Aplica las directivas de acceso condicional al perfil de tráfico de Microsoft 365

Con un perfil de reenvío de tráfico dedicado para todo el tráfico de Microsoft 365, puedes aplicar directivas de acceso condicional a todo el tráfico de Microsoft 365. Con el acceso condicional, puedes necesitar la autenticación multifactor y el cumplimiento de dispositivos para acceder a los recursos de Microsoft 365.

Este artículo describe cómo aplicar directivas de acceso condicional al perfil de reenvío de tráfico de Microsoft 365.

Requisitos previos

• Los administradores que interactúan con la característica Acceso global seguro (versión preliminar) deben tener asignados uno o varios de los siguientes roles en función de las tareas que realicen.
  • Rol de Administrador de acceso seguro global
  • Rol de Administrador de acceso condicional o Administrador de seguridad para crear e interactuar con las directivas de acceso condicional.
• La versión preliminar requiere una licencia Microsoft Entra ID P1. Si es necesario, puede comprar licencias u obtener licencias de prueba.
• Para usar el perfil de reenvío de tráfico de Microsoft 365, se recomienda usar una licencia de Microsoft 365 E3.

Crea una directiva de acceso condicional dirigida al perfil de tráfico de Microsoft 365

La siguiente directiva de ejemplo está dirigida a todos los usuarios excepto las cuentas de emergencia y los usuarios invitados o externos, lo que requiere autenticación multifactor, cumplimiento de dispositivos o un dispositivo unido a Microsoft Entra híbrido al acceder al tráfico de Microsoft 365.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Identidad>Protección>Acceso condicional.
3. Seleccione Crear nueva directiva.
4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione Todos los usuarios.
   2. En Excluir:
      1. Selecciona Usuarios y grupos y, a continuación, elige las cuentas de acceso de emergencia de la organización.
      2. Selecciona Usuarios invitados o externos y marca todas las casillas.
6. En Acceso a red de recursos>de destino (versión preliminar)*.
   1. Elige Tráfico de Microsoft 365.
7. En Controles de acceso>Conceder.
   1. Seleccione Requerir autenticación multifactor, Requerir que el dispositivo se marque como compatible y Requerir un dispositivo unido a Microsoft Entra híbrido
   2. En el caso de controles múltiples, seleccione Requerir uno de los controles seleccionados.
   3. Elija Seleccionar.

Después de que los administradores confirmen la configuración de directiva mediante el modo de solo informe, un administrador puede pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia para evitarel bloqueo de cuentas en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional con ámbito a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas. Como solución temporal, puede excluir estas cuentas específicas de la directiva de línea de base.

Pasos siguientes

El siguiente paso para empezar a trabajar con Acceso a Internet de Microsoft Entra es revisar los registros de Acceso global seguro.

Para obtener más información sobre reenvío de tráfico, consulta los siguientes artículos:

• Acerca de los perfiles de reenvío de tráfico
• Administrar el perfil de tráfico de Microsoft 365