Directiva de acceso condicional para sitios de SharePoint y OneDrive
Algunas características de este artículo requieren Microsoft SharePoint Premium: Administración avanzada de SharePoint
Con el contexto de autenticación de Microsoft Entra, puede aplicar condiciones de acceso más estrictas cuando los usuarios acceden a sitios de SharePoint.
Puede usar contextos de autenticación para conectar una directiva de acceso condicional de Microsoft Entra a un sitio de SharePoint. Las directivas se pueden aplicar directamente al sitio o a través de una etiqueta de confidencialidad.
Esta funcionalidad no se puede aplicar al sitio raíz en SharePoint (por ejemplo, https://contoso.sharepoint.com).
Requisitos
El uso del contexto de autenticación con sitios de SharePoint requiere una de las siguientes licencias:
- Microsoft SharePoint Premium: administración avanzada de SharePoint
- Microsoft 365 E5/A5/G5
- Cumplimiento de Microsoft 365 E5/A5
- Gobierno y protección de información de Microsoft 365 E5
- Office 365 E5/A5/G5
Limitaciones
Algunas aplicaciones no funcionan con contextos de autenticación. Se recomienda probar aplicaciones en un sitio con el contexto de autenticación habilitado antes de implementar ampliamente esta característica.
Las siguientes aplicaciones y escenarios no funcionan con contextos de autenticación:
- Versión anterior de las aplicaciones de Office (consulte la lista de versiones admitidas)
- Viva Engage
- Aplicación web de Teams
- La aplicación OneNote no se puede agregar al canal si el sitio de SharePoint asociado tiene un contexto de autenticación.
- Se produce un error en la carga de la grabación de reuniones del canal de Teams en los sitios con un contexto de autenticación.
- Se produce un error al cambiar el nombre de la carpeta de SharePoint en Teams si el sitio tiene un contexto de autenticación.
- Se produce un error en la programación del seminario web de Teams si OneDrive tiene un contexto de autenticación.
- Aplicaciones de terceros
- La aplicación de sincronización de OneDrive no sincronizará sitios con un contexto de autenticación.
- No se admite la asociación de un contexto de autenticación a la colección de sitios del catálogo de aplicaciones empresariales.
- La característica "Visualizar lista de SharePoint en Power BI" no admite actualmente el contexto de autenticación.
- Outlook en Windows, Mac, Android e iOS no admiten la comunicación con sitios de SharePoint protegidos por un contexto de autenticación.
- La característica de descarga de varios archivos no funciona actualmente cuando tanto el contexto de autenticación como "Usar el control de aplicación de acceso condicional" en el control de sesión están habilitados en la directiva de acceso condicional.
Configuración de un contexto de autenticación
La configuración de un contexto de autenticación para sitios etiquetados requiere estos pasos básicos:
Agregue un contexto de autenticación en Microsoft Entra ID.
Cree una directiva de acceso condicional que se aplique a ese contexto de autenticación y tenga las condiciones y los controles de acceso que desea usar.
Realiza una de las siguientes acciones:
- Establezca una etiqueta de confidencialidad para aplicar el contexto de autenticación a sitios etiquetados.
- Aplicar el contexto de autenticación directamente a un sitio
En este artículo, veremos el ejemplo de exigir a los invitados que acepten los términos de uso antes de obtener acceso a un sitio de SharePoint confidencial. También puede usar cualquiera de las demás condiciones de acceso condicional y controles de acceso que pueda necesitar para su organización.
Adición de un contexto de autenticación
En primer lugar, agregue un contexto de autenticación en Microsoft Entra ID.
Para agregar un contexto de autenticación:
En Acceso condicional de Microsoft Entra, en Administrar, seleccione Contexto de autenticación.
Seleccione Nuevo contexto de autenticación.
Escriba un nombre y una descripción y active la casilla Publicar en aplicaciones .
Haga clic en Guardar.
Crear una directiva de acceso condicional
A continuación, cree una directiva de acceso condicional que se aplique a ese contexto de autenticación y que requiera que los invitados acepten los términos de uso como condición de acceso.
Para crear una directiva de acceso condicional:
En Acceso condicional de Microsoft Entra, seleccione Nueva directiva.
Escriba un nombre para la directiva.
En la pestaña Usuarios y grupos , elija la opción Seleccionar usuarios y grupos y, a continuación, active la casilla Usuarios invitados o externos .
Elija Usuarios invitados de colaboración B2B en la lista desplegable.
En la pestaña Aplicaciones o acciones en la nube, en Seleccionar a qué se aplica esta directiva, elija Contexto de autenticación y active la casilla del contexto de autenticación que ha creado.
En la pestaña Conceder , active la casilla de los términos de uso que desea usar y, a continuación, seleccione Seleccionar.
Elija si desea habilitar la directiva y, a continuación, seleccione Crear.
Aplicar el contexto de autenticación directamente a un sitio
Puede aplicar directamente un contexto de autenticación a un sitio de SharePoint mediante el cmdlet Set-SPOSite de PowerShell.
Nota:
Esta funcionalidad requiere una licencia Microsoft 365 E5 o Microsoft SharePoint Premium - Administración avanzada de SharePoint.
En el ejemplo siguiente, aplicamos el contexto de autenticación que creamos anteriormente a un sitio denominado "research".
Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"
Establecer una etiqueta de confidencialidad para aplicar el contexto de autenticación a sitios etiquetados
Si desea usar una etiqueta de confidencialidad para aplicar el contexto de autenticación, actualice una etiqueta de confidencialidad (o cree una nueva) para usar el contexto de autenticación.
Nota:
Las etiquetas de confidencialidad requieren Microsoft 365 E5 o Microsoft 365 E3 más la licencia de cumplimiento avanzado.
Para actualizar una etiqueta de confidencialidad
En el portal de cumplimiento de Microsoft Purview, en la pestaña Protección de la información , seleccione la etiqueta que desea actualizar y, a continuación, seleccione Editar etiqueta.
Seleccione Siguiente hasta que esté en la página Definir la configuración de protección para grupos y sitios .
Asegúrese de que la casilla Configuración de uso compartido externo y acceso condicional esté activada y, a continuación, seleccione Siguiente.
En la página Definir el uso compartido externo y la configuración de acceso a dispositivos, active la casilla Usar el acceso condicional de Microsoft Entra para proteger sitios de SharePoint etiquetados .
Seleccione la opción Elegir un contexto de autenticación existente .
En la lista desplegable, elija el contexto de autenticación que desea usar.
Seleccione Siguiente hasta que esté en la página Revisar la configuración y finalizar y, a continuación, seleccione Guardar etiqueta.
Una vez actualizada la etiqueta, los invitados que accedan a un sitio de SharePoint (o a la pestaña Archivos de un equipo) con esa etiqueta deberán aceptar los términos de uso antes de obtener acceso a ese sitio.
Bloqueo de aplicaciones en segundo plano (lanzamiento en versión preliminar)
Si el contexto de autenticación se establece en un sitio, los administradores pueden optar por impedir que las aplicaciones en segundo plano accedan a ese sitio para las aplicaciones asignadas con ese contexto de autenticación en una directiva de acceso condicional. Puede configurar una directiva de acceso condicional de modo que se pueda asignar un contexto de autenticación específico a los principios de aplicación elegidos (aplicaciones que no sean de Microsoft). Debe activar explícitamente esta característica mediante el siguiente cmdlet. Debe tener al menos una directiva de acceso condicional con un principio de aplicación configurado.
Set-SPOTenant -BlockAPPAccessToSitesWithAuthenticationContext $false/$true (default false)
Consulte también
Acceso condicional: aplicaciones en la nube, acciones y contexto de autenticación
Instrucciones de licencias de Microsoft 365 para la seguridad y el cumplimiento