Acceso condicional: Condiciones

Dentro de una directiva de acceso condicional, un administrador puede usar señales de condiciones como el riesgo, la plataforma del dispositivo o la ubicación para mejorar sus decisiones de directivas.

Definición de una directiva de acceso condicional y especificación de condiciones

Se pueden combinar varias condiciones para crear directivas de acceso condicional específicas y concretas.

Por ejemplo, al acceder a una aplicación confidencial, un administrador puede factorizar la información de riesgo de inicio de sesión de Identity Protection y la ubicación en su decisión de acceso, además de otros controles, como la autenticación multifactor.

Riesgo de inicio de sesión

En el caso de clientes con acceso a Identity Protection, se puede evaluar el riesgo de inicio de sesión como parte de una directiva de acceso condicional. Un riesgo de inicio de sesión representa la probabilidad de que el propietario de la identidad no haya autorizado una solicitud de autenticación determinada. Puede encontrar más información sobre el riesgo de inicio de sesión en los artículos ¿Cuáles son los riesgos? e Instrucciones: Configuración y habilitación de directivas de riesgo.

Riesgo de usuario

En el caso de los clientes con acceso a Identity Protection, el riesgo del usuario se puede evaluar como parte de una directiva de acceso condicional. Un riesgo de usuario representa la probabilidad de que una identidad o cuenta determinada esté en peligro. Puede encontrar más información sobre el riesgo del usuario en los artículos ¿Cuáles son los riesgos? e Instrucciones: Configuración y habilitación de directivas de riesgo.

Plataformas de dispositivo

La plataforma de dispositivo se caracteriza por el sistema operativo que se ejecuta en un dispositivo. Azure AD identifica la plataforma mediante el uso de la información proporcionada por el dispositivo, como las cadenas de agente de usuario. Como las cadenas de agente de usuario se pueden modificar, esta información no se comprueba. La plataforma de dispositivo se debe usar junto con las directivas de cumplimiento de dispositivos de Microsoft Intune o como parte de una instrucción de bloque. El valor predeterminado es aplicarlo a todas las plataformas de dispositivo.

El acceso condicional de Azure AD admite las siguientes plataformas de dispositivo:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Si bloquea la autenticación heredada con la condición Otros clientes, también puede establecer la condición de la plataforma del dispositivo.

Importante

Microsoft le recomienda que tenga una directiva de acceso condicional para las plataformas de dispositivos que no sean compatibles. Por ejemplo, si quiere bloquear el acceso a los recursos corporativos desde Chrome OS o cualquier otro cliente no compatible, debe configurar una directiva con una condición de plataformas de dispositivos que incluya cualquier dispositivo, excluya las plataformas de dispositivo compatibles y conceda el control establecido para bloquear el acceso.

Ubicaciones

Al configurar la ubicación como una condición, las organizaciones pueden elegir incluir o excluir ubicaciones. Estas ubicaciones con nombre pueden incluir la información de red IPv4 pública, el país o la región, o incluso áreas desconocidas que no se asignan a países o regiones en concreto. Solo los intervalos IP se pueden marcar como una ubicación de confianza.

Al incluir cualquier ubicación, esta opción incluye cualquier dirección IP en Internet, no solo en las ubicaciones con nombre configuradas. Al seleccionar cualquier ubicación, los administradores pueden optar por excluir todas las ubicaciones de confianza o seleccionadas.

Por ejemplo, algunas organizaciones pueden optar por no requerir la autenticación multifactor cuando los usuarios se conectan a la red en una ubicación de confianza, como su oficina central física. Los administradores pueden crear una directiva que incluya cualquier ubicación, pero excluya las ubicaciones seleccionadas para las redes de la oficina central.

Para más información sobre las ubicaciones, consulte el artículo ¿Qué es la condición de ubicación del acceso condicional de Azure Active Directory?

Aplicaciones cliente

De manera predeterminada, todas las directivas de acceso condicional recién creadas se aplicarán a todos los tipos de aplicaciones cliente, incluso si la condición de las aplicaciones cliente no está configurada.

Nota:

El comportamiento de la condición de las aplicaciones cliente se actualizó en agosto de 2020. Si ya tiene directivas de acceso condicional, estas permanecerán sin cambios. Sin embargo, si hace clic en una directiva existente, se habrá quitado el botón de alternancia de configuración, y estarán seleccionadas las aplicaciones cliente a las que se aplica la directiva.

Importante

Los inicios de sesión desde clientes de autenticación heredada no admiten MFA y no pasan la información del estado de los dispositivos a Azure AD, por lo que se bloquearán mediante controles de concesión de acceso condicional, como la exigencia de MFA o dispositivos compatibles. Si tiene cuentas que deben usar la autenticación heredada, debe excluir esas cuentas de la directiva, o bien configurar la directiva para que solo se aplique a los clientes de autenticación moderna.

Cuando el botón de alternancia Configurar está establecido en , se aplica a los elementos seleccionados; cuando está establecido en No, se aplica a todas las aplicaciones cliente, incluidos los clientes de autenticación moderna y heredada. Este botón de alternancia no aparece en las directivas creadas antes de agosto de 2020.

  • Clientes de autenticación moderna
    • Browser
      • Estos incluyen aplicaciones basadas en web que usan protocolos como SAML, WS-Federation, OpenID Connect o servicios registrados como un cliente de OAuth Confidential.
    • Aplicaciones móviles y aplicaciones de escritorio
      • Esta opción incluye aplicaciones como las aplicaciones de teléfono y escritorio de Office.
  • Clientes de autenticación heredada
    • Clientes de Exchange ActiveSync
      • Esta selección incluye cualquier uso del protocolo Exchange ActiveSync (EAS).
      • Cuando la directiva bloquea el uso de Exchange ActiveSync, el usuario afectado recibirá un único mensaje de correo electrónico de cuarentena. Este mensaje de correo electrónico proporciona información sobre por qué está bloqueado e incluye instrucciones de corrección si es posible.
      • Los administradores pueden aplicar directivas solo a las plataformas admitidas (como iOS, Android y Windows) mediante Microsoft Graph API de acceso condicional.
    • Otros clientes
      • Esta opción incluye clientes que usan protocolos de autenticación básicos o heredados que no admiten la autenticación moderna.
        • SMTP autenticado: usado por clientes POP e IMAP para enviar mensajes de correo electrónico.
        • Detección automática: usada por clientes Outlook y EAS para buscar y conectarse a buzones en Exchange Online.
        • Exchange Online PowerShell: se usa para conectarse a Exchange Online con PowerShell remoto. Si bloquea la autenticación básica para Exchange Online PowerShell, debe usar el módulo de Exchange Online PowerShell para conectarse. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell con autenticación multifactor.
        • Servicios web Exchange (EWS): una interfaz de programación que se usa en Outlook, Outlook para Mac y aplicaciones de terceros.
        • IMAP4: usado por clientes de correo electrónico IMAP.
        • MAPI sobre HTTP (MAPI/HTTP): usado por Outlook 2010 y versiones posteriores.
        • Libreta de direcciones sin conexión (OAB): una copia de las colecciones de listas de direcciones que Outlook descarga y usa.
        • Outlook en cualquier lugar (RPC a través de HTTP): usado por Outlook 2016 y versiones anteriores.
        • Servicio Outlook: usado por la aplicación de correo electrónico y calendario de Windows 10.
        • POP3: usado por clientes de correo electrónico POP.
        • Servicios web de creación de informes: se usan para recuperar datos de informes en Exchange Online.

Estas condiciones se suelen usar cuando se requiere un dispositivo administrado, se bloquea la autenticación heredada y se bloquea la aplicación web, pero se permiten aplicaciones móviles o de escritorio.

Exploradores compatibles

Esta configuración funciona con todos los exploradores. Sin embargo, para satisfacer una directiva de dispositivo, como un requisito de dispositivo compatible, se admiten los sistemas operativos y exploradores siguientes. Los sistemas operativos y los exploradores que han quedado fuera de la compatibilidad estándar no se muestran en esta lista:

Sistemas operativos Exploradores
Windows 10 y versiones posteriores Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (consulte las notas)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari

Estos exploradores admiten la autenticación de dispositivo, lo que permite identificar y validar el dispositivo con respecto a una directiva. Se produce un error en la comprobación del dispositivo si el explorador se ejecuta en modo privado o si las cookies están deshabilitadas.

Nota:

Edge 85+ requiere que el usuario inicie sesión en el explorador para pasar correctamente la identidad del dispositivo. De lo contrario, se comporta como Chrome sin la extensión de cuentas. Este inicio de sesión podría no producirse automáticamente en un escenario de Unión a Azure AD híbrido.

Safari es compatible con el acceso condicional basado en dispositivos, pero no puede satisfacer las condiciones Requerir aplicación cliente aprobada o Requerir la directiva de protección de aplicaciones. Un navegador administrado como Microsoft Edge cumple ambos requisitos. En iOS con la solución de administración de datos maestros de terceros solo el explorador Microsoft Edge admite la directiva de dispositivo.

Firefox 91 y las versiones posteriores son compatibles con el acceso condicional basado en dispositivos, pero es necesario habilitar la opción "Permitir el inicio de sesión único de Windows para Microsoft, cuentas de trabajo y escolares".

¿Por qué veo una solicitud de certificado en el explorador?

En Windows 7, iOS, Android y macOS, Azure AD identifica el dispositivo mediante un certificado de cliente que se aprovisiona cuando el dispositivo está registrado con Azure AD. Cuando un usuario inicia sesión por primera vez a través del explorador, se le pide que seleccione el certificado. El usuario debe seleccionar este certificado antes de usar el explorador.

Compatibilidad con Chrome

Para la compatibilidad con Chrome en Windows 10 Creators Update (versión 1703) o posterior, instale la extensión de cuentas de Windows u Office. Estas extensiones son necesarias cuando una directiva de acceso condicional requiere detalles específicos del dispositivo.

Para implementar automáticamente esta extensión en los exploradores de Chrome, cree la siguiente clave del Registro:

  • Ruta de acceso HKEY_LOCAL_MACHINE \Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Nombre 1
  • Tipo REG_SZ (cadena)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Para la compatibilidad con Chrome en Windows 8.1 y 7, cree la siguiente clave del Registro:

  • Ruta de acceso HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Nombre 1
  • Tipo REG_SZ (cadena)
  • Datos {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Clientes de escritorio y aplicaciones móviles compatibles

Las organizaciones pueden seleccionar Aplicaciones móviles y clientes de escritorio como aplicación cliente.

Esta configuración afecta a los intentos de acceso realizados desde las siguientes aplicaciones móviles y aplicaciones de escritorio:

Aplicaciones cliente Servicio de destino Plataforma
Aplicación de Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS y Android
Aplicación de Correo electrónico/Calendario/People, Outlook 2016, Outlook 2013 (con la autenticación moderna) Exchange Online Windows 10
Directiva de MFA y de ubicación para las aplicaciones. No se admiten las directivas basadas en dispositivos. Cualquier servicio de aplicaciones de Mis aplicaciones Android e iOS
Microsoft Teams Services: esta aplicación cliente controla todos los servicios que admiten Microsoft Teams y todas sus aplicaciones cliente: escritorio de Windows, iOS, Android, WP y cliente web. Equipos de Microsoft Windows 10, Windows 8.1, Windows 7, iOS, Android y macOS
Aplicaciones de Office 2016, Office 2013 (con autenticación moderna), cliente de sincronización de OneDrive SharePoint Windows 8.1, Windows 7, Windows 7
Aplicaciones de Office 2016, aplicaciones universales de Office, Office 2013 (con autenticación moderna), cliente de sincronización de OneDrive SharePoint Online Windows 10
Office 2016 (solo Word, Excel, PowerPoint y OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Aplicaciones móviles de Office SharePoint Android, iOS
Aplicación de Yammer para Office Yammer Windows 10, iOS y Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office para macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (con autenticación moderna) y Skype Empresarial (con autenticación moderna) Exchange Online Windows 8.1, Windows 7, Windows 7
Aplicación móvil de Outlook Exchange Online Android, iOS
Power BI app Servicio Power BI Windows 10, Windows 8.1, Windows 7, Android e iOS
Skype Empresarial Exchange Online Android, iOS
Aplicación de Visual Studio Team Services Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS y Android

Clientes de Exchange ActiveSync

  • Las organizaciones solo pueden seleccionar clientes de Exchange ActiveSync al asignar directivas a usuarios o grupos. Si selecciona Todos los usuarios, Todos los usuarios externos e invitados o Roles del directorio, todos los usuarios estarán sujetos a la directiva.
  • Al crear una directiva asignada a los clientes de Exchange ActiveSync, Exchange Online debe ser la única aplicación en la nube asignada a la directiva.
  • Las organizaciones pueden restringir el ámbito de esta directiva a plataformas específicas mediante la condición Plataformas de dispositivo.

Si el control de acceso que se asigna a la directiva usa Requerir aplicación cliente aprobada, se dirige al usuario para que instale y use el cliente móvil de Outlook. En el caso de que se requiera una autenticación multifactor, aceptar los Términos de uso o tener en cuenta controles personalizados, los usuarios afectados se bloquearán, ya que la autenticación básica no admite estos controles.

Para más información, consulte los siguientes artículos.

Otros clientes

Si selecciona Otros clientes, puede especificar una condición que afecta a las aplicaciones que usan la autenticación básica con protocolos de correo electrónico como IMAP, MAPI, POP, SMTP y aplicaciones de Office más antiguas que no usan la autenticación moderna.

Estado del dispositivo (en desuso)

Esta característica en vista previa ha quedado en desuso. Los clientes deben usar la condición Filtro para dispositivos de la directiva de acceso condicional para satisfacer escenarios, lo que anteriormente se lograba mediante la condición de estado del dispositivo (versión preliminar).

La condición del estado del dispositivo se usó para excluir dispositivos que están unidos a Azure AD híbrido o dispositivos marcados como compatibles con una directiva de cumplimiento de Microsoft Intune de las directivas de acceso condicional de una organización.

Por ejemplo, Todos los usuarios que acceden a la aplicación en la nube Administración de Microsoft Azure, incluido Todos los estados de dispositivo, excluidos Unido a Azure AD híbrido de dispositivo y Dispositivo marcado como compatible y para Controles de acceso, Bloquear.

  • En este ejemplo se crea una directiva que solo permite el acceso a la Administración de Microsoft Azure desde dispositivos unidos a Azure AD híbrido o desde dispositivos marcados como compatibles.

El escenario anterior se puede configurar mediante la opción Todos los usuarios; para ello, acceda a la aplicación en la nube Administración de Microsoft Azure con la condición Filtro para dispositivos en el modo de exclusión, mediante la siguiente regla device.trustType -eq "ServerAD" -or device.isCompliant -eq True y para Controles de acceso, Bloquear.

  • En este ejemplo se crea una directiva que bloquea el acceso a la aplicación en la nube de Microsoft Azure Management desde dispositivos no administrados o no compatibles.

Importante

El estado del dispositivo y los filtros para dispositivos no se pueden usar juntos en la directiva de acceso condicional. Los filtros para dispositivos proporcionan una selección de destino más granular, incluida la compatibilidad con la información de estado del dispositivo de destino a través de las propiedades trustType y isCompliant.

Filtro para dispositivos

Hay una nueva condición opcional en el acceso condicional que se conoce como "Filtro para dispositivos". Al configurar el filtro para dispositivos como condición, las organizaciones pueden elegir incluir o excluir dispositivos según un filtro mediante una expresión de regla en las propiedades del dispositivo. La expresión de regla del filtro para dispositivos se puede crear mediante el generador de reglas o la sintaxis de regla. Esta experiencia es similar a la que se usa para las reglas de pertenencia dinámica para grupos. Para obtener más información, consulte el artículo Acceso condicional: filtros para dispositivos (versión preliminar).

Pasos siguientes