¿Qué es el acceso condicional?
El perímetro de seguridad moderno ahora se extiende más allá de la red de una organización, incluye tanto la identidad del usuario como la del dispositivo. Las organizaciones pueden usar señales basadas en identidades como parte de sus decisiones de control de acceso.
El acceso condicional reúne las señales para tomar decisiones y aplicar las directivas de la organización. El acceso condicional de Azure AD está en el centro del nuevo plano de control basado en identidades.
En su forma más simple, las directivas de acceso condicional son instrucciones if-then; si un usuario desea tener acceso a un recurso, deben completar una acción. Ejemplo: un responsable de nóminas desea acceder a la aplicación de nóminas y es necesario para realizar la autenticación multifactor para tener poder hacerlo.
Los administradores se enfrentan a dos objetivos principales:
- Capacitar a los usuarios para ser productivos donde sea y cuando sea
- Proteger los recursos de la organización.
Utilizar las directivas de acceso condicional para aplicar los controles de acceso correctos cuando sea necesario para mantener protegida la organización.
Importante
Las directivas de acceso condicional se aplican una vez que se completa la autenticación en una fase. El acceso condicional no pretende ser una primera línea de defensa de una organización en escenarios como los ataques por denegación de servicio (DoS), pero puede usar señales de estos eventos para determinar el acceso.
Señales comunes
Entre las señales comunes que puede tener en cuenta el acceso condicional al tomar una decisión sobre una directiva se incluyen las siguientes:
- Pertenencia a un usuario o grupo
- Las directivas pueden dirigirse a usuarios y grupos concretos, lo que proporciona a los administradores un mayor control sobre el acceso.
- Información de la ubicación de la IP
- Las organizaciones pueden crear intervalos de direcciones IP de confianza que se pueden usar al tomar decisiones sobre directivas.
- Los administradores pueden especificar que se bloquee o se permita el tráfico de intervalos de direcciones IP de países o regiones completos.
- Dispositivo
- Los usuarios con dispositivos de plataformas concretas o marcados con un estado concreto se pueden usar al aplicar directivas de acceso condicional.
- Use filtros para los dispositivos a fin de destinar directivas a dispositivos específicos, como estaciones de trabajo de acceso con privilegios.
- Application
- Los usuarios que intentan acceder a aplicaciones específicas pueden desencadenar distintas directivas de acceso condicional.
- Detección de riesgo calculado y en tiempo real
- La integración de señales con Azure AD Identity Protection permite que las directivas de acceso condicional identifiquen un comportamiento peligroso de inicio de sesión. Luego, las directivas pueden obligar a los usuarios a cambiar su contraseña, a usar la autenticación multifactor para reducir su nivel de riesgo o a bloquear el acceso hasta que algún administrador lleve a cabo una acción manual.
- Microsoft Defender for Cloud Apps
- Permite el control y la supervisión en tiempo real de las sesiones y el acceso a las aplicaciones de usuario, lo que aumenta la visibilidad y el control sobre el acceso y las actividades realizadas dentro del entorno de nube.
Decisiones comunes
- Bloquear acceso
- Decisión más restrictiva
- Conceder acceso
- Decisión menos restrictiva, puede requerir una o varias de las opciones siguientes:
- Requerir autenticación multifactor
- Requerir que el dispositivo esté marcado como compatible
- Requerir un dispositivo unido a Azure AD híbrido
- Requerir aplicación cliente aprobada
- Requerir una directiva de protección de aplicaciones (versión preliminar)
- Decisión menos restrictiva, puede requerir una o varias de las opciones siguientes:
Directivas que se aplican habitualmente
Muchas organizaciones tienen problemas de acceso comunes y las directivas de acceso condicional pueden servir de ayuda al respecto. Por ejemplo, para:
- Requerir la autenticación multifactor a los usuarios con roles administrativos
- Requerir la autenticación multifactor para las tareas de administración de Azure
- Bloquear los inicios de sesión a los usuarios que intenten usar protocolos de autenticación heredados
- Requerir ubicaciones de confianza para el registro de Azure AD Multifactor Authentication
- Bloquear o conceder el acceso desde ubicaciones concretas
- Bloquear de comportamientos de inicio de sesión peligrosos
- Requerir dispositivos administrados por la organización para aplicaciones concretas
Requisitos de licencia
Necesita licencias de Azure AD Premium P1 para usar esta característica. A fin de obtener la licencia correcta para sus requisitos, consulte Comparación de las características con disponibilidad general de Azure AD.
Los clientes con licencias de Microsoft 365 Empresa Premium también tienen acceso a características de acceso condicional.
Las directivas basadas en riesgo requieren acceso a Identity Protection, que es una característica de Azure AD P2.
Otros productos y características que pueden interactuar con las directivas de acceso condicional requieren licencias adecuadas para esos productos y características.
Cuando expiran las licencias necesarias para el acceso condicional, las directivas no se deshabilitan o eliminan automáticamente, por lo que los clientes pueden migrar de las directivas de acceso condicional sin un cambio repentino en su posición de seguridad. Las directivas restantes se pueden ver y eliminar, pero ya no se actualizan.
Los valores predeterminados de seguridad sirven de protección contra ataques relacionados con la identidad y están disponibles para todos los clientes.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de Confianza cero:
- Comprobación explícita
- Usar privilegios mínimos
- Presunción de intrusiones al sistema
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de instrucciones de Confianza cero.