Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El planeamiento de la implementación del acceso condicional es fundamental para conseguir la estrategia de acceso para las aplicaciones y los recursos de su organización. Las directivas de acceso condicional proporcionan una flexibilidad de configuración significativa. Sin embargo, esta flexibilidad significa que debe planear cuidadosamente para evitar resultados no deseados.
El acceso condicional de Microsoft Entra combina señales como el usuario, el dispositivo y la ubicación para automatizar las decisiones y aplicar directivas de acceso de la organización para los recursos. Estas directivas de acceso condicional le ayudan a equilibrar la seguridad y la productividad mediante la aplicación de controles de seguridad cuando sea necesario y mantenerse fuera del camino del usuario cuando no lo sean.
El acceso condicional constituye la base del motor de directivas de seguridad de confianza cero de Microsoft.
Microsoft proporciona valores predeterminados de seguridad que garantizan un nivel básico de seguridad para los inquilinos sin id. de Entra P1 o P2 de Microsoft. Con el acceso condicional, puede crear directivas que proporcionen la misma protección que los valores predeterminados de seguridad, pero con más granularidad. Los valores predeterminados de seguridad y acceso condicional no están diseñados para combinarse porque la creación de directivas de acceso condicional impide habilitar los valores predeterminados de seguridad.
Requisitos previos
- Un inquilino de Microsoft Entra en funcionamiento con el id. de Microsoft Entra P1, P2 o una licencia de prueba habilitada. Si es necesario, cree uno gratis.
- Microsoft Entra ID P2 es necesario para incluir el riesgo de Protección de Microsoft Entra ID en las directivas de acceso condicional.
- Los administradores que interactúan con el acceso condicional necesitan una de las siguientes asignaciones de roles, en función de las tareas que realicen. Para seguir el principio de Zero Trust de privilegios mínimos, considere la posibilidad de usar Privileged Identity Management (PIM) para activar las asignaciones de roles con privilegios justo a tiempo.
- Lea directivas y configuraciones de acceso condicional.
- Cree, modifique o restaure directivas de acceso condicional eliminadas temporalmente.
- Un usuario de prueba (no un administrador) para comprobar que las directivas funcionan según lo previsto antes de realizar la implementación en usuarios reales. Si necesita crear un usuario, consulte Inicio rápido: Incorporación de nuevos usuarios a Microsoft Entra ID.
- Grupo que incluye el usuario de prueba. Si necesita crear un grupo, consulte Crear un grupo y agregar miembros en el identificador de Microsoft Entra.
Comunicación del cambio
La comunicación es fundamental para el éxito de cualquier nueva funcionalidad. Permita a los usuarios saber cómo cambia su experiencia, cuándo cambia y cómo obtener soporte técnico si tienen problemas.
Componentes de la directiva de acceso condicional
Las directivas de acceso condicional determinan quién puede acceder a los recursos, a qué recursos pueden acceder y en qué condiciones. Las directivas pueden conceder acceso, limitar el acceso con controles de sesión o bloquear el acceso. Para crear una directiva de acceso condicional , defina las instrucciones if-then como:
| Si se cumple una asignación | Aplicación de los controles de acceso |
|---|---|
| Si es un usuario del grupo financiero que accede a la aplicación Nómina | Solicitar la autenticación multifactor y un dispositivo compatible |
| Si no es un miembro del grupo financiero que accede a la aplicación Nómina | Bloquear acceso |
| Si el riesgo de usuario es alto | Solicitar la autenticación multifactor y el cambio de contraseña segura |
Exclusiones de usuarios
Las directivas de acceso condicional son herramientas eficaces. Se recomienda excluir las siguientes cuentas de las directivas:
-
Cuentas de acceso de emergencia o break-glass para evitar el bloqueo debido a una mala configuración de directivas. En el escenario poco probable en el que todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y recuperar el acceso.
- Puede encontrar más información en el artículo Administrar cuentas de acceso de emergencia en Microsoft Entra ID.
-
Cuentas de servicio y principales de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están vinculadas a ningún usuario específico. Normalmente se usan en los servicios back-end para permitir el acceso mediante programación a las aplicaciones, pero también se usan para iniciar sesión en sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no están bloqueadas por las directivas de acceso condicional con ámbito a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
- Si su organización usa estas cuentas en scripts o código, reemplácelas por identidades administradas.
Hacer las preguntas adecuadas
Estas son preguntas comunes sobre las asignaciones y los controles de acceso. Registre las respuestas de cada directiva antes de crearla.
Usuarios o identidades de la carga de trabajo
- ¿Qué usuarios, grupos, roles de directorio o identidades de carga de trabajo se incluyen o excluyen de la directiva?
- ¿Qué cuentas o grupos de acceso de emergencia debe excluir de la directiva?
Aplicaciones o acciones en la nube
¿Esta directiva se aplica a una aplicación, una acción de usuario o un contexto de autenticación? Si es así:
- ¿A qué aplicaciones o servicios se aplica la directiva?
- ¿Qué acciones del usuario están sujetas a esta directiva?
- ¿A qué contextos de autenticación se aplica esta directiva?
Filtro de aplicaciones
El uso del filtro para que las aplicaciones incluyan o excluyan aplicaciones en lugar de especificarlas individualmente ayudan a las organizaciones:
- Escalado y destino de cualquier número de aplicaciones fácilmente
- Administración de aplicaciones con requisitos de directiva similares
- Reducir el número de directivas individuales
- Reducir errores durante la edición de directivas: no es necesario agregar ni quitar aplicaciones manualmente de la directiva. Solo tiene que administrar los atributos.
- Superar las restricciones de tamaño de directiva
Condiciones
- ¿Qué plataformas de dispositivo se incluyen o se excluyen de la directiva?
- ¿Cuáles son las ubicaciones de red conocidas de la organización?
- ¿Qué ubicaciones se incluyen o excluyen de la directiva?
- ¿Qué tipos de aplicaciones se incluyen o excluyen de la directiva?
- ¿Necesita centrarse en atributos específicos de dispositivo?
- Si usa Microsoft Entra ID Protection, ¿desea incorporar el riesgo de inicio de sesión o de usuario?
Bloqueo o concesión de controles
¿Desea conceder acceso a los recursos requiriendo una o varias de las siguientes condiciones?
- Autenticación multifactor
- Dispositivo marcado como conforme
- Uso de un dispositivo unido híbrido de Microsoft Entra dispositivo
- Uso de una aplicación cliente aprobada
- Directiva de protección de aplicaciones implementada
- Cambio de contraseña
- Términos de uso aceptados
Bloquear el acceso es un control eficaz. Aplíquelo solo cuando comprenda el impacto. Las directivas con instrucciones de bloque pueden tener efectos secundarios no deseados. Pruebe y valide antes de habilitar el control a escala. Use el impacto de la directiva o el modo de solo informe para comprender el posible impacto al realizar cambios.
Controles de sesión
¿Desea aplicar cualquiera de los siguientes controles de acceso en las aplicaciones en la nube?
- Usar restricciones que exige la aplicación
- Uso del control de aplicaciones de acceso condicional
- Aplicar la frecuencia de inicio de sesión
- Utilizar sesiones del explorador persistentes
- Personalización de la evaluación continua de acceso
Combinación de directivas
Al crear y asignar directivas, considere cómo funcionan los tokens de acceso. Los tokens de acceso conceden o deniegan el acceso en función de si el usuario que realiza una solicitud está autorizado y autenticado. Si el solicitante demuestra que son quienes reclaman, pueden usar los recursos protegidos o la funcionalidad.
Los tokens de acceso se emiten de forma predeterminada si una condición de directiva de acceso condicional no desencadena un control de acceso.
Esta directiva no impide que la aplicación bloquee el acceso por sí mismo.
Por ejemplo, tengamos en cuenta el siguiente ejemplo de directiva simplificada:
Usuarios: GRUPO FINANCIERO
Acceso a: APLICACIÓN NÓMINA
Control de acceso: Autenticación multifactor
- El usuario A está en el GRUPO DE FINANZAS, se requiere realizar la autenticación multifactor para acceder a LA APLICACIÓN DE NÓMINAS.
- El usuario B no está en el GRUPO FINANCE, se emite un token de acceso y tiene permiso para acceder a la APLICACIÓN PAYROLL sin realizar la autenticación multifactor.
Para asegurarse de que los usuarios externos al grupo financiero no pueden acceder a la aplicación de nómina, cree una directiva independiente para bloquear a todos los demás usuarios, como esta directiva simplificada:
Usuarios: Incluir todos los usuarios/Excluir GRUPO FINANCIERO
Acceso a: APLICACIÓN NÓMINA
Control de acceso: Bloquear el acceso
Ahora, cuando el usuario B intenta acceder a la APLICACIÓN PAYROLL, están bloqueados.
Recomendaciones
En función de nuestra experiencia con el acceso condicional y la compatibilidad con otros clientes, estas son algunas recomendaciones.
Aplicación de directivas de acceso condicional a cada aplicación
Asegúrese de que cada aplicación tiene al menos una directiva de acceso condicional aplicada. Desde una perspectiva de seguridad, es mejor crear una directiva que incluya Todos los recursos (anteriormente "Todas las aplicaciones en la nube") . Este procedimiento garantiza que no sea necesario actualizar las directivas de acceso condicional cada vez que se integre una nueva aplicación.
Sugerencia
Tenga cuidado al usar funciones de bloqueo y todos los recursos dentro de una única política. Esta combinación podría bloquear los administradores y las exclusiones no se pueden configurar para puntos de conexión importantes, como Microsoft Graph.
Minimización del número de directivas de acceso condicional
La creación de una directiva para cada aplicación no es eficaz y dificulta la administración de directivas. El acceso condicional tiene un límite de 195 directivas por inquilino. Este límite de directivas de 195 incluye directivas de acceso condicional en cualquier estado, incluido el modo de solo informe, activado o desactivado.
Analice las aplicaciones y agrupelas según los mismos requisitos de recursos para los mismos usuarios. Por ejemplo, si todas las aplicaciones de Microsoft 365 o todas las aplicaciones de RR. HH. tienen los mismos requisitos para los mismos usuarios, cree una sola directiva e incluya todas las aplicaciones a las que se aplica.
Las directivas de acceso condicional se incluyen en un archivo JSON y ese archivo tiene un límite de tamaño que normalmente no supera una sola directiva. Si usa una lista larga de GUID en la directiva, puede alcanzar este límite. Si encuentra estos límites, pruebe estas alternativas:
- Use grupos o roles para incluir o excluir usuarios en lugar de enumerar cada usuario individualmente.
- Use el filtro para que las aplicaciones incluyan o excluyan aplicaciones en lugar de especificarlas individualmente.
Configuración del modo de solo informe
Habilite las directivas en modo de solo informe. Después de guardar una directiva en modo de solo informe, verá el efecto en los inicios de sesión en tiempo real en los registros de inicio de sesión. En los registros de inicio de sesión, seleccione un evento y vaya a la pestaña Solo informe para ver el resultado de cada directiva de solo informe.
Vea los efectos agregados de las directivas de acceso condicional en el libro Información e informes. Para acceder al libro, necesita una suscripción de Azure Monitor y debe transmitir los registros de inicio de sesión a un área de trabajo de Log Analytics.
Planear la interrupción
Reduzca el riesgo de bloqueo durante interrupciones imprevistas mediante la planificación de estrategias de resistencia para su organización.
Habilitación de acciones protegidas
Habilite las acciones protegidas para agregar otra capa de seguridad para intentar crear, cambiar o eliminar directivas de acceso condicional. Las organizaciones pueden requerir una autenticación multifactor nueva u otro control de concesión antes de cambiar la directiva.
Configuración de la configuración del usuario invitado
Para las organizaciones externas que conoce y con las que tiene una relación, es posible que desee confiar en la autenticación multifactor, el cumplimiento de dispositivos o las declaraciones de dispositivos híbridos presentados por invitados en sus políticas de acceso condicional. Para obtener más información, consulte Administración de la configuración de acceso entre inquilinos para la colaboración B2B. Hay algunas consideraciones relacionadas con cómo los usuarios B2B utilizan Microsoft Entra ID Protection. Para más información, vea Microsoft Entra ID Protection para usuarios B2B.
Establecer pautas de nomenclatura para sus directivas
Un estándar de nomenclatura le ayuda a encontrar directivas y a comprender su propósito sin abrirlas. Asigne un nombre a la directiva para mostrar:
- Un número de secuencia
- Las aplicaciones en la nube a las que se aplica
- La respuesta
- A quién se aplica
- Cuándo se aplica
Ejemplo: una directiva para requerir MFA para los usuarios de marketing que acceden a la aplicación Dynamics CRP desde redes externas podría ser:
Un nombre descriptivo le ayuda a mantener una visión general de la implementación del acceso condicional. El número de secuencia es útil si necesita hacer referencia a una directiva en una conversación. Por ejemplo, al hablar con un administrador en el teléfono, puede pedirles que abran la directiva CA01 para resolver un problema.
Estándares de nomenclatura para controles de acceso de emergencia
Además de las directivas activas, implemente directivas deshabilitadas que actúen como controles de acceso resistentes secundarios en escenarios de interrupción o emergencia. El estándar de nomenclatura para las directivas de contingencia debe incluir:
- HABILITAR EN CASO DE EMERGENCIA al principio para resaltar el nombre entre las otras directivas.
- Nombre de la interrupción a la que se debe aplicar.
- Número de secuencia de ordenación para ayudar al administrador a saber en qué directivas de orden se deben habilitar.
Ejemplo: el nombre siguiente muestra que esta directiva es la primera de cuatro directivas que se habilitarán si hay una interrupción de MFA:
- EM01 - HABILITAR EN CASO DE EMERGENCIA: Interrupción de MFA [1/4]: Exchange SharePoint: Requerir la unión híbrida de Microsoft Entra para usuarios VIP.
Bloqueo de países o regiones de los que nunca se espera un inicio de sesión
Microsoft Entra ID le permite crear ubicaciones con nombre. Cree una lista de países o regiones permitidos y, a continuación, cree una directiva de bloqueo de red con estos "países o regiones permitidos" como exclusión. Esta opción crea menos sobrecarga para los clientes basados en ubicaciones geográficas más pequeñas. Asegúrese de excluir las cuentas de acceso de emergencia de esta directiva.
Implementación de directivas de acceso condicional
Cuando tenga todo preparado, implemente las directivas de acceso condicional por fases. Comience con algunas directivas de acceso condicional principales, como las siguientes. Muchas directivas están disponibles como plantillas de directiva de acceso condicional. De forma predeterminada, cada directiva creada a partir de una plantilla está en modo de solo informe. Pruebe y supervise el uso, para garantizar el resultado previsto, antes de activar cada directiva.
Implemente directivas en las tres fases siguientes para equilibrar las mejoras de seguridad con una interrupción mínima del usuario. Las organizaciones pueden ajustar las escalas de tiempo en función de su tamaño, complejidad y funcionalidades de administración de cambios.
Importante
Antes de implementar cualquier directiva:
- Comprobación de que las cuentas de acceso de emergencia se excluyen de todas las directivas
- Probar directivas con un grupo piloto antes de la implementación en toda la organización
- Asegurarse de que los usuarios han registrado los métodos de autenticación necesarios
- Comunicar los cambios a los usuarios afectados y proporcionar documentación complementaria
Fase 1: Fundación (Semana 1-2)
Establezca controles de seguridad de línea base y prepárese para la aplicación de MFA. Prerrequisitos: Asegúrese de que los usuarios pueden registrarse para MFA antes de habilitar las directivas de cumplimiento.
| Directiva de acceso condicional | Scenario | Requisito de licencia |
|---|---|---|
| Bloquear la autenticación heredada | Todos los usuarios | Microsoft Entra ID P1 |
| Proteger el registro de MFA (Mi información de seguridad) | Todos los usuarios | Microsoft Entra ID P1 |
| Los roles integrados de Microsoft Entra con privilegios aplican métodos resistentes a la suplantación de identidad (phishing) | Usuarios con privilegios | Microsoft Entra ID P1 |
Fase 2: Autenticación básica (semana 2-3)
Aplique MFA para todos los usuarios e invitados y proteja los dispositivos móviles con directivas de protección de aplicaciones. Impacto clave: Los usuarios tendrán que usar MFA para todos los inicios de sesión y usar aplicaciones aprobadas con protección de aplicaciones en dispositivos móviles. Asegúrese de que el plan de comunicación se ejecuta y los recursos de soporte técnico están disponibles.
| Directiva de acceso condicional | Scenario | Requisito de licencia |
|---|---|---|
| Toda la actividad de inicio de sesión de usuario usa métodos de autenticación seguros | Todos los usuarios | Microsoft Entra ID P1 |
| El acceso de invitado está protegido por métodos de autenticación seguros | Acceso de invitado | Microsoft Entra ID P1 |
| Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones | Usuarios móviles | Microsoft Entra ID P1 |
| Requerir autenticación multifactor para la unión a dispositivos y el registro de dispositivos mediante la acción de usuario | Todos los usuarios | Microsoft Entra ID P1 |
Fase 3: Protección avanzada (Semana 3-4)
Agregue directivas basadas en riesgos y controles avanzados de prevención de ataques. Requisito de licencia: Las directivas basadas en riesgos requieren licencias de Microsoft Entra ID P2.
| Directiva de acceso condicional | Scenario | Requisito de licencia |
|---|---|---|
| Restricción de inicios de sesión de alto riesgo | Todos los usuarios | Microsoft Entra ID P2 |
| Restricción del acceso a usuarios de alto riesgo | Todos los usuarios | Microsoft Entra ID P2 |
| La actividad de inicio de sesión de usuario usa la protección de tokens | Todos los usuarios | Microsoft Entra ID P1 |
| Restricción del flujo de código de dispositivo | Todos los usuarios | Microsoft Entra ID P1 |
| La transferencia de autenticación está bloqueada | Todos los usuarios | Microsoft Entra ID P1 |
| Las directivas de acceso condicional para estaciones de trabajo de acceso con privilegios (PAW) están configuradas | Usuarios con privilegios | Microsoft Entra ID P1 |
Sugerencia
Habilite cada directiva en modo de solo informe durante al menos una semana antes de la aplicación. Revise los registros de inicio de sesión y comunique los cambios a los usuarios antes de pasar a la siguiente fase.
Nota:
Las estaciones de trabajo de acceso con privilegios (PAW) requieren un planeamiento significativo de la infraestructura. Las organizaciones solo deben implementar esta directiva después de establecer una estrategia de implementación de PAW y aprovisionar dispositivos seguros para usuarios con privilegios.
Evaluación del impacto de la directiva
Use herramientas disponibles para comprobar el efecto de las directivas antes y después de realizar cambios. Una ejecución simulada proporciona una buena idea de cómo afecta una directiva de acceso condicional al inicio de sesión, pero no reemplaza una ejecución de prueba real en un entorno de desarrollo configurado correctamente.
Los administradores pueden confirmar la configuración de directiva mediante el impacto de la directiva o el modo de solo informe.
Prueba de las directivas
Asegúrese de probar los criterios de exclusión de una directiva. Por ejemplo, puede excluir a un usuario o grupo de una directiva que requiera MFA. Compruebe si se solicita a los usuarios excluidos MFA, ya que la combinación de otras directivas puede requerir MFA para esos usuarios.
Ejecute cada prueba en el plan de pruebas con usuarios de prueba. El plan de prueba le ayuda a comparar los resultados esperados y reales.
Implementación en producción
Después de confirmar la configuración mediante el impacto de la directiva o el modo de solo informe, mueva el botón de alternancia Habilitar directiva de Solo informe a Activado.
Revertir las directivas
Si necesita revertir las directivas recién implementadas, use una o varias de estas opciones:
Deshabilite la directiva. Deshabilitar una directiva garantiza que la directiva no se aplique cuando un usuario intente iniciar sesión. Siempre puede volver y habilitar la directiva cuando quiera usarla.
Excluya un usuario o grupo de una directiva. Si un usuario no puede acceder a la aplicación, excluya al usuario de la directiva.
Precaución
Use exclusiones con moderación, solo en situaciones en las que el usuario sea de confianza. Vuelva a agregar usuarios a la política o al grupo lo antes posible.
Si una directiva está deshabilitada y ya no es necesaria, elimínela.
Restaurar directivas eliminadas
Si se elimina un acceso condicional o una ubicación, se puede restaurar en el período de eliminación suave de 30 días. Para obtener más información sobre cómo restaurar directivas de acceso condicional y ubicaciones con nombre, consulte el artículo Recuperación de eliminaciones.
Solución de problemas de la directiva de acceso condicional
Si un usuario tiene un problema con una directiva de acceso condicional, recopile esta información para ayudarle a solucionar problemas.
- Nombre principal de usuario
- Nombre para mostrar del usuario
- Nombre del sistema operativo
- Marca de tiempo (un tiempo aproximado está bien)
- Aplicación de destino
- Tipo de aplicación cliente (explorador o cliente)
- Id. de correlación (este identificador es único para el inicio de sesión)
Si el usuario obtiene un mensaje con un vínculo Más detalles , puede recopilar la mayor parte de esta información.
Después de recopilar la información, consulte estos recursos:
- Problemas de inicio de sesión con el acceso condicional: obtenga información sobre los resultados de inicio de sesión inesperados relacionados con el acceso condicional mediante mensajes de error y el registro de inicio de sesión de Microsoft Entra.
- Uso de la herramienta What-If : obtenga información sobre por qué una directiva es o no se aplica a un usuario en una situación específica o si una directiva se aplica en un estado conocido.