Creación de una directiva de acceso condicional basada en dispositivos
Con las directivas de acceso condicional basadas en dispositivos de Microsoft Intune, las directivas de acceso condicional de Azure Active Directory (Azure AD) pueden utilizar el estado de un dispositivo para conceder o denegar el acceso a las aplicaciones y servicios de su organización.
Puede usar el centro de administración de Microsoft Intune para configurar las directivas de acceso condicional basadas en dispositivos. Desde el centro de administración, tiene acceso a la interfaz de usuario de la directiva de acceso condicional tal como se encuentra en Azure AD. El uso de la interfaz de usuario de Azure AD proporciona acceso a todas las opciones que tendría si configurara la directiva desde el Portal de Azure. Las directivas que cree pueden especificar las aplicaciones o servicios que desea proteger, las condiciones en las que se puede acceder a las aplicaciones o servicios y los usuarios a los que se aplica la directiva.
Para crear una directiva de acceso condicional basada en el dispositivo, la cuenta debe tener uno de los siguientes permisos en Azure AD:
- Administrador global
- Administrador de seguridad
- Administrador de acceso condicional
Para aprovechar el estado de cumplimiento del dispositivo, configure las directivas de acceso condicional para Requerir que el dispositivo se marque como compatible. Esta opción se establece al configurar Conceder acceso durante el paso 6 del procedimiento siguiente.
Importante
Antes de configurar el acceso condicional, deberá configurar las directivas de cumplimiento de Intune para dispositivos a fin de evaluar los dispositivos en función de si cumplen requisitos específicos. Consulte Introducción a las directivas de cumplimiento de dispositivos de Intune.
Cree la directiva de acceso condicional
Inicie sesión en el centro de administración de Microsoft Intune.
Seleccione Directivas deacceso> condicional de seguridad>de> punto de conexiónNueva directiva.
Se abre el panel Nuevo, que es el panel de configuración de Azure AD. La directiva que está creando es una directiva de Azure AD para el acceso condicional. Para obtener más información sobre este panel y las directivas de acceso condicional, consulte Componentes de directivas de acceso condicional en el contenido de Azure AD.
En Asignaciones, configure Usuarios para seleccionar las identidades en el directorio al que se aplica la directiva. Para obtener más información, consulte Usuarios y grupos en la documentación de Azure AD.
- En la pestaña Incluir, configure el usuario y los grupos que desea incluir.
- Use la pestaña Excluir si hay usuarios, roles o grupos que quiera excluir de esta directiva.
Sugerencia
Pruebe la directiva con un grupo más pequeño de usuarios para asegurarse de que funciona según lo esperado antes de implementarla en grupos más grandes.
A continuación, configure aplicaciones o acciones en la nube, que también se encuentra en Asignaciones. En la selección desplegable para lo que se aplica esta directiva, elija Aplicaciones en la nube.
En la pestaña Incluir, use las opciones disponibles para identificar las aplicaciones y los servicios que desea proteger con esta directiva de acceso condicional.
Si elige Seleccionar aplicaciones, seleccione las aplicaciones y los servicios que desea proteger con esta directiva.
Precaución
Si elige Todas las aplicaciones en la nube, asegúrese de revisar la advertencia y, a continuación, excluya de esta directiva su cuenta u otros usuarios y grupos pertinentes que deben conservar el acceso para usar el Azure Portal o Microsoft Intune centro de administración después de que esta directiva surta efecto.
Use la pestaña Excluir si hay aplicaciones o servicios que quiera excluir de esta directiva.
Para obtener más información, consulte aplicaciones o acciones en la nube en la documentación de Azure AD.
A continuación, configure condiciones. Seleccione las señales que desea usar como condiciones para esta directiva. Entre las opciones se incluyen:
- Riesgo de usuario
- Riesgo de inicio de sesión
- Plataformas de dispositivos
- Ubicaciones
- Aplicaciones cliente
- Filtrar por dispositivos
Para obtener información sobre estas opciones, consulte Condiciones en la documentación de Azure AD.
Sugerencia
Si desea proteger tanto los clientes de autenticación moderna como los de Exchange ActiveSync, cree dos directivas de acceso condicional independientes, una para cada tipo de cliente. Aunque Exchange ActiveSync admite la autenticación moderna, la única condición que Exchange ActiveSync admite es la plataforma. No se admiten otras condiciones, incluida la autenticación multifactor. Para proteger eficazmente el acceso a Exchange Online desde Exchange ActiveSync, cree una directiva de acceso condicional que especifique la aplicación en la nube de Microsoft 365 Exchange Online y la aplicación cliente Exchange ActiveSync con la directiva Aplicar solo a las plataformas admitidas seleccionadas.
En controles de acceso, seleccione Conceder y, a continuación, uno o varios requisitos. Para obtener información sobre las opciones de Concesión, consulte Conceder en la documentación de Azure AD.
Bloquear el acceso: a los usuarios especificados en esta directiva se les denegará el acceso a las aplicaciones o servicios en las condiciones especificadas.
Conceder acceso: se concederá acceso a los usuarios especificados en esta directiva, pero puede ser necesario realizar alguna de las siguientes acciones adicionales:
- Requerir la autenticación multifactor
- Requiere el dispositivo para que se marque como compatible : esta opción es necesaria para que la directiva use el estado de cumplimiento del dispositivo.
- Requiere un dispositivo unido a Azure AD híbrido
- Requerir una aplicación cliente aprobada
- Requerir directiva de protección de aplicaciones
- Exigir cambio de contraseña
En Habilitar directiva, seleccione Activar. De forma predeterminada, la directiva se establece en solo informe.
Seleccione Crear.