Creación de una directiva de acceso condicional
Como se explica en el artículo ¿Qué es el acceso condicional?, una directiva de acceso condicional es una instrucción if-then, de asignaciones y controles de acceso. Una directiva de acceso condicional reúne las señales para tomar decisiones y aplicar las directivas de la organización.
¿Cómo una organización crea estas directivas? ¿Qué se necesita? ¿Cómo se aplican?
Se pueden aplicar varias directivas de acceso condicional a un usuario individual en cualquier momento. En este caso, se tienen que satisfacer todas las directivas que se aplican. Por ejemplo, si una directiva exige la autenticación multifactor (MFA) y otra requiere un dispositivo compatible, tendrá que completar la MFA y usar un dispositivo compatible. A todas las asignaciones se les asigna la operación lógica AND. Si tiene más de una asignación configurada, todas las asignaciones deben cumplirse para desencadenar una directiva.
Si se selecciona una directiva en la que se selecciona "Requerir uno de los controles seleccionados", se solicita en el orden definido; en cuanto se cumplen los requisitos de la directiva, se concede acceso.
Todas las directivas se aplican en dos fases:
- Fase 1: Recopilación de detalles de la sesión
- Recopile los detalles de la sesión, como la ubicación de red y la identidad del dispositivo, que serán necesarios para la evaluación de la directiva.
- La fase 1 de la evaluación de la directiva se produce para todas las directivas habilitadas, así como para las directivas en modo de solo informe.
- Fase 2: Cumplimiento
- Use los detalles de la sesión recopilados en la fase 1 para identificar los requisitos que no se han cumplido.
- Si hay una directiva que está configurada para bloquear el acceso, con el control de concesión de bloqueo, la aplicación se detendrá aquí y se bloqueará al usuario.
- Se le pedirá al usuario que complete más requisitos de control de concesión que no se cumplieron durante la fase 1 en el orden siguiente, hasta que se satisfaga la directiva:
- Una vez satisfechos todos los controles de concesión, aplique controles de sesión (exigidos por la aplicación, Microsoft Defender for Cloud Apps y duración del token).
- La fase 2 de la evaluación de directivas se realiza para todas las directivas habilitadas.
Assignments
La parte de las asignaciones controla el quién, el qué y el dónde de una directiva de acceso condicional.
Usuarios y grupos
Usuarios y grupos asigna a quién incluirá y a quién excluirá la directiva. Esta asignación puede incluir a todos los usuarios, grupos específicos de usuarios, roles de directorio o usuarios invitados externos.
Aplicaciones o acciones en la nube
Las aplicaciones o acciones en la nube puede incluir o excluir las aplicaciones en la nube, las acciones del usuario o los contextos de autenticación que estarán sujetos a la directiva.
Condiciones
Una directiva puede contener varias condiciones.
Riesgo de inicio de sesión
En el caso de las organizaciones con Microsoft Entra ID Protection, las detecciones de riesgo generadas pueden influir en las directivas de acceso condicional.
Plataformas de dispositivo
Es posible que las organizaciones con varias plataformas de sistemas operativos de dispositivo quieran aplicar directivas específicas en las distintas plataformas.
La información que se usa para calcular la plataforma de dispositivo procede de orígenes no comprobados, como cadenas de agente de usuario que se pueden modificar.
Ubicaciones
Las ubicaciones conectan las direcciones IP, las zonas geográficas y la red compatible con el acceso seguro global a las decisiones de directiva de acceso condicional. Los administradores pueden elegir definir las ubicaciones y marcar algunas como de confianza, como aquellas para las ubicaciones de red principales de su organización.
Aplicaciones cliente
El software que emplea el usuario para acceder a la aplicación en la nube. Por ejemplo, "Explorador" y "Aplicaciones móviles y clientes de escritorio". De manera predeterminada, todas las directivas de acceso condicional recién creadas se aplicarán a todos los tipos de aplicaciones cliente, incluso si la condición de las aplicaciones cliente no está configurada.
El comportamiento de la condición de las aplicaciones cliente se actualizó en agosto de 2020. Si ya tiene directivas de acceso condicional, estas permanecerán sin cambios. Sin embargo, si selecciona una directiva existente, se habrá quitado el botón de alternancia de configuración, y estarán seleccionadas las aplicaciones cliente a las que se aplica la directiva.
Filtro para dispositivos
Este control permite dirigirse a dispositivos específicos en función de sus atributos en una directiva.
Controles de acceso
La parte de controles de acceso de la directiva de acceso condicional controla cómo se aplica una directiva.
Conceder
Concesión proporciona a los administradores un medio de aplicación de directivas en el que pueden bloquear o conceder acceso.
Bloquear acceso
El bloqueo de acceso hace justamente eso, bloqueará el acceso bajo las asignaciones especificadas. El control de bloqueo es eficaz y se debe manejar con el conocimiento adecuado.
Conceder acceso
Conceder acceso puede desencadenar la aplicación de uno o más controles.
- Requiere autenticación multifactor
- Requerir que el dispositivo esté marcado como compatible (Intune)
- Requerir un dispositivo híbrido unido a Microsoft Entra
- Requerir aplicación cliente aprobada
- Requerir la directiva de protección de aplicaciones
- Requerir cambio de contraseña
- Requerir condiciones de uso
Los administradores pueden elegir si requerir uno de los controles anteriores o todos los controles seleccionados mediante las opciones siguientes. El valor predeterminado para varios controles es requerirlos todos.
- Requerir todos los controles seleccionados (control y control)
- Requerir uno de los controles seleccionados (control o control)
Sesión
Controles de sesión puede limitar la experiencia.
- Usar restricciones que exige la aplicación
- Actualmente solo funciona con Exchange Online y SharePoint Online.
- Pasa información del dispositivo para permitir el control de la experiencia que concede acceso completo o limitado.
- Utilizar el Control de aplicaciones de acceso condicional
- Usa señales de Microsoft Defender for Cloud Apps para hacer cosas como:
- Bloquear las acciones de descargar, cortar, copiar e imprimir documentos confidenciales.
- Supervisar el comportamiento de sesión de riesgo.
- Requerir el etiquetado de archivos confidenciales.
- Usa señales de Microsoft Defender for Cloud Apps para hacer cosas como:
- Frecuencia de inicio de sesión
- Capacidad para cambiar la frecuencia de inicio de sesión predeterminada para la autenticación moderna.
- Sesión del explorador persistente
- Permite a los usuarios permanecer conectados después de cerrar y volver a abrir la ventana del explorador.
- Personalización de la evaluación continua de acceso
- Deshabilitar valores predeterminados de resistencia
Directivas simples
Una directiva de acceso condicional debe contener, como mínimo, lo siguiente para que se aplique:
- El nombre de la directiva.
- Assignments
- Los usuarios o grupos a los que se les va a aplicar la directiva.
- Las aplicaciones o acciones en la nube a las que se les va a aplicar la directiva.
- Controles de acceso
- Controles para conceder o bloquear el acceso
El artículo Directivas de acceso condicional habituales incluye algunas directivas que pensamos que serían útiles para la mayoría de las organizaciones.
Pasos siguientes
Creación de una directiva de acceso condicional
Planeamiento de una implementación de autenticación multifactor de Microsoft Entra