Creación de directivas de acceso Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps directivas de acceso usan el control de aplicaciones de acceso condicional para proporcionar supervisión y control en tiempo real sobre el acceso a las aplicaciones en la nube. Las directivas de acceso controlan el acceso en función del usuario, la ubicación, el dispositivo y la aplicación, y son compatibles con cualquier dispositivo.

Las directivas creadas para una aplicación host no están conectadas a ninguna aplicación de recursos relacionada. Por ejemplo, las directivas de acceso que cree para Teams, Exchange o Gmail no están conectadas a SharePoint, OneDrive o Google Drive. Si necesita una directiva para la aplicación de recursos además de la aplicación host, cree una directiva independiente.

Sugerencia

Si prefiere permitir generalmente el acceso durante la supervisión de sesiones o limitar actividades de sesión específicas, cree directivas de sesión en su lugar. Para obtener más información, consulte Directivas de sesión.

Requisitos previos

Antes de empezar, asegúrese de que tiene los siguientes requisitos previos:

• Una licencia de Defender for Cloud Apps, ya sea como licencia independiente o como parte de otra licencia.

• Una licencia para Microsoft Entra ID P1, ya sea como licencia independiente o como parte de otra licencia.

• Si usa un IdP que no es de Microsoft, la licencia requerida por la solución del proveedor de identidades (IdP).

• Las aplicaciones pertinentes incorporadas al control de aplicaciones de acceso condicional. Microsoft Entra ID aplicaciones se incorporan automáticamente, mientras que las aplicaciones que no son de Microsoft IdP deben incorporarse manualmente.

  Si está trabajando con un IdP que no es de Microsoft, asegúrese de que también ha configurado el IdP para que funcione con Microsoft Defender for Cloud Apps. Para más información, vea:

  • Incorporación de aplicaciones de catálogo que no son de Microsoft IdP para el control de aplicaciones de acceso condicional
  • Incorporación de aplicaciones personalizadas que no son de Microsoft IdP para el control de aplicaciones de acceso condicional

Para que la directiva de acceso funcione, también debe tener una Microsoft Entra ID directiva de acceso condicional, que crea los permisos para controlar el tráfico.

Ejemplo: Creación de directivas de acceso condicional de Microsoft Entra ID para su uso con Defender for Cloud Apps

Este procedimiento proporciona un ejemplo de alto nivel de cómo crear una directiva de acceso condicional para su uso con Defender for Cloud Apps.

1. En Microsoft Entra ID acceso condicional, seleccione Crear nueva directiva.

2. Escriba un nombre significativo para la directiva y, a continuación, seleccione el vínculo en Sesión para agregar controles a la directiva.

3. En el área Sesión , seleccione Usar control de aplicaciones de acceso condicional.

4. En el área Usuarios , seleccione para incluir solo todos los usuarios o usuarios y grupos específicos.

5. En las áreas Condiciones y Aplicaciones cliente , seleccione las condiciones y las aplicaciones cliente que desea incluir en la directiva.

6. Guarde la directiva cambiando Solo informe a Activado y, a continuación, seleccione Crear.

Microsoft Entra ID admite directivas basadas en explorador y no basadas en explorador. Se recomienda crear ambos tipos para aumentar la cobertura de seguridad.

Repita este procedimiento para crear una directiva de acceso condicional no basada en el navegador. En el área Aplicaciones cliente , cambie la opción Configurar a Sí. A continuación, en Clientes de autenticación moderna, desactive la opción Explorador . Deje seleccionadas todas las demás selecciones predeterminadas.

Para obtener más información, vea Directivas de acceso condicional y Creación de una directiva de acceso condicional.

Creación de una directiva de acceso Defender for Cloud Apps

En este procedimiento se describe cómo crear una nueva directiva de acceso en Defender for Cloud Apps.

1. En Microsoft Defender XDR, seleccione la pestaña Acceso condicional de administración > de directivas de directivas de Cloud Apps >>.

2. Seleccione Crear directiva>Directiva de acceso. Por ejemplo:

   

3. En la página Crear directiva de acceso , escriba la siguiente información básica:

   Nombre	Descripción
   Nombre de la directiva	Un nombre significativo para la directiva, como Bloquear el acceso desde dispositivos no administrados
   Gravedad de directiva	Seleccione la gravedad que desea aplicar a la directiva.
   Categoría	Mantener el valor predeterminado del control de acceso
   Descripción	Escriba una descripción opcional y significativa de la directiva para ayudar a su equipo a comprender su propósito.

4. En el área Actividades que coinciden con todo el área siguiente , seleccione filtros de actividad adicionales para aplicar a la directiva. Los filtros incluyen las siguientes opciones:

   Nombre	Descripción
   Aplicación	Filtra para que una aplicación específica se incluya en la directiva. Seleccione las aplicaciones seleccionando primero si usan la incorporación automatizada de Azure AD, para aplicaciones Microsoft Entra ID o la incorporación manual, para aplicaciones que no son de Microsoft IdP. A continuación, seleccione la aplicación que desea incluir en el filtro de la lista. Si falta la aplicación idP que no es de Microsoft en la lista, asegúrese de que la ha incorporado por completo. Para más información, vea: - Incorporación de aplicaciones de catálogo que no son de Microsoft IdP para el control de aplicaciones de acceso condicional - Incorporación de aplicaciones personalizadas que no son de Microsoft IdP para el control de aplicaciones de acceso condicional Si decide no usar el filtro Aplicación , la directiva se aplica a todas las aplicaciones marcadas como Habilitadas en la página Configuración > aplicaciones > conectadas aplicaciones > conectadas aplicaciones de acceso condicional Aplicaciones de control de aplicaciones . Nota: Es posible que vea cierta superposición entre las aplicaciones que están incorporadas y las aplicaciones que necesitan incorporación manual. En caso de conflicto en el filtro entre las aplicaciones, las aplicaciones incorporadas manualmente tienen prioridad.
   Aplicación cliente	Filtre por el explorador o las aplicaciones móviles o de escritorio.
   Dispositivo	Filtre por etiquetas de dispositivo, como para un método de administración de dispositivos específico o tipos de dispositivo, como PC, móvil o tableta.
   Dirección IP	Filtre por dirección IP o use etiquetas de dirección IP asignadas anteriormente.
   Ubicación	Filtre por ubicación geográfica. La ausencia de una ubicación claramente definida puede identificar actividades de riesgo.
   ISP registrado	Filtre por las actividades procedentes de un ISP específico.
   Usuario	Filtre por un usuario o grupo de usuarios específico.
   Cadena de agente de usuario	Filtre por una cadena de agente de usuario específica.
   Etiqueta de agente de usuario	Filtre por etiquetas de agente de usuario, como para exploradores o sistemas operativos obsoletos.

   Por ejemplo:

   

   Seleccione Editar y obtener una vista previa de los resultados para obtener una vista previa de los tipos de actividades que se devolverán con la selección actual.

5. En el área Acciones , seleccione una de las opciones siguientes:

   • Auditoría: establezca esta acción para permitir el acceso según los filtros de directiva que establezca explícitamente.

   • Bloquear: establezca esta acción para bloquear el acceso según los filtros de directiva que establezca explícitamente.

6. En el área Alertas , configure cualquiera de las siguientes acciones según sea necesario:

   • Creación de una alerta para cada evento coincidente con la gravedad de la directiva
   • Enviar una alerta como correo electrónico
   • Límite diario de alertas por directiva
   • Envío de alertas a Power Automate

7. Cuando haya terminado, seleccione Crear.

Prueba de la directiva

Después de crear la directiva de acceso, pruébela volviendo a autenticarse en cada aplicación configurada en la directiva. Compruebe que la experiencia de la aplicación es la esperada y, a continuación, compruebe los registros de actividad.

Le recomendamos que haga lo siguiente:

• Cree una directiva para un usuario que haya creado específicamente para las pruebas.
• Cierre la sesión de todas las sesiones existentes antes de volver a autenticarse en las aplicaciones.
• Inicie sesión en aplicaciones móviles y de escritorio desde dispositivos administrados y no administrados para asegurarse de que las actividades se capturan completamente en el registro de actividad.

Asegúrese de iniciar sesión con un usuario que coincida con la directiva.

Para probar la directiva en la aplicación:

• Visite todas las páginas de la aplicación que forman parte del proceso de trabajo de un usuario y compruebe que las páginas se representan correctamente.
• Compruebe que el comportamiento y la funcionalidad de la aplicación no se ven afectados negativamente al realizar acciones comunes, como descargar y cargar archivos.
• Si está trabajando con aplicaciones de IdP personalizadas que no son de Microsoft, compruebe cada uno de los dominios que ha agregado manualmente para la aplicación.

Para comprobar los registros de actividad:

1. En Microsoft Defender XDR, seleccione Registro de actividad de aplicaciones >en la nube y compruebe las actividades de inicio de sesión capturadas para cada paso. Es posible que desee filtrar seleccionando Filtros avanzados y filtrado para El origen es igual al control de acceso.

   Las actividades de inicio de sesión único son eventos de control de aplicaciones de acceso condicional.

2. Seleccione una actividad para expandirse para obtener más detalles. Compruebe que la etiqueta Agente de usuario refleja correctamente si el dispositivo es un cliente integrado, ya sea una aplicación móvil o de escritorio, o si el dispositivo es un dispositivo administrado compatible y unido a un dominio.

Si encuentra errores o problemas, use la barra de herramientas ver Administración para recopilar recursos como .Har archivos y sesiones grabadas y, a continuación, presentar una incidencia de soporte técnico.

Creación de directivas de acceso para dispositivos administrados por identidad

Use certificados de cliente para controlar el acceso de los dispositivos que no están unidos a Microsoft Entra híbridos y que no están administrados por Microsoft Intune. Implemente nuevos certificados en dispositivos administrados o use certificados existentes, como certificados MDM de terceros. Por ejemplo, es posible que quiera implementar el certificado de cliente en dispositivos administrados y, a continuación, bloquear el acceso desde dispositivos sin un certificado.

Para obtener más información, consulte Identidad de dispositivos administrados con control de aplicaciones de acceso condicional.

Contenido relacionado

Para más información, vea:

• Solución de problemas de acceso y controles de sesión
• Tutorial: Bloquear la descarga de información confidencial con el control de aplicaciones de acceso condicional
• Bloqueo de descargas en dispositivos no administrados mediante controles de sesión
• Seminario web de control de aplicaciones de acceso condicional

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.