Creación de una directiva de acceso condicional

Como se explica en el artículo ¿Qué es el acceso condicional?, una directiva de acceso condicional es una instrucción if-then, de asignaciones y controles de acceso. Una directiva de acceso condicional reúne las señales para tomar decisiones y aplicar las directivas de la organización.

¿Cómo una organización crea estas directivas? ¿Qué se necesita? ¿Cómo se aplican?

Varias directivas de acceso condicional pueden aplicarse a un usuario individual en cualquier momento. En este caso, se tienen que satisfacer todas las directivas que se aplican. Por ejemplo, si una directiva exige la autenticación multifactor (MFA) y otra requiere un dispositivo compatible, tendrá que completar la MFA y usar un dispositivo compatible. A todas las asignaciones se les asigna la operación lógica AND. Si tiene más de una asignación configurada, se deben satisfacer todas las asignaciones para desencadenar una directiva.

Si se selecciona una directiva en la que se selecciona "Requerir uno de los controles seleccionados", se solicita en el orden definido; en cuanto se cumplen los requisitos de la directiva, se concede acceso.

Todas las directivas se aplican en dos fases:

• Fase 1: Recopilación de detalles de la sesión
  • Recopile los detalles de la sesión, como la ubicación de red y la identidad del dispositivo necesarias para la evaluación de directivas.
  • La fase 1 de la evaluación de la directiva se produce para todas las directivas habilitadas, así como para las directivas en modo de solo informe.
• Fase 2: Cumplimiento
  • Use los detalles de la sesión recopilados en la fase 1 para identificar los requisitos que no se cumplen.
  • Si hay una política configurada con el control de concesión bloquear, la aplicación se detiene aquí y el usuario queda bloqueado.
  • Se pide al usuario que complete más requisitos de control de concesión que no se hayan cumplido durante la fase 1 en el orden siguiente, hasta que se cumpla la directiva:
    1. Autenticación multifactor
    2. Dispositivo que se marcará como compatible
    3. Dispositivos híbridos unidos a Microsoft Entra
    4. Aplicaciones cliente aprobadas
    5. Directiva de protección de aplicaciones
    6. Cambio de contraseña
    7. Condiciones de uso
    8. Controles personalizados
  • Una vez satisfechos todos los controles de concesión, aplique controles de sesión (Aplicación aplicada, Microsoft Defender for Cloud Apps y duración del token)
  • La fase 2 de la evaluación de directivas se realiza para todas las directivas habilitadas.

Assignments

La parte de las asignaciones controla el quién, el qué y el dónde de una directiva de acceso condicional.

Usuarios y grupos

Usuarios y grupos asignan a quién incluye o excluye la directiva cuando se aplica. Esta asignación puede incluir a todos los usuarios, grupos específicos de usuarios, roles de directorio o usuarios invitados externos.

Recursos de destino

Los recursos objetivo pueden incluir o excluir aplicaciones en la nube, acciones de usuario o contextos de autenticación sujetos a la política.

Red

Red contiene direcciones IP, geografías y red compatible con el Acceso seguro global a las decisiones de directiva de Acceso condicional. Los administradores pueden elegir definir las ubicaciones y marcar algunas como de confianza, como aquellas para las ubicaciones de red principales de su organización.

Condiciones

Una directiva puede contener varias condiciones.

Riesgo de inicio de sesión

En el caso de las organizaciones con Microsoft Entra ID Protection, las detecciones de riesgo generadas pueden influir en las directivas de acceso condicional.

Plataformas de dispositivo

Las organizaciones con varias plataformas de sistema operativo de dispositivos pueden aplicar directivas específicas en distintas plataformas.

La información que se usa para calcular la plataforma de dispositivo procede de orígenes no comprobados, como cadenas de agente de usuario que se pueden modificar.

Aplicaciones cliente

El software que emplea el usuario para acceder a la aplicación en la nube. Por ejemplo, "Explorador" y "Aplicaciones móviles y clientes de escritorio". De manera predeterminada, todas las directivas de acceso condicional recién creadas se aplican a todos los tipos de aplicaciones cliente, incluso si la condición de las aplicaciones cliente no está configurada.

Filtro para dispositivos

Este control permite dirigirse a dispositivos específicos en función de sus atributos en una directiva.

Controles de acceso

La parte de controles de acceso de la directiva de acceso condicional controla cómo se aplica una directiva.

Conceder

Concesión proporciona a los administradores un medio de aplicación de directivas en el que pueden bloquear o conceder acceso.

Bloquear acceso

Bloquear el acceso solo hace eso, bloquea el acceso en las asignaciones especificadas. El control de bloqueo es eficaz y se debe manejar con el conocimiento adecuado.

Conceder acceso

Conceder acceso puede desencadenar la aplicación de uno o más controles.

• Requiere autenticación multifactor
• Requerir que el dispositivo esté marcado como compatible (Intune)
• Requerir un dispositivo híbrido unido a Microsoft Entra
• Requerir aplicación cliente aprobada
• Requerir la directiva de protección de aplicaciones
• Requerir cambio de contraseña
• Requerir condiciones de uso

Los administradores pueden elegir si requerir uno de los controles anteriores o todos los controles seleccionados mediante las opciones siguientes. El valor predeterminado para varios controles es requerirlos todos.

• Requerir todos los controles seleccionados (control y control)
• Requerir uno de los controles seleccionados (control o control)

Sesión

Los controles de sesión pueden limitar la experiencia de los usuarios.

• Usar restricciones que exige la aplicación
  • Actualmente solo funciona con Exchange Online y SharePoint Online.
  • Pasa información del dispositivo para permitir el control de la experiencia que concede acceso completo o limitado.
• Usar el Control de aplicaciones de acceso condicional
  • Usa señales de Microsoft Defender for Cloud Apps para hacer cosas como:
    • Bloquear las acciones de descargar, cortar, copiar e imprimir documentos confidenciales.
    • Supervisar el comportamiento de sesión de riesgo.
    • Requerir el etiquetado de archivos confidenciales.
• Frecuencia de inicio de sesión
  • Capacidad para cambiar la frecuencia de inicio de sesión predeterminada para la autenticación moderna.
• Sesión del explorador persistente
  • Permite a los usuarios permanecer conectados después de cerrar y volver a abrir la ventana del explorador.
• Personalización de la evaluación continua de acceso
• Deshabilitar valores predeterminados de resistencia

Directivas simples

Una directiva de acceso condicional debe contener, como mínimo, lo siguiente para que se aplique:

• El nombre de la directiva.
• Assignments
  • Los usuarios o grupos a los que se les va a aplicar la directiva.
  • Las aplicaciones o acciones en la nube a las que se les va a aplicar la directiva.
• Controles de acceso
  • Controles para conceder o bloquear el acceso

El artículo Directivas de acceso condicional habituales incluye algunas directivas que pensamos que serían útiles para la mayoría de las organizaciones.

Contenido relacionado

• Creación de una directiva de acceso condicional

• Administración del cumplimiento del dispositivo con Intune

• Microsoft Defender for Cloud Apps y acceso condicional