Formas habituales de usar el acceso condicional con Intune

Hay dos tipos de directivas de Acceso Condicional que puede usar con Intune: el Acceso Condicional basado en dispositivos y el Acceso Condicional basado en aplicaciones. Para admitir cada una de ellas, deberá configurar las directivas de Intune relacionadas. Una vez implementadas las directivas de Intune, puede usar el Acceso Condicional para hacer cosas como permitir o bloquear el acceso a Exchange, controlar el acceso a la red o integrarse con una solución de Mobile Threat Defense.

La información de este artículo puede ayudarle a comprender cómo usar las funcionalidades de cumplimiento de dispositivos móviles de Intune y las funcionalidades de administración de aplicaciones móviles (MAM) de Intune.

Nota:

El Acceso Condicional es una función de Azure Active Directory que se incluye con una licencia de Azure Active Directory Premium. Intune mejora esta función al agregar el cumplimiento de dispositivos móviles y la administración de aplicaciones móviles a la solución. El nodo de acceso condicional al que se accede desde Intune es el mismo nodo al que se accede desde Azure AD.

Acceso condicional basado en dispositivos

Intune y Azure Active Directory trabajan juntos para asegurarse de que solo los dispositivos administrados y compatibles puedan acceder al correo electrónico, los servicios de Microsoft 365, las aplicaciones de software como servicio (SaaS) y las aplicaciones locales. Adicionalmente, puede configurar una directiva en Azure Active Directory para permitir que solo los equipos unidos a un dominio o los dispositivos móviles inscritos en Intune tengan acceso a los servicios de Microsoft 365.

Con Intune, implementa directivas de cumplimiento de dispositivos para determinar si un dispositivo cumple los requisitos de configuración y seguridad esperados. La evaluación de la directiva de cumplimiento determina el estado de cumplimiento de los dispositivos, que se notifica tanto a Intune como a Azure AD. Es en Azure AD que las directivas de Acceso Condicional pueden usar el estado de cumplimiento de un dispositivo para tomar decisiones sobre si permitir o bloquear el acceso a los recursos de la organización desde ese dispositivo.

Las directivas de acceso condicional basado en dispositivos para Exchange Online y otros productos de Microsoft 365 se configuran mediante el Centro de administración de Microsoft Endpoint Manager.

Nota:

Cuando se habilita el acceso basado en dispositivos en el contenido al que los usuarios acceden desde aplicaciones del explorador en sus dispositivos Android de Perfil de trabajo, los usuarios que se inscriban antes de enero del 2021 deberán habilitar el acceso del explorador de la siguiente manera:

  1. Inicie la aplicación Portal de empresa.
  2. Vaya a la página Configuración del menú.
  3. En la sección Habilitar acceso al explorador, pulse el botón Habilitar.
  4. Cierre y reinicie la aplicación del explorador.

Esto permite el acceso en las aplicaciones del explorador, pero no a las vistas web del explorador que se abren dentro de las aplicaciones.

Aplicaciones disponibles en el acceso condicional para controlar Microsoft Intune

Al configurar el Acceso Condicional en el portal de Azure AD, tiene dos aplicaciones entre las que elegir:

  1. Microsoft Intune: esta aplicación controla el acceso a los orígenes de datos y a la consola de Microsoft Endpoint Manager. Configure concesiones/controles en esta aplicación cuando desee establecer como destino los orígenes de datos y la consola de Microsoft Endpoint Manager.
  2. Inscripción a Microsoft Intune: esta aplicación controla el flujo de trabajo de inscripción. Configure concesiones/controles en esta aplicación cuando desee establecer como destino el proceso de inscripción. Para obtener más información, vea Requerir la autenticación multifactor para las inscripciones de dispositivos de Intune.

Acceso condicional basado en el control de acceso a redes

Intune se integra con partners como Cisco ISE, Aruba Clear Pass y Citrix NetScaler para proporcionar controles de acceso en función de la inscripción en Intune y el estado de cumplimiento del dispositivo.

A los usuarios se les puede permitir o denegar el acceso a los recursos corporativos mediante Wi-Fi o VPN. Todo depende de si el dispositivo que usan se administra mediante Intune y guarda conformidad con las directivas de cumplimiento de dispositivos de Intune.

Acceso condicional basado en el riesgo del dispositivo

Intune se ha asociado con proveedores de Mobile Threat Defense para proporcionar una solución de seguridad para la detección de malware, troyanos y otras amenazas en los dispositivos móviles.

Funcionamiento de la integración de Intune y Mobile Threat Defense

Cuando los dispositivos móviles tienen instalado el agente de Mobile Threat Defense, este devuelve mensajes de estado de cumplimiento a Intune para notificar si se encuentra una amenaza en el dispositivo móvil propiamente dicho.

La integración de Intune y Mobile Threat Defense influye en las decisiones de Acceso Condicional basado en el riesgo del dispositivo.

Acceso Condicional para PC Windows

El Acceso Condicional para equipos proporciona funcionalidades similares a las disponibles para dispositivos móviles. Vamos a hablar sobre las formas en que puede usar el Acceso Condicional al administrar equipos con Intune.

Propiedad corporativa

  • Unido a Azure AD híbrido: esta opción se usa habitualmente por las organizaciones que están razonablemente cómodas con la manera en que ya se están administrando sus equipos mediante directivas de grupo de AD o con Configuration Manager.

  • Unido a dominio de Azure AD y administración de Intune: este escenario es para aquellas organizaciones que desean priorizar la nube (es decir, usar principalmente servicios en la nube, con el objetivo de reducir el uso de una infraestructura local) o darle exclusividad (sin infraestructura local). Unión a Azure AD funciona bien en un entorno híbrido, al permitir el acceso a aplicaciones y recursos en la nube y locales. El dispositivo se une a Azure AD y se inscribe en Intune, lo que puede usarse como criterios de Acceso Condicional al acceder a recursos corporativos.

Bring your own device (BYOD)

  • Unidos al área de trabajo y administración de Intune: aquí el usuario puede unir sus dispositivos personales para acceder a los servicios y recursos corporativos. Puede usar la unión al área de trabajo e inscribir dispositivos en MDM de Intune para recibir directivas de nivel de dispositivo, que son otra opción para evaluar los criterios de acceso condicional.

Obtenga más información sobre la administración de dispositivos en Azure Active Directory.

Acceso condicional basado en aplicaciones

Intune y Azure Active Directory funcionan conjuntamente para asegurarse de que solo las aplicaciones administradas puedan acceder al correo electrónico corporativo u otros servicios de Microsoft 365.

Acceso condicional de Intune para Exchange local

El acceso condicional se puede usar para permitir o bloquear el acceso a Exchange local en función de las directivas de cumplimiento y el estado de inscripción de los dispositivos. Cuando el acceso condicional se usa en combinación con una directiva de cumplimiento de dispositivo, solo los dispositivos compatibles pueden acceder a Exchange local.

Puede realizar la configuración avanzada del acceso condicional para un control más específico, por ejemplo:

  • Permitir o bloquear determinadas plataformas.

  • Bloquear inmediatamente dispositivos que no estén administrados por Intune.

Todos los dispositivos usados para acceder a Exchange local son objeto de comprobación del cumplimiento cuando se aplican directivas de acceso condicional y cumplimiento de dispositivos.

Cuando los dispositivos no cumplen las condiciones establecidas, se guía al usuario final por el proceso de inscripción del dispositivo para corregir el problema que impide que el dispositivo sea conforme.

Nota:

A partir de julio de 2020, el soporte técnico para Exchange Connector queda en desuso y se reemplaza por la autenticación moderna híbrida (HMA) de Exchange. El uso de HMA no requiere que Intune configure y use Exchange Connector. Con este cambio, la interfaz de usuario para configurar y administrar Exchange Connector para Intune se ha quitado del centro de administración de Microsoft Endpoint Manager, salvo que ya use Exchange Connector con su suscripción.

Si tiene una instancia de Exchange Connector configurada en el entorno, el inquilino de Intune sigue siendo compatible con su uso, y seguirá teniendo acceso a la interfaz de usuario que admite su configuración. Para obtener más información, vea Instalación del conector local de Exchange. Puede seguir usando el conector o configurar HMA y después desinstalar el conector.

La autenticación moderna híbrida ofrece funcionalidad que anteriormente proporcionaba Exchange Connector para Intune: asignación de una identidad de dispositivo a su registro de Exchange. Esta asignación se produce ahora fuera de una configuración que se realiza en Intune o en el requisito del conector de Intune para establecer un puente entre Intune y Exchange. Con HMA, se ha quitado el requisito de usar la configuración específica de "Intune" (el conector).

¿Cuál es la función de Intune?

Intune evalúa y administra el estado del dispositivo.

¿Cuál es la función del servidor de Exchange?

El servidor de Exchange proporciona la API y la infraestructura para mover los dispositivos a cuarentena.

Importante

Tenga en cuenta que el usuario que utiliza el dispositivo debe tener asignados un perfil de cumplimiento y una licencia de Intune para que se pueda evaluar el cumplimiento del dispositivo. Si no se implementa ninguna directiva de cumplimiento en el usuario, el dispositivo se considera conforme y no se aplicarán restricciones de acceso.

Siguientes pasos

Configuración del acceso condicional en Azure Active Directory

Configuración de directivas de acceso condicional basado en la aplicación

Creación de una directiva de acceso condicional para el entorno local de Exchange