Implementación de Control de aplicaciones de acceso condicional para aplicaciones personalizadas mediante Azure Active Directory

Nota

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Los controles de sesión de Microsoft Defender for Cloud Apps se pueden configurar para que funcionen con cualquier aplicación web. En este artículo se describe cómo incorporar e implementar aplicaciones de línea de negocio personalizadas, aplicaciones SaaS no destacadas y aplicaciones locales hospedadas a través del Application Proxy de Azure Active Directory (Azure AD) con controles de sesión. Se proporcionan pasos para crear una directiva de acceso condicional de Azure AD que enruta las sesiones de la aplicación a Defender for Cloud Apps. Para otras soluciones de IdP, consulte Implementación del control de aplicaciones de acceso condicional para aplicaciones personalizadas con idP que no son de Microsoft.

Para obtener una lista de las aplicaciones destacadas por Defender for Cloud Apps para que funcionen de forma predeterminada, consulte Protección de aplicaciones con el control de aplicaciones de acceso condicional de Defender for Cloud Apps.

Prerrequisitos

Adición de administradores a la lista de incorporación y mantenimiento de la aplicación

  1. En la barra de menús de Defender for Cloud Apps, seleccione el icono de configuración de engranaje de configuración 4 y seleccione Configuración.

  2. En Control de aplicaciones de acceso condicional, seleccione Incorporación/mantenimiento de aplicaciones.

  3. Escriba el nombre principal de usuario o el correo electrónico de los usuarios que van a incorporar la aplicación y, a continuación, seleccione Guardar.

    Captura de pantalla de la configuración para la incorporación y el mantenimiento de aplicaciones.

Comprobación de las licencias necesarias

  • Su organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

  • Las aplicaciones deben configurarse con el inicio de sesión único

  • Las aplicaciones deben usar uno de los siguientes protocolos de autenticación:

    IdP Protocolos
    Azure AD SAML 2.0 u OpenID Connect

Para implementar cualquier aplicación

Siga los pasos que se indican a continuación para configurar cualquier aplicación que se controle mediante el control de aplicaciones de acceso condicional de Defender for Cloud Apps.

Nota

Para implementar el control de aplicaciones de acceso condicional para aplicaciones de Azure AD, necesita una licencia válida para Azure Active Directory Premium P1 o superior, así como una licencia de Defender for Cloud Apps.

Configuración de Azure AD para que funcione con Defender for Cloud Apps

Nota

Al configurar una aplicación con SSO en Azure AD u otros proveedores de identidades, un campo que puede aparecer como opcional es la configuración de la dirección URL de inicio de sesión. Tenga en cuenta que este campo puede ser necesario para que el control de aplicaciones de acceso condicional funcione.

  1. En Azure AD, vaya aAcceso condicionalde seguridad>.

  2. En el panel Acceso condicional , en la barra de herramientas de la parte superior, seleccione Nueva directiva ->Crear nueva directiva.

  3. En el panel Nuevo , en el cuadro de texto Nombre , escriba el nombre de la directiva.

  4. En Asignaciones, seleccione Usuarios o identidades de carga de trabajo, asigne los usuarios que van a incorporar (inicio de sesión inicial y comprobación) la aplicación y, a continuación, seleccione Listo.

  5. En Asignaciones, seleccione Aplicaciones en la nube o acciones, asigne las aplicaciones que quiere controlar con control de aplicaciones de acceso condicional y, a continuación, seleccione Listo.

  6. En Controles de acceso, seleccione Sesión, usar control de aplicaciones de acceso condicional y elija una directiva integrada (supervisar solo o bloquear descargas) o Usar directiva personalizada para establecer una directiva avanzada en Defender for Cloud Apps y, a continuación, haga clic en Seleccionar.

    Acceso condicional de Azure AD.

  7. Opcionalmente, agregue condiciones y conceda controles según sea necesario.

  8. Establezca Habilitar directiva en Activado y, a continuación, seleccione Crear.

Las aplicaciones del catálogo de aplicaciones se rellenan automáticamente en la tabla en Aplicaciones conectadas. Compruebe que se reconoce la aplicación que quiere implementar; para ello, vaya allí.

  1. En la barra de menús de Defender for Cloud Apps, seleccione el icono de configuración de engranaje de configuración 1 y seleccione la pestaña Control de aplicaciones de acceso condicional para acceder a una tabla de aplicaciones que se pueden configurar con directivas de acceso y sesión.

    Incorporar con el control de sesión.

    Aplicaciones de control de aplicaciones de acceso condicional

  2. Seleccione el menú desplegable Aplicación: Seleccionar aplicaciones... para filtrar y buscar la aplicación que desea implementar.

    Seleccionar aplicación: seleccionar aplicaciones para buscar la aplicación

  3. Si no ve la aplicación allí, tendrá que agregarla manualmente.

Cómo agregar manualmente una aplicación no identificada

  1. En el banner, seleccione Ver nuevas aplicaciones.

    Vista de nuevas aplicaciones del Control de aplicaciones de acceso condicional

  2. En la lista de nuevas aplicaciones, para cada aplicación que vaya a incorporar, seleccione el + signo y, a continuación, seleccione Agregar.

    Nota

    Si una aplicación no aparece en el catálogo de aplicaciones de Defender for Cloud Apps, aparecerá en el cuadro de diálogo en aplicaciones no identificadas junto con la dirección URL de inicio de sesión. Al hacer clic en el signo + en estas aplicaciones, puede incorporarlas como aplicación personalizada.

    Aplicaciones de Azure AD detectadas mediante el Control de aplicaciones de acceso condicional

La asociación de los dominios correctos a una aplicación permite que Defender for Cloud Apps aplique directivas y actividades de auditoría.

Por ejemplo, si ha configurado una directiva que bloquea la descarga de archivos para un dominio asociado, se bloquearán las descargas de archivos por parte de la aplicación desde ese dominio. Sin embargo, las descargas de archivos por parte de la aplicación desde dominios no asociados a la aplicación no se bloquearán y la acción no se auditará en el registro de actividad.

Nota

Defender for Cloud Apps sigue sumando un sufijo a los dominios que no están asociados a la aplicación para garantizar una experiencia de usuario sin problemas.

  1. En la aplicación, en la barra de herramientas de administración de Defender for Cloud Apps, seleccione Dominios detectados.

    Nota

    La barra de herramientas de administración solo es visible para los usuarios con permisos para incorporar o mantener aplicaciones.

  2. En el panel Dominios detectados, anote los nombres de dominio o exporte la lista como un archivo .csv.

    Nota

    El panel muestra una lista de dominios detectados que no están asociados en la aplicación. Los nombres de dominio están completos.

  3. Vaya a Defender for Cloud Apps, en la barra de menús, seleccione el icono de configuración de engranaje de configuración 2 y seleccione Control de aplicaciones de acceso condicional.

  4. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, elija los tres puntos al final de la fila y, a continuación, en DETALLES DE LA APLICACIÓN, elija Editar.

    Sugerencia

    Para ver la lista de dominios configurados en la aplicación, seleccione Ver dominios de aplicación.

  5. En Dominios definidos por el usuario, escriba todos los dominios que quiera asociar a esta aplicación y, a continuación, seleccione Guardar.

    Nota

    Puede usar el carácter comodín * como marcador de posición para cualquier carácter. Al agregar dominios, decida si desea agregar dominios específicos (sub1.contoso.com,sub2.contoso.com) o varios dominios (*.contoso.com).

  6. Repita los pasos siguientes para instalar la entidad de certificación actual y los certificados raíz autofirmados de la entidad de certificación siguiente.

    1. Seleccione el certificado.

    2. Seleccione Abrir y, cuando se le solicite, seleccione Abrir de nuevo.

    3. Seleccione Instalar certificado.

    4. Elija Usuario actual o Equipo local.

    5. Seleccione Colocar todos los certificados en el almacén siguiente y, a continuación, seleccione Examinar.

    6. Seleccione Entidades de certificación raíz de confianza y, a continuación, seleccione Aceptar.

    7. Seleccione Finalizar.

      Nota

    Para que se reconozcan los certificados, una vez instalado el certificado, debe reiniciar el explorador y ir a la misma página.< -- Verá una marca de verificación mediante los vínculos de certificados confirmación de que están instalados.--

  7. Seleccione Continuar.

  8. Compruebe que la aplicación está disponible en la tabla.

    Incorporar con el control de sesión.

Para comprobar que la aplicación se está proxiando, primero realice un cierre de sesión completo de los exploradores asociados a la aplicación o abra un nuevo explorador con modo de incógnito.

Abra la aplicación y realice las siguientes comprobaciones:

  • Compruebe que la dirección URL contiene el .mcas sufijo
  • Visite todas las páginas de la aplicación que forman parte del proceso de trabajo de un usuario y compruebe que las páginas se representan correctamente.
  • Compruebe que el comportamiento y la funcionalidad de la aplicación no se ven afectados negativamente al realizar acciones comunes como descargar y cargar archivos.
  • Revise la lista de dominios asociados a la aplicación.

Si encuentra errores o problemas, use la barra de herramientas de administración para recopilar recursos como .har archivos y sesiones grabadas para presentar una incidencia de soporte técnico.

Una vez que esté listo para habilitar la aplicación para su uso en el entorno de producción de la organización, siga estos pasos.

  1. En Defender for Cloud Apps, seleccione el icono de configuración de engranaje 3 y, después, seleccione Control de aplicaciones de acceso condicional.
  2. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, elija los tres puntos al final de la fila y, a continuación, elija Editar aplicación.
  3. Seleccione Usar la aplicación con controles de sesión y, a continuación, seleccione Guardar.
  4. En Azure AD, en Seguridad, seleccione Acceso condicional.
  5. Actualice la directiva que creó anteriormente para incluir los usuarios, grupos y controles pertinentes que necesita.
  6. En SessionUse Conditional Access App Control (Usar> control de aplicaciones de acceso condicional), si seleccionó Usar directiva personalizada, vaya a Defender for Cloud Apps y cree una directiva de sesión correspondiente. Para obtener más información, consulte Directivas de sesión.

Pasos siguientes

Consulte también

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.