¿Qué son las acciones protegidas en microsoft Entra ID?
Las acciones protegidas en Microsoft Entra ID son permisos a los que se han asignado directivas de acceso condicional. Cuando un usuario intenta realizar una acción protegida, primero debe satisfacer las directivas de acceso condicional asignadas a los permisos necesarios. Por ejemplo, para permitir que los administradores actualicen las directivas de acceso condicional, puede requerir que primero cumplan la directiva de MFA resistente a suplantación de identidad (phishing).
En este artículo se proporciona información general sobre la acción protegida y cómo empezar a usarlos.
¿Por qué usar acciones protegidas?
Las acciones protegidas se usan cuando se desea agregar una capa adicional de protección. Las acciones protegidas se pueden aplicar a los permisos que requieren una protección segura de directivas de acceso condicional, independientemente del rol que se use o de cómo se haya concedido al usuario el permiso. Dado que la aplicación de la directiva se produce en el momento en que el usuario intenta realizar la acción protegida y no durante la activación de la regla o el inicio de sesión del usuario, solo se solicita a los usuarios cuando sea necesario.
¿Qué directivas se usan normalmente con acciones protegidas?
Se recomienda usar la autenticación multifactor en todas las cuentas, especialmente las cuentas con roles con privilegios. Las acciones protegidas se pueden usar para requerir seguridad adicional. Estas son algunas políticas comunes de acceso condicional más estrictas.
- Fortalezas de autenticación MFA más fuertes, como MFA Sin Contraseña o MFA Resistente a la Suplantación de Identidad (Phishing),
- Estaciones de trabajo de acceso con privilegios, mediante filtros de dispositivo de directiva de acceso condicional.
- Tiempos de espera de sesión más cortos, mediante controles de sesión de frecuencia de inicio de sesión de acceso condicional.
¿Qué permisos se pueden usar con acciones protegidas?
Las directivas de acceso condicional se pueden aplicar a un conjunto limitado de permisos. Puede usar acciones protegidas en las siguientes áreas:
- Administración de directivas de acceso condicional
- Administración de las configuraciones de acceso entre inquilinos
- Eliminación dura de algunos objetos de directorio
- Reglas personalizadas que definen ubicaciones de red
- Administración de acciones protegidas
Este es el conjunto inicial de permisos:
| Permiso | Descripción |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Actualización de las propiedades básicas de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Crear directivas de acceso condicional |
| microsoft.directory/politicasDeAccesoCondicional/eliminar | Eliminar directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/basic/update | Actualización de las propiedades básicas de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Creación de directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminación de directivas de acceso condicional |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Actualizar los puntos de conexión de nube permitidos de la directiva de acceso entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Actualizar la configuración de colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Actualizar la configuración de la conexión directa B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos predeterminada. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos predeterminada. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Actualizar la configuración de colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos para asociados. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Actualizar la configuración de conexión directa de Microsoft Entra B2B de la directiva de acceso entre inquilinos para asociados. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Crear una directiva de acceso entre inquilinos para asociados. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos para asociados. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminar una directiva de acceso entre inquilinos para asociados. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos para los asociados. |
| microsoft.directory/deletedItems/delete | Eliminar permanentemente objetos, que ya no se pueden restaurar |
| microsoft.directory/namedLocations/basic/update | Actualización de las propiedades básicas de reglas personalizadas que definen ubicaciones de red |
| microsoft.directory/namedLocations/create | Creación de reglas personalizadas que definen ubicaciones de red |
| microsoft.directory/namedLocations/delete | Eliminación de reglas personalizadas que definen ubicaciones de red |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Actualizar el contexto de autenticación de acceso condicional de las acciones de recursos de control de acceso basado en rol (RBAC) de Microsoft 365 |
Eliminación de objetos de directorio
Microsoft Entra ID admite dos tipos de eliminación para la mayoría de los objetos de directorio: eliminación temporal y eliminación dura. Cuando se elimina temporalmente un objeto de directorio, el objeto, sus valores de propiedad y relaciones se conservan en la papelera de reciclaje durante 30 días. Un objeto eliminado temporalmente se puede restaurar con el mismo identificador y todos los valores de propiedad y relaciones intactos. Cuando se elimina de forma permanente un objeto eliminado temporalmente, el objeto se elimina permanentemente y no se puede volver a crear con el mismo identificador de objeto.
Para ayudar a protegerse frente a eliminaciones accidentales o malintencionadas de algunos objetos de directorio eliminados temporalmente de la papelera de reciclaje y la pérdida permanente de datos, puede agregar una acción protegida para el siguiente permiso. Esta eliminación se aplica a usuarios, grupos de Microsoft 365 y aplicaciones.
- microsoft.directory/deletedItems/delete
¿Cómo se comparan las acciones protegidas con la activación de roles de Privileged Identity Management?
Activación de roles de Privileged Identity Management también se pueden asignar directivas de acceso condicional. Esta funcionalidad solo permite la aplicación de directivas cuando un usuario activa un rol, lo que proporciona la protección más completa. Las acciones protegidas solo se aplican cuando un usuario realiza una acción que requiere permisos con la directiva de acceso condicional asignada. Las acciones protegidas permiten proteger los permisos de alto impacto, independientemente de un rol de usuario. La activación de roles de Privileged Identity Management y las acciones protegidas se pueden usar conjuntamente para una mayor cobertura.
Pasos para usar acciones protegidas
Nota
Debe realizar estos pasos en la secuencia siguiente para asegurarse de que las acciones protegidas están configuradas y aplicadas correctamente. Si no sigue este orden, podría obtener un comportamiento inesperado, como que reciba solicitudes repetidas para reautenticar.
Comprobación de permisos
Compruebe que tiene asignados los roles de administrador de acceso condicional o de administrador de seguridad . Si no es así, consulte con el administrador para asignar el rol adecuado.
Configurar la directiva de acceso condicional
Configure un contexto de autenticación de acceso condicional y una directiva de acceso condicional asociada. Las acciones protegidas usan un contexto de autenticación, que permite la aplicación de directivas para recursos específicos en un servicio, como los permisos de Microsoft Entra. Una buena directiva con la que empezar es requerir MFA sin contraseña y excluir una cuenta de emergencia. Más información
Agregar acciones protegidas
Agregue acciones protegidas mediante la asignación de valores de contexto de autenticación de acceso condicional a los permisos seleccionados. Más información
Probar acciones protegidas
Inicie sesión como usuario y pruebe la experiencia del usuario realizando la acción protegida. Se le pedirá que cumpla los requisitos de la directiva de acceso condicional. Por ejemplo, si la directiva requiere autenticación multifactor, se le redirigirá a la página de inicio de sesión y se le pedirá autenticación segura. Más información
¿Qué ocurre con las aplicaciones y acciones protegidas?
Si una aplicación o servicio intenta realizar una acción de protección, debe poder controlar la directiva de acceso condicional necesaria. En algunos casos, un usuario podría necesitar intervenir y satisfacer la directiva. Por ejemplo, podrían ser necesarios para completar la autenticación multifactor. Las siguientes aplicaciones admiten la autenticación paso a paso por paso para acciones protegidas:
- Experiencias del administrador de Microsoft Entra para las acciones del centro de administración de Microsoft Entra
- PowerShell de Microsoft Graph
- Explorador de Graph
Hay algunas limitaciones conocidas y esperadas. Se producirá un error en las siguientes aplicaciones si intentan realizar una acción protegida.
- Azure PowerShell
- Azure AD PowerShell
- Crear una nueva página de términos de uso o un control personalizado en el Centro de administración de Microsoft Entra. Las nuevas páginas de términos de uso o controles personalizados se registran con Acceso Condicional, por lo que están sujetas a acciones protegidas de creación, actualización y eliminación dentro del Acceso Condicional. Al quitar temporalmente el requisito de directiva de las acciones de creación, actualización y eliminación de acceso condicional, se permitirá la creación de una nueva página de términos de uso o un control personalizado.
Si su organización ha desarrollado una aplicación que llama a Microsoft Graph API para realizar una acción protegida, debe revisar el ejemplo de código para saber cómo controlar un desafío de notificaciones mediante la autenticación paso a paso. Para obtener más información, consulte guía para desarrolladores sobre el contexto de autenticación de acceso condicional.
Procedimientos recomendados
Estos son algunos procedimientos recomendados para usar acciones protegidas.
Tener una cuenta de emergencia
Al configurar directivas de acceso condicional para acciones protegidas, asegúrese de tener una cuenta de emergencia que se excluya de la directiva. Esto proporciona una mitigación contra el bloqueo accidental.
Traslado de usuarios y de directivas de riesgo de inicio de sesión al acceso condicional
Los permisos de acceso condicional no se utilizan al gestionar las directivas de riesgo de Microsoft Entra ID Protection. Se recomienda mover las directivas de riesgo de usuario e inicio de sesión al acceso condicional.
Uso de ubicaciones de red con nombre
Los permisos de ubicación de red con nombre no se usan al administrar direcciones IP de confianza de autenticación multifactor. Se recomienda usar ubicaciones de red con nombre.
No usar acciones protegidas para bloquear el acceso en función de la identidad o la pertenencia a grupos
Las acciones protegidas se usan para aplicar un requisito de acceso para realizar una acción protegida. No están diseñados para bloquear el uso de un permiso solo en función de la identidad del usuario o la pertenencia a grupos. Quién tiene acceso a permisos específicos es una decisión de autorización y debe controlarse mediante la asignación de roles.
Requisitos de licencia
El uso de esta característica requiere licencias de Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.