Acceso condicional: recursos de destino

Los recursos de destino (anteriormente aplicaciones, acciones y el contexto de autenticación en la nube) son señales clave en una directiva de acceso condicional. Las directivas de acceso condicional permiten que los administradores asignen controles a determinadas aplicaciones, acciones o contextos de autenticación.

  • Los administradores pueden elegir de la lista de aplicaciones o servicios que incluyen aplicaciones incorporadas de Microsoft y cualquier Aplicaciones integradas de Microsoft Entra, incluidas las aplicaciones de galería, de no galería y las publicadas a través deApplication Proxy.
  • Los administradores pueden optar por definir una directiva no basada en una aplicación en la nube, sino en una acción del usuario como Registrar la información de seguridad o Registrar o unir dispositivos, lo que permite que el acceso condicional aplique controles en torno a esas acciones.
  • Los administradores pueden dirigir los perfiles de reenvío de tráfico desde el acceso seguro global para mejorar la funcionalidad.
  • Los administradores pueden usar el contexto de autenticación para proporcionar una capa adicional de seguridad en las aplicaciones.

Captura de pantalla que muestra una política de acceso condicional y el panel de recursos de destino.

Aplicaciones de nube de Microsoft

En la lista de aplicaciones que se pueden seleccionar están muchas de las aplicaciones en la nube de Microsoft existentes.

Los administradores pueden asignar una directiva de acceso condicional a las siguientes aplicaciones en la nube de Microsoft. Algunas aplicaciones, como Office 365 y Windows Azure Service Management API, incluyen varios servicios o aplicaciones secundarios relacionados. Agregamos continuamente más aplicaciones, por lo que la lista siguiente no es exhaustiva y está sujeta a cambios.

Importante

Las aplicaciones que están disponibles para el acceso condicional han pasado por un proceso de incorporación y validación. Esta lista no incluye todas las aplicaciones de Microsoft, ya que muchas son servicios de back-end y no están diseñadas para que se les aplique la directiva directamente. Si está buscando una aplicación que falta, puede ponerse en contacto con el equipo de la aplicación específica o hacer una solicitud en UserVoice.

Office 365

Microsoft 365 proporciona servicios de colaboración y productividad basados en la nube, como Exchange, SharePoint y Microsoft Teams. Los servicios en la nube de Microsoft 365 están profundamente integrados para garantizar experiencias de colaboración fluidas. Esta integración puede producir confusión a la hora de crear directivas, ya que algunas aplicaciones, como Microsoft Teams, dependen de otras, como SharePoint o Exchange.

El conjunto de Office 365 hace posible dirigirse a todos estos servicios a la vez. Se recomienda usar al nuevo conjunto de Office 365 en lugar de las aplicaciones en la nube individuales para evitar problemas con las dependencias de servicio.

Dirigirse a este grupo de aplicaciones ayuda a evitar problemas que pueden surgir debido a directivas y dependencias incoherentes. Por ejemplo: la aplicación Exchange Online está asociada a datos de Exchange Online tradicionales, como el correo electrónico, el calendario y la información de contacto. Los metadatos relacionados se pueden exponer mediante distintos recursos, como la búsqueda. Para asegurarse de que todos los metadatos están protegidos según lo previsto, los administradores deben asignar directivas a la aplicación Office 365.

Los administradores pueden excluir todo el conjunto de Office 365 o las aplicaciones en la nube de Office 365 específicas de la directiva de acceso condicional.

Puede encontrar una lista completa de todos los servicios incluidos en el artículo Aplicaciones incluidas en el conjunto de aplicaciones de Office 365 de acceso condicional.

Windows Azure Service Management API

Cuando se dirige a la aplicación Windows Azure Service Management API, la directiva se aplica para los tokens emitidos a un conjunto de servicios estrechamente enlazados al portal. Esta agrupación incluye los identificadores de aplicación de:

  • Azure Resource Manager
  • Azure Portal, que también abarca el centro de administración de Microsoft Entra
  • Azure Data Lake
  • API de Application Insights
  • API de Log Analytics

Dado que la directiva se aplica al Portal de administración de Azure y a la API, los servicios o los clientes con una dependencia del servicio de la API de Azure, pueden verse afectados indirectamente. Por ejemplo:

  • CLI de Azure
  • Portal de Azure Data Factory
  • Azure DevOps
  • Azure Event Hubs
  • Azure PowerShell
  • Azure Service Bus
  • Azure SQL Database
  • Azure Synapse
  • API del modelo de implementación clásica
  • Centro de administración de Microsoft 365
  • Microsoft IoT Central
  • Instancia administrada de SQL
  • Portal de administrador de suscripciones de Visual Studio

Nota:

La aplicación Windows Azure Service Management API se aplica a Azure PowerShell, que accede a la API de Azure Resource Manager. No se aplica a Microsoft Graph PowerShell, que llama a Microsoft Graph API.

Para más información sobre cómo configurar una directiva de ejemplo para Windows Azure Service Management API, consulte Acceso condicional: requerir MFA para la administración de Azure.

Sugerencia

Para Azure Government, debe tener como destino la aplicación de la API de administración de la nube de Azure Government.

Portales de administración de Microsoft

Cuando una directiva de acceso condicional tiene como objetivo la aplicación en la nube Microsoft Admin Portals, la directiva se aplica a los tokens emitidos para los id. de aplicación de los siguientes portales administrativos de Microsoft:

  • Azure portal
  • Centro de administración de Exchange
  • Centro de administración de Microsoft 365
  • Portal de Microsoft 365 Defender
  • Centro de administración de Microsoft Entra
  • centro de administración de Microsoft Intune
  • Portal de cumplimiento de Microsoft Purview
  • Centro de administración de Microsoft Teams

Continuamente añadimos más portales administrativos a la lista.

Nota:

La aplicación Microsoft Admin Portals solo se aplica a inicios de sesión interactivos en los portales de administración enumerados. Los inicios de sesión en los recursos o servicios subyacentes, como las API de Azure Resource Manager o Microsoft Graph, no están cubiertos por esta aplicación. Estos recursos están protegidos por la app Windows Azure Service Management API. Esto permite a los clientes moverse a lo largo del recorrido de adopción de MFA para los administradores sin afectar a la automatización que se basa en las API y PowerShell. Cuando esté listo, Microsoft recomienda usar una directiva que requiera que los administradores realicen MFA siempre para una protección completa.

Otras aplicaciones

Los administradores pueden agregar cualquier aplicación registrada Microsoft Entra a las directivas de acceso condicional. Estas aplicaciones pueden incluir:

Nota:

Puesto que la directiva de acceso condicional establece los requisitos para obtener acceso a un servicio, no puede aplicarla a una aplicación cliente (pública o nativa). Es decir, la directiva no está establecida directamente en una aplicación cliente (pública o nativa), pero se aplica cuando un cliente llama a un servicio. Por ejemplo, una directiva establecida en el servicio SharePoint se aplica a todos los clientes que llamen a SharePoint. Así mismo, una directiva establecida en Exchange se aplica al intento de acceder al correo electrónico mediante el cliente de Outlook. Este es el motivo por el que las aplicaciones cliente (públicas o nativas) no están disponibles para su selección en el selector Aplicaciones en la nube y la opción Acceso condicional no está disponible en la configuración de la aplicación para la aplicación cliente (pública o nativa) registrada en el inquilino.

Algunas aplicaciones no aparecen en el selector. La única manera de incluir estas aplicaciones en una directiva de acceso condicional es incluir todos los recursos (anteriormente "Todas las aplicaciones en la nube") .

Todos los recursos

La aplicación de una directiva de acceso condicional a todos los recursos (anteriormente "Todas las aplicaciones en la nube") da como resultado que se aplique la directiva para todos los tokens emitidos a sitios web y servicios, incluidos los perfiles de reenvío de tráfico de acceso seguro global. Esta opción incluye aplicaciones que no pueden destinarse individualmente en la directiva de acceso condicional, como Microsoft Entra ID.

En algunos casos, una directiva Todos los recursos (anteriormente "Todas las aplicaciones en la nube") podría bloquear accidentalmente el acceso de los usuarios. Estos casos se excluyen de la aplicación de directivas e incluyen:

  • Servicios necesarios para lograr la posición de seguridad deseada. Por ejemplo, las llamadas de inscripción de dispositivos se excluyen de la directiva de dispositivo compatible destinada a Todos los recursos.

  • Llamadas a Graph de Azure AD y Microsoft Graph para acceder al perfil de usuario, la pertenencia a grupos y la información de relación que suelen usar las aplicaciones excluidas de la directiva. Los ámbitos excluidos se enumeran de la siguiente manera. El consentimiento sigue siendo necesario para que las aplicaciones usen estos permisos.

    • Para clientes nativos:
      • Azure AD Graph: email, offline_access, openid, profile, User.Read
      • Microsoft Graph: email, offline_access, openid, profile, User.Read, People.Read
    • Para clientes confidenciales o autenticados:
      • Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All, and User.ReadBasic.All
      • Microsoft Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden

Todos los recursos de Internet con Acceso global seguro

La opción Todos los recursos de Internet con acceso seguro global permite a los administradores dirigirse al perfil de reenvío de tráfico de acceso a Internet desde Acceso a Internet de Microsoft Entra.

Estos perfiles de Acceso seguro global permiten a los administradores definir y controlar cómo se enruta el tráfico a través de Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra. Los perfiles de reenvío de tráfico se pueden asignar a dispositivos y redes remotas. Para ver un ejemplo de cómo aplicar una directiva de acceso condicional a estos perfiles de tráfico, consulte el artículo Cómo aplicar las directivas de acceso condicional al perfil de tráfico de Microsoft 365.

Para saber más sobre estos perfiles, consulte el artículo Perfiles de reenvío de tráfico de acceso seguro global.

Acciones del usuario

Las acciones del usuario son tareas que realiza un usuario. Actualmente, el Acceso condicional admite dos acciones del usuario:

  • Registro de la información de seguridad: esta acción del usuario permite que la directiva de Acceso condicional se aplique cuando los usuarios que están habilitados para el registro combinado intentan registrar su información de seguridad. Para más información, consulte el artículo Registro de información de seguridad combinado.

Nota:

Al aplicar una directiva dirigida a acciones de usuario para registrar información de seguridad, si la cuenta de usuario es un invitado de la cuenta personal de Microsoft (MSA), mediante el control "Requerir autenticación multifactor", requerirá que el usuario de MSA registre la información de seguridad en la organización. Si el usuario invitado es de otro proveedor como Google, se bloqueará el acceso.

  • Registrar o unir dispositivos: Esta acción del usuario permite a los administradores aplicar la directiva de acceso condicional cuando los usuarios registran o unen dispositivos a Microsoft Entra ID. Proporciona granularidad en la configuración de la autenticación multifactor para registrar o unir dispositivos en lugar de la directiva para todo el inquilino que existe actualmente. Existen tres consideraciones principales con esta acción de usuario:
    • Require multifactor authentication es el único control de acceso disponible con esta acción del usuario y todos los demás están deshabilitados. Esta restricción evita conflictos con controles de acceso que dependen del registro de dispositivos de Microsoft Entra o que no se pueden aplicar al registro de dispositivos de Microsoft Entra.
    • Las condiciones Client apps, Filters for devices y Device state no están disponibles con esta acción de usuario, ya que dependen del registro de dispositivos de Microsoft Entra para aplicar las directivas de acceso condicional.

Advertencia

Cuando se configura una directiva de acceso condicional con la acción del usuario Registrar o unir dispositivos, debe establecer Identidad>Dispositivos>Información general>Configuración del dispositivo - Require Multifactor Authentication to register or join devices with Microsoft Entra en No. De lo contrario, las directivas de acceso condicional con esta acción de usuario no se aplican correctamente. Puede encontrar más información sobre esta configuración de dispositivo en Configuración de las opciones de dispositivo.

Contexto de autenticación

El contexto de autenticación se puede usar para proteger aún más los datos y acciones de las aplicaciones. Estas aplicaciones pueden ser sus propias aplicaciones personalizadas, aplicaciones de línea de negocio (LOB) personalizadas, aplicaciones como SharePoint o aplicaciones protegidas por Microsoft Defender para aplicaciones en la nube.

Por ejemplo, una organización puede conservar archivos en sitios de SharePoint como, por ejemplo, el menú de comidas o la receta secreta de su salsa barbacoa. Todos los usuarios pueden acceder al sitio del menú de comidas, pero es posible que para acceder al sitio de la receta secreta de la salsa barbacoa tengan que utilizar un dispositivo administrado y aceptar condiciones de uso específicas.

El contexto de autenticación funciona con usuarios o identidades de carga de trabajo, pero no en la misma directiva de acceso condicional.

Configuración de contextos de autenticación

Los contextos de autenticación se administran en Protección del>Acceso condicional> Contexto de autenticación.

Captura de pantalla que muestra la gestión de los contextos de autenticación.

Para crear nuevas definiciones de contextos de autenticación, seleccione Nuevo contexto de autenticación. Las organizaciones están limitadas a un total de 99 definiciones de contexto de autenticación c1-c99. Configure los siguientes atributos:

  • Nombre para mostrar es el nombre que se utiliza para identificar el contexto de autenticación en Microsoft Entra ID y a través de las aplicaciones que consumen contextos de autenticación. Se recomiendan nombres que se puedan usar en varios recursos, como dispositivos de confianza, para reducir el número de contextos de autenticación necesarios. Tener un conjunto reducido limita el número de redireccionamientos y proporciona una mejor experiencia para el usuario final.
  • La Descripción proporciona más información sobre las directivas que usan los administradores y las que aplican contextos de autenticación a los recursos.
  • Cuando está activada la casilla Publicar en aplicaciones, anuncia el contexto de autenticación a las aplicaciones y hace que estén disponibles para asignarlas. Si no está activada, el contexto de autenticación no está disponible para los recursos de nivel inferior.
  • Identificador es de solo lectura y se usa en tokens y aplicaciones para definiciones de contexto de autenticación de solicitudes específicas. Se muestra aquí para casos de uso de solución de problemas y desarrollo.

Adición a la directiva de acceso condicional

Los administradores pueden seleccionar contextos de autenticación publicados en sus directivas de acceso condicional en Asignaciones>Aplicaciones en la nube o acciones y seleccionando Contexto de autenticación desde el menú Seleccionar a qué se aplica esta directiva.

Captura de pantalla que muestra cómo añadir un contexto de autenticación de acceso condicional a una política

Eliminación de un contexto de autenticación

Al eliminar un contexto de autenticación, asegúrese de que no hay ninguna aplicación que siga usándolo. De lo contrario, el acceso a los datos de la aplicación ya no está protegido. Para confirmar este requisito previo, compruebe en los registros de información de inicio de sesión si hay casos en los que se aplican las directivas de acceso condicional del contexto de autenticación.

Para eliminar un contexto de autenticación, no debe tener asignadas directivas de acceso condicional y no debe publicarse en aplicaciones. Este requisito ayuda a evitar la eliminación accidental de un contexto de autenticación que todavía está en uso.

Etiquetado de recursos con contextos de autenticación

Para más información sobre el uso del contexto de autenticación en las aplicaciones, consulte los artículos siguientes.

Pasos siguientes