Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La protección de tokens es un control de sesión de acceso condicional que intenta reducir los ataques de reproducción de tokens al asegurarse de que Microsoft Entra ID solo acepte los tokens de sesión de inicio de sesión enlazados al dispositivo, como los Primary Refresh Tokens (PRT), cuando las aplicaciones soliciten acceso a los recursos protegidos.
Cuando un usuario registra un dispositivo compatible con Microsoft Entra, se emite un PRT y se enlaza criptográficamente a ese dispositivo. Este enlace garantiza que incluso si un actor de amenazas roba el token, no se puede usar desde otro dispositivo. Con la protección de tokens aplicada, Microsoft Entra valida que solo las aplicaciones compatibles usan estos tokens de sesión de inicio de sesión enlazados.
Note
Use la protección de tokens como parte de una estrategia más amplia de defensa en profundidad contra el robo de tokens. Para obtener más información, consulte Protecting tokens in Microsoft Entra.
Disponibilidad de la plataforma
| Plataforma | Situación |
|---|---|
| Windows | Disponibilidad general |
| iOS/iPadOS | Versión preliminar |
| macOS | Versión preliminar |
Note
La protección de tokens solo admite actualmente aplicaciones nativas. No se admiten aplicaciones basadas en explorador.
Recursos compatibles
La directiva de protección de tokens se puede aplicar en los siguientes recursos en la nube:
- Exchange Online
- SharePoint Online
- Microsoft Teams
En Windows, también se admite el cumplimiento de las políticas para:
- Azure Virtual Desktop
- Windows 365
Dispositivos compatibles
Windows:
- Windows 10 o dispositivos con Windows 10 o más recientes que estén unidos a Microsoft Entra, híbridamente unidos a Microsoft Entra, o registrados en Microsoft Entra. Consulte la sección limitaciones conocidas de la guía de implementación adecuada para los tipos de dispositivo no admitidos.
- Windows Server 2019 o versiones más recientes que están unidos a un entorno híbrido de Microsoft Entra.
- Para obtener pasos detallados sobre cómo registrar el dispositivo, consulta Registrar tu dispositivo personal en tu red profesional o educativa.
Apple (versión preliminar):
- macOS 14.0 o posterior. Requiere el complemento de inicio de sesión único (SSO) de Microsoft Enterprise. Como alternativa, también puede usar el SSO de la plataforma. Solo se admiten dispositivos administrados por MDM.
- iOS/ iPadOS 16.0 o posterior. Requiere el complemento Microsoft Enterprise SSO. Solo se admiten dispositivos administrados por MDM.
- Para obtener pasos detallados sobre cómo realizar la configuración, consulte Habilitar el complemento SSO de Microsoft Enterprise y la configuración de Platform SSO para macOS.
Deployment
Para minimizar la probabilidad de interrupción del usuario debido a la incompatibilidad de aplicaciones o dispositivos, siga estas recomendaciones:
- Comience con un grupo piloto de usuarios y expanda con el tiempo.
- Cree una directiva de acceso condicional en modo de solo informe antes de aplicar la protección de tokens.
- Capture registros de inicio de sesión interactivos y no interactivos.
- Analice estos registros durante suficiente tiempo como para cubrir el uso normal de la aplicación.
- Agregue usuarios conocidos y confiables a una directiva de cumplimiento.
Este proceso ayuda a evaluar la compatibilidad del cliente y la aplicación de tus usuarios para la aplicación de la protección de tokens.
Guías de implementación
Seleccione la guía de la plataforma de destino:
- Windows: guía de implementación de Token Protection: Windows
- iOS, iPadOS y macOS: guía de implementación de Protección de tokens: Apple