Directiva de acceso condicional común: requerir un dispositivo compatible, un dispositivo unido a Azure AD híbrido o autenticación multifactor para todos los usuarios
Las organizaciones que han implementado Microsoft Intune pueden usar la información que devuelven sus dispositivos para identificar aquellos que satisfacen los requisitos de cumplimiento, por ejemplo:
- Exigir un PIN para desbloquearlos
- Exigir el cifrado del dispositivo
- Exigir una versión mínima o máxima del sistema operativo
- Exigir que un dispositivo no se haya liberado ni modificado
La información sobre el cumplimiento de las directivas se envía a Azure AD, donde el acceso condicional decide conceder o bloquear el acceso a los recursos. Para más información sobre las directivas de cumplimiento de dispositivos, consulte el artículo Establecimiento de reglas en los dispositivos para permitir el acceso a recursos de su organización con Intune.
Requerir un dispositivo unido a Azure AD híbrido depende de los dispositivos que ya están unidos a Azure AD híbrido. Para más información, consulte el artículo Configuración de dispositivos unidos a Azure AD híbrido.
Exclusiones de usuarios
Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:
- Cuentas de acceso de emergencia para evitarel bloqueo de cuentas en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
- Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Azure AD.
- Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Azure AD Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. El acceso condicional no bloquea las llamadas realizadas por las entidades de servicio.
- Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas. Como solución temporal, puede excluir estas cuentas específicas de la directiva de línea de base.
Implementación de plantilla
Las organizaciones pueden optar por implementar esta directiva mediante los pasos descritos a continuación o mediante las plantillas de acceso condicional (versión preliminar).
Creación de una directiva de acceso condicional
Los pasos siguientes le ayudarán a crear una directiva de acceso condicional para exigir la autenticación multifactor, que los dispositivos que acceden a los recursos se marquen como compatibles con las directivas de cumplimiento de Intune de su organización o que estén unidos a Azure AD híbrido.
- Inicie sesión en Azure Portal como administrador de acceso condicional, administrador de seguridad o administrador global.
- Vaya a Azure Active DirectorySeguridadAcceso condicional.
- Seleccione Nueva directiva.
- Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
- En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
- En Incluir, seleccione Todos los usuarios.
- En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
- En Aplicaciones en la nube o acciones>Incluir, seleccione Todas las aplicaciones en la nube.
- Si debe excluir aplicaciones específicas de la directiva, puede seleccionarlas en la pestaña Excluir en Seleccionar las aplicaciones en la nube excluidas y elegir Seleccionar.
- En Controles de acceso>Conceder.
- Seleccione Requerir autenticación multifactor, Requerir que el dispositivo se marque como compatible y Requerir un dispositivo unido a Azure AD híbrido
- En el caso de controles múltiples, seleccione Requerir uno de los controles seleccionados.
- Elija Seleccionar.
- Confirme la configuración y establezca Habilitar directiva en Solo informe.
- Seleccione Crear para crear la directiva.
Después de confirmar la configuración mediante el modo de solo informe, un administrador puede mover el botón de alternancia Habilitar directiva de Solo informe a Activar.
Nota:
Puede inscribir sus nuevos dispositivos en Intune aunque seleccione Requerir que el dispositivo esté marcado como compatible para Todos los usuarios y Todas las aplicaciones en la nube mediante los pasos anteriores. El control Requerir que el dispositivo esté marcado como compatible no impide la inscripción a Intune y el acceso a la aplicación Portal de empresa web de Microsoft Intune.
Comportamiento conocido
En Windows 7, iOS, Android, macOS y algunos exploradores web de terceros, Azure AD identifica el dispositivo mediante un certificado de cliente que se aprovisiona cuando el dispositivo se registra con Azure AD. Cuando un usuario inicia sesión por primera vez a través del explorador, se le pide que seleccione el certificado. El usuario final debe seleccionar este certificado para poder seguir usando el explorador.
Activación de suscripciones
Es posible que las organizaciones que usan la característica Activación de suscripciones para permitir que los usuarios "actualicen" de una versión de Windows a otra quieran excluir las API y aplicación web del servicio de tienda universal, el valor AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f de su directiva de acceso condicional.
Pasos siguientes
Directivas de acceso condicional habituales
Determinación del impacto mediante el modo de solo informe de acceso condicional
Las directivas de cumplimiento de dispositivos funcionan con Azure AD