Crear una nueva directiva de acceso condicional

Como se explica en el artículo ¿Qué es el acceso condicional?, una directiva de acceso condicional es una instrucción if-then, de asignaciones y controles de acceso. Una directiva de acceso condicional reúne señales, para tomar decisiones y aplicar directivas organizativas.

¿Cómo crea una organización estas directivas? ¿Qué es necesario? ¿Cómo se aplican?

Varias directivas de acceso condicional pueden aplicarse a un usuario individual en cualquier momento. En este caso, todas las directivas que se aplican deben cumplirse. Por ejemplo, si una directiva requiere autenticación multifactor y otra requiere un dispositivo compatible, debe completar MFA y usar un dispositivo compatible. Todas las asignaciones están lógicamente ANDed. Si tiene más de una asignación configurada, se deben satisfacer todas las asignaciones para desencadenar una directiva.

Si se selecciona una directiva con "Requerir uno de los controles seleccionados," solicitamos según el orden definido; una vez que se cumplan los requisitos de la directiva, se otorgará acceso.

Todas las directivas se aplican en dos fases:

• Fase 1: Recopilación de detalles de la sesión
  • Recopile los detalles de la sesión, como la ubicación de red y la identidad del dispositivo necesarias para la evaluación de directivas.
  • La fase 1 de la evaluación de directivas ocurre para las directivas habilitadas y las directivas en modo de solo informe.
• Fase 2: Cumplimiento
  • Use los detalles de la sesión recopilados en la fase 1 para identificar los requisitos que no se cumplen.
  • Si hay una directiva configurada con el control de concesión bloqueo, la aplicación de la política se detiene aquí y el usuario se bloquea.
  • Se pide al usuario que complete más requisitos de control de concesión que no se hayan cumplido durante la fase 1 en el orden siguiente, hasta que se cumpla la directiva:
    1. Autenticación multifactor
    2. Dispositivo que se va a marcar como compatible
    3. Dispositivo híbrido unido a Microsoft Entra
    4. Aplicación cliente aprobada
    5. Directiva de protección de aplicaciones
    6. Cambio de contraseña
    7. Condiciones de uso
    8. Controles personalizados
  • Una vez satisfechos todos los controles de concesión, aplique controles de sesión (Aplicación aplicada, Microsoft Defender for Cloud Apps y duración del token)
  • La fase 2 de la evaluación de directivas se produce para todas las directivas habilitadas.

Asignaciones

La parte de asignaciones controla quién, qué y dónde de la directiva de acceso condicional.

Usuarios y grupos

Los usuarios y grupos asignan quién incluye o excluye la directiva cuando se aplica. Esta asignación puede incluir todos los usuarios, grupos específicos de usuarios, roles de directorio o usuarios invitados externos.

Recursos de destino

Los recursos de destino pueden incluir o excluir aplicaciones en la nube, acciones de usuario o contextos de autenticación que están sujetos a la directiva.

Red

La red contiene direcciones IP, zonas geográficas y la red compatible de Global Secure Access para las decisiones de política de acceso condicional. Los administradores pueden elegir definir ubicaciones y marcar algunas como de confianza, como las de las ubicaciones de red principal de su organización.

Condiciones

Una directiva puede contener varias condiciones.

Riesgo de inicio de sesión

En el caso de las organizaciones con Microsoft Entra ID Protection, las detecciones de riesgo generadas allí pueden influir en las directivas de acceso condicional.

Plataformas de dispositivo

Las organizaciones con varias plataformas de sistema operativo de dispositivos pueden aplicar directivas específicas en distintas plataformas.

La información que se usa para calcular la plataforma del dispositivo procede de orígenes no comprobados, como cadenas de agente de usuario que se pueden cambiar.

Aplicaciones cliente

El software que emplea el usuario para acceder a la aplicación en la nube. Por ejemplo, "Explorador" y "Aplicaciones móviles y clientes de escritorio". De forma predeterminada, todas las directivas de acceso condicional recién creadas se aplican a todos los tipos de aplicaciones cliente, incluso si la condición de las aplicaciones cliente no está configurada.

Filtro para dispositivos

Este control permite dirigirse a dispositivos específicos en función de sus atributos en una directiva.

Controles de acceso

La parte de controles de acceso de la directiva de acceso condicional controla cómo se aplica una directiva.

Concesión

Grant proporciona a los administradores un medio de aplicación de directivas donde pueden bloquear o conceder acceso.

Bloquear el acceso

Bloquear el acceso hace precisamente eso: bloquea el acceso bajo las asignaciones especificadas. El control de bloques es eficaz y debe ser manejado con el conocimiento adecuado.

Conceder acceso

El control de concesión puede desencadenar la aplicación de uno o varios controles.

• Requiere autenticación multifactor
• Requerir intensidad de autenticación
• Requerir que el dispositivo esté marcado como compatible (Intune)
• Requerir un dispositivo híbrido unido a Microsoft Entra
• Requerir aplicación cliente aprobada
• Requerir la directiva de protección de aplicaciones
• Requerir cambio de contraseña
• Requerir condiciones de uso

Los administradores pueden optar por requerir uno de los controles anteriores o todos los controles seleccionados mediante las siguientes opciones. El valor predeterminado para varios controles es requerir todo.

• Requerir todos los controles seleccionados (control y control)
• Requerir uno de los controles seleccionados (control o control)

Sesión

Los controles de sesión pueden limitar la experiencia de los usuarios.

• Usar restricciones impuestas por la aplicación:
  • Actualmente solo funciona con Exchange Online y SharePoint Online.
  • Pasa la información del dispositivo para permitir el control de la experiencia concediéndole acceso total o limitado.
• Usar el control de acceso condicional de aplicaciones:
  • Usa señales de Microsoft Defender for Cloud Apps para hacer cosas como:
    • Bloquear la descarga, cortar, copiar e imprimir documentos confidenciales.
    • Monitorear el comportamiento arriesgado de las sesiones.
    • Requerir el etiquetado de archivos confidenciales.
• Frecuencia de inicio de sesión:
  • Capacidad de cambiar la frecuencia de inicio de sesión predeterminada para la autenticación moderna.
• Sesión persistente del explorador:
  • Permite a los usuarios permanecer conectados después de cerrar y volver a abrir su ventana del explorador.
• Personalización de la evaluación continua de acceso
• Deshabilitar valores predeterminados de resistencia

Directivas sencillas

Una directiva de acceso condicional debe contener como mínimo lo siguiente para que se aplique:

• Nombre de la directiva.
• Asignaciones
  • Usuarios o grupos a los que aplicar la directiva.
  • Aplicaciones en la nube o acciones a las que aplicar la directiva.
• Controles de acceso
  • Conceder o bloquear controles

En el artículo Directivas de acceso condicional comunes se incluyen algunas directivas que creemos que serían útiles para la mayoría de las organizaciones.

Contenido relacionado

• Creación de una directiva de acceso condicional

• Administración del cumplimiento de los dispositivos con Intune

• Aplicaciones de Microsoft Defender para la nube y acceso condicional