Aplicación de directivas de acceso condicional al tráfico de acceso seguro global

Las directivas de acceso condicional se aplican al tráfico de acceso seguro global. Con el acceso condicional, se puede exigir la autenticación multifactor y el cumplimiento de dispositivos para el acceso a los recursos de Microsoft.

En este artículo se describe cómo aplicar directivas de acceso condicional al tráfico de Internet de acceso seguro global.

Requisitos previos

• Los administradores que interactúan con las características de acceso seguro global deben tener una o varias de las siguientes asignaciones de roles en función de las tareas que realicen.
  • El rol de Administrador de acceso seguro global para gestionar las características de acceso seguro global.
  • El rol Administrador de acceso condicional para crear e interactuar con las directivas de acceso condicional.
• El producto requiere licencias. Para obtener más información, consulte la sección de licencias de ¿Qué es el acceso seguro global? Si es necesario, puede comprar licencias o obtener licencias de prueba.

Creación de una directiva de acceso condicional destinada al tráfico de Internet de Acceso global seguro

La siguiente directiva de ejemplo está destinada a todos los usuarios, excepto las cuentas de emergencia y los usuarios invitados o externos, que requieren autenticación multifactor, cumplimiento de dispositivos o un dispositivo con unión híbrida a Microsoft Entra para el tráfico de Internet de Acceso global seguro.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.

2. Vaya a Entra ID>Acceso condicional.

3. Seleccione Crear nueva directiva.

4. Asigna un nombre a la política. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus políticas.

5. En Asignaciones, seleccione el vínculo Usuarios y grupos .

   1. En Incluir, seleccione Todos los usuarios.
   2. En la sección Excluir:
      1. Seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia de su organización.
      2. Seleccione Usuarios invitados o externos y active todas las casillas.

6. En Recursos de destino>Recursos (anteriormente aplicaciones en la nube)

   1. Elija Todos los recursos de Internet con acceso seguro global.

   

   Nota

   Para aplicar solo el perfil de reenvío de tráfico de Acceso a Internet y no el perfil de reenvío de tráfico de Microsoft , elija Seleccionar recursos y seleccione Recursos de Internet en el selector de aplicaciones y configure un perfil de seguridad.

7. En Controles de acceso>Concesión.

   1. Seleccione Requerir autenticación multifactor, Requerir que el dispositivo esté marcado como compatible y Requerir que el dispositivo híbrido de Microsoft Entra esté unido.
   2. Para varios controles , seleccione Requerir uno de los controles seleccionados.
   3. Seleccione Seleccionar.

Después de que los administradores confirmen la configuración de la directiva mediante modo de solo informe, un administrador puede mover el interruptor de alternancia Habilitar directiva de modo solo informe a Activado.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o cuentas de contingencia para evitar el bloqueo debido a errores de configuración de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
  • Puede encontrar más información en el artículo Administrar cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y principales de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional con ámbito a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir las directivas destinadas a las entidades de servicio.
  • Si su organización tiene estas cuentas en uso en scripts o código, considere la posibilidad de reemplazarlas por identidades administradas.

Pasos siguientes

El siguiente paso para empezar a trabajar con Microsoft Entra Internet Access es revisar los registros de Acceso seguro global.

Para obtener más información sobre reenvío de tráfico, consulta los siguientes artículos:

• Más información sobre los perfiles de reenvío de tráfico
• Administrar el perfil de tráfico de Microsoft