Acceso condicional: filtro para dispositivos

  • Artículo

Al crear directivas de acceso condicional, los administradores han solicitado la capacidad de dirigirse a dispositivos específicos en su entorno o de excluirlos. La condición de filtro para dispositivos proporciona esta funcionalidad a los administradores. Ahora puede dirigirse a dispositivos específicos mediante operadores admitidos y propiedades para filtros del dispositivo y otras condiciones de asignación disponibles en las directivas de acceso condicional.

Creación de un filtro para dispositivo en las condiciones de directiva de acceso condicional

Escenarios frecuentes

Hay varios escenarios que las organizaciones ahora pueden habilitar mediante la condición de filtro para dispositivos. En los escenarios siguientes se proporcionan ejemplos de cómo usar esta nueva condición.

  • Restricción del acceso a los recursos con privilegios. En este ejemplo, imagine que quiere permitir el acceso a Windows Azure Service Management API desde un usuario al que se le asigna un rol con privilegios ha satisfecho la autenticación multifactor y el acceso desde un dispositivo con privilegios o estaciones de trabajo de administración seguras y atestiguadas como compatibles. En este escenario, las organizaciones crearían dos directivas de acceso condicional:
    • Directiva 1: todos los usuarios con un rol de administrador con acceso a la aplicación en la nube de Windows Azure Service Management API y, en Controles de acceso, Conceder acceso, pero que requieren autenticación multifactor y que el dispositivo esté marcado como compatible.
    • Directiva 2: todos los usuarios con un administrador y acceso a la aplicación en la nube Windows Azure Service Management API, excepto los filtros para dispositivos que usan la expresión de regla device.extensionAttribute1 que equivale a SAW y, en Controles de acceso, Bloquear. Obtenga información sobre cómo actualizar extensionAttributes en un objeto de dispositivo Microsoft Entra.
  • Bloquee el acceso a los recursos de la organización desde dispositivos que ejecuten una versión de sistema operativo no compatible. En este ejemplo, imagine que quiere bloquear el acceso a los recursos desde una versión del sistema operativo Windows anterior a Windows 10. En este escenario, las organizaciones tendrían que crear las directivas de acceso condicional siguientes:
    • Todos los usuarios con acceso a todas las aplicaciones en la nube, sin incluir un filtro para dispositivos que usan la expresión de regla device.operatingSystem equals Windows y device.operatingSystemVersion startsWith "10.0" y, en Controles de acceso, Bloquear.
  • No sexigir la autenticación multifactor para cuentas específicas en dispositivos específicos. En este ejemplo, imagine que no quiere exigir la autenticación multifactor al usar cuentas de servicio en dispositivos específicos, como teléfonos Teams o dispositivos Surface Hub. En este escenario, las organizaciones crearían las dos directivas de acceso condicional siguientes:
    • Directiva 1: todos los usuarios excepto las cuentas de servicio, con acceso a todas las aplicaciones en la nube y, en Controles de acceso, Conceder acceso, pero que requieren autenticación multifactor.
    • Directiva 2: seleccione usuarios y grupos e incluya un grupo que contenga solo cuentas de servicio, con acceso a todas las aplicaciones en la nube, excepto un filtro de los dispositivos que usan la expresión de regla device.extensionAttribute2 equals TeamsPhoneDevice y, en Controles de acceso, Bloquear.

Nota:

Microsoft Entra ID usa la autenticación de dispositivos para evaluar las reglas de filtro de dispositivo. En el caso de un dispositivo que no está registrado con Microsoft Entra ID, todas las propiedades del dispositivo se consideran valores NULL y no se pueden determinar los atributos del dispositivo, ya que el dispositivo no existe en el directorio. La mejor manera de establecer como destino las directivas para dispositivos no registrados es mediante el operador negativo, ya que se aplicaría la regla de filtro configurada. Si usara un operador positivo, la regla de filtro solo se aplicaría cuando un dispositivo existe en el directorio y la regla configurada coincide con el atributo del dispositivo.

Creación de una directiva de acceso condicional

El filtro para dispositivos es un control opcional a la hora de crear una directiva de acceso condicional.

Los pasos siguientes le ayudarán a crear dos directivas de acceso condicional para admitir el primer escenario de Escenarios comunes.

Directiva 1: todos los usuarios con un rol de administrador con acceso a la aplicación en la nube de Windows Azure Service Management API y, en Controles de acceso, Conceder acceso, pero que requieren autenticación multifactor y que el dispositivo esté marcado como compatible.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Crear nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).

    1. En Incluir, seleccione Roles de directorio y, a continuación, todos los roles con el administrador en el nombre.

      Advertencia

      Las directivas de acceso condicional admiten los roles integrados. Las directivas de acceso condicional no se aplican a otros tipos de roles, incluidos los roles con ámbito de unidad administrativa o personalizados.

    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.

    3. Seleccione Listo.

  6. En Recursos de destino> Aplicaciones en la nube>Incluir>Seleccionar aplicaciones, elija Windows Azure Service Management API y Seleccionar.
  7. En Controles de acceso>Conceder, seleccione Conceder acceso, Requerir autenticación multifactor y Requerir que el dispositivo se marque como compatible y, a continuación, elija Seleccionar.
  8. Confirme la configuración y establezca Habilitar directiva en Activado.
  9. Seleccione Crear para crear la directiva.

Directiva 2: todos los usuarios con el rol de administrador y acceso a la aplicación en la nube Windows Azure Service Management API, excepto los filtros para dispositivos que usan la expresión de regla device.extensionAttribute1 que equivale a SAW y, en Controles de acceso, Bloquear.

  1. Seleccione Crear nueva directiva.
  2. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  3. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).

    1. En Incluir, seleccione Roles de directorio y, a continuación, todos los roles con el administrador en el nombre

      Advertencia

      Las directivas de acceso condicional admiten los roles integrados. Las directivas de acceso condicional no se aplican a otros tipos de roles, incluidos los roles con ámbito de unidad administrativa o personalizados.

    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.

    3. Seleccione Listo.

  4. En Recursos de destino> Aplicaciones en la nube>Incluir>Seleccionar aplicaciones, elija Windows Azure Service Management API y Seleccionar.
  5. En Condiciones, Filtro para dispositivos.
    1. Establezca Configurar en .
    2. Establezca Devices matching the rule (Dispositivos que coincidan con la regla) en Exclude filtered devices from policy (Excluir dispositivos filtrados de la directiva).
    3. Establezca la propiedad en ExtensionAttribute1, el operador en Equals y el valor en SAW.
    4. Seleccione Listo.
  6. En Controles de acceso>Conceder, seleccione Bloquear acceso y, después, Seleccionar.
  7. Confirme la configuración y establezca Habilitar directiva en Activado.
  8. Seleccione Crear para crear la directiva.

Advertencia

Las directivas que requieren dispositivos compatibles pueden solicitar a los usuarios de Mac, iOS y Android que seleccionen un certificado de dispositivo durante la evaluación de directiva, aunque el cumplimiento de dispositivos no se fuerce. Estos mensajes pueden repetirse hasta que el dispositivo sea compatible.

Definición de valores de atributo

La definición de atributos de extensión es posible mediante Graph API. Para más información sobre cómo definir atributos del dispositivo, consulte el artículo Actualizar dispositivo.

Graph API del filtro para dispositivos

La API de filtros para dispositivos está disponible en el punto de conexión de Microsoft Graph v1.0 y es accesible mediante el punto de conexión https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Puede configurar un filtro para dispositivos al crear una nueva directiva de acceso condicional, o puede actualizar una directiva existente para configurar la condición del filtro para dispositivos. Para actualizar una directiva existente, puede realizar una llamada de revisión en el punto de conexión de Microsoft Graph v1.0. Para ello, anexe el identificador de directiva de una directiva existente y ejecute el siguiente cuerpo de solicitud. En el ejemplo siguiente se muestra cómo configurar una condición de filtro para dispositivos, excepto dispositivos que no estén marcados como SAW. La sintaxis de la regla puede constar de más de una expresión única. Para más información, consulte Reglas de pertenencia dinámica a grupos de Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Operadores admitidos y propiedades de dispositivo para filtros

Los siguientes atributos de dispositivo se pueden usar con la condición de filtro para dispositivos en el acceso condicional.

Nota:

Microsoft Entra ID usa la autenticación de dispositivos para evaluar las reglas de filtro de dispositivo. En el caso de un dispositivo que no está registrado con Microsoft Entra ID, todas las propiedades del dispositivo se consideran valores NULL y no se pueden determinar los atributos del dispositivo, ya que el dispositivo no existe en el directorio. La mejor manera de establecer como destino las directivas para dispositivos no registrados es mediante el operador negativo, ya que se aplicaría la regla de filtro configurada. Si usara un operador positivo, la regla de filtro solo se aplicaría cuando un dispositivo existe en el directorio y la regla configurada coincide con el atributo del dispositivo.

Atributos de dispositivo admitidos Operadores admitidos Valores admitidos Ejemplo
deviceId Equals, NotEquals, In, NotIn Un deviceId válido que sea un GUID (device.deviceid -eq "498c4de7-1aee-4ded-8d5d-000000000000")
DisplayName Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Cualquier cadena (device.displayName -contains "ABC")
deviceOwnership Equals, NotEquals Los valores admitidos son "Personal" para Bring Your Own Device y "Company" para dispositivos propiedad de la empresa. (device.deviceOwnership -eq "Company")
isCompliant Equals, NotEquals Los valores admitidos son "True" para dispositivos compatibles y "False" para dispositivos no compatibles. (device.isCompliant -eq "True")
fabricante Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Cualquier cadena (device.manufacturer -startsWith "Microsoft")
mdmAppId Equals, NotEquals, In, NotIn Un identificador de aplicación MDM válido (device.mdmAppId -in ["0000000a-0000-0000-c000-000000000000"]
model Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Cualquier cadena (device.model -notContains "Surface")
operatingSystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Un sistema operativo válido (como Windows, iOS o Android) (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Una versión del sistema operativo válida (como 6.1 para Windows 7, 6.2 para Windows 8 o 10.0 para Windows 10 y Windows 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Contains, NotContains Por ejemplo, todos los dispositivos Windows Autopilot almacenan ZTDId (un valor único asignado a todos los dispositivos Windows Autopilot importados) en la propiedad physicalIds del dispositivo. (device.physicalIds -contains "[ZTDId]:value")
profileType Equals, NotEquals Un tipo de perfil válido establecido para un dispositivo. Los valores admitidos son: RegisteredDevice (valor predeterminado), SecureVM (se usa para máquinas virtuales Windows en Azure habilitadas con el inicio de sesión de Microsoft Entra), Printer (se usa para impresoras), Shared (se usa para dispositivos compartidos) y IoT (se usa para dispositivos IoT) (device.profileType -eq "Printer")
systemLabels Contains, NotContains Lista de etiquetas que el sistema aplica al dispositivo. Algunos de los valores admitidos son: AzureResource (se usa para máquinas virtuales Windows en Azure habilitadas con el inicio de sesión de Microsoft Entra), M365Managed (se usa para dispositivos administrados mediante Escritorio administrado de Microsoft) y MultiUser (se usa para dispositivos compartidos) (device.systemLabels -contains "M365Managed")
trustType Equals, NotEquals Un estado registrado válido para dispositivos. Los valores admitidos son: AzureAD (que se usa para dispositivos unidos a Microsoft Entra), ServerAD (se usa para Microsoft Entra dispositivos unidos híbridos), Workplace (que se usa para Microsoft Entra dispositivos registrados) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Los clientes pueden usar los atributos extensionAttributes1-15 para objetos de dispositivo. Los clientes pueden actualizar cualquiera de los atributos de extensionAttributes1 a 15 con valores personalizados y usarlos en la condición de filtro para dispositivos en el acceso condicional. Se puede usar cualquier valor de cadena. (device.extensionAttribute1 -eq "SAW")

Nota:

Al compilar reglas complejas o usar demasiados identificadores individuales, como deviceid para identidades de dispositivo, tenga en cuenta que "La longitud máxima de la regla de filtro es de 3072 caracteres".

Nota:

Los operadores Contains y NotContains funcionan de manera diferente según los tipos de atributo. En el caso de los atributos de cadena, como operatingSystem y model, el operador Contains indica si se produce una función substring concreta en el atributo. En el caso de los atributos de colección de cadenas como physicalIds y systemLabels, el operador Contains indica si una cadena específica coincide con alguna de las cadenas completas de la colección.

Advertencia

Los dispositivos deben estar administrados y ser compatibles con Microsoft Intune o estar unidos a Microsoft Entra híbrido para que un valor esté disponible en extensionAttributes1-15 en el momento de la evaluación de la directiva de acceso condicional.

Comportamiento de la directiva con el filtro para dispositivos

La condición de filtro para dispositivos del acceso condicional evalúa la directiva en función de los atributos de dispositivo de un dispositivo registrado en Microsoft Entra ID y, por tanto, es importante comprender en qué circunstancias se aplica o no la directiva. En la tabla siguiente se muestra el comportamiento cuando se configura la condición de filtro para dispositivos.

Condición de filtro para dispositivos Estado de registro del dispositivo Filtro de dispositivo aplicado
Modo de inclusión/exclusión con operadores positivos (Equals, StartsWith, EndsWith, Contains, In) y el uso de cualquier atributo Dispositivo no registrado No
Modo de inclusión/exclusión con operadores positivos (Equals, StartsWith, EndsWith, Contains, In) y uso de atributos, excluidos extensionAttributes1-15 Dispositivo registrado Sí, si se cumplen los criterios.
Modo de inclusión/exclusión con operadores positivos (Equals, StartsWith, EndsWith, Contains, In) y el uso de atributos, incluidos extensionAttributes1-15 Dispositivo registrado administrado por Intune Sí, si se cumplen los criterios.
Modo de inclusión/exclusión con operadores positivos (Equals, StartsWith, EndsWith, Contains, In) y el uso de atributos, incluidos extensionAttributes1-15 Dispositivo registrado no administrado por Intune Sí, si se cumplen los criterios. Cuando se usan extensionAttributes1-15, la directiva se aplicará si el dispositivo es compatible o se ha unido a Microsoft Entra híbrido
Modo de inclusión/exclusión con operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) y el uso de atributos Dispositivo no registrado Yes
Modo de inclusión/exclusión con operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) y el uso de atributos, excluidos extensionAttributes1-15 Dispositivo registrado Sí, si se cumplen los criterios.
Modo de inclusión/exclusión con operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) y el uso de cualquier atributo, incluidos extensionAttributes1-15 Dispositivo registrado administrado por Intune Sí, si se cumplen los criterios.
Modo de inclusión/exclusión con operadores negativos (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) y el uso de cualquier atributo, incluidos extensionAttributes1-15 Dispositivo registrado no administrado por Intune Sí, si se cumplen los criterios. Cuando se usan extensionAttributes1-15, la directiva se aplicará si el dispositivo es compatible o se ha unido a Microsoft Entra híbrido

Pasos siguientes