Módulo 5

Preparación para la certificación AZ-900: Microsoft

Azure Fundamentals

Identidad, gobernanza,
privacidad y
cumplimiento
 Índice
Tema 1. Servicios principales de identidad de Azure 4
1.1. Vídeo de introducción 4
1.2. Introducción y objetivos 4
1.3. Conceptos de autenticación y autorización 5
1.4. Azure Multi-Factor Authentication 5
1.5. Azure Active Directory 6
1.6. Acceso Condicional 7

Tema 2. Gobernanza en Azure 9

2.1. Vídeo de introducción 9
2.2. Introducción y objetivos 9
2.3. Control de acceso basado en el rol (RBAC) 10
2.4. Bloqueos de recursos 12
2.5. Etiquetas 13
2.6. Azure Policy 13
2.7. Azure Blueprints 14
2.8. Azure Cloud Adoption Framework 14

Tema 3. Privacidad, cumplimiento y estándares de

protección de datos 16
3.1. Vídeo de introducción 16
3.2. Introducción y objetivos 16
3.3. Seguridad, privacidad y cumplimiento 17
3.4. Términos y requisitos de cumplimiento 17
3.5. Declaración de privacidad de Microsoft 18
© Universidad Internacional de La Rioja (UNIR)

3.6. Condiciones de los servicios en línea y anexo de

protección de datos 18
3.7. Centro de confianza 19
3.8. Documentación del cumplimiento de Azure 19
3.9. Regiones soberanas de Azure 20

Vídeos prácticos 21

A fondo 22
Test 24
 Tema 1. Servicios principales de
identidad de Azure

1.1. Vídeo de introducción

Servicios principales de identidad de Azure

1.2. Introducción y objetivos

En este tema se abordarán los conceptos de autenticación y autorización, explicando

las diferencias entre ambos.

Por otro lado, se describirán el servicio Azure Active Directory (AAD) y su

funcionalidad y uso.

Por último, se describirá la funcionalidad y uso de la autenticación multifactor (Multi-

factor Authentication, MFA), el inicio de sesión único (Single Sign-On, SSO) y el acceso
condicional.
© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

4
Módulo 5. Documentación oficial
 1.3. Conceptos de autenticación y autorización

El concepto de autenticación:

 Identifica a la persona o el servicio que intenta acceder a un recurso.

 Solicita credenciales de acceso legítimas.
 Es la base para crear principios seguros de identidad y control de acceso.

Autenticación, en inglés Authentication, en ocasiones se acorta AuthN.

El concepto de autorización:

 Determina el nivel de acceso de una persona o servicio autenticados.

 Define a qué datos pueden acceder y qué pueden hacer con ellos.

Autorización, en inglés Authorization, en ocasiones se acorta AuthZ.

1.4. Azure Multi-Factor Authentication

La autenticación multifactor proporciona seguridad adicional para las identidades de

una organización al requerir dos o más elementos para la autenticación completa.

Dichos elementos pertenecen a las categorías siguientes:

Algo que sepa: contraseña o respuesta a una pregunta de seguridad.

© Universidad Internacional de La Rioja (UNIR)

 Algo que tenga: aplicación móvil que recibe una notificación o un dispositivo
generador de tokens.
 Algo que sea: algún tipo de propiedad biométrica, como una huella digital o
escaneo facial (utilizado en muchos dispositivos móviles).

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

5
Módulo 5. Documentación oficial
 En la sección «A fondo» dispones de recursos con más información sobre Azure
Multi-Factor Authentication.

1.5. Azure Active Directory

El Directorio Activo de Azure o Azure Active Directory (AAD) es el servicio de

administración de identidad y acceso basado en la nube de Microsoft.

Las funcionalidades principales de AAD son:

 Autenticación (los usuarios de la organización inician sesión para acceder a los

recursos).
 Identidad de negocio a cliente (Business to Client, B2C).
 Identidad de negocio a negocio (Business to Business, B2B).
 Inicio de sesión único (Single Sign-On, SSO).
 Administración de aplicaciones.
 Administración de dispositivos.

Inquilino (Tenant) de Azure

Un inquilino (Tenant) de Azure es una instancia propia y segura de Azure AD que se

crea automáticamente cuando la organización adquiere una suscripción a un servicio
en la nube de Microsoft, como por ejemplo Microsoft Azure u Office 365. Cada
inquilino de Azure representa una única organización.
© Universidad Internacional de La Rioja (UNIR)

Cada inquilino de Azure cuenta con un directorio de Azure AD propio y seguro. Dicho
AAD incluye los usuarios, grupos y aplicaciones del inquilino, y sirve para llevar a cabo
funciones de administración de acceso e identidad para los recursos del inquilino.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

6
Módulo 5. Documentación oficial
 En la sección «A fondo» dispones de recursos con más información sobre Azure
Active Directory.

1.6. Acceso Condicional

El acceso condicional es el mecanismo utilizado por Azure Active Directory para reunir
señales, tomar decisiones y aplicar las directivas de la organización.

El uso de directivas de acceso condicional permite aplicar los controles de acceso

correctos cuando sea necesario para mantener la organización segura y no interferir
con los usuarios cuando no se necesita.

Las principales señales de entrada a las directivas de acceso condicional son:

 Usuario o pertenencia a un grupo.

 Ubicación de la dirección IP.
 Dispositivo.
 Aplicación.
 Detección de riesgos.
© Universidad Internacional de La Rioja (UNIR)

Figura 1. Esquema de funcionamiento del acceso condicional. Fuente: Microsoft Learn.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

7
Módulo 5. Documentación oficial
 En la sección «A fondo» dispones de recursos con más información sobre acceso

condicional.
© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

8
Módulo 5. Documentación oficial
 Tema 2. Gobernanza en Azure

2.1. Vídeo de introducción

Gobernanza en Azure

2.2. Introducción y objetivos

En este tema se describirá la funcionalidad y el uso de los elementos que provee

Azure para facilitar la gobernanza de los activos desplegados. Concretamente, se
describirán los mecanismos de control de acceso basado en roles (Role Based Access
Control, RBAC) y el bloqueo de recursos.

También se explicará la funcionalidad y las mejores prácticas de uso de etiquetas para

la organización de recursos y se describirá la funcionalidad y el uso de los servicios
Azure Policy y Azure Blueprints.

Por último, se describirá el framework de Microsoft para facilitar la adopción de la

nube por parte de las empresas (Azure Cloud Adoption Framework).
© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

9
Módulo 5. Documentación oficial
 2.3. Control de acceso basado en el rol (RBAC)

El control de acceso basado en el rol de Azure (Role-Based Access Control, RBAC) es

un sistema de autorización basado en Azure Resource Manager que proporciona
administración de acceso específico a los recursos de Azure.

El uso de este sistema proporciona los beneficios siguientes:

 Ayuda a administrar quién tiene acceso a los recursos, qué puede hacer con esos
recursos y a qué áreas puede acceder.
 Permite separar las tareas dentro del equipo y conceder a los usuarios solo el
acceso mínimo necesario para realizar su trabajo.
 Permite controlar el acceso a Azure Portal y a los recursos en la nube.
© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

10
Módulo 5. Documentación oficial
 Figura 2. Ejemplo de funcionamiento del control de acceso basado en el rol. Fuente: Microsoft Learn.

Azure incorpora roles integrados (predeterminados) y permite que el usuario

personalice sus propios roles.

Cada rol está compuesto de:

© Universidad Internacional de La Rioja (UNIR)

 Acciones que puede realizar (Actions).

 Acciones que no puede realizar (Not Actions).
 Alcances (Scopes).

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

11
Módulo 5. Documentación oficial
 En la sección «A fondo» dispones de recursos con más información sobre el control
de acceso basado en el rol de Azure (RBAC).

2.4. Bloqueos de recursos

El bloqueo de recursos es un mecanismo de control que permite a los

administradores proteger los recursos de Azure contra la eliminación o la
modificación accidental.

La administración de bloqueos se puede realizar a nivel de suscripción, grupo de

recursos o recursos individuales en Azure Portal.

Permisos por tipo de bloqueo de recursos

Tipo de bloqueo Leer Actualizar Eliminar

No se puede eliminar Sí Si No

Solo lectura Sí No No

Tabla 1. Permisos por tipo de bloqueo de recursos.

En la sección «A fondo» dispones de recursos con más información sobre bloqueo

de recursos en Azure.
© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

12
Módulo 5. Documentación oficial
 2.5. Etiquetas

Es posible aplicar etiquetas a los recursos, grupos de recursos y suscripciones de

Azure para facilitar su gobierno.

Las etiquetas en Azure:

 Consisten en un par nombre-valor.

 Proporcionan metadatos para los recursos de Azure.
 Organizan lógicamente los recursos en una taxonomía.
 Son muy útiles para acumular información de facturación.

2.6. Azure Policy

El servicio Azure Policy ayuda a hacer cumplir los estándares de la organización y a

evaluar el cumplimiento a escala. Proporciona gobernanza y consistencia de recursos
con cumplimiento normativo, seguridad, costes y administración.

Sus funcionalidades principales son:

 Evaluar e identificar los recursos de Azure que no cumplen las directivas.

 Proporcionar definiciones de directivas e iniciativas integradas, en categorías,
tales como almacenamiento, redes, proceso, Security Center y supervisión.
© Universidad Internacional de La Rioja (UNIR)

En la sección «A fondo» dispones de recursos con más información sobre Azure

Active Policy.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

13
Módulo 5. Documentación oficial
 2.7. Azure Blueprints

Azure Blueprints es un servicio que permite la creación rápida y repetible de

suscripciones en la nube totalmente gobernadas.

Azure Blueprints permite a los equipos de desarrollo construir y poner en marcha

nuevos entornos rápidamente. Los artefactos clave del entorno se empaquetan como
plantillas de Azure Resource Manager, controles de acceso basado en el rol (RBAC) y
directivas en una única definición.

Con Azure Blueprints se aúnan los aspectos siguientes:

 Grupos de recursos.
 Asignaciones de roles.
 Asignaciones de directivas.
 Plantillas de Azure Resource Manager.

En la sección «A fondo» dispones de recursos con más información sobre Azure

Active Blueprint.

2.8. Azure Cloud Adoption Framework

Azure Cloud Adoption Framework es una colección de documentación, pautas de

implementación, procedimientos recomendados y herramientas que conforman una
© Universidad Internacional de La Rioja (UNIR)

guía probada de Microsoft diseñada para acelerar el recorrido de adopción en la

nube.

La figura siguiente muestra las categorías de información incluidas en dicha

biblioteca.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

14
Módulo 5. Documentación oficial
 Figura 3. Categorías de información incluidas en Azure Cloud Adoption Framework. Fuente: Microsoft Learn.
© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

15
Módulo 5. Documentación oficial
 Tema 3. Privacidad, cumplimiento y
estándares de protección de datos

3.1. Vídeo de introducción

Privacidad, cumplimiento y estándares de protección de datos

3.2. Introducción y objetivos

En este tema se describirán los aspectos de seguridad, privacidad y cumplimiento en

Microsoft Azure. Con relación a este último punto se ilustrarán las principales
normas/certificaciones que posee Azure en materia de cumplimiento.

También se presentarán los ejes de la declaración de privacidad de Microsoft

(Microsoft Privacy Statement), las condiciones de servicios en línea (Online Services
Terms, OST) y la enmienda de protección de datos (Data Protection Addendum, DPA).

Se introducirán los servicios de centro de confianza y de documentación del

cumplimiento de Azure.
© Universidad Internacional de La Rioja (UNIR)

Por último, se describirán las peculiaridades de las regiones soberanas de Azure:

Azure Government y Azure China.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

16
Módulo 5. Documentación oficial
 3.3. Seguridad, privacidad y cumplimiento

Los servicios en la nube de Azure están concebidos sobre tres pilares fundamentales
que son:

 Seguridad. Como aspecto presente por diseño de cualquier servicio. Gracias a la

seguridad inteligente incorporada, Microsoft ayuda a las organizaciones a
protegerse contra ciberamenazas conocidas y desconocidas por medio de la
automatización y la inteligencia artificial
 Privacidad. Con el compromiso de garantizar la privacidad de las organizaciones a
través de acuerdos contractuales y proporcionando control y transparencia al
usuario.
 Cumplimiento. Con el respeto a las leyes y regulaciones locales y brindando una
cobertura integral de ofertas de cumplimiento.

3.4. Términos y requisitos de cumplimiento

Microsoft cubre para sus servicios en la nube un amplio conjunto de ofertas de

cumplimiento (incluidas las certificaciones y las atestaciones) entre las que destacan:

 Diversas normativas globales, por ejemplo: ISO 20.000, ISO 27017, ISO 27018.
 Normas regionales de la Unión Europea: Cláusulas modelo de la UE, RGPD, ENS
(España).
 Normas regionales de EE.UU.: Certificación STAR de la CSA, Servicios de
información de la justicia penal (CJIS) y diversas normas del Instituto Nacional de
© Universidad Internacional de La Rioja (UNIR)

Normas y Tecnología (NIST).

En la sección «A fondo» dispones de recursos con más información sobre Ofertas de

cumplimiento de Microsoft.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

17
Módulo 5. Documentación oficial
 3.5. Declaración de privacidad de Microsoft

La declaración de privacidad de Microsoft proporciona transparencia y honestidad

acerca de cómo Microsoft maneja los datos de usuario recopilados de sus productos
y servicios.
Dicha declaración explica sobre los datos de sus clientes que maneja Microsoft:

 Qué datos procesa.

 Cómo los procesa.
 Para qué se utilizan.

En la sección «A fondo» dispones de recursos con más información sobre la

declaración de privacidad de Microsoft.

3.6. Condiciones de los servicios en línea y anexo

de protección de datos

Existen dos documentos contractuales que recogen las condiciones y obligaciones en

relación con la custodia y tratamiento de datos que realiza Microsoft.

 Condiciones de los servicios en línea: la licencia define los términos y condiciones

de los productos y servicios en línea ofrecidos por Microsoft al cliente.
 Anexo de protección de datos: establece las obligaciones en relación con los
servicios en línea, con respecto al procesamiento y la seguridad de los datos del
© Universidad Internacional de La Rioja (UNIR)

cliente y los datos personales.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

18
Módulo 5. Documentación oficial
 3.7. Centro de confianza

El centro de confianza permite obtener información sobre seguridad, privacidad,

cumplimiento, directivas, características y prácticas en los productos en la nube de
Microsoft.

El sitio web del Centro de confianza proporciona lo siguiente:

 Información exhaustiva y especializada.

 Listas seleccionadas de los recursos recomendados ordenados por temas.
 Información específica de cada rol para gerentes de negocios, administradores,
ingenieros, evaluadores de riesgos, oficiales de privacidad y equipos legales.

En la sección «A fondo» dispones de recursos con más información sobre el centro

de confianza de Microsoft.

3.8. Documentación del cumplimiento de Azure

Microsoft ofrece una amplia gama de estándares de cumplimiento que cumplen los
servicios y recursos que ofrece en materia de recopilación y uso de datos. El objetivo
es por una parte cumplir con las regulaciones a las que están sujetas las
organizaciones (nacionales, regionales y específicos de la industria) y por otra facilitar
a estas últimas acreditar su cumplimiento.
© Universidad Internacional de La Rioja (UNIR)

Los estándares y cumplimiento se agrupan en alguno de los conjuntos siguientes:

 Global.
 Regional.
 Industria.
 Administración pública de Estados Unidos.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

19
Módulo 5. Documentación oficial
 3.9. Regiones soberanas de Azure

Servicios de la administración pública de Estados Unidos

La región Azure Government satisface las necesidades de seguridad y cumplimiento

de las agencias federales de EE.UU., los gobiernos estatales y locales, y sus
proveedores de soluciones. Sus características son:

 Es una instancia separada de Azure.

 Está físicamente aislada de los despliegues no del gobierno estadounidense.
 Es accesible solo para el personal autorizado y seleccionado.
 Algunos ejemplos de estándares que cumple: FedRAMP, NIST 800.171 (DIB), ITAR,
IRS 1075, DoD L2, L4 y L5 y CJIS.

Azure China

Microsoft es el primer proveedor extranjero de servicios en la nube pública de China

que cumple sus las regulaciones gubernamentales. Esta región se caracteriza por:

 Instancia físicamente separada de Azure Cloud Services y administrada por

21Vianet.
 Todos los datos se quedan dentro de China para asegurar el cumplimiento.
© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

20
Módulo 5. Documentación oficial
 Vídeos prácticos
Hands On: Locks y Key Valut

Hands On: Azure Policy

© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

21
Módulo 5. Documentación oficial
 A fondo
Los recursos que se indican a continuación contienen información con un gran detalle
sobre cada uno de los servicios/soluciones de Azure. Su consulta es opcional por
parte del estudiante que quiera realmente profundizar, puesto que el nivel de detalle
de los conceptos que se exponen es muy superior al requerido en el examen de
certificación.

Azure Active Directory

Productos. (24 de mayo de 2021). Azure Active Directory. Microsoft Azure.

https://azure.microsoft.com/es-es/services/active-directory/

En esta página web encontrarás toda la información para poder administrar con
Azure Active Directory.

¿Qué es el control de acceso basado en rol de Azure (RBAC)?

Documentación. (24 de mayo de 2021). ¿Qué es el control de acceso basado en rol de

Azure (RBAC)? Microsoft Learn.
https://docs.microsoft.com/es-es/azure/role-based-access-control/overview

En este artículo se explica mediante ejemplos y vídeos el funcionamiento de RBAC.

© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

22
Módulo 5. A fondo
 Azure Policy

Productos. (24 de mayo de 2021). Azure Policy. Microsoft Azure.

https://azure.microsoft.com/es-es/services/azure-policy

En esta página encontrarás toda la información para aplicar los límites de protección
fácilmente a todos sus recursos.

Azure Blueprint

Productos. (24 de mayo de 2021). Azure Blueprint. Microsoft Azure.

https://docs.microsoft.com/es-es/azure/governance/blueprints/overview

En este artículo encontrarás una introducción a Azure Blueprint.

Ofertas de cumplimiento de Microsoft

Documentación. (24 de mayo de 2021). Ofertas de cumplimiento de Microsoft. Microsoft

Learn.
https://docs.microsoft.com/es-es/compliance/regulatory/offering-home

En esta página encontrarás información de cómo los productos y servicios de

Microsoft ayudan a su organización a cumplir los estándares de cumplimiento
normativo.
© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

23
Módulo 5. A fondo
 Test
1. ¿Cuál de las siguientes afirmaciones sobre el concepto de autenticación (AuthN)
no es cierta?
A. Identifica a la persona o el servicio que intenta acceder a un recurso.
B. Solicita credenciales de acceso legítimas.
C. Define a qué datos pueden acceder y qué pueden hacer con ellos.
D. Es la base para crear principios seguros de identidad y control de acceso.

2. ¿Cuál de los siguientes no es un elemento que forma parte de la autenticación

multifactor (MFA)?
A. Alguna señal de entrada a las directivas de acceso condicional, como por
ejemplo la ubicación de la dirección IP, el dispositivo la aplicación.
B. Algo que tenga.
C. Algo que sepa.
D. Algo que sea.

3. Una instancia propia y segura de Azure AD que se crea automáticamente cuando

la organización adquiere una suscripción a un servicio en la nube de Microsoft,
como por ejemplo Microsoft Azure u Office 365 se denomina ____________.
A. Inquilino (Tenant).
B. Directorio de aplicación administrada.
C. Azure Policy Directory.
D. Azure Sentinel.

4. El mecanismo utilizado por Azure Active Directory para reunir señales, tomar
© Universidad Internacional de La Rioja (UNIR)

decisiones y aplicar las directivas de la organización se denomina__________.

A. Pertenencia a grupo de Azure Active Directory.
B. Bloqueo de recursos.
C. Azure Azure Multi-Factor Authentication (MFA).
D. Acceso condicional.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

24
Módulo 5. Test
 5. ¿Cómo se denomina el sistema de autorización basado en Azure Resource
Manager que proporciona administración de acceso específico a los recursos de
Azure?
A. Azure Active Directory.
B. Control de acceso basado en el rol (RBAC).
C. Azure Policy.
D. Los recursos pueden estar presentes en más de un grupo. Esta afirmación es
falsa puesto que un recurso únicamente puede pertenecer a un único grupo.
Precisamente este es uno de los principios arquitectónicos de Azure

6. ¿Qué mecanismo se debería emplear para evitar la eliminación accidental de

recursos en Azure?
A. Directivas de Azure.
B. Etiquetas de Azure
C. Bloqueos de recursos de Azure.
D. Azure Active Directory.

7. ¿Qué artefacto para facilitar el gobierno en Azure es muy útil para para acumular
información de facturación?
A. Las etiquetas.
B. Azure Resource Manager (ARM).
C. Los grupos de recursos (Resource Groups).
D. Los grupos de Azure Active Directory

8. ¿Qué servicio ayuda a hacer cumplir los estándares de la organización y a evaluar

el cumplimiento a escala, proporcionando gobernanza y consistencia de recursos
con cumplimiento normativo, seguridad, costes y administración?
© Universidad Internacional de La Rioja (UNIR)

A. Azure Blueprints.
B. Azure Advisor.
C. Azure Monitoring.
D. Azure Policy.

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

25
Módulo 5. Test
 9. _____________ permite obtener información sobre seguridad, privacidad,
cumplimiento, directivas, características y prácticas en los productos en la nube
de Microsoft.
A. Azure Policy.
B. Azure Advisor.
C. El centro de confianza.
D. Azure Sentinel.

10. A los efectos de la protección de los datos, los servicios en la nube de Azure están
concebidos sobre tres pilares fundamentales que son:
A. Seguridad, privacidad y cumplimiento.
B. Seguridad, privacidad y rendimiento.
C. Agilidad, escalabilidad y seguridad.
D. Disponibilidad, residencia y seguridad.
© Universidad Internacional de La Rioja (UNIR)

Preparación para la certificación AZ-900: Microsoft Azure Fundamentals

26
Módulo 5. Test