Home Blog Productos Autor Contacto

Tipos de Identidades en Entra ID (Azure AD)

azure ciberseguridad defender xdr entra microsoft 365 seguridad Jun 02, 2024
Tipos de Identidades en Entra ID (Azure AD)

Continuando con el tema del problema de seguridad que se da al migrar a la nube, como ya vimos anteriormente, el nuevo perímetro de seguridad se basa en las identidades, por este motivo la gestión de las mismas es fundamental. Con Entra ID (Azure AD) tenemos varias opciones en este sentido, cada una orientada a casos de uso específicos:

  • Identidades asociadas a personas. Empleados, proveedores externos, etc.
  • Identidades asociadas a dispositivos. Teléfonos, computadoras, dispositivos IoT, etc.
  • Identidades asociadas con objetos basados en software. Aplicaciones, contenedores, VMs y otros servicios.

Identidades de Usuario

Las identidades de usuario representan a las personas de la organización, las que podrían ser internas como el caso de empleados o también externas como proveedores o clientes. Dependiendo del tipo cómo se maneja la autenticación.

En el caso de los usuarios de la organización, estas identidades pueden ser:

  • Usuarios de nube: Cuentas creadas directamente en Entra ID. Esta sería la opción más simple en el caso de organizaciones que solo usan la nube.
  • Usuarios sincronizados: Cuentas sincronizadas desde Active Directory usando Azure AD Connect. 
  • Usuarios federados: Cuentas que utilizan un proveedor de identidad externo (como ADFS) para autenticar a los usuarios. 

Identidades Externas

Entra ID facilita la interacción con usuarios externos, permitiendo la colaboración segura con otras organizaciones. Estas opciones se encuentran bajo la solución de Microsoft Entra External ID:

  • B2B Collaboration. Permite invitar usuarios externos al directorio, proporcionando acceso seguro a aplicaciones y recursos compartidos. Estos usuarios acceden utilizando sus propias credenciales simplificando la colaboración.
  • B2B Direct Connect. Facilita la colaboración con otras organizaciones de Entra ID mediante canales compartidos de Microsoft Teams. Los usuarios externos acceden a recursos compartidos sin necesidad de ser agregados como invitados (Guests) en el directorio. Esto permite que propietarios de canales puedan buscar y agregar usuarios externos (permitidos) y que los usuarios externos accedan a archivos y aplicaciones sin cambiar de organización o iniciar sesión con otra cuenta.
  • Microsoft Entra External ID for Customers (Evolución de Azure AD B2C). Solución CIAM (Customer Identity and Access Management) diseñada para empresas que desean crear aplicaciones accesibles para sus clientes utilizando la plataforma Microsoft Entra.

Identidades de Dispositivo (Device Identity)

Las identidades de dispositivo son fundamentales para asegurar que únicamente dispositivos confiables puedan acceder a los recursos de la organización, también aportan características de SSO.

Para el manejo de estas identidades tenemos las siguientes opciones:

  • Entra ID Join (Azure AD Join): Los dispositivos se unen al directorio de Entra ID usando una cuenta de la organización. Este es el caso ideal para organizaciones que operan en un entorno de solo nube.
  • Hybrid Entra ID Join (Hybrid Azure AD Join): Los dispositivos se unen tanto a Active Directory como a Entra ID.
  • Entra ID Registered (Azure AD Registered): En este caso los dispositivos se registran en Entra ID y sin necesidad de tener que unirse completamente al Tenant de la organización se habilitan posibilidades como el uso de políticas de acceso condicional y otras gestiones. Este caso orientado a dispositivos personales, escenarios BYOD.

Esto posteriormente puede trabajar en conjunto con soluciones como Microsoft Intune para MDM (Mobile Device Management) y MAM (Mobile Application Management) o para toma de decisiones dentro de políticas de acceso condicional.

Identidades de Workload (Workload Identity)

Para que un servicio o aplicación pueda autenticar y acceder a otros servicios y recursos precisa una workload identity. Esto incluye aplicaciones, service principals y managed identities.

Para que una aplicación pueda usar Entra ID para autenticación y autorización primero debe ser registrada. Una vez registrada, se crea un Service Principal en el Tenant, esto sería la identidad de la aplicación. Para que esta identidad pueda acceder otros recursos, es necesario gestionar las credenciales. Las Managed Identities permiten hacerlo de forma automática.

Las Managed Identities pueden ser:

  • System-assigned managed identities: Se crean y gestionan junto con un recurso específico en Azure, como una máquina virtual. Al eliminar el recurso en cuestión se elimina también la managed identity.
  • User-assigned managed identities: Se crean como recursos independientes en Azure y se pueden asignar a uno o más servicios.

Conclusión

El manejo de identidades en Entra ID es fundamental para la seguridad de la organización. Estas identidades incluyen usuarios, dispositivos y workloads.

Para la colaboración externa, Microsoft Entra External ID permite el acceso seguro a recursos compartidos y para automatizar la gestión de credenciales, Managed Identities. 

En el próximo artículo entramos en el tema de manejo de dispositivos con Intune.

 

Artículos en la serie

 

CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE

1. Microsoft 365: El problema de seguridad
2. Desafíos de seguridad en Microsoft 365
3. Responsabilidad Compartida en Microsoft 365 y Azure
 

 

CAPITULO II - ZERO TRUST

 4. Zero Trust con Microsoft 365

 

 

CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS

5. Protección de identidades en Microsoft 365 y Azure
6. Tipos de Identidades en Entra ID (Azure AD)
7. Manejo de dispositivos con Microsoft Intune

 

 

CAPITULO IV - MICROSOFT DEFENDER XDR

8. Microsoft Defender XDR
9. Microsoft Defender for Identity
10. Antispam y Phishing con Defender for Office 365
11. Protección de dispositivos con Microsoft Defender for Endpoint
12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps
13. Microsoft Defender for Cloud

 

 

CAPITULO V - MICROSOFT SENTINEL

14. SIEM y SOAR con Microsoft Sentinel

 

 

BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

 

 

Daniel Núñez Banega

Autor del sitio

Hola! Bienvenido a Black Phoenix Cybersecurity, soy Daniel Núñez Banega, autor del sitio y trabajo en IT hace más de 20 años, especializado en tecnologías Microsoft y con particular foco en el área de Ciberseguridad. Mi misión con Black Phoenix Cybersecurity es ayudarte a transformar tu carrera en IT aprovechando las oportunidades que surgen en el área de la ciberseguridad.