Acceso condicional: requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones

Los usuarios utilizan sus dispositivos móviles habitualmente para tareas personales y profesionales. A la vez que se aseguran de que el personal pueda ser productivo, las organizaciones también quieren evitar la pérdida de datos de aplicaciones que se encuentren en dispositivos que no administren completamente.

Con el acceso condicional, las organizaciones pueden restringir el acceso a aplicaciones cliente aprobadas (con capacidad para la autenticación moderna) con directivas de protección de aplicaciones de Intune. En el caso de las aplicaciones cliente anteriores que puede que no admitan directivas de protección de aplicaciones, los administradores pueden restringir el acceso a las aplicaciones cliente aprobadas.

Advertencia

Las directivas de protección de aplicaciones solo se admiten en iOS y Android.

No todas las aplicaciones se admiten como aplicaciones aprobadas ni admiten directivas de protección de aplicaciones. Para ver una lista de algunas de las aplicaciones cliente comunes, consulte la sección Requerir la directiva de protección de aplicaciones. Si la aplicación no se encuentra en la lista, póngase en contacto con su desarrollador.

Para requerir aplicaciones cliente aprobadas para dispositivos iOS y Android, estos dispositivos deben registrarse primero en Azure AD.

Nota:

"Requerir uno de los controles seleccionados" en Conceder controles es como una cláusula OR. Esta cláusula se usa dentro de la directiva para que los usuarios puedan utilizar aplicaciones que admitan los controles de concesión Requerir directiva de protección de aplicaciones o Requerir aplicación cliente aprobada. Requerir la directiva de protección de aplicaciones se aplica cuando la aplicación admite ese control de concesión.

Para más información sobre las ventajas que aporta el uso de directivas de protección de aplicaciones, consulte el artículo Introducción a las directivas de protección de aplicaciones.

Creación de una directiva de acceso condicional

Las directivas que tiene a continuación se colocan inicialmente en Modo de solo informe, para que los administradores puedan determinar el impacto que tendrán en los usuarios existentes. Cuando los administradores estén seguros de que la directiva se aplica según lo previsto, pueden cambiar a Activado o ensayar la implementación agregando grupos específicos y excluyendo otros.

Solicitud de aplicaciones cliente aprobadas o una directiva de protección de aplicaciones

Los siguientes pasos le ayudarán a crear una directiva de acceso condicional que requiera una aplicación cliente aprobada o una directiva de protección de aplicaciones cuando use algún dispositivo iOS, iPadOS o Android. Esta directiva también impedirá el uso de clientes Exchange ActiveSync mediante la autenticación básica en dispositivos móviles. Esta directiva funciona conjuntamente con una directiva de protección de aplicaciones creada en Microsoft Intune.

Las organizaciones pueden optar por implementar esta directiva mediante los pasos descritos a continuación o mediante las plantillas de acceso condicional (versión preliminar).

  1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.
  2. Vaya a Azure Active DirectorySeguridadAcceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos, y excluya al menos una cuenta para evitar que se le bloquee. Si no excluye ninguna cuenta, no podrá crear la directiva.
  6. En Aplicaciones o acciones en la nube, seleccione Todas las aplicaciones en la nube.
  7. En Condiciones>Plataformas de dispositivo, seleccione en Configurar.
    1. En Incluir, seleccione Plataformas de dispositivo.
    2. Elija Android e iOS.
    3. Seleccione Listo.
  8. En Controles de acceso>Conceder, seleccione Conceder acceso.
    1. Seleccione Requerir aplicación cliente aprobada o Requerir directiva de protección de aplicaciones.
    2. En el caso de controles múltiples, seleccione Requerir uno de los controles seleccionados.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de confirmar la configuración mediante el modo de solo informe, un administrador puede mover el botón de alternancia Habilitar directiva de Solo informe a Activar.

Bloqueo de Exchange ActiveSync en todos los dispositivos

Esta directiva impedirá que todos los clientes de Exchange ActiveSync que usan la autenticación básica se conecten a Exchange Online.

  1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.
  2. Vaya a Azure Active DirectorySeguridadAcceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos, y excluya al menos una cuenta para evitar que se le bloquee. Si no excluye ninguna cuenta, no podrá crear la directiva.
    3. Seleccione Listo.
  6. En Aplicaciones en la nube o acciones, haga clic en Seleccionar aplicaciones.
    1. Seleccione Office 365 Exchange Online.
    2. Elija Seleccionar.
  7. En Condiciones>Aplicaciones cliente, establezca Configurar en .
    1. Desactive todas las opciones excepto los clientes de Exchange ActiveSync.
    2. Seleccione Listo.
  8. En Controles de acceso>Conceder, seleccione Conceder acceso.
    1. Seleccione Requerir la directiva de protección de aplicaciones.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de confirmar la configuración mediante el modo de solo informe, un administrador puede mover el botón de alternancia Habilitar directiva de Solo informe a Activar.

Pasos siguientes

Introducción general a las directivas de protección de aplicaciones

Directivas de acceso condicional habituales

Simulación del comportamiento de inicio de sesión mediante la herramienta What If de acceso condicional