Establecer directivas de acceso condicional

El acceso condicional exige el cumplimiento de determinados criterios antes de conceder acceso al contenido regulado del sistema para protegerlo. Las directivas del Acceso condicional, en su forma más simple, son declaraciones " if-then ". If (si) un usuario quiere acceder a un recurso, then (entonces) debe completar una acción. Por ejemplo, un administrador de nóminas quiere acceder a la aplicación de nómina y es necesario realizar la autenticación multifactor (MFA) para hacerlo.

Con el acceso condicional, puede lograr dos objetivos principales:

• Permitir que los usuarios sean productivos en cualquier lugar y en cualquier momento.
• Proteger los recursos de la organización.

Mediante el uso de directivas de acceso condicional, puede aplicar los controles de acceso adecuados cuando sean necesarios para garantizar la seguridad de la organización y dejar libertad al usuario cuando no sean necesarios.

La frecuencia con la que se solicita a un usuario que vuelva a autenticarse depende de Microsoft Entra configuración de duración de la sesión. Aunque recordar las credenciales es conveniente, también puede hacer que las implementaciones para escenarios empresariales con dispositivos personales sean menos seguras. Para proteger a los usuarios, puede asegurarse de que el cliente solicita Microsoft Entra credenciales de autenticación multifactor con más frecuencia. Puede usar la frecuencia de inicio de sesión de acceso condicional para configurar este comportamiento.

Asignación de una directiva de acceso condicional para los PC en la nube

Las directivas de acceso condicional no se establecen para el inquilino de forma predeterminada. Puede dirigir las directivas de acceso condicional a la aplicación propia del PC en la nube mediante cualquiera de las siguientes plataformas:

• Azure. Para obtener más información, consulte Microsoft Entra acceso condicional.
• Microsoft Intune. En los pasos siguientes se explica este proceso. Para obtener más información, consulte Más información sobre el acceso condicional e Intune.

Independientemente del método que use, las directivas se aplicarán en el portal del usuario final del PC en la nube y en la conexión al PC en la nube.

1. Inicie sesión en el centro de administración de Microsoft Intune y seleccioneAcceso> condicional de seguridad> de punto de conexiónCrear nueva directiva.

2. Proporcione un Nombre para su directiva de acceso condicional específica.

3. En Usuarios, seleccione 0 usuarios y grupos seleccionados.

4. En la pestaña Incluir , seleccione Seleccionar usuarios y grupos> y seleccione Usuarios y grupos> en Seleccionar, elija 0 usuarios y grupos seleccionados.

5. En el nuevo panel que se abre, busque y seleccione el usuario o grupo específico al que desea dirigirse con la directiva de CA y, a continuación, elija Seleccionar.

6. En Recursos de destino, seleccione No hay recursos de destino seleccionados.

7. En la pestaña Incluir , elija Seleccionar aplicaciones> en Seleccionar y elija Ninguno.

8. En el panel Seleccionar , busque y seleccione las siguientes aplicaciones en función de los recursos que intenta proteger:

   • Windows 365 (id. de aplicación 0af06dc6-e4b5-4f28-818e-e78e62d137a5). También puede buscar "nube" para encontrar esta aplicación. Esta aplicación se usa al recuperar la lista de recursos para el usuario y cuando los usuarios inician acciones en su equipo en la nube, como Reiniciar.
   • Azure Virtual Desktop (id. de aplicación 9cdead84-a844-4324-93f2-b2e6bb768d07). Esta aplicación también puede aparecer como Windows Virtual Desktop. Esta aplicación se usa para autenticarse en la puerta de enlace de Azure Virtual Desktop durante la conexión y cuando el cliente envía información de diagnóstico al servicio.
   • Escritorio remoto de Microsoft (id. de aplicación a4a365df-50f1-4397-bc59-1a1564b8bb9c) y Windows Cloud Login (id. de aplicación 270efc09-cd0d-444b-a71f-39af4910ec45). Estas aplicaciones solo son necesarias cuando se configura el inicio de sesión único en una directiva de aprovisionamiento. Estas aplicaciones se usan para autenticar a los usuarios en el equipo en la nube.

   Se recomienda hacer coincidir las directivas de acceso condicional entre estas aplicaciones. Esto garantiza que la directiva se aplique al portal de usuario final de PC en la nube, a la conexión a la puerta de enlace y al equipo en la nube para una experiencia coherente. Si desea excluir aplicaciones, también debe elegir todas estas aplicaciones.

   Importante

   Con el inicio de sesión único habilitado, la autenticación en el equipo en la nube usa la aplicación Escritorio remoto de Microsoft Entra ID hoy en día. Un próximo cambio hará la transición de la autenticación a la aplicación Detección de acceso de inicio de sesión en la nube de Windows . Para garantizar una transición sin problemas, debe agregar ambas aplicaciones de id. de entra a las directivas de ca.

   Nota:

   Si no ve la aplicación Windows Cloud Login al configurar la directiva de acceso condicional, siga estos pasos para crear la aplicación. Debe tener permisos de propietario o colaborador en la suscripción para realizar estos cambios:

   1. Inicie sesión en Azure Portal.
   2. Seleccione Suscripciones en la lista de servicios de Azure.
   3. Seleccione el nombre de la suscripción.
   4. Seleccione Proveedores de recursos y, a continuación , Seleccione Microsoft.DesktopVirtualization.
   5. Seleccione Registrar en la parte superior.

   Una vez registrado el proveedor de recursos, la aplicación Inicio de sesión en la nube de Windows aparece en la configuración de la directiva de acceso condicional al seleccionar las aplicaciones a las que aplicar la directiva. Si no usa Azure Virtual Desktop, puede anular el registro del proveedor de recursos Microsoft.DesktopVirtualization después de que la aplicación Inicio de sesión en la nube de Windows esté disponible.

9. Si desea ajustar la directiva, en Conceder, elija 0 controles seleccionados.

10. En el panel Conceder , elija las opciones de concesión o acceso en bloque que desea aplicar a todos los objetos asignados a esta directiva >Seleccione.

11. Si quiere probar primero la directiva, en Habilitar directiva, seleccione Solo informe. Si lo establece en Activado, la directiva se aplicará en cuanto la cree.

12. Seleccione Crear para crear la directiva.

Puede ver la lista de directivas activas e inactivas en la vista Directivas de la interfaz de usuario de acceso condicional.

Configuración de la frecuencia de inicio de sesión

Las directivas de frecuencia de inicio de sesión le permiten establecer el período de tiempo después del cual un usuario debe volver a demostrar su identidad al acceder a recursos basados en Microsoft Entra. Esto puede ayudar a proteger el entorno y es especialmente importante para los dispositivos personales, donde es posible que el sistema operativo local no requiera MFA o que no se bloquee automáticamente después de la inactividad.

Las directivas de frecuencia de inicio de sesión producen un comportamiento diferente en función de la Microsoft Entra aplicación seleccionada:

Nombre de la aplicación	Identificador de la aplicación	Comportamiento
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Exige la nueva autenticación cuando un usuario recupera su lista de equipos en la nube y cuando los usuarios inician acciones en su equipo en la nube, como reiniciar.
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Aplica la nueva autenticación cuando un usuario se autentica en la puerta de enlace de Azure Virtual Desktop durante una conexión.
Escritorio remoto de Microsoft Inicio de sesión en la nube de Windows	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Aplica la nueva autenticación cuando un usuario inicia sesión en el equipo en la nube cuando está habilitado el inicio de sesión único . Ambas aplicaciones deben configurarse juntas, ya que los clientes pronto cambiarán de usar la aplicación Escritorio remoto de Microsoft a la aplicación De inicio de sesión en la nube de Windows para autenticarse en el equipo en la nube.

Para configurar el período de tiempo después del cual se pide a un usuario que vuelva a iniciar sesión:

1. Abra la directiva que creó anteriormente.
2. En Sesión, seleccione 0 controles seleccionados.
3. En el panel Sesión , seleccione Frecuencia de inicio de sesión.
4. Seleccione Reautorización periódica o Cada vez.
   • Si selecciona Reautenticación periódica, establezca el valor para el período de tiempo después del cual se le pide a un usuario que vuelva > a iniciar sesión Seleccione . Por ejemplo, si se establece el valor en 1 y la unidad en Horas, se requiere la autenticación multifactor si se inicia una conexión más de una hora después de la última.
   • La opción Cada vez está disponible actualmente en versión preliminar pública y solo se admite cuando se aplica a las aplicaciones Escritorio remoto de Microsoft y Windows Cloud Login cuando el inicio de sesión único está habilitado para los equipos en la nube. Si selecciona Cada vez, se pedirá a los usuarios que vuelvan a autenticarse después de un período de entre 10 y 15 minutos después de la última vez que se autenticaron para las aplicaciones de inicio de sesión en la nube Escritorio remoto de Microsoft y Windows.
5. En la parte inferior de la página, seleccione Guardar.

Nota:

• La nueva autenticación solo se produce cuando un usuario debe autenticarse en un recurso. Una vez establecida una conexión, no se preguntará a los usuarios aunque la conexión dure más tiempo que la frecuencia de inicio de sesión que haya configurado.
• Los usuarios deben volver a autenticarse si hay una interrupción de la red que obliga a volver a establecer la sesión después de la frecuencia de inicio de sesión. Esto puede dar lugar a solicitudes de autenticación más frecuentes en redes inestables.

Siguientes pasos

Administrar las redirecciones de dispositivos RDP