# Azure ## Entra ID {% hint style="warning" %} ## Azure AD = Entra ID {% endhint %} [Microsoft Entra ID](https://www.microsoft.com/es-es/security/business/identity-access/microsoft-entra-id) es el servicio de gestión de acceso e identidades basado en la nube de Microsoft. Equivalente al Active Directory on-prem, pero basado en la nube. Por lo que, es **uno de los muchos servicios dentro de Azure****.** En este servicio se: * Almacena identidades de usuarios, dispositivos, grupos y aplicaciones. * Implementa políticas de acceso condicional y MFA. * Gestiona aplicaciones mediante *Enterprise Applications* y *App Registrations*. * Utiliza protocolos OAuth2, OpenID Connect y SAML para autenticación y autorización. * Expone una API llamada **Microsoft Graph** para interactuar con los recursos de identidades y Office 365.

https://www.microsoft.com/es-es/security/business/identity-access/microsoft-entra-id

Término	Definición
Tenant	Instancia de Azure que representa a una organización. Es el contenedor principal que agrupa usuarios, políticas y servicios.
Microsoft Entra ID	Cada Tenant tiene un directorio dedicado (Azure Active Directory) que se usa para gestionar identidades, accesos, grupos y políticas de seguridad para los recursos asociados.
Subscriptions (Suscripciones)	Se utilizan para pagar por los servicios consumidos en Azure. Una suscripción agrupa recursos bajo un modelo de facturación común y puede tener asignadas políticas de acceso y control independientes.
Core domain (Dominio principal)	Es el dominio principal asociado al Tenant. Puede ser personalizado (como empresa.com) o usar el formato por defecto .onmicrosoft.com. Es usado para identificar usuarios y servicios.
Resources Groups (Grupos de recursos)	Contenedor lógico que agrupa múltiples recursos relacionados para facilitar su administración, implementación y control de acceso. Todos los recursos de un grupo comparten el mismo ciclo de vida.
Resources (Recursos)	Son las instancias específicas de servicios desplegados en Azure, como máquinas virtuales, bases de datos, redes virtuales o cuentas de almacenamiento. Cada recurso pertenece a un grupo de recursos.
Azure Resource Manager (ARM)	API centralizada para gestionar recursos (máquinas virtuales, almacenamiento, etc.).
Tokens de acceso	Permiten interactuar con APIs de Azure para enumerar usuarios, recursos, roles, etc.
Conditional Access	Políticas que controlan el acceso a los recursos según condiciones como ubicación, plataforma, app cliente, etc.

### Managed Identity Es una **identidad gestionada automáticamente por Azure** que se puede asignar a recursos como: * Azure VMs * App Services * Function Apps * Logic Apps * Containers (AKS, ACI) Estas identidades permiten que los recursos se **autenticquen con otros servicios de Azure** (como Key Vault, Azure SQL, Storage, etc.) **sin almacenar credenciales en código**. **¿Cómo funciona?** * Al crear una Managed Identity, Azure genera automáticamente un **objeto en Entra ID** (Azure AD) de tipo *service principal*. * Este *service principal* puede recibir **roles y permisos RBAC**, exactamente igual que un usuario humano o una app registrada. * Cuando el recurso necesita acceder a otro servicio, Azure le proporciona un **token de acceso Entra ID**. #### Tipos de Managed Identity

Tipo	Descripción
System-assigned	Ligada a un recurso concreto (por ejemplo, una VM o app). Se destruye con el recurso. No se puede reutilizar.
User-assigned	Identidad independiente que se puede asignar a múltiples recursos. Se gestiona por separado.

## Azure Resource Manager (ARM) Es el *backend* de gestión de infraestructura como servicio. * Se accede a través de la API de **management.azure.com**. * Permite controlar máquinas virtuales, redes, almacenamiento, Key Vaults, etc. * El acceso se realiza mediante **tokens ARM**, que se obtienen tras autenticación con Entra ID. ## Recursos y Aplicaciones Los recursos de Azure se dividen en 4 niveles: **Grupos de administración > Suscripciones > Grupos de recursos > Recursos** Estos recursos están agrupados bajo "Resource Groups" y organizados en suscripciones.

### Recursos comunes * **Máquinas virtuales (VMs)**: Infraestructura clave en ataques para pivoteo. * **Cuentas de almacenamiento**: Incluyen blobs, tablas, colas (objetivo común de exfiltración). * **Key Vaults**: Contienen secretos, claves y certificados. * **App Services / Function Apps**: Entornos de ejecución de código web o serverless. * **Enterprise Applications.** ## Roles y Accesos ### Control de acceso basado en rol (RBAC) > El control de acceso basado en rol (Azure RBAC) ayuda a administrar quién tiene acceso a los recursos de Azure, qué pueden hacer con esos recursos y a qué áreas puede acceder. Consta de 3 elementos: Entidad de seguridad, definición de rol y ámbito **Una entidad de seguridad** (usuario, grupo, servicio principal, identidad administrada) de azure puede tener un [**rol**](#user-content-fn-1)[^1] () en determinados **ámbitos** (grupos de administración, suscripciones, grupos de recursos y recursos).

Azure usa el modelo RBAC (Role-Based Access Control) en combinación con Entra ID: * Roles como **Owner**, **Contributor**, **Reader**, o personalizados. * Pueden aplicarse a nivel de recurso, grupo de recursos o suscripción. * Los roles se visualizan mediante `Get-AzRoleAssignment` o `Get-MgDirectoryRole`. ### Control de acceso basado en atributos (ABAC) > El control de acceso basado en atributos (ABAC) es un sistema de autorización que define el acceso en función de los atributos asociados a las entidades de seguridad, los recursos y el entorno de una solicitud de acceso.

### Permisos por defecto de un usuario normal * Leer todos los usuarios, aplicaciones, dispositivos, roles, suscripciones o propiedades públicas. * Invitar invitados. * Crear grupos de seguridad. * Leer membresía de grupos no ocultos. * Añadir invitados a grupos propios. * Crear nuevas aplicaciones. * Añadir hasta 50 dispositivos en Azure. ## Autenticación y Tokens Azure opera mediante el intercambio de *tokens de acceso*: * **Graph API Token**: Para consultar datos de usuarios, grupos, apps. * **ARM Token**: Para administrar recursos de infraestructura. * Se obtienen mediante autenticación estándar o *Device Code Flow* para evadir MFA. ## Aplicaciones Registradas y Consents Una aplicación puede obtener permisos para actuar en nombre del usuario u organización: * **App Registrations**: Registradas por usuarios/administradores. * **Enterprise Applications**: Aplicaciones configuradas para uso organizacional. * Los consentimientos (consent grants) pueden ser a nivel usuario o tenant (admin consent). ## Conditional Access Políticas que restringen el acceso según: * Ubicación geográfica. * Tipo de dispositivo. * Aplicación cliente (navegador, PowerShell, etc.). * Estado del dispositivo (compliant / joined). Estas políticas se pueden evadir mediante técnicas como: * Abuso del *Device Authorization Flow.* * Uso de apps no bloqueadas (como MyApps). * Manipulación del user-agent o ubicación con proxies y *FoxyProxy.* [^1]: Se compone de un conjunto de permisos