Control de aplicaciones de acceso condicional en Microsoft Defender for Cloud Apps
En el área de trabajo de hoy en día, no basta con saber qué pasó en el entorno de nube después del hecho. Debe detener las infracciones y fugas en tiempo real. También debe evitar que los empleados pongan intencionada o accidentalmente los datos y la organización en riesgo.
Quiere admitir a los usuarios de su organización mientras usan las mejores aplicaciones en la nube disponibles y traer sus propios dispositivos al trabajo. Sin embargo, también necesita herramientas para proteger su organización frente a fugas de datos y robos en tiempo real. Microsoft Defender for Cloud Apps se integra con cualquier proveedor de identidades (IdP) para ofrecer esta protección con directivas de acceso y sesión.
Por ejemplo:
Use directivas de acceso para:
- Bloquear el acceso a Salesforce para los usuarios de dispositivos no administrados.
- Bloquear el acceso a Dropbox para clientes nativos.
Use directivas de sesión para:
- Bloquee las descargas de archivos confidenciales de OneDrive a dispositivos no administrados.
- Bloquee las cargas de archivos de malware en SharePoint Online.
Los usuarios de Microsoft Edge se benefician de la protección directa en el explorador. Un icono de bloqueo 
en la barra de direcciones del explorador indica esta protección.
Los usuarios de otros exploradores se redirigen a través del proxy inverso a Defender for Cloud Apps. Esos exploradores muestran un *.mcas.ms sufijo en la dirección URL del vínculo. Por ejemplo, si la dirección URL de la aplicación es myapp.com, la dirección URL de la aplicación se actualiza a myapp.com.mcas.ms.
En este artículo se describe el control de aplicaciones de acceso condicional en Defender for Cloud Apps a través de Microsoft Entra directivas de acceso condicional.
Actividades en el control de aplicaciones de acceso condicional
El control de aplicaciones de acceso condicional usa directivas de acceso y directivas de sesión para supervisar y controlar el acceso y las sesiones de aplicaciones de usuario en tiempo real en toda la organización.
Cada directiva tiene condiciones para definir quién (a qué usuario o grupo de usuarios), qué (qué aplicaciones en la nube) y dónde (a qué ubicaciones y redes) se aplica la directiva. Después de determinar las condiciones, enrute primero a los usuarios a Defender for Cloud Apps. Allí, puede aplicar los controles de acceso y sesión para ayudar a proteger los datos.
Las directivas de acceso y sesión incluyen los siguientes tipos de actividades:
| Actividad | Descripción |
|---|---|
| Evitar la filtración de datos | Bloquee la descarga, corte, copia e impresión de documentos confidenciales en dispositivos no administrados (por ejemplo). |
| Requerir contexto de autenticación | Vuelva a evaluar Microsoft Entra directivas de acceso condicional cuando se produzca una acción confidencial en la sesión, como requerir la autenticación multifactor. |
| Proteger al descargar | En lugar de bloquear la descarga de documentos confidenciales, es necesario que los documentos se etiqueten y cifren al integrarse con Microsoft Purview Information Protection. Esta acción ayuda a proteger el documento y a restringir el acceso de los usuarios en una sesión potencialmente de riesgo. |
| Impedir la carga de archivos sin etiquetar | Asegúrese de que la carga de archivos sin etiqueta que tienen contenido confidencial esté bloqueada hasta que el usuario clasifique el contenido. Antes de que un usuario cargue, distribuya o use un archivo confidencial, el archivo debe tener la etiqueta definida por la directiva de su organización. |
| Bloquear posibles malware | Ayude a proteger su entorno frente a malware bloqueando la carga de archivos potencialmente malintencionados. Cualquier archivo que un usuario intente cargar o descargar se puede examinar en Microsoft Threat Intelligence y bloquearse instantáneamente. |
| Supervisión del cumplimiento de las sesiones de usuario | Investigue y analice el comportamiento del usuario para comprender dónde y en qué condiciones se deben aplicar las directivas de sesión en el futuro. Los usuarios de riesgo se supervisan cuando inician sesión en las aplicaciones y sus acciones se registran desde dentro de la sesión. |
| Bloquear acceso | Bloquee pormenorizadamente el acceso para aplicaciones y usuarios específicos, en función de varios factores de riesgo. Por ejemplo, puede bloquearlos si usan certificados de cliente como forma de administración de dispositivos. |
| Bloquear actividades personalizadas | Algunas aplicaciones tienen escenarios únicos que conllevan riesgos. Un ejemplo es el envío de mensajes que tienen contenido confidencial en aplicaciones como Microsoft Teams o Slack. En este tipo de escenarios, examine los mensajes en busca de contenido confidencial y obstruyéndolos en tiempo real. |
Para más información, vea:
- Creación de directivas de acceso Microsoft Defender for Cloud Apps
- Creación de directivas de sesión de Microsoft Defender for Cloud Apps
Usabilidad
El control de aplicaciones de acceso condicional no requiere que instale nada en el dispositivo, por lo que es ideal cuando supervisa o controla sesiones desde dispositivos no administrados o usuarios asociados.
Defender for Cloud Apps usa heurística patentada para identificar y controlar las actividades del usuario en la aplicación de destino. La heurística está diseñada para optimizar y equilibrar la seguridad con la facilidad de uso.
En algunos escenarios poco frecuentes, el bloqueo de actividades en el lado servidor hace que la aplicación no se pueda usar, por lo que las organizaciones protegen estas actividades solo en el lado cliente. Este enfoque los hace potencialmente susceptibles a la explotación por parte de usuarios internos malintencionados.
Rendimiento del sistema y almacenamiento de datos
Defender for Cloud Apps usa centros de datos de Azure de todo el mundo para proporcionar un rendimiento optimizado mediante la geolocalización. La sesión de un usuario podría hospedarse fuera de una región determinada, en función de los patrones de tráfico y su ubicación. Sin embargo, para ayudar a proteger la privacidad de los usuarios, estos centros de datos no almacenan datos de sesión.
Defender for Cloud Apps los servidores proxy no almacenan datos en reposo. Cuando almacenamos contenido en caché, seguimos los requisitos establecidos en RFC 7234 (almacenamiento en caché HTTP) y almacenamos en caché solo contenido público.
Aplicaciones y clientes admitidos
Aplique controles de sesión y acceso a cualquier inicio de sesión único interactivo que use el protocolo de autenticación SAML 2.0. También se admiten controles de acceso para aplicaciones cliente de escritorio y móviles integradas.
Además, si usa aplicaciones Microsoft Entra ID, aplique controles de sesión y acceso a:
- Cualquier inicio de sesión único interactivo que use el protocolo de autenticación OpenID Connect.
- Aplicaciones hospedadas en el entorno local y configuradas con el proxy de aplicación Microsoft Entra.
Microsoft Entra ID aplicaciones también se incorporan automáticamente para el control de aplicaciones de acceso condicional, mientras que las aplicaciones que usan otros idP se deben incorporar manualmente.
Defender for Cloud Apps identifica las aplicaciones mediante datos del catálogo de aplicaciones en la nube. Si ha personalizado aplicaciones con complementos, debe agregar los dominios personalizados asociados a la aplicación correspondiente en el catálogo. Para obtener más información, consulte Búsqueda de la aplicación en la nube y cálculo de puntuaciones de riesgo.
Nota:
No puede usar aplicaciones instaladas que tengan flujos de inicio de sesión no interactivos , como la aplicación Authenticator y otras aplicaciones integradas, con controles de acceso. Nuestra recomendación en ese caso es crear una directiva de acceso en el Centro de administración Microsoft Entra además de Microsoft Defender for Cloud Apps directivas de acceso.
Ámbito de compatibilidad con el control de sesión
Aunque los controles de sesión están creados para funcionar con cualquier explorador en cualquier plataforma principal de cualquier sistema operativo, se admiten las versiones más recientes de los siguientes exploradores:
Los usuarios de Microsoft Edge se benefician de la protección en el explorador, sin redirigir a un proxy inverso. Para obtener más información, consulte Protección en el explorador con Microsoft Edge para negocios (versión preliminar).
Compatibilidad con aplicaciones para TLS 1.2+
Defender for Cloud Apps usa protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar cifrado. Las aplicaciones cliente integradas y los exploradores que no admiten TLS 1.2+ no son accesibles al configurarlas con control de sesión.
Sin embargo, las aplicaciones de software como servicio (SaaS) que usan TLS 1.1 o versiones anteriores aparecen en el explorador como mediante TLS 1.2+ al configurarlas con Defender for Cloud Apps.