Acceso condicional: Conceder

  • Artículo

Dentro de una política de acceso condicional, un administrador puede utilizar controles de acceso para conceder o bloquear el acceso a los recursos.

Captura de pantalla de una política de acceso condicional con un control de concesión que requiere autenticación multifactor.

Bloquear acceso

El control para bloquear el acceso considera cualquier asignación e impide el acceso basándose en la configuración de la directiva de acceso condicional.

Bloqueo del acceso es un poderoso control que debe aplicar con los conocimientos adecuados. Las directivas con instrucciones de bloque pueden tener efectos secundarios imprevistos. Las pruebas y la validación adecuadas son vitales antes de habilitar el control a escala. Los administradores deben usar herramientas del acceso condicional como el modo de solo informe y la herramienta What If al realizar cambios.

Conceder acceso

Los administradores pueden optar por aplicar uno o varios controles al conceder acceso. Entre estos controles se incluyen las siguientes opciones:

Cuando los administradores eligen combinar estas opciones, pueden usar los siguientes métodos:

  • Requerir todos los controles seleccionados (control y control)
  • Requerir uno de los controles seleccionados (control o control)

De forma predeterminada, el acceso condicional requiere todos los controles seleccionados.

Requiere autenticación multifactor

Al activar esta casilla, es necesario que los usuarios realicen la autenticación multifactor de Microsoft Entra. Puede encontrar más información sobre la implementación de la autenticación multifactor de Microsoft Entra en Planificación de la implementación de la autenticación multifactor de Microsoft Entra basada en la nube.

Windows Hello para empresas satisface el requisito de la autenticación multifactor de las directivas de acceso condicional.

Requerir intensidad de autenticación

Los administradores pueden optar por requerir puntos fuertes de autenticación específicos en sus directivas de acceso condicional. Estos niveles de intensidad de autenticación se definen en el centro de administración de Microsoft Entra>Protección>Métodos de autenticación>Niveles de intensidad de autenticación. Los administradores pueden optar por crear sus propias versiones o usar las versiones integradas.

Requerir que el dispositivo esté marcado como compatible

Las organizaciones que implementan Intune pueden utilizar la información devuelta por sus dispositivos para identificar los que cumplen con los requisitos específicos de cumplimiento de directivas. Intune envía la información de cumplimiento a Microsoft Entra ID para que el acceso condicional pueda decidir si concede o bloquea el acceso a los recursos. Para más información sobre las directivas de cumplimiento, consulte Establecer reglas en los dispositivos para permitir el acceso a los recursos de su organización mediante Intune.

Un dispositivo se puede marcar como compatible por Intune para cualquier sistema operativo de dispositivo o por un sistema de administración de dispositivos móviles de terceros para dispositivos de Windows. Puede encontrar una lista de sistemas de administración de dispositivos móviles compatibles de terceros en Soporte técnico de asociados de cumplimiento de dispositivos de terceros en Intune.

Los dispositivos deben estar registrados en Microsoft Entra ID para poder marcarlos como compatibles. Puede encontrar más información sobre el registro de dispositivos en ¿Qué es una identidad de dispositivo?.

El dispositivo Require para marcarse como control de conformidad:

  • Solo admite dispositivos Windows 10 o superiores, iOS, Android, macOS y Linux Ubuntu registrados con Microsoft Entra ID e inscritos con Intune.
  • Microsoft Edge en modo InPrivate en Windows se considera un dispositivo no compatible.

Nota:

En Windows, iOS, Android, macOS y algunos exploradores web de terceros, Microsoft Entra ID identifica el dispositivo mediante un certificado de cliente que se aprovisiona cuando el dispositivo se registra con Microsoft Entra ID. Cuando un usuario inicia sesión por primera vez a través del explorador, se le pide que seleccione el certificado. El usuario debe seleccionar este certificado para poder continuar usando el explorador.

Puede usar la aplicación Microsoft Defender para punto de conexión con la directiva de aplicación cliente aprobada en Intune para establecer la directiva de cumplimiento de dispositivos en directivas de acceso condicional. No se requiere ninguna exclusión para la aplicación de Microsoft Defender para punto de conexión mientras configura el acceso condicional. Aunque Microsoft Defender para punto de conexión en Android e iOS (id. de aplicación dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) no es una aplicación aprobada, tiene permiso para notificar la posición de seguridad del dispositivo. Este permiso permite el flujo de información de cumplimiento al acceso condicional.

Requerir un dispositivo híbrido unido a Microsoft Entra

Las organizaciones pueden optar por usar la identidad del dispositivo como parte de la directiva de acceso condicional. Las organizaciones pueden exigir que los dispositivos tengan una unión híbrida a Microsoft Entra mediante esta casilla de verificación. Para más información sobre las identidades del dispositivo, consulte ¿Qué es una identidad de dispositivo?

Cuando se usa el flujo de OAuth de código de dispositivo, no se admite el control de concesión necesario para el dispositivo administrado o una condición de estado del dispositivo. Esto se debe a que el dispositivo que realiza la autenticación no puede proporcionar su estado de dispositivo al dispositivo que proporciona un código. Además, el estado del dispositivo en el token está bloqueado para el dispositivo que realiza la autenticación. En su lugar, use el control Requerir autenticación multifactor.

El control Requerir un dispositivo de unión híbrida a Microsoft Entra:

  • Solo admite dispositivos Windows de nivel inferior (antes de Windows 10) y Windows dispositivos actuales (Windows 10 y superiores).
  • No considera a Microsoft Edge en modo InPrivate como un dispositivo de unión híbrida a Microsoft Entra.

Requerir aplicación cliente aprobada

Las organizaciones pueden requerir que se use una aplicación cliente aprobada para acceder a las aplicaciones en la nube seleccionadas. Estas aplicaciones cliente aprobadas son compatibles con las directivas de protección de aplicaciones de Intune independientemente de cualquier otra solución de administración de dispositivos móviles.

Advertencia

La concesión de aplicación cliente aprobada se retirará a principios de marzo de 2026. Las organizaciones deben realizar la transición de todas las directivas de acceso condicional actuales que utilicen únicamente la concesión Requerir aplicación cliente aprobada a Requerir aplicación cliente aprobada o Directiva de protección de aplicaciones antes de marzo de 2026. Además, para cualquier nueva directiva de acceso condicional, aplique únicamente la concesión Requerir directiva de protección de aplicaciones. Para obtener más información, consulte el artículo Migrar una aplicación cliente aprobada a una directiva de protección de aplicaciones en el acceso condicional.

Para aplicar este control de concesión, el dispositivo debe estar registrado en Microsoft Entra ID, que requiere el uso de una aplicación de agente. La aplicación de intermediación puede ser Microsoft Authenticator para iOS, o bien Microsoft Authenticator o Microsoft Company Portal para dispositivos Android. Si no hay una aplicación de intermediario instalada en el dispositivo cuando el usuario intenta autenticarse, se le redirige a la tienda de aplicaciones adecuada para que instale la aplicación de intermediario necesaria.

Las siguientes aplicaciones cliente admiten esta configuración. Esta lista no es exhaustiva y está sujeta a cambios:

  • Microsoft Azure Information Protection
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Microsoft Lists
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype Empresarial
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Administrador de Microsoft 365

Comentarios

  • Las aplicaciones cliente aprobadas admiten la característica de administración de aplicaciones móviles de Intune.
  • Requisito de la opción Solicitar aplicación cliente aprobada:
    • Solo admite iOS y Android como condición de plataformas de dispositivo.
    • Requiere una aplicación de agente para registrar el dispositivo. La aplicación de intermediación puede ser Microsoft Authenticator para iOS, o bien Microsoft Authenticator o Microsoft Company Portal para dispositivos Android.
  • El acceso condicional no puede considerar Microsoft Edge en modo InPrivate como aplicación cliente aprobada.
  • Las directivas de acceso condicional que requieren Microsoft Power BI como una aplicación cliente aprobada no admiten el uso del proxy de aplicación de Microsoft Entra para conectar la aplicación móvil de Power BI a la Power BI Report Server local.
  • Las vistas web hospedadas fuera de Microsoft Edge no satisfacen la directiva de aplicación cliente aprobada. Por ejemplo: si una aplicación intenta cargar SharePoint en una vista web, se producirá un error en las directivas de protección de aplicaciones.

Consulte Requerir aplicaciones de cliente aprobadas para el acceso a aplicaciones en la nube con acceso condicional para ver ejemplos de configuración.

Requerir la directiva de protección de aplicaciones

En la directiva de acceso condicional, puede exigir que una directiva de protección de aplicaciones de Intune esté presente en la aplicación cliente antes de que el acceso esté disponible para las aplicaciones seleccionadas. Estas directivas de protección de aplicaciones de Administración de aplicaciones móviles (MAM) permiten administrar y proteger los datos de su organización dentro de aplicaciones específicas.

Para aplicar este control de concesión, el acceso condicional requiere que el dispositivo esté registrado en Microsoft Entra ID, lo que requiere el uso de una aplicación de intermediario. La aplicación de agente puede ser Microsoft Authenticator para iOS o el portal de empresa de Microsoft para dispositivos Android. Si no hay ninguna aplicación de agente instalada en el dispositivo cuando el usuario intenta autenticarse, será redirigido a la tienda de aplicaciones para que instale la aplicación de agente. La aplicación Microsoft Authenticator se puede usar como aplicación de agente, pero no admite su selección como destino como una aplicación cliente aprobada. Las directivas de protección de aplicaciones están disponibles con carácter general para iOS y Android, y en versión preliminar pública para Microsoft Edge en Windows. Los dispositivos Windows no admiten más de tres cuentas de usuario de Microsoft Entra en la misma sesión. Para obtener más información sobre cómo aplicar la directiva a dispositivos Windows, consulte el artículo Requerir una directiva de protección de aplicaciones en dispositivos Windows (versión preliminar).

Las aplicaciones deben cumplir ciertos requisitos para admitir directivas de protección de aplicaciones. Los desarrolladores pueden encontrar más información sobre estos requisitos en la sección Aplicaciones que puede administrar con directivas de protección de aplicaciones.

Las siguientes aplicaciones cliente admiten esta configuración. Esta lista no es exhaustiva y está sujeta a cambios. Si su aplicación no figura en ella, consulte al proveedor de la aplicación para confirmar el soporte técnico:

  • Aplicación móvil Adobe Acrobat Reader
  • iAnnotate para Office 365
  • Microsoft Cortana
  • Microsoft Dynamics 365 for Phones
  • Microsoft Dynamics 365 Sales
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Launcher
  • Microsoft Lists
  • Microsoft Loop
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream para dispositivos móviles nativo 2.0
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Word
  • Microsoft Whiteboard Services
  • MultiLine for Intune
  • Nine Mail - Email and Calendar
  • Notate para Intune
  • Provectus: contactos seguros
  • Viva Engage (Android, iOS y iPadOS)

Nota:

Kaizala, Skype for Business y Visio no admiten la concesión de Requerir la directiva de protección de aplicaciones. Si necesita que estas aplicaciones funcionen, use exclusivamente la concesión Requerir aplicaciones aprobadas. El uso de la cláusula "o" entre las dos subvenciones no funcionará para estas tres aplicaciones.

Consulte Uso obligatorio de directivas de protección de aplicaciones y una aplicación cliente aprobada para el acceso a aplicaciones en la nube con acceso condicional para obtener ejemplos de configuración.

Requerir cambio de contraseña

Cuando se detecta un riesgo de usuario, los administradores pueden emplear las condiciones de la directiva de riesgo de usuario para que el usuario cambie una contraseña de forma segura mediante el autoservicio de restablecimiento de contraseña de Microsoft Entra. Los usuarios pueden realizar un autoservicio de restablecimiento de contraseña para corregirse automáticamente. Este proceso cierra el evento de riesgo de usuarios para evitar alertas innecesarias para los administradores.

Cuando se le pida a un usuario que cambie su contraseña, primero se le pedirá que complete la autenticación multifactor. Asegúrese de que todos los usuarios se registran para la autenticación multifactor, para que estén preparados en caso de que se detecte un riesgo para su cuenta.

Advertencia

Los usuarios deben haberse registrado previamente para autenticación multifactor antes de desencadenar la directiva de riesgo de usuario.

Las restricciones siguientes se aplican al configurar una directiva mediante el control de cambio de contraseña:

  • La directiva debe asignarse a "todas las aplicaciones en la nube". Este requisito impide que un atacante use una aplicación diferente para cambiar la contraseña del usuario y restablecer el riesgo de su cuenta iniciando sesión en otra aplicación.
  • Requerir el cambio de contraseña no se puede utilizar con otros controles, como requerir un dispositivo compatible.
  • El control de cambio de contraseña solo se puede usar con la condición de asignación de grupo y usuario, condición de asignación de aplicación en la nube (que debe establecerse en "todos") y condiciones de riesgo del usuario.

Términos de uso

Si su organización ha redactado términos de uso, es posible que aparezcan otras opciones debajo de los controles de concesión. Estas opciones permiten a los administradores exigir el reconocimiento de las condiciones de uso como condición para acceder a los recursos que la directiva protege. Puede encontrar más información sobre las condiciones de uso en Condiciones de uso de Microsoft Entra.

Controles personalizados (versión preliminar)

Los controles personalizados son una capacidad de versión preliminar de Microsoft Entra ID. Al usar controles personalizados, los usuarios se redirigen a un servicio compatible para satisfacer los requisitos de autenticación que son independientes de Microsoft Entra ID. Para obtener más información, consulte el artículo Controles personalizados.

Pasos siguientes