Compartir a través de

Acceso condicional: filtro para las aplicaciones

Actualmente, las directivas de acceso condicional se pueden aplicar a todas las aplicaciones o a aplicaciones individuales. Las organizaciones con un gran número de aplicaciones pueden encontrar este proceso difícil de administrar en varias directivas de acceso condicional.

Los filtros de aplicación para el acceso condicional permiten a las organizaciones etiquetar entidades de servicio con atributos personalizados. A continuación, estos atributos personalizados se agregan a sus directivas de acceso condicional. Los filtros de las aplicaciones se evalúan en el tiempo de ejecución de la emisión de tokens; una pregunta común es si las aplicaciones se asignan en tiempo de ejecución o en tiempo de configuración.

Con este documento creará un conjunto de atributos personalizados, asignará un atributo de seguridad personalizado a la aplicación y creará una directiva de acceso condicional para proteger la aplicación.

Asignación de roles

Los atributos de seguridad personalizados son confidenciales y solo los usuarios delegados pueden administrarlos. Se deben asignar uno o varios de los roles siguientes a los usuarios que administran estos atributos o informan sobre ellos.

Nombre de rol Descripción
Administrador de asignación de atributos Asignar valores y claves de atributos de seguridad personalizados a objetos de Microsoft Entra admitidos.
Lector de asignación de atributos Lee valores y claves de atributos de seguridad personalizados para objetos de Microsoft Entra admitidos.
Administrador de definiciones de atributos Definir y administrar la definición de atributos de seguridad personalizados.
Lector de definición de atributos Leer la definición de atributos de seguridad personalizados.

Asigne el rol adecuado a los usuarios que administran estos atributos en el ámbito del directorio o que notificarán sobre ellos. Para obtener pasos detallados, consulte Asignación de roles de Microsoft Entra.

Importante

De forma predeterminada, el administrador global y otros roles de administrador no tienen permisos para leer, definir ni asignar atributos de seguridad personalizados.

Creación de atributos de seguridad personalizados

Siga las instrucciones del artículo Agregar o desactivar atributos de seguridad personalizados en Microsoft Entra ID para agregar el siguiente conjunto de atributos y Nuevos atributos.

  • Cree un conjunto de atributos denominado ConditionalAccessTest.
  • Cree nuevos atributos denominadospolicyRequirement que permitan asignar varios valores y Permitir que solo se asignen valores predefinidos. Aquí se agregan los siguientes valores predefinidos:
    • autenticación_legada_permitida
    • bloquearUsuariosInvitados
    • requireMFA
    • requerirDispositivoCompatible
    • requireHybridJoinedDevice
    • requerirAplicaciónCompatible

Captura de pantalla que muestra el atributo de seguridad personalizado y los valores predefinidos en microsoft Entra ID.

Nota:

Los filtros de acceso condicional para aplicaciones solo funcionan con atributos de seguridad personalizados de tipo "cadena". Los atributos de seguridad personalizados admiten la creación del tipo de datos booleano, pero la directiva de acceso condicional solo admite "string".

Creación de una directiva de acceso condicional

Captura de pantalla que muestra una directiva de acceso condicional con la ventana de edición del filtro que muestra un atributo que requiere MFA.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional y un lector de definición de atributos.
  2. Vaya a Entra ID>Acceso Condicional.
  3. Seleccione Nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y elija el acceso de emergencia o las cuentas de emergencia de su organización.
    3. Seleccione Listo.
  6. En Recursos de destino, seleccione las siguientes opciones:
    1. Seleccione a qué se aplica esta directiva en las aplicaciones en la nube.
    2. Incluir Seleccionar recursos.
    3. Seleccione Editar filtro.
    4. Establezca Configurar en .
    5. Seleccione el atributo que hemos creado anteriormente denominado policyRequirement.
    6. Establezca Operador en Contains.
    7. Establezca Valor en requireMFA.
    8. Seleccione Listo.
  7. En Controles de acceso, seleccione Conceder acceso, Requerir autenticación multifactor y Seleccione.
  8. Confirme los ajustes y establezca Habilitar la directiva en Solo informe.
  9. Seleccione Crear para habilitar su política.

Después de que los administradores evalúen la configuración de la directiva mediante el impacto de la directiva o el modo de solo informe, pueden cambiar el interruptor Habilitar directiva de modo de solo informe a Activado.

Configuración de atributos personalizados

Paso 1: Configuración de una aplicación de ejemplo

Si ya tiene una aplicación de prueba que usa un principal de servicio, puede omitir este paso.

Configure una aplicación de ejemplo que muestre cómo se puede ejecutar un trabajo o un servicio de Windows con una identidad de aplicación, en lugar de la identidad de un usuario. Siga las instrucciones del artículo Inicio rápido: Obtención de un token y llamada a Microsoft Graph API mediante la identidad de una aplicación de consola para crear esta aplicación.

Paso 2: Asignación de un atributo de seguridad personalizado a una aplicación

Si no tiene ninguna entidad de servicio en el inquilino, no se puede establecer como destino. El conjunto de aplicaciones Office 365 es un ejemplo de entidad de servicio.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) y administrador de asignación de atributos.
  2. Vaya a Entra ID>aplicaciones empresariales.
  3. Seleccione la entidad de servicio a la que desea aplicar un atributo de seguridad personalizado.
  4. En Administrar>atributos de seguridad personalizados, seleccione Agregar asignación.
  5. En Conjunto de atributos, seleccione ConditionalAccessTest.
  6. En Nombre de atributo, seleccione policyRequirement.
  7. En Valores asignados, seleccione Agregar valores, seleccione requireMFA en la lista y, a continuación, seleccione Listo.
  8. Seleccione Guardar.

Paso 3: Probar la directiva

Inicie sesión como usuario al que se aplicaría la directiva y pruebe si se requiere MFA para acceder a la aplicación.

Otros escenarios

  • Bloqueo de la autenticación heredada
  • Bloqueo del acceso externo a las aplicaciones
  • Requerir dispositivos compatibles o directivas de protección de aplicaciones de Intune
  • Aplicación de controles de frecuencia de inicio de sesión en aplicaciones concretas
  • Requisito de una estación de trabajo de acceso con privilegios para aplicaciones específicas
  • Requisito de controles de sesión para los usuarios de alto riesgo y aplicaciones específicas

Contenido relacionado

Plantillas de acceso condicional

Determinar el efecto mediante el modo de solo informe de acceso condicional

Utilice el modo solo informe para el Acceso Condicional para determinar los resultados de las nuevas decisiones de políticas.