Crear directivas de acceso de Microsoft Defender for Cloud Apps

Las directivas de acceso de Microsoft Defender for Cloud Apps usan el control de aplicaciones de acceso condicional para proporcionar supervisión y control en tiempo real sobre el acceso a las aplicaciones en la nube. Las directivas de acceso controlan el acceso en función del usuario, la ubicación, el dispositivo y la aplicación, y son compatibles con cualquier dispositivo.

Las directivas creadas para una aplicación host no están conectadas a ninguna aplicación de recursos relacionada. Por ejemplo, las directivas de acceso que cree para Teams, Exchange o Gmail no están conectadas a SharePoint, OneDrive o Google Drive. Si necesitas una directiva para la aplicación de recursos además de la aplicación host, crea una directiva independiente.

Sugerencia

Si prefiere permitir el acceso general durante la supervisión de sesiones o limitar actividades de sesión específicas, cree directivas de sesión en su lugar. Para obtener más información, consulte Directivas de sesión.

Requisitos previos

Antes de empezar, asegúrese de que cumple los siguientes requisitos previos:

• Una licencia de Defender for Cloud Apps, ya sea como licencia independiente o como parte de otra licencia.

• Una licencia para Microsoft Entra ID P1, ya sea como licencia independiente o como parte de otra licencia.

• Si usa un IdP que no es de Microsoft, la licencia requerida por la solución del proveedor de identidades (IdP).

• Las aplicaciones pertinentes incorporadas al control de aplicaciones de acceso condicional. Las aplicaciones de Microsoft Entra ID se incorporan automáticamente, mientras que las aplicaciones con IdP que no son de Microsoft se deben incorporar manualmente.

  Si trabaja con un IdP que no es de Microsoft, asegúrese de que también ha configurado el IdP para que funcione con Microsoft Defender for Cloud Apps. Para más información, vea:

  • Incorporación de aplicaciones de catálogo con IdP que no es de Microsoft para el control de aplicaciones de acceso condicional
  • Incorporación de aplicaciones personalizadas con IdP que no es de Microsoft para el control de aplicaciones de acceso condicional

Para que la directiva de acceso funcione, también debe tener una directiva de acceso condicional de Microsoft Entra ID, que crea los permisos para controlar el tráfico.

Ejemplo: Creación de directivas de acceso condicional de Microsoft Entra ID para su uso con Defender for Cloud Apps

Este procedimiento proporciona un ejemplo general sobre cómo crear una directiva de acceso condicional para su uso con Defender for Cloud Apps.

1. En Acceso condicional de Microsoft Entra ID, seleccione Crear nueva directiva.

2. Escriba un nombre descriptivo para la directiva y, a continuación, seleccione el vínculo en Sesión para agregar controles a la directiva.

3. En el área Sesión, seleccione Usar control de aplicaciones de acceso condicional.

4. En el área Usuarios, seleccione incluir solo todos los usuarios o usuarios y grupos específicos.

5. En las áreas Condiciones y Aplicaciones cliente, seleccione las condiciones y las aplicaciones cliente que quiera incluir en la directiva.

6. Guarde la directiva estableciendo Solo informe en Activado y, a continuación, seleccione Crear.

Microsoft Entra ID admite directivas basadas en explorador y no basadas en explorador. Se recomienda crear ambos tipos para aumentar la cobertura de seguridad.

Repita este procedimiento para crear una directiva de acceso condicional no basada en explorador. En el área Aplicaciones cliente, cambie la opción Configurar a Sí. A continuación, en Clientes de autenticación moderna, desactive la opción Explorador. Deje seleccionadas todas las demás selecciones predeterminadas.

Para obtener más información, consulte Directivas de acceso condicional habituales y Creación de una directiva de acceso condicional.

Creación de una directiva de acceso a Defender for Cloud Apps

En este procedimiento se describe cómo crear una nueva directiva de acceso en Defender for Cloud Apps.

1. En Microsoft Defender XDR, seleccione la pestaña Aplicaciones en la nube > Directivas > Administración de directivas > Acceso condicional.

2. Seleccione Crear directiva>Directiva de acceso. Por ejemplo:

   

3. En la página Crear directiva de acceso, introduzca la siguiente información básica:

   Nombre	Descripción
   Nombre de directiva	Un nombre significativo para la directiva, como Bloquear el acceso desde dispositivos no administrados
   Gravedad de la directiva	Seleccione la gravedad que desea aplicar a esta directiva.
   Categoría	Mantenga el valor predeterminado de Control de acceso
   Descripción	Escriba una descripción opcional y significativa de la directiva para ayudar a su equipo a comprender su propósito.

4. En el área Actividades que coinciden con todo lo siguiente, seleccione más filtros de actividad para aplicarlos a la directiva. Los filtros incluyen las siguientes opciones:

   Nombre	Descripción
   Aplicación	Filtra una aplicación específica para incluirla en la directiva. Seleccione primero las aplicaciones seleccionando si usan la incorporación automatizada de Azure AD, para las aplicaciones de Microsoft Entra ID o la incorporación manual, para aplicaciones con IdP que no es de Microsoft. A continuación, seleccione la aplicación que desea incluir en el filtro de la lista. Si la aplicación con IdP que no es de Microsoft no está en la lista, asegúrese de que la ha incorporado completamente. Para más información, consulte: - Incorporación de aplicaciones de catálogo con IdP que no es de Microsoft para el control de aplicaciones de acceso condicional - Incorporación de aplicaciones personalizadas con IdP que no es de Microsoft para el control de aplicaciones de acceso condicional Si decide no usar el filtro Aplicación, la directiva se aplica a todas las aplicaciones marcadas como Habilitadas en la página Configuración > Aplicaciones en la nube > Aplicaciones conectadas > Aplicaciones de control de aplicaciones de acceso condicional. Nota: es posible que vea cierta superposición entre las aplicaciones que se incorporan y las que necesitan la incorporación manual. En caso de conflicto en el filtro entre las aplicaciones, las aplicaciones incorporadas manualmente tienen prioridad.
   Aplicación cliente	Filtre por aplicaciones de explorador o móviles o de escritorio.
   Device	Filtre por etiquetas de dispositivo, como para un método de administración de dispositivos específico o tipos de dispositivo, como PC, móvil o tableta.
   Dirección IP	Filtre por dirección IP o use las etiquetas de dirección IP previamente asignadas.
   Ubicación	Filtre por ubicación geográfica. La ausencia de una ubicación claramente definida puede identificar actividades de riesgo.
   ISP registrado	Filtre las actividades procedentes de un ISP específico.
   User	Filtre por un usuario o grupo de usuarios específico.
   Cadena de agente de usuario	Filtre por una cadena de agente de usuario específica.
   Etiqueta de agente de usuario	Filtre por etiquetas de agente de usuario, como para exploradores o sistemas operativos obsoletos.

   Por ejemplo:

   

   Seleccione Editar y obtener una vista previa de los resultados para obtener una vista previa de los tipos de actividades que se devolverían con la selección actual.

5. En el área Acciones, seleccione una de las siguientes opciones:

   • Auditar: establezca esta acción para permitir expresamente el acceso según los filtros de directiva que haya establecido.

   • Bloquear: establece esta acción para bloquear expresamente el acceso según los filtros de directiva que hayas establecido.

6. En el área Alertas, configure cualquiera de las siguientes acciones según sea necesario:

   • Crear una alerta para cada evento coincidente con la gravedad de la directiva
   • Enviar una alerta como correo electrónico
   • Límite diario de alertas por directiva
   • Enviar alertas a Power Automate

7. Seleccione Crear cuando haya terminado.

Prueba de la directiva

Después de crear la directiva de acceso, pruébela mediante la nueva autenticación en cada aplicación configurada en la directiva. Compruebe que la experiencia de la aplicación es la esperada y, a continuación, compruebe los registros de actividad.

Se recomienda que:

• Cree una directiva para un usuario que haya creado específicamente para las pruebas.
• Cierre la sesión de todas las sesiones existentes antes de volver a autenticarse en las aplicaciones.
• Inicie sesión en aplicaciones móviles y de escritorio desde dispositivos administrados y no administrados para asegurarse de que las actividades se capturan por completo en el registro de actividad.

Asegúrese de iniciar sesión con un usuario que coincida con la directiva.

Para probar la directiva en la aplicación:

• Visite todas las páginas de la aplicación que forman parte del proceso de trabajo de un usuario y compruebe que las páginas se representan correctamente.
• Compruebe que el comportamiento y la funcionalidad de la aplicación no se ven afectados negativamente mediante la realización de acciones comunes, como descargar y cargar archivos.
• Si está trabajando con aplicaciones personalizadas, con IdP que no es de Microsoft, compruebe cada uno de los dominios que ha agregado manualmente para la aplicación.

Para comprobar los registros de actividad:

1. En Microsoft Defender XDR, seleccione Aplicaciones en la nube > Registro de actividad y busque las actividades de inicio de sesión capturadas para cada paso. Es posible que desee filtrar seleccionando Filtros avanzados y filtrando por Origen igual a Control de acceso.

   Las actividades de inicio de sesión único son eventos de control de aplicaciones de acceso condicional.

2. Seleccione una actividad para expandirla y obtener más detalles. Asegúrese de que la etiqueta Agente de usuario refleja correctamente si el dispositivo es un cliente incorporado, una aplicación de escritorio o móvil, o si es un dispositivo administrado compatible y unido a un dominio.

Si encuentra errores o problemas, use la barra de herramientas de vista de administrador para recopilar recursos, como archivos .Har y sesiones grabadas y, a continuación, presente una incidencia de soporte técnico.

Creación de directivas de acceso para dispositivos administrados por identidades

Use certificados de cliente para controlar el acceso a los dispositivos que no están unidos a Microsoft Entra híbrido y no están administrados por Microsoft Intune. Implemente nuevos certificados en dispositivos administrados o use certificados existentes, como certificados MDM de terceros. Por ejemplo, puede implementar certificados de cliente en dispositivos administrados y después bloquear el acceso desde dispositivos que no tengan ningún certificado.

Para obtener más información, consulte Dispositivos administrados por identidades con control de aplicaciones de acceso condicional.

Contenido relacionado

Para más información, vea:

• Solución de problemas de controles de acceso y de sesión
• Tutorial: Bloqueo de descargas de información confidencial con el control de aplicaciones de acceso condicional de Microsoft Cloud App Security
• Bloqueo de descargas en dispositivos no administrados mediante controles de sesión
• Seminario web sobre el control de aplicaciones de acceso condicional

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.