Habilitación de la verificación de red compatible con acceso condicional

Las organizaciones que utilizan el acceso condicional junto con el Acceso global seguro pueden evitar el acceso malicioso a aplicaciones de Microsoft, aplicaciones SaaS de terceros y aplicaciones privadas de línea de negocio (LoB) utilizando múltiples condiciones para proporcionar una defensa en profundidad. Estas condiciones pueden incluir el cumplimiento del dispositivo, la ubicación y más para brindar protección contra el robo de identidad o token del usuario. El acceso seguro global presenta el concepto de una red compatible dentro del acceso condicional de Id. de Microsoft Entra. Esta verificación de red compatible garantiza que los usuarios se conecten desde un modelo de conectividad de red verificado para su inquilino específico y cumplan con las políticas de seguridad impuestas por los administradores.

El cliente de Acceso global seguro instalado en dispositivos o usuarios detrás de redes remotas configuradas permite a los administradores proteger los recursos detrás de una red compatible con controles avanzados de acceso condicional. Esta característica de red compatible facilita a los administradores la administración de directivas de acceso, sin tener que mantener una lista de direcciones IP de salida. Esto elimina la necesidad de canalizar el tráfico a través de la VPN de la organización.

Cumplimiento de la comprobación de red compatible

El cumplimiento de la red compatible reduce el riesgo de ataques de robo y reproducción de tokens. El cumplimiento de la red compatible se produce en el plano de autenticación (generalmente disponible) y en el plano de datos (versión preliminar). El cumplimiento del plano de autenticación lo realiza Microsoft Entra ID en el momento de la autenticación del usuario. Si un adversario ha robado un token de sesión e intenta reproducirlo desde un dispositivo que no está conectado a la red compatible de la organización (por ejemplo, solicitar un token de acceso con un token de actualización robado), Entra ID denegará inmediatamente la solicitud y se bloqueará el acceso adicional. El cumplimiento del plano de datos funciona con servicios que admiten la Evaluación continua de acceso (CAE): actualmente, solo SharePoint Online. Con las aplicaciones que admiten CAE, la aplicación rechazará en tiempo casi real los tokens de acceso robados que se reproducen fuera de la red compatible del inquilino. Sin CAE, un token de acceso robado durará hasta su vigencia completa (el valor predeterminado es de 60 a 90 minutos).

Esta verificación de red compatible es específica de cada inquilino.

• Al utilizar esta verificación, puedes asegurarte de que otras organizaciones que utilizan los servicios Acceso global seguro de Microsoft no puedan acceder a tus recursos.
  • Por ejemplo: Contoso puede proteger sus servicios como Exchange Online y SharePoint Online detrás de su verificación de red compatible para garantizar que solo los usuarios de Contoso puedan acceder a estos recursos.
  • Si otra organización como Fabrikam estuviera usando una verificación de red compatible, no pasaría la verificación de red compatible de Contoso.

La red compatible es diferente de IPv4, IPv6 o ubicaciones geográficas que puede configurar en Microsoft Entra. No es necesario que los administradores revisen y mantengan intervalos o direcciones IP de red compatibles, reforzar la posición de seguridad y minimizar la sobrecarga administrativa en curso.

Requisitos previos

• Los administradores que interactúen con las características de Acceso global seguro deben tener asignados uno o varios de los siguientes roles en función de las tareas que realicen.
  • El rol Administrador de Acceso global seguro para administrar las características de Acceso global seguro.
  • El Administrador de acceso condicional para crear e interactuar con las directivas de acceso condicional y las ubicaciones con nombre.
• El producto requiere licencias. Para obtener más información, consulta la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puedes comprar una licencia u obtener licencias de prueba.
• Para usar el perfil de reenvío de tráfico de Microsoft, se recomienda una licencia de Microsoft 365 E3.

Restricciones conocidas

• Se admite la aplicación del plano de datos de comprobación de red compatible (versión preliminar) con evaluación continua de acceso para SharePoint Online y Exchange Online.
• Al habilitar la señalización de Acceso condicional de Acceso global seguro, se habilita la señalización para el plano de autenticación (Microsoft Entra ID) y la señalización del plano de datos (versión preliminar). Actualmente no es posible habilitar esta configuración por separado.
• Actualmente, no se admite la comprobación de red compatible con las aplicaciones de acceso privado.

Habilitar la señalización de acceso seguro global para acceso condicional

Para habilitar la configuración requerida para permitir la verificación de red compatible, un administrador debe seguir los siguientes pasos.

1. Iniciar sesión en el Centro de administración de Microsoft Entra como Administrador de Acceso global seguro.
2. Ir a Acceso global seguro>Configuración global>Administración de sesiones>Acceso adaptable.
3. Seleccionar el botón de alternancia habilitar la señalización de CA para Entra ID (que cubre todas las aplicaciones en la nube). Esto habilitará automáticamente la señalización CAE para Office 365 (versión preliminar).
4. Ir a Protección> Acceso condicional> Ubicaciones designadas.
   1. Confirmar que se tiene una ubicación llamada Todas las ubicaciones de red compatibles con el tipo de ubicación Acceso a la red. Opcionalmente, las organizaciones pueden marcar esta ubicación como de confianza.

Precaución

Si tu organización tiene directivas activas de acceso condicional basadas en la verificación de red compatible y desactivas la señalización de acceso seguro global en el acceso condicional, puedes bloquear involuntariamente a los usuarios finales específicos para que no puedan acceder a los recursos. Si debes deshabilitar esta característica, elimina primero cualquier directiva de acceso condicional correspondiente.

Protección de los recursos detrás de la red compatible

La directiva de acceso condicional de red compatible se puede usar para proteger las aplicaciones de Microsoft y de terceros. Una política típica tendrá una concesión "Bloquear" para todas las ubicaciones de red excepto Red Conforme. En el ejemplo siguiente se muestran los pasos para configurar este tipo de directiva:

1. Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Ve a Protección> Acceso condicional.
3. Selecciona Crear nueva directiva.
4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
5. En Asignaciones, selecciona Identidades de carga de trabajo o usarios.
   1. En Incluir, selecciona Todos los usuarios.
   2. En Excluir, selecciona Usuarios y grupos y, luego, elige las cuentas de acceso de emergencia de la organización.
6. En Recursos de destino>Incluir, y selecciona Todas las aplicaciones en la nube.
   1. Si tu organización está inscribiendo dispositivos en Microsoft Intune, se recomienda excluir las aplicaciones Inscripción de Microsoft Intune y Microsoft Intune de la directiva de acceso condicional para evitar una dependencia circular.
7. En Red:
   1. Establece Configurar en Sí.
   2. En Incluir, selecciona Cualquier ubicación.
   3. En Excluir, selecciona la ubicación Todas las ubicaciones de red compatibles.
8. En Controles de acceso:
   1. Concesión, selecciona Bloquear accesoy, luego, Seleccionar.
9. Confirma la configuración y establece Habilitar directiva en Activado.
10. Selecciona el botón Crear para crear la habilitación de la directiva.

Nota:

Puedes usar perfiles de tráfico de acceso global seguro junto con una directiva de acceso condicional que requiera una red compatible para Todas las aplicaciones en la nube. No se requiere ninguna exclusión al configurar una directiva mediante la ubicación Todas las ubicaciones de red compatibles y Todas las aplicaciones en la nube.

Los perfiles de tráfico de Acceso global seguro se excluyen automáticamente de la aplicación del Acceso condicional cuando se requiere una red compatible. Esta exclusión permite al cliente de Acceso global seguro acceder a los recursos necesarios para iniciar y autenticar al usuario.

Los eventos de inicio de sesión para la autenticación de perfiles de tráfico de Acceso global seguro excluidos aparecen en los registros de inicio de sesión de Id. de Microsoft Entra como "Perfil de tráfico de acceso a red ZTNA".

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia para evitarel bloqueo de cuentas en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional con ámbito a los usuarios. Usa el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si tu organización usa estas cuentas en scripts o código, piensa en la posibilidad de reemplazarlas por identidades administradas. Como solución temporal, puedes excluir estas cuentas específicas de la directiva de línea de base.

Probar la directiva de red compatible

1. En un dispositivo de usuario final con el cliente de Acceso global seguro instalado y en ejecución, ve a https://outlook.office.com/mail/ o https://yourcompanyname.sharepoint.com/, tenga acceso a los recursos.
2. Para pausar el cliente de Acceso global seguro, haz clic con el botón derecho en la aplicación en la bandeja de Windows y selecciona Pausar.
3. Ve a https://outlook.office.com/mail/ o https://yourcompanyname.sharepoint.com/, no puedes acceder a los recursos y aparece un mensaje de error que dice No puedes acceder a esto en este momento.

Solución de problemas

Comprueba que la nueva ubicación con nombre se creó automáticamente mediante Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Pasos siguientes

Restricciones de inquilino universal