Tutorial: requerir autenticación a una edición superior (contexto de autenticación) tras una acción de riesgo
Como administrador de TI hoy en día, se encuentra entre la espada y la pared. Quiere permitir que los empleados sean productivos. Para ello, hay que permitirles el acceso a aplicaciones, de forma que puedan trabajar en cualquier momento y desde cualquier dispositivo. Pero quiere proteger los activos de la empresa, incluida la información propietaria y con privilegios. ¿Cómo se puede permitir el acceso de los empleados a las aplicaciones en la nube y, al mismo tiempo, proteger los datos?
Este tutorial le permite volver a evaluar las directivas de acceso condicional de Microsoft Entra cuando los usuarios realizan acciones confidenciales durante una sesión.
La amenaza
Un empleado ha iniciado sesión en SharePoint Online desde la oficina corporativa. Durante la misma sesión, su dirección IP se registró fuera de la red corporativa. Tal vez fueron a la cafetería de abajo, o tal vez su token fue comprometido o robado por un atacante malintencionado.
La solución
Proteja su organización exigiendo que las directivas de acceso condicional de Microsoft Entra se vuelvan a evaluar durante las acciones de sesión confidenciales, el control de aplicaciones de acceso condicional de Defender for Cloud Apps.
Requisitos previos
Una licencia válida para la licencia P1 de Microsoft Entra ID
La aplicación en la nube, en este caso SharePoint Online, configurada como una aplicación de Microsoft Entra ID y mediante SSO a través de SAML 2.0 u OpenID Connect
Asegúrese de que la aplicación está implementada en Defender for Cloud Apps
Creación de una directiva para aplicar la autenticación a una edición superior
Las directivas de sesión de Defender for Cloud Apps le permiten restringir una sesión según el estado del dispositivo. Para conseguir controlar una sesión mediante el dispositivo como condición, cree una directiva de acceso condicional y una directiva de sesión.
Para crear la directiva:
En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas.
En la página Directivas, haga clic en Crear directiva y, después, en Directiva de sesión.
En la página Creación de directivas de sesión, especifique un nombre y una descripción para la directiva. Por ejemplo, requerir autenticación a una edición superior en las descargas de SharePoint Online desde dispositivos no administrados.
Asigne una Gravedad de directiva y una Categoría.
Para el tipo de control sesión, seleccione Bloquear actividades, Carga de archivos de control (con inspección), Descarga de archivos de control (con inspección).
En Origen de actividad en la sección Actividades que coinciden con todo lo siguiente, seleccione estos filtros:
Etiqueta de dispositivo: seleccione No es igual y, a continuación, seleccione Compatible con Intune, Unido híbrido de Microsoft Entra o Certificado de cliente válido. La selección depende del método que se usa en su organización para identificar los dispositivos administrados.
Aplicación: seleccione Incorporación automatizada de Azure AD y, a continuación, seleccione SharePoint Online en la lista.
Usuarios: seleccione los usuarios que quiera supervisar.
Establezca los siguientes filtros en la sección Archivos que coinciden con todo lo siguiente de Origen de la actividad:
Etiquetas de confidencialidad: si usa etiquetas de confidencialidad de Microsoft Purview Information Protection, filtre los archivos en función de una etiqueta de confidencialidad específica de Microsoft Purview Information Protection.
Seleccione Nombre de archivo o Tipo de archivo para aplicar restricciones basadas en el nombre o el tipo de archivo.
Habilite Inspección de contenido para permitir que la DLP interna examine los archivos en busca de contenido confidencial.
En Acciones, seleccione Requerir autenticación a una edición superior.
Nota:
Esto requiere que el contexto de autenticación se cree en el Microsoft Entra ID.
Establezca las alertas que quiera recibir cuando coincida la directiva. Puede establecer un límite para no recibir demasiadas alertas. Seleccione si quiere obtener las alertas como un mensaje de correo electrónico.
Seleccione Crear.
Validar la directiva
Para simular esta directiva, inicie sesión en la aplicación desde un dispositivo no administrado o una ubicación de red no corporativa. Después, intente descargar un archivo.
Se le debería pedir que realice la acción configurada en la directiva de contexto de autenticación.
En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas. A continuación, seleccione la directiva que ha creado para ver el informe de directivas. Una coincidencia de directiva de sesión debe aparecer en breve.
En el informe de directiva puede ver los inicios de sesión que se han redirigido a Microsoft Defender for Cloud Apps para someterlos a un control de sesión, así como los archivos que se han descargado o bloqueado en las sesiones supervisadas.
Pasos siguientes
Cómo crear una directiva de acceso
Cómo crear una directiva de sesión
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.