Bloquear flujos de autenticación con la directiva de acceso condicional

Los pasos siguientes le ayudan a crear directivas de acceso condicional para restringir cómo se usan el flujo de código de dispositivo y la transferencia de autenticación dentro de la organización.

Directivas de flujo de código de dispositivo

Se recomienda que las organizaciones se acerquen lo más posible a un bloque unilateral en el flujo de código del dispositivo. Considere la posibilidad de crear una directiva para auditar el uso existente del flujo de código de dispositivo y determinar si sigue siendo necesario. Permitir solo el flujo de código de dispositivo en casos de uso bien documentados y protegidos, como las herramientas heredadas que no se pueden actualizar.

Para las organizaciones que no utilizan el flujo de código de dispositivo, pueden bloquearlo mediante la siguiente política de acceso condicional:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a las directivas de>acceso condiciona del>Entra ID.
3. Seleccione Nueva directiva.
4. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione los usuarios que desea que estén en el ámbito de la directiva (todos los usuarios recomendados).
   2. En Excluir:
      1. Seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia o de "break-glass" de su organización y cualquier otro usuario o grupo necesario. Audite esta lista de exclusión periódicamente.
5. En Recursos de destino>Recursos (anteriormente, las aplicaciones en la nube)>Incluir, seleccione las aplicaciones que quiera que estén en el ámbito de la directiva (Todos los recursos (anteriormente, "Todas las aplicaciones en la nube") recomendados).
6. En Condiciones>Flujos de autenticación, establezca Configurar en Sí.
   1. Seleccione Flujo de código de dispositivo.
   2. Seleccione Listo.
7. En Controles de acceso>Conceder, seleccione Bloquear acceso.
   1. Elija Seleccionar.
8. Confirme la configuración y establezca Habilitar directiva en Solo informe.
9. Seleccionar Crear para habilitar la directiva.

Después de confirmar la configuración mediante el impacto de la directiva o el modo de solo informe, mueva el botón de alternancia Habilitar directiva de solo informe a Activado.

Directivas de transferencia de autenticación

Use la condición Flujos de autenticación en acceso condicional para administrar la característica. Bloquear la transferencia de autenticación si no desea que los usuarios transfieran la autenticación desde su EQUIPO a un dispositivo móvil. Por ejemplo, bloquee la transferencia de autenticación si no permite que Outlook se use en dispositivos personales por parte de determinados grupos. Use la siguiente directiva de acceso condicional para bloquear la transferencia de autenticación:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a las directivas de>acceso condiciona del>Entra ID.
3. Seleccione Nueva directiva.
4. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione Todos los usuarios o grupos de usuarios que desea bloquear para la transferencia de autenticación.
   2. En Excluir:
      1. Seleccione Usuarios y grupos y elija las cuentas de emergencia o acceso de contingencia de su organización, así como cualquier otro usuario necesario. Audite esta lista de exclusión periódicamente.
5. En Recursos de destino>(anteriormente aplicaciones en la nube)>Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube") o las aplicaciones que quiera bloquear para la transferencia de autenticación.
6. En Condiciones>Flujos de autenticación, establezca Configurar en Sí
   1. Seleccione Transferencia de autenticación.
   2. Seleccione Listo.
7. En Controles de acceso>Conceder, seleccione Bloquear acceso.
   1. Elija Seleccionar.
8. Confirme la configuración y establezca Habilitar directivas en Habilitado.
9. Seleccionar Crear para habilitar la directiva.

Contenido relacionado

• Acceso condicional: flujos de autenticación
• Acceso condicional: transferencia de autenticación
• Acceso condicional: Condiciones