¿Qué son las acciones protegidas en Microsoft Entra ID?
Las acciones protegidas en Microsoft Entra ID son permisos a los que se han asignado directivas de acceso condicional. Cuando un usuario intenta realizar una acción protegida, primero debe satisfacer las directivas de acceso condicional asignadas a los permisos necesarios. Por ejemplo, para permitir que los administradores actualicen las directivas de acceso condicional, puede requerir que primero cumplan la directiva de MFA resistente a suplantación de identidad (phishing).
En este artículo se proporciona información general sobre la acción protegida y cómo empezar a usarlos.
¿Por qué usar acciones protegidas?
Las acciones protegidas se usan cuando desea agregar una capa adicional de protección. Las acciones protegidas se pueden aplicar a los permisos que requieren una protección segura de la directiva de acceso condicional, independientemente del rol que se use o de cómo se haya concedido al usuario el permiso. Dado que la aplicación de directivas se produce en el momento en que el usuario intenta realizar la acción protegida y no durante el inicio de sesión del usuario o la activación de reglas, los usuarios solo se les pedirá cuando sea necesario.
¿Qué directivas se usan normalmente con acciones protegidas?
Se recomienda usar la autenticación multifactor en todas las cuentas, especialmente las cuentas con roles con privilegios. Las acciones protegidas se pueden usar para requerir seguridad adicional. Estas son algunas directivas de acceso condicional más seguras comunes.
- Fortalezas de autenticación de MFA más seguras, como MFA sin contraseña o MFA resistente a la suplantación de identidad(phishing),
- Estaciones de trabajo de acceso con privilegios, mediante filtros de dispositivo de directiva de acceso condicional.
- Tiempos de espera de sesión más cortos, mediante controles de sesión de frecuencia de inicio de sesión de acceso condicional.
¿Qué permisos se pueden usar con acciones protegidas?
Las directivas de acceso condicional se pueden aplicar a un conjunto limitado de permisos. Puede usar acciones protegidas en las siguientes áreas:
- Administración de directiva de acceso condicional
- Administración de la configuración de acceso entre inquilinos
- Reglas personalizadas que definen las ubicaciones de red
- Administración de acciones protegidas
Este es el conjunto inicial de permisos:
| Permiso | Descripción |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Actualizar las propiedades básicas de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Creación de directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminación de directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/basic/update | Actualizar las propiedades básicas de las directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/create | Creación de directivas de acceso condicional |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminar directivas de acceso condicional |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Actualizar los puntos de conexión de nube permitidos de la directiva de acceso entre inquilinos |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Actualización de la configuración de la colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Actualización de la configuración de la conexión directa B2B de Microsoft Entra de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos predeterminada |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Actualización de la configuración de la colaboración B2B de Microsoft Entra de la directiva de acceso entre inquilinos para asociados. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Actualización de la configuración de la conexión directa B2B de Microsoft Entra de la directiva de acceso entre inquilinos para asociados. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Crear una directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Actualizar la configuración de las reuniones de Teams entre nubes de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminar una directiva de acceso entre inquilinos para asociados |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Actualizar las restricciones de inquilino de la directiva de acceso entre inquilinos para asociados |
| microsoft.directory/namedLocations/basic/update | Actualice las propiedades básicas de las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/namedLocations/create | Cree reglas personalizadas que definan las ubicaciones de red |
| microsoft.directory/namedLocations/delete | Elimine las reglas personalizadas que definen las ubicaciones de red |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Actualizar el contexto de autenticación de acceso condicional de las acciones de recursos de control de acceso basado en rol (RBAC) de Microsoft 365 |
¿Cómo se comparan las acciones protegidas con la activación de roles de Privileged Identity Management?
Activación de roles de Privileged Identity Management también se pueden asignar directivas de acceso condicional. Esta funcionalidad solo permite la aplicación de directivas cuando un usuario activa un rol, lo que proporciona la protección más completa. Las acciones protegidas solo se aplican cuando un usuario realiza una acción que requiere permisos con la directiva de acceso condicional asignada. Las acciones protegidas permiten proteger los permisos de alto impacto, independientemente del rol de un usuario. La activación de roles de Privileged Identity Management y las acciones protegidas se pueden usar conjuntamente para una cobertura más sólida.
Pasos para usar acciones protegidas
Nota
Debe realizar estos pasos en la secuencia siguiente para asegurarse de que las acciones protegidas estén configuradas y aplicadas correctamente. Si no sigue este orden, puede obtener un comportamiento inesperado, como obtener solicitudes repetidas para volver a autenticarse.
Compruebe los permisos.
Asegúrese de que tiene asignado el rol Administrador de acceso condicional o Administrador de seguridad. Si no lo tuviera, hágaselo saber a su administrador para que le asigne el rol correspondiente.
Configurar directiva de acceso condicional
Configure un contexto de autenticación de acceso condicional y una directiva de acceso condicional asociada. Las acciones protegidas usan un contexto de autenticación, que permite la aplicación de directivas para los recursos específicos de un servicio, como los permisos de Microsoft Entra. Una buena directiva con la que empezar es requerir MFA sin contraseña y excluir una cuenta de emergencia. Más información
Agregar acciones protegidas
Agregue acciones protegidas mediante la asignación de valores de contexto de autenticación de acceso condicional a los permisos seleccionados. Más información
Probar acciones protegidas
Inicie sesión como usuario y pruebe la experiencia del usuario mediante la realización de la acción protegida. Se le pedirá que cumpla los requisitos de la directiva de acceso condicional. Por ejemplo, si la directiva requiere autenticación multifactor, debe redirigirse a la página de inicio de sesión y solicitar una autenticación segura. Más información
¿Qué ocurre con las aplicaciones y acciones protegidas?
Si una aplicación o servicio intenta realizar una acción de protección, debe poder controlar la directiva de acceso condicional necesaria. En algunos casos, es posible que un usuario tenga que intervenir y satisfacer la directiva. Por ejemplo, pueden ser necesarios para completar la autenticación multifactor. Las siguientes aplicaciones admiten la autenticación paso a paso para las acciones protegidas:
- Experiencias del administrador de Microsoft Entra para las acciones del centro de administración de Microsoft Entra
- PowerShell de Microsoft Graph
- Explorador de gráfico
Hay algunas limitaciones conocidas y esperadas. Se producirá un error en las siguientes aplicaciones si intentan realizar una acción protegida.
- Azure PowerShell
- Azure AD PowerShell
- Crear una nueva página de términos de uso o un control personalizado en el Centro de administración de Microsoft Entra. Las nuevas páginas de uso o controles personalizados se registran con el acceso condicional, por lo que están sujetas a acciones protegidas de creación, actualización y eliminación de acceso condicional. La eliminación temporal del requisito de directiva de las acciones de creación, actualización y eliminación de acceso condicional permitirá la creación de una nueva página de términos de uso o un control personalizado.
Si su organización ha desarrollado una aplicación que llama a Microsoft Graph API para realizar una acción protegida, debe revisar el ejemplo de código para controlar un desafío de notificaciones mediante la autenticación a edición superior. Para más información, consulte Instrucciones para desarrolladores sobre el contexto de autenticación del acceso condicional.
Procedimientos recomendados
Estos son algunos procedimientos recomendados para usar acciones protegidas.
Tener una cuenta de emergencia
Al configurar directivas de acceso condicional para acciones protegidas, asegúrese de tener una cuenta de emergencia que se excluya de la directiva. Esto proporciona una mitigación contra el bloqueo accidental.
Traslado de usuarios y de directivas de riesgo de inicio de sesión al acceso condicional
Los permisos de acceso condicional no se usan al administrar directivas de riesgo de Microsoft Entra ID Protection. Se recomienda mover directivas de riesgo de usuario e inicio de sesión al acceso condicional.
Uso de ubicaciones de red con nombre
Los permisos de ubicación de red con nombre no se usan al administrar direcciones IP de confianza de autenticación multifactor. Se recomienda usar ubicaciones de red con nombre.
No use acciones protegidas para bloquear el acceso en función de la identidad o la pertenencia a grupos
Las acciones protegidas se usan para aplicar un requisito de acceso para realizar una acción protegida. No están diseñados para bloquear el uso de un permiso solo en función de la identidad del usuario o la pertenencia a grupos. Quién tiene acceso a permisos específicos es una decisión de autorización y debe controlarse mediante la asignación de roles.
Requisitos de licencia
El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.