Saltar al contenido
Inicio / Sin categoría / Azure AD: Entorno seguro de uso compartido con invitados y externos

Azure AD: Entorno seguro de uso compartido con invitados y externos

Si estáis utilizando Office 365, de las cosas más maravillosas que tiene es la facilidad de compartir con terceros (usuarios fuera de nuestro tenant) el acceso a nuestros datos (Teams, SharePoint, OneDrive), pero debemos tenerlo bajo control. Hoy voy a mostraros algunas cosas que creo que deberíamos hacer siempre, sobre todo con los usuarios externos:

  • Autenticación MFA:
  • Revisión periódica de sus acceso
  • Control de utilización de aplicaciones [permitir solo acceso vía web]

Para todo esto, vamos a seguir utilizando las configuraciones de Acceso Condicional, Identity Governance y una configuración muy sencilla de SPO. Antes de nada, aquí os muestro una pequeña infografía de las configuraciones que queremos aplicar:

Cuando invitamos a usuarios externos, deberíamos también proteger esas cuentas, puesto que, si sus cuentas se ven comprometidas tendremos un problema. Para ello, una de las cosas que debemos hacer es configurar MFA para estos usuarios. El proceso se muy sencillo, a continuación, describiré el proceso de habilitar MFA para nuestros usuarios invitados y/o externos.

Lo que debemos es crear una nueva directiva de acceso condicional, especificamos un nombre y ya en la sección incluir seleccionamos Todos los usuarios externos e invitados:

Seleccionamos Todas las aplicaciones de nube, esto hará que siempre solicitemos autenticación doble factor para cualquier aplicación desde la cual hayamos compartido información con los usuarios externos a la organización:

Seleccionamos Comprobación con MFA y marcamos Requerir alguno de los controles o Requerir todos los controles, en este caso es indiferente: 

Por último, cambiamos a Activado nuestra directamente y pulsamos en Crear.

Listo, con esto ya tenemos a todos nuestros usuarios invitados con acceso MFA obligatorio. La próxima vez que inicien sesión, se les pedirá que se inscriban en la autenticación multifactor.

Ahora que tenemos a nuestros usuarios habilitados para MFA, debemos controlar si los usuarios siguen necesitando el acceso o se les podría retirar. Muchas veces compartimos información con terceros, pero nunca nos acordamos de retirar dicho acceso. Pues esto lo vamos a gestionar con Identity Governance, puesto que nos permite revisar el acceso a equipos y grupos a los cuales es posible que con el tiempo no tengan o ya no accedan y lo mejor es retirar estos permisos. Para ello, debemos acceder Identity Governance. Revisión de acceso y  pulsamos en Nueva revisión de acceso:

Seleccionamos que queremos revisar, en mi caso quiero hacerlo sobre equipos y grupos:

Podemos definir un filtro de equipos y grupos a revisar o bien podemos revisarlos todos, será mi elección y seleccionamos que revisaremos los invitados:

Podemos seleccionar quienes serán lo revisores, en este los propietarios del grupo y luego como secundario podemos elegir otro grupo de usuarios. Luego definimos la duración de la revisión, la periodicidad, fecha de inicio y de fin:

Paso importante, si los revisores informados no responden a las solicitudes automáticas elegimos la acción a ejecutar de forma automática:

Claramente yo quiero Quitar acceso, así si los usuarios no han tenido acceso durante los días definidos, entonces se les quitará el acceso:

Poco más, ficha resumen y pulsamos en Crear para finalizar el proceso.

Con este proceso, se encargará el sistema de quitar acceso a los usuarios externos que no hayan tenido actividad en los intervalos que hemos definido en la configuración.

Por último en este artículo, vamos a obligar a que los invitados solo se puedan conectar exclusivamente desde un navegador web. Este proceso irá combinado entre una directiva de Acceso Condicional + Configuración de SPO. Empecemos por la configuración de acceso condicional, esta es su definición:

Configuración MFA [sin comentar, porque creo que es muy obvia]

Configuración SPO [sin comentar, porque creo que es muy obvia]

Listo, con esto ya buena parte del trabajo hecho, hay más cosas por configurar, pero ya es una buena base para gobernar el acceso de nuestros invitados.

Ahora, como siempre, os tocar probarlo a vosotros!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!