Aplicación de directivas de acceso condicional al tráfico de acceso seguro global

Las directivas de acceso condicional se aplican al tráfico de acceso seguro global. Con el acceso condicional, puede requerir la autenticación multifactor y el cumplimiento de dispositivos para acceder a los recursos de Microsoft.

En este artículo se describe cómo aplicar directivas de acceso condicional al tráfico de Internet de acceso seguro global.

Requisitos previos

• Los administradores que interactúen con las características de Acceso global seguro deben tener asignados uno o varios de los siguientes roles en función de las tareas que realicen.
  • El rol Administrador de Acceso global seguro para administrar las características de Acceso global seguro.
  • El rol de Administrador de acceso condicional para crear e interactuar con las directivas de acceso condicional.
• El producto requiere licencias. Para obtener más información, consulta la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puedes comprar una licencia u obtener licencias de prueba.

Creación de una directiva de acceso condicional destinada al tráfico de Internet de Acceso global seguro

La siguiente directiva de ejemplo está destinada a todos los usuarios, excepto las cuentas de emergencia y los usuarios invitados o externos, que requieren autenticación multifactor, cumplimiento de dispositivos o un dispositivo con unión híbrida a Microsoft Entra para el tráfico de Internet de Acceso global seguro.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.

2. Vaya a Identidad>Protección>Acceso condicional.

3. Seleccione Crear nueva directiva.

4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

5. En Asignaciones, seleccione el vínculo Usuarios y grupos.

   1. En Incluir, seleccione Todos los usuarios.
   2. En Excluir:
      1. Selecciona Usuarios y grupos y, a continuación, elige las cuentas de acceso de emergencia de la organización.
      2. Selecciona Usuarios invitados o externos y marca todas las casillas.

6. En Recursos de destino>Recursos (anteriormente aplicaciones en la nube).

   1. Elija Todos los recursos de Internet con acceso seguro global.

   

   Nota

   Para aplicar solo el perfil de reenvío de tráfico de acceso a Internet y no el perfil de reenvío de tráfico de Microsoft, luego elija Seleccionar recursos y seleccione Recursos de Internet en el selector de aplicaciones y configure un perfil de seguridad.

7. En Controles de acceso>Conceder.

   1. Seleccione Requerir autenticación multifactor, Requerir que el dispositivo se marque como compatible y Requerir un dispositivo unido a Microsoft Entra híbrido
   2. En el caso de controles múltiples, seleccione Requerir uno de los controles seleccionados.
   3. Elija Seleccionar.

Después de que los administradores confirmen la configuración de directiva mediante el modo de solo informe, un administrador puede pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a configuración errónea de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y Entidades de servicio , como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional asignadas a los usuarios. Usa el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas.

Pasos siguientes

El siguiente paso para empezar a trabajar con Acceso a Internet de Microsoft Entra es revisar los registros de Acceso global seguro.

Para obtener más información sobre reenvío de tráfico, consulta los siguientes artículos:

• Acerca de los perfiles de reenvío de tráfico
• Administrar el perfil de tráfico de Microsoft