Evaluación continua de acceso universal (versión preliminar)
La Evaluación continua de acceso (CAE) universal es una característica de plataforma de Acceso global seguro (GSA) que funciona junto con Microsoft Entra ID para asegurarse de que el acceso al perímetro de GSA se valida cada vez que se establece una conexión a un nuevo recurso de aplicación. La CAE universal protege los tokens de acceso de GSA contra el robo y la reproducción. La CAE universal revoca y vuelve a validar el acceso a la red casi en tiempo real cada vez que Entra ID detecta cambios en la identidad. La CAE de Entra ID tradicional requiere todas las cargas de trabajo para adoptar bibliotecas especiales y solo se limita a las aplicaciones propias. La CAE universal amplía las ventajas de la CAE a cualquier aplicación a la que se accede con Acceso global seguro, sin necesidad de que la aplicación tenga en cuenta la CAE.
Ventajas de la CAE universal
Estos son algunos ejemplos de cómo la CAE universal beneficia a su organización cuando Entra ID detecta un cambio de identidad y desencadena la CAE casi en tiempo real:
- Acceso privado: se interrumpe la sesión del usuario a través de Escritorio remoto, el acceso a los servidores de archivos y el acceso a todos los recursos privados protegidos por acceso privado, lo que reduce el riesgo de filtración de datos por parte de un empleado que se marcha o de una actividad interna malintencionada.
- Acceso a Internet: se interrumpe el acceso del usuario a todos los recursos de Internet, incluidos los servicios que pueden contener datos de empresa, como los servicios de uso compartido de archivos que no son de Microsoft y las herramientas de colaboración de la empresa, lo que reduce el riesgo de filtración de datos por parte de un empleado que se marcha.
- Servicios Microsoft: aunque muchos servicios Microsoft ya usan la CAE de forma nativa, hay algunas aplicaciones que no lo hacen. Con la CAE universal, se interrumpe el acceso del usuario a las aplicaciones de Microsoft, independientemente del conocimiento de la aplicación de la CAE.
- Puede requerir que los usuarios estén en redes específicas antes de poder conectarse a servicios con GSA, lo que impide el traslado a una red diferente incluso después de la autenticación del túnel inicial. En este escenario, cuando el usuario cambia de red, se vuelve a autenticar el acceso a la red a través de GSA y se vuelven a evaluar las directivas de acceso condicional basadas en ubicación.
- El modo de cumplimiento estricto opcional, configurado en el acceso condicional, protege frente al robo o reproducción de tokens de acceso de GSA. Si se intenta reproducir el token desde una dirección IP diferente a la original que se usa durante la autenticación, se bloquea el acceso a la red.
Funcionamiento
Acceso global seguro se basa en los tokens de acceso de Entra ID para autenticarse en los túneles de servicio (tráfico de Microsoft, acceso a Internet y perfiles de reenvío de tráfico de acceso privado). Los tokens de acceso son válidos entre 60 y 90 minutos. Antes de la expiración del token de acceso, el cliente de GSA usa el token de actualización entra ID para obtener un nuevo token de acceso.
Según la especificación de OAuth2, los tokens de acceso son válidos hasta que expiran. Por ejemplo, cuando deshabilita una cuenta de usuario, Entra ID invalida los tokens de actualización inmediatamente, pero tarda hasta 90 minutos en expirar los tokens de acceso de GSA.
Con la CAE universal, los cambios en la identidad del usuario se comunican a Acceso global seguro casi en tiempo real. Aunque el token de acceso sigue siendo válido, Acceso global seguro envía un desafío de notificaciones especial al usuario final, lo que requiere que el usuario vuelva a autenticarse. Si el usuario no puede completar el desafío de autenticación de Entra ID, se bloquea el acceso a la red a través de GSA. La CAE universal acorta el período de tiempo entre el cambio de estado de la cuenta de Entra ID y la necesidad de que el usuario vuelva a autenticarse, lo que reduce el riesgo de filtración de datos por parte de un empleado que se marcha.
Microsoft Entra ID indica que se desencadena la reautenticación de la CAE universal
Acceso global seguro está habilitado para recibir señales de Entra ID casi en tiempo real para los siguientes eventos:
- La cuenta de usuario se ha eliminado o deshabilitado.
- La contraseña de un usuario ha cambiado o se ha restablecido.
- Si la autenticación multifactor está habilitada para el usuario
- El administrador revoca explícitamente todos los tokens de actualización de un usuario.
- Alto riesgo de usuario detectado por Microsoft Entra ID Protection
Al recibir el evento de seguridad, el cliente de Acceso global seguro pedirá al usuario que vuelva a autenticarse. Si la nueva autenticación se realiza correctamente, se restaura la conectividad de red del usuario a los recursos protegidos por Acceso global seguro.
Modo de cumplimiento estricto
Con el modo cumplimiento estricto, la CAE universal detiene inmediatamente el acceso si la directiva de acceso condicional no permite la dirección IP detectada por el proveedor de recursos. Esta opción es la modalidad de seguridad más alta del cumplimiento de la ubicación CAE y requiere que los administradores comprendan el enrutamiento de las solicitudes de autenticación y acceso en su entorno de red. Cuando se habilita la aplicación estricta, el acceso a los servicios de acceso seguro global solo es posible cuando los usuarios se conectan al servicio GSA desde intervalos de direcciones IP autorizados por su organización.
Deshabilitación de la CAE universal
Se puede usar el acceso condicional de Entra ID para controlar el comportamiento de la CAE en el inquilino. De forma predeterminada, la CAE está activada para todas las aplicaciones que la admiten. Puede deshabilitar la CAE en el inquilino de Entra ID, que deshabilitará la CAE para todos los servicios, incluido el Acceso global seguro. Para deshabilitar la CAE en el inquilino, siga los pasos descritos en la documentación de acceso condicional.
Nota:
La CAE universal es oportunista a menos que el modo de cumplimiento estricto opcional esté habilitado en el acceso condicional y se aplique a las identidades de carga de trabajo de GSA. De forma predeterminada, los clientes de Acceso global seguro admitidos intentarán obtener un token de acceso de la CAE de Entra ID. Si el token de la CAE no se puede obtener de Entra ID (por ejemplo, debido a una versión del cliente no compatible), se emitirá un token de acceso normal. Con el comportamiento alternativo, no debe haber necesidad de deshabilitar la CAE universal.
Restricciones conocidas
Esta característica tiene una o varias limitaciones conocidas. Para obtener información más detallada sobre los problemas conocidos y las limitaciones de esta característica, consulte Limitaciones conocidas del acceso seguro global.