Crear una nueva directiva de acceso condicional

Como se explica en el artículo ¿Qué es el acceso condicional?, una directiva de acceso condicional es una instrucción if-then de asignaciones y controles de acceso. Una directiva de acceso condicional combina señales para tomar decisiones y aplicar directivas organizativas.

¿Cómo crea una organización estas directivas? ¿Qué es necesario? ¿Cómo se aplican?

Varias directivas de acceso condicional se pueden aplicar a un usuario individual en cualquier momento. En este caso, se deben cumplir todas las directivas aplicables. Por ejemplo, si una directiva requiere autenticación multifactor y otra requiere un dispositivo compatible, debe completar MFA y usar un dispositivo compatible. Todas las asignaciones se combinan lógicamente mediante AND. Si tiene más de una asignación configurada, se deben satisfacer todas las asignaciones para desencadenar una directiva.

Si se selecciona una directiva con "Requerir uno de los controles seleccionados", aparecerán mensajes en el orden definido. Una vez que se cumplen los requisitos de directiva, se concede acceso.

Todas las directivas se aplican en dos fases:

• Fase 1: Recopilación de detalles de la sesión
  • Recopile los detalles de la sesión, como la ubicación de red y la identidad del dispositivo necesarias para la evaluación de directivas.
  • La fase 1 de la evaluación de directivas ocurre para las directivas habilitadas y las directivas en modo de solo informe.
• Fase 2: Cumplimiento
  • Use los detalles de la sesión recopilados en la fase 1 para identificar los requisitos que no se cumplen.
  • Si hay una directiva configurada con el control de concesión bloqueo, la aplicación de la política se detiene aquí y el usuario se bloquea.
  • Se pide al usuario que complete más requisitos de control de concesión que no se hayan cumplido durante la fase 1 en el orden siguiente, hasta que se cumpla la directiva:
    1. Autenticación multifactor
    2. Dispositivo que se va a marcar como compatible
    3. Dispositivo híbrido unido a Microsoft Entra
    4. Aplicación cliente aprobada
    5. Directiva de protección de aplicaciones
    6. Cambio de contraseña
    7. Condiciones de uso
    8. Controles personalizados
  • Una vez que se cumplen todos los controles de concesión, se aplican los controles de sesión (Aplicación aplicada, Microsoft Defender para aplicaciones en la nube y duración del token).
  • La fase 2 de la evaluación de directivas se produce para todas las directivas habilitadas.

Asignaciones

La sección asignaciones define quién, qué y dónde para la directiva de acceso condicional.

Usuarios y grupos

Los usuarios y grupos asignan quién incluye o excluye la directiva cuando se aplica. Esta asignación puede incluir todos los usuarios, grupos específicos de usuarios, roles de directorio o usuarios invitados externos. Las organizaciones con licencias de identificador de carga de trabajo de Microsoft Entra también pueden tener como destino identidades de carga de trabajo .

Las directivas destinadas a roles o grupos solo se evalúan cuando se emite un token. Esto significa lo siguiente:

• Los usuarios recién agregados a un rol o grupo no están sujetos a la directiva hasta que obtienen un nuevo token.
• Si un usuario ya tiene un token válido antes de agregarse al rol o grupo, la directiva no se aplica retroactivamente.

El procedimiento recomendado es desencadenar la evaluación del acceso condicional durante la activación de roles o la activación de pertenencia a grupos mediante Microsoft Entra Privileged Identity Management.

Recursos de destino

Los recursos de destino pueden incluir o excluir aplicaciones en la nube, acciones de usuario o contextos de autenticación que están sujetos a la directiva.

Red

La red contiene direcciones IP, zonas geográficas y la red compatible de Global Secure Access para las decisiones de política de acceso condicional. Los administradores pueden definir ubicaciones y marcar algunas como de confianza, como las ubicaciones de red principales de su organización.

Condiciones

Una directiva puede contener varias condiciones.

Riesgo de inicio de sesión

En el caso de las organizaciones con Microsoft Entra ID Protection, las detecciones de riesgo generadas allí pueden influir en las directivas de acceso condicional.

Plataformas de dispositivo

Las organizaciones con varias plataformas de sistema operativo de dispositivos pueden aplicar directivas específicas en distintas plataformas.

La información que se usa para determinar que la plataforma del dispositivo procede de orígenes no comprobados, como cadenas de agente de usuario que se pueden cambiar.

Aplicaciones cliente

El software que emplea el usuario para acceder a la aplicación en la nube. Por ejemplo, "Explorador" y "Aplicaciones móviles y clientes de escritorio". De forma predeterminada, todas las directivas de acceso condicional recién creadas se aplican a todos los tipos de aplicaciones cliente, incluso si la condición de las aplicaciones cliente no está configurada.

Filtro para dispositivos

Este control permite dirigirse a dispositivos específicos en función de sus atributos en una directiva.

Controles de acceso

La parte de controles de acceso de la directiva de acceso condicional controla cómo se aplica una directiva.

Concesión

Grant proporciona a los administradores un medio de aplicación de directivas donde pueden bloquear o conceder acceso.

Bloquear el acceso

Bloquear el acceso bloquea el acceso en las asignaciones especificadas. Este control es eficaz y requiere conocimientos adecuados para usar de forma eficaz.

Conceder acceso

El control grant desencadena la aplicación de uno o varios controles.

• Requiere autenticación multifactor
• Requerir intensidad de autenticación
• Requerir que el dispositivo esté marcado como compatible (Intune)
• Requerir un dispositivo híbrido unido a Microsoft Entra
• Requerir aplicación cliente aprobada
• Requerir la directiva de protección de aplicaciones
• Requerir cambio de contraseña
• Requerir condiciones de uso

Los administradores eligen requerir uno de los controles anteriores o todos los controles seleccionados mediante las siguientes opciones. De forma predeterminada, varios controles requieren todos.

• Requerir todos los controles seleccionados (control y control)
• Requerir uno de los controles seleccionados (control o control)

Sesión

Los controles de sesión pueden limitar la experiencia de los usuarios.

• Usar restricciones impuestas por la aplicación:
  • Solo funciona con Exchange Online y SharePoint Online.
  • Pasa la información del dispositivo para controlar la experiencia, concediéndole acceso completo o limitado.
• Usar el control de acceso condicional de aplicaciones:
  • Usa señales de Microsoft Defender for Cloud Apps para hacer cosas como:
    • Bloquear la descarga, cortar, copiar e imprimir documentos confidenciales.
    • Monitorear el comportamiento arriesgado de las sesiones.
    • Requerir el etiquetado de archivos confidenciales.
• Frecuencia de inicio de sesión:
  • Capacidad de cambiar la frecuencia de inicio de sesión predeterminada para la autenticación moderna.
• Sesión persistente del explorador:
  • Permite a los usuarios permanecer conectados después de cerrar y volver a abrir su ventana del explorador.
• Personalice la evaluación continua del acceso.
• Deshabilite los valores predeterminados de resistencia.

Directivas sencillas

Una directiva de acceso condicional debe incluir al menos lo siguiente para que se aplique:

• Nombre de la directiva
• Asignaciones
  • Usuarios o grupos a los que aplicar la directiva
  • Recursos de destino para aplicar la directiva a
• Controles de acceso
  • Conceder o bloquear controles

En el artículo Directivas de acceso condicional comunes se incluyen directivas que pueden resultar útiles para la mayoría de las organizaciones.

Contenido relacionado

• Directivas de acceso condicional comunes

• Administración del cumplimiento de los dispositivos con Intune

• Aplicaciones de Microsoft Defender para la nube y acceso condicional