Uso del acceso condicional
Al usar Intune o Configuration Manager, puede garantizar que la organización usa las credenciales adecuadas para acceder a los datos de la compañía y compartirlos.
Acceso condicional con Intune
Intune proporciona los siguientes tipos de acceso condicional:
- Acceso condicional basado en dispositivos
- Acceso condicional para Exchange local
- Acceso condicional basado en el control de acceso a redes
- Acceso condicional basado en el riesgo del dispositivo
- Acceso condicional para equipos Windows
- Propiedad corporativa
- Bring your own device (BYOD)
- Acceso condicional basado en la aplicación
Acceso condicional a través de la administración conjunta
Con la administración conjunta, Intune evalúa todos los dispositivos de la red para determinar cuál es el nivel de confianza. Realiza esta evaluación de las dos maneras siguientes:
Intune se asegura de que un dispositivo o aplicación esté administrado y configurado con seguridad. Esta comprobación depende de cómo establezca las directivas de cumplimiento de su organización. Por ejemplo, asegúrese de que todos los dispositivos tengan habilitado el cifrado y que no se hayan liberado.
Esta evaluación es anterior a la infracción de seguridad y se basa en la configuración.
En el caso de los dispositivos administrados conjuntamente, Configuration Manager también realiza la evaluación basada en la configuración; por ejemplo, las actualizaciones necesarias o el cumplimiento de aplicaciones. Intune combina esta evaluación junto con su propia evaluación.
Intune detecta los incidentes de seguridad activos en un dispositivo. Usa la seguridad inteligente de Microsoft Defender para punto de conexión (anteriormente denominada Protección contra amenazas avanzada de Microsoft Defender o ATP de Windows Defender) y otros proveedores de defensa contra amenazas móviles. Estos asociados ejecutan los análisis de comportamiento en curso en los dispositivos. Este análisis detecta incidentes activos y, a continuación, pasa esta información a Intune para la evaluación de cumplimiento en tiempo real.
- Esta evaluación es posterior a la infracción de seguridad y se basa en incidentes.
Formas comunes de usar el acceso condicional
Para fomentar el cumplimiento del acceso condicional en la organización, hay que configurar las directivas de cumplimiento relacionadas correspondientes. El acceso condicional suele usarse para hacer cosas como permitir o bloquear el acceso a Exchange, controlar el acceso a la red o integrar con una solución Mobile Threat Defense.
Acceso condicional basado en dispositivos
Intune y Microsoft Entra ID funcionan conjuntamente para asegurarse de que solo los dispositivos administrados y compatibles pueden acceder al correo electrónico, los servicios de Office 365, las aplicaciones de software como servicio (SaaS) y las aplicaciones locales. Además, puede establecer una directiva en Microsoft Entra ID para habilitar solo equipos unidos a un dominio o dispositivos móviles inscritos en Intune para acceder a los servicios de Office 365.
Intune ofrece funcionalidades de directivas de cumplimiento de dispositivos que evalúan el estado de cumplimiento de los dispositivos. El estado de cumplimiento se informa a Microsoft Entra ID, que lo utiliza para aplicar la directiva de acceso condicional creada en Microsoft Entra ID cuando el usuario intenta acceder a los recursos de la empresa.
Acceso condicional basado en el control de acceso a redes
Intune se integra con partners como Cisco ISE, Aruba Clear Pass y Citrix NetScaler para proporcionar controles de acceso en función de la inscripción en Intune y el estado de cumplimiento del dispositivo.
A los usuarios se les puede permitir o denegar el acceso a los recursos corporativos mediante Wi-Fi o VPN. Todo depende de si el dispositivo que usan se administra mediante Intune y guarda conformidad con las directivas de cumplimiento de dispositivos de Intune.
Acceso condicional basado en el riesgo del dispositivo
Intune se ha asociado con proveedores de Mobile Threat Defense para proporcionar una solución de seguridad para la detección de malware, troyanos y otras amenazas en los dispositivos móviles.
Funcionamiento de la integración de Intune y Mobile Threat Defense
Cuando los dispositivos móviles tienen instalado el agente de Mobile Threat Defense, este devuelve mensajes de estado de cumplimiento a Intune para notificar si se encuentra una amenaza en el dispositivo móvil propiamente dicho.
La integración de Intune y Mobile Threat Defense es importante en las decisiones de acceso condicional basadas en el riesgo de dispositivos.
Acceso condicional para equipos Windows
El acceso condicional para equipos proporciona funciones similares a las disponibles para los dispositivos móviles. Veamos las formas en que se puede usar el acceso condicional al administrar equipos con Intune.
Propiedad corporativa
Unido a Microsoft Entra híbrido: Las organizaciones que están razonablemente cómodas con la forma en que ya administran sus equipos a través de directivas de grupo de AD o Configuration Manager suelen usar esta opción.
Unión a un dominio Microsoft Entra y administración de Intune: Este escenario es para las organizaciones que quieren ser primero en la nube (es decir, usar principalmente servicios en la nube, con el objetivo de reducir el uso de una infraestructura local) o solo en la nube (sin infraestructura local). La unión a Microsoft Entra funciona bien en un entorno híbrido, lo que permite el acceso a aplicaciones y recursos locales y en la nube. El dispositivo se une a Microsoft Entra ID y se inscribe en Intune, que se puede utilizar como criterio de acceso condicional al acceder a los recursos corporativos.
Bring your own device (BYOD)
- Unidos al área de trabajo y administración de Intune: aquí el usuario puede unir sus dispositivos personales para obtener acceso a los servicios y recursos corporativos. Se puede usar Workplace Join e inscribir dispositivos en MDM de Intune para recibir directivas de nivel de dispositivo, que son otra forma de evaluar los criterios de acceso condicional.
Acceso condicional basado en la aplicación
Intune y Microsoft Entra ID funcionan conjuntamente para asegurarse de que solo las aplicaciones administradas pueden acceder al correo electrónico corporativo u otros servicios de Office 365.