Implementación de controles y asignaciones de directivas de acceso condicional

  • 8 minutos

Visual Studio App Center admite el acceso condicional de Microsoft Entra ID, una característica avanzada de Microsoft Entra ID que le permite especificar directivas detalladas que controlan quién puede tener acceso a los recursos. Con el acceso condicional, puede proteger las aplicaciones mediante la limitación del acceso de los usuarios en función de aspectos como el grupo, el tipo de dispositivo, la ubicación y el rol.

Configuración del acceso condicional

Se trata de una guía abreviada para configurar el acceso condicional. La documentación completa está disponible en ¿Qué es el acceso condicional?.

En Azure Portal, abra el inquilino de Active Directory y, a continuación, abra la configuración de seguridad y seleccione Acceso condicional.

En Configuración de acceso condicional , seleccione Nueva directiva para crear una directiva.

Captura de pantalla de la pantalla Acceso condicional de Microsoft Entra, enumerando las directivas que existen actualmente.

En Nueva configuración de directiva , seleccione Aplicaciones en la nube o acciones y Seleccione Visual Studio App Center como destino de la directiva. A continuación, seleccione las demás condiciones que quiera aplicar, habilite la directiva y seleccione Crear para guardarla.

Captura de pantalla de la página Acceso condicional de Microsoft Entra: Aplicaciones en la nube o acciones para la configuración.

Acceso condicional basado en el riesgo del inicio de sesión

La mayoría de los usuarios tienen un comportamiento normal del que se puede realizar un seguimiento. Cuando se encuentran fuera de esta norma, podría ser arriesgado permitirles iniciar sesión simplemente. Es posible que deba bloquear a ese usuario o pídale que realice la autenticación multifactor para demostrar que realmente es quien dice ser.

Un riesgo de inicio de sesión representa la probabilidad de que el propietario de la identidad no haya autorizado una solicitud de autenticación determinada. Las organizaciones con licencias de Microsoft Entra ID Premium P2 pueden crear directivas de acceso condicional que incorporen detecciones de riesgo de inicio de sesión de Microsoft Entra Identity Protection.

Esta directiva se puede asignar a través del propio acceso condicional o a través de Microsoft Entra ID Identity Protection. Las organizaciones deben elegir una de las dos opciones para habilitar una directiva de acceso condicional basada en riesgos de inicio de sesión que requiere un cambio de contraseña segura.

Acceso condicional basado en el riesgo del usuario

Microsoft trabaja con investigadores, cuerpos legales, varios equipos de seguridad de Microsoft y otros orígenes de confianza para buscar pares de nombre de usuario y contraseña filtrados. Las organizaciones con licencias de Microsoft Entra ID Premium P2 pueden crear directivas de acceso condicional que incorporen detecciones de riesgo de usuario de Microsoft Entra Identity Protection.

Al igual que el acceso condicional basado en el riesgo de inicio de sesión, esta directiva se puede asignar a través del propio acceso condicional o a través de Microsoft Entra Identity Protection.

Protección del registro de información de seguridad

Proteger cuándo y cómo se registran los usuarios para la autenticación multifactor y el restablecimiento de contraseñas de autoservicio ya es posible con las acciones del usuario en la directiva de acceso condicional. Esta característica en vista previa está disponible para organizaciones que han habilitado la vista previa del registro combinado. Esta funcionalidad se puede habilitar en las organizaciones que quieren usar condiciones como la ubicación de red de confianza para restringir el acceso al registro en la autenticación multifactor y el autoservicio de restablecimiento de contraseña (SSPR).

Creación de una directiva para requerir el registro desde una ubicación de confianza

La siguiente directiva se aplica a todos los usuarios seleccionados que intentan registrarse con la experiencia de registro combinado, y bloquea su acceso a menos que se conecten desde una ubicación marcada como red de confianza.

  1. En el Centro de administración de Microsoft Entra, vaya a Identidad, después Protección y, después, Acceso condicional.

  2. Seleccione + Crear nueva directiva.

  3. En Nombre, escriba un nombre para esta directiva. Por ejemplo, Registro de información de seguridad combinado en redes de confianza.

  4. En Asignaciones, seleccione Usuarios y grupos y seleccione los usuarios y grupos a los que desea que se aplique esta directiva.

    1. En Excluir, seleccione Usuarios y grupos y, después, elija las cuentas de acceso de emergencia de la organización.
    2. Seleccione Listo.

  5. En Aplicaciones o acciones en la nube, seleccione Acciones de usuario, active Registrar información de seguridad.

  6. En Condiciones, seleccione Ubicaciones.

  7. Configura .

  8. Incluya cualquier ubicación.

  9. Excluir todas las ubicaciones de confianza.

  10. Seleccione Listo en la pantalla Ubicaciones .

  11. Seleccione Listo en la pantalla Condiciones .

  12. En Condiciones, en Aplicaciones cliente (versión preliminar), establezca Configurar en y seleccione Listo.

  13. En Controles de acceso, seleccione Conceder.

    1. Seleccione Bloquear acceso.
    2. A continuación, use la opción Seleccionar .

  14. Establezca Habilitar directiva en Activado.

  15. A continuación, seleccione Guardar.

En el paso 6 de esta directiva, las organizaciones pueden hacer elecciones. La directiva anterior requiere el registro desde una ubicación de red de confianza. Las organizaciones pueden optar por emplear cualquier condición disponible en lugar de Ubicaciones. Recuerde que esta directiva es una directiva de bloqueo, por lo que todo el contenido está bloqueado.

Puede optar por usar el estado del dispositivo en lugar de la ubicación en el paso 6 anterior:

  1. En Condiciones, seleccione Estado del dispositivo (versión preliminar) .
  2. Configura .
  3. Incluya todo el estado del dispositivo.
  4. Excluya dispositivos híbridos unidos a Microsoft Entra o Dispositivo marcado como compatible.
  5. Seleccione Listo en la pantalla Ubicaciones .
  6. Seleccione Listo en la pantalla Condiciones .

Bloqueo del acceso por ubicación

Gracias a la condición de ubicación del acceso condicional, podrá controlar el acceso a las aplicaciones en la nube en función de la ubicación de red de un usuario. La condición de ubicación se usa normalmente para bloquear el acceso desde países o regiones de los que la organización sabe que no debe provenir el tráfico.

Definición de ubicaciones

  1. Inicie sesión en el portal de administración de Microsoft Entra como administrador de seguridad o administrador de acceso condicional.

  2. Vaya a Identidad, después Protección, Acceso condicional y, después, Ubicaciones con nombre.

  3. Elija Nueva ubicación.

  4. Asigne un nombre a la ubicación.

  5. Elija intervalos IP si conoce los intervalos de direcciones IPv4 accesibles externamente específicos que componen esa ubicación o Países o regiones.

    1. Proporcione los intervalos IP o seleccione los países o regiones para la ubicación que especifique.
    • Si elige "Países o regiones", puede optar por incluir áreas desconocidas.

  6. Elija Guardar.

Creación de una directiva de acceso condicional

  1. Inicie sesión en el Centro de administración de Microsoft Entra como administrador de seguridad o administrador de acceso condicional.

  2. Vaya a Identidad, después Protección y, después, Acceso condicional.

  3. Seleccione + Crear nueva directiva.

  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

  5. En Asignaciones, seleccione Usuarios y grupos.

    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, después, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.

  6. En Aplicaciones o acciones en la nube, luego Incluir y seleccione Todas las aplicaciones en la nube.

  7. En Condiciones, luego Ubicación.

    1. Establezca Configurar en Sí.
    2. En Incluir, seleccione Ubicaciones seleccionadas.
    3. Seleccione la ubicación bloqueada que ha creado para su organización.
    4. Elija Seleccionar.

  8. En Controles de acceso, seleccione Bloquear acceso y seleccione Seleccionar.

  9. Confirme la configuración y establezca Habilitar directiva en Activado.

  10. Seleccione Crear para crear la directiva de acceso condicional.

Exigencia de dispositivos compatibles

Las organizaciones que han implementado Microsoft Intune pueden usar la información que devuelven sus dispositivos para identificar aquellos que satisfacen los requisitos de cumplimiento, por ejemplo:

  • Exigir un PIN para desbloquearlos.
  • Exigir el cifrado del dispositivo.
  • Exigir una versión mínima o máxima del sistema operativo.
  • Exigir que un dispositivo no se haya liberado ni modificado.

Esta información del cumplimiento de las directivas se reenvía a Microsoft Entra ID donde se pueden tomar decisiones mediante el acceso condicional para conceder o bloquear el acceso a los recursos.

Creación de una directiva de acceso condicional

Los pasos siguientes le ayudarán a crear una directiva de acceso condicional para exigir que los dispositivos que acceden a los recursos se marquen como compatibles con las directivas de cumplimiento de Intune de su organización.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como administrador de seguridad o administrador de acceso condicional.

  2. Vaya a Identidad, después Protección y, después, Acceso condicional.

  3. Seleccione + Crear nueva directiva.

  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.

  5. En Asignaciones, seleccione Usuarios y grupos.

    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir, seleccione Usuarios y grupos y, después, elija las cuentas de acceso de emergencia de la organización.
    3. Seleccione Listo.

  6. En Aplicaciones o acciones en la nube, luego Incluir y seleccione Todas las aplicaciones en la nube.

    1. Si debe excluir aplicaciones específicas de la directiva, puede elegirlas en la pestaña Excluir en Seleccionar aplicaciones en la nube excluidas y elegir Seleccionar.
    2. Seleccione Listo.

  7. En Condiciones, después Aplicaciones cliente (versión preliminar) y, a continuación, Seleccione las aplicaciones cliente a las que se aplicará esta directiva, deje todos los valores predeterminados seleccionados y seleccione Listo.

  8. En Controles de acceso, después Conceder, seleccione Requerir que el dispositivo esté marcado como compatible.

  9. Seleccione Seleccionar.

  10. Confirme la configuración y establezca Habilitar directiva en Activado.

  11. Seleccione Crear para crear la directiva.

Nota

Puede inscribir sus nuevos dispositivos en Intune aunque seleccione "Requerir que el dispositivo se marque como compatible" para todos los usuarios y todas las aplicaciones en la nube mediante los pasos anteriores. El control "Requerir que el dispositivo se marque como compatible" no impide la inscripción en Intune.

Comportamiento conocido

En Windows 7, iOS, Android, macOS y algunos exploradores web de terceros, Microsoft Entra ID identifica el dispositivo mediante un certificado de cliente que se aprovisiona cuando el dispositivo está registrado con este servicio. Cuando un usuario inicia sesión por primera vez a través del explorador, se le pide que seleccione el certificado. El usuario final debe seleccionar este certificado para poder seguir usando el explorador.

Bloquear acceso

En el caso de las organizaciones con un enfoque conservador de migración a la nube, el bloqueo de todas las directivas es una opción que se puede usar.

Advertencia

La configuración incorrecta de una directiva de bloqueo puede dar lugar a que las organizaciones no puedan acceder a Azure Portal.

Este tipo de directivas pueden tener efectos secundarios imprevistos. Las pruebas y la validación adecuadas son vitales antes de habilitarlas. Los administradores deben usar herramientas del acceso condicional como el modo de solo informe y la herramienta What If.

Exclusiones de usuario

Las directivas de acceso condicional son herramientas eficaces. Se recomienda excluir las siguientes cuentas de la directiva:

  • Cuentas de acceso de emergencia para evitar el bloqueo de cuentas en todo el inquilino. En el caso improbable de que todos los administradores estén bloqueados en el inquilino, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.

  • Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. El acceso condicional no bloquea las llamadas realizadas por las entidades de servicio.

    • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas. Como solución temporal, puede excluir estas cuentas específicas de la directiva de línea de base.

Términos de uso de acceso condicional (TOU)

Captura de pantalla del cuadro de diálogo Identity Governance para crear nuevos términos de uso para las soluciones en la nube.

Puede crear condiciones de uso (TOU) para el sitio en las herramientas de gobernanza de identidades. Inicie la aplicación de gobernanza de identidades y elija Términos de uso en el menú. Debe proporcionar un archivo PDF con los términos del usuario. Puede configurar varias reglas, como cuándo expirarán los términos, o si el usuario tiene que abrirlos antes de aceptarlos. Una vez creado, puede crear una regla condicional personalizada directamente en la gobernanza de identidades. También puede guardar los términos y usar el acceso condicional en Microsoft Entra ID. Para crear nuevos Términos de uso, rellene el cuadro de diálogo anterior.

Captura de pantalla de la página de configuración de acceso condicional de Microsoft Entra que muestra cómo agregar reglas de términos de uso para poder acceder a los recursos.

La vinculación del consentimiento (aceptación de términos antes del acceso) y el acceso condicional cada vez es más popular. Las organizaciones tienen la capacidad de exigir a un usuario que dé su consentimiento a los términos de uso. Además, las organizaciones pueden hace expirar el consentimiento otorgado o cambiar las condiciones de uso y solicitar al usuario que lo confirme de nuevo.

Antes de acceder a determinadas aplicaciones en la nube de su entorno, puede obtener el consentimiento de los usuarios en forma de aceptación de las condiciones de uso (CDU). El acceso condicional de Microsoft Entra proporciona lo siguiente:

  • Un método sencillo para configurar las condiciones de uso
  • La opción para solicitar la aceptación de las condiciones de uso mediante una directiva de acceso condicional