Evaluación continua de acceso para Microsoft 365
Los servicios en la nube modernos que usan OAuth 2.0 para la autenticación se basan tradicionalmente en la caducidad del token de acceso para revocar el acceso de una cuenta de usuario. En la práctica, esto significa que incluso si un administrador revoca el acceso de una cuenta de usuario, el usuario seguirá teniendo acceso hasta que caduque el token de acceso, que para Microsoft 365 de manera predeterminada, solía ser hasta una hora después de que se produjera el evento de revocación inicial.
La evaluación de acceso continuo para Microsoft 365 y Microsoft Entra ID finaliza de forma proactiva las sesiones de usuario activas y aplica los cambios de directivas de inquilinos casi en tiempo real en lugar de depender de la caducidad de los tokens de acceso. Microsoft Entra ID notifica a los servicios de Microsoft 365 habilitados para la evaluación de acceso continuo (como SharePoint, Teams y Exchange) cuando la cuenta de usuario o el inquilino han cambiado de tal forma que requieren una reevaluación del estado de autenticación de la cuenta de usuario.
Cuando un cliente habilitado para la evaluación de acceso continuo, como Outlook, intenta acceder a Exchange con un token de acceso existente, el token es rechazado por el servicio, solicitando una nueva autenticación de Microsoft Entra. El resultado es una aplicación casi en tiempo real de los cambios en las cuentas de usuario y las directivas.
Estas son algunas ventajas adicionales:
Para un usuario malicioso que copia y exporta un token de acceso válido fuera de la organización, la evaluación continua de acceso previene el uso de este token a través de la directiva de localización de direcciones IP de Microsoft Entra. Con la evaluación de acceso continuo, Microsoft Entra ID sincroniza las directivas con los servicios compatibles de Microsoft 365, de modo que cuando un token de acceso intenta acceder al servicio desde fuera del rango de direcciones IP de la directiva, el servicio rechaza el token.
La evaluación continua del acceso mejora la resistencia al requerir menos renovaciones de tokens. Dado que los servicios de soporte reciben notificaciones proactivas sobre la necesidad de reautenticación, Microsoft Entra ID puede emitir tokens de mayor duración, por ejemplo, de más de una hora. Con tokens de vida más larga, los clientes no tienen que solicitar una actualización del token a Microsoft Entra ID con tanta frecuencia, por lo que la experiencia del usuario es más resistente.
He aquí algunos ejemplos de situaciones en las que la evaluación continua del acceso mejora la seguridad del control de acceso de los usuarios:
La contraseña de una cuenta de usuario se ha visto comprometida, por lo que un administrador invalida todas las sesiones existentes y restablece su contraseña desde el Centro de administración de Microsoft 365. Casi en tiempo real, se invalidan todas las sesiones de usuario existentes con los servicios de Microsoft 365.
Un usuario que trabaja en un documento en Word lleva su tableta a una cafetería pública que no está en un rango de direcciones IP definido y aprobado por el administrador. En la cafetería, se bloquea inmediatamente el acceso del usuario al documento.
Para Microsoft 365, la evaluación de acceso continuo es actualmente compatible con:
- Los servicios Exchange, SharePoint y Teams.
- Outlook, Teams, Office y OneDrive en un navegador web y para los clientes Win32, iOS, Android y Mac.
Microsoft está trabajando en servicios y clientes adicionales de Microsoft 365 para admitir la evaluación de acceso continuo.
La evaluación de acceso continuo se incluirá en todas las versiones de Office 365 y Microsoft 365. La configuración de directivas de acceso condicional requiere Microsoft Entra ID P1, que se incluye en todas las versiones de Microsoft 365.
Nota:
Consulte este artículo para conocer las limitaciones de la evaluación del acceso continuo.
Escenarios admitidos en Microsoft 365
La evaluación continua de acceso admite dos tipos de eventos:
- Los eventos críticos son aquellos en los que un usuario debe perder el acceso.
- La evaluación de directivas de acceso condicional se produce cuando un usuario debe perder el acceso a un recurso en función de una directiva definida por el administrador.
Los eventos críticos incluyen:
- La cuenta de usuario está deshabilitada
- La contraseña ha cambiado
- Las sesiones de usuario se han revocado
- Si la autenticación multifactor está habilitada para el usuario
- Aumento del riesgo de la cuenta basado en la evaluación del acceso desde Microsoft Entra ID Protection
La evaluación de la directiva de acceso condicional se produce cuando la cuenta de usuario ya no se conecta desde una red de confianza.
Los siguientes servicios de Microsoft 365 admiten actualmente la evaluación de acceso continuo mediante la escucha de eventos de Microsoft Entra ID.
| Tipo de cumplimiento | Exchange | SharePoint | Teams |
|---|---|---|---|
| Eventos críticos: | |||
| Revocación de usuario | Compatible | Admitido | Compatible |
| Riesgo de usuario | Compatible | No compatible | Compatible |
| Evaluación de directivas de acceso condicional: | |||
| Directiva de localización de direcciones IP | Compatible | Admitido* | Compatible \*\* |
* El acceso al navegador web de SharePoint Office admite la aplicación instantánea de directivas IP mediante la activación del modo estricto. Sin el modo estricto, la vida útil del token de acceso es de una hora.
** Las llamadas, reuniones y chat en Teams no se ajustan a las directivas de acceso condicional basadas en IP.
Para más información sobre cómo configurar una directiva de acceso condicional, consulte este artículo.
Clientes de Microsoft 365 compatibles con la evaluación de acceso continuo
Los clientes habilitados para la evaluación de acceso continuo para Microsoft 365 admiten una impugnación de notificación, que es una redirección de una sesión de usuario a Microsoft Entra ID para su reautenticación, cuando un token de usuario almacenado en caché es rechazado por un servicio de Microsoft 365 habilitado para la evaluación de acceso continuo.
Los siguientes clientes admiten la evaluación de acceso continuo en web, Win32, iOS, Android y Mac:
- Outlook
- Teams
- Office*
- SharePoint
- OneDrive
* La impugnación de notificaciones no es compatible con Office para web.
Para los clientes que no admiten la evaluación de acceso continuo, la duración del token de acceso a Microsoft 365 sigue siendo de una hora de forma predeterminada.