Entiendo que muchos de vosotros tenéis un diagrama de vuestros servicios de tecnología, desde la infraestructura de red hasta un mapa de aplicaciones y relaciones. Algo que, yo personalmente, considero súper importante, tanto el tenerlo como el mantenerlo actualizado sino, no nos sirve de nada.

A veces nos perdemos en la inmensidad de las cosas, tanto porque creemos que será muy complejo de crearlo o simplemente lo procrastinamos (ambas malas ideas). Se suele decir que lo perfecto es enemigo de lo bueno, siendo esto que estoy contando algo a lo que se podría aplicar perfectamente. Al final, necesitamos conocer nuestra infraestructura a varios niveles y con más o menos detalle, pero tenerlo a un vistazo creo que es súper importante para saber que tenemos y que nuestro equipo también lo tenga claro  y no solo en nuestras cabecitas.

Por lo menos, para mi, el tener a simple vista la infraestructura con la que contamos, me aclara mucho la situación. Luego ya veremos donde tenemos desplegados los servicios:

• Sincronización de Identidades: tenemos configurado AzureAD Connect
• WAF: que publicamos, que listeners tenemos y  reglas básicas hemos implementado
• Firewall: reglas básicas entre vNets e Internet y las reglas básicas que hemos implementado
• VPN: que tipo de VPN tenemos desplegada y quienes las utilizan
• Monitorización: conocer que tenemos una monitorización activa de nuestra infraestructura
• VoIP: si es con Teams ya sabría que utilizamos Direct Routing [que tenemos licencias de Teams Phone Standard y la licencia de O365 necesaria para poder añadirla ..]

Al final, viendo alguno de los servicios que tenemos desplegados ya nos hacemos a la idea de todo lo que le rodea [servicios, licencias, configuraciones, etc..]

Si estáis utilizando Office 365, de las cosas más maravillosas que tiene es la facilidad de compartir con terceros (usuarios fuera de nuestro tenant) el acceso a nuestros datos (Teams, SharePoint, OneDrive), pero debemos tenerlo bajo control. Hoy voy a mostraros algunas cosas que creo que deberíamos hacer siempre, sobre todo con los usuarios externos:

• Autenticación MFA:
• Revisión periódica de sus acceso
• Control de utilización de aplicaciones [permitir solo acceso vía web]

Para todo esto, vamos a seguir utilizando las configuraciones de Acceso Condicional, Identity Governance y una configuración muy sencilla de SPO.

Voy a comentar lo que yo suelo configurar (de forma sencilla) para automatizar la gestión de usuarios deshabilitados en ADDS y lo beneficios que obtenemos en entornos con Azure AD Connect, algo que a veces veo que no se tiene presente en muchas organizaciones. Hay muchas razones por las que debemos gestionar las bajas en nuestro ADDS, fuera de las que ya no voy a nombrar porque me parece muy obvias. Si además, tenemos nuestro ADDS sincronizado con AzureAD entonces tenemos muchas más razones para tramitar de forma más meticulosa nuestras bajas.

Algunas de las razones por las que debemos tener un buen proceso de baja de usuarios, son las siguientes:

• Distinguir los usuarios que están de baja en nuestro ADDS pero que han tenido licencia de O365
• Ocultar los usuarios deshabilitados en la GAL (Global Address List)
• Limpiar atributos personales (Empresa, Puesto, Responsable, Teléfonos, Dirección, etc..)
• Quitar foto de usuario
• Quitar a los usuarios de los grupos de Teams
• Convertir los buzones de correo en buzones compartidos
• Almacenar su información de OneDrive

Estos son, entre otros, algunas de las razones por las que deberíamos aplicar algo de mimo (y automatismo) al proceso de baja. No debe ser un simple proceso de deshabilitar el usuario, quitar la licencia y .. listo.

A buen seguro que, para los que habéis habilitado MFA para vuestros usuarios los cuales utilizan AVD, os habéis encontrado la situación de que si publicáis aplicaciones y tenéis habilitado el MFA algún problema os habréis encontrado. La típica aplicación que luego quiere abrir nuestro Outlook para hacer envíos y le solicita al usuario la autenticación doble factor y .. no es para nada práctico.

Todos entendemos que el MFA es de las cosas más importante para “garantizar” la seguridad de nuestros usuarios, pero al igual que tenemos mecanismos para evitar que siempre se nos pida la autenticación de doble factor (sesiones vía DFS, IP Públicas, etc..) también buscamos en ocasiones el poder evitar la autenticación desde determinados dispositivos.

Voy a mostraros como podemos habilitar el MFA para los usuarios pero utilizando el acceso condicional, el cual, nos permitirá forzar MFA evitando que se aplique bajo determinadas condiciones. Bajo mi punto de vista esto es mejor que forzar el MFA por usuario directamente, puesto que ahí siempre les solicitará a los usuarios la doble autenticación a excepción de que excepcionemos la IP Pública, etc.. pero algo poco operativo y flexible. Con el acceso condicional podemos elegir cuando forzar el MFA a nivel de aplicaciones, ubicaciones de red, etc. y también dispositivos que es justo lo que vamos a ver ahora.