respuesta a incidencias
w-full h-full object-cover
Volver al Blog
Cloud Security

Cómo Configurar de Forma Segura las Aplicaciones Empresariales en Microsoft 365

16 December 2024 5 min read
Jean

por Jean de Cuba

Security Specialist

¿Qué son las Aplicaciones Empresariales?

Las Aplicaciones Empresariales permiten a Microsoft habilitar el acceso de terceros a funcionalidades dentro del entorno de Microsoft 365. Piense en una aplicación de correo electrónico desarrollada por un tercero que puede leer y enviar correos electrónicos en nombre del usuario. Cuando un usuario otorga permiso a dicha aplicación, esta se agrega automáticamente al inquilino de Microsoft 365 como una Aplicación Empresarial.

Para un usuario, autorizar una aplicación de terceros se ve así:

App

Fuente: https://learn.microsoft.com/en-us/purview/media/o365-thirdpartydataconnector-optin1.png

Cuando se hace clic en el botón 'Aceptar', el usuario otorga a la aplicación ciertos derechos dentro de su cuenta. Si se activan los ajustes predeterminados, los usuarios pueden conceder estos derechos a prácticamente cualquier aplicación sin la intervención o aprobación de un experto en seguridad.

Como administrador, puedes ver con precisión qué aplicaciones tienen acceso a una o más cuentas en el inquilino haciendo lo siguiente:

  1. Ve a Entra ID. Bajo 'Administrar' y 'Aplicaciones empresariales', encontrarás una lista de todas las Aplicaciones Empresariales en el inquilino.

  2. Selecciona una Aplicación Empresarial. Bajo 'Seguridad' y 'Permisos', verás los permisos concedidos. Nota la distinción entre 'consentimiento de administrador' y 'consentimiento de usuario'. Aquí verás qué usuarios han autorizado la aplicación y con qué permisos.

¿Esto representa un riesgo de seguridad para el inquilino de Microsoft 365?

Sí, las aplicaciones externas pueden representar un riesgo de seguridad para el entorno de Microsoft 365. ¿Cómo? Un tercero malintencionado podría usar una aplicación para solicitar acceso completo a la cuenta de un usuario. Si el usuario acepta, este tercero tiene acceso al entorno de Microsoft 365, incluyendo todos los datos y archivos a los que el usuario puede acceder.

Además, existe un riesgo indirecto potencial. Un tercero podría no tener intenciones maliciosas, pero si su propia seguridad es débil y un atacante logra infiltrarse a través de ellos, tu entorno de Microsoft 365 sigue estando en riesgo. El atacante puede acceder a la aplicación aprobada e infiltrarse en tu organización. Por lo tanto, es crucial limitar el acceso a aplicaciones confiables y minimizar los permisos concedidos tanto como sea posible.

¿Qué puedo hacer como administrador para proteger el entorno de Microsoft 365?

Como administrador, es fundamental entender qué aplicaciones tienen acceso al inquilino y sus permisos. Como se mencionó anteriormente, revisar los ajustes es vital. Los ajustes predeterminados pueden permitir a los usuarios conceder acceso completo a aplicaciones arbitrarias. Para mitigar este riesgo, puedes tomar varias medidas.

Bloqueo de permisos

Primero, es posible bloquear completamente a los usuarios para que no otorguen derechos a aplicaciones de terceros. Esto mitiga efectivamente los riesgos mencionados anteriormente. Esta configuración se realiza en el Portal de Azure bajo Entra ID, "Aplicaciones empresariales" → "Seguridad" → "Consentimiento y permisos" → "Configuración de consentimiento de usuario". Aquí, ajusta las siguientes dos configuraciones:

  1. Establece "Consentimiento de usuario para aplicaciones" en "No permitir consentimiento de usuario".
  2. Establece "Consentimiento del propietario del grupo" en "No permitir consentimiento del propietario del grupo".

Esta opción no es adecuada para todos los entornos de Microsoft 365. En muchas organizaciones, las aplicaciones confiables son necesarias para las tareas diarias de los usuarios, y estas también serían bloqueadas. A continuación, explicamos cómo evitar este problema.

Aprobación del administrador

Para permitir aplicaciones de terceros confiables, puedes optar por aprobar solo las aplicaciones autorizadas por un administrador.

Esta configuración está disponible en el Portal de Azure bajo Entra ID, "Aplicaciones empresariales" → "Seguridad" → "Consentimiento y permisos" → "Configuración de consentimiento de administrador". Selecciona "Sí" para "Los usuarios pueden solicitar consentimiento de administrador para aplicaciones a las que no pueden dar consentimiento". Luego configura los detalles para "Solicitudes de consentimiento de administrador".

Ten en cuenta que estas configuraciones solo se aplican a las aplicaciones que los usuarios no pueden autorizar por sí mismos. También se necesitan los pasos bajo “Bloqueo de permisos” para hacer cumplir la aprobación del administrador para todas las aplicaciones.

Permitir permisos no sensibles por defecto

Como extensión de la opción anterior, puedes permitir ciertos permisos por defecto para todas las aplicaciones, sin la intervención de un administrador. Esto puede aplicarse a aplicaciones que requieren acceso muy limitado, como leer la dirección de correo electrónico de un usuario para inicio de sesión único.

Esto se puede configurar en el Portal de Azure bajo Entra ID, "Aplicaciones empresariales" → "Consentimiento y permisos" → "Clasificaciones de permisos". Microsoft proporciona recomendaciones en esta página sobre qué permisos comúnmente usados y no sensibles configurar, incluyendo permisos para inicio de sesión único.

Próximos pasos

Cuando los ajustes de consentimiento están configurados adecuadamente, también es esencial evaluar los permisos concedidos previamente. Los usuarios podrían haber otorgado a aplicaciones no confiables un acceso elevado en el pasado.

DEFION Security: Tu socio para un entorno Microsoft 365 seguro

Asegurar tu entorno de Microsoft 365 puede ser una tarea desafiante. Te ayudamos a configurar y gestionar tu entorno de Microsoft 365, asegurando que tus configuraciones de seguridad estén siempre óptimas. Durante una evaluación de seguridad de Microsoft 365, trabajamos estrechamente contigo para revisar las configuraciones actuales. Examinamos cómo están configurados los ajustes de consentimiento mencionados anteriormente y exploramos qué Aplicaciones Empresariales ya tienen acceso dentro de tu entorno.

Tras esta evaluación exhaustiva, discutimos contigo las mejores medidas de seguridad adecuadas para tu organización. Hay numerosas opciones para gestionar y limitar las Aplicaciones Empresariales, y estamos aquí para ayudarte a tomar las decisiones correctas. ¿Nuestro objetivo? Crear el entorno más seguro posible, con un impacto mínimo en el uso diario de tus empleados.

Además de las Aplicaciones Empresariales, examinamos toda la configuración y uso de tu entorno Microsoft 365, enfocándonos no en la seguridad de los servicios de Microsoft en sí, sino en cómo tu organización configura y utiliza estos servicios.

¿A quién vas a llamar? ¡DEFION Security!

¿Interesado en hacer tu entorno Microsoft 365 aún más seguro? Contáctanos vía [email protected] o llama al +31 (0)88 733 13 37 y te responderemos rápidamente.

Convierte la monitorización 24/7 en una verdadera capacidad de respuesta

Habla con nuestro equipo y descubre cómo una respuesta rápida y dirigida por expertos transforma tu postura de seguridad.

Contáctanos