Acceso condicional: recursos de destino

Los recursos de destino (anteriormente aplicaciones, acciones y el contexto de autenticación en la nube) son señales clave en una directiva de acceso condicional. Las directivas de acceso condicional permiten que los administradores asignen controles a determinadas aplicaciones, acciones o contextos de autenticación.

• Los administradores pueden elegir de la lista de aplicaciones o servicios que incluyen aplicaciones incorporadas de Microsoft y cualquier Aplicaciones integradas de Microsoft Entra, incluidas las aplicaciones de galería, de no galería y las publicadas a través deApplication Proxy.
• Los administradores pueden optar por definir una directiva no basada en una aplicación en la nube, sino en una acción del usuario como Registrar la información de seguridad o Registrar o unir dispositivos, lo que permite que el acceso condicional aplique controles en torno a esas acciones.
• Los administradores pueden dirigir los perfiles de reenvío de tráfico desde el acceso seguro global para mejorar la funcionalidad.
• Los administradores pueden usar el contexto de autenticación para proporcionar una capa adicional de seguridad en las aplicaciones.

Aplicaciones de nube de Microsoft

En la lista de aplicaciones que se pueden seleccionar están muchas de las aplicaciones en la nube de Microsoft existentes.

Los administradores pueden asignar una directiva de acceso condicional a estas aplicaciones en la nube de Microsoft. Algunas aplicaciones, como Office 365 y Windows Azure Service Management API, incluyen varios servicios o aplicaciones secundarios relacionados.

Importante

Las aplicaciones que están disponibles para el acceso condicional pasan por un proceso de incorporación y validación. Estas aplicaciones no incluyen todas las aplicaciones de Microsoft. Muchas aplicaciones son servicios back-end que no están diseñados para que la directiva se aplique directamente a ellos. Si está buscando una aplicación que falta, puede ponerse en contacto con el equipo de la aplicación específica o hacer una solicitud en UserVoice.

Office 365

Microsoft 365 proporciona servicios de colaboración y productividad basados en la nube, como Exchange, SharePoint y Microsoft Teams. Los servicios en la nube de Microsoft 365 están profundamente integrados para garantizar experiencias de colaboración fluidas. Esta integración puede producir confusión a la hora de crear directivas, ya que algunas aplicaciones, como Microsoft Teams, dependen de otras, como SharePoint o Exchange.

El conjunto de Office 365 hace posible dirigirse a todos estos servicios a la vez. Se recomienda usar al nuevo conjunto de Office 365 en lugar de las aplicaciones en la nube individuales para evitar problemas con las dependencias de servicio.

Dirigirse a este grupo de aplicaciones ayuda a evitar problemas que pueden surgir debido a directivas y dependencias incoherentes. Por ejemplo: la aplicación Exchange Online está asociada a datos de Exchange Online tradicionales, como el correo electrónico, el calendario y la información de contacto. Los metadatos relacionados se pueden exponer mediante distintos recursos, como la búsqueda. Para asegurarse de que todos los metadatos están protegidos según lo previsto, los administradores deben asignar directivas a la aplicación Office 365.

Los administradores pueden excluir todo el conjunto de Office 365 o las aplicaciones en la nube de Office 365 específicas de la directiva de acceso condicional.

Puede encontrar una lista completa de todos los servicios incluidos en el artículo Aplicaciones incluidas en el conjunto de aplicaciones de Office 365 de acceso condicional.

Windows Azure Service Management API

Cuando se dirige a la aplicación Windows Azure Service Management API, la directiva se aplica para los tokens emitidos a un conjunto de servicios estrechamente enlazados al portal. Esta agrupación incluye los identificadores de aplicación de:

• Azure Resource Manager
• Azure Portal, que también abarca el centro de administración de Microsoft Entra
• Azure Data Lake
• API de Application Insights
• API de Log Analytics

Dado que la directiva se aplica al Portal de administración de Azure y a la API, los servicios o los clientes con una dependencia del servicio de la API de Azure, pueden verse afectados indirectamente. Por ejemplo:

• CLI de Azure
• Portal de Azure Data Factory
• Azure DevOps
• Azure Event Hubs
• Azure PowerShell
• Azure Service Bus
• Azure SQL Database
• Azure Synapse
• API del modelo de implementación clásica
• Centro de administración de Microsoft 365
• Microsoft IoT Central
• Instancia administrada de SQL
• Portal de administrador de suscripciones de Visual Studio

Nota:

La aplicación Windows Azure Service Management API se aplica a Azure PowerShell, que accede a la API de Azure Resource Manager. No se aplica a Microsoft Graph PowerShell, que llama a Microsoft Graph API.

Para más información sobre cómo configurar una directiva de ejemplo para Windows Azure Service Management API, consulte Acceso condicional: requerir MFA para la administración de Azure.

Sugerencia

Para Azure Government, debe tener como destino la aplicación de la API de administración de la nube de Azure Government.

Portales de administración de Microsoft

Cuando una directiva de acceso condicional tiene como objetivo la aplicación en la nube Microsoft Admin Portals, la directiva se aplica a los tokens emitidos para los id. de aplicación de los siguientes portales administrativos de Microsoft:

• Azure portal
• Centro de administración de Exchange
• Centro de administración de Microsoft 365
• Portal de Microsoft 365 Defender
• Centro de administración de Microsoft Entra
• centro de administración de Microsoft Intune
• Portal de cumplimiento de Microsoft Purview
• Centro de administración de Microsoft Teams

Continuamente añadimos más portales administrativos a la lista.

Nota:

La aplicación Microsoft Admin Portals solo se aplica a inicios de sesión interactivos en los portales de administración enumerados. Los inicios de sesión en los recursos o servicios subyacentes, como Microsoft Graph o las API de Azure Resource Manager, no están cubiertos por esta aplicación. Estos recursos están protegidos por la app Windows Azure Service Management API. Esta agrupación permite a los clientes desplazarse por el recorrido de adopción de MFA para los administradores sin afectar a la automatización que se basa en las API y PowerShell. Cuando esté listo, Microsoft recomienda usar una directiva de que requiera que los administradores realicen MFA siempre para una protección completa.

Otras aplicaciones

Los administradores pueden agregar cualquier aplicación registrada Microsoft Entra a las directivas de acceso condicional. Estas aplicaciones pueden incluir:

• Aplicaciones publicadas a través deProxy de aplicación Microsoft Entra
• Aplicaciones agregadas desde la galería
• Aplicaciones personalizadas que no están en la galería
• Aplicaciones heredadas publicadas a través de redes y controladores de entrega de aplicaciones
• Aplicaciones que usan el inicio de sesión único basado en contraseña

Nota:

Dado que la directiva de acceso condicional establece los requisitos para acceder a un servicio, no puede aplicarla a una aplicación cliente (pública o nativa). En otras palabras, la directiva no se establece directamente en una aplicación cliente (pública o nativa), pero se aplica cuando un cliente llama a un servicio. Por ejemplo, una directiva establecida en el servicio SharePoint se aplica a todos los clientes que llamen a SharePoint. Así mismo, una directiva establecida en Exchange se aplica al intento de acceder al correo electrónico mediante el cliente de Outlook. Por eso las aplicaciones cliente (públicas o nativas) no están disponibles para la selección en el selector de aplicaciones y la opción Acceso condicional no están disponibles en la configuración de la aplicación para la aplicación cliente (pública o nativa) registrada en el inquilino.

Algunas aplicaciones no aparecen en el selector. La única manera de incluir estas aplicaciones en una directiva de acceso condicional es incluir Todos los recursos (anteriormente "Todas las aplicaciones en la nube").

Descripción del acceso condicional para distintos tipos de cliente

El acceso condicional se aplica a los recursos que no son clientes, excepto cuando el cliente es un cliente confidencial que solicita un token de identificador.

• Cliente público
  • Los clientes públicos son aquellos que se ejecutan localmente en dispositivos como Microsoft Outlook en el escritorio o aplicaciones móviles como Microsoft Teams.
  • Las directivas de acceso condicional no se aplican al propio cliente público, pero se aplican en función de los recursos solicitados por los clientes públicos.
• Cliente confidencial
  • El acceso condicional se aplica a los recursos solicitados por el cliente y el propio cliente confidencial si solicita un token de identificador.
  • Por ejemplo: si Outlook Web solicita un token para ámbitos Mail.Read y Files.Read, el acceso condicional aplica directivas para Exchange y SharePoint. Además, si Outlook Web solicita un token de identificador, el acceso condicional también aplica las directivas de Outlook Web.

Para ver los registros de inicio de sesión para estos tipos de clientes desde el centro de administración de Microsoft Entra:

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
2. Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión.
3. Agregue un filtro para Tipo de credencial de cliente.
4. Ajuste el filtro para ver un conjunto específico de registros en función de la credencial de cliente usada en el inicio de sesión.

Para obtener más información, consulte el artículo cliente público y aplicaciones cliente confidenciales.

Todos los recursos

La aplicación de una directiva de acceso condicional a Todos los recursos (anteriormente "Todas las aplicaciones en la nube") sin exclusiones de aplicaciones da como resultado que la directiva se aplique para todas las solicitudes de token de sitios web y servicios, incluidos perfiles de reenvío de tráfico de acceso seguro global. Esta opción incluye aplicaciones que no se pueden destinar individualmente en la directiva de acceso condicional, como Windows Azure Active Directory (00000002-0000-0000-c000-000000000000000).

Importante

Microsoft recomienda crear una directiva de autenticación multifactor de línea base dirigida a todos los usuarios y todos los recursos (sin exclusiones de aplicaciones), como se explica en Requerir autenticación multifactor para todos los usuarios.

Comportamiento de acceso condicional cuando una directiva de todos los recursos tiene una exclusión de aplicaciones

Si alguna aplicación se excluye de la directiva, con el fin de no bloquear accidentalmente el acceso de los usuarios, determinados ámbitos de privilegios bajos se excluyen de la aplicación de directivas. Estos ámbitos permiten llamadas a las API de Graph subyacentes, como Windows Azure Active Directory (00000002-0000-0000-c000-000000000000) y Microsoft Graph (00000003-0000-0000-c000-000000000000), para acceder a la información de pertenencia a grupos y perfiles de usuario que suelen usar las aplicaciones como parte de la autenticación. Por ejemplo: cuando Outlook solicita un token para Exchange, también solicita el ámbito de User.Read para poder mostrar la información básica de la cuenta del usuario actual.

La mayoría de las aplicaciones tienen una dependencia similar, por lo que estos ámbitos de privilegios bajos se excluyen automáticamente siempre que haya una exclusión de aplicaciones en una directiva de Todos los recursos. Estas exclusiones de ámbito de privilegios bajos no permiten el acceso a datos más allá de la información básica del perfil de usuario y del grupo. Los ámbitos excluidos se enumeran de la siguiente manera, el consentimiento sigue siendo necesario para que las aplicaciones usen estos permisos.

• Los clientes nativos y las aplicaciones de página única (SPA) tienen acceso a los siguientes ámbitos de privilegios bajos:
  • Azure AD Graph: email, offline_access, openid, profile, User.Read
  • Microsoft Graph: email, offline_access, openid, profile, User.Read, People.Read
• Los clientes confidenciales tienen acceso a los siguientes ámbitos de privilegios bajos, si se excluyen de una directiva de Todos los recursos :
  • Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All,User.ReadBasic.All
  • Microsoft Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden

Para obtener más información sobre los ámbitos mencionados, consulte Referencia de permisos de Microsoft Graph y Ámbitos y permisos en la plataforma de identidad de Microsoft.

Protección de la información del directorio

Si la directiva MFA de línea base recomendada sin exclusiones de aplicaciones no se puede configurar debido a motivos empresariales y la directiva de seguridad de la organización debe incluir ámbitos de privilegios bajos relacionados con el directorio (User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden), la alternativa es crear una directiva de acceso condicional independiente destinada a Windows Azure Active Directory (00000002-0000-0000-c000-000000000000). Windows Azure Active Directory (también denominado Azure AD Graph) es un recurso que representa los datos almacenados en el directorio, como usuarios, grupos y aplicaciones. El recurso de Windows Azure Active Directory se incluye en Todos los recursos, pero se puede destinar individualmente a las directivas de acceso condicional mediante los pasos siguientes:

1. Inicie sesión en el Centro de administración de Microsoft Entra como administrador de definición de atributos y administrador de asignación de atributos.
2. Vaya a Protección>Atributos de seguridad personalizados.
3. Cree un nuevo conjunto de atributos y una definición de atributo. Para obtener más información, consulte Agregar o desactivar definiciones de atributos de seguridad personalizados en Microsoft Entra ID.
4. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales.
5. Quite el filtro tipo de aplicación y busque el ID de aplicación que comienza con 00000002-0000-0000-c000-000000000000.
6. Seleccione Windows Azure Active Directory atributos de seguridad personalizados>>Agregar asignación.
7. Seleccione el conjunto de atributos y el valor de atributo que planea usar en la directiva.
8. Vaya a Protección>Acceso condicional>Directivas.
9. Cree o modifique una directiva existente.
10. En Recursos de destino>Recursos (anteriormente aplicaciones en la nube)>Incluir, seleccione >Seleccionar recursos>Editar filtro.
11. Ajuste el filtro para incluir el conjunto de atributos y la definición anteriores.
12. Guarde la directiva.

Todos los recursos de Internet con Acceso global seguro

La opción Todos los recursos de Internet con acceso seguro global permite a los administradores tener como destino el Perfil de reenvío de tráfico de acceso a Internet desde Microsoft Entra Internet Access.

Estos perfiles en acceso seguro global permiten a los administradores definir y controlar cómo se enruta el tráfico a través de Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra. Los perfiles de reenvío de tráfico se pueden asignar a dispositivos y redes remotas. Para ver un ejemplo de cómo aplicar una directiva de acceso condicional a estos perfiles de tráfico, consulte el artículo Cómo aplicar las directivas de acceso condicional al perfil de tráfico de Microsoft 365.

Para saber más sobre estos perfiles, consulte el artículo Perfiles de reenvío de tráfico de acceso seguro global.

Acciones del usuario

Las acciones del usuario son tareas que realiza un usuario. Actualmente, el Acceso condicional admite dos acciones del usuario:

• Registro de la información de seguridad: esta acción del usuario permite que la directiva de Acceso condicional se aplique cuando los usuarios que están habilitados para el registro combinado intentan registrar su información de seguridad. Para más información, consulte el artículo Registro de información de seguridad combinado.

Nota:

Cuando los administradores aplican una directiva dirigida a acciones de usuario para registrar información de seguridad, si la cuenta de usuario es un invitado de la cuenta personal de Microsoft (MSA), mediante el control "Requerir autenticación multifactor", requerirá que el usuario de MSA registre la información de seguridad en la organización. Si el usuario invitado procede de otro proveedor, como Google, se bloquea el acceso.

• Registrar o unir dispositivos: Esta acción del usuario permite a los administradores aplicar la directiva de acceso condicional cuando los usuarios registran o unen dispositivos a Microsoft Entra ID. Proporciona granularidad en la configuración de la autenticación multifactor para registrar o unir dispositivos en lugar de la directiva para todo el inquilino que existe actualmente. Existen tres consideraciones principales con esta acción de usuario:
  • Require multifactor authentication es el único control de acceso disponible con esta acción del usuario y todos los demás están deshabilitados. Esta restricción evita conflictos con controles de acceso que dependen del registro de dispositivos de Microsoft Entra o que no se pueden aplicar al registro de dispositivos de Microsoft Entra.
  • Las condiciones Client apps, Filters for devices y Device state no están disponibles con esta acción de usuario, ya que dependen del registro de dispositivos de Microsoft Entra para aplicar las directivas de acceso condicional.

Advertencia

Cuando se configura una directiva de acceso condicional con la acción del usuario Registrar o unir dispositivos, debe establecer Identidad>Dispositivos>Información general>Configuración del dispositivo - Require Multifactor Authentication to register or join devices with Microsoft Entra en No. De lo contrario, las directivas de acceso condicional con esta acción de usuario no se aplican correctamente. Puede encontrar más información sobre esta configuración de dispositivo en Configuración de las opciones de dispositivo.

Contexto de autenticación

El contexto de autenticación se puede usar para proteger aún más los datos y acciones de las aplicaciones. Estas aplicaciones pueden ser sus propias aplicaciones personalizadas, aplicaciones de línea de negocio (LOB) personalizadas, aplicaciones como SharePoint o aplicaciones protegidas por Microsoft Defender para aplicaciones en la nube.

Por ejemplo, una organización puede conservar archivos en sitios de SharePoint como, por ejemplo, el menú de comidas o la receta secreta de su salsa barbacoa. Todos los usuarios pueden acceder al sitio del menú de comidas, pero es posible que para acceder al sitio de la receta secreta de la salsa barbacoa tengan que utilizar un dispositivo administrado y aceptar condiciones de uso específicas.

El contexto de autenticación funciona con usuarios o identidades de carga de trabajo, pero no en la misma directiva de acceso condicional.

Configuración de contextos de autenticación

Los contextos de autenticación se administran en Protección del>Acceso condicional> Contexto de autenticación.

Para crear nuevas definiciones de contextos de autenticación, seleccione Nuevo contexto de autenticación. Las organizaciones están limitadas a un total de 99 definiciones de contexto de autenticación c1-c99. Configure los siguientes atributos:

• Nombre para mostrar es el nombre que se utiliza para identificar el contexto de autenticación en Microsoft Entra ID y a través de las aplicaciones que consumen contextos de autenticación. Se recomiendan nombres que se puedan usar en varios recursos, como dispositivos de confianza, para reducir el número de contextos de autenticación necesarios. Tener un conjunto reducido limita el número de redireccionamientos y proporciona una mejor experiencia para el usuario final.
• La Descripción proporciona más información sobre las directivas que usan los administradores y las que aplican contextos de autenticación a los recursos.
• Cuando está activada la casilla Publicar en aplicaciones, anuncia el contexto de autenticación a las aplicaciones y hace que estén disponibles para asignarlas. Si no está activada, el contexto de autenticación no está disponible para los recursos de nivel inferior.
• Identificador es de solo lectura y se usa en tokens y aplicaciones para definiciones de contexto de autenticación de solicitudes específicas. Se muestra aquí para casos de uso de solución de problemas y desarrollo.

Adición a la directiva de acceso condicional

Los administradores pueden seleccionar contextos de autenticación publicados en sus directivas de acceso condicional en Asignaciones>Aplicaciones en la nube o acciones y seleccionando Contexto de autenticación desde el menú Seleccionar a qué se aplica esta directiva.

Eliminación de un contexto de autenticación

Al eliminar un contexto de autenticación, asegúrese de que no hay ninguna aplicación que siga usándolo. De lo contrario, el acceso a los datos de la aplicación ya no está protegido. Para confirmar este requisito previo, compruebe en los registros de información de inicio de sesión si hay casos en los que se aplican las directivas de acceso condicional del contexto de autenticación.

Para eliminar un contexto de autenticación, no debe tener asignadas directivas de acceso condicional y no debe publicarse en aplicaciones. Este requisito ayuda a evitar la eliminación accidental de un contexto de autenticación que todavía está en uso.

Etiquetado de recursos con contextos de autenticación

Para más información sobre el uso del contexto de autenticación en las aplicaciones, consulte los artículos siguientes.

• Uso de etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint
• Microsoft Defender para aplicaciones en la nube
• Aplicaciones personalizadas

Pasos siguientes

• Acceso condicional: Condiciones
• Directivas de acceso condicional habituales
• ¿Cuáles son las dependencias de servicio del acceso condicional de Azure Active Directory?