La identidad es donde debería empezar casi todo subcontratista de defensa con el que trabajamos. Es la familia de controles que mapea a más requisitos de NIST 800-171 y la primera que golpea un atacante. En Microsoft 365 GCC High todo esto se configura desde el Microsoft Entra admin center.
Exige MFA para cada usuario (3.5.3)
NIST 800-171 3.5.3 exige autenticación multifactor para cada cuenta, y es el control de mayor impacto que puedes activar. En Entra, ve a Protection y luego Conditional Access y crea una política dirigida a All users que solo conceda acceso cuando se cumpla MFA. Empieza en report-only, confirma que no rompe a nadie y luego ponla en On. Excluye tus cuentas break-glass (más sobre ellas abajo).
Bloquea la autenticación heredada (3.1.1, 3.5.4)
Los protocolos heredados como POP, IMAP, SMTP AUTH y los clientes de Office antiguos saltan MFA por completo, lo que los vuelve la vía de credential-stuffing más común. Agrega una política de Conditional Access que, bajo Conditions y luego Client apps, apunte a Exchange ActiveSync y otros clientes, y bloquee el acceso.
Agrega métodos resistentes a phishing para admins (3.5.3)
El MFA por push es phishable. GCC High soporta métodos resistentes a phishing y validados FIPS 140, como Windows Hello for Business y llaves de seguridad FIDO2. Habilítalos bajo Protection y luego Authentication methods, y exige una Authentication Strength de MFA resistente a phishing para tus usuarios privilegiados.
Define la política de contraseñas (3.5.7 a 3.5.10)
Habilita Entra Password Protection para que la lista de contraseñas prohibidas aplique a cuentas en la nube y on-prem, exige un largo mínimo de 14 o más, y sigue la guía actual de NIST desactivando la expiración periódica forzada. En Entra las contraseñas nunca se almacenan ni transmiten en claro por defecto.
Crea cuentas break-glass antes de apretar nada (3.1.5)
Dos cuentas Global Administrator solo en la nube, con frases de paso largas y aleatorias, excluidas de toda política de Conditional Access, son tu seguro contra dejarte fuera con una política mal configurada. Guarda las credenciales offline y alerta en cada inicio de sesión.
Aplica mínimo privilegio con PIM (3.1.5 a 3.1.7)
Privileged Identity Management vuelve los roles de admin just-in-time en vez de permanentes. Bajo Identity Governance y luego Privileged Identity Management, haz que roles como Global Admin y Exchange Admin sean elegibles en vez de activos, y exige aprobación, MFA y una justificación para activarlos. Luego quita los derechos de admin permanentes de las cuentas del día a día.
Restringe el acceso a ubicaciones de EE. UU. (3.1.3)
El manejo de CUI y muchas obligaciones de DFARS piden mantener el acceso dentro de Estados Unidos. Define una ubicación nombrada Estados Unidos bajo Protection y luego Named locations, y agrega una política de Conditional Access que bloquee el acceso desde cualquier otro lugar, excluyendo tus cuentas break-glass.
Una nota sobre qué significa "hecho"
Configurar estos ajustes endurece tu tenant de Microsoft 365 GCC High al baseline técnico de NIST 800-171. No es una certificación CMMC. Un C3PAO evalúa tu System Security Plan documentado, no tu tenant directamente, así que la configuración de arriba solo cuenta cuando queda escrita con evidencia. Nuestro GCC High Setup Autopilot gratis te lleva por cada paso en orden y entrega el resultado a tu conjunto de controles cuando pasas a Readyline Pro.
