¿Qué son las acciones protegidas en Microsoft Entra ID?

Las acciones protegidas en Microsoft Entra ID son permisos a los que se han asignado directivas de acceso condicional. Cuando un usuario intenta realizar una acción protegida, primero debe satisfacer las directivas de acceso condicional asignadas a los permisos necesarios. Por ejemplo, para permitir que los administradores actualicen las directivas de acceso condicional, puede requerir que primero cumplan la directiva de MFA resistente a suplantación de identidad (phishing).

En este artículo se proporciona información general sobre la acción protegida y cómo empezar a usarlos.

¿Por qué usar acciones protegidas?

Las acciones protegidas se usan cuando desea agregar una capa adicional de protección. Las acciones protegidas se pueden aplicar a los permisos que requieren una protección segura de la directiva de acceso condicional, independientemente del rol que se use o de cómo se haya concedido al usuario el permiso. Dado que la aplicación de directivas se produce en el momento en que el usuario intenta realizar la acción protegida y no durante el inicio de sesión del usuario o la activación de reglas, los usuarios solo se les pedirá cuando sea necesario.

¿Qué directivas se usan normalmente con acciones protegidas?

Se recomienda usar la autenticación multifactor en todas las cuentas, especialmente las cuentas con roles con privilegios. Las acciones protegidas se pueden usar para requerir seguridad adicional. Estas son algunas directivas de acceso condicional más seguras comunes.

¿Qué permisos se pueden usar con acciones protegidas?

Las directivas de acceso condicional se pueden aplicar a un conjunto limitado de permisos. Puede usar acciones protegidas en las siguientes áreas:

  • Administración de directiva de acceso condicional
  • Administración de la configuración de acceso entre inquilinos
  • Reglas personalizadas que definen las ubicaciones de red
  • Administración de acciones protegidas

Este es el conjunto inicial de permisos:

Permiso Descripción
microsoft.directory/conditionalAccessPolicies/basic/update Actualizar las propiedades básicas de las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/create Creación de directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/delete Eliminación de directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/basic/update Actualizar las propiedades básicas de las directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/create Creación de directivas de acceso condicional
microsoft.directory/conditionalAccessPolicies/delete Eliminar directivas de acceso condicional
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Actualizar los puntos de conexión de nube permitidos de la directiva de acceso entre inquilinos
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Actualización de la configuración de la colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Actualización de la configuración de la conexión directa B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos predeterminada
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Actualización de la configuración de la colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos para asociados.
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Actualización de la configuración de la conexión directa B2B de Microsoft Entra de la directiva de acceso entre inquilinos para asociados.
microsoft.directory/crossTenantAccessPolicy/partners/create Crear una directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/delete Eliminar una directiva de acceso entre inquilinos para asociados
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos para asociados
microsoft.directory/namedLocations/basic/update Actualice las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/namedLocations/create Cree reglas personalizadas que definan las ubicaciones de red
microsoft.directory/namedLocations/delete Elimine las reglas personalizadas que definen las ubicaciones de red
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Actualizar el contexto de autenticación de acceso condicional de las acciones de recursos de control de acceso basado en rol (RBAC) de Microsoft 365

¿Cómo se comparan las acciones protegidas con la activación de roles de Privileged Identity Management?

Activación de roles de Privileged Identity Management también se pueden asignar directivas de acceso condicional. Esta funcionalidad solo permite la aplicación de directivas cuando un usuario activa un rol, lo que proporciona la protección más completa. Las acciones protegidas solo se aplican cuando un usuario realiza una acción que requiere permisos con la directiva de acceso condicional asignada. Las acciones protegidas permiten proteger los permisos de alto impacto, independientemente del rol de un usuario. La activación de roles de Privileged Identity Management y las acciones protegidas se pueden usar conjuntamente para una cobertura más sólida.

Pasos para usar acciones protegidas

Nota

Debe realizar estos pasos en la secuencia siguiente para asegurarse de que las acciones protegidas estén configuradas y aplicadas correctamente. Si no sigue este orden, puede obtener un comportamiento inesperado, como obtener solicitudes repetidas para volver a autenticarse.

  1. Compruebe los permisos.

    Asegúrese de que tiene asignado el rol Administrador de acceso condicional o Administrador de seguridad. Si no lo tuviera, hágaselo saber a su administrador para que le asigne el rol correspondiente.

  2. Configurar directiva de acceso condicional

    Configure un contexto de autenticación de acceso condicional y una directiva de acceso condicional asociada. Las acciones protegidas usan un contexto de autenticación, que permite la aplicación de directivas para los recursos específicos de un servicio, como los permisos de Microsoft Entra. Una buena directiva con la que empezar es requerir MFA sin contraseña y excluir una cuenta de emergencia. Más información

  3. Agregar acciones protegidas

    Agregue acciones protegidas mediante la asignación de valores de contexto de autenticación de acceso condicional a los permisos seleccionados. Más información

  4. Probar acciones protegidas

    Inicie sesión como usuario y pruebe la experiencia del usuario mediante la realización de la acción protegida. Se le pedirá que cumpla los requisitos de la directiva de acceso condicional. Por ejemplo, si la directiva requiere autenticación multifactor, debe redirigirse a la página de inicio de sesión y solicitar una autenticación segura. Más información

¿Qué ocurre con las aplicaciones y acciones protegidas?

Si una aplicación o servicio intenta realizar una acción de protección, debe poder controlar la directiva de acceso condicional necesaria. En algunos casos, es posible que un usuario tenga que intervenir y satisfacer la directiva. Por ejemplo, pueden ser necesarios para completar la autenticación multifactor. Las siguientes aplicaciones admiten la autenticación paso a paso para las acciones protegidas:

Hay algunas limitaciones conocidas y esperadas. Se producirá un error en las siguientes aplicaciones si intentan realizar una acción protegida.

  • Azure PowerShell
  • Azure AD PowerShell
  • Crear una nueva página de términos de uso o un control personalizado en el Centro de administración de Microsoft Entra. Las nuevas páginas de uso o controles personalizados se registran con el acceso condicional, por lo que están sujetas a acciones protegidas de creación, actualización y eliminación de acceso condicional. La eliminación temporal del requisito de directiva de las acciones de creación, actualización y eliminación de acceso condicional permitirá la creación de una nueva página de términos de uso o un control personalizado.

Si su organización ha desarrollado una aplicación que llama a Microsoft Graph API para realizar una acción protegida, debe revisar el ejemplo de código para controlar un desafío de notificaciones mediante la autenticación a edición superior. Para más información, consulte Instrucciones para desarrolladores sobre el contexto de autenticación del acceso condicional.

Procedimientos recomendados

Estos son algunos procedimientos recomendados para usar acciones protegidas.

  • Tener una cuenta de emergencia

    Al configurar directivas de acceso condicional para acciones protegidas, asegúrese de tener una cuenta de emergencia que se excluya de la directiva. Esto proporciona una mitigación contra el bloqueo accidental.

  • Traslado de usuarios y de directivas de riesgo de inicio de sesión al acceso condicional

    Los permisos de acceso condicional no se usan al administrar directivas de riesgo de Microsoft Entra ID Protection. Se recomienda mover directivas de riesgo de usuario e inicio de sesión al acceso condicional.

  • Uso de ubicaciones de red con nombre

    Los permisos de ubicación de red con nombre no se usan al administrar direcciones IP de confianza de autenticación multifactor. Se recomienda usar ubicaciones de red con nombre.

  • No use acciones protegidas para bloquear el acceso en función de la identidad o la pertenencia a grupos

    Las acciones protegidas se usan para aplicar un requisito de acceso para realizar una acción protegida. No están diseñados para bloquear el uso de un permiso solo en función de la identidad del usuario o la pertenencia a grupos. Quién tiene acceso a permisos específicos es una decisión de autorización y debe controlarse mediante la asignación de roles.

Requisitos de licencia

El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.

Pasos siguientes