Acceso condicional: recursos de destino

Los recursos de destino (anteriormente aplicaciones, acciones y el contexto de autenticación en la nube) son señales clave en una directiva de acceso condicional. Las directivas de acceso condicional permiten que los administradores asignen controles a determinadas aplicaciones, acciones o contextos de autenticación.

• Los administradores pueden elegir de la lista de aplicaciones o servicios que incluyen aplicaciones incorporadas de Microsoft y cualquier Aplicaciones integradas de Microsoft Entra, incluidas las aplicaciones de galería, de no galería y las publicadas a través deApplication Proxy.
• Los administradores pueden optar por definir una directiva no basada en una aplicación en la nube, sino en una acción del usuario como Registrar la información de seguridad o Registrar o unir dispositivos, lo que permite que el acceso condicional aplique controles en torno a esas acciones.
• Los administradores pueden dirigir los perfiles de reenvío de tráfico desde el acceso seguro global para mejorar la funcionalidad.
• Los administradores pueden usar el contexto de autenticación para proporcionar una capa adicional de seguridad en las aplicaciones.

Aplicaciones de nube de Microsoft

En la lista de aplicaciones que se pueden seleccionar están muchas de las aplicaciones en la nube de Microsoft existentes.

Los administradores pueden asignar una directiva de acceso condicional a las siguientes aplicaciones en la nube de Microsoft. Algunas aplicaciones, como Office 365 y Windows Azure Service Management API, incluyen varios servicios o aplicaciones secundarios relacionados. Agregamos continuamente más aplicaciones, por lo que la lista siguiente no es exhaustiva y está sujeta a cambios.

• Office 365
• Azure Analysis Services
• Azure DevOps
• Azure Data Explorer
• Azure Event Hubs
• Azure Service Bus
• Azure SQL Database y Azure Synapse Analytics
• Common Data Service
• Analytics de Microsoft Application Insights
• Microsoft Azure Information Protection
• Windows Azure Service Management API
• Microsoft Defender para aplicaciones en la nube
• Portal de Control de acceso de las herramientas de Microsoft Commerce
• Servicio de autenticación de las herramientas de Microsoft Commerce
• Microsoft Forms
• Microsoft Intune
• Inscripción en Microsoft Intune
• Microsoft Planner
• Microsoft Power Apps
• Microsoft Power Automate
• Microsoft Search en Bing
• Microsoft StaffHub
• Microsoft Stream
• Equipos de Microsoft
• Exchange Online
• SharePoint
• Yammer
• Office Delve
• Office Sway
• Outlook Groups
• Servicio Power BI
• Project Online
• Skype Empresarial Online
• Red privada virtual (VPN)
• ATP de Windows Defender

Importante

Las aplicaciones que están disponibles para el acceso condicional han pasado por un proceso de incorporación y validación. Esta lista no incluye todas las aplicaciones de Microsoft, ya que muchas son servicios de back-end y no están diseñadas para que se les aplique la directiva directamente. Si está buscando una aplicación que falta, puede ponerse en contacto con el equipo de la aplicación específica o hacer una solicitud en UserVoice.

Office 365

Microsoft 365 proporciona servicios de colaboración y productividad basados en la nube, como Exchange, SharePoint y Microsoft Teams. Los servicios en la nube de Microsoft 365 están profundamente integrados para garantizar experiencias de colaboración fluidas. Esta integración puede producir confusión a la hora de crear directivas, ya que algunas aplicaciones, como Microsoft Teams, dependen de otras, como SharePoint o Exchange.

El conjunto de Office 365 hace posible dirigirse a todos estos servicios a la vez. Se recomienda usar al nuevo conjunto de Office 365 en lugar de las aplicaciones en la nube individuales para evitar problemas con las dependencias de servicio.

Dirigirse a este grupo de aplicaciones ayuda a evitar problemas que pueden surgir debido a directivas y dependencias incoherentes. Por ejemplo: la aplicación Exchange Online está asociada a datos de Exchange Online tradicionales, como el correo electrónico, el calendario y la información de contacto. Los metadatos relacionados se pueden exponer mediante distintos recursos, como la búsqueda. Para asegurarse de que todos los metadatos están protegidos según lo previsto, los administradores deben asignar directivas a la aplicación Office 365.

Los administradores pueden excluir todo el conjunto de Office 365 o las aplicaciones en la nube de Office 365 específicas de la directiva de acceso condicional.

Puede encontrar una lista completa de todos los servicios incluidos en el artículo Aplicaciones incluidas en el conjunto de aplicaciones de Office 365 de acceso condicional.

Windows Azure Service Management API

Cuando se dirige a la aplicación Windows Azure Service Management API, la directiva se aplica para los tokens emitidos a un conjunto de servicios estrechamente enlazados al portal. Esta agrupación incluye los identificadores de aplicación de:

• Azure Resource Manager
• Azure Portal, que también abarca el centro de administración de Microsoft Entra
• Azure Data Lake
• API de Application Insights
• API de Log Analytics

Dado que la directiva se aplica al Portal de administración de Azure y a la API, los servicios o los clientes con una dependencia del servicio de la API de Azure, pueden verse afectados indirectamente. Por ejemplo:

• API del modelo de implementación clásica
• Azure PowerShell
• Azure CLI
• Azure DevOps
• Portal de Azure Data Factory
• Azure Event Hubs
• Azure Service Bus
• Azure SQL Database
• Instancia administrada de SQL
• Azure Synapse
• Portal de administrador de suscripciones de Visual Studio
• Microsoft IoT Central

Nota:

La aplicación Windows Azure Service Management API se aplica a Azure PowerShell, que accede a la API de Azure Resource Manager. No se aplica a Microsoft Graph PowerShell, que llama a Microsoft Graph API.

Para más información sobre cómo configurar una directiva de ejemplo para Windows Azure Service Management API, consulte Acceso condicional: requerir MFA para la administración de Azure.

Sugerencia

Para Azure Government, debe tener como destino la aplicación de la API de administración de la nube de Azure Government.

Portales de administración de Microsoft

Cuando una directiva de acceso condicional tiene como objetivo la aplicación en la nube Microsoft Admin Portals, la directiva se aplica a los tokens emitidos para los id. de aplicación de los siguientes portales administrativos de Microsoft:

• Azure portal
• Centro de administración de Exchange
• Centro de administración de Microsoft 365
• Portal de Microsoft 365 Defender
• Centro de administración de Microsoft Entra
• centro de administración de Microsoft Intune
• Portal de cumplimiento de Microsoft Purview
• Centro de administración de Microsoft Teams

Continuamente añadimos más portales administrativos a la lista.

Nota:

La aplicación Microsoft Admin Portals solo se aplica a inicios de sesión interactivos en los portales de administración enumerados. Los inicios de sesión en los recursos o servicios subyacentes, como las API de Azure Resource Manager o Microsoft Graph, no están cubiertos por esta aplicación. Estos recursos están protegidos por la app Windows Azure Service Management API. Esto permite a los clientes moverse a lo largo del recorrido de adopción de MFA para los administradores sin afectar a la automatización que se basa en las API y PowerShell. Cuando esté listo, Microsoft recomienda usar una directiva que requiera que los administradores realicen MFA siempre para una protección completa.

Otras aplicaciones

Los administradores pueden agregar cualquier aplicación registrada Microsoft Entra a las directivas de acceso condicional. Estas aplicaciones pueden incluir:

• Aplicaciones publicadas a través deProxy de aplicación Microsoft Entra
• Aplicaciones agregadas desde la galería
• Aplicaciones personalizadas que no están en la galería
• Aplicaciones heredadas publicadas a través de redes y controladores de entrega de aplicaciones
• Aplicaciones que usan el inicio de sesión único basado en contraseña

Nota:

Puesto que la directiva de acceso condicional establece los requisitos para obtener acceso a un servicio, no puede aplicarla a una aplicación cliente (pública o nativa). Es decir, la directiva no está establecida directamente en una aplicación cliente (pública o nativa), pero se aplica cuando un cliente llama a un servicio. Por ejemplo, una directiva establecida en el servicio SharePoint se aplica a todos los clientes que llamen a SharePoint. Así mismo, una directiva establecida en Exchange se aplica al intento de acceder al correo electrónico mediante el cliente de Outlook. Este es el motivo por el que las aplicaciones cliente (públicas o nativas) no están disponibles para su selección en el selector Aplicaciones en la nube y la opción Acceso condicional no está disponible en la configuración de la aplicación para la aplicación cliente (pública o nativa) registrada en el inquilino.

Algunas aplicaciones no aparecen en el selector. La única manera de incluir estas aplicaciones en una directiva de acceso condicional es incluir Todas las aplicaciones en la nube.

Todas las aplicaciones en la nube

La aplicación de una directiva de acceso condicional a todas las aplicaciones en la nube da como resultado que se aplique la directiva para todos los tokens emitidos a sitios web y servicios. Esta opción incluye aplicaciones que no pueden destinarse individualmente en la directiva de acceso condicional, como Microsoft Entra ID.

En algunos casos, una directiva Todas las aplicaciones en la nube podría bloquear accidentalmente el acceso de los usuarios. Estos casos se excluyen de la aplicación de directivas e incluyen:

• Servicios necesarios para lograr la posición de seguridad deseada. Por ejemplo, las llamadas de inscripción de dispositivos se excluyen de la directiva de dispositivo compatible destinada a Todas las aplicaciones en la nube.

• Llamadas a Graph de Azure AD y Microsoft Graph para acceder al perfil de usuario, la pertenencia a grupos y la información de relación que suelen usar las aplicaciones excluidas de la directiva. Los ámbitos excluidos se enumeran de la siguiente manera. El consentimiento sigue siendo necesario para que las aplicaciones usen estos permisos.

  • Para clientes nativos:
    • Azure AD Graph: email, offline_access, openid, profile, User.Read
    • Microsoft Graph: email, offline_access, openid, profile, User.Read, People.Read
  • Para clientes confidenciales o autenticados:
    • Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All, and User.ReadBasic.All
    • Microsoft Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden

Acciones del usuario

Las acciones del usuario son tareas que realiza un usuario. Actualmente, el Acceso condicional admite dos acciones del usuario:

• Registro de la información de seguridad: esta acción del usuario permite que la directiva de Acceso condicional se aplique cuando los usuarios que están habilitados para el registro combinado intentan registrar su información de seguridad. Para más información, consulte el artículo Registro de información de seguridad combinado.

Nota:

Al aplicar una directiva dirigida a acciones de usuario para registrar información de seguridad, si la cuenta de usuario es un invitado de la cuenta personal de Microsoft (MSA), mediante el control "Requerir autenticación multifactor", requerirá que el usuario de MSA registre la información de seguridad en la organización. Si el usuario invitado es de otro proveedor como Google, se bloqueará el acceso.

• Registrar o unir dispositivos: Esta acción del usuario permite a los administradores aplicar la directiva de acceso condicional cuando los usuarios registran o unen dispositivos a Microsoft Entra ID. Proporciona granularidad en la configuración de la autenticación multifactor para registrar o unir dispositivos en lugar de la directiva para todo el inquilino que existe actualmente. Existen tres consideraciones principales con esta acción de usuario:
  • Require multifactor authentication es el único control de acceso disponible con esta acción del usuario y todos los demás están deshabilitados. Esta restricción evita conflictos con controles de acceso que dependen del registro de dispositivos de Microsoft Entra o que no se pueden aplicar al registro de dispositivos de Microsoft Entra.
  • Las condiciones Client apps, Filters for devices y Device state no están disponibles con esta acción de usuario, ya que dependen del registro de dispositivos de Microsoft Entra para aplicar las directivas de acceso condicional.
  • Cuando se habilita una directiva de Acceso condicional con esta acción del usuario, debe establecerIdentidad >Dispositivos>Información general>Configuración de dispositivos - Devices to be Microsoft Entra joined or Microsoft Entra registered require multifactor authentication a No. De lo contrario, no se aplica correctamente la directiva de acceso condicional con esta acción de usuario. Puede encontrar más información sobre esta configuración de dispositivo en Configuración de las opciones de dispositivo.

Perfiles de reenvío de tráfico

Los perfiles de reenvío de tráfico en acceso seguro global permiten a los administradores definir y controlar cómo se enruta el tráfico a través de Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra. Los perfiles de reenvío de tráfico se pueden asignar a dispositivos y redes remotas. Para ver un ejemplo de cómo aplicar una directiva de acceso condicional a estos perfiles de tráfico, consulte el artículo Cómo aplicar las directivas de acceso condicional al perfil de tráfico de Microsoft 365.

Para saber más sobre estos perfiles, consulte el artículo Perfiles de reenvío de tráfico de acceso seguro global.

Contexto de autenticación

El contexto de autenticación se puede usar para proteger aún más los datos y acciones de las aplicaciones. Estas aplicaciones pueden ser sus propias aplicaciones personalizadas, aplicaciones de línea de negocio (LOB) personalizadas, aplicaciones como SharePoint o aplicaciones protegidas por Microsoft Defender para aplicaciones en la nube.

Por ejemplo, una organización puede conservar archivos en sitios de SharePoint como, por ejemplo, el menú de comidas o la receta secreta de su salsa barbacoa. Todos los usuarios pueden acceder al sitio del menú de comidas, pero es posible que para acceder al sitio de la receta secreta de la salsa barbacoa tengan que utilizar un dispositivo administrado y aceptar condiciones de uso específicas.

El contexto de autenticación funciona con usuarios o identidades de carga de trabajo, pero no en la misma directiva de acceso condicional.

Configuración de contextos de autenticación

Los contextos de autenticación se administran en Protección del>Acceso condicional> Contexto de autenticación.

Para crear nuevas definiciones de contextos de autenticación, seleccione Nuevo contexto de autenticación. Las organizaciones están limitadas a un total de 99 definiciones de contexto de autenticación c1-c99. Configure los siguientes atributos:

• Nombre para mostrar es el nombre que se utiliza para identificar el contexto de autenticación en Microsoft Entra ID y a través de las aplicaciones que consumen contextos de autenticación. Se recomiendan nombres que se puedan usar en varios recursos, como dispositivos de confianza, para reducir el número de contextos de autenticación necesarios. Tener un conjunto reducido limita el número de redireccionamientos y proporciona una mejor experiencia para el usuario final.
• La Descripción proporciona más información sobre las directivas que usan los administradores y las que aplican contextos de autenticación a los recursos.
• Cuando está activada la casilla Publicar en aplicaciones, anuncia el contexto de autenticación a las aplicaciones y hace que estén disponibles para asignarlas. Si no está activada, el contexto de autenticación no está disponible para los recursos de nivel inferior.
• Identificador es de solo lectura y se usa en tokens y aplicaciones para definiciones de contexto de autenticación de solicitudes específicas. Se muestra aquí para casos de uso de solución de problemas y desarrollo.

Adición a la directiva de acceso condicional

Los administradores pueden seleccionar contextos de autenticación publicados en sus directivas de acceso condicional en Asignaciones>Aplicaciones en la nube o acciones y seleccionando Contexto de autenticación desde el menú Seleccionar a qué se aplica esta directiva.

Eliminación de un contexto de autenticación

Al eliminar un contexto de autenticación, asegúrese de que no hay ninguna aplicación que siga usándolo. De lo contrario, el acceso a los datos de la aplicación ya no está protegido. Para confirmar este requisito previo, compruebe en los registros de información de inicio de sesión si hay casos en los que se aplican las directivas de acceso condicional del contexto de autenticación.

Para eliminar un contexto de autenticación, no debe tener asignadas directivas de acceso condicional y no debe publicarse en aplicaciones. Este requisito ayuda a evitar la eliminación accidental de un contexto de autenticación que todavía está en uso.

Etiquetado de recursos con contextos de autenticación

Para más información sobre el uso del contexto de autenticación en las aplicaciones, consulte los artículos siguientes.

• Uso de etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint
• Microsoft Defender para aplicaciones en la nube
• Aplicaciones personalizadas

Pasos siguientes

• Acceso condicional: Condiciones
• Directivas de acceso condicional habituales
• ¿Cuáles son las dependencias de servicio del acceso condicional de Azure Active Directory?