Directivas de sesión

Nota:

Microsoft Defender for Cloud Apps (anteriormente conocido como Microsoft Cloud App Security) forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar para supervisar y administrar la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Microsoft Defender for Cloud Apps directivas de sesión permiten la supervisión en tiempo real de nivel de sesión, lo que le ofrece visibilidad granular sobre las aplicaciones en la nube y la capacidad de realizar diferentes acciones en función de la directiva que establezca para una sesión de usuario. En lugar de permitir o bloquear el acceso por completo, con el control de sesión, puede permitir el acceso mientras supervisa la sesión o limita determinadas actividades de la sesión usando las funciones de proxy inverso de control de aplicaciones de acceso condicional.

Por ejemplo, puede decidir que, desde cualquier dispositivo no administrado o en sesiones que provienen de ubicaciones específicas, quiere permitir el acceso del usuario a la aplicación, pero también limitar la descarga de archivos confidenciales o requerir que algunos documentos estén protegidos al descargarse. Las directivas de sesión permiten establecer estos controles de sesión de usuario, ademas del acceso, y le permite realizar lo siguiente:

• Supervisar todas las actividades
• Bloqueo de todas las descargas
• Bloqueo de actividades específicas
• Requerir autenticación paso a paso (contexto de autenticación)
• Protección de archivos en la descarga
• Protección de cargas de archivos confidenciales
• Bloquear malware al cargar
• Educar a los usuarios para proteger archivos confidenciales

Nota:

No hay ningún límite en el número de directivas que se pueden aplicar.

Requisitos previos para usar directivas de sesión

• Licencia de Defender for Cloud Apps (independiente o parte de otra licencia)
• Una licencia para Azure AD Premium P1 (como una licencia independiente o como una licencia E5) o la licencia requerida por su solución de proveedor de identidades (IdP).
• Las aplicaciones en cuestión deben estar implementadas con control de aplicaciones de acceso condicional.
• Asegúrese de que ha configurado la solución IdP para que funcione con Defender for Cloud Apps, como se indica a continuación:
  • En el caso del acceso condicional de Azure AD, consulte Configuración de la integración con Azure AD.
  • Para información sobre otras soluciones IdP, consulte Configuración de la integración con otras soluciones IdP.

Creación de una directiva de sesión de Defender for Cloud Apps

Haga lo siguiente para crear una directiva de sesión:

1. Vaya a Controlpolicies>Conditional access (Acceso condicional a directivas de control>).

2. Seleccione Crear directiva y seleccione Directiva de sesión.

   

3. En la ventana Directiva de sesión, especifique un nombre para la directiva, como Bloquear descarga de documentos confidenciales en Box de usuarios de marketing.

4. En el campo Tipo de control de sesión, haga lo siguiente:

   1. Seleccione Monitor only (Solo supervisar) si solo quiere supervisar las actividades de los usuarios. Esta selección creará una directiva de solo supervisión para las aplicaciones que seleccionó en la que, todos los inicios de sesión, descargas heurísticas y tipos de actividad, se descargarán.

   2. Seleccione Control de descarga de archivos (con inspección) si desea supervisar las actividades del usuario. Puede realizar acciones adicionales como bloquear o proteger las descargas para los usuarios.

   3. Seleccione Bloquear actividades para bloquear actividades específicas que se pueden seleccionar con el filtro Tipo de actividad. Todas las actividades de las aplicaciones seleccionadas se supervisarán (y notificarán en el registro de actividad). Las actividades específicas que seleccione se bloquearán si selecciona la acción Bloquear. Las actividades específicas que seleccione generarán alertas si selecciona la acción Probar y hay alertas activadas.

5. En la sección Actividades que coinciden con todo lo siguiente de Origen de la actividad, seleccione más filtros de actividad para aplicarlos a la directiva. Estos filtros pueden incluir las siguientes opciones para Tipo de actividad:

   • Etiqueta de dispositivo: use este filtro para identificar los dispositivos no administrados.

   • Ubicación: use este filtro para identificar las ubicaciones desconocidas (por tanto, que entrañan riesgo).

   • Dirección IP: use este filtro para filtrar por direcciones IP o usar las etiquetas de dirección IP previamente asignadas.

   • Etiqueta de agente de usuario: use este filtro para habilitar la heurística que permite identificar las aplicaciones de escritorio y móviles. Este filtro se puede establecer en "igual a" o "no es igual a" Cliente nativo. Este filtro se debe probar con las aplicaciones de escritorio y móviles para cada aplicación en la nube.

   • Tipo de actividad: use este filtro para seleccionar actividades específicas que se van a controlar, como:

     • Imprimir
     • Acciones del Portapapeles: Copiar, Cortar y Pegar
     • Envío de elementos en aplicaciones como Teams, Slack y Salesforce
     • Uso compartido y descompartido de elementos en varias aplicaciones
     • Edición de elementos en varias aplicaciones

   Nota:

   Las directivas de sesión no admiten aplicaciones móviles y de escritorio. Las aplicaciones móviles y de escritorio también pueden bloquearse o permitirse con la creación de una directiva de acceso.

6. Si seleccionó la opción Para controlar la descarga de archivos (con inspección)::

   1. En la sección Archivos que coinciden con todo lo siguiente de Origen de la actividad, seleccione más filtros de archivo para aplicarlos a la directiva. Los filtros incluyen las siguientes opciones:

      • Etiqueta de confidencialidad: use este filtro si su organización usa Microsoft Purview Information Protection y los datos están protegidos por sus etiquetas de confidencialidad. Puede filtrar archivos en función de la etiqueta de confidencialidad que aplicó a ellos. Para obtener más información sobre la integración con Microsoft Purview Information Protection, consulte integración de Microsoft Purview Information Protection.

      • Nombre de archivo: use este filtro para aplicar la directiva a archivos concretos.

      • Tipo de archivo: use este filtro para aplicar la directiva a tipos de archivo concretos, por ejemplo, para bloquear la descarga de cualquier archivo .xls.

   2. En la sección Inspección de contenido, establezca si quiere permitir que el motor DLP examine documentos y el contenido de los archivos.

   3. En Acciones, seleccione uno de los siguientes elementos:

      • Test (Monitor all activities) (Probar [supervisar todas las actividades]): establezca esta acción para permitir expresamente las descargas según los filtros de directiva que haya establecido.

      • Block (Block file download and monitor all activities) (Bloquear [bloquear descargas de archivos y supervisar todas las actividades]): establezca esta acción para bloquear expresamente las descargas según los filtros de directiva que haya establecido. Para más información, vea Cómo funciona el bloqueo de descargas.

      • Proteger (aplicar etiqueta de confidencialidad para descargar y supervisar todas las actividades): esta opción solo está disponible si seleccionó Descargar archivo de control (con inspección) en Directiva de sesión. Si su organización usa Microsoft Purview Information Protection, puede establecer una acción para aplicar una etiqueta de confidencialidad establecida en Microsoft Purview Information Protection al archivo. Para más información, vea Cómo funciona la protección de descargas.

7. Puede Crear una alerta para cada evento coincidente con la gravedad de la directiva y establecer un límite de alerta. Seleccione si desea que la alerta sea un correo electrónico.

Supervisar todas las actividades

Cuando se crea una directiva de sesión, cada sesión de usuario que coincida con la directiva se redirige al control de sesión, y no directamente a la aplicación. El usuario verá una notificación de supervisión que le avisa de que sus sesiones se están supervisando.

Si prefiere no avisar al usuario de que se le está supervisando, puede deshabilitar el mensaje de notificación.

1. En el engranaje Configuración, seleccione Configuración general.

2. Después, en Control de aplicación de acceso condicional, active Supervisión de usuarios y desactive la casilla Notificar a los usuarios.

Para mantener al usuario dentro de la sesión, el control de aplicaciones de acceso condicional reemplaza todas las direcciones URL, scripts de Java y cookies pertinentes dentro de la sesión de la aplicación por Microsoft Defender for Cloud Apps direcciones URL. Por ejemplo, si la aplicación devuelve una página con vínculos cuyos dominios terminan con myapp.com, control de aplicaciones de acceso condicional reemplaza los vínculos por dominios que terminan por algo parecido myapp.com.mcas.msa . De este modo, Microsoft Defender for Cloud Apps supervisa toda la sesión.

El control de aplicaciones de acceso condicional crea registros de tráfico de cada sesión de usuario que pasa a través de él. Los registros de tráfico reflejan la hora, la dirección IP, los agentes de usuario, las direcciones URL visitadas y el número de bytes cargados y descargados. Estos registros se analizan y se agrega un informe continuo, El control de aplicaciones de acceso condicional de Defender for Cloud Apps, se agrega a la lista de informes de Cloud Discovery en el panel de Cloud Discovery.

Para exportar estos registros, haga lo siguiente:

1. Vaya al engranaje de configuración y seleccione Control de aplicaciones de acceso condicional.

2. En el lado derecho de la tabla, seleccione el botón exportar.

   

3. Seleccione el intervalo del informe y seleccione Exportar. Este proceso puede tardar algún tiempo.

Para descargar el registro exportado:

1. Una vez que el informe esté listo, vaya a Configuración y después a Informes exportados.

2. En la tabla, seleccione el informe correspondiente en la lista de registros de tráfico de Control de aplicaciones de acceso condicional y seleccione Descargar.

   

Bloqueo de todas las descargas

Cuando Bloquear se establece como acción que desea realizar en la directiva de sesión de Defender for Cloud Apps, el control de aplicaciones de acceso condicional impide que un usuario descargue un archivo según los filtros de archivo de la directiva. Un evento de descarga lo reconoce Microsoft Defender for Cloud Apps para cada aplicación cuando un usuario inicia una descarga. El Control de aplicaciones de acceso condicional interviene en tiempo real para evitar que se ejecute. Cuando se recibe la señal de que un usuario ha iniciado una descarga, el control de aplicaciones de acceso condicional devuelve al usuario un mensaje que indica que la descarga está restringida y reemplaza el archivo descargado por un archivo de texto. El mensaje de dicho archivo se puede configurar y personalizar para el usuario en la directiva de sesión.

Requerir autenticación paso a paso (contexto de autenticación)

Cuando el tipo de control de sesión está establecido en Bloquear actividades, Descarga de archivos de control (con inspección), Carga de archivos de control (con inspección), puede seleccionar una acción de Requerir autenticación paso a paso por paso. Cuando se selecciona esta acción, Defender for Cloud Apps redirigirá la sesión al acceso condicional de Azure AD para volver a evaluar la directiva, siempre que se produzca la actividad seleccionada. En función del contexto de autenticación configurado en Azure AD, las notificaciones como la autenticación multifactor y el cumplimiento de dispositivos se pueden comprobar durante una sesión.

Bloqueo de actividades específicas

Cuando Bloquear actividades se establece como Tipo de actividad, pueden seleccionarse determinadas actividades para bloquear aplicaciones específicas. Todas las actividades de las aplicaciones seleccionadas se supervisarán y notificarán en el registro de actividad. Las actividades específicas que seleccione se bloquearán si selecciona la acción Bloquear. Las actividades específicas que seleccione generarán alertas si selecciona la acción Probar y hay alertas activadas.

Algunos ejemplos de actividades bloqueadas son:

• Enviar mensaje de Teams: Úselo para bloquear los mensajes enviados desde Microsoft Teams o bloquear mensajes de Teams que contienen contenido específico
• Imprimir: Úselo para bloquear acciones de impresión
• Copiar: Úselo para bloquear la copia en acciones del Portapapeles o solo bloquear la copia de contenido específico.

Bloquee actividades específicas y aplíquelo a grupos específicos para crear un modo de solo lectura completo para la organización.

Protección de archivos en la descarga

Seleccione Bloquear actividades para bloquear actividades específicas que se pueden buscar con el filtro Tipo de actividad. Todas las actividades de las aplicaciones seleccionadas se supervisarán (y notificarán en el registro de actividad). Las actividades específicas que seleccione se bloquearán si selecciona la acción Bloquear. Las actividades específicas que seleccione generarán alertas si selecciona la acción Probar y hay alertas activadas.

Cuando Proteger se establece como acción que se va a realizar en la directiva de sesión de Defender for Cloud Apps, el control de aplicaciones de acceso condicional aplica el etiquetado y la protección posterior de un archivo según los filtros de archivo de la directiva. Las etiquetas se configuran en el portal de cumplimiento Microsoft Purview y la etiqueta debe configurarse para aplicar el cifrado para que aparezca como una opción en la directiva de Defender for Cloud Apps. Cuando se selecciona una etiqueta y se descarga un archivo que cumple los criterios de la directiva de Defender for Cloud Apps, la etiqueta y la protección correspondiente (con permisos) se aplican al archivo tras la descarga. El archivo original permanece tal cual en la aplicación en la nube, mientras que el archivo descargado ahora está protegido. Los usuarios que intenten acceder al archivo deben cumplir los requisitos de permiso establecidos por la protección aplicada.

Defender for Cloud Apps admite actualmente la aplicación de etiquetas de confidencialidad de Microsoft Purview Information Protection para los siguientes tipos de archivo:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

  Nota:

  Para PDF, debe usar etiquetas unificadas.

Protección de cargas de archivos confidenciales

Cuando la carga de archivos de control (con inspección) se establece como tipo de control de sesión en la directiva de sesión de Defender for Cloud Apps, el control de aplicaciones de acceso condicional impide que un usuario cargue un archivo según los filtros de archivo de la directiva. Cuando se reconoce un evento de carga, el control de aplicaciones de acceso condicional interviene en tiempo real para determinar si el archivo es confidencial y necesita protección. Si el archivo tiene datos confidenciales y no tiene una etiqueta adecuada, se bloquea la carga del archivo.

Por ejemplo, puede crear una directiva que examine el contenido de un archivo para determinar si contiene una coincidencia de contenido confidencial, como un número de seguro social. Si contiene contenido confidencial y no está etiquetado con una etiqueta confidencial Microsoft Purview Information Protection, se bloquea la carga del archivo. Cuando se bloquea el archivo, puede mostrar un mensaje personalizado al usuario que les indique cómo etiquetar el archivo para cargarlo. Al hacerlo, asegúrese de que los archivos almacenados en las aplicaciones en la nube cumplan las directivas.

Bloquear malware al cargar

Cuando la carga de archivos de control (con inspección) se establece como el tipo de control de sesión y la detección de malware se establece como método de inspección en la directiva de sesión de Defender for Cloud Apps, el control de aplicaciones de acceso condicional impide que un usuario cargue un archivo en tiempo real si se detecta malware. Los archivos se examinan mediante el motor de inteligencia sobre amenazas de Microsoft.

Puede ver los archivos marcados como malware potencial mediante el filtro Posible malware detectado en el registro de actividad.

También puede configurar directivas de sesión para bloquear el malware en la descarga.

Educar a los usuarios para proteger archivos confidenciales

Es importante educar a los usuarios cuando infringen una directiva para que aprendan a cumplir con las directivas de la organización. Dado que cada empresa tiene necesidades y directivas únicas, Defender for Cloud Apps permite personalizar los filtros de una directiva y el mensaje que se muestra al usuario cuando se detecta una infracción. Puede proporcionar instrucciones específicas a los usuarios, como proporcionar instrucciones sobre cómo etiquetar correctamente un archivo o cómo inscribir un dispositivo no administrado, para asegurarse de que los archivos se cargan correctamente.

Por ejemplo, si un usuario carga un archivo sin una etiqueta de confidencialidad, se puede mostrar un mensaje que explique que el archivo contiene contenido confidencial que requiere una etiqueta adecuada. Del mismo modo, si un usuario intenta cargar un documento desde un dispositivo no administrado, se puede mostrar un mensaje con instrucciones sobre cómo inscribir ese dispositivo o uno que proporcione una explicación adicional de por qué se debe inscribir el dispositivo.

Conflictos entre directivas

Cuando hay un conflicto entre dos directivas, la directiva más restrictiva gana. Por ejemplo:

• Si una sesión de usuario tiene como ámbito una directiva bloquear la descarga y a una etiqueta tras la directiva de descarga , se bloqueará la acción de descarga de archivos.
• Si una sesión de usuario tiene como ámbito una directiva bloquear la descarga y a una directiva de descarga de auditoría, se bloqueará la acción de descarga de archivos.

Vídeos relacionados

Seminario web de Control de aplicaciones de acceso condicional

Pasos siguientes

« ANTERIOR: Incorporación e implementación del control de aplicaciones de acceso condicional para cualquier aplicación »

SIGUIENTE: Cómo crear una directiva de acceso »

Solución de problemas de controles de sesión y acceso

Consulte también

Bloqueo de descargas en dispositivos no administrados mediante el control de aplicaciones de acceso condicional de Azure AD

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.