Implementación del control de aplicaciones de acceso condicional para aplicaciones personalizadas con proveedores de identidad no de Microsoft

  • Artículo

Los controles de sesión de Microsoft Defender for Cloud Apps pueden configurarse para que funcionen con cualquier aplicación web. En este artículo se describe cómo incorporar e implementar aplicaciones personalizadas de línea de negocio, aplicaciones SaaS no destacadas y aplicaciones locales hospedadas a través del proxy de aplicación de Microsoft Entra con controles de sesión. Proporciona pasos para enrutar las sesiones de aplicación desde otras soluciones de IdP a Defender for Cloud Apps. Para Microsoft Entra ID, consulte Implementación del control de aplicaciones de acceso condicional para aplicaciones personalizadas con Microsoft Entra ID.

Para obtener una lista de las aplicaciones destacadas por Defender for Cloud Apps para que funcionen de forma predeterminada, consulte Protección de aplicaciones con el control de aplicaciones de acceso condicional de Defender for Cloud Apps.

Requisitos previos

Adición de administradores a la lista de incorporación y mantenimiento de aplicaciones

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Control de aplicaciones de acceso condicional, seleccione Incorporación o mantenimiento de aplicaciones.

  3. Escriba el nombre principal de usuario o el correo electrónico de los usuarios que van a incorporar la aplicación y, a continuación, seleccione Guardar.

    Captura de pantalla de ajustes de incorporación y mantenimiento de aplicaciones.

Comprobación de las licencias necesarias

  • La organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

    • La licencia requerida por la solución del proveedor de identidades (IdP)
    • Microsoft Defender for Cloud Apps

  • Las aplicaciones deben configurarse con el inicio de sesión único

  • Las aplicaciones deben usar los siguientes protocolos de autenticación:

    IdP Protocolos
    Otros SAML 2.0

Para implementar cualquier aplicación

Siga estos pasos para configurar cualquier aplicación que se controle mediante el control de aplicaciones de acceso condicional de Defender for Cloud Apps.

  1. Configure el IdP para que funcione con Defender for Cloud Apps

  2. Configuración de la aplicación que va a implementar

  3. Compruebe que la aplicación funciona correctamente

  4. Habilite la aplicación para usarla en la organización

Nota:

Para implementar el control de aplicaciones de acceso condicional para aplicaciones de Microsoft Entra, necesita una licencia válida para Microsoft Entra ID P1 o superior, así como una licencia de Defender for Cloud Apps.

Paso 1: Configure el IdP para que funcione con Defender for Cloud Apps.

Nota:

Para obtener ejemplos de cómo configurar soluciones de IdP, consulte:

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.

  3. Seleccione + Agregar y, en el menú emergente, seleccione la aplicación que quiere implementar y, a continuación, seleccione Iniciar el asistente.

  4. En la página INFORMACIÓN DE LA APLICACIÓN, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, seleccione Siguiente. - Si el IdP facilita un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, elija Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos. - O bien, seleccione Rellenar datos manualmente e indique la siguiente información: - Dirección URL del servicio de consumidor de aserciones - Si la aplicación incluye un certificado SAML, seleccione Usar certificado SAML <app_name> y cargue el archivo del certificado.

    Captura de pantalla de la página de información de la aplicación.

  5. En la página PROVEEDOR DE IDENTIDADES, siga los pasos proporcionados para configurar una nueva aplicación en el portal del IdP y, a continuación, seleccione Siguiente.

  6. Vaya al portal de su IdP y cree una nueva aplicación SAML personalizada.

  7. Copie la configuración de inicio de sesión único de la aplicación existente de <app_name> a la nueva aplicación personalizada.

  8. Asigne usuarios a la nueva aplicación personalizada.

  9. Copie la información de configuración de inicio de sesión único de las aplicaciones. Lo necesitará para el paso siguiente.

    Captura de pantalla de la página de recopilación de información del proveedor de identidades.

    Nota:

    Estos pasos pueden diferir ligeramente en función del proveedor de identidad. Este paso se recomienda por los siguientes motivos:

    • Algunos proveedores de identidades no permiten cambiar los atributos SAML ni las propiedades de dirección URL de una aplicación de galería
    • La configuración de una aplicación personalizada le permite probar esta aplicación con controles de acceso y sesión sin cambiar el comportamiento existente de la organización.

  10. En la página siguiente, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, seleccione Siguiente. - Si el IdP facilita un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, elija Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos. - O bien, seleccione Rellenar datos manualmente e indique la siguiente información: - Dirección URL del servicio de consumidor de aserciones - Si la aplicación incluye un certificado SAML, seleccione Usar certificado SAML <app_name> y cargue el archivo del certificado.

    Captura de pantalla de la página de introducción de información del proveedor de identidades.

  11. En la página siguiente, copie la siguiente información y, a continuación, seleccione Siguiente. Necesitará la información en el siguiente paso.

  • URL de inicio de sesión único

  • Atributos y valores

    Captura de pantalla de la página de recopilación de información de SAML de los proveedores de identidades.

  1. En el portal del IdP, haga lo siguiente:

    Nota:

    La configuración se encuentra normalmente en la página de configuración de la aplicación personalizada del portal de IdP.

    1. Recomendado: cree una copia de seguridad de su configuración actual.

    2. Reemplace el valor del campo dirección URL de inicio de sesión único por la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps que anotó anteriormente.

      Nota:

      Algunos proveedores pueden hacer referencia a la dirección URL de inicio de sesión único como Dirección URL de respuesta.

    3. Agregue los atributos y valores que anotó anteriormente en las propiedades de la aplicación.

      Nota:

      • Algunos proveedores pueden hacer referencia a ellos como atributos de usuario o notificaciones.
      • Al crear una nueva aplicación SAML, el proveedor de identidades de Okta limita los atributos a 1024 caracteres. Para mitigar esta limitación, cree primero la aplicación sin los atributos pertinentes. Después de crear la aplicación, edítelo y agregue los atributos pertinentes.

    4. Asegúrese de que el identificador de nombre tenga un formato de dirección de correo electrónico

    5. Guarde la configuración.

  2. En la página CAMBIOS DE APLICACIÓN, haga lo siguiente y seleccione Siguiente. Necesitará la información en el siguiente paso.

  • Copie la Dirección URL del servicio de inicio de sesión único.

  • Descarga del certificado SAML de Defender for Cloud Apps

    Captura de pantalla de la página de recopilación de información de SAML de Defender for Cloud Apps.

  1. En el portal de la aplicación, en la configuración del inicio de sesión único, haga lo siguiente:
    1. Recomendado: cree una copia de seguridad de su configuración actual.
    2. En el campo dirección URL de inicio de sesión único, escriba la dirección URL de inicio de sesión único de Defender for Cloud Apps que anotó anteriormente.
    3. Cargue el certificado SAML de Defender for Cloud Apps que descargó anteriormente.

    Nota:

    • Después de guardar la configuración, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través del control de aplicaciones de acceso condicional.
    • El certificado SAML de Defender for Cloud Apps es válido durante un año. Una vez expirado, deberá generarse un nuevo certificado.

Paso 2: Agregar la aplicación manualmente e instalar certificados, si es necesario

Las aplicaciones del catálogo de aplicaciones se rellenan automáticamente en la tabla en las aplicaciones conectadas. Compruebe que la aplicación que desea implementar se reconoce; para ello, vaya allí.

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional para acceder a una tabla de aplicaciones que se pueden configurar con directivas de acceso y sesión.

    Aplicaciones de control de aplicaciones de acceso condicional.

  3. Seleccione el menú desplegable Aplicación: Seleccionar aplicaciones... para filtrar y buscar la aplicación que desea implementar.

    Seleccionar aplicación: seleccione las aplicaciones para buscar la aplicación.

  4. Si no ve la aplicación allí, tendrá que agregarla manualmente.

Cómo agregar manualmente una aplicación no identificada

  1. En el banner, seleccione Ver nuevas aplicaciones.

    Vista de nuevas aplicaciones del Control de aplicaciones de acceso condicional.

  2. En la lista de nuevas aplicaciones, para cada aplicación que vaya a incorporar, seleccione el signo+ y, a continuación, seleccione Agregar.

    Nota:

    Si una aplicación no aparece en el catálogo de aplicaciones de Defender for Cloud Apps, aparecerá en la sección Aplicaciones no identificadas del cuadro de diálogo junto con la dirección URL de inicio de sesión. Al hacer clic en el signo + en estas aplicaciones, puede incorporarlas como aplicación personalizada.

    Aplicaciones de Microsoft Entra detectadas mediante el Control de aplicaciones de acceso condicional

Para agregar dominios para una aplicación

La asociación de los dominios correctos a una aplicación permite a Defender for Cloud Apps aplicar directivas y actividades de auditoría.

Por ejemplo, si ha configurado una directiva que bloquea la descarga de archivos para un dominio asociado, se bloquearán las descargas de archivos por parte de la aplicación desde ese dominio. Sin embargo, las descargas de archivos por parte de la aplicación desde dominios no asociados a la aplicación no se bloquearán y la acción no se auditará en el registro de actividad.

Nota:

Defender for Cloud Apps sigue añadiendo un sufijo a los dominios no asociados a la aplicación para garantizar una experiencia de usuario sin problemas.

  1. En la aplicación, en la barra de herramientas de administración de Defender for Cloud Apps, seleccione Dominios detectados.

    Nota:

    La barra de herramientas de administración solo es visible para los usuarios con permisos para incorporar o mantener aplicaciones.

  2. En el panel Dominios detectados, anote los nombres de dominio o exporte la lista como un archivo .csv.

    Nota:

    El panel muestra una lista de dominios detectados que no están asociados en la aplicación. Los nombres de los dominios están completos.

  3. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.
  4. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.
  5. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, seleccione los tres puntos al final de la fila y seleccione Editar aplicación.

    Sugerencia

    Para ver la lista de dominios configurados en la aplicación, seleccione Ver dominios de aplicación.

  6. En Dominios definidos por el usuario, escriba todos los dominios que desea asociar a esta aplicación y, a continuación, seleccione Guardar.

    Nota:

    Puede usar el carácter comodín * como marcador de posición para cualquier carácter. Al agregar dominios, decida si desea agregar dominios específicos (sub1.contoso.com,sub2.contoso.com) o varios dominios (*.contoso.com).

Instalación de certificados raíz

  1. Repita los pasos siguientes para instalar la entidad emisora de certificados actual y los certificados de raíz autofirmados de la entidad de emisora de certificados siguiente.

    1. Seleccione el certificado.
    2. Seleccione Abrir y, cuando se le solicite, seleccione Abrir de nuevo.
    3. Seleccione Instalar certificado.
    4. Elija Usuario actual o Equipo local.
    5. Seleccione Colocar todos los certificados en el siguiente almacén y, después, Examinar.
    6. Seleccione Entidades de certificación raíz de confianza y, a continuación, Aceptar.
    7. Seleccione Finalizar.

    Nota:

    Para que se reconozcan los certificados, una vez instalado el certificado, debe reiniciar el explorador e ir a la misma página.

  2. Seleccione Continuar.

  3. Compruebe que la aplicación está disponible en la tabla.

    Incorporar con control de sesión.

Paso 3: Comprobar que la aplicación funciona correctamente

Para comprobar que la aplicación está protegida, fuerce un cierre de sesión de los navegadores asociados a la aplicación o abra un nuevo navegador con el modo de incógnito.

Abra la aplicación y realice las siguientes comprobaciones:

  • Compruebe si el icono de bloqueo aparece en el navegador, o bien si está trabajando en un navegador distinto de Microsoft Edge, compruebe que la dirección URL de la aplicación incluye el sufijo .mcas. Para obtener más información, consulte Protección integrada del explorador con Microsoft Edge para empresas (versión preliminar).
  • Visite todas las páginas de la aplicación que forman parte del proceso de trabajo de un usuario y compruebe que las páginas se representan correctamente.
  • Compruebe que el comportamiento y la funcionalidad de la aplicación no se ven afectados negativamente mediante la realización de acciones comunes, como descargar y cargar archivos.
  • Revise la lista de dominios asociados a la aplicación. Para obtener más información, consulte Agregar los dominios para la aplicación.

Si encuentra errores o problemas, use la barra de herramientas de administración para recopilar recursos como archivos .har y sesiones grabadas para presentar una incidencia de soporte técnico.

Paso 4: Habilitar la aplicación para su uso en la organización

Una vez que esté listo para habilitar la aplicación para su uso en el entorno de producción de la organización, siga estos pasos.

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.

  3. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, seleccione los tres puntos al final de la fila y seleccione Editar aplicación.

  4. Seleccione Habilitar la aplicación para que funcione en controles de sesión y, a continuación, seleccione Guardar.

    Editar aplicación

Pasos siguientes

«ANTERIOR: Implementar el Control de aplicaciones de acceso condicional para las aplicaciones del catálogo

Siguiente: Cómo crear una directiva de sesión »

Consulte también

Introducción al control de aplicaciones de acceso condicional

Solución de problemas de acceso y controles de sesión

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.