Control de aplicaciones de acceso condicional en Microsoft Defender for Cloud Apps
En el área de trabajo actual, a menudo no basta con saber lo que ocurre en su entorno en la nube a posteriori. Debe detener infracciones y fugas en tiempo real. También debe evitar que los empleados pongan en riesgo sus datos y su organización de forma intencionada o accidental.
Quiere dar apoyo a los usuarios de su organización a la vez que usan las mejores aplicaciones en la nube disponibles y aportan sus propios dispositivos para que funcionen. Sin embargo, también necesita herramientas para proteger a su organización de filtraciones y robos de datos en tiempo real. Microsoft Defender for Cloud Apps se integra en cualquier proveedor de identidades (IdP) para ofrecer esta protección con directivas de acceso y sesión.
Por ejemplo:
Use directivas de acceso para:
- Bloquear el acceso a Salesforce para los usuarios de dispositivos no administrados.
- Bloquear el acceso a Dropbox de clientes nativos.
Use directivas de sesión para:
- Bloquear descargas de archivos confidenciales de OneDrive a dispositivos no administrados.
- Bloquear cargas de archivos de malware en SharePoint Online.
Los usuarios de Microsoft Edge tienen acceso directo a la protección integrada del explorador. Un icono de bloqueo 
en la barra de direcciones del explorador indica esta protección.
Los usuarios de otros exploradores se redirigen a través de un proxy inverso a Defender for Cloud Apps. Esos exploradores muestran un sufijo *.mcas.ms en la dirección URL del vínculo. Por ejemplo, si la URL de la aplicación es myapp.com, la URL de la aplicación se actualiza a myapp.com.mcas.ms.
En este artículo se describe el control de aplicaciones de acceso condicional en Defender for Cloud Apps con directivas de acceso condicional de Microsoft Entra.
Actividades del control de aplicaciones de acceso condicional
El control de aplicaciones de acceso condicional usa directivas de acceso y directivas de sesión para supervisar y controlar el acceso y las sesiones de las aplicaciones de los usuarios en tiempo real, en toda la organización.
Cada directiva tiene una serie de condiciones que definen a quién (qué usuario o un grupo de usuarios), a qué (qué aplicaciones en la nube) y adónde (qué ubicaciones y redes) se aplica una directiva de acceso condicional. Después de determinar las condiciones, enrute primero a los usuarios a Defender for Cloud Apps. Allí, puede aplicar los controles de acceso y sesión para ayudar a proteger los datos.
Las directivas de acceso y de sesión incluyen los siguientes tipos de acciones:
| Actividad | Descripción |
|---|---|
| Impedir la filtración de datos | Bloquear la descarga, la acción de cortar y pegar o las impresiones de documentos confidenciales en, por ejemplo, dispositivos no administrados. |
| Pedir un contexto de autenticación | Volver a evaluar las directivas de acceso condicional de Microsoft Entra cuando se produzca una acción confidencial en la sesión, como la petición de la autenticación multifactor. |
| Proteger en la descarga | En lugar de bloquear la descarga de documentos confidenciales, se solicita que los documentos estén etiquetados y cifrados al integrarlos en Microsoft Purview Information Protection. Esta acción ayuda a proteger el documento y a restringir el acceso del usuario en una sesión potencialmente arriesgada. |
| Impedir la carga de archivos sin etiqueta | Garantizar que la carga de archivos sin etiqueta con contenido confidencial se bloquee hasta que el usuario clasifique el contenido. Antes de que un usuario cargue, distribuya o use un archivo confidencial, el archivo debe tener la etiqueta definida por la directiva de la organización. |
| Bloquear malware potencial | Ayudar a proteger su entorno de malware bloqueando la carga de archivos potencialmente maliciosos. Cualquier archivo que un usuario intente cargar o descargar se puede analizar con inteligencia sobre amenazas de Microsoft y bloquearse instantáneamente. |
| Supervisar el cumplimiento de las sesiones de usuario | Investigue y analice las acciones del usuario para saber dónde se deben aplicar las directivas de sesión en el futuro y en qué condiciones. Los usuarios que entrañen riesgo se supervisan cuando inician sesión en aplicaciones y sus acciones se registran en la sesión. |
| Bloquear acceso | Puede bloquear de forma granular el acceso para aplicaciones y usuarios específicos en función de varios factores de riesgo. Por ejemplo, puede bloquearlos si usan certificados de cliente como forma de administración de dispositivos. |
| Bloquear actividades personalizadas | Algunas aplicaciones tienen escenarios únicos que conllevan riesgos. Un ejemplo es enviar mensajes que tienen contenido confidencial en aplicaciones como Microsoft Teams o Slack. En estos tipos de casos, examine los mensajes para detectar el contenido confidencial y bloquearlos en tiempo real. |
Para más información, vea:
- Crear directivas de acceso de Microsoft Defender for Cloud Apps
- Crear directivas de sesión de Microsoft Defender for Cloud Apps
Facilidad de uso
Para el control de aplicaciones de acceso condicional no es necesario instalar nada en el dispositivo, lo que lo hace ideal para supervisar o controlar sesiones de dispositivos no administrados o usuarios asociados.
Defender for Cloud Apps usa heurística patentada para identificar y controlar las actividades del usuario en la aplicación de destino. La heurística está diseñada para optimizar y equilibrar la seguridad con facilidad de uso.
En algunos casos excepcionales, el bloqueo de actividades en el lado del servidor inutiliza la aplicación, por lo que las organizaciones protegen estas actividades únicamente en el lado del cliente. Este enfoque hace que sean potencialmente susceptibles a la explotación por parte de usuarios internos malintencionados.
Rendimiento del sistema y almacenamiento de datos
Defender for Cloud Apps aprovecha los centros de datos de Azure en todo el mundo para proporcionar un rendimiento optimizado a través de la geolocalización. La sesión de un usuario puede hospedarse fuera de una región concreta, en función de los patrones de tráfico y su ubicación. Sin embargo, para ayudar a proteger la privacidad del usuario, estos centros de datos no almacenan datos de sesión.
Los servidores proxy de Defender for Cloud Apps no almacenan datos en reposo. Al almacenar en caché el contenido, seguimos los requisitos establecidos en RFC 7234 (almacenamiento en caché HTTP) y solo almacenamos en caché el contenido público.
Aplicaciones y clientes compatibles
Aplique la sesión y el acceso a los controles en cualquier inicio de sesión único interactivo que use el protocolo de autenticación SAML 2.0. Los controles de acceso también se admiten en aplicaciones cliente móviles y de escritorio integradas.
Además, si usa aplicaciones de Microsoft Entra ID, puede aplicar controles de sesión y acceso a:
- Cualquier inicio de sesión único interactivo que use el protocolo de autenticación OpenID Connect.
- Aplicaciones hospedadas de forma local y configuradas con el proxy de aplicación de Microsoft Entra.
Las aplicaciones de Microsoft Entra ID también se incorporan automáticamente para el control de aplicaciones de acceso condicional, mientras que las aplicaciones que usan otros IdP se deben incorporar manualmente.
Defender for Cloud Apps identifica las aplicaciones utilizando datos del catálogo de aplicaciones en la nube. Si ha personalizado aplicaciones con complementos, debe agregar los dominios personalizados asociados a la aplicación correspondiente en el catálogo. Para más información, consulte Búsqueda de aplicaciones en la nube y cálculo de puntuaciones de riesgo.
Nota:
Las aplicaciones instaladas con flujos de inicio de sesión no interactivos, como la aplicación Authenticator y otras aplicaciones integradas, no se pueden usar con controles de acceso. Nuestra recomendación en ese caso es crear una directiva de acceso en el centro de administración de Microsoft Entra, además de las directivas de acceso de Microsoft Defender for Cloud Apps.
Ámbito de compatibilidad para el control de sesión
Aunque los controles de sesión se compilan para usarse en cualquier explorador y en cualquier plataforma principal de cualquier sistema operativo, se admiten las versiones más recientes de los siguientes exploradores:
A los usuarios de Microsoft Edge se les aplica la protección integrada del explorador sin que se les redirija a un proxy inverso. Para obtener más información, consulte Protección integrada del explorador con Microsoft Edge para empresas (versión preliminar).
Compatibilidad de aplicaciones con TLS 1.2+
Defender for Cloud Apps usa protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar cifrado. Las aplicaciones y navegadores de cliente integrados que no admiten TLS 1.2+ no son accesibles cuando se configuran con el control de sesión.
Sin embargo, las aplicaciones de software como servicio (SaaS) que usan TLS 1.1 o versiones anteriores aparecen en el explorador como si usaran TLS 1.2+ cuando se configuran con Defender for Cloud Apps.