Planificación de directivas de acceso condicional

  • 8 minutos

El planeamiento de la implementación del acceso condicional es fundamental para conseguir la estrategia de acceso para las aplicaciones y los recursos de su organización.

En un mundo que da prioridad a los dispositivos móviles y la nube, los usuarios tienen acceso a los recursos de su organización desde cualquier parte mediante diversos dispositivos y aplicaciones. Como resultado, ya no es suficiente con centrarse en quién puede acceder a un recurso. También debe tener en cuenta dónde se encuentra el usuario, el dispositivo en uso, el recurso al que se tiene acceso, etc.

El acceso condicional (CA) de Microsoft Entra analiza señales como el usuario, el dispositivo y la ubicación para automatizar las decisiones y aplicar las directivas de acceso de la organización para el recurso. Puede usar directivas de CA para aplicar controles de acceso como la autenticación multifactor (MFA). Las directivas de CA le permiten solicitar a los usuarios MFA cuando sea necesario para la seguridad y dejarles cuando no lo sea.

Diagrama de cómo funciona el acceso condicional. El proveedor de identidad centraliza la comprobación de las reglas antes de conceder acceso.

Aunque los valores predeterminados de seguridad garantizan un nivel básico de seguridad, la organización necesita más flexibilidad que la que ofrecen estos valores. Puede usar la ENTIDAD de certificación para personalizar los valores predeterminados de seguridad con más granularidades y configurar nuevas directivas que cumplan sus requisitos.

Ventajas

Las ventajas de implementar el acceso condicional son:

  • Para aumentar la productividad: solo interrumpe a los usuarios con una condición de inicio de sesión como MFA cuando una o más señales lo justifican. Las directivas de CA le permiten controlar cuándo se solicita a los usuarios la MFA, cuándo se bloquea el acceso y cuándo deben usar un dispositivo de confianza.
  • Administrar el riesgo: automatizar la evaluación de riesgos con políticas específicas significa que los inicios de sesión arriesgados se identifican y se corrigen o bloquean de inmediato. El acoplamiento del acceso condicional con Identity Protection, que detecta anomalías y eventos sospechosos, le permite establecer un destino cuando el acceso a los recursos se bloquea o se valida.
  • Abordar el cumplimiento y la gobernanza: el acceso condicional le permite auditar el acceso a las aplicaciones, presentar los términos de uso para el consentimiento y restringir el acceso en función de las directivas de cumplimiento.
  • Gestionar los costos: mover las políticas de acceso a Microsoft Entra ID reduce la dependencia de soluciones personalizadas o locales para CA y sus costos de infraestructura.
  • Confianza cero: el acceso condicional le ayuda a avanzar hacia un entorno de confianza cero.

Comprensión de los componentes de la directiva de acceso condicional

Las directivas de CA son instrucciones if-then: si se cumple una asignación, aplique estos controles de acceso. Cuando el administrador configura las directivas de CA, las condiciones se denominan asignaciones. Las directivas de CA permiten exigir controles de acceso en las aplicaciones de la organización según determinadas condiciones.

Captura de pantalla del cuadro de diálogo de acceso condicional con la pantalla de creación de directivas abierta para la configuración.

Las asignaciones definen los usuarios y grupos que se verán afectados por la directiva, las aplicaciones en la nube o las acciones a las que se aplicará la directiva y las condiciones en las que se aplicará. La configuración de control de acceso concede o bloquea el acceso a diferentes aplicaciones en la nube y puede habilitar experiencias limitadas en aplicaciones en la nube específicas.

Algunas preguntas comunes sobre las asignaciones, los controles de acceso y los controles de sesión:

  • Usuarios y grupos: ¿qué usuarios y grupos se incluirán o se excluirán de la directiva? ¿Incluye esta directiva a todos los usuarios, grupos específicos de usuarios, roles de directorio o usuarios externos?
  • Aplicaciones o acciones en la nube: ¿a qué aplicaciones se aplicará la directiva? ¿Qué acciones del usuario estarán sujetas a esta directiva?
  • Condiciones: ¿qué plataformas de dispositivos se incluirán o se excluirán de la directiva? ¿Cuáles son las ubicaciones de confianza de la organización?
  • Controles de acceso: ¿Desea conceder acceso a los recursos mediante la implementación de requisitos como la MFA, dispositivos marcados como compatibles o dispositivos híbridos unidos a Microsoft Entra?
  • Controles de sesión: ¿quiere controlar el acceso a las aplicaciones en la nube mediante la implementación de requisitos como el control de aplicaciones de acceso condicional o permisos que exige la aplicación ?

Emisión de tokens de acceso

Los tokens de acceso permiten a los clientes llamar de forma segura a las API web protegidas, que los usan para realizar la autenticación y la autorización. Según la especificación de OAuth, los tokens de acceso son cadenas opacas sin un formato establecido. Algunos proveedores de identidades (IDP) utilizan GUID; otros, usan blobs cifrados. La Plataforma de identidad de Microsoft usa una variedad de formatos de token de acceso en función de la configuración de la API que acepta el token.

Es importante comprender cómo se emiten los tokens de acceso.

Diagrama del flujo de emisión de un token de acceso para el acceso condicional y cómo se usa.

Nota

Si no se requiere ninguna asignación y no hay ninguna directiva de CA en vigor, el comportamiento predeterminado será emitir un token de acceso.

Por ejemplo, considere una directiva en la que:

Si el usuario está en el Grupo 1, fuerce la MFA para tener acceso a la Aplicación 1.

SI un usuario que no está en el grupo 1 intenta acceder a la aplicación, se cumple la condición "if" y se emite un token. Para excluir a los usuarios del Grupo 1 se requiere una directiva independiente para bloquear a todos los demás usuarios.

Seguimiento de los procedimientos recomendados

El marco de acceso condicional proporciona una gran flexibilidad de configuración. Sin embargo, una gran flexibilidad también implica revisar cuidadosamente cada directiva de configuración antes de liberarla para evitar resultados no deseados.

Configurar cuentas de acceso de emergencia

Si configura mal una directiva, esto puede bloquear las organizaciones de Azure Portal. Mitigue el bloqueo accidental del administrador mediante la creación de dos o más cuentas de acceso de emergencia en la organización. Obtendrá más información sobre las cuentas de acceso de emergencia más adelante en este curso.

Configurar el modo de solo informe

Puede ser difícil predecir el número y los nombres de los usuarios afectados por iniciativas de implementación comunes como, por ejemplo:

  • Bloqueo de la autenticación heredada.
  • Requerimiento de MFA.
  • Implementación de directivas de riesgo de inicio de sesión.

El modo de solo informe permite a los administradores evaluar las directivas de CA antes de habilitarlas en su entorno.

Exclusión de los países desde los que nunca espera un inicio de sesión

Microsoft Entra ID permite crear ubicaciones con nombre. Cree una ubicación con nombre que incluya todos los países desde los que nunca esperaría que se produjera un inicio de sesión. Después, cree una directiva para todas las aplicaciones que bloquee el inicio de sesión desde esa ubicación con nombre. Asegúrese de excluir a los administradores de esta directiva.

Directivas comunes

Al planear la solución de directiva de CA, determine si necesita crear directivas para lograr los siguientes resultados.

  • MFA necesaria. Entre los casos de uso más comunes se incluyen la exigencia de MFA por parte de los administradores para aplicaciones específicas para todos los usuarios o desde las ubicaciones de red en las que no confíe.

  • Responder ante las posibles cuentas en peligro. Se pueden habilitar tres directivas predeterminadas: requerir a todos los usuarios que se registren en MFA, requerir un cambio de contraseña para los usuarios que son de alto riesgo y requerir MFA para los usuarios con riesgo de inicio de sesión medio o alto.

  • Requerir dispositivos administrados. La proliferación de dispositivos compatibles para acceder a recursos en la nube ayuda a mejorar la productividad de los usuarios. Es posible que no desee que dispositivos con un nivel de protección desconocido tengan acceso a determinados recursos del entorno. Para estos recursos, haga que los usuarios solo puedan acceder a ellos mediante un dispositivo administrado.

  • Requerir aplicaciones cliente aprobadas. Los empleados usan sus dispositivos móviles para tareas personales y profesionales. En el caso de los escenarios de BYOD, debe decidir si desea administrar todo el dispositivo o solo los datos que contenga. Si solo se administran datos y acceso, puede requerir aplicaciones en la nube aprobadas que puedan proteger los datos corporativos.

  • Acceso bloqueado El bloqueo del acceso invalida todas las demás asignaciones de un usuario y tiene la capacidad de impedir que la organización completa inicie sesión en el inquilino. Se puede usar, por ejemplo, al migrar una aplicación a Microsoft Entra ID, pero aún no está listo para que nadie inicie sesión en ella. También puede impedir que algunas ubicaciones de red accedan a las aplicaciones en la nube o que las aplicaciones que usan la autenticación heredada tengan acceso a los recursos del inquilino.

    Importante

    Si crea una directiva para bloquear el acceso a todos los usuarios, asegúrese de excluir las cuentas de acceso de emergencia y considere la posibilidad de excluir a todos los administradores de la directiva.

Compilación y prueba de directivas

En cada fase de la implementación, asegúrese de que está evaluando que los resultados son los esperados.

Cuando las nuevas directivas estén listas, impleméntelas en fases en el entorno de producción:

  • Comunique los cambios internos a los usuarios finales.
  • Empiece por un conjunto de usuarios pequeño y verifique que la directiva se comporta según lo previsto.
  • Cuando expanda una directiva para incluir más usuarios, continúe con la exclusión de todos los administradores. La exclusión de los administradores garantiza que alguien aún tenga acceso a la directiva en caso de que se requieran cambios.
  • Aplique una directiva a todos los usuarios solo después de que se haya probado exhaustivamente. Asegúrese de que tiene al menos una cuenta de administrador a la que no se aplica una directiva.

Creación de usuarios de prueba

Cree un conjunto de usuarios de prueba que reflejen los usuarios del entorno de producción. La creación de usuarios de prueba permite verificar que las directivas funcionan según lo previsto antes de aplicarlas a usuarios reales y puedan impedir su acceso a aplicaciones y recursos.

Algunas organizaciones tienen inquilinos de prueba para este propósito. Sin embargo, puede resultar difícil volver a crear todas las condiciones y las aplicaciones en un inquilino de prueba para probar completamente el resultado de una directiva.

Creación de un plan de pruebas

El plan de pruebas es importante para tener una comparación entre los resultados previstos y los reales. Antes de probar algo debe tener siempre una previsión. En la siguiente tabla se muestran casos de prueba de ejemplo. Ajuste los escenarios y los resultados previstos en función de la configuración de sus directivas de acceso condicional.

Nombre de la directiva Escenario Resultado esperado
Requerir MFA al trabajar El usuario autorizado inicia sesión en la aplicación desde la oficina o una ubicación de confianza Al usuario no se le solicita la autenticación multifactor El usuario está autorizado para el acceso. El usuario se conecta desde una ubicación de confianza. Puede optar por requerir MFA en este caso.
Requerir MFA al trabajar El usuario autorizado inicia sesión en la aplicación desde otro lugar distinto a la oficina o a una ubicación de confianza Al usuario se le solicita la autenticación multifactor para iniciar sesión
Exigir autenticación multifactor (para administradores) El administrador global inicia sesión en la aplicación Al administrador se le solicita autenticación multifactor
Inicios de sesión de riesgo El usuario inicia sesión en la aplicación usando un explorador no aprobado Al usuario se le solicita autenticación multifactor
Administración de dispositivos El usuario autorizado intenta iniciar sesión desde un dispositivo autorizado El acceso se le concede
Administración de dispositivos El usuario autorizado intenta iniciar sesión desde un dispositivo no autorizado Acceso bloqueado
Cambio de contraseña en caso de riesgo del usuario El usuario autorizado intenta iniciar sesión con credenciales en peligro (inicio de sesión de alto riesgo) Al usuario se le solicita que cambie la contraseña o se le bloquea el acceso de conformidad con la directiva

Requisitos de licencia

  • Microsoft Entra ID gratis: sin acceso condicional
  • Suscripción de Office 365 gratuita: sin acceso condicional
  • Microsoft Entra Premium 1 (o Microsoft 365 E3 y versiones posteriores): trabajo de acceso condicional basado en reglas estándar
  • Microsoft Entra Premium 2: acceso condicional, y obtiene la capacidad de usar el inicio de sesión de riesgo, los usuarios de riesgo y las opciones de inicio de sesión basadas en riesgos también (desde Identity Protection)