Directiva de acceso condicional para sitios de SharePoint y OneDrive

Artículo
01/11/2024

Algunas características de este artículo requieren Microsoft Syntex: Administración avanzada de SharePoint

Con Microsoft Entra contexto de autenticación, puede aplicar condiciones de acceso más estrictas cuando los usuarios acceden a sitios de SharePoint.

Puede usar contextos de autenticación para conectar una directiva de acceso condicional de Microsoft Entra a un sitio de SharePoint. Las directivas se pueden aplicar directamente al sitio o a través de una etiqueta de confidencialidad.

Tenga en cuenta que esta funcionalidad no se puede aplicar al sitio raíz en SharePoint (por ejemplo, https://contoso.sharepoint.com).

Requisitos

El uso del contexto de autenticación con sitios de SharePoint requiere una de las siguientes licencias:

Microsoft Syntex: Administración avanzada de SharePoint
Microsoft 365 E5/A5/G5
Cumplimiento de Microsoft 365 E5/A5
Gobierno y protección de información de Microsoft 365 E5
Office 365 E5/A5/G5

Limitaciones

Algunas aplicaciones no funcionan con contextos de autenticación. Se recomienda probar aplicaciones en un sitio con el contexto de autenticación habilitado antes de implementar ampliamente esta característica.

Las siguientes aplicaciones y escenarios no funcionan con contextos de autenticación:

Versión anterior de las aplicaciones de Office (consulte la lista de versiones admitidas)
Viva Engage
Aplicación web de Teams
La aplicación OneNote no se puede agregar al canal si el sitio de SharePoint asociado tiene un contexto de autenticación.
Se produce un error en la carga de la grabación de reuniones del canal de Teams en los sitios con un contexto de autenticación.
Se produce un error al cambiar el nombre de la carpeta de SharePoint en Teams si el sitio tiene un contexto de autenticación.
Se produce un error en la programación del seminario web de Teams si OneDrive tiene un contexto de autenticación.
Aplicaciones de terceros
La aplicación Sincronización de OneDrive no sincronizará sitios con un contexto de autenticación.
No se admite la asociación de un contexto de autenticación a la colección de sitios del catálogo de aplicaciones empresariales.
La característica "Visualizar lista de SharePoint en Power BI" no admite actualmente el contexto de autenticación.
Outlook en Windows, Mac, Android e iOS no admiten la comunicación con sitios de SharePoint protegidos por un contexto de autenticación.

Configuración de un contexto de autenticación

La configuración de un contexto de autenticación para sitios etiquetados requiere estos pasos básicos:

Agregue un contexto de autenticación en Microsoft Entra ID.
Cree una directiva de acceso condicional que se aplique a ese contexto de autenticación y tenga las condiciones y los controles de acceso que desea usar.
Realiza una de las siguientes acciones:
1. Establezca una etiqueta de confidencialidad para aplicar el contexto de autenticación a sitios etiquetados.
2. Aplicar el contexto de autenticación directamente a un sitio

En este artículo, veremos el ejemplo de exigir a los invitados que acepten los términos de uso antes de obtener acceso a un sitio de SharePoint confidencial. También puede usar cualquiera de las demás condiciones de acceso condicional y controles de acceso que pueda necesitar para su organización.

Adición de un contexto de autenticación

En primer lugar, agregue un contexto de autenticación en Microsoft Entra ID.

Para agregar un contexto de autenticación:

En Microsoft Entra acceso condicional, en Administrar, haga clic en Contexto de autenticación.
Haga clic en Nuevo contexto de autenticación.
Escriba un nombre y una descripción y active la casilla Publicar en aplicaciones .
Haga clic en Guardar.

Crear una directiva de acceso condicional

A continuación, cree una directiva de acceso condicional que se aplique a ese contexto de autenticación y que requiera que los invitados acepten los términos de uso como condición de acceso.

Para crear una directiva de acceso condicional:

En Microsoft Entra acceso condicional, haga clic en Nueva directiva.
Escriba un nombre para la directiva.
En la pestaña Usuarios y grupos , elija la opción Seleccionar usuarios y grupos y, a continuación, active la casilla Usuarios invitados o externos .
Elija Usuarios invitados de colaboración B2B en la lista desplegable.
En la pestaña Aplicaciones o acciones en la nube, en Seleccionar a qué se aplica esta directiva, elija Contexto de autenticación y active la casilla del contexto de autenticación que ha creado.
En la pestaña Conceder , active la casilla de los términos de uso que desea usar y, a continuación, haga clic en Seleccionar.
Elija si desea habilitar la directiva y, a continuación, haga clic en Crear.

Aplicar el contexto de autenticación directamente a un sitio

Puede aplicar directamente un contexto de autenticación a un sitio de SharePoint mediante el cmdlet Set-SPOSite de PowerShell.

Nota:

Esta funcionalidad requiere una licencia Microsoft 365 E5 o Microsoft Syntex: Administración avanzada de SharePoint.

En el ejemplo siguiente, aplicamos el contexto de autenticación que creamos anteriormente a un sitio denominado "research".

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Establecer una etiqueta de confidencialidad para aplicar el contexto de autenticación a sitios etiquetados

Si desea usar una etiqueta de confidencialidad para aplicar el contexto de autenticación, actualice una etiqueta de confidencialidad (o cree una nueva) para usar el contexto de autenticación.

Nota:

Las etiquetas de confidencialidad requieren Microsoft 365 E5 o Microsoft 365 E3 más la licencia de cumplimiento avanzado.

Para actualizar una etiqueta de confidencialidad

En el portal de cumplimiento Microsoft Purview, en la pestaña Protección de la información, haga clic en la etiqueta que desea actualizar y, a continuación, haga clic en Editar etiqueta.
Haga clic en Siguiente hasta que esté en la página Definir la configuración de protección para grupos y sitios .
Asegúrese de que la casilla Configuración de acceso condicional y uso compartido externo esté activada y, a continuación, haga clic en Siguiente.
En la página Definir el uso compartido externo y la configuración de acceso a dispositivos, active la casilla Usar Microsoft Entra acceso condicional para proteger sitios de SharePoint etiquetados.
Seleccione la opción Elegir un contexto de autenticación existente .
En la lista desplegable, elija el contexto de autenticación que desea usar.
Haga clic en Siguiente hasta que esté en la página Revisar la configuración y finalizar y, a continuación, haga clic en Guardar etiqueta.

Una vez actualizada la etiqueta, los invitados que accedan a un sitio de SharePoint (o a la pestaña Archivos de un equipo) con esa etiqueta deberán aceptar los términos de uso antes de obtener acceso a ese sitio.

Bloqueo de aplicaciones en segundo plano (lanzamiento en versión preliminar)

Si el contexto de autenticación se establece en un sitio, los administradores pueden optar por impedir que las aplicaciones en segundo plano accedan a ese sitio para las aplicaciones asignadas con ese contexto de autenticación en una directiva de acceso condicional. Puede configurar una directiva de acceso condicional de modo que se pueda asignar un contexto de autenticación específico a los principios de aplicación elegidos (aplicaciones que no sean de Microsoft). Tendrá que activar explícitamente esta característica mediante el siguiente cmdlet. Tenga en cuenta que debe tener al menos una directiva de acceso condicional con un principio de aplicación configurado.

Set-SPOTenant -BlockAPPAccessToSitesWithAuthentcationContext $false/$true (default false)

Consulte también

Usar etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint

Acceso condicional: aplicaciones en la nube, acciones y contexto de autenticación

Instrucciones de licencias de Microsoft 365 para la seguridad y el cumplimiento