Protección de aplicaciones con el control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps

En el área de trabajo actual, a menudo no basta con saber lo que ocurre en su entorno en la nube a posteriori. Le interesa detener las infracciones de seguridad y las fugas en tiempo real, antes de que los empleados intencionadamente o por accidente pongan los datos y la organización en riesgo. Es importante permitir que los usuarios de la organización tengan a su disposición la mayoría de los servicios y las herramientas en aplicaciones de nube, y lleven al trabajo sus propios dispositivos. Al mismo tiempo, se necesitan herramientas que permitan proteger la organización de fugas o robos de datos en tiempo real. Microsoft Defender for Cloud Apps se integra con cualquier proveedor de identidades (IdP) para ofrecer estas funcionalidades con controles de acceso y sesión. Si usa Microsoft Entra ID como su IdP, estos controles están integrados y racionalizados para una implementación más simple y a medida basada en la herramienta de acceso condicional de Microsoft Entra.

Nota:

  • Además de una licencia válida de Defender for Cloud Apps, para usar el control de aplicaciones de acceso condicional de Defender for Cloud Apps, también necesita una licencia de Microsoft Entra ID P1 o la licencia requerida por la solución IdP.

Funcionamiento

Control de aplicaciones de acceso condicional usa una arquitectura de proxy inverso y se integra con el IdP. Al integrar con el acceso condicional de Microsoft Entra, puede configurar aplicaciones para que funcionen con el Control de aplicaciones de acceso condicional con tan solo unos clics, lo que le permite aplicar de forma sencilla y selectiva controles de acceso y sesión en las aplicaciones de su organización en función de cualquier condición en el acceso condicional. Las condiciones definen a quién (un usuario o un grupo de usuarios), qué (qué aplicaciones en la nube) y dónde (qué ubicaciones y redes) se aplica una directiva de acceso condicional. Una vez que haya determinado las condiciones, puede enrutar los usuarios a Defender for Cloud Apps, donde puede proteger los datos con Control de aplicaciones de acceso condicional, mediante la aplicación de controles de acceso y de sesión.

Control de aplicaciones de acceso condicional permite supervisar y controlar las sesiones y el acceso a las aplicaciones de usuario en tiempo real, en función de las directivas de acceso y de sesión. Las directivas de acceso y de sesión se usan en el portal Defender for Cloud Apps para refinar los filtros y establecer las acciones que deben realizarse en un usuario. Con las directivas de acceso y de sesión, puede:

  • Impedir la filtración de datos: puede bloquear la descarga, cortar, copiar e imprimir documentos confidenciales en, por ejemplo, dispositivos no administrados.

  • Requerir contexto de autenticación: puede volver a evaluar las directivas de acceso condicional de Microsoft Entra cuando se produce una acción confidencial en la sesión. Por ejemplo, se requiere la autenticación multifactor para descargar un archivo altamente confidencial.

  • Protección en la descarga: En lugar de bloquear la descarga de documentos confidenciales, puede exigir que los documentos se etiqueten y cifren cuando se integre con Microsoft Purview Information Protection. Esta acción garantiza que el documento está protegido y el acceso del usuario se restringe en una sesión potencialmente arriesgada.

  • Impedir la carga de archivos sin etiqueta: antes de que otros usuarios carguen, distribuyan y usen un archivo confidencial, es importante asegurarse de que el archivo confidencial tiene la etiqueta definida por la directiva de su organización. Puede asegurarse de que los archivos sin etiqueta con contenido confidencial se bloqueen para que no se carguen hasta que el usuario clasifique el contenido.

  • Bloquear malware potencial: puede proteger su entorno contra malware bloqueando la carga de archivos potencialmente malintencionados. Cualquier archivo que se cargue o descargue se puede examinar con inteligencia sobre amenazas de Microsoft y bloquearse instantáneamente.

  • Supervisar el cumplimiento de las sesiones de usuario: los usuarios de riesgo se supervisan cuando inician sesión en las aplicaciones y sus acciones se registran desde dentro de la sesión. Puede investigar y analizar el comportamiento del usuario para saber dónde se deben aplicar las directivas de sesión en el futuro, y en qué condiciones.

  • Bloquear el acceso: puede bloquear granularmente el acceso para aplicaciones y usuarios específicos en función de varios factores de riesgo. Por ejemplo, puede bloquearlos si usan certificados de cliente como forma de administración de dispositivos.

  • Bloquear actividades personalizadas: algunas aplicaciones tienen escenarios únicos que conllevan riesgo, por ejemplo, el envío de mensajes con contenido confidencial en aplicaciones como Microsoft Teams o Slack. En estos tipos de escenarios, puede examinar los mensajes para detectar el contenido confidencial y bloquearlos en tiempo real.

Funcionamiento del control de sesión

Al crear una directiva de sesión con control de aplicaciones de acceso condicional, podrá controlar las sesiones de usuario redirigiendo al usuario en cuestión a través de un proxy inverso, en lugar de directamente a la aplicación. A partir de ese momento, las solicitudes y respuestas del usuario pasarán por Defender for Cloud Apps en lugar de ir directamente a la aplicación.

Cuando una sesión está protegida por proxy, todas las direcciones URL y cookies pertinentes se reemplazan por Defender for Cloud Apps. Por ejemplo, si la aplicación devuelve una página con vínculos cuyos dominios terminan con myapp.com, el dominio del vínculo se sufija con algo parecido a *.mcas.ms, como se indica a continuación:

Dirección URL de la aplicación Dirección URL reemplazada
myapp.com myapp.com.mcas.ms

Este método no requiere que instale nada en el dispositivo, lo que lo hace ideal al supervisar o controlar sesiones de dispositivos no administrados o usuarios asociados.

Nota:

  • Nuestra tecnología usa la mejor heurística patentada para identificar y controlar las actividades realizadas por el usuario en la aplicación de destino. Nuestra heurística está diseñada para optimizar y equilibrar la seguridad con facilidad de uso. En algunos escenarios poco frecuentes, cuando las actividades de bloqueo en el servidor representan la aplicación inutilizable, protegemos estas actividades solo en el lado cliente, lo que hace que sean potencialmente susceptibles de explotación por parte de usuarios internos malintencionados.
  • Defender for Cloud Apps aprovecha los centros de datos de Azure en todo el mundo para proporcionar un rendimiento optimizado a través de la geolocalización. Esto significa que la sesión de un usuario se puede hospedar fuera de una región determinada, en función de los patrones de tráfico y su ubicación. Sin embargo, para proteger su privacidad, no se almacenan datos de sesión en estos centros de datos.
  • Nuestros servidores proxy no almacenan datos en reposo. Al almacenar en caché el contenido, seguimos los requisitos establecidos en RFC 7234 (almacenamiento en caché HTTP) y solo almacenamos en caché el contenido público.

Identificación de dispositivos administrados

La característica Control de aplicaciones de acceso condicional le permite crear directivas que tienen en cuenta si un dispositivo está administrado o no. Para identificar el estado de un dispositivo, puede configurar las directivas de acceso y de sesión para comprobar lo siguiente:

  • Dispositivos compatibles con Microsoft Intune [solo disponibles con Microsoft Entra ID]
  • Dispositivos unidos a dispositivos híbridos de Microsoft Entra [solo disponibles con Microsoft Entra ID]
  • Presencia de certificados de cliente en una cadena de confianza

Dispositivos unidos híbridos compatibles con Intune y Microsoft Entra

El acceso condicional de Microsoft Entra permite que la información del dispositivo unido a Microsoft Entra híbrido y compatible con Intune se pase directamente a Defender for Cloud Apps. Desde allí, se puede desarrollar una directiva de sesión o acceso que use el estado del dispositivo como filtro. Para más información, consulte Introducción a la administración de dispositivos en Microsoft Entra ID.

Nota:

Algunos exploradores pueden requerir una configuración adicional, como instalar una extensión. Para obtener más información, consulte Soporte del navegador para acceso condicional.

Dispositivos autenticados con certificado de cliente

El mecanismo de identificación de dispositivos puede solicitar la autenticación de los dispositivos que usan certificados de cliente. Puede usar certificados de cliente existentes ya implementados en la organización o implantar nuevos certificados de cliente a los dispositivos administrados. Asegúrese de que el certificado de cliente está instalado en el almacén de usuarios y no en el almacén del equipo. Después utilizará la presencia de esos certificados para establecer directivas de acceso y sesión.

Los certificados de cliente SSL se comprueban a través de una cadena de confianza. Puede cargar una entidad de certificación (CA) raíz o intermedia X.509 formateada en el formato de certificado PEM. Estos certificados deben contener la clave pública de la entidad de certificación, que luego se usa para firmar los certificados de cliente presentados durante una sesión.

Una vez cargado el certificado y configurada una directiva pertinente, cuando una sesión aplicable atraviesa el control de aplicaciones de acceso condicional, el punto de conexión de Defender for Cloud Apps solicita al explorador que presente los certificados de cliente SSL. El explorador sirve los certificados de cliente SSL instalados con una clave privada. Esta combinación de certificado y clave privada se realiza mediante el formato de archivo PKCS #12, normalmente .p12 o .pfx.

Cuando se realiza una comprobación de certificados de cliente, Defender for Cloud Apps comprueba las condiciones siguientes:

  1. El certificado de cliente seleccionado es válido y está bajo la entidad de certificación raíz o intermedia correcta.
  2. El certificado no se revoca (si CRL está habilitado).

Nota:

La mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente. Sin embargo, las aplicaciones móviles y de escritorio suelen aprovechar los exploradores integrados que pueden no admitir esta comprobación y, por lo tanto, afectan a la autenticación de estas aplicaciones.

Para configurar una directiva que aproveche la administración de dispositivos mediante certificados de cliente:

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Control de aplicaciones de acceso condicional, seleccione Identificación de dispositivos.

  3. Cargue tantos certificados raíz o intermedios como necesite.

    Sugerencia

    Para probar cómo funciona esto, puede usar nuestra entidad de certificación raíz de ejemplo y el certificado de cliente, como se indica a continuación:

    1. Descargue la CA raíz de ejemplo y el certificado de cliente.
    2. Cargue la entidad de certificación raíz en Defender for Cloud Apps.
    3. Instale el certificado de cliente (contraseña=Microsoft) en los dispositivos pertinentes.

Tras cargar los certificados, puede crear directivas de acceso y sesión basadas en la configuración de la opción Etiqueta de dispositivo y Certificado de cliente válido.

Aplicaciones y clientes compatibles

Los controles de sesión y acceso se pueden aplicar a cualquier inicio de sesión único interactivo, mediante el protocolo de autenticación SAML 2.0 o, si usa Microsoft Entra ID, el protocolo de autenticación OpenID Connect también. Además, si las aplicaciones están configuradas con Microsoft Entra ID, también puede aplicar estos controles a las aplicaciones hospedadas en el entorno local configurados con el proxy de aplicación de Microsoft Entra. Además, los controles de acceso se pueden aplicar a aplicaciones cliente móviles y de escritorio nativas.

Defender for Cloud Apps identifica las aplicaciones que usan información disponible en su catálogo de aplicaciones en la nube. Algunas organizaciones y usuarios personalizan aplicaciones agregando complementos. Sin embargo, para que los controles de sesión funcionen correctamente con estos complementos, los dominios personalizados asociados deben agregarse a la aplicación correspondiente del catálogo.

Nota:

La aplicación Authenticator, entre otros flujos de inicio de sesión de aplicaciones cliente nativas, usa un flujo de inicio de sesión no interactivo y no se puede usar con controles de acceso.

Controles de acceso

Muchas organizaciones que eligen usar controles de sesión para aplicaciones en la nube para controlar las actividades en sesión, también aplican controles de acceso para bloquear el mismo conjunto de aplicaciones cliente móviles y de escritorio nativas, lo que proporciona una seguridad completa para las aplicaciones.

Puede bloquear el acceso a aplicaciones cliente móviles y de escritorio nativas con directivas de acceso estableciendo el filtro de aplicación cliente en Móvil y escritorio. Algunas aplicaciones cliente nativas se pueden reconocer individualmente, mientras que otras que forman parte de un conjunto de aplicaciones solo se pueden identificar como su aplicación de nivel superior. Por ejemplo, las aplicaciones como SharePoint Online solo se pueden reconocer mediante la creación de una directiva de acceso aplicada a aplicaciones de Microsoft 365.

Nota:

A menos que el filtro de aplicación cliente se establezca específicamente en Móvil y escritorio, la directiva de acceso resultante solo se aplicará a las sesiones del explorador. El motivo de esto es evitar que las sesiones de usuario proxy inadvertidamente sean un producto derivado del uso de este filtro. Aunque la mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente, algunas aplicaciones móviles y de escritorio usan exploradores integrados que pueden no admitir esta comprobación. Por lo tanto, el uso de este filtro puede afectar a la autenticación de estas aplicaciones.

Controles de sesión

Aunque los controles de sesión se crean para trabajar con cualquier explorador en cualquier plataforma principal de cualquier sistema operativo, se admite Microsoft Edge (más reciente), Google Chrome (más reciente), Mozilla Firefox (más reciente) o Apple Safari (más reciente). También se puede bloquear o permitir el acceso a aplicaciones móviles y de escritorio.

Nota:

  • Defender for Cloud Apps usa protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar el mejor cifrado de clase. Las aplicaciones y exploradores de cliente nativo que no admiten TLS 1.2 y versiones posteriores no serán accesibles cuando se configuren con el control de sesión. Sin embargo, las aplicaciones SaaS que usan TLS 1.1 o versiones anteriores aparecerán en el explorador como mediante TLS 1.2+ cuando se configuran con Defender for Cloud Apps.
  • Para aplicar controles de sesión a portal.office.com, debe incorporar Centro de administración de Microsoft 365. Para obtener más información sobre la incorporación de aplicaciones, consulte Incorporación e implementación del control de aplicaciones de acceso condicional para cualquier aplicación.

Aplicaciones previamente incorporadas

Cualquier aplicación web configurada mediante los protocolos de autenticación mencionados anteriormente se puede incorporar para trabajar con controles de acceso y sesión. Además, las siguientes aplicaciones ya están incorporadas con controles de acceso y sesión para Azure Access Directory.

Nota:

Es necesario enrutar las aplicaciones deseadas para acceder a los controles de sesión y realizar un primer inicio de sesión.

  • AWS
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Google Workspace
  • HighQ
  • JIRA/Confluence
  • Aprendizaje de LinkedIn
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Portal de Microsoft Azure
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive para la Empresa
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • Slack
  • Tableau
  • Workday
  • Workiva
  • Área de trabajo desde Meta

Si está interesado en la incorporación previa de una aplicación específica, envíenos detalles sobre la aplicación. No olvide enviar el caso de uso que le interesa para que podamos incorporarlo.

Limitaciones conocidas

Para más información sobre las limitaciones de seguridad, póngase en contacto con nuestro equipo de soporte técnico.

  • Limitación del complemento de explorador
    Nuestra solución actual de aplicación de control de aplicaciones de acceso condicional no admite aplicaciones nativas, ya que requiere alguna modificación del código de aplicación subyacente. Las extensiones del explorador, similares a las aplicaciones nativas, están preinstaladas en el explorador, por lo que no nos permiten modificar su código según sea necesario y se interrumpirán cuando se redirijan sus tokens a través de nuestra solución de proxy. Como administrador, puede definir el comportamiento predeterminado del sistema cuando no se puede aplicar una directiva y elegir entre permitir el acceso o bloquearlo totalmente.

  • Pérdida de contexto
    En las siguientes aplicaciones, hemos encontrado escenarios en los que navegar a un vínculo puede provocar la pérdida de la ruta de acceso completa del vínculo y, normalmente, el usuario llega a la página principal de la aplicación.

    • ArcGIS
    • GitHub
    • Microsoft Power Automate
    • Microsoft Power Apps
    • Microsoft Teams
    • Área de trabajo desde Meta
    • ServiceNow
  • Las directivas de sesión son válidas para archivos de hasta 50 MB de tamaño
    Los archivos con un tamaño de hasta 50 MB están sujetos a directivas de sesión. Por ejemplo, un administrador puede definir una de las siguientes directivas de sesión:

    • Supervisión de descargas de archivos para la aplicación de OneDrive
    • Bloquear la carga de archivos
    • Bloquear la descarga de archivos maliciosos

    En ese caso, se controlará un archivo de hasta 50 MB en función de las directivas de sesión. Para un archivo de mayor tamaño, la configuración del inquilino (Configuración > Control de aplicaciones de acceso condicional > Comportamiento predeterminado) determina si el archivo se permite o se bloquea, independientemente de las directivas coincidentes.

  • Las directivas de inspección para la protección de la información son válidas para archivos de hasta 30 MB de tamaño y 1 millón de caracteres
    Cuando se aplica una directiva de sesión para bloquear cargas o descargas de archivos en función de la inspección de contenido de protección de la información, la inspección se realiza en archivos inferiores a 30 MB y más de 1 millón de caracteres. Por ejemplo, un administrador puede definir una de las siguientes directivas de sesión:

    • Bloquear la carga de archivos para archivos que contienen el número de seguro social (SSN)
    • Protección de la descarga de archivos para archivos que contienen FI (información médica protegida)
    • Bloquear la descarga de archivos para con la etiqueta de confidencialidad "muy confidencial"

    En tales casos, los archivos de más de 30 MB o 1 millón de caracteres no se examinan y se tratan según la configuración de directiva de Aplicar siempre la acción seleccionada incluso si no se pueden examinar los datos. Estos son algunos ejemplos:

    • un archivo TXT, un tamaño de 1 MB y 1 millón de caracteres: se analizará
    • un archivo TXT, un tamaño de 2 MB y 2 millones de caracteres: no se analizará
    • un archivo de Word compuesto por imágenes y texto, tamaño de 4 MB y 400 K caracteres: se analizará
    • un archivo de Word compuesto por imágenes y texto, tamaño de 4 MB y 2 millones de caracteres: no se analizará
    • un archivo de Word compuesto por imágenes y texto, tamaño de 40 MB y 400 K caracteres: no se analizará
  • Limitación de carga de archivos

    Si se aplica una directiva de sesión para bloquear o supervisar la carga de archivos confidenciales, en estos escenarios, los intentos del usuario de cargar archivos o carpetas mediante arrastrar y colocar bloquearán toda la lista de archivos y carpetas:

    • una carpeta que contiene al menos un archivo y al menos una subcarpeta

    • una carpeta que contiene varias subcarpetas

    • selección de al menos un archivo y al menos una carpeta

    • una selección de varias carpetas

      Estos son algunos ejemplos:

    El administrador de seguridad define la siguiente directiva: Bloquear la carga de archivos que contienen DCP en OneDrive.

    • El usuario intenta cargar una selección de 200 archivos no confidenciales mediante arrastrar y colocar. Resultado: los archivos están bloqueados
    • El usuario intenta cargar una selección de 200 archivos, algunos son confidenciales y algunos no, mediante el cuadro de diálogo de carga de archivos. Resultado: se cargan los archivos no confidenciales, se bloquean los archivos confidenciales.
    • El usuario intenta cargar una selección de 200 archivos, algunos son confidenciales y algunos no, usando arrastrar y colocar. Resultado: se bloquea todo el conjunto de archivos.

Pasos siguientes

Para obtener instrucciones sobre cómo incorporar las aplicaciones, consulte el documento adecuado a continuación:

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.