Planeamiento de la implementación del acceso condicional

El planeamiento de la implementación del acceso condicional es fundamental para conseguir la estrategia de acceso para las aplicaciones y los recursos de su organización.

El acceso condicional de Azure Active Directory (Azure AD) analiza señales como el usuario, el dispositivo y la ubicación para automatizar las decisiones y aplicar las directivas de acceso de la organización para el recurso. Las directivas de acceso condicional permiten crear condiciones que administran controles de seguridad que pueden bloquear el acceso, requerir autenticación multifactor o restringir la sesión del usuario cuando sea necesario y mantenerse fuera del camino del usuario cuando no es así.

Con esta evaluación y aplicación, el acceso condicional define la base de la administración de la posición de seguridad Confianza cero de Microsoft.

Introducción al acceso condicional

Microsoft proporciona valores predeterminados de seguridad que garantizan un nivel básico de seguridad habilitado en los inquilinos que no tienen Azure AD Premium. Con el acceso condicional, puede crear directivas que proporcionen la misma protección que los valores predeterminados de seguridad, pero con granularidad. Los valores predeterminados de seguridad y acceso condicional no están diseñados para combinarse, ya que la creación de directivas de acceso condicional impedirá habilitar los valores predeterminados de seguridad.

Prerrequisitos

Comprensión de los componentes de la directiva de acceso condicional

Las directivas responden a preguntas sobre quién debe tener acceso a los recursos, a qué recursos deben tener acceso y en qué condiciones. Las directivas se pueden diseñar para conceder acceso, limitar el acceso con controles de sesión o para bloquear el acceso. Para compilar una directiva de acceso condicional, defina las instrucciones if-then: si se cumple una asignación , aplique los controles de acceso.

Hacer las preguntas adecuadas

Estas son algunas preguntas comunes sobre asignaciones y controles de acceso. Documente las respuestas a las preguntas de cada directiva antes de su creación.

Usuarios o identidades de la carga de trabajo

  • ¿Qué usuarios, grupos, roles de directorio e identidades de carga de trabajo se incluirán o excluirán de la directiva?
  • ¿Qué grupos o cuentas de acceso de emergencia deben excluirse de la directiva?

Aplicaciones o acciones en la nube

¿Se aplicará esta directiva a cualquier aplicación, acción de usuario o contexto de autenticación? Si es así,

  • ¿A qué aplicaciones se aplicará la directiva?
  • ¿Qué acciones del usuario estarán sujetas a esta directiva?
  • ¿A qué contextos de autenticación se aplicará esta directiva?

Condiciones

  • ¿Qué plataformas de dispositivo se incluirán o se excluirán de la directiva?
  • ¿Cuáles son las ubicaciones de confianza de la organización?
  • ¿Qué ubicaciones se incluirán o excluirán de la directiva?
  • ¿Qué ubicaciones se incluirán o excluirán de la directiva?
  • ¿Tiene directivas que impulsarían la exclusión de dispositivos unidos a Azure AD o dispositivos unidos a Azure AD híbridos de las directivas?
  • Si usa Identity Protection, ¿desea incorporar la protección frente a riesgos de inicio de sesión?

Conceder o bloquear

¿Desea conceder acceso a los recursos requiriendo una o varias de las siguientes condiciones?

  • Requerir MFA
  • Requerir que el dispositivo esté marcado como compatible
  • Requerir un dispositivo unido a Azure AD híbrido
  • Requerir aplicación cliente aprobada
  • Requerir la directiva de protección de aplicaciones
  • Requerir cambio de contraseña
  • Uso de términos de uso

Control de sesión

¿Desea aplicar cualquiera de los siguientes controles de acceso en las aplicaciones en la nube?

  • Usar restricciones que exige la aplicación
  • Uso del control de aplicaciones de acceso condicional
  • Aplicar la frecuencia de inicio de sesión
  • Utilizar sesiones del explorador persistentes
  • Personalización de la evaluación continua de acceso

Emisión de tokens de acceso

Los tokens de acceso conceden o deniegan el acceso en función de si el usuario que realiza una solicitud se ha autorizado y autenticado. Si el solicitante puede demostrar que es quien dice ser, puede acceder a los recursos o funcionalidades protegidos.

Diagrama de emisión de tokens de acceso

Los tokens de acceso se emiten de forma predeterminada si una condición de la directiva de acceso condicional no desencadena un control de acceso.

Esto no impide que la aplicación tenga una autorización independiente para bloquear el acceso. Por ejemplo, considere una directiva en la que:

  • Si el usuario está en el equipo financiero, fuerce MFA a acceder a su aplicación de nóminas.
  • Si un usuario que no está en el equipo financiero intenta acceder a la aplicación de nómina, se le emitirá un token de acceso.
  • Para asegurarse de que los usuarios fuera del grupo financiero no puedan acceder a la aplicación de nómina, se debe crear una directiva independiente para bloquear a todos los demás usuarios. Si todos los usuarios, excepto el equipo financiero y el grupo de cuentas de acceso de emergencia, acceden a la aplicación de nómina y, a continuación, bloquean el acceso.

Seguimiento de los procedimientos recomendados

El acceso condicional le proporciona una gran flexibilidad de configuración. Sin embargo, una gran flexibilidad también implica revisar cuidadosamente cada directiva de configuración antes de liberarla para evitar resultados no deseados.

Configurar cuentas de acceso de emergencia

Si configura mal una directiva, esto puede bloquear las organizaciones de Azure Portal.

Mitigue el impacto de un bloqueo accidental del administrador mediante la creación de dos o más cuentas de acceso de emergencia en la organización. Cree una cuenta de usuario dedicada a la administración de directivas y excluida de todas las directivas.

Aplicación de directivas de acceso condicional a cada aplicación

Asegúrese de que todas las aplicaciones tengan aplicada al menos una directiva de acceso condicional. Desde una perspectiva de seguridad, es mejor crear una directiva que abarque todas las aplicaciones en la nube y, a continuación, excluir las aplicaciones en las que no desea que se aplique la directiva. Esto hace que no sea necesario actualizar las directivas de acceso condicional cada vez que se integre una nueva aplicación.

Importante

Tenga mucho cuidado al usar el bloque y todas las aplicaciones en una sola directiva. Esto podría bloquear a los administradores de Azure Portal y las exclusiones no se pueden configurar para puntos de conexión importantes como Microsoft Graph.

Minimización del número de directivas de acceso condicional

Crear una directiva para cada aplicación no es eficaz y conlleva una administración difícil. El acceso condicional tiene un límite de 195 directivas por inquilino. Se recomienda analizar las aplicaciones y agruparlas en aplicaciones que tengan los mismos requisitos de recursos para los mismos usuarios. Por ejemplo, si todas las aplicaciones de Microsoft 365 o todas las aplicaciones de recursos humanos tienen los mismos requisitos para los mismos usuarios, cree una sola directiva e incluya todas las aplicaciones a las que se aplique.

Configurar el modo de solo informe

Puede ser difícil predecir el número y los nombres de los usuarios afectados por iniciativas de implementación comunes como, por ejemplo:

  • Bloqueo de la autenticación heredada
  • Requisito de MFA
  • Implementación de directivas de riesgo de inicio de sesión

El modo de solo informe permite a los administradores evaluar el impacto de las directivas de acceso condicional antes de habilitarlas en su entorno. En primer lugar, configure las directivas en modo de solo informe y deje que se ejecuten durante un intervalo antes de aplicarla en su entorno.

Planear la interrupción

Si se basa en un control de acceso único, como MFA o una ubicación de red, para proteger sus sistemas de TI, usted es susceptible a los errores de acceso si ese control de acceso único no está disponible o está mal configurado.

Para reducir el riesgo de bloqueo durante las interrupciones imprevistas, planee estrategias a fin de adoptarlas para su organización.

Establecer pautas de nomenclatura para sus directivas

La pauta de nomenclatura ayuda a encontrar las directivas y a comprender su propósito sin tener que abrirlas en el portal de administración de Azure. Se recomienda asignar un nombre a la directiva para mostrar:

  • Un número de secuencia
  • Las aplicaciones en la nube a las que se refiere
  • La respuesta
  • A quién se aplica
  • Cuando se aplica (si procede)

Captura de pantalla que muestra las normas de nomenclatura de las directivas.

Ejemplo: Una directiva para requerir MFA para los usuarios de marketing con acceso a la aplicación de Dynamics CRP desde redes externas podría ser:

Pauta de nomenclatura

Un nombre descriptivo le ayuda a mantener una visión general de la implementación del acceso condicional. El número de secuencia es útil si necesita hacer referencia a una directiva en una conversación. Por ejemplo, si habla con un administrador por teléfono, puede pedirle que abra la directiva CA01 para resolver una incidencia.

Estándares de nomenclatura para controles de acceso de emergencia

Además de las directivas activas, implemente directivas deshabilitadas que actúen como controles de acceso resistentes para escenarios de interrupción/emergencia secundarios. La pauta de nomenclatura para las directivas de contingencia debe incluir lo siguiente:

  • HABILITAR EN CASO DE EMERGENCIA al principio para resaltar el nombre entre las otras directivas.
  • El nombre de la interrupción a la que se debe aplicar.
  • Un número de secuencia de ordenación para ayudar al administrador a saber en qué orden se deben habilitar las directivas.

Ejemplo

El siguiente nombre indica que esta directiva es la primera de cuatro directivas que debe habilitar en caso de una interrupción de MFA:

  • EM01 - HABILITAR EN CASO DE EMERGENCIA: Interrupción de MFA [1/4]: Exchange SharePoint: Requerir la unión a Azure AD híbrido para usuarios VIP.

Bloquee los países desde los que nunca espera un inicio de sesión.

Azure Active Directory permite crear ubicaciones con nombre. Cree la lista de países permitidos y, a continuación, cree una directiva de bloque de red con estos "países permitidos" como exclusión. Esto es menos sobrecarga para los clientes que se basan en ubicaciones geográficas más pequeñas. Asegúrese de excluir las cuentas de acceso de emergencia de esta directiva.

Implementación de la directiva de acceso condicional

Cuando las nuevas directivas estén listas, implemente las directivas de acceso condicional en fases.

Creación de la directiva de acceso condicional

Consulte directivas de acceso condicional comunes para obtener información general. Una manera cómoda será usar la plantilla de acceso condicional que se incluye con las recomendaciones de Microsoft. Asegúrese de excluir las cuentas de acceso de emergencia.

Evaluación del impacto de la directiva

Antes de ver el impacto de la directiva de acceso condicional en el entorno de producción, se recomienda usar las dos herramientas siguientes para ejecutar la simulación.

Configurar el modo de solo informe

De forma predeterminada, cada directiva se crea en un modo de solo informe, por lo que se recomienda que las organizaciones prueben y supervisen el uso, para garantizar el resultado previsto, antes de activar cada directiva.

Habilitar la directiva en modo de solo informe Una vez que guarde la directiva en modo de solo informe, podrá ver el impacto en los inicios de sesión en tiempo real de los registros de inicio de sesión. En los registros de inicio de sesión, seleccione un evento y vaya a la pestaña Solo informe para ver el resultado de cada directiva de solo informe.

Puede ver el impacto agregado de las directivas de acceso condicional en el libro Conclusiones e informes. Para tener acceso al libro, necesita una suscripción de Azure Monitor y tendrá que transmitir los registros de inicio de sesión a un área de trabajo de Log Analytics.

Simulación de inicios de sesión mediante la herramienta What-If

Otra manera de validar la directiva de acceso condicional es mediante la herramienta What-If, que simula las directivas que se aplicarían a un usuario que inicia sesión en circunstancias hipotéticas. Seleccione los atributos de inicio de sesión que desea probar (como usuario, aplicación, plataforma de dispositivo y ubicación) y consulte qué directivas se aplicarían.

Nota:

Aunque una ejecución simulada ofrece una buena idea del efecto de una directiva de acceso condicional, no reemplaza a una serie de pruebas reales.

Prueba de la directiva

Asegúrese de que se prueban los criterios de exclusión de las directivas. Por ejemplo, puede excluir a un usuario o grupo de una directiva que requiera MFA. Pruebe si a los usuarios excluidos se les solicita MFA, ya que la combinación de otras directivas puede hacer que se exija para esos usuarios.

Realice cada prueba del plan de pruebas con los usuarios de prueba. El plan de pruebas es importante para tener una comparación entre los resultados previstos y los reales. En la siguiente tabla se muestran casos de prueba de ejemplo. Ajuste los escenarios y los resultados previstos en función de la configuración de sus directivas de acceso condicional.

Directiva Escenario Resultado previsto
Inicios de sesión no seguros El usuario inicia sesión en la aplicación usando un explorador no aprobado Calcula una puntuación de riesgo en función de la probabilidad de que el usuario no realice el inicio de sesión. Requiere que el usuario se corrija automáticamente mediante MFA.
Administración de dispositivos El usuario autorizado intenta iniciar sesión desde un dispositivo autorizado El acceso se le concede
Administración de dispositivos El usuario autorizado intenta iniciar sesión desde un dispositivo no autorizado El acceso se le bloquea
Cambio de contraseña en caso de riesgo del usuario El usuario autorizado intenta iniciar sesión con credenciales en riesgo (inicio de sesión de alto riesgo) Al usuario se le solicita que cambie la contraseña o se le bloquea el acceso (de conformidad con la directiva)

Implementación en producción

Después de confirmar el impacto con el modo de solo informe, un administrador puede pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Revertir las directivas

En caso de que necesite revertir las directivas recién implementadas, use una o varias de las siguientes opciones:

  • Deshabilite la directiva. Deshabilitar una directiva garantiza que la directiva no se aplique cuando un usuario intente iniciar sesión. Si quiere que se use, siempre puede volver atrás y habilitar la directiva.

imagen de la habilitación de la directiva

  • Excluya un usuario o grupo de una directiva. Si un usuario no puede acceder a la aplicación, puede elegir excluirlo de la directiva.

excluir usuarios y grupos

Nota:

Esta opción debe usarse con moderación, solo en situaciones donde el usuario sea de confianza. El usuario debe agregarse de nuevo a la directiva o grupo n cuanto sea posible.

  • Elimine la directiva. Si ya no es necesaria, elimínela.

Solución de problemas de la directiva de acceso condicional

Cuando un usuario tenga una incidencia con una directiva de acceso condicional, recopile la siguiente información para facilitar la solución de problemas.

  • Nombre principal del usuario
  • Nombre para mostrar del usuario
  • Nombre del sistema operativo
  • Marca de tiempo (aproximado es correcto)
  • Aplicación de destino
  • Tipo de aplicación cliente (explorador frente a cliente)
  • Id. de correlación (este es único para el inicio de sesión)

Si el usuario ha recibido un mensaje con un vínculo Más detalles, podrá recopilar la mayor parte de esta información para usted.

No se puede obtener el mensaje de error de la aplicación

Una vez que haya recopilado la información, consulte los siguientes recursos:

  • Problemas de inicio de sesión con acceso condicional: comprenda los resultados inesperados de inicio de sesión relacionados con el acceso condicional mediante mensajes de error y el registro de inicios de sesión de Azure AD.
  • Uso de la herramienta What-If: comprenda por qué una directiva se ha aplicado o no a un usuario en una circunstancia específica, o bien si una directiva se aplicaría en un estado conocido.

Pasos siguientes

Más información sobre la autenticación multifactor

Más información sobre Identity Protection

Administración de directivas de acceso condicional con Microsoft Graph API