Bloquear flujos de autenticación con la directiva de acceso condicional

Los pasos siguientes ayudan a crear directivas de acceso condicional para restringir cómo se usan el flujo de código de dispositivo y la transferencia de autenticación dentro de la organización.

Directivas de flujo de código de dispositivo

Nota:

Para reforzar la posición de seguridad, Microsoft recomienda bloquear o restringir el flujo de código del dispositivo siempre que sea posible.

Siempre debe empezar por configurar una directiva en modo de solo informe para determinar el posible efecto en la organización.

Se recomienda que las organizaciones se acerquen lo más posible a un bloque unilateral en el flujo de código del dispositivo. Las organizaciones deben considerar la posibilidad de crear una directiva para auditar el uso existente del flujo de código de dispositivo y determinar si aún es necesario.

En el caso de las organizaciones que no tienen ningún uso establecido del flujo de código de dispositivo, el bloqueo se puede realizar con la siguiente directiva de acceso condicional:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Protección>Acceso condicional>Directivas.
3. Seleccione Nueva directiva.
4. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione los usuarios que desea que estén en el ámbito de la directiva (todos los usuarios recomendados).
   2. En Excluir:
      1. Seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia o de emergencia de su organización, y cualquier otro usuario necesario, esta lista de exclusión se debe auditar con regularidad.
5. En Recursos de destino (anteriormente aplicaciones en la nube)> Incluir, seleccione las aplicaciones que desea que estén dentro del ámbito de la directiva (todos los recursos (anteriormente "Todas las aplicaciones en la nube") recomendadas).>
6. En Condiciones>Flujos de autenticación, establezca Configurar en Sí.
   1. Seleccione Flujo de código de dispositivo.
   2. Seleccione Listo.
7. En Controles de acceso>Conceder, seleccione Bloquear acceso.
   1. Elija Seleccionar.
8. Confirme la configuración y establezca Habilitar directiva en Solo informe.
9. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Directivas de transferencia de autenticación

La capacidad de controlar la transferencia de autenticación está en versión preliminar; use la condición Flujos de autenticación en Acceso condicional para administrar la característica. Es posible que quiera bloquear la transferencia de autenticación si no desea que los usuarios transfieran la autenticación desde su PC a un dispositivo móvil. Por ejemplo, puede que no permita que Outlook se use en dispositivos personales por parte de determinados grupos. La transferencia de autenticación de bloqueo se puede realizar con la siguiente directiva de acceso condicional:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Ve a Protección> Acceso condicional.
3. Seleccione Crear nueva directiva.
4. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione Todos los usuarios o grupos de usuarios que desea bloquear para la transferencia de autenticación.
   2. En Excluir:
      1. Seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia o de emergencia de su organización, y cualquier otro usuario necesario, esta lista de exclusión se debe auditar con regularidad.
5. En Recursos de destino>(anteriormente aplicaciones en la nube)> Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube") o las aplicaciones que desea bloquear para la transferencia de autenticación.
6. En Condiciones>Flujos de autenticación, establezca Configurar en Sí
   1. Seleccione Transferencia de autenticación.
   2. Seleccione Listo.
7. En Controles de acceso>Conceder, seleccione Bloquear acceso.
   1. Elija Seleccionar.
8. Confirme la configuración y establezca Habilitar directivas en Habilitado.
9. Seleccione Crear para crear la directiva.

Contenido relacionado

• Acceso condicional: flujos de autenticación
• Acceso condicional: transferencia de autenticación
• Acceso condicional: Condiciones