Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las directivas de acceso condicional históricamente se aplican a los usuarios cuando accedían a aplicaciones y servicios como SharePoint en línea. Ahora estamos ampliando la compatibilidad con las directivas de acceso condicional que se van a aplicar a las entidades de servicio que pertenecen a la organización. Esta funcionalidad se llama acceso condicional para identidades de carga de trabajo.
Una identidad de carga de trabajo es una identidad que permite a una aplicación o entidad de servicio acceder a los recursos, a veces en el contexto de un usuario. Estas identidades de carga de trabajo difieren de las cuentas de usuario tradicionales ya que:
- No puede realizar la autenticación multifactor.
- Normalmente no tienen ningún proceso de ciclo de vida formal.
- Es necesario almacenar sus credenciales o secretos en algún lugar.
Estas diferencias dificultan la administración de las identidades de carga de trabajo y las ponen en mayor riesgo.
Importante
Las licencias Premium de identidades de carga de trabajo son necesarias para crear o modificar directivas de acceso condicional limitadas a las entidades de servicio. En directorios sin licencias adecuadas, las directivas de acceso condicional existentes para las identidades de carga de trabajo siguen funcionando, pero no se pueden modificar. Para obtener más información, consulte identidades de carga de trabajo de Microsoft Entra.
Nota
La directiva se puede aplicar a entidades de servicio de un solo inquilino registrado en el inquilino. Las aplicaciones SaaS y multiinquilino de terceros se encuentran fuera del ámbito. La directiva no abarca las identidades administradas. En su lugar, las identidades administradas se pueden incluir en una revisión de acceso .
El acceso condicional para identidades de carga de trabajo habilita el bloqueo de entidades de servicio:
- Desde fuera de los intervalos de IP públicas conocidos.
- Basado en el riesgo detectado por la protección de Microsoft Entra ID.
- En combinación con los contextos de autenticación.
Implementación
Creación de una directiva de acceso condicional basada en la ubicación
Cree una directiva de acceso condicional basada en la ubicación que se aplique a las entidades de servicio.
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
- Vaya a Entra ID>Acceso condicional>Directivas.
- Seleccione Nueva directiva.
- Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
- En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
- En ¿A qué se aplica esta directiva?, seleccione Identidades de carga de trabajo.
- En Incluir, elija Seleccionar entidades de servicio y seleccione las entidades de servicio adecuadas de la lista.
- Bajo Recursos de destino>Recursos (anteriormente aplicaciones en la nube)>Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube"). La directiva solo se aplica cuando una entidad de servicio solicite un token.
- En Condiciones>Ubicaciones, incluya Cualquier ubicación y excluya las ubicaciones seleccionadas donde quiera permitir el acceso.
- En Conceder, Bloquear acceso es la única opción disponible. El acceso se bloquea cuando se realiza una solicitud de token desde fuera del intervalo permitido.
- La directiva se puede guardar en modo de solo informe, lo que permite a los administradores estimar los efectos, o bien la directiva se aplica activando la directiva.
- Seleccione Crear para completar la política.
Creación de una directiva de acceso condicional basada en riesgos
Cree una directiva de acceso condicional basada en riesgo que se aplique a las entidades de servicio.
- Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
- Vaya a Entra ID>Acceso condicional>Directivas.
- Seleccione Nueva directiva.
- Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
- En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
- En ¿A qué se aplica esta directiva?, seleccione Identidades de carga de trabajo.
- En Incluir, elija Seleccionar entidades de servicio y seleccione las entidades de servicio adecuadas de la lista.
- Bajo Recursos de destino>Recursos (anteriormente aplicaciones en la nube)>Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube"). La directiva solo se aplica cuando una entidad de servicio solicite un token.
- En Condiciones>Riesgo principal del servicio
- Establezca el interruptor Configurar en Sí.
- Seleccione los niveles de riesgo en los que quiere que se desencadene esta directiva.
- Seleccione Listo.
- En Conceder, Bloquear acceso es la única opción disponible. El acceso se bloquea cuando se ven los niveles de riesgo especificados.
- La directiva se puede guardar en modo de solo informe, lo que permite a los administradores estimar los efectos, o bien la directiva se aplica activando la directiva.
- Seleccione Crear para completar la política.
Reversión
Si desea revertir esta característica, puede eliminar o deshabilitar las directivas creadas.
Registros de inicio de sesión
Los registros de inicio de sesión se usan para revisar cómo se aplica la directiva para las entidades de servicio o los efectos previsibles de la directiva si se usa el modo de solo informe.
- Vaya a Entra ID>Supervisión &estado>Registros de inicio de sesión>Inicios de sesión del servicio principal.
- Seleccione una entrada de registro y elija la pestaña Acceso condicional para ver la información de evaluación.
Motivo del error cuando el acceso condicional bloquea una entidad de servicio: "el acceso se ha bloqueado debido a las directivas de acceso condicional".
Modo de solo informe
Para ver los resultados de una directiva basada en ubicación, vaya a la pestaña Informe solo de eventos en el Informe de inicio de sesión o use el libro de trabajo Información y generación de informes de acceso condicional.
Para ver los resultados de una directiva basada en riesgos, consulte la pestaña Sólo informe de eventos en el Informe de inicio de sesión.
Referencia
Búsqueda de objectID
Puede obtener el elemento objectID de la entidad de servicio en las aplicaciones empresariales de Microsoft Entra. No se puede usar el identificador de objeto de los registros de aplicaciones de Microsoft Entra. Este identificador es el identificador de objeto del registro de la aplicación, no de la entidad de servicio.
- Vaya a Entra ID>Aplicaciones empresariales y busque la aplicación que registró.
- En la pestaña Información general , copie el identificador de objeto de la aplicación. Este identificador es el único de la entidad de servicio que usa la directiva de acceso condicional para buscar la aplicación que realiza la llamada.
Microsoft Graph
JSON de ejemplo para la configuración basada en la ubicación con el punto de conexión de Microsoft Graph beta.
{
"displayName": "Name",
"state": "enabled OR disabled OR enabledForReportingButNotEnforced",
"conditions": {
"applications": {
"includeApplications": [
"All"
]
},
"clientApplications": {
"includeServicePrincipals": [
"[Service principal Object ID] OR ServicePrincipalsInMyTenant"
],
"excludeServicePrincipals": [
"[Service principal Object ID]"
]
},
"locations": {
"includeLocations": [
"All"
],
"excludeLocations": [
"[Named ___location ID] OR AllTrusted"
]
}
},
"grantControls": {
"operator": "and",
"builtInControls": [
"block"
]
}
}