Mejores prácticas para proteger Office 365

Microsoft Office 365 viene con muchas funciones para proteger sus datos contra las amenazas actuales. Si crea un nuevo inquilino, algunospero no todosAlgunas de estas funciones de seguridad están habilitadas de forma predeterminada. Sin embargo, los inquilinos existentes deberán mantenerse al día con las nuevas funciones de seguridad y habilitarlas manualmente para proteger Office 365.

He escrito esta guía para que la utilice como base para proteger su inquilino de Microsoft Office 365. Todas las funciones de seguridad se pueden habilitar.sin necesidad de productos complementarios adicionalescomo Advanced Thread Protection, Defender para Office 365 o Entra ID P1 o P2.

En esta guía vamos a configurar los siguientes ajustes de seguridad:

Valores predeterminados de seguridad de Office 365

Los valores predeterminados de seguridad en Microsoft Office 365 sonajustes de seguridad preconfiguradosque le ayudan a proteger sus datos de Office 365 contra amenazas comunes. Estas configuraciones incluyen:

  • Habilite la autenticación multifactor (MFA) para todos los usuarios y administradores
  • Bloquear protocolos de autenticación heredados
  • Exigir a los usuarios que utilicen MFA cuando sea necesario (eventos de inicio de sesión riesgosos)
  • Bloquear el acceso de los usuarios al Portal de Azure

Si su inquilino fue creadodespués del 21 de octubre de 2019, entonces es posible que la configuración predeterminada de seguridad esté habilitada para su inquilino.

Antes de habilitar los valores predeterminados de seguridad en Microsoft 365, debes tener en cuenta algunas cosas. TúNo puedo hacer ninguna excepción a las políticas.. Por lo tanto, no puede desactivar MFA para un usuario ni activar el protocolo de autenticación SMTP si lo necesita para una aplicación empresarial específica.

Tambien tu puedesUtilice únicamente la aplicación Microsoft Authenticatorusando notificaciones para la autenticación multifactor. Los mensajes de texto o las contraseñas de aplicaciones no se pueden usar con los valores predeterminados de seguridad habilitados.

Ahabilitar o deshabilitar los valores predeterminados de seguridadTendrá que iniciar sesión en el Centro de administración de Azure Active Directory:

  1. Inicia sesión enentra.microsoft.com
  2. Haga clic enIdentidady seleccioneDescripción general
  3. Abre elPestaña de descripción general
  4. Haga clic enAdministrar valores predeterminados de seguridad
  5. Habilitar valores predeterminados de seguridad

Si necesita deshabilitar los valores predeterminados de seguridad, asegúrese de haber habilitado al menos MFA para todos los administradores y usuarios siempre que sea posible y bloquee todos los protocolos heredados (por usuario).

Configurar la autenticación multifactor

Habilitar la autenticación multifactor (MFA) es la medida de seguridad más recomendada para proteger Office 365. Protege sus cuentas contra ataques de phishing y pulverización de contraseñas. La autenticación multifactor debe estar habilitada para todas las cuentas de administrador y usuario.

Primero, verificaremos la configuración predeterminada de autenticación multifactor.

  1. Inicia sesión enentra.microsoft.com
  2. ExpandirProtecciony abiertoMétodos de autenticación
  3. Compruebe si Microsoft Authenticator está habilitado paraTodos los usuarios
  1. Haga clic enAutenticador de Microsoftpara abrir la configuración
  2. Asegúrese de que elmétodo de autentificaciónse establece enContraseña Menos
  3. Haga clic enConfigurar
  4. PermitirMostrar nombre de la aplicacióny la opciónMostrar ubicación geográfica

Habilitando MFA para sus usuarios

La mejor manera de implementar MFA se basa en el acceso condicional. Obtiene esto cuando usa los valores predeterminados de seguridad, pero si no quiere o no puede usar los valores predeterminados de seguridad, necesitará Entra ID Plan 1 para esto.

Consejo

Lea más sobre cómo configurar políticas de acceso condicional en

Si no desea utilizar los valores predeterminados de seguridad y no tiene acceso condicional, entonces su única opción eshabilitar MFA para cada usuario manualmente.

Una buena opción es informar a sus usuarios sobre MFA y darles un período de dos semanas para habilitar MFA ellos mismos. Los usuarios pueden habilitar MFA a través del siguiente enlacehttps://aka.ms/mfasetup.

A continuación, puedes usar estopara obtener todos los usuarios que aún no tienen MFA habilitado, e incluso habilitarlo por usuario con el.

Crear una cuenta de administrador de acceso de emergencia

Microsoft recomienda que ustedcrear dos cuentas de administrador de emergencia. La idea detrás de esto es que estas cuentas sonexcluidos de la autenticación multifactor y de las políticas de acceso condicional.Si no utiliza políticas de acceso condicional, una cuenta de emergencia excluida de MFA es suficiente.

Estas cuentas evitan que se le bloquee el acceso a Azure Active Directory en caso de una circunstancia imprevista. Por ejemplo, una interrupción de la red de telefonía móvil que le impide aprobar la solicitud de MFA o la salida repentina del único Administrador Global.

No utilice estas cuentas a diario, sólo cuando pierda el acceso a Entra ID con su cuenta de administrador global normal.

Puede crear la cuenta de administrador en elCentro de administración de Microsoft 365bajoUsuarios > Usuarios activos > Agregar un usuario.

No es necesario asignar una licencia de producto al usuario, solo asegúrese de proporcionar la cuentaAcceso de administrador globalen la configuración opcional.

Anote la contraseña temporal y cámbiela a unacontraseña fuerte y muy larga generada aleatoriamente. Guarde la contraseña en un lugar seguro al que tengan acceso varias personas autorizadas.

Asegúreseexcluir una cuenta de las políticas de acceso condicional(si los usas) yexcluir la otra cuenta de la autenticación multifactor.

Puede encontrar más información sobre la cuenta de administrador de emergencia aquí en elDocumentación de Azure ADnorte.

Asignar control de acceso basado en roles (RBAC) para administradores

El control de acceso basado en roles para administradores se basa en laprincipio de privilegio mínimo(POLP). Las cuentas de usuario (administrador) siempre deben tener el nivel de privilegio mínimo necesario para realizar su trabajo.

Los empleados del servicio de asistencia no necesitan tener acceso de administrador global; por ejemplo, probablemente podrían hacer su trabajo solo con la función de administrador de usuarios y servicio de asistencia.

Para cuentas de servicio que solo necesitan leer cuentas de usuario de Azure Active Directory, puede usar elRol de lector de directorio. Esto permite que la aplicación lea todas las cuentas de usuario.

Puede asignar los roles en el Centro de administración de Microsoft 365. Pero me resulta más fácil hacerlo a través de Microsoft Entra ID:

  1. AbiertoTodos los usuariosyseleccione el usuarioquieres cambiar
  2. Haga clic enRoles asignados
  3. Hacer clicAgregar tareas
  4. Selecciona elrol(es) apropiado(s)y haga clic enAgregar

También puede ver todos los roles y los usuarios asignados enRoles y administradoren el directorio activo de Azure.

Habilitar registro de auditoría unificado

Si bien debemos hacer todo lo posible para evitar el acceso no autorizado y proteger a nuestro inquilino de Microsoft 365, también debemos planificar con anticipación en caso de que alguien obtenga acceso a nuestros sistemas. El registro le permite rastrear cuándo, qué y tal vez incluso cómo ocurrió una infracción.

El registro de auditoría del buzón está habilitado de forma predeterminada, pero también desea habilitar el registro de auditoría unificado. Esto le permite recopilar todos los registros en el Centro de cumplimiento de Microsoft 365, lo que facilita la búsqueda en ellos. También te permite crear alertas basadas en eventos que suceden.

Cada entrada en el Registro de auditoría unificado se conserva durante 90 días de forma predeterminada. Si necesita conservar las entradas por más tiempo, necesitará una licencia E5 para sus usuarios.

Nosotros podemos usarPotencia Shellpara habilitar el Registro de auditoría unificado. Asegúrate de que estásconectado a Exchange en líneay ejecute el siguiente cmdlet:

# Get the current Unified Audit Log status
Get-AdminAuditLogConfig | select UnifiedAuditLogIngestionEnabled

# Enable Unified Audit Log
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

También puede habilitarlo en el Centro de cumplimiento.

  1. Abre elCentro de cumplimiento(Competencia de Microsoft)
  2. Hacer clicMostrar todoen la barra lateral
  3. SeleccionarAuditoría
  4. Haga clic enComience a registrar la actividad de usuarios y administradores

Habilitar políticas de alerta

Las políticas de alerta están habilitadas de forma predeterminada en su inquilino de Microsoft Office 365. Estas políticas le ayudan a realizar un seguimiento de las actividades de los usuarios y administradores, y le alertan en caso de amenazas o incidentes de pérdida de datos. Encontrarás las políticas.Cumplimiento de Microsoft 365(Competencia) bajoPolíticas. Están listados comoPolíticas de alerta.

Compruebe si todos los tipos de sistema Las políticas se habilitan filtrando la lista porEstadoApagado.

Para evitar la pérdida de datos, también recomiendo que cree una nueva alerta que sea. Cuando el propietario de un equipo elimina un equipo de la lista con Teams, esto también puede resultar en la eliminación del sitio de SharePoint y de todos los datos.

Habilitar la evaluación de acceso continuo

La autenticación en Microsoft 365 se basa en tokens de acceso de OAuth 2.0. Estos tokens autorizan al usuario a acceder a los servicios, por ejemplo, cuando un usuario abre Outlook o inicia sesión en SharePoint. De forma predeterminada, el token es válido durante una hora y se actualiza automáticamente en segundo plano cuando caduca.

El problema con esta vida útil del token de una hora es que cualquier cambio en la autorización del usuario solo se detecta después de una hora como máximo. Cuando el usuario, por ejemplo, cambia de ubicación de red, las políticas de acceso condicional solo se activan cuando se renueva el token.

Al habilitarEvaluación de acceso continuo(CAE) podemos acortar este período a casi tiempo real, con un máximo de 15 minutos debido al tiempo de propagación del evento.

Nota

Microsoft ha trasladado CAE al acceso condicional, lo que requiere al menos un plan Entra ID P1. La Evaluación de Acceso Continuo eshabilitado automáticamentecomo parte de una política de acceso condicional. Puede ajustar CAE en la configuración de sesión de una política de acceso condicional.

Habilitar el tiempo de espera de inactividad del portal de Azure

En Azure Portal, puede establecer un tiempo de espera de inactividad para todos los usuarios (y administradores) del portal. Necesitará tener derechos de administrador global para cambiar la configuración.

  1. claro en elengranajeicono
  2. AbiertoCerrar sesión + notificaciones
  3. Habilitar el tiempo de espera de inactividad a nivel de directorio
  4. Configúrelo en30 minutosPor ejemplo

Cualquier usuario del portal que esté inactivo durante más de 30 minutos cerrará su sesión automáticamente. Supongo que sus administradores ya tienen la costumbre de bloquear sus dispositivos cuando los dejan desatendidos, pero una medida de seguridad adicional nunca está de más.

Habilite políticas de seguridad preestablecidas en Exchange Online

Microsoft ha creado dos políticas de seguridad preestablecidas para Exchange Online, una política estándar y una estricta para proteger su correo de Office 365. Estas plantillas contienen políticas para proteger su entorno de Exchange Online contra las últimas tendencias de ataques.

La ventaja de utilizar una de estas plantillas en lugar de crear las políticas manualmente es que actualizarán automáticamente su configuración con las últimas recomendaciones de Microsoft.

Puede encontrar las políticas en elCentro de administración de seguridad (Microsoft 365 Defender)

  1. ExpandirCorreo electrónico y colaboracióny seleccionePolítica & Normas
  2. ElegirPolíticas de amenazas
  3. Haga clic enPolíticas de seguridad preestablecidas
  1. PermitiryEditarelProtección estándar
  2. Asegúrate de esoAplicar la protección en línea de Exchangeestá configurado paraTodos los destinatarios
  3. Haga clic enPróximo
  4. Si usted tieneDefender para la protección de Office 365luego configúrelo también enTodos los destinatarios

Dependiendo de tu licencia también puedes configurar la protección de suplantación. Agregue usuarios que probablemente sean suplantados; estos suelen ser el consejo de administración, los directores y RR.HH.

Además de la plantilla de política de seguridad, consulte también laAnalizador de configuración(que encontrará enPolíticas y reglas > Políticas de amenazas). Este le recomendará cambiar algunas configuraciones que no están cubiertas por la plantilla estándar que debe adoptar:

  • Acción de detección de spam de alta confianza
  • Acción de detección de correo electrónico de phishing
  • Umbral de correo electrónico masivo
  • Período de retención de cuarentena
  • Habilitar notificaciones de spam para el usuario final
  • Filtro de tipos de archivos adjuntos comunes

También recomiendo usar elde Hornetseguridad. Esta herramienta monitorea los buzones de correo de sus usuarios y le alerta cuando el correo de phishing se cuela a través de la seguridad de Exchange Online. Esta es una excelente manera de ver qué tan buenas (o malas) están funcionando sus políticas.

Habilitar etiquetado de correo electrónico externo

Una característica recientemente lanzada en Exchange Online le permite etiquetar correos electrónicos externos. El etiquetado de correo electrónico externo es una medida de seguridad adicional para que sus usuarios sean más conscientes del origen del correo electrónico. A menudo vemos ataques de correo electrónico de phishing en los que los atacantes falsifican una dirección de correo electrónico interna.

Al etiquetar automáticamente todos los correos electrónicos externos, podemos dejar más claro a los usuarios que el correo electrónico se envió desde fuera de la organización.

Por el momento necesitamos usar PowerShell para habilitar esta nueva característica, si desea obtener más información al respecto, asegúrese dedonde explico más sobre el etiquetado de correo electrónico.

# Connect to Exchange Online
Connect-ExchangeOnline

# Enable external email tagging
Set-ExternalInOutlook -Enabled $true

# Verify results
Get-ExternalInOutlook

# Result:
RunspaceId : 4b07eecc-34c5-4add-8ee4-80d25aa4aff4
Identity   : 11e55098-68ad-4992-aaf8-c5fdceb3b6da
Enabled    : True   # < External tagging enabled
AllowList  : {}

Además del etiquetado, también podemos agregar una advertencia personalizada a los correos electrónicos externos con palabras o frases específicas en el asunto o el cuerpo. De esta forma podemos mostrar una advertencia sobre correos electrónicos de phishing sospechosos.

Si desea agregar estas advertencias a su inquilino, entonces

Bloquear protocolos de autenticación básicos

Los protocolos de autenticación básicos o heredados le permiten conectarse a Exchange Onlinesin el uso de autenticación moderna. Esto significa que un atacante sólo necesita un nombre de usuario y una contraseña para conectarse, que puede obtener después de un intento exitoso de correo de phishing.

Microsoft comenzará en el segundo trimestre de 2021 deshabilitando automáticamente los protocolos básicos que no está utilizando para proteger Office 365. El plan era deshabilitar todos los protocolos, pero eso se pospuso debido a la pandemia.

La mejor opción esno esperarpero empezar a desactivar los protocolos básicos, porque sonutilizado activamente por los atacantes. Antes de poder desactivarlos, deberá asegurarse de que sus usuarios y aplicaciones comerciales no utilicen ninguno de los protocolos.

  1. Abre elCentro de administración de Microsoft 365
  2. SeleccionarInformes->Usos
  3. Haga clic enVer másbajo laGráfico de actividad de correo electrónico
  4. Selecciona elUso de la aplicación de correo electrónicopestaña

Si pasa el cursor sobre el gráfico de usuarios, podrá ver cuántos usuarios (o cuentas) están utilizando los diferentes protocolos. En la tabla, debajo del gráfico, puedes elegir las columnas. Agregue las columnas IMAP4, POP3 y SMTP. Ahora puede ver qué usuarios están utilizando los protocolos básicos.

Otro buen recurso es elUsuarios inicios de sesióndescripción general en elIdentificación de Microsoft Entra.

  1. Agrega unfiltrary seleccioneAplicación del cliente
  2. Seleccione todos losClientes de autenticación heredados
  3. Además, agregue elcolumnaAplicación del cliente

Las dos descripciones generales juntas le brindarán una buena descripción general de todas las cuentas que todavía utilizan protocolos de autenticación heredados.

Los usuarios que todavía utilizan protocolos heredados (clientes de correo más antiguos en teléfonos móviles o Apple Mail) deben utilizar la aplicación Microsoft Outlook. Informe a los usuarios sobre el próximo cambio y déles tiempo para migrar antes de desactivar los protocolos.

Bloqueo de protocolos de autenticación básicos

La autenticación básica se ha deshabilitado para todos los inquilinos desde el 1 de enero de 2023. Puede leer todo sobre la desactivación de la autenticación básica eneste artículo en Microsoft.

Algunas aplicaciones de terceros en Office 365 no aplican la autenticación multifactor y permiten a los usuarios conectarse a SharePoint sin MFA, lo cual, por supuesto, no es seguro.

Podemos bloquear el acceso a estas aplicaciones en el Centro de administración de SharePoint.

  1. ExpandirPolíticasy seleccioneControl de acceso
  2. SeleccionarAplicaciones que no utilizan autenticación moderna
  3. Bloquear el acceso

Bloquear la carga de tipos de archivos específicos

En el centro de administración de SharePoint, podemos controlar qué tipos de archivos se pueden cargar en OneDrive y SharePoint. La aplicación de sincronización OneDrive cargará prácticamente todos los tipos de archivos de forma predeterminada en OneDrive o SharePoint, pero hay algunosexclusiones predeterminadasincluido.tmpy.ini.

Ahora bien, esta función en realidad no está diseñada para bloquear archivos potencialmente dañinos, pero, por supuesto, podría agregarle una extensión de ransomware común. De esta manera, los archivos potencialmente dañinos no se propagarán a diferentes clientes a través de una biblioteca de SharePoint.

Pero un uso más práctico de esta función es bloquear, por ejemplo, archivos PST u otros archivos grandes que no desea que se carguen en SharePoint o OneDrive.

Podemos bloquear la carga de tipos de archivos específicos en el centro de administración de SharePoint o con PowerShell:

  1. Haga clic enAjustes
  2. Haga clic enSincronización de OneDrive
  3. PermitirBloquear la carga de tipos de archivos específicos
  4. Introduce las extensionessin el.en la lista

Para bloquear los tipos de archivos con PowerShell:

# Connect to SharePoint Online
Connect-SPOService -Url https://contoso-admin.sharepoint.com

# Add file extensions
Set-SPOTenantSyncClientRestriction -ExcludedFileExtensions "pst;rvt"

Permitir la sincronización solo desde computadoras unidas al dominio

Los usuarios también pueden sincronizar OneDrive y SharePoint con sus computadoras personales. Ahora bien, esto puede parecer útil cuando trabajan desde casa, pero también es un riesgo potencial para la seguridad. Porque no tienes información ni control sobre sus computadoras personales.

Esto significa que no sabes si tienen la protección antivirus adecuada ejecutándose o si el software está un poco actualizado. Por lo tanto, es una buena idea permitir la sincronización únicamente desde computadoras unidas a un dominio. Esta configuración es solo para Active Directory local, no para computadoras unidas a Azure AD. Puede usar políticas de acceso condicional para equipos unidos a Azure AD.

Primero, necesitará el GUID de Active Directory, que podemos recuperar con PowerShell en el controlador de dominio.

Get-ADDomain | Select ObjectGUID

A continuación, abra el Centro de administración de SharePoint y navegue hasta:

  1. Ajustes
  2. SeleccionarSincronización de OneDrive
  3. PermitirPermitir la sincronización solo en computadoras unidas a dominios específicos
  4. Ingrese el GUIDde tu dominio

Si crea un buzón compartido, de sala o de equipo en Office 365, automáticamente también creará un usuario activo. Este usuario no tiene licencia, pero puedes iniciar sesión con este usuario. Todo lo que necesitas es la contraseña.

Realmente no es necesario que un usuario del buzón compartido pueda iniciar sesión. El acceso al buzón compartido se administra con permisos. Entonces, ¿por qué dejar expuesta la cuenta de usuario?

Lo que deberías hacer esbloquear el inicio de sesión en todas las cuentas del buzón compartido. Puede hacerlo en el Centro de administración o con PowerShell.

  1. SeleccionarUsuarios activos
  2. Filtrar la lista enusuarios sin licencia
  3. Selecciona elBuzón compartidoyCuenta de usuario de recursoss
  4. Clickea en eleclipsey seleccioneEditar estado de inicio de sesión
  5. bloquear a los usuariosdesde iniciar sesión

Deshabilite el inicio de sesión en buzones de correo compartidos con PowerShell

# Connect to Exchange Online and Msol
Connect-ExchangeOnline
Connect-MsolService

# Get an overview of all Shared, Room and Equipment mailboxes
Get-EXOMailbox -Filter {(RecipientTypeDetails -eq "SharedMailbox") -or (RecipientTypeDetails -eq "RoomMailbox") -or (RecipientTypeDetails -eq "EquipmentMailbox")} | ft

# Disable the sign-in on the mailboxes
Get-EXOMailbox -Filter {(RecipientTypeDetails -eq "SharedMailbox") -or (RecipientTypeDetails -eq "RoomMailbox") -or (RecipientTypeDetails -eq "EquipmentMailbox")} | Foreach-object {Set-MsolUser -UserPrincipalName $_.UserPrincipalName -BlockCredential $true}

Bloquear el reenvío automático a un dominio externo

Cuando los atacantes obtienen acceso a uno de los buzones de correo de su usuario, pueden extraer el correo creando una regla de reenvío automático a su propio buzón (externo). Normalmente no se utiliza el reenvío automático a un dominio externo, por lo que debes bloquearlo.

  1. Abre elCentro de administración de Exchange
  2. SeleccionarFlujo de correo
  3. Crear unnueva reglay asígnele el nombre "Bloquear reenvío automático a dominio externo"
  4. SeleccionarMas opcionesen la parte inferior de la pantalla
  5. Configure la regla de la siguiente manera:
    • Aplique esta regla si:El remitente se encuentradentro de la organización
    • Añade una condición:El destinatario está ubicado – fuera de la organización
    • Añade una condición:Las propiedades del mensaje: incluyen el tipo de mensajeReenvío automático
    • Haz lo siguiente:Bloquear el mensaje – rechazar el mensaje con la explicación – “No se permite el reenvío automático a un dominio externo”
  6. Audite esta regla con nivel de gravedad:Medio

Una nueva forma en que los atacantes intentan obtener acceso a sus datos es mediante el usoPhishing de consentimiento. En lugar de robar las credenciales de sus usuarios, engañarán a los usuarios para que les otorguen permiso. Para ello, crean una aplicación maliciosa y la registran en la tienda de aplicaciones.

Con los permisos, pueden leer el perfil del usuario, enviar correo en nombre de los usuarios y tener acceso completo a los archivos a los que el usuario puede acceder.

Microsoft ya ha tomado medidas para proteger aún más Office 365 mediante la verificación de aplicaciones. Pero eso no impide que aplicaciones maliciosas entren en la tienda de aplicaciones.

Puede evitar la autorización de aplicaciones no verificadas configurando las políticas de consentimiento de aplicaciones personalizadas enID de entrada de Microsoft.

  1. EnEntra ID, expandirAplicacionesseleccionarAplicaciones empresariales
  2. SeleccionarConsentimiento y permisos
  3. SeleccionarPermitir el consentimiento del usuario para aplicaciones de editores verificadosyNo permitir el consentimiento del propietario del grupo
  1. Haga clic enClasificaciones de permisos
  2. Añade el5 permisos de bajo riesgo. (Siempre puedes agregar permisos personalizados si es necesario)
  1. volver a laAplicaciones empresarialesy seleccioneAjustes de usuario
  2. PermitirLos usuarios pueden solicitar el consentimiento del administrador.
  3. Agregue uno o más administradores para la solicitud

Los administradores recibirán un correo electrónico cuando un usuario haya solicitado su consentimiento. También puede ver las solicitudes enAplicaciones empresariales>Solicitudes de consentimiento del administrador.

Bloquear el acceso de los usuarios al Portal de Azure

Los usuarios autenticados tienen acceso predeterminado al Portal de Azure y al ID de Microsoft Entra. Sólo tienen acceso de lectura, por lo que no pueden cambiar nada. En mi opinión, realmente no es necesario que un usuario normal navegue por la configuración de Azure AD.

Podemos bloquear el acceso con un simple interruptor enEntra IDbajoAjustes de usuario

El invitado bloqueado puede invitar a acceder

Sus usuarios pueden invitar a personas a colaborar en un documento de Word u otros recursos, lo cual está perfectamente bien. ¿Pero sabías queDe forma predeterminada, los invitados también pueden invitar a otros invitados.?

Desea mantener el control de quién puede acceder a sus datos, por lo que no debe permitir que los invitados inviten a otros.

EnEntra ID, navegar aIdentidades externasy seleccioneConfiguración de colaboración externa. Asegúrese de que elLos invitados pueden invitarLa configuración está al menos establecida enUsuarios miembros y usuarios asignados…

También es posible que desees comprobar si el código de acceso de un solo uso está activado. Esto permite a los invitados acceder a documentos compartidos con un código de acceso único en lugar de una cuenta de Microsoft.

Bloquear usuarios anónimos pueden unirse a una reunión

De forma predeterminada, los usuarios anónimos pueden unirse a cualquier reunión de Teams si tienen el enlace a la reunión. Dependiendo de las necesidades de su organización, debe desactivar esta opción. Si su empresa celebra reuniones públicas con clientes en las que envía una invitación abierta a la que cualquiera puede unirse, deberá dejar esta configuración habilitada.

Pero si todas las reuniones son sólo de empresa a empresa o directamente con clientes conocidos, entonces es mejor desactivar el acceso anónimo.

  1. Abre elCentro de administración de equipos
  2. ExpandirReunionesy seleccioneConfiguración de la reunión
  3. ApagarLos usuarios anónimos pueden unirse a una reunión

Bloquear aplicaciones de terceros en Teams

De forma predeterminada, los usuarios pueden agregar aplicaciones a Teams. Ahora, estas aplicaciones pueden mejorar la productividad o agregar integración con otro software de la empresa. Pero ten en cuenta que los datos también se comparten con estas aplicaciones. Por lo tanto, probablemente desee aprobar la aplicación antes de que el usuario pueda agregarla a Teams.

  1. Abre elCentro de administración de equipos
  2. ExpandirAplicaciones de equiposy abiertoPolíticas de permisos
  3. Abre elPolítica global (predeterminada para toda la organización)
  4. CambiarTerceroyaplicaciones personalizadaspara bloquear todas las aplicaciones

Cuando un usuario solicita una aplicación, puede cambiar la configuración para Permitir aplicaciones específicas y bloquear todas las demás. Luego puede seleccionar la aplicación que desea permitir.

Limitar el uso compartido externo en SharePoint

Compartir en SharePoint es realmente conveniente para sus usuarios, pueden crear un enlace y compartirlo con quien quieran. Pero eso conlleva un riesgo: de forma predeterminada, cualquiera que obtenga el enlace puede acceder al elemento compartido.

Para proteger Microsoft 365, desea que solo la persona con la que compartió el enlace pueda acceder a la carpeta. Además, es una buena idea permitir que el huésped inicie sesión o al menos ingrese un código de verificación.

  1. Abre elCentro de administración de SharePoint
  2. Navegar aPolíticas>Intercambio
  3. CambiarEl contenido se puede compartir conaInvitados nuevos y existentes(de esta manera necesitan verificar)
  4. ExpandirMás configuraciones para compartir externamente
  5. PermitirEl invitado debe iniciar sesión con la misma cuenta a la que se envían las invitaciones para compartir.
  6. Asegúrate de esoPermitir que los invitados compartan artículos que no les pertenecenesdesactivado
  7. y habilitarPersonas que usan un código de verificación… y configúrelo en 30 días.

Políticas de contraseña de usuario

Con MFA habilitado podemos cambiar algunas configuraciones en lo que respecta a nuestras políticas de contraseña. Podemos eliminar la política de caducidad de contraseñas. ElLos últimos estudios demostraronque la caducidad de la contraseña hace más daño que bien. Incluso Microsoft ahorarecomiendaeliminar los requisitos de caducidad de contraseña para proteger aún más Office 365.

Los atacantes casi siempre utilizan inmediatamente una cuenta de usuario comprometida. Y los usuarios que necesitan cambiar su contraseña suelen tender a utilizar un patrón predecible.

Establecer política de caducidad de contraseña

Si está utilizando AD Connect para sincronizar sus usuarios y contraseña, entonces la política de caducidad de contraseña se toma de su política de grupo local.

Puede cambiar la caducidad de la contraseña en elCentro de administración de Microsoft Office 365:

  1. SeleccionarAjustesy luegoConfiguración de la organización
  2. ElegirSeguridad y Privacidad
  3. Seleccionarpolítica de caducidad de contraseña
  4. Habilitar Establecer contraseña para que nunca caduque

Habilitar el restablecimiento de contraseña de autoservicio

Permita que sus usuarios restablezcan automáticamente su contraseña cuando sea necesario. Por defecto, esto está desactivado. Permitir que los usuarios restablezcan su contraseña por sí mismos no es realmente una mejora de seguridad para Microsoft 365, pero genera menos tickets/llamadas al servicio de asistencia técnica.

Si está utilizando Entra ID Connect, necesitará tener al menos Entra ID P1 para habilitar la reescritura de contraseña. Sin reescritura de contraseña, no puede utilizar el SSRP.

Lo que tunecesito cambiarson los requisitos para restablecer la contraseña.

  1. En Entra ID seleccioneUsuarios Ajustes
  2. ElegirRestablecimiento de contraseña
  3. SeleccionarPropiedades
  4. Habilítelo paratodos los usuarios

A continuación, debemos configurar los métodos de autenticación necesarios para cambiar una contraseña. De forma predeterminada, solo se requiere un método y puede ser el correo electrónico o el teléfono móvil.

Ofrezca a sus usuarios al menos la opción de registrar múltiples métodos de autenticación, incluidoscódigo de aplicación móvil. También puede aumentar la cantidad de métodos necesarios para restablecer una contraseña de uno a dos, pero antes de hacerlo asegúrese de que sus usuarios tengan varios métodos registrados.

Recibir una notificación sobre el cambio de contraseña

SeleccionarNotificacionesy asegúrate de quelos usuarios son notificadoscuando se cambia su contraseña. También recomiendo habilitar la alerta de notificación del administrador. Todos los administradores del inquilino recibirán una notificación cuando otros administradores cambien sus contraseñas.

Marca corporativa de la página de inicio de sesión.

Marcar su pantalla de inicio de sesión de Microsoft 365 no solo se ve bien, sino que también le ayuda a proteger Office 365. Agregar su logotipo a la pantalla de inicio de sesión de Microsoft 365 puede mitigar los intentos de phishing porque sus usuarios pueden reconocer mejor la pantalla de inicio de sesión maliciosa.

Ya había escrito una guía sobre cómo personalizar la pantalla de inicio de sesión con algunos consejos. Puedes encontrar el. Asegúrate de personalizarlo, solo te llevará un par de minutos.

Configurar SPF, DKIM y DMARC

Además de proteger a su inquilino de Office 365, también es importante proteger su dominio de correo. Los atacantes pueden falsificar fácilmente su dominio de correo si no lo ha configurado,y DMARC. Ahora, se requiere SPF para enviar cualquier correo desde un dominio personalizado en Office 365. Probablemente ya lo tenga configurado.

Pero la mayoría no tiene configurados DKIM y DMARC. El SPF es un buen primer paso, pero realmente necesitaspara evitar la suplantación de identidad. DMARC es un poco más difícil de configurar, pero también es importante.

Terminando

Si encuentra útil esta guía de mejores prácticas de Microsoft 365, compártala. Mantendré esta guía actualizada con las últimas recomendaciones.

Una parte importante para mantener seguro Microsoft Office 365 es verificar periódicamente los registros de auditoría y mantenerse al día con las recomendaciones de seguridad en el Centro de seguridad de Microsoft 365.

Si tiene alguna pregunta o recomendación que deba agregarse a la guía, deje un comentario a continuación.

Related Posts