Compartir por


Acceso condicional: filtro para las aplicaciones

Actualmente, las directivas de acceso condicional se pueden aplicar a todas las aplicaciones o a aplicaciones individuales. Las organizaciones con un gran número de aplicaciones pueden encontrar este proceso difícil de administrar en varias directivas de acceso condicional.

Los filtros de aplicación para el acceso condicional que permite a las organizaciones etiquetar entidades de servicio con atributos personalizados. A continuación, estos atributos personalizados se agregan a sus directivas de acceso condicional. Los filtros de las aplicaciones se evalúan en tiempo de ejecución de la emisión de tokens; una pregunta común es si las aplicaciones se asignan en tiempo de ejecución o de configuración.

Con este documento creará un conjunto de atributos personalizados, asignará un atributo de seguridad personalizado a la aplicación y creará una directiva de acceso condicional para proteger la aplicación.

Asignación de roles

Los atributos de seguridad personalizados son confidenciales y solo los usuarios delegados pueden administrarlos. Se deben asignar uno o varios de los roles siguientes a los usuarios que administran estos atributos o informan sobre ellos.

Nombre de rol Descripción
Administrador de asignaciones de atributos Asignar valores y claves de atributos de seguridad personalizados a objetos de Microsoft Entra admitidos.
Lector de asignaciones de atributos Lectura de valores y claves de atributos de seguridad personalizados para objetos de Microsoft Entra admitidos.
Administrador de definiciones de atributos Definir y administrar la definición de atributos de seguridad personalizados.
Lector de definiciones de atributos Leer la definición de atributos de seguridad personalizados.

Asigne el rol adecuado a los usuarios que administran estos atributos en el ámbito del directorio o que notificarán sobre ellos. Para ver los pasos detallados, vea Asignación de roles.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Creación de atributos de seguridad personalizados

Siga las instrucciones del artículo Agregar o desactivar atributos de seguridad personalizados en Microsoft Entra ID para agregar los siguientes conjunto de atributos y nuevos atributos.

  • Cree un conjunto de atributos denominado ConditionalAccessTest.
  • Cree nuevos atributos denominados policyRequirement con el valor Permitir que se asignen varios valores y Permitir que solo se asignen valores predefinidos. Aquí se agregan los siguientes valores predefinidos:
    • legacyAuthAllowed
    • blockGuestUsers
    • requireMFA
    • requireCompliantDevice
    • requireHybridJoinedDevice
    • requireCompliantApp

Captura de pantalla del atributo de seguridad personalizado y los valores predefinidos en Microsoft Entra ID.

Nota:

Los filtros de acceso condicional para aplicaciones solo funcionan con atributos de seguridad personalizados de tipo "cadena". Los atributos de seguridad personalizados admiten la creación del tipo de datos booleano, pero la directiva de acceso condicional solo admite "string".

Creación de una directiva de acceso condicional

Captura de pantalla de una directiva de acceso condicional con la ventana de edición del filtro en la que se muestra un atributo de MFA obligatorio.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional y un lector de definición de atributos.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Nueva directiva.
  4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, selecciona Identidades de carga de trabajo o usarios.
    1. En Incluir, selecciona Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.
  6. En Recursos de destino, seleccione las siguientes opciones:
    1. Seleccione la aplicación de la directiva a Aplicaciones en la nube.
    2. Incluir Seleccionar recursos.
    3. Seleccione Editar filtro.
    4. Establezca Configurar en .
    5. Seleccione el valor de Atributo que creamos antes, denominado policyRequirement.
    6. Establezca Operador en Contains.
    7. Establezca Valor en requireMFA.
    8. Seleccione Listo.
  7. En Controles de acceso>Conceder, seleccione Conceder acceso, Requerir autenticación multifactor y Seleccionar.
  8. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  9. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Configuración de atributos personalizados

Paso 1: Configuración de una aplicación de ejemplo

Si ya tiene una aplicación de prueba que usa una entidad de servicio, puede omitir este paso.

Configure una aplicación de ejemplo que muestre cómo se puede ejecutar un trabajo o un servicio de Windows con una identidad de aplicación, en lugar de la identidad de un usuario. Siga las instrucciones del artículo Inicio rápido: Adquisición de un token y llamada a Microsoft Graph API mediante una identidad de aplicación de consola para crear esta aplicación.

Paso 2: Asignación de un atributo de seguridad personalizado a una aplicación

Sin identidades de servicio en el inquilino, estas no se pueden establecer como destino. El conjunto de Office 365 es un ejemplo de entidad de servicio.

  1. Inicie sesión en el centro de administración de Microsoft Entra como mínimo con el rol administrador de acceso condicional~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) y administrador de asignación de atributos.
  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
  3. Seleccione la entidad de servicio a la que desea aplicar un atributo de seguridad personalizado.
  4. En Administrar>Atributos de seguridad personalizados, seleccione Agregar asignación.
  5. En Conjunto de atributos, seleccione ConditionalAccessTest.
  6. En Nombre del atributo, seleccione policyRequirement.
  7. En Valores asignados, seleccione Agregar valores, y, en la lista, requireMFA; después, seleccione Listo.
  8. Seleccione Guardar.

Paso 3: Probar la directiva

Inicie sesión como usuario al que se aplicaría la directiva y pruebe si se requiere MFA para acceder a la aplicación.

Otros escenarios

  • Bloqueo de la autenticación heredada
  • Bloqueo del acceso externo a las aplicaciones
  • Requisito de directivas de protección de aplicaciones Intune o dispositivos compatibles
  • Aplicación de controles de frecuencia de inicio de sesión para aplicaciones específicas
  • Requisito de una estación de trabajo de acceso con privilegios para aplicaciones específicas
  • Requisito de controles de sesión para los usuarios de alto riesgo y aplicaciones específicas

Plantillas de acceso condicional

Determinación del impacto mediante el modo de solo informe de acceso condicional

Uso del modo de solo informe de acceso condicional para determinar los resultados de las nuevas decisiones de directiva.