Usar acceso condicional con Microsoft Tunnel en Intune
Si el entorno de Microsoft Intune usa Microsoft Entra acceso condicional, puede usar directivas de acceso condicional para gatear el acceso del dispositivo a la puerta de enlace de VPN de Microsoft Tunnel.
Para admitir la integración del acceso condicional y Microsoft Tunnel, use Microsoft Graph PowerShell para permitir que el inquilino admita Microsoft Tunnel. Después de habilitar el inquilino para que admita Microsoft Tunnel, puede crear directivas de acceso condicional que se apliquen a la aplicación Microsoft Tunnel.
Aprovisionamiento del inquilino
Para poder configurar las directivas de acceso condicional para el túnel, debe permitir que el inquilino admita Microsoft Tunnel para el acceso condicional. Use el módulo de PowerShell de Microsoft Graph y ejecute un script de PowerShell para modificar el inquilino y agregar Microsoft Tunnel Gateway como una aplicación en la nube. Después de agregar el túnel como una aplicación en la nube, puede seleccionarlo como parte de una directiva de acceso condicional.
Descargue e instale el módulo de PowerShell de Azure AD.
Descargue el script de PowerShell denominado mst-ca-provisioning.ps1 desde aka.ms/mst-ca-provisioning.
Con las credenciales que tienen los permisos de rol de Azure equivalentes a Intune Administrador, ejecute el script desde cualquier ubicación del entorno para aprovisionar el inquilino.
El script modifica el inquilino mediante la creación de una entidad de servicio con los detalles siguientes:
- Id. de aplicación: 3678c9e9-9681-447a-974d-d19f668fcd88
- Nombre: Puerta de enlace de Microsoft Tunnel
La adición de esta entidad de servicio es necesaria para que pueda seleccionar la aplicación en la nube de túnel al configurar directivas de acceso condicional. También es posible usar Graph para agregar la información de la entidad de servicio al inquilino.
Una vez que el script se complete, puede seguir el proceso normal para crear directivas de acceso condicional.
Acceso condicional para limitar el acceso a Microsoft Tunnel
Si va a usar una directiva de acceso condicional para limitar el acceso de los usuarios, se recomienda configurar esta directiva después de aprovisionar el inquilino para admitir la aplicación en la nube de puerta de enlace de Microsoft Tunnel, pero antes de instalar la puerta de enlace de Tunnel.
Inicie sesión en Microsoft Intuneacceso> condicional deEndpoint Security> del Centro> de administraciónCrear nueva directiva. El centro de administración presenta la interfaz Microsoft Entra para crear directivas de acceso condicional.
Especifique un nombre para esta directiva.
Para configurar el acceso de usuarios y de grupos, debajo de Asignaciones, seleccione Usuarios y grupos.
- Seleccione Incluir>Todos los usuarios.
- A continuación, seleccione Excluir y, a continuación, configure los grupos a los que desea conceder acceso y, a continuación, guarde el usuario y la configuración de grupo.
En Aplicaciones en la nube o acciones>Seleccionar aplicaciones, elija la aplicación de puerta de enlace de Microsoft Tunnel.
Debajo de Controles de acceso, seleccione Conceder, seleccione Bloquear acceso y guarde la configuración.
Establezca Habilitar directiva enOn.
Seleccione Crear.
Para obtener información sobre la creación de directivas de acceso condicional, consulte Creación de una directiva de acceso condicional basado en dispositivos.