificar actividades sospechosas y reducir los ataques
malintencionados.
Vea este vídeo para obtener más información sobre la autenticación moderna y
cómo funciona con un proveedor de identidades central.
Como se ve en el vídeo, gracias a la autenticación moderna, el cliente se comunica

con el proveedor de identidades mediante la asignación de una identidad que se
puede autenticar. Cuando se ha comprobado la identidad (que puede ser un
usuario o una aplicación), el proveedor de identidades emite un token de
seguridad que el cliente envía al servidor.
El servidor valida el token de seguridad a través de su relación de confianza con el

proveedor de identidades. Mediante el uso del token de seguridad y la información
que contiene, el usuario o la aplicación accede a los recursos necesarios en el
servidor. En este escenario, el proveedor de identidades almacena y administra el
token y la información que contiene. El proveedor de identidades centralizado
proporciona el servicio de autenticación.
Microsoft Azure Active Directory es un ejemplo de un proveedor de identidades

basado en la nube. Otros ejemplos son Twitter, Google, Amazon, LinkedIn y
GitHub.
Inicio de sesión único

Otra funcionalidad fundamental de un proveedor de identidades y "autenticación
moderna" es la compatibilidad con el inicio de sesión único (SSO). Con el SSO, el
usuario inicia sesión una vez y esa credencial se usa para tener acceso a varias
aplicaciones o recursos. A la acción de configurar el SSO para que funcione entre
varios proveedores de identidades se le conoce como federación.
Siguiente unidad: Descripción del concepto de

servicios de directorio y Active Directory
Continuar
Descripción del concepto de servicios

de directorio y Active Directory
Completado100 XP
 2 minutos
En el contexto de una red de equipos, un directorio es una estructura jerárquica

que almacena información acerca de los objetos de la red. Un servicio de directorio
almacena los datos del directorio y los pone a disposición de los usuarios de red,
los administradores, los servicios y las aplicaciones.
Active Directory (AD) es un conjunto de servicios de directorio desarrollados por

Microsoft como parte de Windows 2000 para redes locales basadas en dominio. El
servicio más conocido de este tipo es Active Directory Domain Services (AD DS).
Almacena información sobre los miembros del dominio, incluidos los dispositivos y
los usuarios, comprueba sus credenciales y define sus derechos de acceso. Un
servidor que ejecuta AD DS es un controlador de dominio.
AD DS es un componente central de las organizaciones con una infraestructura de

TI local. AD DS ofrece a las organizaciones la capacidad de administrar varios
sistemas y componentes de la infraestructura local mediante una única identidad
por usuario. Sin embargo, AD DS no es compatible de forma nativa con los
dispositivos móviles, las aplicaciones SaaS o las aplicaciones de línea de negocio
que requieren métodos de autenticación moderna.
El crecimiento de Cloud Services, las aplicaciones SaaS y los dispositivos personales

que se usan en el trabajo, ha dado como resultado la necesidad de la autenticación
moderna y una evolución de las soluciones de identidad basadas en Active
Directory.
Azure Active Directory es la siguiente evolución de las soluciones de administración

de identidad y acceso. Proporciona a las organizaciones una solución de identidad
como servicio (IDaaS) para todas sus aplicaciones en la nube y en el entorno local.
En este curso, nos centraremos en Azure AD, el proveedor de identidades basado
en la nube de Microsoft.
Para obtener más información sobre las diferencias entre los conceptos de
Active Directory y Azure Active Directory, consulte la sección Más información de la
unidad de resumen y recursos que redirige a la documentación.

federación
Continuar
Descripción del concepto de

federación
Completado100 XP
 2 minutos
La federación permite el acceso a los servicios a través de los límites de la

organización o del dominio mediante el establecimiento de relaciones de confianza
entre el proveedor de identidades del dominio correspondiente. Con la federación,
no es necesario que un usuario mantenga un nombre de usuario y una contraseña
diferentes al acceder a los recursos de otros dominios.
La manera simplificada de considerar este escenario de federación es la siguiente:
 El sitio web, en el dominio A, usa los servicios de autenticación del

proveedor de identidades A (IdP-A).
 El usuario, en el dominio B, se autentica con el proveedor de
identidades B (IdP-B).
 IdP-A tiene una relación de confianza configurada con IdP-B.
 Cuando el usuario, que desea acceder al sitio web, proporciona sus
credenciales, el sitio web confía en el usuario y permite el acceso. Este
acceso se permite debido a la confianza que ya se ha establecido entre
los dos proveedores de identidades.
Con la federación, la confianza no siempre es bidireccional. Aunque IdP-A puede

confiar en IdP-B y permitir que el usuario del dominio B tenga acceso al sitio web
del dominio A, lo contrario no es cierto, a menos que se configure la relación de
confianza.
Un ejemplo común de federación en la práctica es cuando un usuario inicia sesión

en un sitio de terceros con su cuenta de redes sociales, como Twitter. En este
escenario, Twitter es un proveedor de identidades y el sitio de terceros podría estar
usando otro proveedor de identidades, como Azure AD. Hay una relación de
confianza entre Azure AD y Twitter.
Resumen y recursos
Completado100 XP
 1 minuto
En este módulo, ha obtenido información sobre la autenticación y la autorización.

Ha aprendido acerca de la identidad como nuevo perímetro de seguridad y el rol
de Active Directory. También ha revisado el concepto de federación para tener
acceso a los recursos que pertenecen a otra organización.
Ya que completó este módulo, podrá:
 Entienda la diferencia entre autenticación y autorización.

 Describir el concepto de identidad como perímetro de seguridad.
 Describir los servicios relacionados con la identidad.
Más información
Para obtener más información sobre los temas tratados en este módulo, vea:
 Autenticación frente a autorización

 Proveedores de identidades para External Identities
 Comparación de Azure Directory y Azure Active Directory
Introducción
Completado100 XP
 1 minuto
En cuanto a la seguridad, su organización ya no puede confiar en el límite de su

red. Para permitir que empleados, asociados y clientes colaboren de forma segura,
las organizaciones deben cambiar a un enfoque en el que la identidad se convierta
en el nuevo perímetro de seguridad. El uso de un proveedor de identidades ayuda
a las organizaciones a administrar ese cambio y todos los aspectos de la seguridad
de las identidades.
En este módulo verá cómo funciona Azure Active Directory (Azure AD), que es un

servicio de administración de acceso y de identidades basado en la nube de
Microsoft. Asimismo, en este módulo obtendrá información sobre las ventajas de
usar un proveedor de identidades basado en la nube, incluido el inicio de sesión
único para los usuarios. También encontrará información sobre las distintas
ediciones de Azure AD, los tipos de identidad que admite Azure AD y cómo puede
usarlo para admitir usuarios externos.
 Describir cómo funciona Azure AD.

 Describir los tipos de identidad que admite Azure AD.
Siguiente unidad: Descripción de Azure Active

Directory
Descripción de Azure Active Directory

Completado100 XP
 2 minutos
Azure Active Directory (Azure AD) es un servicio de administración de acceso y de

identidades basado en la nube de Microsoft. Las organizaciones usan Azure AD
para permitir que sus empleados, invitados y otros usuarios inicien sesión y tengan
acceso a los recursos que necesitan, incluidos:
 Recursos internos, como las aplicaciones de la red corporativa y la

intranet, junto con todas las aplicaciones en la nube que haya
desarrollado su propia organización.
 Servicios externos, como Microsoft Office 365, Azure Portal y cualquier
aplicación SaaS que use su organización.
Azure AD simplifica la forma en que las organizaciones administran la autorización

y el acceso, ya que proporciona un sistema de identidad único para sus
aplicaciones locales y en la nube. Igualmente, Azure AD se puede sincronizar con la
instancia de Active Directory local existente, con otros servicios de directorio o se
puede usar como un servicio independiente.
Azure AD también permite a las organizaciones habilitar de manera segura el uso

de dispositivos personales, como dispositivos móviles y tabletas, y permitir la
colaboración con clientes y asociados comerciales.
Los administradores de TI usan Azure AD para controlar el acceso a los recursos y a
las aplicaciones corporativas, en función de los requisitos empresariales. También
puede configurarse para requerir la autenticación multifactor cuando el usuario
intenta acceder a recursos importantes de la organización. Además, Azure AD se
puede usar para automatizar el aprovisionamiento de usuarios entre una instancia
de Windows Server AD existente y aplicaciones en la nube, incluyendo
Microsoft 365. Por último, Azure AD proporciona herramientas eficaces que le
ayudarán a proteger automáticamente las identidades y credenciales de los
usuarios y a cumplir los requisitos de gobernanza de acceso de la empresa.
Los desarrolladores usan Azure AD como un enfoque basado en estándares para

agregar el inicio de sesión único (SSO) a sus aplicaciones, de modo que los
usuarios puedan iniciar sesión con credenciales ya existentes. Asimismo, Azure AD
también proporciona varias API que permiten que los desarrolladores creen
experiencias de aplicación personalizadas que usen los datos existentes de la
organización.
Los suscriptores de servicios de Azure, Microsoft 365 o Dynamics 365 tienen acceso

automático a Azure AD. Los usuarios de estos servicios pueden sacar provecho de
los servicios de Azure AD incluidos y también pueden mejorar su implementación
de Azure AD mediante la actualización a licencias Premium de Azure AD.
Siguiente unidad: Descripción de las ediciones de
Azure AD disponibles
Descripción de las ediciones de

Azure AD disponibles
Completado100 XP
 2 minutos
Azure AD está disponible en cuatro ediciones: gratuita, aplicaciones de Office 365,

Premium P1 y Premium P2.
Azure Active Directory Free. La versión gratuita le permite administrar usuarios y

crear grupos, sincronizarse con la instancia local de Active Directory, crear informes
básicos, configurar el cambio de contraseña de autoservicio para usuarios en la
nube y habilitar el inicio de sesión único en Azure, Microsoft 365 y muchas otras
aplicaciones populares de SaaS. La edición gratuita se incluye con las suscripciones
a Office 365, Azure, Dynamics 365, Intune y Power Platform.
Aplicaciones de Office 365. La edición de Aplicaciones de Office 365 le permite

hacer todo lo que se incluye en la versión gratuita, más la opción de restablecer la
contraseña de autoservicio para usuarios en la nube y la reescritura de dispositivos,
que ofrece una sincronización bidireccional entre directorios locales y Azure AD. La
edición de Aplicaciones de Office 365 de Azure Active Directory se incluye en las
suscripciones a Office 365 E1, E3, E5, F1 y F3.
Azure Active Directory Premium P1. La edición Premium P1 incluye todas las
características de las ediciones Gratis y Aplicaciones de Office 365. También admite
la administración avanzada, como grupos dinámicos, administración de grupos de
autoservicio, Microsoft Identity Manager (un conjunto de administración local de
identidades y acceso) y funcionalidades de reescritura en la nube, que permiten el
restablecimiento de contraseña de autoservicio a los usuarios locales.
Azure Active Directory Premium P2. La versión P2 le ofrece todas las

características de la edición Premium P1 y Azure Active Directory Identity
Protection para facilitar el acceso condicional basado en riesgos a las aplicaciones y
a los datos críticos de la empresa. Asimismo, la edición P2 también le proporciona
la instancia de Privileged Identity Management que le permitirá detectar, restringir
y supervisar a los administradores y su acceso a los recursos y proporcionar acceso
de tipo "Just-in-Time" cuando sea necesario.
Para obtener más información sobre cada una de las ediciones, visite la página
de precios de Azure Active Directory.
También hay una opción para las licencias de característicasde "Pago por uso".
Puede obtener otras licencias de características por separado, como la opción
Negocio a cliente (B2C) de Azure Active Directory. B2C puede ayudarle a
proporcionar soluciones de administración de acceso y de identidad para las
aplicaciones orientadas al cliente. Para más información, consulte Documentación
de Azure Active Directory B2C.
Siguiente unidad: Descripción de los tipos de

identidad de Azure AD
Descripción de los tipos de identidad

de Azure AD
Completado100 XP
 8 minutos
Azure AD administra distintos tipos de identidades: usuarios, entidades de servicio,

identidades administradas y dispositivos. En esta unidad, se detallará cada tipo de
identidad de Azure AD.
Usuario
Una identidad de usuario es una representación de algo que se administra

mediante Azure AD. Los empleados e invitados se representan como usuarios en
Azure AD. Si tiene varios usuarios con las mismas necesidades de acceso, puede
crear un grupo. Los grupos se usan para conceder permisos de acceso a todos los
miembros del grupo, en lugar de tener que asignar derechos de acceso
individualmente.
La colaboración de negocio a negocio (B2B) de Azure AD es una característica de

External Identities e incluye una funcionalidad para agregar usuarios invitados.
Gracias a la colaboración B2B, una organización puede compartir aplicaciones y
servicios de forma segura con usuarios invitados de otra organización.
En la siguiente guía interactiva, agregará un nuevo usuario a Azure Active Directory.

Seleccione la imagen siguiente para empezar y siga las indicaciones que aparecen
en pantalla.
Entidad de servicio
Una entidad de servicio es, básicamente, una identidad para una aplicación. Para
que una aplicación delegue su identidad y funciones de acceso a Azure AD,
primero se debe registrar con Azure AD a fin de habilitar su integración. Una vez
que se registra, se crea una entidad de servicio en cada inquilino de Azure AD
donde se usa la aplicación. La entidad de servicio habilita características básicas
como la autenticación y autorización de la aplicación en los recursos protegidos
por el inquilino de Azure AD.
Para que las entidades de servicio puedan acceder a los recursos protegidos por el
inquilino de Azure AD, los desarrolladores de aplicaciones deben administrar y
proteger las credenciales.
Identidad administrada
Las identidades administradas son un tipo de entidad de servicio que se

administran de forma automática en Azure AD y eliminan la necesidad de que los
desarrolladores administren las credenciales. Las identidades administradas
proporcionan una identidad para que la usen las aplicaciones al conectarse a
recursos de Azure compatibles con la autenticación de Azure AD, sin costo
adicional.
Para obtener una lista de los servicios de Azure que admiten identidades
administradas, consulte la sección Más información de la unidad Resumen y
recursos.
Hay dos tipos de identidades administradas: asignadas por el sistema y asignadas

por el usuario.
Asignadas por el sistema. Algunos servicios de Azure permiten habilitar una

identidad administrada directamente en una instancia de servicio. Cuando se
habilita una identidad administrada asignada por el sistema, se crea una identidad
en Azure AD que está vinculada al ciclo de vida de esa instancia de servicio. Por
tanto, cuando se elimina el recurso, Azure elimina automáticamente la identidad.
Por diseño, solo ese recurso de Azure puede usar esta identidad para solicitar
tokens de Azure AD.
Asignadas por el usuario. También es posible crear una identidad administrada
como un recurso independiente de Azure. Una vez que se crea una identidad
administrada asignada por el usuario, puede asignarla a una o varias instancias de
un servicio de Azure. En el caso de las identidades administradas asignadas por el
usuario, la identidad se administra independientemente de los recursos que la
utilicen.
En la tabla siguiente se resumen las diferencias entre las identidades administradas

asignadas por el sistema y las que están asignadas por el usuario:
Propiedad Identidad administrada asignada por el Identidad administrada asignada por el usuario
sistema
Creación Se crea como parte de un recurso de Azure (por Se crea como un recurso de Azure independiente.
ejemplo, una máquina virtual de Azure o Azure
App Service).
Ciclo de vida Se comparte el ciclo de vida con el recurso de Ciclo de vida independiente. Se debe eliminar explícit
Azure. Si se elimina el recurso principal, se
elimina también la identidad administrada.
Uso compartido No se puede compartir. Está asociada a un Se puede compartir. Una identidad administrada asig
de recursos de único recurso de Azure. puede asociar a más de un recurso de Azure.
Azure
Casos de uso Cargas de trabajo que contiene un único Cargas de trabajo que se ejecutan en varios recursos y
comunes recurso de Azure. Cargas de trabajo para las una única identidad. Cargas de trabajo que necesitan
que necesita identidades independientes, un recurso seguro como parte de un flujo de aprovisio
como una aplicación que se ejecuta en una sola trabajo donde los recursos se reciclan con frecuencia,
máquina virtual. permanecer coherentes. Por ejemplo, una carga de tr
máquinas virtuales tienen que acceder al mismo recu
Dispositivo
Un dispositivo es un producto de hardware, como los dispositivos móviles, los

equipos portátiles, los servidores o las impresoras. Una identidad de dispositivo
proporciona a los administradores información que pueden usar al tomar
decisiones de acceso o configuración. Hay varias formas de configurar las
identidades de dispositivo en Azure AD.
 Dispositivos registrados en Azure AD. El objetivo de los dispositivos

registrados en Azure AD es proporcionar a los usuarios la compatibilidad con
escenarios Bring Your Own Device (BYOD) o de dispositivos móviles. En estos
escenarios, el usuario puede acceder a los recursos de la organización con un
dispositivo personal. Los dispositivos registrados en Azure AD se registran sin
necesidad de que una cuenta de la organización inicie sesión en el
dispositivo. Los sistemas operativos compatibles con los dispositivos
registrados de Azure AD incluyen Windows 10 y versiones posteriores, iOS,
Android y macOS.
 Unido a Azure AD. Un dispositivo unido a Azure AD es el que se une
mediante una cuenta de la organización, que luego se usa para iniciar sesión
en el dispositivo. Los dispositivos unidos a Azure AD suelen ser propiedad de
la organización. Los sistemas operativos compatibles con dispositivos unidos
a Azure AD incluyen Windows 10 o versiones posteriores (excepto Home
Edition) y máquinas virtuales con Windows Server 2019 que se ejecutan en
Azure.
 Dispositivos unidos a Azure AD híbrido. Las organizaciones con
implementaciones locales de Active Directory existentes se pueden beneficiar
de algunas de las funcionalidades proporcionadas por Azure AD mediante la
implementación de dispositivos unidos a Azure AD híbrido. Estos dispositivos
están unidos a la instancia local de Active Directory y Azure AD exige que la
cuenta de la organización inicie sesión en el dispositivo.
El registro y la unión de dispositivos a Azure AD proporciona a los usuarios el inicio

de sesión único (SSO) a los recursos en la nube. Además, los dispositivos que están
unidos a Azure AD se benefician de la experiencia de inicio de sesión único en los
recursos y aplicaciones que dependen de la instancia de Active Directory local.
Los administradores de TI pueden usar herramientas como Microsoft Intune, un

servicio basado en la nube que se centra en la administración de dispositivos
móviles (MDM) y la administración de aplicaciones móviles (MAM), para controlar
cómo se usan los dispositivos de una organización. Consulte Microsoft Intune para
obtener más información.
Siguiente unidad: Descripción de los tipos de

identidades externas
Descripción de los tipos de identidades

externas
Completado100 XP
 3 minutos
Hoy en día el mundo se mueve gracias a la colaboración y al trabajo con personas
tanto dentro como fuera de su organización. Esto significa que a veces necesitará
proporcionar acceso a las aplicaciones o a los datos de su organización a usuarios
externos.
Azure AD External Identities es un conjunto de capacidades que permiten a las

organizaciones permitir el acceso a usuarios externos, como clientes o asociados.
Los clientes, asociados y otros usuarios invitados pueden "traer sus propias
identidades" para iniciar sesión.
Esta capacidad para los usuarios externos se habilita a través de la compatibilidad

de Azure AD con proveedores de identidades externos como otros inquilinos de
Azure AD, Facebook, Google o proveedores de identidades de empresa. Los
administradores pueden configurar la federación con proveedores de identidades
para que los usuarios externos puedan iniciar sesión con sus cuentas empresariales
o sociales existentes, en lugar de crear una nueva cuenta solo para la aplicación.
Existen dos identidades externas de Azure AD External Identities: B2B y B2C.
 La colaboración B2B le permite compartir sus aplicaciones y recursos

con usuarios externos.
 En cambio, B2C es una solución de administración de identidades para
aplicaciones de consumidor que están orientadas al cliente.
Colaboración B2B
La colaboración B2B le permite compartir las aplicaciones y los servicios de la
organización con usuarios invitados de otras organizaciones, a la vez que mantiene
el control sobre sus propios datos. La colaboración B2B usa un proceso de
invitación y canje. También puede habilitar los flujos de usuario de registro de
autoservicio para permitir que los usuarios externos se suscriban a aplicaciones o
recursos por sí mismos. Una vez que el usuario externo ha canjeado su invitación o
ha completado el registro, se representa en el mismo directorio que los empleados,
pero con un tipo de usuario de invitado. Como invitado, ahora puede acceder a los
recursos con sus credenciales.
Los usuarios invitados pueden administrarse de la misma manera que los

empleados, se pueden agregar a los mismos grupos, etc. Con B2B, se admite el
inicio de sesión único en todas las aplicaciones conectadas a Azure AD.
Administración de acceso de B2C
Azure AD B2C es una solución de administración de acceso de identidades de
cliente (CIAM). Azure AD B2C permite a los usuarios externos iniciar sesión con sus
identidades de cuenta de redes sociales, de empresa o locales preferidas, para
obtener un inicio de sesión único en las aplicaciones. Azure AD B2C admite
millones de usuarios y miles de millones de autenticaciones al día. Asimismo, se
encarga del escalado y la seguridad de la plataforma de autenticación, de la
supervisión y del control automático de amenazas, como la denegación del
servicio, la difusión de contraseñas o los ataques por fuerza bruta.
Gracias a Azure AD B2C, los usuarios externos se administran en el directorio de

Azure AD B2C, de forma independiente del directorio de asociados y empleados de
la organización. Igualmente, se admite el inicio de sesión único para aplicaciones
que sean propiedad de los clientes dentro del inquilino de Azure AD B2C.
Azure AD B2C es una solución de autenticación que puede personalizar con su

marca para que se fusione con sus aplicaciones web y móviles.
Azure AD External Identities es una característica de las ediciones de Azure AD
Premium P1 y P2, y los precios se basan en función de los usuarios activos
mensuales. Para obtener más información, consulte Precios de Azure AD.

identidad híbrida
Descripción del concepto de identidad
híbrida
Completado100 XP
 6 minutos
Muchas organizaciones son una combinación de aplicaciones locales y en la nube.

Independientemente de si una aplicación está hospedada en el entorno local o en
la nube, los usuarios esperan y exigen un acceso sencillo. Las soluciones de
identidad de Microsoft abarcan funcionalidades locales y basadas en la nube. Estas
soluciones crean una identidad de usuario común para la autenticación y
autorización en todos los recursos, independientemente de la ubicación. A esto lo
llamamos identidad híbrida.
Una consideración importante para las organizaciones que operan en un entorno

mixto en la nube y local (modelo híbrido) consiste en determinar el método de
autenticación adecuado para su solución de Azure AD. Es una decisión importante
en el recorrido de una organización a la nube y sobre cómo los usuarios iniciarán
sesión y accederán a las aplicaciones. Es la base de la infraestructura de TI moderna
de la organización sobre la que las organizaciones crearán su solución de
seguridad, identidad y administración de acceso mediante Azure AD. Por último,
una vez que se establece un método de autenticación, resulta más difícil de
cambiar porque puede interrumpir la experiencia de inicio de sesión de los
usuarios. En lo que respecta a la autenticación de identidades híbridas, Microsoft
ofrece varias maneras de autenticarse.
 Sincronización de hash de contraseña de Azure AD.

 Autenticación transferida de Azure AD
 Autenticación federada
Estas opciones de autenticación híbrida, descritas a continuación, necesitan una

instancia local de Active Directory. Además, se necesita Azure AD Connect, una
aplicación de Microsoft local que se ejecuta en un servidor y actúa como puente
entre Azure AD y la instancia local de Active Directory.
Sincronización de hash de contraseña de Azure AD. La sincronización de hash
de contraseña de Azure AD es la manera más sencilla de habilitar la autenticación
para los objetos de directorio local en Azure AD. Los usuarios pueden iniciar sesión
en los servicios de Azure AD con el mismo nombre de usuario y la misma
contraseña que usan para hacerlo en su instancia local de Active Directory.
Azure AD controla el proceso de inicio de sesión de los usuarios.
El servicio de dominio de Active Directory (AD DS) almacena contraseñas en forma

de representación de valor de hash de la contraseña de usuario real. Con la
sincronización de hash de contraseñas de Azure AD, el hash de contraseña se
extrae de la instancia local de Active Directory mediante Azure AD Connect. Se
aplica seguridad adicional al hash de contraseña y, después, se sincroniza con el
servicio de autenticación de Azure Active Directory. Cuando un usuario intenta
iniciar sesión en Azure AD y escribe su contraseña, la contraseña se ejecuta con el
mismo algoritmo de hash y seguridad adicional que se ha aplicado a la versión
almacenada en Azure AD, como parte de la sincronización. Si el resultado coincide
con el valor de hash almacenado en Azure AD, el usuario ha escrito la contraseña
correcta y se autentica.
Con la sincronización de hash de contraseña, Azure AD Connect garantiza que el

hash de contraseña se sincronice entre la instancia local de Active Directory y
Azure AD. Esto permite que la autenticación del usuario se realice en Azure AD, y
no en la propia instancia de Active Directory de la organización. Una ventaja de
este enfoque es que la sincronización de hash de contraseña proporciona
autenticación en la nube de alta disponibilidad. Los usuarios locales pueden
autenticarse con Azure AD para acceder a aplicaciones basadas en la nube, incluso
si la instancia local de Active Directory deja de funcionar.
Autenticación de paso a través de Azure AD. La autenticación transferida de

Azure AD permite a los usuarios iniciar sesión en aplicaciones locales y basadas en
la nube con las mismas contraseñas, como la sincronización de hash de contraseña.
Pero una diferencia clave es que cuando los usuarios inician sesión con la
autenticación transferida de Azure AD, las contraseñas se validan directamente en
la instancia local de Active Directory. La validación de las contraseñas no se
produce en la nube. Esto puede ser un factor importante para las organizaciones
que quieran aplicar sus directivas de seguridad y contraseñas de Active Directory
locales.
La autenticación transferida de Azure AD también usa Azure AD Connect, pero

tiene el requisito adicional de ejecutar uno o varios agentes de autenticación. Estos
agentes actúan como intermediario entre Azure AD y la instancia local de Active
Directory en el proceso de autenticación de los usuarios.
Cuando un usuario intenta acceder a una aplicación en la que todavía no ha

iniciado sesión, se le redirigirá a la página de inicio de sesión de Azure AD para que
escriba su nombre de usuario y contraseña. Azure AD cifrará la contraseña de
usuario con la clave pública del Agente de autenticación. El Agente de
autenticación local recupera el nombre de usuario y la contraseña cifrada de
Azure AD, descifra la contraseña con su clave privada y valida el nombre de usuario
y la contraseña en Active Directory. Active Directory evalúa la solicitud y
proporciona una respuesta (correcto, error, contraseña expirada o usuario
bloqueado) al agente, que luego se lo notifica a Azure AD. Si la respuesta indica
que el proceso se ha realizado correctamente, Azure AD responderá con la
autenticación del usuario.
El uso de agentes de autenticación que se ejecutan en un servidor significa que se

necesita una superficie de infraestructura mayor, en comparación con la
sincronización de hash de contraseña. Además, como la autenticación transferida
se valida en la instancia local de Active Directory con dependencia de agentes de
autenticación que se ejecutan en servidores, se debe tener en cuenta el software
distribuido, redundante y el hardware para proporcionar solicitudes de inicio de
sesión de alta disponibilidad. De lo contrario, si el centro de datos sufre una
interrupción, la autenticación en los servicios de Microsoft 365 ya no sería posible.
Autenticación federada. La federación se recomienda como autenticación para las

organizaciones que tienen características avanzadas que no se admiten
actualmente en Azure AD, incluido el inicio de sesión con tarjetas inteligentes o
certificados, con un servidor local de autenticación multifactor (MFA) o mediante
una solución de autenticación de terceros.
En la autenticación federada, Azure AD delega el proceso de autenticación a un
sistema independiente de autenticación de confianza como, por ejemplo, una
instancia local de Servicios de federación de Active Directory (AD FS), para validar
la contraseña del usuario. Este método de inicio de sesión garantiza que toda la
autenticación de usuarios tiene lugar de forma local.
La autenticación federada usa Azure AD Connect, pero también necesita servidores

adicionales para admitir la federación, lo que da lugar a una superficie de
infraestructura mayor.
Las organizaciones que deciden usar la federación con Servicios de federación de

Active Directory (AD FS) tienen la posibilidad de configurar la sincronización de
hash de contraseña como copia de seguridad en caso de error en la infraestructura
de AD FS.
Introducción
Completado100 XP
 1 minuto
La autenticación es el proceso de comprobación de la legitimidad de una
identidad. Las contraseñas se usan normalmente para autenticar a los usuarios,
pero hay formas mejores y más seguras de autenticarse.
En este módulo obtendrá información sobre las funcionalidades de autenticación

de Azure AD, la autenticación multifactor y cómo estas mejoran la seguridad.
También encontrará información sobre las funcionalidades de administrar y
protección de contraseñas de Azure AD.
 Describir los métodos de autenticación de Azure AD.

 Descripción de la autenticación multifactor en Azure AD
 Describir las funcionalidades de administración y protección de
contraseñas de Azure AD.
Siguiente unidad: Describir los métodos de

autenticación de Azure AD
Describir los métodos de autenticación

de Azure AD
Completado100 XP
 10 minutos
Una de las principales características de una plataforma de identidad es

comprobar, o autenticar, las credenciales cuando un usuario inicia sesión en un
dispositivo, una aplicación o un servicio. Azure AD ofrece distintos métodos de
autenticación.
Contraseñas
Las contraseñas son la forma más común de autenticación, pero tienen muchos
problemas, especialmente si se usan en la autenticación de un solo factor, donde
solo se usa una forma de autenticación. Si son bastante fáciles de recordar, un
hacker podrá vulnerarlas fácilmente. Las contraseñas seguras que no son fáciles de
atacar son difíciles de recordar, y afectan a la productividad de los usuarios cuando
las olvidan.
El uso de contraseñas debe complementarse o reemplazarse por métodos de
autenticación más seguros disponibles en Azure AD.
Teléfono
Azure AD admite dos opciones para la autenticación basada en teléfono.
 Autenticación basada en SMS. El servicio de mensajes cortos (SMS)

usado en la mensajería de texto del dispositivo móvil se puede usar
como forma principal de autenticación. Con el inicio de sesión basado
en SMS, los usuarios no necesitan conocer un nombre de usuario y una
contraseña para acceder a las aplicaciones y servicios. En su lugar, el
usuario escribe su número de teléfono móvil registrado, recibe un
mensaje de texto con un código de verificación, y escribe el código en
la interfaz de inicio de sesión.
Los usuarios también pueden optar por comprobar su identidad a

través de la mensajería de texto SMS en un teléfono móvil, como
forma secundaria de autenticación durante el autoservicio de
restablecimiento de contraseña (SSPR) o Azure AD Multi-Factor
Authentication. Por ejemplo, los usuarios pueden complementar su
contraseña mediante la mensajería de texto SMS. Se envía un SMS al
número de teléfono móvil con un código de verificación. Para
completar el proceso de inicio de sesión, el código de verificación
entregado debe introducirse en la interfaz de inicio de sesión.
 Comprobación por llamada de voz. Los usuarios pueden usar

llamadas de voz como forma secundaria de autenticación, para
comprobar su identidad, durante el autoservicio de restablecimiento
de contraseña (SSPR) o Azure AD Multi-Factor Authentication. Con la
verificación por llamada telefónica, se hace una llamada de voz
automatizada al número de teléfono registrado por el usuario. Para
completar el proceso de inicio de sesión, se le pide al usuario que
presione # en el teclado. Las llamadas de voz no se admiten como una
forma principal de autenticación en Azure AD.
OATH
OATH (Open Authentication) es un estándar abierto que especifica cómo se

generan los códigos de contraseña de un solo uso y duración definida (TOTP). Los
códigos de contraseña de un solo uso se pueden usar para autenticar a un usuario.
Los TOTP de OATH se implementan mediante software o hardware para generar
los códigos.
 Los tokens de software OATH suelen ser aplicaciones. Azure AD

genera la clave secreta, o valor de inicialización, que se introduce en la
aplicación y se usa para generar cada OTP.
 Los tokens de hardware OATH TOTP (compatibles con la versión

preliminar pública) son dispositivos de hardware pequeños que
parecen un fob de clave que muestra un código que se actualiza cada
30 o 60 segundos. Los tokens de hardware TOTP de OATH suelen
incluir una clave secreta, o valor de inicialización, programada
previamente en el token. Estas claves y otra información específica de
cada token deben introducirse en Azure AD y, a continuación, activarse
para su uso por parte de los usuarios finales.
Los tokens de hardware y software OATH solo se admiten como formas

secundarias de autenticación en Azure AD para comprobar una identidad durante
el autoservicio de restablecimiento de contraseña (SSPR) o Azure AD Multi-Factor
Authentication.
Autenticación sin contraseñas
En muchas organizaciones, el objetivo final es eliminar el uso de contraseñas como

parte de los eventos de inicio de sesión. Cuando un usuario inicia sesión con un
método sin contraseña, las credenciales se proporcionan mediante el uso de
métodos como la información biométrica en Windows Hello para empresas o una
clave de seguridad FIDO2. Un atacante no puede duplicar fácilmente estos
métodos de autenticación.
Azure AD ofrece formas de autenticación nativa sin contraseña con el fin de

simplificar la experiencia de inicio de sesión de los usuarios y reducir el riesgo de
ataques.
En el vídeo siguiente se explica el problema de las contraseñas y por qué es tan

importante la autenticación sin contraseña.
Windows Hello para empresas
Windows Hello para empresas reemplaza las contraseñas con una autenticación de

dos factores sólida en dispositivos. Esta autenticación en dos fases es una
combinación de una clave o un certificado vinculado a un dispositivo y algo que la
persona conoce (un PIN) o algo que la persona es (biometría). La entrada de PIN y
el gesto biométrico desencadenan el uso de la clave privada para firmar
criptográficamente los datos que se envían al proveedor de identidades. El
proveedor de identidades comprueba la identidad del usuario y autentica al
usuario.
Windows Hello para empresas ayuda a protegerse contra el robo de credenciales,

ya que un atacante debe tener tanto el dispositivo como la información biométrica
o el PIN, lo que dificulta el acceso sin el conocimiento del empleado.
Como método de autenticación sin contraseña, Windows Hello para empresas

actúa como forma principal de autenticación. Además, Windows Hello para
empresas se puede usar como forma secundaria de autenticación para comprobar
una identidad durante la autenticación multifactor.
FIDO2
Fast Identity Online (FIDO) es un estándar abierto para la autenticación sin

contraseña. FIDO permite a los usuarios y a las organizaciones aprovechar el
estándar para iniciar sesión en sus recursos mediante una clave de seguridad
externa o una clave de plataforma integrada en un dispositivo, lo que elimina la
necesidad de usar usuario y contraseña.
FIDO2 es el estándar más reciente que incorpora el estándar de autenticación web

(WebAuthn) y es compatible con Azure AD. Las claves de seguridad FIDO2 son un
método de autenticación sin contraseña basado en estándares que no permite la
suplantación de identidad y que puede venir en cualquier factor de forma. Estas
claves de seguridad FIDO2 suelen ser dispositivos USB, pero también pueden ser
dispositivos basados en Bluetooth o comunicación de campo cercano (NFC), que se
usan para la transferencia de datos inalámbricas de corto alcance. Con un
dispositivo de hardware que controla la autenticación, se aumenta la seguridad de
una cuenta, ya que no hay ninguna contraseña que pueda quedar expuesta ni
adivinarse.
Con las claves de seguridad FIDO2, los usuarios pueden iniciar sesión en
dispositivos Windows 10 unidos a Azure AD o Azure AD híbrido y lograr el inicio de
sesión único en sus recursos de nube y locales. Los usuarios también pueden iniciar
sesión en exploradores compatibles. Las claves de seguridad FIDO2 son una
excelente opción para las empresas que son muy conscientes de la seguridad o
tienen escenarios o empleados que no quieren o no pueden usar su teléfono como
un segundo factor.
Como método de autenticación sin contraseña, FIDO2 actúa como forma principal
de autenticación. Además, FIDO2 se puede usar como forma secundaria de
autenticación para comprobar una identidad durante la autenticación multifactor.
Aplicación Microsoft Authenticator
Como método de autenticación sin contraseña, la aplicación Microsoft

Authenticator se puede usar como forma principal de autenticación para iniciar
sesión en cualquier cuenta de Azure AD o como opción de verificación adicional
durante el autoservicio de restablecimiento de contraseña (SSPR) o Azure AD
eventos de Multi-Factor Authentication.
Para usar Microsoft Authenticator, un usuario debe descargar la aplicación de

teléfono desde Microsoft Store y registrar su cuenta. Microsoft Authenticator está
disponible para Android e iOS.
Con la información de inicio de sesión, la aplicación Authenticator convierte

cualquier teléfono Android o iOS en una credencial segura sin contraseña. Para
iniciar sesión en su cuenta de Azure AD, un usuario escribe su nombre de usuario,
coincide con un número mostrado en la pantalla en el que se encuentra en su
teléfono y, a continuación, usa su biométrica o PIN para confirmar.
Cuando un usuario elige Authenticator como método de autenticación secundario,

para verificar su identidad, se envía una notificación push al teléfono o tableta. Si la
notificación es legítima, el usuario selecciona Aprobar; de lo contrario,
selecciona Denegar.
Siguiente unidad: Describir la autenticación
multifactor (MFA) en Azure AD
Continuar
Describir los métodos de autenticación

de Azure AD
Completado100 XP
 10 minutos
Una de las principales características de una plataforma de identidad es

comprobar, o autenticar, las credenciales cuando un usuario inicia sesión en un
dispositivo, una aplicación o un servicio. Azure AD ofrece distintos métodos de
autenticación.
Contraseñas
Las contraseñas son la forma más común de autenticación, pero tienen muchos
problemas, especialmente si se usan en la autenticación de un solo factor, donde
solo se usa una forma de autenticación. Si son bastante fáciles de recordar, un
hacker podrá vulnerarlas fácilmente. Las contraseñas seguras que no son fáciles de
atacar son difíciles de recordar, y afectan a la productividad de los usuarios cuando
las olvidan.
El uso de contraseñas debe complementarse o reemplazarse por métodos de

autenticación más seguros disponibles en Azure AD.
Teléfono
Azure AD admite dos opciones para la autenticación basada en teléfono.
 Autenticación basada en SMS. El servicio de mensajes cortos (SMS)

usado en la mensajería de texto del dispositivo móvil se puede usar
como forma principal de autenticación. Con el inicio de sesión basado
en SMS, los usuarios no necesitan conocer un nombre de usuario y una
contraseña para acceder a las aplicaciones y servicios. En su lugar, el
usuario escribe su número de teléfono móvil registrado, recibe un
mensaje de texto con un código de verificación, y escribe el código en
la interfaz de inicio de sesión.
Los usuarios también pueden optar por comprobar su identidad a

través de la mensajería de texto SMS en un teléfono móvil, como
forma secundaria de autenticación durante el autoservicio de
restablecimiento de contraseña (SSPR) o Azure AD Multi-Factor
Authentication. Por ejemplo, los usuarios pueden complementar su
contraseña mediante la mensajería de texto SMS. Se envía un SMS al
número de teléfono móvil con un código de verificación. Para
completar el proceso de inicio de sesión, el código de verificación
entregado debe introducirse en la interfaz de inicio de sesión.
 Comprobación por llamada de voz. Los usuarios pueden usar

llamadas de voz como forma secundaria de autenticación, para
comprobar su identidad, durante el autoservicio de restablecimiento
de contraseña (SSPR) o Azure AD Multi-Factor Authentication. Con la
verificación por llamada telefónica, se hace una llamada de voz
automatizada al número de teléfono registrado por el usuario. Para
completar el proceso de inicio de sesión, se le pide al usuario que
presione # en el teclado. Las llamadas de voz no se admiten como una
forma principal de autenticación en Azure AD.
OATH
OATH (Open Authentication) es un estándar abierto que especifica cómo se

generan los códigos de contraseña de un solo uso y duración definida (TOTP). Los
códigos de contraseña de un solo uso se pueden usar para autenticar a un usuario.
Los TOTP de OATH se implementan mediante software o hardware para generar
los códigos.
 Los tokens de software OATH suelen ser aplicaciones. Azure AD

genera la clave secreta, o valor de inicialización, que se introduce en la
aplicación y se usa para generar cada OTP.
 Los tokens de hardware OATH TOTP (compatibles con la versión

preliminar pública) son dispositivos de hardware pequeños que
parecen un fob de clave que muestra un código que se actualiza cada
30 o 60 segundos. Los tokens de hardware TOTP de OATH suelen
incluir una clave secreta, o valor de inicialización, programada
previamente en el token. Estas claves y otra información específica de
cada token deben introducirse en Azure AD y, a continuación, activarse
para su uso por parte de los usuarios finales.
Los tokens de hardware y software OATH solo se admiten como formas

secundarias de autenticación en Azure AD para comprobar una identidad durante
el autoservicio de restablecimiento de contraseña (SSPR) o Azure AD Multi-Factor
Authentication.
Autenticación sin contraseñas
En muchas organizaciones, el objetivo final es eliminar el uso de contraseñas como

parte de los eventos de inicio de sesión. Cuando un usuario inicia sesión con un
método sin contraseña, las credenciales se proporcionan mediante el uso de
métodos como la información biométrica en Windows Hello para empresas o una
clave de seguridad FIDO2. Un atacante no puede duplicar fácilmente estos
métodos de autenticación.
Azure AD ofrece formas de autenticación nativa sin contraseña con el fin de

simplificar la experiencia de inicio de sesión de los usuarios y reducir el riesgo de
ataques.
En el vídeo siguiente se explica el problema de las contraseñas y por qué es tan

importante la autenticación sin contraseña.
Windows Hello para empresas
Windows Hello para empresas reemplaza las contraseñas con una autenticación de

dos factores sólida en dispositivos. Esta autenticación en dos fases es una
combinación de una clave o un certificado vinculado a un dispositivo y algo que la
persona conoce (un PIN) o algo que la persona es (biometría). La entrada de PIN y
el gesto biométrico desencadenan el uso de la clave privada para firmar
criptográficamente los datos que se envían al proveedor de identidades. El
proveedor de identidades comprueba la identidad del usuario y autentica al
usuario.
Windows Hello para empresas ayuda a protegerse contra el robo de credenciales,
ya que un atacante debe tener tanto el dispositivo como la información biométrica
o el PIN, lo que dificulta el acceso sin el conocimiento del empleado.
Como método de autenticación sin contraseña, Windows Hello para empresas

actúa como forma principal de autenticación. Además, Windows Hello para
empresas se puede usar como forma secundaria de autenticación para comprobar
una identidad durante la autenticación multifactor.
FIDO2
Fast Identity Online (FIDO) es un estándar abierto para la autenticación sin

contraseña. FIDO permite a los usuarios y a las organizaciones aprovechar el
estándar para iniciar sesión en sus recursos mediante una clave de seguridad
externa o una clave de plataforma integrada en un dispositivo, lo que elimina la
necesidad de usar usuario y contraseña.
FIDO2 es el estándar más reciente que incorpora el estándar de autenticación web

(WebAuthn) y es compatible con Azure AD. Las claves de seguridad FIDO2 son un
método de autenticación sin contraseña basado en estándares que no permite la
suplantación de identidad y que puede venir en cualquier factor de forma. Estas
claves de seguridad FIDO2 suelen ser dispositivos USB, pero también pueden ser
dispositivos basados en Bluetooth o comunicación de campo cercano (NFC), que se
usan para la transferencia de datos inalámbricas de corto alcance. Con un
dispositivo de hardware que controla la autenticación, se aumenta la seguridad de
una cuenta, ya que no hay ninguna contraseña que pueda quedar expuesta ni
adivinarse.
Con las claves de seguridad FIDO2, los usuarios pueden iniciar sesión en
dispositivos Windows 10 unidos a Azure AD o Azure AD híbrido y lograr el inicio de
sesión único en sus recursos de nube y locales. Los usuarios también pueden iniciar
sesión en exploradores compatibles. Las claves de seguridad FIDO2 son una
excelente opción para las empresas que son muy conscientes de la seguridad o
tienen escenarios o empleados que no quieren o no pueden usar su teléfono como
un segundo factor.
Como método de autenticación sin contraseña, FIDO2 actúa como forma principal
de autenticación. Además, FIDO2 se puede usar como forma secundaria de
autenticación para comprobar una identidad durante la autenticación multifactor.
Aplicación Microsoft Authenticator
Como método de autenticación sin contraseña, la aplicación Microsoft

Authenticator se puede usar como forma principal de autenticación para iniciar
sesión en cualquier cuenta de Azure AD o como opción de verificación adicional
durante el autoservicio de restablecimiento de contraseña (SSPR) o Azure AD
eventos de Multi-Factor Authentication.
Para usar Microsoft Authenticator, un usuario debe descargar la aplicación de

teléfono desde Microsoft Store y registrar su cuenta. Microsoft Authenticator está
disponible para Android e iOS.
Con la información de inicio de sesión, la aplicación Authenticator convierte

cualquier teléfono Android o iOS en una credencial segura sin contraseña. Para
iniciar sesión en su cuenta de Azure AD, un usuario escribe su nombre de usuario,
coincide con un número mostrado en la pantalla en el que se encuentra en su
teléfono y, a continuación, usa su biométrica o PIN para confirmar.
Cuando un usuario elige Authenticator como método de autenticación secundario,

para verificar su identidad, se envía una notificación push al teléfono o tableta. Si la
notificación es legítima, el usuario selecciona Aprobar; de lo contrario,
selecciona Denegar.
Describir la autenticación multifactor

(MFA) en Azure AD
Completado100 XP
 3 minutos
La autenticación multifactor requiere más de una forma de comprobación para

demostrar que una identidad es legítima, como un dispositivo de confianza o una
detección de huellas digitales. Esto implica que, aunque la contraseña de una
identidad se haya puesto en peligro, un hacker no podrá acceder al recurso.
La autenticación multifactor mejora drásticamente la seguridad de las identidades,
a la vez que sigue siendo simple para los usuarios. El factor de autenticación
adicional debe ser algo difícil de obtener o duplicar para un atacante.
El funcionamiento de la autenticación multifactor de Azure Active Directory solicita

lo siguiente:
 Algo que sabe: normalmente una contraseña o un PIN y

 Algo que tiene: como un dispositivo de confianza que no se duplica
fácilmente; por ejemplo, un teléfono o una clave de hardware, o
 Algo que forma parte de usted: información biométrica como una huella
digital o una detección de rostro.
Las solicitudes de comprobación de la autenticación multifactor están configuradas

para formar parte del evento de inicio de sesión en Azure AD. Azure AD solicita y
procesa automáticamente la autenticación multifactor, sin realizar cambios en las
aplicaciones o servicios. Cuando un usuario inicia sesión, recibe una solicitud de
autenticación multifactor y puede elegir una de las formas de verificación
adicionales que haya registrado.
Un administrador puede requerir ciertos métodos de comprobación, o el usuario

puede acceder a la sección Mi cuenta para editar o agregar métodos de
comprobación.
Las siguientes formas adicionales de verificación, descritas en la unidad anterior, se

pueden usar con la autenticación multifactor de Azure AD:
 Aplicación Microsoft Authenticator

 Windows Hello para empresas
 Clave de seguridad FIDO2
 Token de hardware OATH (versión preliminar)
 Token de software OATH
 sms
 Llamada de voz
Valores predeterminados de seguridad y autenticación multifactor
Los valores predeterminados de seguridad son un conjunto de mecanismos de

seguridad de identidad básicos recomendados por Microsoft. Cuando estén
habilitadas, estas recomendaciones se aplicarán automáticamente en su
organización. El objetivo es asegurarse de que todas las organizaciones gocen de
un nivel básico de seguridad sin ningún costo adicional. Estos valores
predeterminados habilitan algunas de las características y controles de seguridad
más comunes, entre los que se incluyen los siguientes:
 Aplicar el registro de autenticación multifactor de Azure Active Directory para

todos los usuarios.
 Forzar a los administradores a usar la autenticación multifactor.
 Requerir a todos los usuarios que realicen la autenticación multifactor cuando
sea necesario.
Los valores predeterminados de seguridad son una excelente opción para las
organizaciones que quieren aumentar su posición de seguridad, pero no saben por
dónde empezar; o para las organizaciones que usan el nivel Gratis de licencias de
Azure AD. Los valores predeterminados de seguridad podrían no ser adecuados
para las organizaciones con licencias Premium de Azure AD, o con requisitos de
seguridad más complejos. Para más información, visite ¿Cuáles son los valores de
seguridad predeterminados?
Siguiente unidad: Descripción del autoservicio de

restablecimiento de contraseña (SSPR) en Azure AD
Continuar
Descripción del autoservicio de

restablecimiento de contraseña (SSPR)
en Azure AD
Completado100 XP
 6 minutos
El autoservicio de restablecimiento de contraseña (SSPR) es una característica de

Azure AD que permite a los usuarios cambiar o restablecer su contraseña, sin
necesidad de que intervenga el administrador o el departamento de soporte
técnico.
Si la cuenta de un usuario está bloqueada o se ha olvidado de la contraseña, puede

seguir la indicación para restablecerla y volver al trabajo. Esta capacidad reduce las
llamadas al departamento de soporte técnico y la pérdida de productividad cuando
un usuario no puede iniciar sesión en su dispositivo o en una aplicación.
El autoservicio de restablecimiento de contraseña funciona en los siguientes

escenarios:
 Cambio de contraseña: el usuario conoce la contraseña, pero quiere

cambiarla por una nueva.
 Restablecimiento de contraseña: el usuario no puede iniciar sesión,
por ejemplo, cuando ha olvidado la contraseña, y quiere restablecerla.
 Desbloqueo de cuenta: el usuario no puede iniciar sesión porque su
cuenta está bloqueada.
Para usar el autoservicio de restablecimiento de contraseña, los usuarios deben
cumplir lo siguiente:
 Tener asignada una licencia de Azure AD. Consulte la sección Más

información de la unidad de resumen y recursos para obtener un
vínculo a los requisitos de licencia para el autoservicio de
restablecimiento de contraseña de Azure Active Directory.
 Estar habilitados para SSPR por un administrador.
 Estar registrado con los métodos de autenticación que quieren usar. Se
recomiendan dos o más métodos de autenticación en caso de que uno
no esté disponible.
Están disponibles los siguientes métodos de autenticación:
 Notificación en aplicación móvil

 Código de aplicación móvil
 Email
 Teléfono móvil
 Teléfono del trabajo
 Preguntas de seguridad
Cuando los usuarios se registren en SSPR, se les pedirá que elijan los métodos de
autenticación que usarán. Si optan por usar preguntas de seguridad, pueden elegir
entre un conjunto de preguntas para que se muestren y, a continuación,
proporcionar sus propias respuestas. Las preguntas de seguridad se pueden usar
solo durante el proceso de autoservicio de restablecimiento de contraseña (SSPR)
para confirmar quién es. Las preguntas de seguridad no se usan como método de
autenticación durante un evento de inicio de sesión. Las cuentas de administrador
no pueden usar preguntas de seguridad como método de verificación con SSPR.
Nota
De manera predeterminada, las cuentas de administrador están habilitadas para el

autoservicio de restablecimiento de contraseña y deben usar dos métodos de
autenticación para restablecer su contraseña, como una dirección de correo
electrónico, una aplicación de autenticador o un número de teléfono. Los
administradores no tienen la posibilidad de usar preguntas de seguridad.
Cuando un usuario restablece su contraseña mediante el autoservicio de

restablecimiento de contraseña, dicha contraseña también puede reescribirse en
una instancia de Active Directory local. La reescritura de contraseñas permite a los
usuarios usar sus credenciales actualizadas con las aplicaciones y dispositivos
locales sin ninguna demora.
Para mantener a los usuarios informados sobre la actividad de la cuenta, los

administradores pueden configurar las notificaciones de correo electrónico que se
enviarán cuando se produzca un evento de SSPR. Estas notificaciones pueden
abarcar tanto las cuentas de usuario normales como las cuentas de administrador.
En el caso de las cuentas de administrador, esta notificación ofrece una capa
adicional de reconocimiento cuando se restablece la contraseña de una cuenta de
administrador con privilegios mediante SSPR. Todos los administradores globales
recibirán una notificación cuando se utilice SSPR en una cuenta de administrador.
En esta guía interactiva, habilitará el autoservicio de restablecimiento de contraseña

para los usuarios de Azure Active Directory. Seleccione la imagen siguiente para
empezar y siga las indicaciones que aparecen en pantalla.
Siguiente unidad: Descripción de las

funcionalidades de administración y protección de
contraseñas de Azure AD
Continuar
Descripción de las funcionalidades de
administración y protección de
contraseñas de Azure AD
Completado100 XP
 4 minutos
La protección de contraseñas es una característica de Azure AD que reduce el

riesgo de que los usuarios establezcan contraseñas no seguras. La característica
Protección de contraseñas de Azure AD detecta y bloquea las contraseñas no
seguras conocidas y sus variantes;además, puede bloquear otros términos poco
seguros específicamente para la organización.
Con Protección con contraseña de Azure AD, se aplican automáticamente listas

globales de contraseñas prohibidas a todos los usuarios de un inquilino de
Azure AD. Para satisfacer sus necesidades empresariales y de seguridad, puede
definir entradas en una lista personalizada de contraseñas prohibidas. Cuando los
usuarios cambian o restablecen sus contraseñas, se consultan estas listas para
exigir el uso de contraseñas seguras.
Debe usar características adicionales, como la autenticación multifactor de

Azure Active Directory y no confiar solo en las contraseñas seguras aplicadas por
Protección de contraseñas de Azure AD.
Lista global de contraseñas prohibidas

Microsoft actualiza y aplica automáticamente una lista global de contraseñas
prohibidas que incluye contraseñas no seguras conocidas. Esta lista la mantiene el
equipo de Azure AD Identity Protection, que analiza los datos de telemetría de
seguridad para buscar contraseñas poco seguras o vulneradas. Algunos ejemplos
de contraseñas que podrían estar bloqueadas son P@$$w0rd o Passw0rd1 y todas
sus variaciones.
Las variaciones se crean mediante un algoritmo que transpone mayúsculas y

minúsculas, así como letras a números; por ejemplo, "1" a "l". Las variaciones de
Password1 pueden incluir a Passw0rd1, Pass0rd1 y otras. A continuación, estas
contraseñas se comprueban y se agregan a la lista global de contraseñas
prohibidas y se ponen a disposición de todos los usuarios de Azure AD. La lista
global de contraseñas prohibidas se aplica automáticamente y no se puede
deshabilitar.
Si un usuario de Azure AD intenta usar como contraseña una de estas contraseñas

no seguras, recibirá una notificación para elegir otra más segura. La lista global
prohibida se crea a partir de ataques de difusión de contraseñas reales. Este
enfoque mejora la seguridad y eficacia generales, y el algoritmo de validación de
contraseñas también usa técnicas inteligentes de coincidencia aproximada que se
usan para buscar cadenas que coincidan aproximadamente con un patrón.
Protección de contraseñas de Azure AD detecta y bloquea de manera eficaz
millones de las contraseñas poco seguras más comunes que se usan en su
empresa.
Listas personalizadas de contraseñas prohibidas

Los administradores también pueden crear listas personalizadas de contraseñas
prohibidas para satisfacer necesidades específicas de seguridad empresarial. La
lista personalizada de contraseñas prohibidas impide el uso de contraseñas como
el nombre o la ubicación de la organización. Las contraseñas agregadas a la lista
personalizada de contraseñas prohibidas deben centrarse en términos específicos
de la organización, como:
 Nombres de marca
 Nombres de producto
 Ubicaciones, por ejemplo, la oficina central de la empresa
 Términos internos específicos de la empresa
 Abreviaturas que tienen un significado específico en la empresa
La lista personalizada de contraseñas prohibidas se combina con la lista global de

contraseñas prohibidas para bloquear las variaciones de todas las contraseñas.
Las listas de contraseñas prohibidas son una característica de Azure AD Premium 1

o 2.
Protección contra la difusión de contraseñas

Protección con contraseña de Azure AD le ayuda a defenderse contra los ataques
de difusión de contraseña. La mayoría de los ataques de difusión de contraseñas
envían solo algunas de las contraseñas menos seguras conocidas en cada una de
las cuentas de una empresa. Esta técnica permite al atacante buscar rápidamente
una cuenta en peligro y evitar posibles umbrales de detección.
Protección con contraseña de Azure AD bloquea de forma eficaz todas las

contraseñas no seguras conocidas que se puedan usar en los ataques de difusión
de contraseña. Esta protección se basa en los datos de telemetría de seguridad del
mundo real que genera Azure AD, los cuales se usan para crear la lista global de
contraseñas prohibidas.
Seguridad híbrida
Si busca seguridad híbrida, los administradores pueden integrar la Protección de
contraseñas de Azure AD en un entorno de Active Directory local. Un componente
instalado en el entorno local recibe la lista global de contraseñas prohibidas y las
directivas personalizadas de protección de contraseñas de Azure AD. A
continuación, los controladores de dominio las usan para procesar los eventos de
cambio de contraseña. Este enfoque híbrido garantiza que, siempre que un usuario
cambie su contraseña, se aplique la Protección de contraseñas de Azure AD.
Aunque la protección de contraseñas mejora la seguridad de las contraseñas, debe

seguir usando las características recomendadas, como la autenticación multifactor
de Azure Active Directory. Las contraseñas por sí solas, incluso las seguras, no lo
protegerán tanto como varias capas de seguridad.
Introducción
Completado100 XP
 1 minuto
Uno de los objetivos principales de Azure AD es administrar el acceso. El perímetro

de seguridad ha pasado de los límites de la organización a las identidades de
usuario, dispositivo y servicio. En este módulo, descubrirá cómo Azure AD usa las
funcionalidades de administración de acceso inteligente para proteger los recursos
de la organización. En este módulo, se describe cómo el acceso condicional ayuda
a mejorar la seguridad de la organización. También se describen las ventajas de los
roles de Azure AD, el control de acceso basado en roles y cómo se usan para
controlar el acceso a los recursos de Azure AD.
En este módulo aprenderá a:
 Describir el acceso condicional en Azure AD.

 Describir las ventajas de los roles de Azure AD y el control de acceso
basado en roles.
Siguiente unidad: Descripción del acceso

condicional en Azure AD
Descripción del acceso condicional en

Azure AD
Completado100 XP
 9 minutos
El acceso condicional es una característica de Azure AD que proporciona una capa

de seguridad adicional antes de permitir que los usuarios autenticados tengan
acceso a los datos o a otros recursos. El acceso condicional se implementa a través
de las directivas que se crean y administran en Azure AD. Una directiva de acceso
condicional analiza las señales que incluyen el usuario, la ubicación, el dispositivo,
la aplicación y el riesgo para automatizar las decisiones de autorización de acceso a
los recursos (aplicaciones y datos).
Es posible que una directiva de acceso condicional indique que si un usuario
pertenece a un grupo determinado, se le pida que proporcione autenticación
multifactor para iniciar sesión en una aplicación.
Vea el vídeo para descubrir cómo funcionan las directivas de acceso condicional.
Señales de acceso condicional

Entre algunas de las señales comunes que puede tener en cuenta el acceso
condicional al tomar una decisión sobre una directiva se pueden incluir las
siguientes:
 Pertenencia a grupo o usuario. Las directivas se pueden dirigir a

todos los usuarios, grupos específicos de usuarios, roles de directorio o
usuarios invitados externos, lo que proporciona a los administradores
un control específico sobre el acceso.
 Información de la ubicación con nombre. La información de
ubicación con nombre se puede crear con intervalos IP y usarse al
tomar decisiones relacionadas con las directivas. Además, los
administradores pueden optar por bloquear o permitir el tráfico desde
el intervalo IP de todo un país o una región.
 Dispositivo. Se pueden usar los usuarios con dispositivos de
plataformas específicas o marcados con un estado específico.
 Aplicación. Los usuarios que intentan acceder a aplicaciones
específicas pueden desencadenar distintas directivas de acceso
condicional.
 Detección de riesgo de inicio de sesión en tiempo real. La
integración de señales con Azure AD Identity Protection permite que
las directivas de acceso condicional identifiquen el comportamiento de
riesgo de inicio de sesión, la probabilidad de que un inicio de sesión
determinado o una solicitud de autenticación, no estén autorizados
por el propietario de la identidad. Luego, las directivas pueden obligar
a los usuarios a realizar cambios de contraseña o a usar la
autenticación multifactor para reducir su nivel de riesgo, o a bloquear
su acceso hasta que algún administrador lleve a cabo una acción
manual.
 Acciones o aplicaciones en la nube. Las aplicaciones o acciones en la
nube pueden incluir o excluir las aplicaciones en la nube o acciones del
usuario que estarán sujetas a la directiva.
 Riesgo de usuario. En el caso de los clientes con acceso a Identity
Protection, el riesgo del usuario se puede evaluar como parte de una
directiva de acceso condicional. Un riesgo de usuario representa la
probabilidad de que una identidad o cuenta determinada esté en
peligro. El riesgo de los usuarios se puede configurar para una
probabilidad alta, media o baja.
Al crear una directiva de acceso condicional, los administradores pueden

determinar qué señales usar a través de asignaciones. La parte de asignaciones de
la directiva controla el quién, el qué y el dónde de una directiva de acceso
condicional. A todas las asignaciones se les asigna la operación lógica AND. Si tiene
más de una asignación configurada, se deben satisfacer todas las asignaciones para
desencadenar una directiva.
Controles de acceso
Cuando se ha aplicado la directiva de acceso condicional, se toma una decisión
informada sobre si se debe conceder acceso, bloquear el acceso o requerir una
comprobación adicional. La decisión se conoce como la parte de controles de
acceso de la directiva de acceso condicional y define cómo se aplica una directiva.
Las decisiones comunes son las siguientes:
 Bloquear acceso
 Conceder acceso
 Requerir que se cumplan una o más condiciones antes de conceder
acceso:
o Exigir la autenticación multifactor.
o Requerir que el dispositivo esté marcado como compatible.
o Requerir un dispositivo unido a Azure AD híbrido.
o Requerir aplicación cliente aprobada.
o Requerir la directiva de protección de aplicaciones.
o Requerir cambio de contraseña.
 Controlar el acceso del usuario en función de controles de sesión para
habilitar experiencias limitadas en aplicaciones en la nube
determinadas. Por ejemplo, Control de aplicaciones de acceso
condicional usa las señales de aplicaciones de Microsoft Defender for
Cloud para bloquear las funciones de descargar, cortar, copiar e
imprimir documentos confidenciales, o bien para exigir el etiquetado
de archivos confidenciales. Otros controles de sesión incluyen la
frecuencia de inicio de sesión y las restricciones aplicadas a la
aplicación que, en el caso de las aplicaciones seleccionadas, usan la
información del dispositivo para proporcionar a los usuarios una
experiencia limitada o completa, según el estado del dispositivo.
Las directivas de acceso condicional se pueden destinar a miembros de grupos o

invitados específicos. Por ejemplo, puede crear una directiva para impedir que
todas las cuentas de invitado tengan acceso a recursos confidenciales. El acceso
condicional es una característica de las ediciones de Azure AD de pago.
Guía interactiva
En esta guía interactiva, creará una directiva de acceso condicional para un grupo
de usuarios.
Siguiente unidad: Descripción de las ventajas de los

roles de Azure AD y el control de acceso basado en
roles
Continuar
Descripción de las ventajas de los roles
de Azure AD y el control de acceso
basado en roles
Completado100 XP
 7 minutos
Los roles de Azure AD controlan los permisos para administrar los recursos de
Azure AD. Por ejemplo, permitir la creación de cuentas de usuario o ver la
información de facturación. Azure AD admite roles integrados y personalizados.
La administración del acceso mediante roles se conoce como control de acceso

basado en roles (RBAC). Los roles integrados y personalizados de Azure AD son
una forma de RBAC en que los roles de Azure AD controlan el acceso a los recursos
de Azure AD. Esto se denomina RBAC de Azure AD.
Roles integrados
En Azure AD hay muchos roles integrados, que son los que tienen un conjunto fijo
de permisos de rol. Algunos de los roles integrados más comunes son los
siguientes:
 Administrador global: los usuarios con este rol tienen acceso a todas las
características administrativas de Azure Active Directory. El usuario que se
suscribe al inquilino de Azure Active Directory se convierte en administrador
global de manera automática.
 Administrador de usuarios: los usuarios con este rol pueden crear y
administrar todos los aspectos de los usuarios y grupos. Además, este rol
incluye la capacidad de administrar incidencias de soporte técnico y
supervisar el estado del servicio.
 Administrador de facturación: los usuarios que tienen este rol realizan
compras, administra suscripciones e incidencias de soporte técnico y
supervisan el estado del servicio.
Todos los roles integrados son agrupaciones preconfiguradas de permisos que se

diseñaron para tareas específicas. El conjunto fijo de permisos incluidos en los roles
integrados no se puede modificar.
Roles personalizados
Si bien hay muchos roles de administrador integrados en Azure AD, los roles

personalizados proporcionan flexibilidad a la hora de conceder acceso. Una
definición de roles personalizada es una colección de permisos que se seleccionan
en una lista preestablecida. La lista de permisos entre los que se puede elegir son
los mismos que usan los roles integrados. La diferencia es que puede elegir qué
permisos quiere incluir en un rol personalizado.
La concesión de permisos mediante roles de Azure AD personalizados es un

proceso de dos pasos. El primero implica la creación de una definición de rol
personalizado, que consta de una colección de permisos que se agregan desde una
lista preestablecida. Una vez que se crea la definición de rol personalizado, el
segundo paso consiste en asignar ese rol a usuarios o grupos mediante la creación
de una asignación de roles.
Una asignación de roles concede al usuario los permisos de una definición de roles
según un ámbito específico. Un ámbito define el conjunto de recursos de Azure AD
a los que tiene acceso el miembro del rol. Un rol personalizado se puede asignar
en el ámbito de toda la organización, lo que significa que el miembro del rol tiene
los permisos de rol sobre todos los recursos. También se puede asignar un rol
personalizado en un ámbito de objeto. Un ejemplo del ámbito de objeto sería una
aplicación única. Se puede asignar el mismo rol a un usuario en todas las
aplicaciones de la organización y, luego, a otro usuario que solo tenga un ámbito
de la aplicación de informes de gastos de Contoso.
Los roles personalizados requieren una licencia Azure AD Premium P1 o P2.
Solo se debe conceder el acceso que los usuarios necesitan
Es un procedimiento recomendado, y más seguro, para conceder a los usuarios el

privilegio mínimo que necesitan para realizar su trabajo. Esto significa que si
alguien administra principalmente usuarios, debe asignarle el rol de administrador
de usuarios y no el de administrador global. Mediante la asignación de privilegios
mínimos, se limitan los daños que podrían ocurrir con una cuenta en peligro.
Categorías de roles de Azure AD
Como se ha definido antes, Azure Active Directory (Azure AD) es el servicio de

administración de acceso y de identidades basado en la nube de Microsoft.
Azure AD es un servicio disponible, si se suscribe a cualquier oferta empresarial de
Microsoft Online, como Microsoft 365 y Azure.
Los servicios de Microsoft 365 disponibles incluyen Azure AD, Exchange,

SharePoint, Microsoft Defender, Teams, Intune y muchos más.
Con el tiempo, algunos servicios de Microsoft 365, como Exchange y Intune, han

desarrollado sus propios sistemas de control de acceso basado en roles, al igual
que el servicio Azure AD tiene roles de Azure AD para controlar el acceso a los
recursos de Azure AD (RBAC de Azure AD). Otros servicios como Teams y
SharePoint no tienen sistemas de control de acceso basados en roles
independientes; usan roles de Azure AD para su acceso administrativo.
Para que sea práctico administrar las identidades en los servicios de Microsoft 365,
Azure AD ha agregado roles integrados de servicios específicos, y cada uno
concede acceso administrativo a un servicio de Microsoft 365. Esto significa que los
roles integrados de Azure AD difieren en dónde se pueden usar. Hay tres
categorías principales.
 Roles específicos de Azure AD: estos roles conceden permisos para

administrar recursos solo en Azure AD. Por ejemplo, Administrador de
usuarios, Administrador de aplicaciones, Administrador de grupos,
todos conceden permisos para administrar recursos que residen en
Azure AD.
 Roles específicos del servicio: para los servicios de Microsoft 365

principales, Azure AD incluye roles específicos del servicio integrados
que conceden permisos para administrar las características de ese
servicio. Por ejemplo, Azure AD incluye roles integrados para
Administrador de Exchange, Administrador de Intune, Administrador
de SharePoint y Administrador de Teams que pueden administrar
características de sus servicios respectivos.
 Roles multiservicio: hay algunos roles de Azure AD que abarcan varios

servicios. Por ejemplo, Azure AD tiene roles relacionados con la
seguridad, como Administrador de seguridad, que conceden acceso a
varios servicios de seguridad dentro de Microsoft 365. Del mismo
modo, en el rol Administrador de cumplimiento puede administrar la
configuración relacionada con el cumplimiento en el Centro de
cumplimiento de Microsoft 365, Exchange, etc.
Diferencias entre los roles de RBAC de Azure y Azure AD
Como se ha descrito antes, los roles integrados y personalizados de Azure AD son

una forma de RBAC por la que los roles de Azure AD controlan el acceso a los
recursos de Azure AD. Esto se denomina RBAC de Azure AD. De la misma manera
que los roles de Azure AD pueden controlar el acceso a los recursos de Azure AD,
los roles de Azure también pueden controlar el acceso a los recursos de Azure. Esto
se denomina RBAC de Azure. Aunque el concepto de RBAC se aplica tanto a RBAC
de Azure AD como a RBAC de Azure, controlan aspectos diferentes.
 RBAC de Azure AD: los roles de Azure AD controlan el acceso a recursos de

Azure AD como usuarios, grupos y aplicaciones.
 RBAC de Azure: los roles de Azure controlan el acceso a recursos de Azure
como máquinas virtuales o almacenamiento mediante la administración de
recursos de Azure.
Hay diferentes almacenes de datos donde se almacenan las definiciones de roles y

las asignaciones de roles. Del mismo modo, hay diferente puntos de decisión de
directivas donde se producen comprobaciones de acceso.
Introducción
Completado100 XP
 1 minuto
La gobernanza de identidades consiste en equilibrar la seguridad de identidad con

la productividad de los usuarios de una manera que se pueda justificar y auditar.
Azure AD ofrece muchas funcionalidades de protección y gobernanza de
identidades, incluido Privileged Identity Management (PIM), Identity Protection y
los términos de uso.
En este módulo aprenderá a:
 Describir las funcionalidades de gobernanza de identidades de

Azure AD.
 Describir Privileged Identity Management (PIM).
 Describir las funcionalidades de Azure AD Identity Protection.
Siguiente unidad: Describir la gobernanza de

identidades en Azure AD
Continuar
Describir la gobernanza de identidades
en Azure AD
Completado100 XP
 4 minutos
Azure AD Identity Governance ofrece a las organizaciones la posibilidad de realizar

las siguientes tareas:
 Administrar el ciclo de vida de las identidades.

 Administrar el ciclo de vida de los accesos.
 Proteger el acceso con privilegios para la administración.
Estas acciones se pueden completar para empleados, socios comerciales y

proveedores en varios servicios y aplicaciones, tanto locales como en la nube.
Están diseñadas para ayudar a las organizaciones a abordar las siguientes cuatro
preguntas clave:
 ¿Qué usuarios deben tener acceso a qué recursos?

 ¿Qué hacen esos usuarios con el acceso concedido?
 ¿La organización cuenta con controles eficaces para administrar el
acceso?
 ¿Los auditores pueden comprobar qué controles funcionan?
Ciclo de vida de las identidades

La administración del ciclo de vida de las identidades de los usuarios es el alma de
la gobernanza de identidades.
Al planear la administración del ciclo de vida de la identidad para los empleados,

por ejemplo, muchas organizaciones modelan el proceso de "unirse, trasladar y
abandonar". Cuando una persona se une por primera vez a una organización, se
crea una nueva identidad digital si aún no hay ninguna disponible. Cuando una
persona se mueve entre límites organizativos, es posible que se deban agregar o
eliminar autorizaciones de acceso adicionales a su identidad digital. Cuando una
persona se va, es posible que sea necesario eliminar el acceso, y la identidad puede
ya no ser necesaria, salvo con fines de auditoría.
En el diagrama siguiente se muestra una versión simplificada del ciclo de vida de la
identidad.
Para muchas organizaciones, este ciclo de vida de la identidad para los empleados
está ligado a la representación del usuario en un sistema de recursos humanos
(RR. HH.), como Workday o SuccessFactors. El sistema de RR. HH. está autorizado
para proporcionar la lista actual de empleados y algunas de sus propiedades, como
el nombre o departamento.
Azure AD Premium ofrece integración con los sistemas de recursos humanos

basados en la nube. Cuando se agrega un nuevo empleado a un sistema de
recursos humanos, Azure AD puede crear la cuenta de usuario correspondiente. De
manera similar, si las propiedades como, por ejemplo, el departamento o estado
laboral, cambian en el sistema de RR. HH., la sincronización de esas actualizaciones
con Azure AD garantiza la coherencia.
Azure AD Premium incluye también Microsoft Identity Manager, que permite

importar registros desde los sistemas de recursos humanos locales, como SAP
HCM, Oracle eBusiness y Oracle PeopleSoft. Para obtener más información,
consulte la documentación de Microsoft Identity Manager que se muestra en la
sección Más información de la unidad de resumen y recursos.
En general, la administración del ciclo de vida de una identidad consiste en

actualizar el acceso que necesitan los usuarios, ya sea a través de la integración con
un sistema de recursos humanos, o a través de aplicaciones de aprovisionamiento
de usuarios.
Ciclo de vida de los accesos

El ciclo de vida de acceso es el proceso para administrar el acceso todo el tiempo
que el usuario permanece en la organización. Los usuarios requieren distintos
niveles de acceso desde el momento en el que se unen a una organización hasta
que la abandonan. En varias fases intermedias, necesitarán derechos de acceso a
distintos recursos en función de su rol y sus responsabilidades.
Las organizaciones pueden automatizar el proceso del ciclo de vida de los accesos
con determinadas tecnologías, como los grupos dinámicos. Los grupos dinámicos
permiten a los administradores crear reglas basadas en atributos para determinar la
pertenencia a grupos. Cuando cambia cualquier atributo de un usuario o
dispositivo, el sistema evalúa todas las reglas de grupos dinámicos de un directorio
para ver si la modificación desencadenaría la adición o retirada de usuarios en un
grupo. Si un usuario o dispositivo cumple una regla de un grupo, se agrega a este
como miembro. Si ya no cumple la regla, se quita del grupo.
Ciclo de vida de los accesos con privilegios

La supervisión del acceso con privilegios es una parte fundamental de la
gobernanza de identidades. Cuando se asignan derechos administrativos a los
empleados, proveedores y contratistas, debe haber un proceso de gobernanza
debido a la posibilidad de un uso incorrecto.
Azure AD Privileged Identity Management (PIM) ofrece controles adicionales que
están adaptados para proteger los derechos de acceso. PIM le ayuda a minimizar el
número de personas que tienen acceso a los recursos a través de Azure AD, Azure
y otras servicios en línea de Microsoft. PIM proporciona un conjunto completo de
controles de gobernanza para ayudar a proteger los recursos de la empresa. PIM es
una característica de Azure AD Premium P2.
Siguiente unidad: Descripción de qué son la

administración de derechos y las revisiones de
acceso
Descripción de qué son la

administración de derechos y las
revisiones de acceso
Completado100 XP
 8 minutos
La administración de derechos es una característica de gobernanza de identidades

que permite a las organizaciones administrar el ciclo de vida de las identidades y el
acceso a escala. La administración de derechos automatiza los flujos de trabajo de
las solicitudes de acceso, las asignaciones de acceso, las revisiones y la expiración.
El vídeo siguiente es una introducción a la administración de derechos y examina

cómo se usan los paquetes de acceso para los recursos.
Como se describe en el vídeo, las organizaciones empresariales suelen enfrentar

desafíos al administrar el acceso de los empleados a recursos, por ejemplo:
 Es posible que los usuarios no sepan qué acceso deben tener e, incluso
si lo saben, pueden tener dificultades para encontrar los usuarios
adecuados que lo aprueben.
 Una vez que los usuarios buscan y reciben acceso a un recurso, puede
que conserven el acceso por más tiempo del necesario para los fines
empresariales.
 Administración del acceso para usuarios externos.
La administración de derechos incluye las siguientes funcionalidades para
solucionar estos desafíos:
 Delegue la creación de paquetes de acceso a usuarios que no son

administradores. Estos paquetes de acceso contienen recursos que los
usuarios pueden solicitar. A continuación, los administradores de
paquetes de acceso delegados definen las directivas, que incluyen
reglas como qué usuarios pueden solicitar acceso, quién lo debe
aprobar y cuándo expira.
 Administración de usuarios externos. Cuando un usuario que todavía
no está en su directorio solicita acceso y este se aprueba, se le invita
automáticamente al directorio y se le asigna acceso. Cuando expira su
acceso, si no tiene otras asignaciones de paquete de acceso, su cuenta
de B2B en el directorio se puede quitar automáticamente.
La administración de derechos es una característica de Azure AD Premium P2 que

usa paquetes de acceso para administrar el acceso a los recursos.
Revisiones de acceso de Azure AD

Las revisiones de acceso de Azure Active Directory (AD) permiten a las
organizaciones administrar de forma eficiente la pertenencia a grupos, el acceso a
las aplicaciones empresariales y la asignación de roles. Las revisiones de acceso
periódicas garantizan que solo las personas adecuadas tienen acceso a los
recursos. Los derechos de acceso excesivos suponen un riesgo de seguridad
conocido. Sin embargo, cuando las personas se transfieren de un equipo a otro, o
cuando asumen o ceden responsabilidades, los derechos de acceso pueden ser
difíciles de controlar.
Las revisiones de acceso son útiles cuando:
 Demasiados usuarios tienen roles con privilegios, como el

administrador global.
 No es posible la automatización; por ejemplo, cuando los datos de
recursos humanos no están en Azure AD.
 Quiere controlar el acceso a datos críticos para la empresa.
 Las directivas de gobernanza requieren revisiones periódicas de los
permisos de acceso.
Las revisiones de acceso se pueden crear a través de las revisiones de acceso de
Azure AD o de Azure AD Privileged Identity Management (PIM). Las revisiones de
acceso se pueden usar para revisar y administrar el acceso tanto para usuarios
como para invitados. Cuando se crea una revisión de acceso, se puede configurar
para que cada usuario revise su propio acceso, o para que uno o varios usuarios
revisen el acceso de todos. Del mismo modo, se puede solicitar a todos los
invitados que revisen su propio acceso, o que lo examinen uno o varios usuarios.
Los administradores que crean revisiones de acceso pueden realizar un

seguimiento del progreso a medida que los revisores completen el proceso. Los
derechos de acceso no se cambian hasta que finaliza la revisión. Sin embargo,
puede detener una revisión antes de que llegue a su final programado.
Una vez completada la revisión, se puede establecer para que los cambios se
apliquen de forma manual o automática para quitar el acceso de una asignación de
aplicación o pertenencia a un grupo, excepto para grupos dinámicos o grupos que
se originen del entorno local. En esos casos, los cambios se deben aplicar
directamente al grupo.
Las revisiones de acceso son una característica de Azure AD Premium P2.
Condiciones de uso de Azure AD

Los términos de uso de Azure AD permiten que se presente información a los
usuarios antes de que tengan acceso a los datos o a una aplicación. Los términos
de uso garantizan que los usuarios lean las declinaciones de responsabilidad
pertinentes para conocer los requisitos legales o de cumplimiento.
Entre los casos de uso de ejemplo en los que es posible que los empleados o
invitados deban aceptar condiciones de uso se incluyen los siguientes:
 Antes de acceder a datos confidenciales o a una aplicación.

 De forma periódica, a fin de recordarles las regulaciones.
 En función de los atributos del usuario, como los términos aplicables a
roles concretos.
 Presentación de los términos a todos los usuarios de su organización.
Los términos de uso se presentan en formato PDF, con contenido que crea el
usuario, como un documento de contrato existente. Los términos de uso también
se pueden presentar a los usuarios en dispositivos móviles.
Las directivas de acceso condicional se usan para solicitar que se muestren los
términos de uso y garantizar que el usuario ha aceptado esos términos antes de
acceder a una aplicación. A continuación, los administradores pueden ver quién ha
aceptado las condiciones de uso y quién las ha rechazado.

funcionalidades de Privileged Identity Management
Privileged Identity Management
Completado100 XP
 8 minutos
Privileged Identity Management (PIM) es un servicio de Azure Active Directory

(Azure AD) que permite administrar, controlar y supervisar el acceso a recursos
importantes de la organización. Esto incluye a los recursos de Azure AD, Azure y los
de otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft Intune.
PIM mitiga los riesgos de los permisos de acceso excesivos, innecesarios o mal
utilizados. Requiere una justificación para saber por qué los usuarios quieren los
permisos y aplica la autenticación multifactor para activar cualquier rol.
PIM tiene las siguientes características:
 Just-in-Time, ya que proporciona acceso con privilegios solo cuando sea

necesario, no antes.
 Sujeto a plazos mediante la asignación de fechas iniciales y finales que
indican cuándo un usuario puede acceder a los recursos.
 Basado en la aprobación, ya que requiere de una aprobación específica para
activar los privilegios.
 Visible, ya que envía notificaciones cuando se activan los roles con privilegios.
 Se puede auditar, ya que permite descargar un historial de acceso completo.
Privileged Identity Management es una característica de Azure AD Premium P2.
¿Por qué se utiliza PIM?

PIM reduce la posibilidad de que un actor malintencionado obtenga acceso, pues
reduce al mínimo el número de personas que tienen acceso a información o
recursos seguros. Al limitar el tiempo a los usuarios autorizados, se reduce el riesgo
de que un usuario autorizado afecte involuntariamente recursos confidenciales.
PIM también permite supervisar lo que hacen los usuarios con sus privilegios de
administrador.
En este vídeo, aprenderá qué es PIM y por qué podría usarlo:

En el vídeo se mostró cómo PIM reduce el riesgo de los privilegios elevados para
las organizaciones. También se explicaron las ventajas específicas del uso de las
características de PIM y cuándo las usaría una organización.
Siguiente unidad: Descripción de Azure AD Identity

Protection
Continuar
Descripción de Azure AD Identity

Protection
Completado100 XP
 3 minutos
Identity Protection es una herramienta que permite a las organizaciones realizar

tres tareas clave:
 Automatizar la detección y corrección de riesgos basados en la

identidad.
 Investigar los riesgos de usar los datos en el portal.
 Exportar los datos de detección de riesgos a utilidades de terceros para
su posterior análisis.
Microsoft analiza 6,5 billones de señales al día para identificar posibles amenazas.

Estas señales provienen de los aprendizajes que Microsoft ha adquirido de su
puesto en organizaciones con Azure AD, el espacio de consumidor con cuentas de
Microsoft y juegos con Xbox.
Las señales que generan estos servicios se cargan en Identity Protection. A

continuación, las herramientas como el acceso condicional pueden usar estas
señales para tomar decisiones sobre el acceso. Las señales también se cargan en las
herramientas de administración de eventos e información de seguridad (SIEM),
como Microsoft Sentinel, para investigación adicional.
Identity Protection clasifica el riesgo en tres niveles: bajo, medio y alto. También
puede calcular el riesgo de inicios de sesión y el riesgo de identidades del usuario.
Un riesgo de inicio de sesión representa la probabilidad de que el propietario de la
identidad no haya autorizado una solicitud de autenticación determinada. El riesgo
de inicio de sesión se puede calcular en tiempo real o sin conexión, usando
orígenes de inteligencia sobre amenazas internos y externos de Microsoft. A
continuación, se enumeran algunos de los riesgos de inicio de sesión que Identity
Protection de Azure AD puede identificar:
 Dirección IP anónima. Este tipo de detección de riesgo indica un inicio

de sesión desde una dirección IP anónima, por ejemplo, el explorador
Tor o redes VPN anónimas.
 Viajes atípicos. Este tipo de detección de riesgos identifica dos inicios
de sesión procedentes de ubicaciones geográficamente distantes,
donde al menos una de las ubicaciones puede también ser inusual
para el usuario, según su comportamiento anterior.
 Dirección IP vinculada a malware. Este tipo de detección de riesgos
indica inicios de sesión desde direcciones IP infectadas con malware,
que se sabe que se comunican activamente con un servidor bot.
 Propiedades de inicio de sesión desconocidas. Este tipo de detección
de riesgo tiene en cuenta el historial de inicio de sesión anterior para
determinar inicios de sesión anómalos. El sistema almacena
información sobre las ubicaciones anteriores que ha utilizado un
usuario y considera que estas ubicaciones "conocidas". La detección de
riesgos se desencadena cuando el inicio de sesión se produce desde
una ubicación que no está en la lista de ubicaciones conocidas.
 Difusión de contraseña. Esta detección de riesgo se desencadena
cuando se realiza un ataque de difusión de contraseñas.
 Inteligencia sobre amenazas de Azure AD. Este tipo de detección de
riesgo indica una actividad de inicio de sesión poco común para el
usuario en cuestión o que es coherente con patrones de ataque
conocidos basados en orígenes de inteligencia sobre amenazas
internas y externas de Microsoft.
Un riesgo de usuario representa la probabilidad de que una identidad o cuenta

determinada esté en peligro. Los riesgos se calculan sin conexión, usando orígenes
de inteligencia sobre amenazas internos y externos de Microsoft. A continuación,
se enumeran algunos de los riesgos de usuario que Identity Protection de
Azure AD puede identificar:
 Filtración de credenciales. Este tipo de detección de riesgo indica que

se han filtrado las credenciales válidas del usuario. Cuando los
cibercriminales llegan a poner en peligro las contraseñas válidas de
usuarios legítimos, es frecuente que las compartan. Normalmente lo
hacen publicándolas en la Web oscura, los sitios de pegado, o bien
mediante el intercambio o la venta de esas credenciales en el mercado
negro. Cuando el servicio de credenciales filtradas de Microsoft
adquiere las credenciales de usuario de la Web oscura, los sitios de
pegado u otros orígenes, se comparan con las credenciales válidas
actuales de los usuarios de Azure AD para encontrar coincidencias
válidas.
 Inteligencia sobre amenazas de Azure AD. Este tipo de detección de
riesgo indica una actividad de usuario poco común para el usuario en
cuestión o coherente con patrones de ataque conocidos basados en
orígenes de inteligencia sobre amenazas internas y externas de
Microsoft.
Identity Protection solo genera detecciones de riesgos cuando se usan las

credenciales correctas en la solicitud de autenticación. Si un usuario usa
credenciales incorrectas, no se marcará con Identity Protection, ya que no hay un
riesgo de que las credenciales se pongan en peligro a menos que un infiltrado use
las credenciales correctas. Luego, las detecciones de riesgos pueden desencadenar
acciones como solicitar que los usuarios proporcionen autenticación multifactor,
restablezcan su contraseña o bloqueen el acceso hasta que un administrador tome
medidas.
Identity Protection proporciona a las organizaciones tres informes que pueden usar
para investigar los riesgos de identidad en su entorno. Estos informes son sobre
los usuarios de riesgo, los inicios de sesión de riesgo y las detecciones de
riesgo. La investigación de eventos es clave para comprender e identificar los
puntos débiles de la estrategia de seguridad.
Después de completar una investigación, los administradores deberán tomar

medidas para corregir el riesgo o desbloquear usuarios. Las organizaciones
también pueden habilitar la corrección automática mediante las directivas de
riesgo. Microsoft recomienda terminar los eventos pronto, ya que el tiempo es
importante cuando se trabaja con riesgos.
Identity Protection es una característica de Azure AD Premium P2.

Introducción
Completado100 XP
 1 minuto
El perímetro de seguridad de red tradicional está cambiando a medida que más

empresas se mueven o bien a un entorno de nube híbrida, donde algunos recursos
se ubican localmente; y otros, en la nube; o bien a una solución de red totalmente
basada en la nube. La protección de los recursos y datos de su organización es
fundamental.
Las amenazas pueden provenir de cualquier dirección: por ejemplo, un ataque por
denegación de servicio a los servicios de su organización, o un pirata informático
que intente acceder a la red probando a penetrar en el firewall. Azure ofrece una
amplia gama de herramientas de seguridad configurables que se pueden
personalizar para proporcionarle la seguridad y el control para satisfacer las
necesidades de su organización.
En este módulo, explorará muchos servicios y características diferentes de Azure

que pueden ayudar a proteger sus redes y recursos, incluidos la protección contra
DDoS, Azure Firewall, los grupo de seguridad de red, etc. También conocerá las
distintas maneras en que se usa el cifrado para proteger los datos.
 Describir las funcionalidades de seguridad de Azure para proteger la

red.
 Describir cómo Azure puede proteger sus VM.
 Describir cómo el cifrado de Azure puede proteger sus datos.
Siguiente unidad: Descripción de la protección

contra DDoS de Azure
Descripción de la protección contra DDoS de Azure
Completado100 XP
4 minutos
Cualquier empresa, grande o pequeña, puede ser objeto de un grave ataque de red. La naturaleza
de estos ataques podría ser para mostrar una postura o simplemente porque el atacante se había
puesto un desafío.
Ataques de denegación de servicio distribuido
El objetivo de un ataque de denegación de servicio distribuido (DDoS) es sobrecargar los recursos

en las aplicaciones y servidores, lo que les deja sin responder o ralentiza a los usuarios auténticos.
Un ataque DDoS normalmente se dirige a cualquier dispositivo de acceso público al que se pueda
acceder a través de Internet.
Los tres tipos más frecuentes de ataque DDoS son:
Ataques volumétricos: Se tratan de ataques basados en volúmenes que inundan la red con tráfico
aparentemente legítimo, sobrepasando el ancho de banda disponible. El tráfico legítimo no logra
comunicarse. Estos tipos de ataques se miden en bits por segundo.
Ataques de protocolo: Los ataques de protocolo representan un destino inaccesible al agotar los
recursos del servidor con solicitudes de protocolo falsas que aprovechan los puntos débiles de los
protocolos de nivel 3 (red) y nivel 4 (transporte). Estos tipos de ataques se miden normalmente en
paquetes por segundo.
Ataques de nivel de recurso (aplicación) : estos ataques van dirigidos a paquetes de aplicaciones
web y su objetivo es interrumpir la transmisión de datos entre hosts.
¿Qué es Azure DDoS Protection?
El servicio Azure DDoS Protection está diseñado para ayudar a proteger sus aplicaciones y
servidores mediante el análisis del tráfico de red y el descarte de todo lo que parezca un ataque
DDoS.
En el diagrama anterior, Azure DDoS Protection identifica el intento de un atacante de sobrecargar

la red. Bloquea el tráfico del atacante, asegurándose de que no llegue a los recursos de Azure. El
tráfico legítimo de los clientes sigue llegando a Azure sin ninguna interrupción del servicio.
Azure DDoS Protection usa la escala y la elasticidad de la red global de Microsoft para incorporar
capacidad de mitigación de DDoS a cada región de Azure. Durante un ataque DDoS, Azure puede
escalar las necesidades informáticas para satisfacer la demanda. Para administra el consumo de la
nube, DDoS Protection se asegura de que la carga de red solo refleje el uso real de los clientes.
Azure DDoS Protection se incluye en dos niveles:
Básico: El nivel de servicio Básico está habilitado automáticamente para cada propiedad de Azure,
sin costo adicional, como parte de la plataforma Azure. La supervisión continua de tráfico y la
mitigación en tiempo real de ataques de nivel de red comunes ofrecen la misma defensa que usan
los servicios en línea de Microsoft. La red global de Azure se usa para distribuir y mitigar el tráfico
de ataques en las distintas regiones.
Estándar: Este nivel de servicio Estándar ofrece funcionalidades adicionales de mitigación

adaptadas específicamente a los recursos de Microsoft Azure Virtual Network. DDoS Protection
Estándar es fácil de habilitar y no requiere ningún cambio en la aplicación. Las directivas de
protección se ajustan mediante algoritmos dedicados de supervisión del tráfico y aprendizaje
automático. Las directivas se aplican a direcciones IP públicas asociadas a recursos implementados
en redes virtuales, como Azure Load Balancer y Application Gateway.
El servicio Estándar de DDoS Protection tiene un cargo mensual fijo que incluye protección para
100 recursos. La protección de recursos adicionales se cobra mensualmente por cada recurso.
Use Azure DDoS para proteger los dispositivos y las aplicaciones mediante el análisis del tráfico a
través de la red, y la adopción de acciones adecuadas relativas al tráfico sospechoso.
Siguiente unidad: Descripción de Azure Firewall
Descripción de Azure Firewall
Completado100 XP
2 minutos
Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege
los recursos de redes virtuales (VNet) de Azure frente a los atacantes. Puede implementar Azure
Firewall en cualquier red virtual, pero el mejor enfoque es usarlo en una red virtual centralizada.
Todas las demás redes virtuales y locales se enrutarán a través de ella. La ventaja de este modelo
es la capacidad de ejercer de forma centralizada el control del tráfico de red para todas las redes
virtuales en diferentes suscripciones.
Con Azure Firewall puede escalar el uso verticalmente para acoger los flujos de tráfico de red
cambiantes, por lo que no es necesario elaborar un presupuesto para los picos de tráfico. El tráfico
de red está sujeto a las reglas de firewall configuradas cuando se enruta al firewall, como la puerta
de enlace predeterminada de la subred.
Características clave de Azure Firewall
Azure Firewall incluye muchas características, incluidas, entre otras:
Alta disponibilidad y zonas de disponibilidad integradas: La alta disponibilidad está integrada, por
lo que no hay nada que configurar. Además, Azure Firewall se puede configurar para abarcar
varias zonas de disponibilidad y aumentar la disponibilidad.
Filtrado a nivel de aplicación y de red: Use la dirección IP, el puerto y el protocolo para admitir el
filtrado de nombres de dominio completo para el tráfico HTTP(s) saliente y los controles de filtrado
de red.
SNAT de salida y DNAT de entrada para comunicación con recursos de Internet: traduce la
dirección IP privada de los recursos de red a una dirección IP pública de Azure (traducción de
direcciones de red de origen, SNAT) para identificar y permitir el tráfico procedente de la red
virtual a destinos de Internet. Del mismo modo, el tráfico entrante de Internet a la dirección IP
pública del firewall se traduce (traducción de direcciones de red de destino o DNAT) y se filtra a las
direcciones IP privadas de los recursos de la red virtual.
Varias direcciones IP públicas: Estas direcciones se pueden asociar a Azure Firewall.
Inteligencia sobre amenazas: El filtrado basado en inteligencia sobre amenazas puede habilitarse
para que el firewall alerte y deniegue el tráfico desde y hacia los dominios y las direcciones IP
malintencionados conocidos.
Integración en Azure Monitor: Se integra en Azure Monitor para habilitar la recopilación, el análisis
y la acción en función de la telemetría de los registros de Azure Firewall.
Use Azure Firewall para ayudar a proteger los recursos de Azure que ha conectado a las redes
virtuales de Azure.
Siguiente unidad: Descripción de Web Application Firewall
Continuar
Descripción de Web Application

Firewall
Completado100 XP
 1 minuto
Las aplicaciones web son cada vez más el objetivo de ataques malintencionados
que aprovechan vulnerabilidades habitualmente conocidas. Evitar dichos ataques
en el código de la aplicación es todo un desafío. Puede requerir un mantenimiento
riguroso, revisión y supervisión.
El firewall de aplicaciones web (WAF) ofrece una protección centralizada de las

aplicaciones web contra las vulnerabilidades de seguridad más habituales. Un WAF
centralizado ayuda a simplificar la administración de la seguridad, mejora el tiempo
de respuesta ante una amenaza de seguridad y permite aplicar revisiones a una
vulnerabilidad conocida en un lugar, en lugar de proteger cada aplicación web
individual. Un WAF también proporciona a los administradores de la aplicación a
un mejor control de la protección contra amenazas e intrusiones.
Siguiente unidad: Descripción de la segmentación
de red en Azure
Descripción de la segmentación de red

en Azure
Completado100 XP
 2 minutos
La segmentación consiste en dividir algo en partes más pequeñas. Una

organización, por ejemplo, suele estar formada por grupos empresariales más
pequeños, como recursos humanos, ventas, atención al cliente, etc. En una oficina,
es habitual que cada grupo empresarial tenga su propio espacio de oficina,
mientras que los miembros del mismo grupo comparten una oficina. Esto permite
que los miembros de un mismo grupo empresarial colaboren, al tiempo que se
mantiene la separación de otros grupos para atender los requisitos de
confidencialidad de cada empresa.
El mismo concepto se aplica a las redes informáticas de las empresas. Estas son las
principales razones de la segmentación:
 La capacidad de agrupar recursos relacionados que forman parte de las

operaciones de la carga de trabajo (o que la hacen posible).
 Aislamiento de recursos.
 Directivas de gobernanza establecidas por la organización.
La segmentación de la red también es compatible con el modelo de Confianza cero

y con un enfoque de seguridad por capas que forma parte de una estrategia de
defensa en profundidad.
Asumir la vulneración es un principio del modelo de Confianza Cero, por lo que la

capacidad de contener a un atacante es vital para proteger los sistemas de
información. Cuando las cargas de trabajo (o partes de una carga de trabajo
determinada) se colocan en segmentos separados, se puede controlar el tráfico
desde y hacia esos segmentos para asegurar las vías de comunicación. Si un
segmento se ve comprometido, podrá contener mejor el impacto y evitar que se
extienda lateralmente por el resto de su red.
La segmentación de la red puede asegurar las interacciones entre los perímetros.

Este enfoque puede reforzar la postura de seguridad de una organización,
contener los riesgos en caso de infracción y evitar que los atacantes accedan a toda
la carga de trabajo.
Azure Virtual Network
Azure Virtual Network (VNet) es la pieza clave para la red privada de su

organización en Azure. VNet es similar a una red tradicional que funcionaría en su
propio centro de datos, pero aporta las ventajas adicionales de la infraestructura de
Azure, como la escala, la disponibilidad y el aislamiento.
Azure VNet permite a las organizaciones segmentar su red. Las organizaciones

pueden crear varias VNets por región y por suscripción, y se pueden crear varias
redes más pequeñas (subredes) dentro de cada VNet.
Las VNets proporcionan una contención a nivel de red de los recursos sin que se
permita el tráfico a través de las VNets o de entrada a la VNet, de forma
predeterminada. La comunicación tiene que ser aprovisionada de forma explícita.
Esto permite un mayor control sobre la forma en que los recursos de Azure en una
VNet se comunican con otros recursos de Azure, Internet y las redes locales.
Siguiente unidad: Descripción de los grupos de
seguridad de red de Azure
Descripción de los grupos de

seguridad de red de Azure
Completado100 XP
 6 minutos
Los grupos de seguridad de red (NSG) permiten filtrar el tráfico de red hacia y
desde los recursos de Azure en una red virtual de Azure; por ejemplo, una máquina
virtual. Un NSG consta de reglas que definen cómo se filtra el tráfico. Solo puede
asociar un grupo de seguridad de red a cada subred e interfaz de red de la red
virtual en una máquina virtual. Sin embargo, el mismo grupo de seguridad de red
se puede asociar a tantas subredes e interfaces de red distintas como elija.
En el diagrama muy simplificado que se muestra a continuación, puede ver una red
virtual de Azure con dos subredes que están conectadas a Internet, y cada subred
tiene una máquina virtual. La subred 1 tiene un NSG asignado que filtra el acceso
entrante y saliente a VM1, que necesita un mayor nivel de acceso. En cambio, VM2
podría representar una máquina de acceso público que no requiere un NSG.
Reglas de seguridad de entrada y salida

Un NSG se compone de reglas de seguridad de entrada y salida. Las reglas de
seguridad del NSG se evalúan por prioridad con cinco elementos de información:
origen, puerto de origen, destino, puerto de destino y protocolo, para permitir o
denegar el tráfico. De manera predeterminada, Azure crea una serie de reglas, tres
reglas de entrada y tres de salida, para proporcionar un nivel de línea de base de
seguridad. No puede quitar las reglas predeterminadas, pero puede invalidarlas si
crea otras con prioridades más altas.
Cada regla especifica una o varias de las siguientes propiedades:
 Nombre: Cada regla de NSG debe tener un nombre único que describa su
propósito. Por ejemplo, FiltroSoloAccesoAdmin.
 Prioridad: las reglas se procesan en orden de prioridad, donde los números
más bajos se procesan antes que los números más altos. Cuando el tráfico
coincide con una regla, el procesamiento se detiene. Esto significa que no se
procesarán otras reglas con una prioridad más baja (números mayores).
 Origen o destino: especifique una dirección IP individual o un intervalo de
direcciones IP, una etiqueta de servicio (un grupo de prefijos de dirección IP
de un servicio de Azure determinado) o un grupo de seguridad de
aplicaciones. La especificación de un intervalo, una etiqueta de servicio o
grupo de seguridad de aplicaciones le permite crear menos reglas de
seguridad.
 Protocolo: Qué protocolo de red comprobará la regla. El protocolo puede ser
cualquiera de los siguientes: TCP, UDP, ICMP o Any.
 Dirección: Indica si la regla debe aplicarse al tráfico entrante o saliente.
 Intervalo de puertos: Puede especificar un puerto individual o un intervalo
de puertos. La especificación de intervalos permite ser más eficaz al crear
reglas de seguridad.
 Acción: Por último, debe decidir qué ocurrirá cuando se desencadene esta
regla.
Por ejemplo, en la tabla siguiente se muestran las reglas de entrada

predeterminadas, que se incluyen en todos los grupos de seguridad de red. En este
ejemplo, suponga que no se ha definido ninguna otra regla de entrada para este
grupo de seguridad de red.
Nombre Prioridad Source Puertos de origen Destination
AllowVNetInBound 65000 VirtualNetwork 0-65535 VirtualNetwork
AllowAzureLoadBalancerInBound 65001 AzureLoadBalancer 0-65535 0.0.0.0/0
DenyAllInBound 65500 0.0.0.0/0 0-65535 0.0.0.0/0
 La regla AllowVNetInBound se procesa primero, ya que tiene el valor

de prioridad más bajo. Recuerde que las reglas con el valor de
prioridad más bajo se procesan primero. Esta regla permite el tráfico
desde cualquier Virtual Network (según lo definido por la etiqueta de
servicio VirtualNework) de cualquier puerto a cualquier Virtual Network
de cualquier puerto, mediante cualquier protocolo. Si se encuentra una
coincidencia para esta regla, no se procesarán otras reglas. Si no se
encuentra ninguna coincidencia, se procesa la siguiente regla.
 La regla AllowAzureLoadBalancerInBound se procesa en segundo

lugar, ya que su valor de prioridad es mayor que la regla
AllowVNetInBound. Esta regla permite el tráfico desde cualquier Azure
Load Balancer (según lo definido por la etiqueta de servicio
AzureLoadBalancer) de cualquier puerto a cualquier dirección IP de
cualquier puerto, mediante cualquier protocolo. Si se encuentra una
coincidencia para esta regla, no se procesarán otras reglas. Si no se
encuentra ninguna coincidencia, se procesa la siguiente regla.
 La última regla de este grupo de seguridad de red es la regla

DenyAllInBound. Esta regla deniega todo el tráfico desde cualquier
dirección IP de origen en cualquier puerto a cualquier otra dirección IP
en cualquier puerto, mediante cualquier protocolo.
En resumen, cualquier subred de red virtual o tarjeta de interfaz de red a la que se

asigne este grupo de seguridad de red solo permitirá el tráfico entrante desde una
instancia de Azure Virtual Network o de Azure Load Balancer. Se deniega todo el
tráfico de red de entrada restante. Aunque no se muestra en este ejemplo, también
hay tres reglas de salida predeterminadas que se incluyen en todos los grupos de
seguridad de red. No puede quitar las reglas predeterminadas, pero puede
reemplazarlas si crea otras con prioridades más altas (valores de prioridad más
bajos).
¿Cuál es la diferencia entre los grupos de seguridad de red (NSG) y Azure Firewall?
Ahora que ha obtenido información sobre los grupos de seguridad de red y Azure
Firewall, es posible que se pregunte en qué difieren, ya que ambos protegen los
recursos de red virtual. El servicio Azure Firewall complementa la funcionalidad de
grupo de seguridad de red. Juntos proporcionan una mejor seguridad de red de
"defensa en profundidad". Los grupos de seguridad de red proporcionan filtrado
de tráfico distribuido de nivel de red para limitar el tráfico a los recursos dentro de
las redes virtuales de cada suscripción. Azure Firewall es un firewall de red como
servicio con estado y centralizado, que proporciona protección de nivel de red y de
aplicación entre las diferentes suscripciones y redes virtuales.
Siguiente unidad: Descripción del acceso JIT y Azure
Bastion
Introducción
Completado100 XP
 1 minuto
A medida que más empresas mueven sus distintos recursos a la nube, mantener su
seguridad es una consideración principal para todos los Departamentos de TI y
Seguridad. La ciberdelincuencia es un negocio de varios miles de millones de
dólares. No proteger su organización puede resultar costoso debido a la pérdida
de datos y de reputación.
Microsoft Azure ofrece un conjunto de sistemas de detección y protección contra

amenazas para minimizar y mitigar las amenazas en todo su espacio y mejorar la
posición general de seguridad en la nube.
En este módulo, obtendrá información sobre la administración de la posición de

seguridad en la nube (CSPM), explorará las funcionalidades de Microsoft Defender
for Cloud, incluida la puntuación segura. También conocerá las funcionalidades de
seguridad mejoradas de Microsoft Defender for Cloud. Por último, obtendrá
información sobre Azure Security Benchmark y la línea de base de seguridad en
Azure.
 Describa la administración de la posición de seguridad en la nube.

 Descripción de las funcionalidades de Microsoft Defender for Cloud
 Entender Azure Security Benchmark y las líneas de base de seguridad de
Azure.
Siguiente unidad: Descripción de la administración

de la posición de seguridad en la nube
Continuar
Descripción de la administración de la
posición de seguridad en la nube
Completado100 XP
 2 minutos
Los sistemas basados en la nube evolucionan y cambian continuamente a medida

que las empresas se mueven de un entorno local a la nube. Este cambio hace difícil
para cualquier Departamento de TI saber si sus datos o recursos gozan de la
protección total de la que solían gozar. Incluso un pequeño error de configuración
de una nueva característica puede aumentar la superficie de ataque disponible para
que los delincuentes la aprovechen.
La administración de la posición de seguridad en la nube (CSPM) es una clase

relativamente nueva de herramientas diseñadas para mejorar la administración de
la seguridad en la nube. Evalúa los sistemas y alerta automáticamente al personal
de seguridad de su Departamento de TI cuando se detecta una vulnerabilidad.
CSPM usa herramientas y servicios en el entorno de nube para supervisar y
priorizar las mejoras y características de seguridad.
CSPM usa una combinación de herramientas y servicios:
 Control de acceso basado en la confianza cero: Considera el nivel de

amenaza activo durante las decisiones de control de acceso.
 Puntuación del riesgo en tiempo real: Proporciona visibilidad sobre los
principales riesgos.
 Administración de amenazas y vulnerabilidades (TVM): Establece una vista
holística de la superficie y el riesgo de ataque de la organización, y la integra
en las operaciones y la toma de decisiones de ingeniería.
 Detección de riesgos: para comprender la exposición de los datos de la
propiedad intelectual de la empresa en servicios en la nube autorizados y no
autorizados.
 Directiva técnica: Permite aplicar barreras para auditar y exigir los
estándares y directivas de la organización a los sistemas técnicos.
 Arquitecturas y sistemas de modelado de amenazas: Se usan junto con
otras aplicaciones específicas.
El objetivo principal de un equipo de seguridad en la nube que trabaja en la

administración de la posición es informar continuamente sobre la posición de
seguridad de la organización y mejorar dicha posición, centrándose en interrumpir
la rentabilidad de la inversión (ROI) de un posible atacante.
La función de CSPM en su organización se puede diseminar por varios equipos o
puede tener un equipo dedicado. CSPM puede ser útil para muchos equipos de su
organización:
 Equipo información sobre amenazas

 Tecnología de la información
 Equipos de administración de riesgos y cumplimiento
 Líderes empresariales y expertos en la materia
 Arquitectura y operaciones de seguridad
 Equipo de auditoría
Use CSPM para mejorar la administración de la seguridad en la nube mediante la

evaluación del entorno y el envío automático de alertas al personal de seguridad
en caso de presentarse vulnerabilidades.
Siguiente unidad: Descripción de

Microsoft Defender for Cloud
Continuar
Descripción de Microsoft Defender for

Cloud
Completado100 XP
 6 minutos
Microsoft Defender for Cloud es una herramienta para la administración de la

posición de seguridad y la protección contra amenazas. Esta refuerza la posición de
seguridad de los recursos en la nube y, gracias a los planes integrados de
Microsoft Defender, Defender for Cloud protege las cargas de trabajo híbridas que
se ejecutan en Azure y otras plataformas en la nube.
Microsoft Defender for Cloud rellena tres necesidades vitales a medida que
administra la seguridad de los recursos y las cargas de trabajo en la nube y en el
entorno local:
 Evaluación continua: conozca su posición de seguridad, identifique y realice

un seguimiento de las vulnerabilidades.
 Seguridad: proteja todos los recursos y servicios conectados.
 Defender: detecte y resuelva las amenazas a recursos, cargas de trabajo y
servicios.
Las características de Microsoft Defender for Cloud, que cumplen estos requisitos,
cubren dos grandes pilares de la seguridad en la nube: administración de la
posición de seguridad en la nube y protección de cargas de trabajo en la nube.
Administración de la posición de seguridad en la nube (CSPM)
En Microsoft Defender for Cloud, las características de administración de posición

proporcionan:
 Visibilidad: para ayudarle a entender su situación de seguridad actual.

 Guía de protección: para ayudarle a mejorar la seguridad de forma eficaz.
Recomendaciones de protección y visibilidad
La característica central de Microsoft Defender for Cloud que le permite lograr esos
objetivos es la puntuación segura. Microsoft Defender for Cloud evalúa
continuamente los recursos, las suscripciones y la organización en busca de
problemas de seguridad. A continuación, agrega todos los resultados a una sola
puntuación para que pueda conocer de un vistazo la situación de la seguridad
actual: cuanto mayor sea la puntuación, menor será el nivel de riesgo identificado.
Microsoft Defender for Cloud también proporciona recomendaciones de

protección basadas en los errores de configuración y los puntos débiles de
seguridad identificados. Las recomendaciones se agrupan en controles de
seguridad. Cada control es un grupo lógico de recomendaciones de seguridad
relacionadas y refleja las superficies de ataque vulnerables. La puntuación solo
mejora cuando corrige todas las recomendaciones para un solo recurso de un
control. Use estas recomendaciones de seguridad para reforzar la posición de
seguridad de los recursos híbridos y de varias nubes de Azure de su organización.
En el procedimiento interactivo siguiente se muestra cómo puede usar las
recomendaciones de puntuación segura y protección en Microsoft Defender for
Cloud.  Seleccione la imagen siguiente para empezar y siga las indicaciones que
aparecen en pantalla.
Protección de cargas de trabajo en la nube (CWP)
El segundo pilar de la seguridad en la nube es la protección de cargas de trabajo

en la nube. A través de las funcionalidades de protección de cargas de trabajo en la
nube, Microsoft Defender for Cloud puede detectar y resolver amenazas a recursos,
cargas de trabajo y servicios. Las protecciones de las cargas de trabajo en la nube
se entregan mediante planes integrados de Microsoft Defender, específicos de los
tipos de recursos de las suscripciones y proporcionan características de seguridad
mejorada para las cargas de trabajo. Se describen en la unidad siguiente.
Siguiente unidad: Descripción de la seguridad

mejorada de Microsoft Defender for Cloud
Descripción de la seguridad mejorada

de Microsoft Defender for Cloud
Completado100 XP
 5 minutos
Microsoft Defender for Cloud se ofrece en dos modos:

 Microsoft Defender for Cloud (gratis): Microsoft Defender for Cloud
está habilitado de forma gratuita en todas las suscripciones de Azure.
Mediante modo gratuito tendrá la puntuación segura y sus
características relacionadas: la directiva de seguridad, la evaluación de
seguridad continua y las recomendaciones de seguridad prácticas para
que pueda proteger los recursos de Azure.
 Microsoft Defender for Cloud con características de seguridad

mejorada: la habilitación de la seguridad mejorada amplía las
funcionalidades del modo gratuito a las cargas de trabajo que se
ejecutan en nubes de Azure, híbridas y otras plataformas de nube, lo
que proporciona una administración de seguridad unificada y
protección contra amenazas en todas las cargas de trabajo. Las
protecciones de las cargas de trabajo en la nube se entregan mediante
planes integrados de Microsoft Defender, específicos de los tipos de
recursos de las suscripciones y proporcionan características de
seguridad mejorada para las cargas de trabajo.
Planes de Defender
Microsoft Defender for Cloud incluye una gama de protecciones avanzadas e

inteligentes para las cargas de trabajo. Las protecciones de cargas de trabajo se
proporcionan a través de planes de Microsoft Defender específicos de los tipos de
recursos de las suscripciones. Estos son los planes de Microsoft Defender for Cloud
que puede seleccionar:
 Microsoft Defender para servidores agrega la detección de amenazas y

defensas avanzadas para las máquinas Windows y Linux.
 Microsoft Defender para App Service identifica ataques dirigidos a
aplicaciones que se ejecutan mediante App Service.
 Microsoft Defender para Storage detecta actividad potencialmente dañina
en las cuentas de Azure Storage.
 Microsoft Defender para SQL protege las bases de datos y sus datos
dondequiera que se encuentran.
 Microsoft Defender para Kubernetes proporciona protección del entorno
de seguridad de Kubernetes nativa de nube, protección de cargas de trabajo
y protección en tiempo de ejecución.
 Microsoft Defender para registros de contenedor protege todos los
registros basados en Azure Resource Manager de su suscripción.
 Microsoft Defender para Key Vault es una protección contra amenazas
avanzada para Azure Key Vault.
 Microsoft Defender para Resource Manager supervisa automáticamente
las operaciones de administración de recursos en la organización.
 Microsoft Defender para DNS proporciona una capa adicional de
protección para los recursos que usan la funcionalidad de resolución de
nombres proporcionada por Azure de Azure DNS.
 Microsoft Defender para las protecciones relacionales de código
abierto ofrece protección contra amenazas para bases de datos relacionales
de código abierto.
Estos planes diferentes se pueden habilitar por separado y se ejecutarán

simultáneamente para proporcionar una defensa completa para procesos, datos y
capas de servicio de su entorno.
Características de seguridad mejoradas
Los planes de Microsoft Defender específicos de los tipos de recursos de las

suscripciones proporcionan características de seguridad mejorada para las cargas
de trabajo. A continuación se enumeran algunas de las características de seguridad
mejorada.
 Detección y respuesta de puntos de conexión completa:

Microsoft Defender para servidores incluye Microsoft Defender para
punto de conexión para una detección y respuesta de puntos de
conexión (EDR) completa.
 Examen de vulnerabilidades para máquinas virtuales, registros de

contenedor y recursos SQL: implemente fácilmente un analizador en
todas las máquinas virtuales. Vea, investigue y corrija los resultados
directamente en Microsoft Defender for Cloud.
 Seguridad en varias nubes: conecte las cuentas de Amazon Web

Services (AWS) y Google Cloud Platform (GCP) para proteger los
recursos y cargas de trabajo de esas plataformas con una variedad de
características de seguridad de Microsoft Defender for Cloud.
 Seguridad híbrida: Obtenga una vista unificada de la seguridad de

todas sus cargas de trabajo locales y en la nube. Aplique directivas de
seguridad y evalúe constantemente la seguridad de las cargas de
trabajo de nube híbrida para garantizar el cumplimiento normativo con
los estándares de seguridad. Recopile, busque y analice datos de
seguridad de varios orígenes, incluidos firewalls y otras soluciones de
partners.
 Alertas de protección contra amenazas: supervise las redes, las

máquinas y los servicios en la nube para detectar ataques entrantes y
actividad posterior a una infracción de seguridad. Optimice la
investigación con herramientas interactivas e inteligencia de amenazas
contextual.
 Seguimiento del cumplimiento de una serie de estándares: Microsoft

Defender for Cloud evalúa continuamente el entorno de nube híbrida
para analizar los factores de riesgo de acuerdo con los controles y
procedimientos recomendados de Azure Security Benchmark. Al
habilitar las características de seguridad mejoradas, puede aplicar una
variedad de otros estándares del sector, estándares normativos y
puntos de referencia según las necesidades de la organización.
Agregue estándares y realice un seguimiento del cumplimiento con
ellos desde el panel de cumplimiento normativo.
 Controles de acceso y aplicación: bloquee el malware y otras

aplicaciones no deseadas aplicando recomendaciones basadas en el
aprendizaje automático adaptadas a sus cargas de trabajo específicas
para crear listas de bloqueos y permisos. Reduzca la superficie de la
red que está expuesta a ataques mediante un acceso Just-In-Time
controlado a los puertos de administración de las VM de Azure. Los
controles de acceso y aplicación reducen drásticamente la exposición a
ataques por fuerza bruta y a otros ataques de la red.
Entre las ventajas adicionales se incluye la protección contra amenazas para los
recursos conectados al entorno de Azure y a las características de seguridad de
contenedores, entre otras. Algunas características pueden estar asociadas a planes
de Defender específicos para cargas de trabajo concretas.
Siguiente unidad: Descripción de Azure Security

Benchmark y las líneas de base de seguridad para
Azure
Continuar
Descripción de Azure Security
Benchmark y las líneas de base de
seguridad para Azure
Completado100 XP
 5 minutos
Diariamente se publican nuevos servicios y características en Azure; los

desarrolladores publican rápidamente nuevas aplicaciones en la nube basadas en
estos servicios y los atacantes buscan siempre nuevas formas de aprovechar los
recursos configurados incorrectamente.
Azure Security Benchmark (ASB) y las líneas de base de seguridad de Azure, que

están estrechamente relacionadas, ayudan a las organizaciones a proteger sus
soluciones en la nube en Azure.
Azure Security Benchmark
Microsoft ha descubierto que el uso de puntos de referencia de seguridad puede

ayudar a las organizaciones a proteger rápidamente sus implementaciones en la
nube y reducir el riesgo.
La prueba comparativa de seguridad de Azure (ASB) proporciona recomendaciones

y procedimientos recomendados para ayudar a mejorar la seguridad de las cargas
de trabajo, los datos y los servicios de Azure. La mejor manera de entender
Azure Security Benchmark consiste en verlo en GitHub Azure Security Benchmark
V3. Alerta de spoiler, es una hoja de cálculo de Excel. Algunos de los elementos
clave de información de ASB V3 son los siguientes:
 Identificador de ASB: cada elemento de línea de ASB tiene un identificador

que se asigna a una recomendación específica.
 Dominio de control: los dominios de control de ASB incluyen seguridad de
red, protección de datos, administración de identidades, acceso con
privilegios, respuesta a incidentes, seguridad de punto de conexión, por
nombrar solo algunos. El dominio de control se describe mejor como una
característica o actividad general que no es específica de una tecnología o
implementación.
 Asignación a marcos del sector: las recomendaciones incluidas en ASB se
asignan a marcos del sector existentes, como el Centro de Seguridad de
Internet (CIS), el Instituto Nacional de Estándares y Tecnología (NIST), y los
marcos de estándares de seguridad de datos del sector de tarjetas de pago
(PCI DSS). Esto facilita la seguridad y el cumplimiento para las aplicaciones
cliente que se ejecutan en servicios de Azure.
 Recomendación: para cada área de dominio de control puede haber muchas
recomendaciones distintas. Cada recomendación captura una funcionalidad
específica asociada al área de dominio de control y es un control por si
misma. Por ejemplo, el dominio de control "Seguridad de red" de ASB v3
tiene 10 recomendaciones distintas identificadas como NS-1 a NS-10. Cada
una de estas recomendaciones describe un control específico bajo la
seguridad de red.
 Principio de seguridad: cada recomendación enumera un "principio de
seguridad" que explica el "por qué" del control en el nivel independiente de
la tecnología
 Guía de Azure: la guía de Azure se centra en el "cómo", y detalla las
características técnicas pertinentes y las formas de implementar los controles
en Azure.
Otros fragmentos de información de ASB incluyen vínculos a información sobre la

implementación y sobre las partes interesadas de la seguridad e instrucciones
sobre la asignación a Azure Policy. No se muestran en la imagen siguiente. La
imagen siguiente es un extracto de Azure Security Benchmark (ASB v3) y se
muestra como un ejemplo del tipo de contenido que se incluye en ASB v3. La
imagen no está pensada para mostrar el texto completo de ninguno de los
elementos de línea.
Microsoft Defender for Cloud evalúa continuamente el entorno de nube híbrida de

una organización para analizar los factores de riesgo de acuerdo con los controles
y procedimientos recomendados de Azure Security Benchmark. Algunos de los
controles usados en ASB incluyen seguridad de red, control de identidad y acceso,
protección de datos, recuperación de datos, respuesta a incidentes, etc.
Bases de referencia de seguridad para Azure
Las líneas de base de seguridad para Azure aplican instrucciones de Azure Security

Benchmark al servicio específico para el que se define. Por ejemplo, la línea de base
de seguridad para Azure Active Directory aplica instrucciones de la versión 2.0 de
Azure Security Benchmark a Azure Active Directory.
Las líneas de base de seguridad de Azure ayudan a las organizaciones a reforzar la

seguridad gracias mediante herramientas, seguimiento y características de
seguridad mejorados. También les proporcionan una experiencia coherente a la
hora de proteger su entorno. El contenido de la línea de base de seguridad se
agrupa por los dominios de control definidos por Azure Security Benchmark y que
son aplicables al servicio.
Cada línea base de seguridad de Azure incluye la siguiente información:
 Identificador de Azure: El identificador de la prueba comparativa de

seguridad de Azure que corresponde a la recomendación.
 Control de Azure: el contenido se agrupa por área de dominio de control,
como se muestra en Azure Security Benchmark, y se aplica al servicio para el
que se define la línea de base de seguridad.
 Recomendación de puntos de referencia: esto se asigna a la
recomendación para el identificador de ASB asociado (o el identificador de
Azure). Cada recomendación describe un control individual en un dominio de
control.
 Guía del cliente: la lógica de la recomendación y vínculos a instrucciones
sobre cómo implementarla.
 Responsabilidad: ¿Quién es el responsable de implementar el control? Las
posibles respuestas son: responsabilidad del cliente, responsabilidad de
Microsoft o responsabilidad compartida.
 Supervisión de Microsoft Defender for Cloud: ¿Microsoft Defender for
Cloud supervisa el control?
La imagen siguiente es un extracto de la línea de base de Azure AD y se muestra

como un ejemplo del tipo de contenido que se incluye en la línea de base. La
imagen no está pensada para mostrar el texto completo de ninguno de los
elementos de línea.
Consulte la documentación de Azure Security Benchmark para obtener una lista

completa de las líneas base disponibles.
Definición de los conceptos de SIEM y

SOAR
Completado100 XP
 1 minuto
La protección del patrimonio digital, los recursos, los activos y los datos de una
organización ante las infracciones y los ataques a la seguridad es un reto continuo
y creciente. En el mundo empresarial hay multitud de trabajadores remotos, lo que
crea vulnerabilidades de seguridad que los cibercriminales pueden aprovechar.
Contar con un conjunto de herramientas resistentes y eficaces estándar del sector

puede ayudar a mitigar y evitar estos ataques. La administración de eventos e
información de seguridad (SIEM) y la respuesta automatizada de orquestación de
seguridad (SOAR) proporcionan conclusiones y automatización de seguridad que
pueden mejorar la visibilidad de las amenazas y la respuesta a ellas en una
organización.
¿Qué es la Administración de eventos e información de seguridad (SIEM)?
Un sistema SIEM es una herramienta que una organización utiliza para recopilar
datos de todo el patrimonio, incluida la infraestructura, el software y los recursos.
Realiza análisis, busca correlaciones o anomalías y genera alertas e incidencias.
¿Qué es la respuesta automatizada de orquestación de seguridad (SOAR)?
Un sistema SOAR recibe alertas de muchos orígenes, como un sistema SIEM. El

sistema SOAR desencadena entonces flujos de trabajo y procesos automatizados
basados en acciones para ejecutar tareas de seguridad que mitiguen el problema.
A fin de proporcionar un enfoque completo para la seguridad, una organización

debe usar una solución que adopte o combine las funcionalidades SIEM y SOAR.
Siguiente unidad: Descripción de cómo

Microsoft Sentinel proporciona administración
contra amenazas integrada
Definición de los conceptos de SIEM y

SOAR
Completado100 XP
 1 minuto
La protección del patrimonio digital, los recursos, los activos y los datos de una
organización ante las infracciones y los ataques a la seguridad es un reto continuo
y creciente. En el mundo empresarial hay multitud de trabajadores remotos, lo que
crea vulnerabilidades de seguridad que los cibercriminales pueden aprovechar.
Contar con un conjunto de herramientas resistentes y eficaces estándar del sector

puede ayudar a mitigar y evitar estos ataques. La administración de eventos e
información de seguridad (SIEM) y la respuesta automatizada de orquestación de
seguridad (SOAR) proporcionan conclusiones y automatización de seguridad que
pueden mejorar la visibilidad de las amenazas y la respuesta a ellas en una
organización.
¿Qué es la Administración de eventos e información de seguridad (SIEM)?
Un sistema SIEM es una herramienta que una organización utiliza para recopilar
datos de todo el patrimonio, incluida la infraestructura, el software y los recursos.
Realiza análisis, busca correlaciones o anomalías y genera alertas e incidencias.
¿Qué es la respuesta automatizada de orquestación de seguridad (SOAR)?
Un sistema SOAR recibe alertas de muchos orígenes, como un sistema SIEM. El

sistema SOAR desencadena entonces flujos de trabajo y procesos automatizados
basados en acciones para ejecutar tareas de seguridad que mitiguen el problema.
A fin de proporcionar un enfoque completo para la seguridad, una organización

debe usar una solución que adopte o combine las funcionalidades SIEM y SOAR.
Siguiente unidad: Descripción de cómo

Microsoft Sentinel proporciona administración
contra amenazas integrada
Descripción de cómo
Microsoft Sentinel proporciona
administración contra amenazas
integrada
Completado100 XP
 13 minutos
La administración efectiva del perímetro de seguridad de red de una organización
requiere la combinación adecuada de herramientas y sistemas. Microsoft Sentinel
es una solución SIEM/SOAR escalable y nativa de la nube que ofrece análisis de
seguridad inteligentes e inteligencia sobre amenazas en toda la empresa.
Proporciona una única solución para la detección de alertas, la visibilidad de las
amenazas, la búsqueda proactiva y la respuesta a las amenazas.
En este diagrama se muestra la funcionalidad de un extremo a otro de

Microsoft Sentinel.
 Recopile datos a escala de nube de todos los usuarios, dispositivos,

aplicaciones y de toda la infraestructura, tanto en el entorno local como en
diversas nubes.
 Detecte amenazas que antes no se abarcaban y reduzca los falsos positivos
mediante un análisis y una inteligencia de amenazas sin precedentes.
 Investigue amenazas con inteligencia artificial (IA) y busque actividades
sospechosas a gran escala, aprovechando el trabajo de ciberseguridad que ha
realizado Microsoft durante décadas.
 Responda a los incidentes con rapidez con la orquestación y la
automatización de tareas comunes de seguridad integradas.
Microsoft Sentinel ayuda a habilitar las operaciones de seguridad de un extremo a

otro, en un centro de operaciones de seguridad (SOC) moderno. A continuación se
enumeran algunas de las características clave de Microsoft Sentinel.
Conexión de Sentinel con los datos
Para incorporar Microsoft Sentinel, primero debe conectarse a los orígenes de

seguridad. Microsoft Sentinel incluye varios conectores para soluciones de
Microsoft, que están disponibles inmediatamente y proporcionan integración en
tiempo real. Se incluyen soluciones de Microsoft 365 Defender y orígenes de
Microsoft 365, como Office 365, Azure AD y muchos más. Además, hay conectores
integrados al amplio ecosistema de seguridad para soluciones que no son de
Microsoft. También puede conectar los orígenes de datos mediante conectores de
datos creados por la comunidad enumerados en el repositorio de
Microsoft Sentinel en GitHub, o bien mediante los procedimientos de
implementación genéricos para conectar el origen de datos a Microsoft Sentinel.
Los vínculos a la información se incluyen en la sección Más información de la
unidad de resumen y recursos.
Workbooks
Después de conectar los orígenes de datos a Microsoft Sentinel, puede supervisar

los datos mediante la integración de Microsoft Sentinel con los libros de Azure
Monitor. Verá un lienzo para el análisis de datos y la creación de informes visuales
completos en Azure Portal. Mediante esta integración, Microsoft Sentinel le
permite crear libros personalizados de todos los datos. También incluye plantillas
de libro integradas que permiten obtener información rápidamente en los datos en
cuanto se conecta con un origen de datos.
Análisis
Microsoft Sentinel usa el análisis para poner en correlación las alertas con los
incidentes. Los incidentes son grupos de alertas relacionadas que, juntas, crean una
posible amenaza procesable que se puede investigar y resolver. Con el análisis en
Microsoft Sentinel, puede utilizar las reglas de correlación integradas tal y como
están, o bien usarlas como punto de partida para crear otras propias. Microsoft
Azure Sentinel también proporciona reglas de aprendizaje automático para asignar
el comportamiento de red y buscar luego anomalías en los recursos. Estos análisis
conectan los puntos, al combinar alertas de baja fidelidad sobre distintas entidades
en posibles incidentes de seguridad de alta fidelidad.
Administración de incidentes en Microsoft Sentinel
La administración de incidentes permite administrar el ciclo de vida del incidente.

Vea todas las alertas relacionadas que se agregan a un incidente. También puede
evaluar las prioridades e investigar. Revise todas las entidades relacionadas del
incidente y la información contextual adicional significativa para el proceso de
evaluación de prioridades. Investigue las alertas y las entidades relacionadas para
comprender el ámbito de la infracción. Desencadene cuadernos de estrategias en
las alertas agrupadas en el incidente para resolver la amenaza detectada por la
alerta. También puede realizar tareas de administración de incidentes estándar
como cambiar el estado o asignar incidentes a individuos para su investigación.
Automatización y orquestación de seguridad
Puede usar Microsoft Sentinel para automatizar algunas de las operaciones de

seguridad y hacer que el centro de operaciones de seguridad (SOC) sea más
productivo. Microsoft Sentinel se integra con Azure Logic Apps, lo que permite
crear flujos de trabajo automatizados, o cuadernos de estrategias, en respuesta a
eventos. Un cuaderno de estrategias de seguridad es una colección de
procedimientos que pueden ayudar a los ingenieros y analistas de SOC de todos
los niveles a automatizar y simplificar las tareas y organizar una respuesta. Los
cuadernos de estrategias son más adecuados para tareas únicas y repetibles, y no
requieren ningún conocimiento de codificación.
Investigación
Las herramientas de investigación profunda de Microsoft Sentinel están

actualmente en versión preliminar y le ayudan a conocer el ámbito de una posible
amenaza de seguridad y a encontrar la causa principal. Elija una entidad en el
gráfico interactivo para realizar preguntas concretas y, a continuación, explore en
profundidad esa entidad y sus conexiones para llegar a la causa principal de la
amenaza.
Búsqueda
Use las eficaces herramientas de búsqueda y consulta de Microsoft Sentinel,

basadas en el marco MITRE (una base de datos global de tácticas y técnicas de
adversarios), para buscar de forma proactiva amenazas de seguridad en todos los
orígenes de datos de la organización, antes de que se desencadene una alerta. Una
vez que ha descubierto qué consulta de búsqueda proporciona las conclusiones
más valiosas sobre posibles ataques, también puede crear reglas de detección
personalizadas basadas en la consulta y exponer esas conclusiones como alertas
para los respondedores a los incidentes de seguridad.
Durante la búsqueda, puede crear marcadores de los eventos interesantes. El

marcado de los eventos permite volver a ellos más tarde, compartirlos con otros
usuarios y agruparlos con otros eventos correlacionados para crear un incidente de
investigación convincente.
Cuaderno
Microsoft Sentinel admite cuadernos de Jupyter. Jupyter Notebook es una

aplicación web de código abierto que le permite crear y compartir documentos
que contienen código, ecuaciones, visualizaciones y texto narrativo dinámicos.
Puede usar cuadernos de Jupyter en Microsoft Sentinel para ampliar el ámbito de
lo que puede hacer con los datos de Microsoft Sentinel. Por ejemplo, realizar
análisis que no están integrados en Microsoft Azure Sentinel, como algunas
características de aprendizaje automático de Python, crear visualizaciones de datos
que no están integradas en Microsoft Azure Sentinel, como escalas de tiempo
personalizadas y árboles de proceso, o integrar orígenes de datos fuera de
Microsoft Azure Sentinel, como un conjunto de datos local.
Comunidad
La comunidad Microsoft Azure Sentinel es un recurso muy eficaz para la detección

y la automatización de amenazas. Los analistas de seguridad de Microsoft crean y
agregan constantemente nuevos libros, cuadernos de estrategias, consultas de
búsqueda, etc., y los publican en la comunidad para que los pueda usar en el
entorno. Puede descargar contenido de ejemplo del repositorio de GitHub privado
de la comunidad para crear libros personalizados, consultas de búsqueda,
cuadernos y cuadernos de estrategias Microsoft Azure Sentinel.
Presentación en vídeo de Microsoft Sentinel
En este vídeo, explorará algunas de las características clave disponibles en

Microsoft Sentinel.
Siguiente unidad: Descripción de los costos de

Sentinel
Describir los servicios de Microsoft 365

Defender
Completado100 XP
 6 minutos
Microsoft 365 Defender es un conjunto de Enterprise Defense que protege frente a

sofisticados ciberataques. Con Microsoft 365 Defender, puede coordinar de forma
nativa la detección, prevención, investigación y respuesta a las amenazas en puntos
de conexión, identidades, correo electrónico y aplicaciones.
Este vídeo breve de tres minutos proporciona una introducción esencial de

Microsoft 365 Defender.
Microsoft 365 Defender permite a los administradores evaluar las señales de

amenazas de puntos de conexión, identidades, correo electrónico y aplicaciones
para determinar el ámbito y el impacto de un ataque. Proporciona información más
detallada sobre cómo se produjo la amenaza y qué sistemas se han visto afectados.
Microsoft 365 Defender puede realizar una acción automatizada para evitar o
detener el ataque.
El conjunto de Microsoft 365 Defender protege:
 Identidades con Microsoft Defender for Identity y Azure AD Identity

Protection: Microsoft Defender for Identity usa señales Active Directory para
identificar, detectar e investigar amenazas avanzadas, identidades en peligro
y acciones de Insider malintencionadas dirigidas a su organización.
 Puntos de conexión con Microsoft Defender para punto de conexión:
Microsoft Defender para punto de conexión es una plataforma de punto de
conexión unificada para protección preventiva, detección posterior a la
infracción, investigación automatizada y respuesta.
 Aplicaciones con Microsoft Defender for Cloud Apps: Microsoft Defender
for Cloud Apps es una solución integral entre SaaS que aporta visibilidad
profunda, controles de datos sólidos y protección mejorada contra amenazas
a sus aplicaciones en la nube.
 Correo electrónico y colaboración con Microsoft Defender para Office
365: Defender for Office 365 protege su organización contra las amenazas
malintencionadas que representan los mensajes de correo electrónico, los
vínculos (URL) y las herramientas de colaboración.
Use Microsoft Defender para proteger su organización frente a sofisticados

ciberataques. Coordina la detección, prevención, investigación y respuesta a las
amenazas entre puntos de conexión, identidades, correo electrónico y aplicaciones.
Siguiente unidad: Describir Microsoft Defender for

Office 365
Continuar
Describir Microsoft Defender for

Office 365
Completado100 XP
 4 minutos
Microsoft Defender for Office 365 protege su organización frente a amenazas

malintencionadas que plantean los mensajes de correo electrónico, los vínculos
(URL) y las herramientas de colaboración, incluidos Microsoft Teams, SharePoint
Online, OneDrive para la empresa y otros clientes de Office.
Microsoft Defender para Office 365 cubre estas áreas clave:
 Directivas de protección contra amenazas: defina directivas de protección

contra amenazas para establecer el nivel de protección adecuado para su
organización.
 Informes: vea informes en tiempo real para supervisar el rendimiento de
Microsoft Defender para Office 365 en su organización.
 Investigación de amenazas y capacidades de respuesta: use herramientas
de vanguardia para investigar, comprender, simular y evitar amenazas.
 Capacidades de investigación y respuesta automatizadas: ahorre tiempo y
esfuerzo en la investigación y la mitigación de amenazas.
Microsoft Defender for Office 365 está disponible en dos planes. El plan que elija
influye en las herramientas que verá y usará. Es importante asegurarse de que
selecciona el mejor plan para satisfacer las necesidades de su organización.
Plan 1 de Microsoft Defender para Office 365

Este plan ofrece herramientas de configuración, protección y detección para su
conjunto de Office 365:
 Datos adjuntos seguros: comprueba si hay contenido malintencionado en

los datos adjuntos de correo electrónico.
 Vínculos seguros: se examinan los vínculos para cada clic. Un vínculo seguro
sigue siendo accesible, pero los vínculos malintencionados están bloqueados.
 Datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams:
protege su organización cuando los usuarios colaboran y comparten archivos
mediante la identificación y el bloqueo de archivos malintencionados en
sitios de equipo y bibliotecas de documentos.
 Protección contra la suplantación de identidad: detecta los intentos de
suplantar a los usuarios y dominios internos o personalizados.
 Detecciones en tiempo real: un informe en tiempo real que permite
identificar y analizar amenazas recientes.
Plan 2 de Microsoft Defender para Office 365

Este plan incluye todas las características principales del Plan 1 y proporciona
herramientas de automatización, investigación, corrección y simulación para ayudar
a proteger el conjunto de aplicaciones 365:
 Rastreadores de amenazas: proporcione la información más reciente sobre

los problemas de ciberseguridad y permita que una organización tome
medidas antes de que haya una amenaza real.
 Explorador de amenazas: un informe en tiempo real que le permite
identificar y analizar amenazas recientes.
 Investigación y respuesta automatizadas (AIR): incluye un conjunto de
cuaderno de estrategias de seguridad que se pueden iniciar
automáticamente, como cuando se desencadena una alerta, o bien de forma
manual. Un cuaderno de estrategias de seguridad puede iniciar una
investigación automatizada, proporcionar resultados detallados y recomendar
acciones que el equipo de seguridad puede aprobar o rechazar.
 Simulador de ataques: le permite ejecutar escenarios de ataque realistas en
su organización para identificar vulnerabilidades. Estas simulaciones ponen a
prueba las directivas y prácticas de seguridad, y entrenan a los empleados
para sensibilizarlos y reducir su susceptibilidad a los ataques.
 Búsqueda proactiva de amenazas con búsqueda avanzada en
Microsoft 365 Defender: la búsqueda avanzada es una herramienta de
búsqueda de amenazas basada en consultas que le permite explorar hasta
30 días de datos sin procesar. Puede inspeccionar de forma proactiva los
eventos de la red para buscar indicadores de amenazas y entidades.
 Investigación de alertas e incidentes en Microsoft 365 Defender: los
clientes de Microsoft Defender para Office 365 P2 tienen acceso a la
integración de Microsoft 365 Defender para detectar, revisar y responder
eficazmente a incidentes y alertas.
Disponibilidad de Microsoft Defender for Office 365

Microsoft Defender for Office 365 se incluye en ciertas suscripciones, como
Microsoft 365 E5, Office 365 E5, Office 365 A5 y Microsoft 365 Empresa Premium.
Si su suscripción no incluye Defender para Office 365, puede comprarlo como un

complemento.
Use Microsoft 365 Defender for Office 365 para proteger los mensajes y las
herramientas de colaboración de su organización.
Siguiente unidad: Describir Microsoft Defender para

punto de conexión
Describir Microsoft Defender para

punto de conexión
Completado100 XP
 3 minutos
Microsoft Defender para punto de conexión es una plataforma diseñada para

ayudar a las redes empresariales a proteger los puntos de conexión. Lo hace
mediante la prevención, detección, investigación y respuesta a amenazas
avanzadas. Microsoft Defender para punto de conexión incorpora tecnología
integrada en los servicios en la nube de Windows 10 y MSFT.
Esta tecnología incluye sensores de comportamiento de punto de conexión que

recopilan y procesan señales del sistema operativo, análisis de seguridad en la
nube que convierten las señales en información detallada, detecciones y
recomendaciones, e información sobre amenazas para identificar herramientas y
técnicas de atacantes, y generar alertas.
Microsoft Defender para punto de conexión incluye:
 Administración de amenazas y vulnerabilidades: un enfoque basado en el

riesgo para la detección, la priorización y la corrección de vulnerabilidades
del punto de conexión y configuraciones incorrectos. Usa sensores en los
dispositivos para evitar la necesidad de agentes o exámenes y da prioridad a
las vulnerabilidades.
 Reducción de la superficie expuesta a ataques: el conjunto de
funcionalidades de reducción de la superficie expuesta a ataques constituye
la primera línea de defensa de la pila. Al garantizar que las opciones de
configuración se establecen correctamente y que se aplican técnicas de
mitigación de vulnerabilidades, las funcionalidades resistirán los ataques y
explotaciones. Este conjunto de funcionalidades también incluye la
protección de red y la protección web, que regulan el acceso a direcciones IP,
dominios y direcciones URL malintencionadas, lo que ayuda a evitar que las
aplicaciones accedan a ubicaciones peligrosas.
 Protección de próxima generación: reúne el aprendizaje automático, el
análisis de macrodatos, la investigación en profundidad de la resistencia de
amenazas y la infraestructura de nube de Microsoft para proteger los
dispositivos de la organización de la empresa.
 Detección y respuesta de puntos de conexión: proporciona detecciones de
ataques avanzados casi en tiempo real y accionables. Los analistas de
seguridad pueden clasificar las alertas por orden de prioridad, ver el ámbito
completo de una vulneración y adoptar acciones como respuesta a las
amenazas de corrección.
 Investigación y corrección automatizadas: la característica de investigación
automatizada utiliza los algoritmos de inspección y los procesos que usan los
analistas (como los cuadernos de estrategias) para examinar las alertas y
tomar medidas de corrección rápida para resolver las infracciones. Este
proceso reduce significativamente el volumen de alertas que se deben
investigar de forma individual.
 Expertos en amenazas de Microsoft: servicio administrado de búsqueda de
amenazas que proporciona centros de operaciones de seguridad (SOC) con
herramientas de supervisión y análisis para garantizar que no se pierdan
amenazas críticas.
 Administración y API: proporciona API para la integración con otras
soluciones.
Microsoft Defender para punto de conexión incluye una puntuación segura de

Microsoft para dispositivos que le ayudarán a evaluar de forma dinámica el estado
de seguridad de la red de su empresa, a identificar sistemas sin protección y a
tomar medidas recomendadas para mejorar la seguridad general.
Microsoft Defender para punto de conexión se integra con varios componentes en
el conjunto de Microsoft Defender y con otras soluciones de Microsoft, como
Intune y Microsoft Defender for Cloud.
Use Microsoft Defender para punto de conexión para proteger los puntos de
conexión de su organización y responder a amenazas avanzadas.
Siguiente unidad: Descripción de

Microsoft Defender for Cloud Apps
Continuar
Descripción de Microsoft Defender for

Cloud Apps
Completado100 XP
 11 minutos
Pasar a la nube aumenta la flexibilidad de los empleados y los equipos de TI. En

cambio, también plantea nuevos retos y dificultades a la hora de mantener su
organización segura. Para sacar el máximo partido de las aplicaciones y servicios en
la nube, un equipo de TI debe encontrar el equilibrio adecuado para admitir el
acceso y proteger los datos críticos.
Microsoft Defender for Cloud Apps es un agente de seguridad de acceso a la nube

(CASB). Se trata de una solución completa entre SaaS que funciona como
intermediario entre un usuario en la nube y el proveedor de la nube.
Microsoft Defender for Cloud Apps proporciona una amplia visibilidad a sus
servicios en la nube, control sobre el desplazamiento de los datos y análisis
sofisticado para identificar y combatir ciberamenazas en todos los servicios en la
nube de Microsoft y de terceros. Use este servicio para obtener visibilidad en
Shadow IT mediante la detección de las aplicaciones en la nube que se usan. Puede
controlar y proteger los datos de las aplicaciones una vez que las autorice para el
servicio.
¿Qué es un agente de seguridad de acceso a la

nube?
Un CASB actúa como un equipo selector para remediar el acceso en tiempo real
entre los usuarios empresariales y los recursos en la nube que usan, dondequiera
que estén ubicados e independientemente del dispositivo que estén usando. Los
CASB ayudan a las organizaciones a proteger su entorno ofreciendo una amplia
gama de funcionalidades en los pilares siguientes:
 Visibilidad: detección del uso de aplicaciones y servicios en la nube y

provisión de visibilidad en Shadow IT.
 Protección contra amenazas: supervisión de las actividades del usuario en
busca de comportamientos anómalos, control del acceso a los recursos a
través de controles de acceso y mitigación del malware.
 Seguridad de datos: identificación, clasificación y control de la información
confidencial, y protección contra actores malintencionados.
 Cumplimiento: evaluación del cumplimiento de los servicios en la nube.
Estas áreas de funcionalidad representan la base del marco Defender for Cloud
Apps que se describe a continuación.
Marco Defender for Cloud Apps

Microsoft Defender for Cloud Apps se basa en un marco que proporciona las
capacidades siguientes:
 Descubra y controle el uso de Shadow IT: identifique las aplicaciones en la

nube y los servicios IaaS y PaaS que utiliza su organización. Investigue
patrones de uso, evalúe los niveles de riesgo y la preparación para el negocio
de más de 25 000 aplicaciones SaaS contra más de 80 riesgos.
 Protéjase contra ciberamenazas y anomalías: detecte comportamientos
inusuales en las aplicaciones en la nube para identificar ransomware, usuarios
comprometidos o aplicaciones no autorizadas, analice el uso de alto riesgo y
corrija automáticamente para limitar los riesgos.
 Proteger la información confidencialen cualquier lugar en la nube:
comprenda, clasifique y proteja la exposición de información confidencial en
reposo. Las directivas y los procesos automatizados listos para usar a fin de
aplicar los controles en tiempo real en todas las aplicaciones en la nube.
 Evalúe el cumplimiento de las aplicaciones en la nube: evalúe si las
aplicaciones en la nube satisfacen los requisitos de cumplimiento pertinentes,
incluidos los estándares del sector y el cumplimiento normativo. Impida las
pérdidas de datos hacia las aplicaciones que no cumplen con las normas y
limite el acceso a los datos regulados.
Funcionalidad de Microsoft Defender for Cloud

Apps
Defender for Cloud Apps Security ofrece los componentes del marco a través de
una amplia lista de características y funcionalidades. Se enumeran algunos
ejemplos a continuación.
 Cloud Discovery asigna e identifica el entorno de nube y las

aplicaciones en la nube que usa la organización. Cloud Discovery usa
los registros de tráfico para detectar y analizar de forma dinámica las
aplicaciones en la nube que están en uso en la organización.
 Autorizar y no autorizar aplicaciones de la organización mediante el

catálogo de aplicaciones en la nube que incluye más de 25 000
aplicaciones en la nube. Las aplicaciones se clasifican y se puntúan en
función de los estándares del sector. Puede utilizar el catálogo de
aplicaciones en la nube para evaluar el riesgo de las aplicaciones en la
nube en función de certificaciones normativas, estándares del sector y
procedimientos recomendados.
 Utilice conectores de aplicaciones para integrar las aplicaciones en la

nube de Microsoft y de otros fabricantes con Microsoft Defender for
Cloud Apps, lo que amplía el control y la protección. Defender for
Cloud Apps consulta los registros de actividad y analiza los datos, las
cuentas y el contenido en la nube de la aplicación, que se pueden usar
para aplicar directivas, detectar amenazas y proporcionar acciones de
gobernanza para resolver problemas.
 La protección del control de aplicaciones de acceso

condicional proporciona visibilidad en tiempo real y control del acceso
y las actividades de las aplicaciones en la nube. Evite las pérdidas de
datos bloqueando las descargas antes de que se produzcan,
estableciendo reglas para requerir que los datos almacenados en la
nube y descargados de la nube estén protegidos con cifrado y
controlando el acceso desde redes no corporativas o de riesgo.
 Utilice directivas para detectar comportamiento arriesgado,

infracciones o actividades y puntos de datos sospechosos en su
entorno de la nube. Puede utilizar directivas para integrar los procesos
de corrección con el fin de lograr la mitigación de los riesgos.
En esta guía interactiva, se ofrecerá una introducción a las funcionalidades

disponibles con Microsoft Defender for Cloud Apps. Seleccione la imagen siguiente
para empezar y siga las indicaciones que aparecen en pantalla.
Office 365 Cloud App Security
Cloud App Security de Office 365 es un subconjunto de Microsoft Defender for
Cloud Apps que proporciona visibilidad y control mejorados para Office 365. Office
365 Cloud App Security incluye detección de amenazas basada en registros de
actividad del usuario, descubrimiento de Shadow IT para aplicaciones con
funcionalidad similar a las ofertas de Office 365, control de permisos de
aplicaciones para Office 365 y aplicación de controles de acceso y sesión.
Ofrece un subconjunto de las características principales de Microsoft Defender for

Cloud Apps.
Cloud App Discovery mejorado en Azure Active

Directory
Azure Active Directory Premium P1 incluye Azure Active Directory Cloud App
Discovery sin coste adicional. Esta característica se basa en las capacidades de
Cloud Discovery de Microsoft Defender for Cloud Apps, que proporcionan una
mayor visibilidad del uso de aplicaciones en la nube en la organización.
Proporciona un subconjunto reducido de las capacidades de detección de

Microsoft Defender for Cloud Apps.
Use Microsoft Defender for Cloud Apps para identificar de forma inteligente y
proactiva, y responder a las amenazas de los servicios en la nube de Microsoft y
que no sean de Microsoft.
Siguiente unidad: Describir Microsoft Defender for

Identity
Describir Microsoft Defender for

Identity
Completado100 XP
 3 minutos
Microsoft Defender for Identity es una solución de seguridad basada en la nube.

Utiliza sus datos de Active Directory local (llamados señales) para identificar,
detectar e investigar amenazas avanzadas, identidades comprometidas y acciones
internas malintencionadas dirigidas a su organización.
Microsoft Defender for Identity permite a los profesionales de seguridad

administrar la funcionalidad de entornos híbridos para hacer lo siguiente:
 Supervisar las actividades y el comportamiento del usuario del perfil.

 Proteger las identidades de usuario y reducir la superficie expuesta a ataques.
 Identificar e investigar actividades sospechosas y ataques avanzados a lo
largo de la cadena de eliminación del ciberataque.
 Proporcionar información clara sobre los incidentes en una escala de tiempo
sencilla para una rápida evaluación de prioridades.
Supervisar las actividades y el comportamiento del usuario del perfil.
Defender for Identity supervisa y analiza las actividades de los usuarios y la

información en su red, incluidos los permisos y la pertenencia a grupos, y crea una
línea de base de comportamiento para cada usuario. Defender for Identity
identifica a continuación anomalías con inteligencia integrada adaptable. Brinda
información sobre actividades y eventos sospechosos, revelando las amenazas
avanzadas, los usuarios comprometidos y las amenazas internas que enfrenta su
organización.
Proteger las identidades de usuario y reducir la superficie expuesta a ataques
Defender for Identity proporciona información sobre las configuraciones de

identidades y procedimientos recomendados de seguridad. A través de informes
de seguridad y análisis de perfil de usuario, Defender for Identity ayuda a reducir la
superficie de ataque de su organización, lo que dificulta comprometer las
credenciales de usuario y promover un ataque.
Los informes de seguridad de Defender for Identity ayudan a identificar usuarios y

dispositivos que se autentican mediante contraseñas de texto sin cifrar. También
proporciona información adicional sobre cómo mejorar la postura y las directivas
de seguridad.
Para entornos híbridos en los que Servicios de federación de Active Directory (AD
FS) está presente, Defender for Identity protege AD FS mediante la detección de
ataques locales y la visibilidad de los eventos de autenticación generados por
AD FS.
Identificar actividades sospechosas y ataques avanzados a lo largo de la cadena de

eliminación del ciberataque
Normalmente, los ataques se lanzan contra cualquier entidad accesible, como un

usuario con pocos privilegios. Después, los ataques se mueven rápidamente hasta
que el atacante accede a recursos valiosos. Estos recursos pueden incluir cuentas
confidenciales, administradores de dominio y datos extremadamente
confidenciales. Defender for Identity identifica estas amenazas avanzadas en el
origen a lo largo de toda la cadena de eliminación del ciberataque:
 Reconocimiento
 Credenciales en peligro
 Movimientos laterales
 Dominación de dominio
Investigar alertas y actividades de usuario
Defender for Identity está diseñado para reducir el ruido general de las alertas, y
proporcionar solo las alertas de seguridad pertinentes e importantes en una escala
de tiempo de ataque organizativa, simple y en tiempo real.
Utilice la vista de la línea de tiempo del ataque de Defender for Identity y la
inteligencia de los análisis inteligentes para mantenerse enfocado en lo que
importa. Además, puede utilizar Defender for Identity para investigar rápidamente
las amenazas y obtener información sobre los usuarios, los dispositivos y los
recursos de red de toda la organización.
Microsoft Defender for Identity protege su organización frente a identidades en

peligro, amenazas avanzadas y acciones de Insider malintencionadas.
Siguiente unidad: Descripción del portal de

Microsoft 365 Defender
Descripción del portal de

Microsoft 365 Defender
Completado100 XP
 10 minutos
Microsoft 365 Defender coordina de forma nativa la detección, la prevención, la

investigación y la respuesta a través de los puntos de conexión, las identidades, el
correo electrónico y las aplicaciones para proporcionar protección integrada frente
a ataques sofisticados. El portal de Microsoft 365 Defender reúne estas
funcionalidades en un lugar central diseñado para satisfacer las necesidades de los
equipos de seguridad y resalta el acceso rápido a la información con diseños más
sencillos. A través del portal de Microsoft 365 Defender puede ver el estado de
seguridad de su organización.
En la página principal del portal de Microsoft 365 Defender se muestran muchas de

las tarjetas comunes que necesitan los equipos de seguridad. La composición de
las tarjetas y datos depende del rol de usuario. Dado que el portal de Microsoft 365
Defender usa el control de acceso basado en rol, los distintos roles verán las
tarjetas que sean más significativas para sus trabajos cotidianos.
Las tarjetas se dividen en estas categorías:
 Identidades: para supervisar las identidades de su organización y realizar un

seguimiento de comportamientos sospechosos o de riesgo.
 Datos: para realizar un seguimiento de la actividad del usuario que podría dar
lugar a la divulgación de datos no autorizada.
 Dispositivos: para obtener información actualizada sobre las alertas, la
actividad de vulneración y otras amenazas en los dispositivos.
 Aplicaciones: para obtener información sobre cómo se usan las aplicaciones
en la nube en su organización.
El portal de Microsoft 365 Defender permite a los administradores personalizar el

panel de navegación para cumplir los requisitos diarios de las operaciones. Los
administradores pueden personalizar el panel de navegación para mostrar u
ocultar funciones y servicios según sus preferencias específicas. Las
personalizaciones son específicas de cada administrador, por lo que otros
administradores no verán estos cambios.
Nota
Debe tener asignado un rol adecuado, como administrador global, administrador

de seguridad, operador de seguridad o lector de seguridad en Azure Active
Directory para acceder al portal de Microsoft 365 Defender.
El panel de navegación izquierdo proporciona a los profesionales de seguridad

acceso fácil a las funcionalidades de correo electrónico y colaboración de
Microsoft Defender para Office 365 y las funcionalidades de Microsoft Defender
para punto de conexión que se describen en las unidades anteriores. A
continuación se describen algunas de las otras funcionalidades accesibles desde la
barra de navegación izquierda del portal de Microsoft 365 Defender.
Incidentes y alertas
Los servicios y las aplicaciones de Microsoft 365 crean alertas cuando detectan un

evento o actividad sospechosos o malintencionados. Las alertas individuales
proporcionan pistas valiosas sobre un ataque completado o en curso.
Microsoft 365 Defender agrega automáticamente estas alertas. Una agrupación de
estas alertas relacionadas conforman un incidente. El incidente ofrece una vista y
contexto completos de un ataque.
La cola de incidentes es una ubicación central que muestra cada incidente

clasificado por gravedad. Al seleccionar un nombre de incidente se muestra un
resumen y se proporciona acceso a las pestañas con información adicional, como la
siguiente:
 Todas las alertas relacionadas con el incidente.

 Todos los usuarios que se han identificado como parte del incidente o están
relacionados con él.
 Todos los buzones de correo que se han identificado como parte del
incidente o relacionados con él.
 Todas las investigaciones automatizadas desencadenadas por las alertas del
incidente.
 Todas las pruebas y respuestas admitidas.
Búsqueda
La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en

consultas que permite a los expertos en seguridad explorar hasta 30 días de datos
sin procesar. Las consultas de búsqueda avanzada permiten a los profesionales de
seguridad buscar de forma proactiva amenazas, malware y actividad
malintencionada en puntos de conexión, buzones de Office 365, etc. Las consultas
de búsqueda de amenazas se pueden usar para crear reglas de detección
personalizadas. Estas reglas se ejecutan automáticamente para buscar y, después,
responder a la sospecha de actividad de infracción, a máquinas mal configuradas y
a otros resultados.
Análisis de amenazas
El análisis de amenazas es nuestra solución de inteligencia sobre amenazas

integrada en el producto que han creado investigadores expertos de seguridad de
Microsoft. Está diseñado para ayudar a los equipos de seguridad a realizar un
seguimiento de amenazas emergentes y responder a ellas. El panel de análisis de
amenazas destaca los informes más relevantes para su organización. Incluye las
amenazas más recientes, amenazas de alto impacto (amenazas con las alertas más
activas que afectan a su organización) y amenazas de alta exposición.
Al seleccionar una amenaza específica en el panel se proporciona un informe de
análisis de amenazas que muestra información más detallada con un informe
detallado de analistas, recursos afectados, mitigaciones y mucho más.
Puntuación segura
La puntuación de seguridad de Microsoft, una de las herramientas del portal de

Microsoft 365 Defender, es una representación de la posición de seguridad de una
empresa. Cuanto mayor sea la puntuación, mejor será su protección. Desde un
panel centralizado en el portal de Microsoft 365 Defender, las organizaciones
pueden supervisar y trabajar en la seguridad de sus identidades, aplicaciones y
dispositivos de Microsoft 365.
La puntuación de seguridad ayuda a las organizaciones a:
 Notificar el estado actual de su postura de seguridad.

 Mejorar la postura de seguridad al proporcionar detectabilidad, visibilidad,
orientación y control.
 Comparar puntos de referencia y establecer indicadores clave de rendimiento
(KPI).
Actualmente, la puntuación de seguridad de Microsoft admite recomendaciones

para Microsoft 365 (incluido Exchange Online), Azure Active Directory,
Microsoft Defender para punto de conexión, Microsoft Defender for Identity,
aplicaciones en la nube de Microsoft Defender y Microsoft Teams. Constantemente
se están agregando nuevas recomendaciones a la puntuación de seguridad.
En la imagen siguiente se muestra la puntuación de seguridad de una organización,

un desglose de la puntuación por puntos y las acciones de mejora que pueden
aumentar la puntuación de la organización. Por último, incluye una indicación de la
comparación de la puntación de seguridad de la organización con la de otras
organizaciones similares.
Para explorar la puntuación de seguridad de Microsoft, seleccione la guía

interactiva que aparece a continuación y siga las indicaciones en la pantalla.
Diferencias entre la puntuación de seguridad de Microsoft 365 Defender y
Microsoft Defender for Cloud
Existe una puntuación de seguridad de Microsoft 365 Defender y

Microsoft Defender for Cloud, pero son ligeramente distintas. La puntuación de
seguridad de Microsoft Defender for Cloud es una medida de la posición de
seguridad de las suscripciones de Azure. La puntuación de seguridad del portal de
Microsoft 365 Defender es una medida de la posición de seguridad de la
organización en las aplicaciones, los dispositivos y las identidades.
Centro de aprendizaje
El portal de Microsoft 365 Defender incluye un centro de aprendizaje en el que

aparecen instrucciones oficiales de recursos, como el blog de seguridad de
Microsoft, la comunidad de seguridad de Microsoft en YouTube y la
documentación oficial de docs.microsoft.com.
Informes
Los informes se unifican en Microsoft 365 Defender. Los administradores pueden

empezar con un informe de seguridad general y dividirse en informes específicos
sobre puntos de conexión, colaboración y correo electrónico. Estos vínculos se
generan dinámicamente en función de la configuración de la carga de trabajo.
Permisos y roles
El acceso a Microsoft 365 Defender se configura con roles globales de Azure Active

Directory o mediante roles
Describir los principios de privacidad

de Microsoft
Completado100 XP
 4 minutos
Los productos y servicios de Microsoft se ejecutan con confianza. En Microsoft,

valoramos, protegemos y defendemos la privacidad. Creemos en la transparencia,
para que las personas y las organizaciones puedan controlar sus datos y tener
opciones útiles para saber cómo se usan. Reforzamos y defendemos las opciones
de privacidad de cada persona que use nuestros productos y servicios.
El enfoque de Microsoft en relación con la privacidad se basa en los seis principios

siguientes:
 Control: usted y el cliente pueden controlar sus datos y su privacidad
con opciones claras y herramientas fáciles de utilizar. Los datos son
asunto suyo, y puede acceder a ellos, modificarlos o eliminarlos en
cualquier momento. Microsoft no usará sus datos sin su
consentimiento y, cuando dispongamos de él, los usaremos para
prestar solo los servicios que haya elegido. El control sobre los datos
está reforzado por el cumplimiento de Microsoft con las leyes de
privacidad y los estándares de privacidad de amplia aplicación.
 Transparencia: capacidad de ser transparente en relación con la
recopilación y el uso de los datos, para que todos puedan tomar
decisiones informadas. Solo procesamos sus datos con su
consentimiento y de acuerdo con las estrictas directivas y
procedimientos que hemos acordado contractualmente. Cuando
recurrimos a subcontratistas o subprocesadores para realizar trabajos
que requieren acceso a sus datos, estos solo pueden realizar las
funciones para las que Microsoft los ha contratado, y están sujetos a
cumplir los mismos compromisos de privacidad contractuales que
Microsoft tiene con el usuario. En la lista de subprocesadores de los
servicios en línea de Microsoft se especifican los subprocesadores
autorizados, que primero han pasado una auditoría conforme a un
estricto conjunto de requisitos de seguridad y privacidad. Este
documento está disponible como uno de los recursos de protección de
datos en el Portal de confianza de servicios.
 Seguridad: protección de los datos que se confían a Microsoft gracias
a una seguridad y un cifrado seguros. Con el cifrado de última
generación, Microsoft protege los datos en reposo y en tránsito.
Nuestros protocolos de cifrado levantan barreras contra el acceso no
autorizado a los datos, incluidas dos o más capas de cifrado
independientes para ofrecer protección frente a riesgos de cualquier
capa. Todas las claves de cifrado administradas por Microsoft están
protegidas correctamente y ofrecen el uso de tecnologías como Azure
Key Vault para ayudarle a controlar el acceso a contraseñas, claves de
cifrado y otros secretos.
 Cobertura legal estricta: respetar la legislación de privacidad local y
combatir la protección legal de la privacidad como un derecho
humano fundamental. Microsoft defiende sus datos con directivas y
procesos de respuesta claramente definidos y bien establecidos,
compromisos contractuales sólidos y, si es necesario, en los tribunales.
Creemos que todos los requerimientos gubernamentales de sus datos
deben ser remitidos al usuario. No proporcionamos a ningún gobierno
acceso directo o sin restricciones a los datos de los clientes. No
revelaremos datos a ningún gobierno ni fuerza de seguridad pública, a
menos que usted nos los indique o sea un requisito legal. Microsoft
examina todos los requerimientos gubernamentales para asegurarse
de que son legalmente válidos y adecuados. Si Microsoft recibe un
requerimiento de sus datos, le informaremos de inmediato y le
proporcionaremos una copia de la solicitud a menos que esté
prohibido hacerlo por ley. Además, pediremos a la parte solicitante
que solicite lo datos directamente al usuario. Nuestros compromisos
contractuales con nuestros clientes empresariales y del sector público
incluyen la defensa de sus datos, según nuestras protecciones
existentes. Impugnaremos todas las solicitudes gubernamentales de
datos de clientes del sector público y comercial cuando podamos
hacerlo legalmente.
 Contenido personalizado: no usar el correo electrónico, el chat, los
archivos ni otro contenido personal para personalizar la publicidad. No
compartimos sus datos con los servicios admitidos por el anunciante ni
los analizamos para ningún fin, como publicidad o estudios de
mercado.
 Ventajas para usted: cuando Microsoft recopila datos, estos se usan
en su beneficio y en el del cliente para mejorar sus experiencias. Por
ejemplo:
o Solución de problemas: solución de problemas para evitar,
detectar y corregir problemas que afectan a las operaciones
de los servicios.
o Mejora de características: mejora continua de las
características, incluida la creciente confiabilidad y protección
de los servicios y los datos.
o Experiencia personalizada del cliente: los datos se usan para
proporcionar mejoras personalizadas y mejores experiencias
de cliente.
Estos principios forman la base de la privacidad de Microsoft y fundamentan la

forma en que se diseñan los productos y servicios.
Siguiente unidad: Descripción de Microsoft Priva

Descripción de Microsoft Priva
Completado100 XP
 3 minutos
La privacidad es muy importante para las organizaciones y los consumidores en la

actualidad, y la preocupación sobre cómo se administran los datos privados no
deja de aumentar. Las normativas y las leyes afectan a personas de todo el mundo,
ya que establecen las reglas que definen cómo las organizaciones almacenan los
datos personales y conceden derechos a las personas para administrar los datos
personales que recopila una organización.
Para cumplir los requisitos normativos y transmitir confianza a los clientes, las
organizaciones deben adoptar una postura de garantizar la privacidad de forma
predeterminada. En lugar de depender de procesos manuales y una amalgama de
herramientas, las organizaciones necesitan una solución completa para abordar
desafíos comunes como los siguientes:
 Ayudar a los empleados a adoptar prácticas sólidas para el control de datos y

entrenarlos para detectar y corregir problemas
 Entender los posibles riesgos para la cantidad y el tipo de datos personales
que se almacenan y se comparten
 Cumplir las solicitudes de datos o de derechos de los interesados de forma
eficaz y puntual
Microsoft Priva le ayuda a superar estos desafíos para que pueda alcanzar sus
objetivos de privacidad. Las funcionalidades de Priva están disponibles mediante
dos soluciones: Administración de riesgo de privacidad Priva, que ofrece
visibilidad de las plantillas de directivas y datos de la organización para reducir los
riesgos, y Solicitudes de derechos de los interesados Priva, que proporciona
herramientas de automatización y flujo de trabajo para satisfacer solicitudes de
datos.
Administración de riesgo de privacidad Priva
Microsoft Priva le ayuda a comprender los datos que almacena su organización

mediante la detección automática de recursos de datos personales y la
visualización de información esencial. Estas visualizaciones se pueden consultar en
las páginas de información general y perfil de datos, a las que se puede acceder
actualmente mediante el Portal de cumplimiento de Microsoft Purview.
El panel de información general proporciona una vista general de los datos de la
organización en Microsoft 365. Los administradores de privacidad pueden
supervisar las tendencias y las actividades, identificar e investigar posibles riesgos
relacionados con los datos personales y acceder directamente a actividades clave,
como la administración de directivas o las solicitudes de derechos de los
interesados.
La página de perfil de datos de Priva proporciona una vista instantánea de los

datos personales que la organización almacena en Microsoft 365 y del lugar en el
que se ubican. También proporciona información sobre los tipos de datos que se
almacenan.
Priva evalúa los datos de la organización almacenados en los siguientes servicios
de Microsoft 365 en el inquilino de Microsoft 365:
 Exchange Online
 SharePoint Online
 OneDrive para la Empresa
 Microsoft Teams
La administración de riesgos de privacidad en Microsoft Priva también permite

configurar directivas que identifiquen los riesgos de privacidad en el entorno de
Microsoft 365 y ofrezcan una corrección sencilla. Las directivas de administración
de riesgos de privacidad están pensadas para ser guías internas y pueden ayudarle
a lo siguiente:
 Detectar datos personales sobreexpuestos para que los usuarios puedan

protegerlos.
 Detectar y limitar las transferencias de datos personales entre departamentos
o fronteras regionales.
 Ayudar a los usuarios a identificar y reducir la cantidad de datos personales
sin usar que almacena.
Solicitudes de derechos de los interesados Priva
De acuerdo con ciertas normativas de privacidad internacionales, las personas

interesadas pueden presentar solicitudes para revisar o administrar los datos
personales sobre ellas que las empresas han recopilado. Estas solicitudes suelen
conocerse como solicitudes de datos de los interesados (DSR), solicitudes de
acceso a datos de los interesados (DSAR) o solicitudes de derechos de los
consumidores. Para las empresas que almacenan grandes cantidades de
información, el proceso de encontrar los datos pertinentes puede convertirse en
una tarea monumental.
Microsoft Priva puede ayudarle a controlar estas consultas mediante la solución

Solicitudes de derechos de los interesados. Proporciona funcionalidades de flujo de
trabajo, automatización y colaboración para ayudarle a buscar datos de los
interesados, revisar las conclusiones, recopilar los archivos adecuados y generar
informes.
Comprobación de conocimientos
1.
Al examinar la documentación de cumplimiento de Microsoft en el Portal de

confianza de servicios, ha encontrado varios documentos específicos de su sector.
¿Cuál es la mejor manera de asegurarse de mantenerse al día con las
actualizaciones más recientes?
Guarde los documentos en Mi biblioteca.

Correcto. Si guarda el documento en la sección Mi biblioteca del Portal de
confianza de servicios, se asegurará de que tiene las actualizaciones más
recientes.
Imprima cada documento para poder consultarlo con facilidad.
Descargue cada documento.

2.
El enfoque de Microsoft en relación con la privacidad se basa en seis principios:

tres de ellos son protecciones legales sólidas de la privacidad, ausencia de destinos
basados en contenido y ventajas para los clientes derivadas de los datos que
recopilamos. Identifique los otros tres principios que forman parte del enfoque de
Microsoft en relación con la privacidad.
Control, transparencia y seguridad del cliente.

Correcto. El enfoque de Microsoft en relación con la privacidad se basa en los
seis principios siguientes: control de los clientes, transparencia, seguridad,
protecciones legales sólidas de la privacidad, ausencia de destinos basados en
contenido y ventajas para los clientes derivadas de los datos que recopilamos.
Responsabilidad compartida, transparencia y seguridad.
Control de los clientes, transparencia y confianza cero.

Incorrecto. Si bien el modelo de cero confianza es un modelo empleado por
Microsoft, no constituye uno de los principios de privacidad. Los principios de
privacidad incluyen la seguridad de forma más amplia. Los principios
generales que representan el enfoque de Microsoft en relación con la
privacidad son control de los clientes, transparencia, seguridad, protecciones
legales sólidas de la privacidad, ausencia de destinos basados en contenido y
ventajas para los clientes derivadas de los datos que recopilamos.
Descripción del Portal de

cumplimiento de Microsoft Purview
Completado100 XP
 7 minutos
Nota
El Cumplimiento de Microsoft 365 ahora se denomina Microsoft Purview y las

soluciones dentro del área de cumplimiento se han cambiado de marca. El Centro
de cumplimiento de Microsoft 365 ahora es el Portal de cumplimiento de
Microsoft Purview. Para obtener más información sobre Microsoft Purview, vea
el anuncio del blog.
El Portal de cumplimiento de Microsoft Purview reúne todas las herramientas y

datos necesarios para ayudar a comprender y administrar las necesidades de
cumplimiento de una organización.
Los clientes con una SKU de Microsoft 365 que tengan uno de los siguientes roles
pueden obtener acceso al Portal de cumplimiento:
 Administrador global
 Administrador de cumplimiento
 Administrador de datos de cumplimiento
Cuando un administrador inicia sesión en el Portal de cumplimiento de

Microsoft Purview, en la sección de tarjeta de la página principal se muestra, de un
vistazo, las acciones de cumplimiento de datos de la organización, qué soluciones
están disponibles para la organización y un resumen de las alertas activas. Para
personalizar la sección de tarjetas, los administradores pueden cambiarlas de
posición, o bien agregar o quitar las que se muestran en la pantalla principal.
La página principal predeterminada del Portal de cumplimiento contiene varias

tarjetas, entre las que se incluyen:
 La tarjeta Administrador de cumplimiento. Esta tarjeta le lleva a la

solución Administrador de cumplimiento de Microsoft Purview. El
Administrador de cumplimiento ayuda a simplificar la forma de
administrar el cumplimiento. Calcula una puntuación de cumplimiento
basada en riesgos que mide el progreso para completar las acciones
recomendadas a fin de reducir los riesgos asociados con la protección
de datos y los estándares normativos. La solución Administrador de
cumplimiento también proporciona funcionalidades de flujo de trabajo
y asignación de controles integrada para ayudarle a llevar a cabo de
forma eficaz acciones de mejora.
 La tarjeta Catálogo de soluciones se vincula a colecciones de

soluciones integradas que facilitan la administración de escenarios de
cumplimiento de un extremo a otro. Entre las áreas de soluciones se
incluyen las siguientes:
o Protección y gobernanza de la información. Estas soluciones

ayudan a las organizaciones a clasificar, proteger y conservar los
datos donde residen y dondequiera que vayan. Se incluyen la
administración del ciclo de vida de los datos, la prevención de
pérdida de datos, la protección de la información y la
administración de registros.
o Privacidad. Cree un entorno de trabajo más resistente a la
privacidad. La administración de privacidad proporciona
conclusiones prácticas sobre los datos personales de la
organización para ayudarle a detectar problemas y reducir los
riesgos.
o Administración de riesgos internos. Estas soluciones ayudan a las
organizaciones a identificar, analizar y corregir los riesgos internos
antes de que causen daños. Se incluyen el cumplimiento de
comunicaciones, las barreras de información y la administración de
riesgos internos.
o Detección y respuesta. Estas soluciones ayudan a las
organizaciones a encontrar, investigar y responder rápidamente
con los datos pertinentes. Se incluyen auditorías, solicitudes de
interesados y eDiscovery.
 La tarjeta Alertas activas incluye un resumen de las alertas más activas

y un vínculo en el que los administradores pueden ver información más
detallada, como la gravedad de la alerta, el estado, la categoría, etc.
Navegación
Además de las tarjetas de la página principal, hay un panel de navegación a la
izquierda de la pantalla que proporciona fácil acceso al Administrador de
cumplimiento y a la página Clasificación de datos, donde puede obtener
instantáneas de cómo se usa la información confidencial y las etiquetas en las
ubicaciones de la organización. Puede acceder a alertas, informes, directivas y
todas las soluciones que se incluyen en el catálogo de soluciones. Hay acceso a los
conectores de datos que puede usar para importar datos que no son de Microsoft
a Microsoft 365, de modo que las soluciones de cumplimiento puedan controlarlos.
El control Personalizar la navegación permite personalizar los elementos que
aparecen en el panel de navegación.
Guía interactiva
En esta guía interactiva, explorará algunas de las funcionalidades del Portal de
cumplimiento de Microsoft Purview, la página principal para administrar las
necesidades de cumplimiento mediante soluciones integradas para la protección
de la información, la gobernanza de la información, la administración de riesgos
internos, la detección de contenido y mucho más. Seleccione la imagen siguiente
para empezar y siga las indicaciones que aparecen en pantalla.
Nota
La interfaz de usuario (UI) de Microsoft 365 está evolucionando continuamente, por
lo que es posible que la interfaz de usuario que se muestra en la guía interactiva no
refleje las actualizaciones más recientes.
Siguiente unidad: Descripción del Administrador de

cumplimiento
Descripción del Administrador de

cumplimiento
Completado100 XP
 10 minutos
Nota

soluciones dentro del área de cumplimiento se han cambiado de marca. El
Administrador de cumplimiento de Microsoft ahora es el Administrador de
cumplimiento de Microsoft Purview. Para más información sobre Microsoft
Purview, vea el anuncio del blog.
El Administrador de cumplimiento de Microsoft Purview es una característica del
Portal de cumplimiento de Microsoft Purview que ayuda a los administradores a
administrar los requisitos de cumplimiento de una organización con mayor
facilidad y comodidad. El Administrador de cumplimiento ayuda a las
organizaciones a lo largo del recorrido del cumplimiento; por ejemplo, la creación
del inventario de los riesgos de protección de datos, la administración de las
complejidades de la implementación de controles, la actualización de las
regulaciones y las certificaciones y la generación de informes para los auditores.
En el vídeo siguiente se proporciona una introducción rápida al Administrador de

cumplimiento.
Nota

lo que es posible que la interfaz de usuario que se muestra en el vídeo no refleje
las actualizaciones más recientes.
El Administrador de cumplimiento le permite simplificar el cumplimiento y reducir

los riesgos, ya que proporciona lo siguiente:
 Evaluaciones compiladas previamente basadas en normativas y estándares

comunes del sector y las regiones. Los administradores también pueden usar
la evaluación personalizada para satisfacer las necesidades de cumplimiento
exclusivas de la organización.
 Capacidades de flujo de trabajo que permiten a los administradores
completar de forma eficaz las evaluaciones de riesgos de la organización.
 Acciones de mejora paso a paso que los administradores pueden usar para
cumplir con las regulaciones y los estándares relevantes para la organización.
Igualmente, Microsoft también administrará algunas acciones para la
organización. Los administradores obtendrán los detalles de la
implementación y los resultados de auditoría de esas acciones.
 La puntuación de cumplimiento, que es un cálculo que ayuda a una
organización a comprender su postura general de cumplimiento, ya que mide
el progreso de las acciones de mejora.
En el panel del Administrador de cumplimiento se muestra la puntuación de

cumplimiento actual, que permitirá a los administradores saber qué elementos
necesitan su atención y los guiará mediante acciones de mejora claves.
El Administrador de cumplimiento usa varios elementos de datos para ayudarle a
administrar las actividades de cumplimiento. A medida que los administradores
usan el Administrador de cumplimiento para asignar, probar y supervisar las
actividades de cumplimiento, resulta útil tener un conocimiento básico de los
siguientes elementos clave: controles, evaluaciones, plantillas y acciones de mejora.
Controles
Un control es un requisito de un reglamento, un estándar o una directiva. Define

cómo evaluar y administrar la configuración del sistema, el proceso de la
organización y las personas responsables de cumplir el requisito específico de un
reglamento, un estándar o una directiva.
El Administrador de cumplimiento realiza un seguimiento de los siguientes tipos de

controles:
 Controles administrados por Microsoft: son controles para los Servicios en

la nube de Microsoft; asimismo, Microsoft es responsable de implementarlos.
 Sus controles: a veces se denominan "controles administrados por el cliente"
y se implementan y administran en la organización.
 Controles compartidos: la organización y Microsoft comparten la
responsabilidad de implementar estos controles.
Compliance Manager evalúa continuamente los controles mediante el examen del
entorno de Microsoft 365 y la detección de la configuración del sistema,
actualizando continua y automáticamente el estado técnico de la acción.
Valoraciones
Una valoración es una agrupación de controles de una directiva, una norma o un

reglamento específicos. Si completa las acciones de una valoración, cumplirá los
requisitos de un estándar, un reglamento o una ley. Por ejemplo, es posible que
una organización tenga una valoración que, al completarse, equipare su
configuración de Microsoft 365 con los requisitos de la norma ISO 27001.
Una valoración consta de varios componentes, incluidos los servicios que están
dentro del ámbito, los controles y una puntuación de valoración que muestra el
progreso para completar las acciones necesarias para el cumplimiento.
Plantillas
El Administrador de cumplimiento proporciona plantillas para que los

administradores puedan crear valoraciones rápidamente. Igualmente, pueden
modificar estas plantillas para crear una valoración optimizada para sus
necesidades. Los administradores también pueden crear una valoración
personalizada mediante la creación de una plantilla con sus propias acciones y
controles. Por ejemplo, es posible que el administrador quiera crear una plantilla
que abarque un control interno del proceso empresarial o un estándar de
protección de datos regional que no esté incluido en una de las más de 150
plantillas de valoración generadas previamente de Microsoft.
Acciones de mejora
Las acciones de mejora le permiten centralizar las actividades de cumplimiento.

Cada acción de mejora proporciona instrucciones recomendadas para que las
organizaciones puedan cumplir los estándares y las regulaciones de protección de
datos. Asimismo, las acciones de mejora se pueden asignar a los usuarios de la
organización para que realicen trabajos de implementación y pruebas. Los
administradores también pueden almacenar la documentación, las notas y las
actualizaciones de estado del Registro en la acción de mejora.
Ventajas del Administrador de cumplimiento
El Administrador de cumplimiento ofrece muchas ventajas, entre las que se

incluyen:
 Traducir normativas, estándares, directivas de la empresa u otros marcos de

control en un lenguaje sencillo.
 Proporcionar acceso a una gran variedad de valoraciones listas para su uso y
valoraciones personalizadas que permiten a las organizaciones a satisfacer
sus necesidades de cumplimiento exclusivas.
 Asignar controles reguladores a las acciones de mejora recomendadas.
 Proporcionar instrucciones paso a paso sobre cómo implementar las
soluciones para cumplir los requisitos normativos.
 Ayudar a los administradores y a los usuarios a priorizar las acciones que
tendrán el mayor impacto en el cumplimiento de la organización al asociar
una puntuación a cada acción.
Guía interactiva
En esta guía interactiva, explorará el Administrador de cumplimiento. Seleccione la

imagen siguiente para empezar y siga las indicaciones que aparecen en pantalla.
Nota

lo que es posible que la interfaz de usuario que se muestra en la guía interactiva no
refleje las actualizaciones más recientes.
Siguiente unidad: Descripción del uso y las ventajas
de la puntuación de cumplimiento
Continuar
Descripción del uso y las ventajas de la

puntuación de cumplimiento
Completado100 XP
 3 minutos
Nota

soluciones dentro del área de cumplimiento se han cambiado de marca. El
Administrador de cumplimiento de Microsoft ahora es el Administrador de
cumplimiento de Microsoft Purview. Para más información sobre Microsoft
La puntuación de cumplimiento mide el progreso según la realización de las

acciones de mejora recomendadas en los controles. Asimismo, la puntuación
permite que una organización comprenda su postura de cumplimiento actual.
También permite que la organización clasifique por orden de prioridad las acciones
en función de su potencial para reducir el riesgo.
Los administradores pueden obtener un desglose de la puntuación de

cumplimiento en el panel de información general del Administrador de
cumplimiento.
Cómo comprender la puntuación de cumplimiento
La puntuación de cumplimiento general se calcula mediante puntuaciones que se

asignan a las acciones. Las acciones se presentan en dos tipos:
 Acciones mejoradas: son acciones que se espera que administre la

organización.
 Acciones de Microsoft: son acciones que Microsoft administra para la
organización.
Las acciones se clasifican como obligatorias, discrecionales, preventivas, de
detección o correctivas:
 Obligatorias: estas acciones no deben omitirse. Por ejemplo, cuando se crea

una directiva para establecer los requisitos de longitud o expiración de la
contraseña.
 Discrecional: estas acciones dependen de que los usuarios conozcan y se
adhieran a una directiva. Por ejemplo, puede ser una directiva en la que los
usuarios tengan que asegurarse de que sus dispositivos estén bloqueados
antes de dejar de usarlos.
Los siguientes elementos son subcategorías de acciones que se pueden clasificar

como obligatorias u discrecionales:
 Las acciones Preventivas están diseñadas para controlar riesgos específicos,

como el uso de cifrado para proteger los datos en reposo si se vulneró la
seguridad o si se produjeron ataques.
 Las acciones de Detección supervisan activamente los sistemas para
identificar las irregularidades que podrían representar riesgos o que se
pueden usar para detectar vulneraciones de seguridad o intrusiones. Las
auditorías de acceso al sistema o las auditorías de cumplimiento normativo
son ejemplos de estos tipos de acciones.
 Las acciones Correctivas permiten que los administradores minimicen los
efectos adversos de los incidentes de seguridad; para ello, realizan medidas
correctivas para reducir su efecto inmediato o incluso para revertir los daños.
Las organizaciones acumulan puntos por cada acción completada. Y la puntuación

de cumplimiento se muestra como un porcentaje que representa todas las acciones
completadas, en comparación con las pendientes.
¿Cuál es la diferencia entre el Administrador de cumplimiento y la puntuación de
cumplimiento?
El Administrador de cumplimiento es una solución completa en el Portal de

cumplimiento de Microsoft Purview, que permite que los administradores
administren y realicen un seguimiento de las actividades de cumplimiento. En
cambio, la puntuación de cumplimiento es un cálculo de la posición de
cumplimiento general en toda la organización. La puntuación de cumplimiento está
disponible a través del Administrador de cumplimiento.
El Administrador de cumplimiento ofrece a los administradores las funciones que

necesitan para comprender y aumentar su puntuación de cumplimiento, de modo
que puedan mejorar en última instancia la posición de cumplimiento de la
organización y que así pueda lograr los requisitos de cumplimiento.

Continuar
Prueba de conocimientos
Completado
200 XP
3 minutos
Elija la respuesta más adecuada para cada una de las siguientes preguntas. Después, seleccione Comprobar las
respuestas.
1. Un nuevo administrador se unió al equipo y necesita obtener acceso al Portal de cumplimiento de Microsoft Purview.
¿Cuál de los siguientes roles puede usar el administrador para obtener acceso al Portal de cumplimiento?
El rol de Administrador de cumplimiento
Correcto. Se trata de uno de los diversos roles que puede usar para acceder al Portal de cumplimiento.
El rol de Administrador del departamento de soporte técnico
Rol de Administrador de usuarios
2. Sus nuevos compañeros del equipo de administración no están familiarizados con el concepto de controles compartidos
del Administrador de cumplimiento. ¿Cómo podría explicar el concepto de los controles compartidos?
Son controles que los reguladores externos y Microsoft tienen la responsabilidad de implementar.
Son controles que la organización y los reguladores externos tienen la responsabilidad de implementar.
Son controles que la organización y Microsoft tienen la responsabilidad de implementar.
Correcto. Tanto la organización como Microsoft trabajan juntos para implementar estos controles.
3. Un cliente ha solicitado una presentación sobre cómo podría usar el Portal de cumplimiento de Microsoft Purview para
mejorar la postura de cumplimiento de su organización. La presentación deberá explicar el Administrador de cumplimiento y
la puntuación de cumplimiento. ¿Cuál es la diferencia entre el Administrador de cumplimiento y la puntuación de
cumplimiento?
El Administrador de cumplimiento es una solución completa del Portal de cumplimiento de Microsoft Purview, que permite
que los administradores administren y realicen un seguimiento de las actividades de cumplimiento. En cambio, la
puntuación de cumplimiento es un cálculo de la posición de cumplimiento general en toda la organización.
Correcto. El Administrador de cumplimiento ofrece a los administradores las funciones que necesitan para comprender y
aumentar la puntuación de cumplimiento, de modo que puedan mejorar en última instancia la posición de cumplimiento de
la organización y así lograr los requisitos de cumplimiento.
El Administrador de cumplimiento es una solución completa del Portal de cumplimiento de Microsoft Purview, que permite
que los administradores administren y realicen un seguimiento de las actividades de cumplimiento. La puntuación de
cumplimiento es una puntuación que la organización recibe de los reguladores para lograr el cumplimiento establecido.
Incorrecto. Asimismo, los reguladores no asignan la puntuación de cumplimiento. Es un cálculo de la posición de

cumplimiento general de toda la organización y que está disponible en el Administrador de cumplimiento.
El Administrador de cumplimiento es el regulador que administrará las actividades de cumplimiento. En cambio, la

puntuación de cumplimiento es un cálculo de la posición de cumplimiento general en toda la organización.
Siguiente unidad: Resumen y recursos
Conocimiento, protección y
gobernanza de los datos
Completado100 XP
 2 minutos
Nota

soluciones dentro del área de cumplimiento se han cambiado de marca. Microsoft
Information Protection ahora es Microsoft Purview Information Protection. La
Gobernanza de la información en Microsoft ahora es la Administración del ciclo de
vida de los datos en Microsoft Purview. Para más información sobre Microsoft
Microsoft Purview Information Protection detecta, clasifica y protege contenido

confidencial y crítico para la empresa durante todo su ciclo de vida en toda la
organización. Proporciona las herramientas necesarias para conocer los datos,
protegerlos y evitar su pérdida.
La Administración del ciclo de vida de los datos en Microsoft Purview administra el
ciclo de vida del contenido mediante soluciones para importar, almacenar y
clasificar los datos críticos para la empresa, de modo que puede conservar lo que
necesita y eliminar lo que no necesita. Ofrece a las organizaciones la capacidad de
controlar sus datos, con fines de cumplimiento normativo.
La protección de la información y la administración del ciclo de vida de los datos

funcionan en conjunto para clasificar, proteger y controlar los datos donde residen
y dondequiera que vayan.
 Conocimiento de los datos: las organizaciones pueden conocer su

panorama de datos e identificar los que son importantes en el entorno local,
en la nube y en un entorno híbrido. Funcionalidades y herramientas como los
clasificadores que se pueden entrenar, el explorador de actividades y el
explorador de contenido permiten a las organizaciones conocer sus datos.
 Protección de los datos: las organizaciones pueden aplicar medidas de
protección flexibles, incluidos el cifrado, las restricciones de acceso y los
distintivos visuales.
 Prevención de la pérdida de datos: las organizaciones pueden detectar
comportamientos de riesgo y evitar el uso compartido accidental de
información confidencial. Características como las directivas de prevención de
la pérdida de datos y la prevención de pérdida de datos en los puntos de
conexión permiten a las organizaciones evitar la pérdida de datos.
 Gobernanza de los datos: las organizaciones pueden mantener, eliminar y
almacenar datos y registros automáticamente de una manera conforme con
la normativa. Características de administración del ciclo de vida de datos
como directivas y etiquetas de retención, y administración de registros,
permiten a las organizaciones gobernar sus datos.
funcionalidades de clasificación de datos del portal
de cumplimiento
Continuar

clasificación de datos del portal de
cumplimiento
Completado100 XP
 11 minutos
Nota

soluciones dentro del área de cumplimiento se han cambiado de marca. Para
obtener más información sobre Microsoft Purview, vea el anuncio del blog.
Las organizaciones necesitan conocer sus datos para identificar la información

importante en todo el patrimonio y asegurarse de que los datos se controlan de
acuerdo con los requisitos de cumplimiento. Los administradores pueden permitir a
su organización conocer los datos mediante las características y herramientas de
clasificación de los datos del Portal de cumplimiento de Microsoft Purview, como
los tipos de información confidencial, los clasificadores que se pueden entrenar, el
explorador de contenido y el explorador de actividades.
La identificación y clasificación de elementos confidenciales que están bajo el

control de su organización es el primer paso de la materia de Information
Protection. Microsoft Purview proporciona tres maneras de identificar elementos
para que se puedan clasificar:
 Manualmente por los usuarios

 Reconocimiento de patrones automatizado, como tipos de información
confidencial
 aprendizaje automático
Tipos de información confidencial
Los tipos de información confidencial (SIT) son clasificadores basados en patrones.
Tienen patrones establecidos que se pueden usar para identificarlos. Por ejemplo,
un número de identificación de un país o una región puede basarse en un patrón
específico, como este:
123-456-789-ABC
Microsoft Purview incluye muchos tipos de información confidencial basados en

patrones definidos por una expresión regular (regex) o una función.
Algunos ejemplos son:
 Números de tarjeta de crédito

 Números de pasaporte o de identificación
 Números de cuentas bancarias
 Números de servicios de salud
Consulte Definiciones de entidad de tipos de información confidencial para

obtener una lista de los tipos de información confidencial integrados disponibles.
La clasificación de datos en Microsoft Purview también permite crear tipos de

información confidencial personalizados para satisfacer requisitos específicos de la
organización. Por ejemplo, es posible que una organización necesite crear tipos de
información confidencial para representar los id. de los empleados o los números
de proyecto.
También se admite la clasificación basada en coincidencias exactas de datos (EDM).

La clasificación basada en EDM le permite crear tipos de información confidencial
personalizados que hacen referencia a valores exactos en una base de datos de
Clasificadores que se pueden entrenar

Los clasificadores que se pueden entrenar utilizan inteligencia artificial y
aprendizaje automático para clasificar los datos de forma inteligente. Son
especialmente útiles para clasificar datos únicos para una organización, como tipos
específicos de contratos, facturas o registros de clientes. Este método de
clasificación consiste más en entrenar un clasificador para identificar un elemento
en función de lo que el elemento es, no de lo que contiene (coincidencia de
patrones). Hay dos tipos de clasificadores disponibles:
 Clasificadores previamente entrenados: Microsoft ha creado y

entrenado muchos clasificadores que puede empezar a usar sin
necesidad de entrenarlos. Estos clasificadores aparecen con el
estado Listos para usar. Microsoft Purview incluye cinco clasificadores
previamente entrenados que detectan y clasifican elementos como
currículos, código fuente, acoso, blasfemias y amenazas (en relación
con acciones violentas o daños físicos).
 Clasificadores que se pueden entrenar personalizados: Microsoft

permite crear y entrenar clasificadores personalizados. Son
especialmente útiles para clasificar datos únicos para una organización,
como tipos específicos de contratos, facturas o registros de clientes.
Para obtener un clasificador que se pueda entrenar personalizado para identificar

con precisión un elemento que esté en una categoría de contenido determinada,
deben mostrársele primero muchos ejemplos del tipo de contenido de esa
categoría. Esta alimentación de ejemplos positivos se conoce como propagación y
se usa para crear un modelo de predicción para el clasificador.
El modelo se prueba para determinar si el clasificador puede distinguir

correctamente los elementos que coinciden con la categoría y los que no. El
resultado de cada predicción se comprueba manualmente, que sirve como entrada
para mejorar la precisión del modelo de predicción.
Una vez estabilizada la puntuación de precisión del modelo, se puede publicar el

clasificador. Después, los clasificadores que se pueden entrenar tienen la capacidad
de ordenar elementos en ubicaciones como SharePoint Online, Exchange y
OneDrive, y clasificar el contenido.
Nota
Actualmente, los clasificadores solo funcionan con elementos que no están

cifrados.
Conocimiento y exploración de los datos

La clasificación de datos puede implicar un gran número de documentos y correos
electrónicos. Con el fin de ayudar a los administradores a obtener y comprender
fácilmente la información, la sección de información general del panel de
clasificación de datos del Portal de cumplimiento proporciona muchos detalles de
un vistazo, entre los que se incluyen:
 Número de elementos clasificados como información confidencial y a qué

categorías pertenecen.
 Detalles sobre la ubicación de los datos en función de la sensibilidad.
 Resumen de las acciones que realizan los usuarios con el contenido
confidencial en toda la organización.
Los administradores también pueden usar los exploradores de contenido y de

actividades para obtener un conocimiento más profundo y guiar sus acciones.
¿Qué es el explorador de contenido?
El explorador de contenido está disponible como una pestaña en el panel de

clasificación de datos del Portal de cumplimiento. Permite a los administradores
obtener visibilidad sobre el contenido que se ha resumido en el panel de
información general.
El acceso al explorador de contenido está muy restringido, porque permite leer el

contenido de los archivos digitalizados. Hay dos roles que conceden acceso al
explorador de contenido:
 Visor de listas del explorador de contenido.

 Visor de contenido del explorador de contenido.
Cualquier persona que desee tener acceso al explorador de contenido debe tener
una cuenta en uno o en ambos grupos de roles.
Con el explorador de contenido, los administradores obtienen una instantánea

actual de los elementos individuales que se han clasificado en la organización.
Permite a los administradores profundizar más en los elementos, ya que pueden
acceder y revisar el contenido de origen digitalizado que se almacena en diferentes
tipos de ubicaciones, como Exchange, SharePoint y OneDrive.
¿Qué es el explorador de actividades?
El explorador de actividades proporciona visibilidad sobre qué contenido se ha

detectado y etiquetado, y dónde está. Permite supervisar lo que se está haciendo
con el contenido etiquetado en toda la organización. Los administradores obtienen
visibilidad de las actividades a nivel de documento, como los cambios y la
degradación de etiquetas (por ejemplo, cuando alguien cambia una etiqueta de
confidencial a pública).
Los administradores usan los filtros para ver todos los detalles de una etiqueta
específica, incluidos los tipos de archivo, los usuarios y las actividades. El
explorador de actividades ayuda a comprender lo que se está haciendo con el
contenido etiquetado a lo largo del tiempo. Los administradores utilizan el
explorador de actividades para evaluar si los controles implementados son
efectivos.
Estos son algunos de los tipos de actividad que se pueden analizar:
 Archivo copiado en un medio extraíble

 Archivo copiado en un recurso compartido de red
 Etiqueta aplicada
 Etiqueta modificada
Los administradores pueden usar más de 30 filtros para los datos, entre los que se
incluyen:
 Location
 Usuario
 Etiqueta de confidencialidad
 Etiqueta de retención
El valor de conocer las acciones que se están llevando a cabo con el contenido
confidencial está en que los administradores pueden ver si los controles que ya han
implementado, como las directivas de prevención de pérdida de datos, son
efectivos o no. Por ejemplo, si se detecta que un gran número de elementos con la
etiqueta Extremadamente confidencial se han degradado repentinamente con la
etiqueta Público, los administradores pueden actualizar las directivas y actuar para
restringir el comportamiento no deseado como respuesta.
Exploración de la clasificación de los datos en el
Portal de cumplimiento
El siguiente vídeo hace un recorrido por las diversas características de clasificación
de datos disponibles en el Portal de cumplimiento.
Nota

lo que es posible que la interfaz de usuario que se muestra en el vídeo no refleje
las actualizaciones más recientes.
Siguiente unidad: Descripción de las directivas y las

etiquetas de confidencialidad
Continuar
Descripción de las directivas y las

etiquetas de confidencialidad
Completado100 XP
 5 minutos
Nota

soluciones dentro del área de cumplimiento se han cambiado de marca. Para más
información sobre Microsoft Purview, vea el anuncio del blog.
Las organizaciones deben proteger sus datos, a los clientes y las operaciones
empresariales y satisfacer los estándares de cumplimiento. Los administradores
pueden preparar su organización para proteger los datos, con características y
herramientas como las directivas y las etiquetas de confidencialidad del Portal de
cumplimiento de Microsoft Purview.
Etiquetas de confidencialidad
Las etiquetas de confidencialidad, disponibles como parte de la protección de la
información en el Portal de cumplimiento de Microsoft Purview, permiten etiquetar
y proteger el contenido, sin que ello afecte a la productividad y la colaboración.
Con las etiquetas de confidencialidad, las organizaciones pueden decidir si se
aplican a contenido como los mensajes de correo electrónico y los documentos, de
forma muy similar a como se aplican diferentes sellos a los documentos físicos:
Las etiquetas son:
 Personalizable: los administradores pueden crear diferentes categorías

específicas para la organización, como Personal, Público, Confidencial y
Extremadamente confidencial.
 Texto no cifrado: dado que cada etiqueta se almacena en texto no cifrado
en los metadatos del contenido, las aplicaciones y servicios de terceros
pueden leerla y aplicar sus propias medidas de protección, si es necesario.
 Persistente: después de aplicar una etiqueta de confidencialidad al
contenido, esta se almacena en los metadatos de ese correo electrónico o
documento. Después, la etiqueta se mueve con el contenido, incluida la
configuración de protección, y estos datos se convierten en la base para
aplicar e imponer directivas.
A cada elemento que admite etiquetas de confidencialidad solo se le puede aplicar

una, en un momento dado.
Las etiquetas de confidencialidad se pueden configurar para lo siguiente:
 Cifrar solo el correo electrónico o el correo electrónico y los documentos.

 Marcar el contenido cuando se usan las aplicaciones de Office. El marcado
del contenido incluye agregar marcas de agua, encabezados o pies de
página. Los encabezados y pies de página se pueden agregar a los mensajes
de correo electrónico o a los documentos. Las marcas de agua se pueden
aplicar a los documentos, pero no al correo electrónico.
 Aplicar la etiqueta automáticamente en las aplicaciones de Office o
recomendar una etiqueta. Los administradores eligen los tipos de
información confidencial que se etiquetarán. La etiqueta se puede aplicar de
forma automática o se puede configurar para indicar a los usuarios que
apliquen la etiqueta recomendada.
 Proteger el contenido de contenedores como sitios y grupos. Esta
configuración de etiquetas no da lugar a que los documentos se etiqueten
automáticamente, sino que protege el contenido controlando el acceso al
contenedor donde se almacenan los documentos.
 Extender las etiquetas de confidencialidad a aplicaciones y servicios de
terceros. Con el SDK de Microsoft Purview Information Protection, las
aplicaciones de terceros pueden leer las etiquetas de confidencialidad y
aplicar una configuración de protección.
 Clasificar el contenido sin usar ninguna configuración de protección. Se
puede asignar una clasificación al contenido (igual que un adhesivo) que se
mantiene y se mueve con el contenido a medida que se usa y se comparte. La
clasificación se puede usar para generar informes de uso y ver los datos de
actividad del contenido confidencial.
Directivas de etiquetas
Una vez creadas las etiquetas de confidencialidad, deben publicarse con el fin de
que estén disponibles para las personas y los servicios de la organización. Las
etiquetas de confidencialidad se publican para los usuarios o grupos mediante
directivas de etiquetas. Después, las etiquetas de confidencialidad aparecen en las
aplicaciones de Office para esos usuarios y grupos. Las etiquetas de
confidencialidad se pueden aplicar a documentos y mensajes de correo electrónico.
Las directivas de etiquetas permiten a los administradores hacer lo siguiente:
 Elegir los usuarios y grupos que pueden ver las etiquetas. Las etiquetas se
pueden publicar para usuarios específicos, grupos de distribución, grupos de
Microsoft 365 en Azure Active Directory, etc.
 Aplicar una etiqueta predeterminada a todos los mensajes de correo
electrónico y documentos nuevos que creen los usuarios y grupos
especificados. Los usuarios siempre pueden cambiar la etiqueta
predeterminada si creen que el documento o el correo electrónico se han
etiquetado erróneamente.
 Requerir justificaciones para los cambios de etiqueta. Si un usuario desea
quitar una etiqueta o reemplazarla, los administradores pueden exigir que el
usuario proporcione una justificación válida para completar la acción. Se le
pedirá al usuario que proporcione una explicación de por qué se debe
cambiar la etiqueta.
 Requerir a los usuarios que apliquen una etiqueta (etiquetado
obligatorio). Esto asegura que se aplique una etiqueta antes de que los
usuarios puedan guardar los documentos, enviar mensajes de correo
electrónico o crear sitios o grupos nuevos.
 Vincular usuarios a páginas de ayuda personalizadas. Ayuda a los usuarios
a saber qué significan las diferentes etiquetas y cómo deben usarse.
Una vez que se aplica una etiqueta de confidencialidad a un correo electrónico o

un documento, se aplican al contenido los valores de protección configurados para
esa etiqueta.
Siguiente unidad: Descripción de la prevención de
la pérdida de datos
Continuar
Descripción de la prevención de la
pérdida de datos
Completado100 XP
 5 minutos
Nota

soluciones dentro del área de cumplimiento se han cambiado de marca. La
Prevención de pérdida de datos en Office 365 ahora es la Prevención de pérdida de
datos en Microsoft Purview. Para más información sobre Microsoft Purview, vea
La pérdida de datos puede perjudicar a los clientes de una organización, los

procesos empresariales y la propia organización. Las organizaciones deben
prevenir la pérdida de datos mediante la detección de comportamientos de riesgo
y evitando que la información confidencial se comparta de forma inapropiada. Los
administradores pueden usar las directivas de prevención de pérdida de datos,
disponibles en el Portal de cumplimiento de Microsoft Purview, para ayudar a su
organización.
La prevención de pérdida de datos (DLP) de Microsoft Purview es una manera de

proteger la información confidencial y evitar su divulgación de forma accidental.
Con las directivas DLP, los administradores pueden hacer lo siguiente:
 Identificar, supervisar y proteger automáticamente la información

confidencial en Microsoft 365, donde se incluyen:
o OneDrive para la Empresa
o SharePoint Online
o Equipos de Microsoft
o Exchange Online
 Ayudar a los usuarios a comprender cómo funciona el cumplimiento sin
interrumpir su flujo de trabajo. Por ejemplo, si un usuario intenta compartir
un documento que contiene información confidencial, una directiva DLP
puede enviarle una notificación por correo electrónico y mostrarle una
sugerencia de directiva.
 Ver informes DLP que muestran contenido que coincide con las directivas
DLP de la organización. Para evaluar cómo está siguiendo la organización una
directiva DLP, los administradores pueden ver cuántas coincidencias tiene
cada directiva a lo largo del tiempo.
Las directivas DLP protegen el contenido mediante la aplicación de reglas que

constan de:
 Condiciones con las que debe coincidir el contenido para que se aplique la

regla.
 Acciones que el administrador desea que la regla lleve a cabo
automáticamente cuando se encuentre contenido que coincida con las
condiciones.
 Ubicaciones en las que se aplicará la directiva, como Exchange, SharePoint,
OneDrive, etc.
Por ejemplo, un administrador puede configurar una directiva DLP que ayude a
detectar información sujeta al cumplimiento de una normativa, como la Ley de
transferencia y responsabilidad de seguros de salud (HIPAA), en todos los sitios de
SharePoint y OneDrive para la Empresa. El administrador puede impedir que los
documentos correspondientes se compartan de forma inapropiada.
Las directivas DLP protegen la información mediante la identificación y la

protección automática de los datos confidenciales. Estos son algunos casos en los
que las directivas DLP pueden ser de gran utilidad:
 Identificar cualquier documento que contenga un número de tarjeta de

crédito almacenado en cuentas de usuario de OneDrive para la Empresa.
 Impedir automáticamente que se envíe fuera de la organización un correo
electrónico que contenga información personal de los empleados.
Una directiva puede contener una o varias reglas, y cada regla se compone de
condiciones y acciones como mínimo. Para cada regla, cuando se cumplen las
condiciones, las acciones se realizan automáticamente. Las reglas se pueden
agrupar en una directiva para simplificar la administración y la creación de
informes. En el diagrama siguiente se muestra cómo se agrupan varias reglas en
una única directiva, cada una con sus propias condiciones y acciones.
Las reglas de la directiva se clasifican por orden de prioridad en cuanto a su
implementación. Por ejemplo, en el diagrama anterior, la regla uno tiene prioridad
sobre la regla dos, etc.
¿Qué es la prevención de pérdida de datos en los

puntos de conexión?
La prevención de pérdida de datos en los puntos de conexión (DLP de punto de
conexión) amplía las características de supervisión y protección de la actividad de
DLP para elementos confidenciales almacenados físicamente en dispositivos
Windows 10, Windows 11 y macOS (Catalina 10.15 y versiones posteriores).
La funcionalidad DLP de punto de conexión permite a los administradores auditar y

administrar las actividades que los usuarios llevan a cabo en contenido
confidencial. Se enumeran algunos ejemplos a continuación:
 Crear un elemento
 Cambiar el nombre de un elemento
 Copiar elementos en medios extraíbles
 Copiar elementos en recursos compartidos de red
 Imprimir documentos
 Acceder a elementos desde aplicaciones y exploradores no permitidos
En el explorador de actividades, puede ver información sobre lo que hacen los
usuarios con el contenido confidencial.
Los administradores utilizan esta información para aplicar acciones de protección

del contenido mediante controles y directivas.
Prevención de la pérdida de datos en

Microsoft Teams
Las características de prevención de la pérdida de datos se han ampliado a los
mensajes de chat y de canal de Microsoft Teams, incluidos los mensajes de canales
privados. Con DLP, los administradores ahora pueden definir directivas que
impidan que los usuarios compartan información confidencial en un canal o una
sesión de chat de Teams, ya sea en un mensaje o en un archivo. Al igual que con
Exchange, Outlook, SharePoint y OneDrive para la Empresa, los administradores
pueden usar las sugerencias de las directivas DLP que se muestran a los usuarios
para explicarles por qué se ha desencadenado una directiva. Por ejemplo, en la
captura de pantalla siguiente se muestra una sugerencia de directiva en un
mensaje de chat que se ha bloqueado porque el usuario ha intentado compartir un
número de la seguridad social de Estados Unidos.
El usuario puede seleccionar el vínculo "¿Qué puedo hacer?" para obtener más
información sobre por qué se ha bloqueado su mensaje y realizar la acción
adecuada.
Con las directivas DLP, Microsoft Teams puede ayudar a los usuarios a colaborar de
forma segura y en línea con los requisitos de cumplimiento.
Siguiente unidad: Descripción de las directivas y las
etiquetas de retención
Descripción de la administración de
registros
Completado100 XP
 3 minutos
Nota

soluciones dentro del área de cumplimiento se han cambiado de marca. La
Administración de registros en Microsoft 365 ahora es la Administración de
registros en Microsoft Purview. Para más información sobre Microsoft Purview, vea
Las organizaciones de todos los tipos requieren una solución para administrar los
registros normativos, legales y críticos para la empresa en todos los datos
corporativos. La Administración de registros en Microsoft Purview ayuda a una
organización a atender sus obligaciones legales. También ayuda a demostrar el
cumplimiento normativo y aumenta la eficacia con la eliminación periódica de los
elementos que ya no es necesario conservar, ya no tienen valor o ya no son
necesarios para fines empresariales. La Administración de registros en
Microsoft Purview abarca muchas características, entre las que se incluyen las
siguientes:
 Etiquetado del contenido como un registro.

 Establecimiento de directivas de retención y eliminación dentro de la etiqueta
del registro.
 Desencadenamiento de la retención basada en eventos.
 Revisión y validación para la eliminación.
 Prueba de eliminación de registros.
 Exportación de información sobre los elementos eliminados.
Cuando el contenido se etiqueta como un registro, ocurre lo siguiente:
 Se aplican restricciones para impedir determinadas actividades.

 Se registran las actividades.
 La prueba para la eliminación se mantiene al final del período de retención.
Para permitir que los elementos se marquen como registros, un administrador
configura etiquetas de retención.
Elementos como los documentos y los correos electrónicos se pueden marcar

como registros en función de las etiquetas de retención. Los elementos pueden
estar marcados como registros, pero también se pueden mostrar como registros
reglamentarios. Los registros reglamentarios proporcionan otros controles y
restricciones, como los siguientes:
 Una etiqueta normativa no se puede quitar cuando un elemento se ha

marcado como registro reglamentario.
 Los períodos de retención no se pueden acortar después de aplicar la
etiqueta.
Para obtener más información acerca de la comparación, consulte Comparar

restricciones de acciones permitidas o bloqueadas en la documentación.
La diferencia más importante es que, si el contenido se ha marcado como un

registro reglamentario, nadie, ni siquiera un administrador global, puede quitar la
etiqueta. Marcar un elemento como registro reglamentario puede tener
consecuencias irreversibles y solo debe usarse cuando sea necesario. Como
resultado, esta opción no está disponible de forma predeterminada y debe
habilitarla el administrador usando PowerShell.
Casos de uso comunes de la administración de

registros
Las características de Administración de registros de Microsoft Purview son
flexibles. Hay diferentes maneras en las que se puede usar la administración de
registros en una organización, entre las que se incluyen:
 Permitir a los administradores y usuarios aplicar manualmente acciones de

retención y eliminación de documentos y correos electrónicos.
 Aplicar automáticamente acciones de retención y eliminación a documentos y
correos electrónicos.
 Permitir a los administradores de sitios establecer acciones de retención y
eliminación predeterminadas para todo el contenido de una biblioteca, una
carpeta o un conjunto de documentos de SharePoint.
 Permitir a los usuarios aplicar automáticamente acciones de retención y
eliminación a los mensajes de correo electrónico mediante las reglas de
Outlook.
Para asegurarse de que la administración de registros se usa correctamente en

toda la organización, los administradores pueden trabajar con los creadores de
contenido para reunir material de aprendizaje. La documentación debe explicar
cómo aplicar las etiquetas para facilitar su uso y asegurar una comprensión
coherente.
Prueba de conocimientos
200 XP
 4 minutos
Elija la respuesta más adecuada para cada una de las siguientes preguntas. Después,
seleccione Comprobar las respuestas.
1.
¿Qué parte del concepto de conocimiento, protección, control y prevención de la

pérdida de datos soluciona la necesidad de las organizaciones de retener, eliminar
y almacenar los datos y registros automáticamente de una manera conforme con la
normativa?
Conozca los datos
Prevención de pérdida de datos
Gobernanza de los datos

2.
Como parte de una nueva directiva de prevención de la pérdida de datos, el

administrador de cumplimiento debe ser capaz de identificar la información
importante, como los números de tarjetas de crédito, en los datos de la
organización. ¿Cómo puede solucionar este requisito el administrador?
Usando el explorador de actividades
Usando etiquetas de confidencialidad
Usando tipos de información confidencial

3.
Dentro de la organización, algunos mensajes de correo electrónico son

confidenciales y deben cifrarse para que solo los usuarios autorizados puedan
leerlos. ¿Cómo se puede implementar este requisito?
Usando el explorador de contenido
Uso de la administración de registros

4.
Su organización utiliza Microsoft Teams para colaborar en todos los proyectos. El

administrador de cumplimiento quiere impedir que los usuarios compartan
accidentalmente información confidencial en una sesión de chat de
Microsoft Teams. ¿Qué característica puede solucionar este requisito?
Uso de directivas de prevención de pérdida de datos

Uso de las características de administración de registros
Uso de directivas de retención

5.
Debido a una normativa determinada, su organización debe conservar todos los

documentos de un sitio de SharePoint específico que contiene información de
clientes durante cinco años. ¿Cómo se puede implementar este requisito?
Usando el explorador de contenido
Usando directivas de retención

Comprobar las respuestas

Introducción: Siguiente Unidad: Descripción Del Modelo de Responsabilidad Compartida

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Introducción: Siguiente Unidad: Descripción Del Modelo de Responsabilidad Compartida

Cargado por

Copyright:

Formatos disponibles

Introducción

A medida que se obtiene acceso a más datos empresariales desde ubicaciones

Este módulo presenta algunos conceptos importantes sobre seguridad y

Después de completar este módulo, podrá:

 Describir la responsabilidad compartida y los modelos de seguridad

Siguiente unidad: Descripción del modelo de

Descripción del modelo de

En organizaciones que solo ejecutan hardware y software local, la organización es

El modelo de responsabilidad compartida identifica qué tareas de seguridad

 Software como servicio (SaaS)

El modelo de responsabilidad compartida hace que las responsabilidades resulten

En el diagrama siguiente se muestran las áreas de responsabilidad entre el cliente y

En cuanto a todos los tipos de implementación en la nube, usted es el propietario

En resumen, las responsabilidades que siempre retiene la organización del cliente

 La información y los datos.

La ventaja del modelo de responsabilidad compartida es que las organizaciones

Descripción del modelo de

En organizaciones que solo ejecutan hardware y software local, la organización es

El modelo de responsabilidad compartida identifica qué tareas de seguridad

 Software como servicio (SaaS)

El modelo de responsabilidad compartida hace que las responsabilidades resulten

En el diagrama siguiente se muestran las áreas de responsabilidad entre el cliente y

En cuanto a todos los tipos de implementación en la nube, usted es el propietario

En resumen, las responsabilidades que siempre retiene la organización del cliente

 La información y los datos.

La ventaja del modelo de responsabilidad compartida es que las organizaciones

Siguiente unidad: Descripción de la defensa en

La defensa en profundidad usa un enfoque por capas para la seguridad, en lugar

Los niveles de seguridad de ejemplo pueden incluir:

Como se ha descrito anteriormente, una estrategia de defensa en profundidad usa

 La confidencialidad se refiere a la necesidad de conservar datos

 La integridad indica la necesidad de mantener los datos o mensajes

 La disponibilidad se refiere a poner los datos a disposición de los

Aunque los objetivos de una estrategia de ciberseguridad son preservar la

Siguiente unidad: Descripción del modelo de

Descripción del modelo de Confianza

La capacidad de los atacantes para eludir los controles de acceso convencionales

En este vídeo se muestra la metodología de confianza cero:

Principios de GUID de confianza cero

 Comprobación de forma explícita. Autentique y autorice siempre el

Seis pilares básicos

En el modelo de confianza cero, todos los elementos funcionan juntos para

 Las identidades pueden ser usuarios, servicios o dispositivos. Cuando una

Siguiente unidad: Descripción del cifrado y el

Descripción del cifrado y el código

Una manera de mitigar las amenazas de ciberseguridad más comunes es cifrar

Hay dos tipos de cifrado de nivel superior: simétrico y asimétrico. El cifrado

Cifrado de datos en tránsito

Cifrado de datos en uso

Aplicación de algoritmo hash

El hash se usa para almacenar contraseñas. Cuando un usuario escribe su

Descripción de los conceptos de

Los organismos gubernamentales y los grupos del sector han aprobado

 Residencia de datos: cuando se trata de cumplimiento, los

En la mayoría de los casos, las leyes y los reglamentos no determinan ni prescriben

Siguiente unidad: Prueba de conocimientos

En este módulo, conocerá los conceptos clave de autenticación y autorización, y

Después de completar este módulo, podrá:

 Entienda la diferencia entre autenticación y autorización.

La autenticación es el proceso de demostrar que una persona es quien dice ser.

Si desea acceder a un equipo o un dispositivo, se encontrará con un tipo de

Cuando autentique a un usuario, tendrá que decidir adónde puede ir y qué se le