Uso la condición de ubicación en una directiva de acceso condicional

  • Artículo

Las directivas de acceso condicional se encuentran en la instrucción if-then más básica, que combina señales para tomar decisiones y aplicar directivas de la organización. Una de esas señales es la ubicación.

Señal condicional conceptual más la decisión de obtener el cumplimiento

Importante

IPv6 viene a Azure Active Directory (Azure AD). Comenzaremos a introducir compatibilidad con IPv6 en los servicios de Azure AD de forma escalonada a partir del 3 de abril de 2023. Las organizaciones que usan ubicaciones con nombre en el acceso condicional o Identity Protection deben tomar medidas para evitar posibles impactos en el servicio.

Las organizaciones pueden usar esta ubicación para tareas comunes como:

  • Solicitar la autenticación multifactor a los usuarios que accedan a un servicio desde fuera de la red corporativa.
  • Bloquear el acceso a los usuarios que acceden a un servicio desde países o regiones específicos en las que nunca opera su organización.

La ubicación se encuentra mediante la dirección IP pública que proporciona un cliente a Azure Active Directory o las coordenadas GPS que proporciona la aplicación Microsoft Authenticator. De forma predeterminada, las directivas de acceso condicional se aplican a todas las direcciones IPv4 e IPv6. Para más información sobre la compatibilidad con IPv6, consulte el artículo Compatibilidad con IPv6 en Azure Active Directory.

Sugerencia

Las directivas de acceso condicional se aplican una vez que se completa la autenticación en una fase. El acceso condicional no pretende ser una primera línea de defensa de una organización en escenarios como los ataques por denegación de servicio (DoS), pero puede usar señales de estos eventos para determinar el acceso.

Ubicaciones con nombre

Las ubicaciones existen en Azure Active Directory>Seguridad>Acceso condicional>Ubicaciones con nombre. Estas ubicaciones de red con nombre pueden incluir ubicaciones, como intervalos de redes de la sede central de una organización, intervalos de redes VPN o intervalos que desea bloquear. Las ubicaciones con nombre se definen por intervalos de direcciones IPv4 e IPv6 o por países o regiones.

Intervalos de direcciones IPv4 e IPv6

Para definir una ubicación con nombre por intervalos de direcciones IPv4/IPv6, debe proporcionar:

  • Un nombre para la ubicación.
  • Uno o varios intervalos IP.
  • Opcionalmente, Marcar como ubicación de confianza.

Nuevas ubicaciones IP

Las ubicaciones con nombre definidas por los intervalos de direcciones IPv4/IPv6 están sujetas a las siguientes limitaciones:

  • Configurar hasta 195 ubicaciones con nombre.
  • Se pueden configurar hasta 2000 intervalos IP por ubicación con nombre.
  • Se admiten tanto IPv4 como IPv6.
  • El número de direcciones IP que se pueden incluir en un intervalo es limitado. Solo se permiten las máscaras CIDR mayores que /8 al definir un intervalo de direcciones IP.

Ubicaciones de confianza

Las ubicaciones como los intervalos de red pública de la organización se pueden marcar como de confianza. Este marcado lo usan las características de varias maneras.

  • Las directivas de acceso condicional pueden incluir o excluir estas ubicaciones.
  • Los inicios de sesión desde ubicaciones con nombre de confianza mejoran la precisión del cálculo de riesgos de Azure AD Identity Protection, lo que reduce el riesgo del inicio de sesión de los usuarios cuando se autentican desde una ubicación marcada como de confianza.
  • Las ubicaciones marcadas como de confianza no se pueden eliminar. Quite la designación de confianza antes de intentar eliminarla.

Advertencia

Incluso si conoce la red y la marca como de confianza, esto no significa que deba excluirla de las directivas que se aplican. La comprobación explícita es un principio básico de una arquitectura de Confianza cero. Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de instrucciones de Confianza cero.

Países o regiones

Las organizaciones pueden determinar la ubicación del país/región por dirección IP o coordenadas de GPS.

Para definir una ubicación con nombre por país o región, deberá proporcionar:

  • Un nombre para la ubicación.
  • Elegir determinar la ubicación por dirección IP o coordenadas de GPS.
  • Agregar uno o varios países o regiones.
  • Opcionalmente, elegir Incluir países o regiones desconocidos.

País como ubicación

Si selecciona Determinar ubicación por dirección IP, el sistema recopila la dirección IP del dispositivo en el que el usuario inicia sesión. Cuando un usuario inicia sesión, Azure AD resuelve la dirección IPv4 o IPv6 del usuario (a partir del 3 de abril de 2023) en un país o región, y la asignación se actualiza periódicamente. Las organizaciones pueden usar ubicaciones con nombre definidas por países o regiones para bloquear el tráfico de los países o regiones en los que no hagan negocios.

Si selecciona Determinar ubicación por coordenadas de GPS, el usuario debe tener instalada la aplicación Microsoft Authenticator en su dispositivo móvil. Cada hora, el sistema se pone en contacto con la aplicación de Microsoft Authenticator del usuario para recopilar la ubicación GPS del dispositivo móvil del usuario.

La primera vez que el usuario debe compartir su ubicación desde la aplicación Microsoft Authenticator, el usuario recibe una notificación en la aplicación. El usuario tiene que abrir la aplicación y conceder permisos de ubicación. Durante las siguientes 24 horas, el usuario sigue con acceso al recurso y se le concede el permiso de aplicación para la ejecución en segundo plano; la ubicación del dispositivo se comparte de forma silenciosa una vez cada hora.

  • Después de 24 horas, el usuario debe abrir la aplicación y aprobar la notificación.
  • Los usuarios que tienen habilitada la coincidencia de números o el contexto adicional en la aplicación Microsoft Authenticator no recibirán notificaciones de forma silenciosa y deben abrir la aplicación para aprobar las notificaciones.

Cada vez que el usuario comparte su ubicación GPS, la aplicación realiza la detección de jailbreak (con la misma lógica que el SDK de MAM de Intune). Si el dispositivo está liberado, la ubicación no se considera válida y no se concede acceso al usuario. La aplicación Microsoft Authenticator en Android usa la API de integridad de Google Play para facilitar la detección de jailbreak. Si la API de integridad de Google Play no estuviera disponible, se denegará la solicitud y el usuario no podrá acceder al recurso solicitado a menos que se deshabilite la directiva de acceso condicional.

Nota:

Una directiva de acceso condicional con ubicaciones con nombre basadas en GPS en modo de solo informe solicita a los usuarios que compartan su ubicación GPS, aunque no se les bloquee el inicio de sesión.

La ubicación GPS no funciona con métodos de autenticación sin contraseña.

Varias directivas de acceso condicional pueden solicitar a los usuarios su ubicación GPS antes de aplicarse todas. Debido a la forma en que se aplican las directivas de acceso condicional, es posible que se deniegue el acceso a un usuario si pasa la comprobación de ubicación, pero se producirá un error en otra directiva. Para obtener más información sobre la aplicación de directivas, consulte el artículo Creación de una directiva de acceso condicional.

Importante

Los usuarios pueden recibir mensajes cada hora que les permiten saber que Azure AD está comprobando su ubicación en la aplicación Authenticator. La versión preliminar solo se debe usar para proteger aplicaciones muy confidenciales cuando este comportamiento sea aceptable o cuando el acceso se deba restringir a un país o región específicos.

Inclusión de países o regiones desconocidos

Algunas direcciones IP no están asignadas a un país o región específicos. Para capturar estas ubicaciones IP, active la casilla Incluir países o regiones desconocidos al definir una ubicación geográfica. Esta opción le permite elegir si estas direcciones IP deberían estar incluidas en la ubicación con nombre. Use esta configuración cuando la directiva que usa la ubicación con nombre deba aplicarse en ubicaciones desconocidas.

Definición de ubicaciones

  1. Inicie sesión en Azure Portal como administrador de acceso condicional o administrador de seguridad.
  2. Vaya a Protección> Acceso condicional> Ubicaciones designadas.
  3. Elija Nueva ubicación.
  4. Asigne un nombre a la ubicación.
  5. Elija Intervalos IP si conoce los intervalos de direcciones IPv4 específicos accesibles externamente que constituyen esa ubicación, o seleccione Países o regiones.
    1. Proporcione los valores de Intervalos IP o seleccione el valor de Países o regiones de la ubicación especificada.
      • Si elige Países o regiones, puede optar por incluir áreas desconocidas.
  6. Elija Guardar.

Condición de ubicación de la directiva

Al configurar la condición de ubicación, puede distinguir entre:

  • Cualquier ubicación
  • Todas las ubicaciones de confianza
  • Todas las ubicaciones de acceso a la red
  • Ubicaciones seleccionadas

Cualquier ubicación

De manera predeterminada, al seleccionar Cualquier ubicación, se aplicará una directiva a todas las direcciones IP, lo que incluye cualquier dirección de Internet. Esta configuración no está limitada a las direcciones IP que haya configurado como ubicación con nombre. Al seleccionar Cualquier ubicación, todavía puede excluir determinadas ubicaciones de una directiva. Por ejemplo, puede aplicar una directiva en todas las ubicaciones (excepto en aquellas que sean de confianza) para establecer el ámbito en todas las ubicaciones menos en la red corporativa.

Todas las ubicaciones de confianza

Esta opción se aplica a:

  • Todas las ubicaciones marcadas como ubicación de confianza.
  • IP de confianza de MFA, si están configuradas.

Direcciones IP de confianza de la autenticación multifactor

Ya no se recomienda usar la sección IP de confianza de la configuración del servicio de la autenticación multifactor. Este control solo acepta direcciones IPv4 y solo se debe usar para escenarios específicos descritos en el artículo Configuración de las opciones de la autenticación multifactor de Azure AD

Si se han configurado estas IP de confianza, se mostrarán como IP de confianza de MFA en la lista de ubicaciones de la condición de ubicación.

Todas las ubicaciones de acceso a la red de mi inquilino

Las organizaciones con acceso a las características en vista previa (gb) del acceso seguro global tienen en la lista otra ubicación compuesta por los usuarios y los dispositivos que cumplen las directivas de seguridad de su organización. Para saber más, consulte la sección Habilitación de la señalización del acceso seguro global para el acceso condicional. Se puede usar con directivas de acceso condicional para realizar una comprobación de red compatible para el acceso a los recursos.

Ubicaciones seleccionadas

Con esta opción, puede seleccionar una o varias ubicaciones con nombre. Para una directiva a la que se aplicará esta configuración, el usuario debe conectarse desde cualquiera de las ubicaciones seleccionadas. Al seleccionar el control de selección de la red con nombre que se muestra, se abre la lista de redes con nombre. En la lista también se muestra si la ubicación de red se ha marcado como de confianza.

Tráfico de IPv6

Las directivas de acceso condicional se aplican a todo el tráfico de IPv4 yIPv6 (a partir del 3 de abril de 2023).

Identificación del tráfico IPv6 con los informes de actividad de inicio de sesión de Azure AD

Para detectar el tráfico IPv6 en el inquilino, vaya a Informes de actividad de inicio de sesión en Azure AD. Una vez abierto el informe de actividad, agregue la columna "Dirección IP" y agregue dos puntos (:) al campo. Este filtro ayuda a distinguir el tráfico IPv6 del tráfico IPv4.

También puede ver cuál es la dirección IP del cliente; para ello, haga clic en una fila del informe y, después, vaya a la pestaña "Ubicación" en los detalles de la actividad de inicio de sesión.

Captura de pantalla en la que se muestran los registros de inicio de sesión de Azure AD y un filtro de direcciones IP para las direcciones IPv6.

Nota:

Las direcciones IPv6 de los puntos de conexión de servicio pueden aparecer en los registros de inicio de sesión con errores debido a la forma en que controlan el tráfico. Es importante tener en cuenta que no se admiten puntos de conexión de servicio. Si los usuarios ven estas direcciones IPv6, quite el punto de conexión de servicio de su configuración de subred de red virtual.

Qué debería saber

Servidores proxy en la nube y soluciones VPN

Cuando utiliza un proxy hospedado en la nube o una solución VPN, la dirección IP que utiliza Azure AD al evaluar una directiva es la dirección IP del proxy. No se usa el encabezado X-Forwarded-For (XFF) que contiene la dirección IP pública del usuario, ya que no hay ninguna validación de que provenga de un origen de confianza y podría ser un método de falsificación de la dirección IP.

Cuando se implementa un proxy en la nube, una directiva que requiere un dispositivo compatible o unido a Azure AD híbrido puede ser más fácil de administrar. Mantener actualizada una lista de direcciones IP usadas por el proxy hospedado en la nube o la solución VPN puede ser casi imposible.

Recomendamos que las organizaciones usen el acceso seguro global para habilitar la restauración de IP de origen para evitar este cambio en la dirección y simplificar la administración.

¿Cuando se evalúa una ubicación?

Las directivas de acceso condicional se evalúan cuando:

  • Un usuario inicia sesión por primera vez en una aplicación web, móvil o de escritorio.
  • Una aplicación móvil o de escritorio que usa la autenticación moderna, con un token de actualización para adquirir un nuevo token de acceso. De forma predeterminada, esta comprobación se realiza una vez por hora.

Esta comprobación significa que, para que las aplicaciones móviles y de escritorio usen la autenticación moderna, se detecta un cambio en la ubicación dentro de la hora siguiente al cambio de la ubicación de red. Para las aplicaciones de escritorio y móviles que no usan la autenticación moderna, la directiva se aplica para cada solicitud de token. La frecuencia de la solicitud varía en función de la aplicación. De forma similar, para las aplicaciones web, las directivas se aplican en el primer inicio de sesión y son adecuadas para la duración de la sesión en la aplicación web. Debido a las diferencias en la duración de la sesión de las aplicaciones, el tiempo de una evaluación de directiva a otra varía. Cada vez que la aplicación solicita un nuevo token de inicio de sesión, la directiva se aplica.

De manera predeterminada, Azure AD emite un token cada hora. Después de que los usuarios salgan de la red corporativa, la directiva se aplica a las aplicaciones que usan la autenticación moderna en un plazo de una hora.

Dirección IP del usuario

La dirección IP que se usa en la evaluación de directivas es la dirección IPv4 o IPv6 pública del usuario. Para los dispositivos conectados a una red privada, esta no es la dirección IP de cliente del dispositivo del usuario conectado a la intranet, sino la dirección que utiliza la red para conectarse a la red pública de Internet.

¿Cuándo podría bloquear ubicaciones?

Una directiva que usa la condición de ubicación para bloquear el acceso se considera restrictiva y debe realizarse con cuidado después de realizar pruebas exhaustivas. Algunas instancias de uso de la condición de ubicación para bloquear la autenticación pueden incluir:

  • Bloqueo de países/regiones en los que su organización nunca hace negocios.
  • Bloqueo de intervalos IP específicos como:
    • Direcciones IP malintencionadas conocidas antes de que se pueda cambiar una directiva de firewall.
    • Para acciones altamente confidenciales o con privilegios y aplicaciones en la nube.
    • En función del intervalo IP específico del usuario, como el acceso a las aplicaciones de contabilidad o nómina.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

  • Cuentas de acceso de emergencia para evitarel bloqueo de cuentas en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
  • Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Azure AD Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional con ámbito a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
    • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas. Como solución temporal, puede excluir estas cuentas específicas de la directiva de línea de base.

Carga y descarga masiva de ubicaciones con nombre

Al crear o actualizar ubicaciones con nombre, en el caso de las actualizaciones masivas, puede cargar o descargar un archivo CSV con los intervalos IP. Una carga reemplaza los intervalos IP que aparecen en la lista por los del archivo. Cada fila del archivo contiene un intervalo de direcciones IP en formato CIDR.

Compatibilidad con la API y PowerShell

Una versión preliminar de Graph API para ubicaciones con nombre está disponible. Para más información, consulte namedLocation API.

Pasos siguientes