Implementación del control de aplicaciones de acceso condicional para aplicaciones de catálogo con Azure AD
Nota
Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla e instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.
Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.
Los controles de acceso y sesión en Microsoft Defender for Cloud Apps trabajar con aplicaciones del catálogo de aplicaciones en la nube y con aplicaciones personalizadas. Para obtener una lista de las aplicaciones que están preincorporadas y que funcionan de forma predeterminada, consulte Protección de aplicaciones con el control de aplicaciones de acceso condicional de Defender for Cloud Apps.
Prerrequisitos
La organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:
- Azure Active Directory (Azure AD) Premium P1 o superior
- Microsoft Defender for Cloud Apps
Las aplicaciones deben configurarse con el inicio de sesión único
Las aplicaciones deben usar uno de los siguientes protocolos de autenticación:
IdP Protocolos Azure AD SAML 2.0 u OpenID Connect Otros SAML 2.0
Para implementar aplicaciones de catálogo
Siga los pasos que se indican a continuación para configurar las aplicaciones de catálogo que controlarán Microsoft Defender for Cloud Apps control de aplicaciones de acceso condicional.
Configuración de la integración con Azure AD
Nota
Al configurar una aplicación con SSO en Azure AD u otros proveedores de identidades, un campo que puede aparecer como opcional es la configuración de dirección URL de inicio de sesión. Tenga en cuenta que este campo puede ser necesario para que el control de aplicaciones de acceso condicional funcione.
Siga estos pasos para crear una directiva de acceso condicional de Azure AD que enruta las sesiones de la aplicación a Defender for Cloud Apps. Para ver otras soluciones de IdP, consulte Configuración de la integración con otras soluciones de IdP.
En Azure AD, vaya a Accesocondicional de seguridad>.
En el panel Acceso condicional , en la barra de herramientas de la parte superior, seleccione Nueva directiva ->Crear nueva directiva.
En el panel Nuevo , en el cuadro de texto Nombre , escriba el nombre de la directiva.
En Asignaciones, seleccione Usuarios o identidades de carga de trabajo y asigne los usuarios y grupos que se incorporarán (inicio de sesión inicial y comprobación) a la aplicación.
En Asignaciones, seleccione Aplicaciones o acciones en la nube y asigne las aplicaciones y acciones que desea controlar con el Control de aplicaciones de acceso condicional.
En Controles de acceso, seleccione Sesión, Use Conditional Access App Control (Usar control de aplicaciones de acceso condicional) y elija una directiva integrada (Solo monitor (versión preliminar) o Bloquear descargas (versión preliminar) o Use custom policy to set an advanced policy in Defender for Cloud Apps (Usar directiva avanzada en Defender for Cloud Apps) y, a continuación, seleccione Seleccionar.
Opcionalmente, agregue condiciones y conceda controles según sea necesario.
Establezca Habilitar directiva en Activado y, a continuación, seleccione Crear.
Nota
Antes de continuar, asegúrese de cerrar la sesión en primer lugar de las sesiones existentes.
Después de crear la directiva, inicie sesión en cada aplicación configurada en esa directiva. Asegúrese de que inicia sesión con un usuario configurado en la directiva.
Defender for Cloud Apps sincronizará los detalles de la directiva con sus servidores para cada nueva aplicación en la que inicie sesión. Este proceso puede tardar hasta un minuto.
Las instrucciones anteriores le ayudaron a crear una directiva integrada de Defender for Cloud Apps para aplicaciones de catálogo directamente en Azure AD. En este paso, compruebe que los controles de acceso y sesión están configurados para estas aplicaciones.
En el portal de Defender for Cloud Apps, seleccione el
y, a continuación, seleccione Control de aplicaciones de acceso condicional.En la tabla Aplicaciones de control de aplicaciones de acceso condicional, examine la columna Controles disponibles y compruebe que tanto el control de acceso como el acceso condicional de Azure ADaparecen para las aplicaciones.
Nota
Si la aplicación no está habilitada para el control de sesión, puede agregarla seleccionando Incorporar con el control de sesión y comprobando Usar esta aplicación con controles de sesión.
Una vez que esté listo para habilitar la aplicación para su uso en el entorno de producción de la organización, siga estos pasos.
En Defender for Cloud Apps, seleccione el
, a continuación, seleccione Control de aplicaciones de acceso condicional.En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, elija los tres puntos al final de la fila y, a continuación, elija Editar aplicación.
Seleccione Usar la aplicación con controles de sesión y, a continuación, seleccione Guardar.
Primero, cierre cualquier sesión existente. Después, intente iniciar sesión en cada aplicación que se ha implementado correctamente. Inicie sesión con un usuario que coincida con la directiva configurada en Azure AD o para una aplicación SAML configurada con el proveedor de identidades.
En el portal de Defender for Cloud Apps, en Investigar, seleccione Registro de actividad y asegúrese de que las actividades de inicio de sesión se capturan para cada aplicación.
Puede filtrar haciendo clic en Avanzadas y, luego, mediante la opción Origen es igual a Acceso condicional.
Se recomienda que inicie sesión en aplicaciones de escritorio y móviles desde dispositivos administrados y no administrados. Esto es para asegurarse de que las actividades se capturan correctamente en el registro de actividad.
Para comprobar que la actividad se captura correctamente, seleccione una actividad de inicio de sesión único para que abra el cajón de actividad. Asegúrese de que la propiedad Etiqueta de agente de usuario refleja correctamente si el dispositivo es un cliente nativo (es decir, un aplicación de escritorio o móvil) o si es un dispositivo administrado (Compatible, Unido a dominio o Certificado de cliente válido).
Nota
Después de implementarse, no se puede quitar una aplicación de la página Control de aplicaciones de acceso condicional. Mientras no establezca una sesión o una directiva de acceso en la aplicación, el Control de aplicaciones de acceso condicional no cambiará el comportamiento de la aplicación.
Pasos siguientes
Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.