Procedimientos: Uso obligatorio de aplicaciones cliente aprobadas para el acceso a aplicaciones en la nube mediante el acceso condicionalHow to: Require approved client apps for cloud app access with Conditional Access

Los usuarios utilizan sus dispositivos móviles habitualmente para tareas personales y profesionales.People regularly use their mobile devices for both personal and work tasks. A la vez que se aseguran de que el personal sigue siendo productivo, las organizaciones también quieren evitar la pérdida de datos de aplicaciones potencialmente no seguras.While making sure staff can be productive, organizations also want to prevent data loss from potentially unsecure applications. Con el acceso condicional, las organizaciones pueden restringir el acceso a aplicaciones cliente aprobadas (con capacidad para la autenticación moderna).With Conditional Access, organizations can restrict access to approved (modern authentication capable) client apps.

En este artículo se presentan dos escenarios para configurar directivas de acceso condicional para recursos como Microsoft 365, Exchange Online y SharePoint Online.This article presents two scenarios to configure Conditional Access policies for resources like Microsoft 365, Exchange Online, and SharePoint Online.

En el acceso condicional, esta funcionalidad se conoce como requerir una aplicación cliente aprobada.In Conditional Access, this functionality is known as requiring an approved client app. Para una lista de las aplicaciones cliente aprobadas, consulte el requisito de las aplicaciones cliente aprobadas.For a list of approved client apps, see approved client app requirement.

Nota

Para requerir aplicaciones cliente aprobadas para dispositivos iOS y Android, estos dispositivos deben registrarse primero en Azure AD.In order to require approved client apps for iOS and Android devices, these devices must first register in Azure AD.

Escenario 1: Las aplicaciones de Microsoft 365 requieren una aplicación cliente aprobada.Scenario 1: Microsoft 365 apps require an approved client app

En este escenario, Contoso ha decidido que los usuarios que usan dispositivos móviles pueden acceder a todos los servicios de Microsoft 365, siempre y cuando usen aplicaciones cliente aprobadas, como Outlook Mobile, OneDrive y Microsoft Teams.In this scenario, Contoso has decided that users using mobile devices can access all Microsoft 365 services as long as they use approved client apps, like Outlook mobile, OneDrive, and Microsoft Teams. Todos sus usuarios ya inician sesión con credenciales de Azure AD y tienen licencias asignadas que incluyen Azure AD Premium P1 o P2 y Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Las organizaciones deben completar los tres pasos siguientes para requerir el uso de una aplicación cliente aprobada en dispositivos móviles.Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices.

Paso 1: Directiva para los clientes de autenticación moderna basada en Android e iOS que requieren el uso de una aplicación cliente aprobada al acceder a Exchange Online.Step 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client application when accessing Exchange Online.

  1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Vaya a Azure Active Directory > Seguridad > Acceso condicional.Browse to Azure Active Directory > Security > Conditional Access.
  3. Seleccione Nueva directiva.Select New policy.
  4. Asigne un nombre a la directiva.Give your policy a name. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.We recommend that organizations create a meaningful standard for the names of their policies.
  5. En Asignaciones, seleccione Usuarios y grupos.Under Assignments, select Users and groups
    1. En Incluir, seleccione Todos los usuarios o Usuarios y grupos específicos a los que desee aplicar esta directiva.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Seleccione Listo.Select Done.
  6. En Aplicaciones en la nube o acciones > Incluir, seleccione Office 365.Under Cloud apps or actions > Include, select Office 365.
  7. En Condiciones, seleccione Plataformas de dispositivo.Under Conditions, select Device platforms.
    1. Establezca Configurar en .Set Configure to Yes.
    2. Incluya Android e iOS.Include Android and iOS.
  8. En Condiciones, seleccione Aplicaciones cliente (versión preliminar) .Under Conditions, select Client apps (preview).
    1. Establezca Configurar en .Set Configure to Yes.
    2. Seleccione Aplicaciones móviles y clientes de escritorio y Clientes de autenticación moderna.Select Mobile apps and desktop clients and Modern authentication clients.
  9. En Controles de acceso > Conceder, seleccione Conceder acceso, Requerir aplicación cliente aprobada y Seleccionar.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  10. Confirme la configuración y establezca Habilitar directiva en Activado.Confirm your settings and set Enable policy to On.
  11. Seleccione Crear para crear y habilitar la directiva.Select Create to create and enable your policy.

Paso 2: Configuración de una directiva de acceso condicional de Azure AD para Exchange Online con Active Sync (EAS)Step 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)

  1. Vaya a Azure Active Directory > Seguridad > Acceso condicional.Browse to Azure Active Directory > Security > Conditional Access.
  2. Seleccione Nueva directiva.Select New policy.
  3. Asigne un nombre a la directiva.Give your policy a name. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.We recommend that organizations create a meaningful standard for the names of their policies.
  4. En Asignaciones, seleccione Usuarios y grupos.Under Assignments, select Users and groups
    1. En Incluir, seleccione Todos los usuarios o Usuarios y grupos específicos a los que desee aplicar esta directiva.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Seleccione Listo.Select Done.
  5. En Aplicaciones en la nube o acciones > Incluir, seleccione Office 365 Exchange Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. En Condiciones:Under Conditions:
    1. Aplicaciones cliente (versión preliminar) :Client apps (preview):
      1. Establezca Configurar en .Set Configure to Yes.
      2. Seleccione Aplicaciones móviles y clientes de escritorio y Clientes de Exchange ActiveSync.Select Mobile apps and desktop clients and Exchange ActiveSync clients.
  7. En Controles de acceso > Conceder, seleccione Conceder acceso, Requerir aplicación cliente aprobada y Seleccionar.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  8. Confirme la configuración y establezca Habilitar directiva en Activado.Confirm your settings and set Enable policy to On.
  9. Seleccione Crear para crear y habilitar la directiva.Select Create to create and enable your policy.

Paso 3: Configuración de la directiva de protección de aplicaciones de Intune para aplicaciones cliente de iOS y Android.Step 3: Configure Intune app protection policy for iOS and Android client applications.

Revise el artículo Creación y asignación de directivas de protección de aplicaciones para conocer los pasos para crear directivas de protección de aplicaciones para Android e iOS.Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

Escenario 2: Exchange Online y SharePoint Online requieren una aplicación cliente aprobadaScenario 2: Exchange Online and SharePoint Online require an approved client app

En este escenario, Contoso ha decidido que los usuarios solo pueden acceder al correo electrónico y a los datos de SharePoint en dispositivos móviles, siempre que usen una aplicación cliente aprobada, como Outlook Mobile.In this scenario, Contoso has decided that users may only access email and SharePoint data on mobile devices as long as they use an approved client app like Outlook mobile. Todos sus usuarios ya inician sesión con credenciales de Azure AD y tienen licencias asignadas que incluyen Azure AD Premium P1 o P2 y Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Las organizaciones deben completar los tres pasos siguientes para requerir el uso de una aplicación cliente aprobada en dispositivos móviles y clientes de Exchange ActiveSync.Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices and Exchange ActiveSync clients.

Paso 1: Directiva para los clientes de autenticación moderna basada en Android e iOS que requieren el uso de una aplicación cliente aprobada al acceder a Exchange Online y SharePoint Online.Step 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client application when accessing Exchange Online and SharePoint Online.

  1. Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Vaya a Azure Active Directory > Seguridad > Acceso condicional.Browse to Azure Active Directory > Security > Conditional Access.
  3. Seleccione Nueva directiva.Select New policy.
  4. Asigne un nombre a la directiva.Give your policy a name. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.We recommend that organizations create a meaningful standard for the names of their policies.
  5. En Asignaciones, seleccione Usuarios y grupos.Under Assignments, select Users and groups
    1. En Incluir, seleccione Todos los usuarios o Usuarios y grupos específicos a los que desee aplicar esta directiva.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Seleccione Listo.Select Done.
  6. En Aplicaciones en la nube o acciones > Incluir, seleccione Office 365 Exchange Online y Office 365 SharePoint Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online and Office 365 SharePoint Online.
  7. En Condiciones, seleccione Plataformas de dispositivo.Under Conditions, select Device platforms.
    1. Establezca Configurar en .Set Configure to Yes.
    2. Incluya Android e iOS.Include Android and iOS.
  8. En Condiciones, seleccione Aplicaciones cliente (versión preliminar) .Under Conditions, select Client apps (preview).
    1. Establezca Configurar en .Set Configure to Yes.
    2. Seleccione Aplicaciones móviles y clientes de escritorio y Clientes de autenticación moderna.Select Mobile apps and desktop clients and Modern authentication clients.
  9. En Controles de acceso > Conceder, seleccione Conceder acceso, Requerir aplicación cliente aprobada y Seleccionar.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  10. Confirme la configuración y establezca Habilitar directiva en Activado.Confirm your settings and set Enable policy to On.
  11. Seleccione Crear para crear y habilitar la directiva.Select Create to create and enable your policy.

Paso 2: Directiva para los clientes de Exchange ActiveSync que requieren el uso de una aplicación cliente aprobada.Step 2: Policy for Exchange ActiveSync clients requiring the use of an approved client app.

  1. Vaya a Azure Active Directory > Seguridad > Acceso condicional.Browse to Azure Active Directory > Security > Conditional Access.
  2. Seleccione Nueva directiva.Select New policy.
  3. Asigne un nombre a la directiva.Give your policy a name. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.We recommend that organizations create a meaningful standard for the names of their policies.
  4. En Asignaciones, seleccione Usuarios y grupos.Under Assignments, select Users and groups
    1. En Incluir, seleccione Todos los usuarios o Usuarios y grupos específicos a los que desee aplicar esta directiva.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Seleccione Listo.Select Done.
  5. En Aplicaciones en la nube o acciones > Incluir, seleccione Office 365 Exchange Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. En Condiciones:Under Conditions:
    1. Aplicaciones cliente (versión preliminar) :Client apps (preview):
      1. Establezca Configurar en .Set Configure to Yes.
      2. Seleccione Aplicaciones móviles y clientes de escritorio y Clientes de Exchange ActiveSync.Select Mobile apps and desktop clients and Exchange ActiveSync clients.
  7. En Controles de acceso > Conceder, seleccione Conceder acceso, Requerir aplicación cliente aprobada y Seleccionar.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  8. Confirme la configuración y establezca Habilitar directiva en Activado.Confirm your settings and set Enable policy to On.
  9. Seleccione Crear para crear y habilitar la directiva.Select Create to create and enable your policy.

Paso 3: Configuración de la directiva de protección de aplicaciones de Intune para aplicaciones cliente de iOS y Android.Step 3: Configure Intune app protection policy for iOS and Android client applications.

Revise el artículo Creación y asignación de directivas de protección de aplicaciones para conocer los pasos para crear directivas de protección de aplicaciones para Android e iOS.Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

Pasos siguientesNext steps

¿Qué es el acceso condicional?What is Conditional Access?

Componentes de acceso condicionalConditional access components

Directivas de acceso condicional habitualesCommon Conditional Access policies