Acceso condicional: CondicionesConditional Access: Conditions

Dentro de una directiva de acceso condicional, un administrador puede usar señales de condiciones como el riesgo, la plataforma del dispositivo o la ubicación para mejorar sus decisiones de directivas.Within a Conditional Access policy, an administrator can make use of signals from conditions like risk, device platform, or location to enhance their policy decisions.

Definición de una directiva de acceso condicional y especificación de condiciones Define a Conditional Access policy and specify conditions

Se pueden combinar varias condiciones para crear directivas de acceso condicional específicas y concretas.Multiple conditions can be combined to create fine-grained and specific Conditional Access policies.

Por ejemplo, al tener acceso a una aplicación confidencial, un administrador puede factorizar la información de riesgo de inicio de sesión de Identity Protection y la ubicación en su decisión de acceso, además de otros controles como autenticación multifactor.For example, when accessing a sensitive application an administrator may factor sign-in risk information from Identity Protection and location into their access decision in addition to other controls like multi-factor authentication.

Riesgo de inicio de sesiónSign-in risk

En el caso de clientes con acceso a Identity Protection, se puede evaluar el riesgo de inicio de sesión como parte de una directiva de acceso condicional.For customers with access to Identity Protection, sign-in risk can be evaluated as part of a Conditional Access policy. Un riesgo de inicio de sesión representa la probabilidad de que el propietario de la identidad no haya autorizado una solicitud de autenticación determinada.Sign-in risk represents the probability that a given authentication request isn't authorized by the identity owner. Puede encontrar más información sobre el riesgo de inicio de sesión en los artículos ¿Cuáles son los riesgos? e Instrucciones: Configuración y habilitación de directivas de riesgo.More information about sign-in risk can be found in the articles, What is risk and How To: Configure and enable risk policies.

Riesgo de usuarioUser risk

En el caso de los clientes con acceso a Identity Protection, el riesgo del usuario se puede evaluar como parte de una directiva de acceso condicional.For customers with access to Identity Protection, user risk can be evaluated as part of a Conditional Access policy. El riesgo del usuario representa la probabilidad de que una identidad o una cuenta determinada esté en peligro.User risk represents the probability that a given a given identity or account is compromised. Puede encontrar más información sobre el riesgo del usuario en los artículos ¿Cuáles son los riesgos? e Instrucciones: Configuración y habilitación de directivas de riesgo.More information about user risk can be found in the articles, What is risk and How To: Configure and enable risk policies.

Plataformas de dispositivoDevice platforms

La plataforma de dispositivo se caracteriza por el sistema operativo que se ejecuta en un dispositivo.The device platform is characterized by the operating system that runs on a device. Azure AD identifica la plataforma mediante el uso de la información proporcionada por el dispositivo, como las cadenas de agente de usuario.Azure AD identifies the platform by using information provided by the device, such as user agent strings. Como las cadenas de agente de usuario se pueden modificar, esta información no se comprueba.Since user agent strings can be modified, this information is unverified. La plataforma de dispositivo se debe usar junto con las directivas de cumplimiento de dispositivos de Microsoft Intune o como parte de una instrucción de bloque.Device platform should be used in concert with Microsoft Intune device compliance policies or as part of a block statement. El valor predeterminado es aplicarlo a todas las plataformas de dispositivo.The default is to apply to all device platforms.

El acceso condicional de Azure AD admite las siguientes plataformas de dispositivo:Azure AD Conditional Access supports the following device platforms:

  • AndroidAndroid
  • iOSiOS
  • Windows PhoneWindows Phone
  • WindowsWindows
  • macOSmacOS

Si bloquea la autenticación heredada con la condición Otros clientes, también puede establecer la condición de la plataforma del dispositivo.If you block legacy authentication using the Other clients condition, you can also set the device platform condition.

Importante

Microsoft le recomienda que tenga una directiva de acceso condicional para las plataformas de dispositivos que no sean compatibles.Microsoft recommends that you have a Conditional Access policy for unsupported device platforms. Por ejemplo, si quiere bloquear el acceso a los recursos corporativos desde Linux o cualquier otro cliente no compatible, debe configurar una directiva con una condición de plataformas de dispositivos que incluya cualquier dispositivo, excluya las plataformas de dispositivo compatibles y conceda el control establecido para bloquear el acceso.As an example, if you want to block access to your corporate resources from Linux or any other unsupported clients, you should configure a policy with a Device platforms condition that includes any device and excludes supported device platforms and Grant control set to Block access.

UbicacionesLocations

Al configurar la ubicación como una condición, las organizaciones pueden elegir incluir o excluir ubicaciones.When configuring location as a condition, organizations can choose to include or exclude locations. Estas ubicaciones con nombre pueden incluir la información de red IPv4 pública, el país o la región, o incluso áreas desconocidas que no se asignan a países o regiones en concreto.These named locations may include the public IPv4 network information, country or region, or even unknown areas that don't map to specific countries or regions. Solo los intervalos IP se pueden marcar como una ubicación de confianza.Only IP ranges can be marked as a trusted location.

Al incluir cualquier ubicación, esta opción incluye cualquier dirección IP en Internet, no solo en las ubicaciones con nombre configuradas.When including any location, this option includes any IP address on the internet not just configured named locations. Al seleccionar cualquier ubicación, los administradores pueden optar por excluir todas las ubicaciones de confianza o seleccionadas.When selecting any location, administrators can choose to exclude all trusted or selected locations.

Por ejemplo, algunas organizaciones pueden optar por no requerir la autenticación multifactor cuando los usuarios están conectados a la red en una ubicación de confianza, como su oficina central física.For example, some organizations may choose to not require multi-factor authentication when their users are connected to the network in a trusted location such as their physical headquarters. Los administradores pueden crear una directiva que incluya cualquier ubicación, pero excluya las ubicaciones seleccionadas para las redes de la oficina central.Administrators could create a policy that includes any location but excludes the selected locations for their headquarters networks.

Para más información sobre las ubicaciones, consulte el artículo ¿Qué es la condición de ubicación del acceso condicional de Azure Active Directory?More information about locations can be found in the article, What is the location condition in Azure Active Directory Conditional Access.

Aplicaciones clienteClient apps

De manera predeterminada, todas las directivas de acceso condicional recién creadas se aplicarán a todos los tipos de aplicaciones cliente, incluso si la condición de las aplicaciones cliente no está configurada.By default, all newly created Conditional Access policies will apply to all client app types even if the client apps condition is not configured.

Nota

El comportamiento de la condición de las aplicaciones cliente se actualizó en agosto de 2020.The behavior of the client apps condition was updated in August 2020. Si ya tiene directivas de acceso condicional, estas permanecerán sin cambios.If you have existing Conditional Access policies, they will remain unchanged. Sin embargo, si hace clic en una directiva existente, se habrá quitado el botón de alternancia de configuración, y estarán seleccionadas las aplicaciones cliente a las que se aplica la directiva.However, if you click on an existing policy, the configure toggle has been removed and the client apps the policy applies to are selected.

Importante

Los inicios de sesión desde clientes de autenticación heredada no admiten MFA y no pasan la información del estado de los dispositivos a Azure AD, por lo que se bloquearán mediante controles de concesión de acceso condicional, como la exigencia de MFA o dispositivos compatibles.Sign-ins from legacy authentication clients don’t support MFA and don’t pass device state information to Azure AD, so they will be blocked by Conditional Access grant controls, like requiring MFA or compliant devices. Si tiene cuentas que deben usar la autenticación heredada, debe excluir esas cuentas de la directiva, o bien configurar la directiva para que solo se aplique a los clientes de autenticación moderna.If you have accounts which must use legacy authentication, you must either exclude those accounts from the policy, or configure the policy to only apply to modern authentication clients.

Cuando el botón de alternancia Configurar está establecido en , se aplica a los elementos seleccionados; cuando está establecido en No, se aplica a todas las aplicaciones cliente, incluidos los clientes de autenticación moderna y heredada.The Configure toggle when set to Yes applies to checked items, when set to No it applies to all client apps, including modern and legacy authentication clients. Este botón de alternancia no aparece en las directivas creadas antes de agosto de 2020.This toggle does not appear in policies created before August 2020.

  • Clientes de autenticación modernaModern authentication clients
    • BrowserBrowser
      • Estos incluyen aplicaciones basadas en web que usan protocolos como SAML, WS-Federation, OpenID Connect o servicios registrados como un cliente de OAuth Confidential.These include web-based applications that use protocols like SAML, WS-Federation, OpenID Connect, or services registered as an OAuth confidential client.
    • Aplicaciones móviles y aplicaciones de escritorioMobile apps and desktop clients
      • Esta opción incluye aplicaciones como las aplicaciones de teléfono y escritorio de Office.This option includes applications like the Office desktop and phone applications.
  • Clientes de autenticación heredadaLegacy authentication clients
    • Clientes de Exchange ActiveSyncExchange ActiveSync clients
      • Esto incluye cualquier uso del protocolo Exchange ActiveSync (EAS).This includes all use of the Exchange ActiveSync (EAS) protocol.
      • Cuando la directiva bloquea el uso de Exchange ActiveSync, el usuario afectado recibirá un único mensaje de correo electrónico de cuarentena.When policy blocks the use of Exchange ActiveSync the affected user will receive a single quarantine email. Este mensaje de correo electrónico proporciona información sobre por qué está bloqueado e incluye instrucciones de corrección si es posible.This email with provide information on why they are blocked and include remediation instructions if able.
      • Los administradores pueden aplicar directivas solo a las plataformas admitidas (como iOS, Android y Windows) a través de MS Graph API de acceso condicional.Administrators can apply policy only to supported platforms (such as iOS, Android, and Windows) through the Conditional Access MS Graph API.
    • Otros clientesOther clients
      • Esta opción incluye clientes que usan protocolos de autenticación básicos/heredados que no admiten la autenticación moderna.This option includes clients that use basic/legacy authentication protocols that do not support modern authentication.
        • SMTP autenticado: usado por clientes POP e IMAP para enviar mensajes de correo electrónico.Authenticated SMTP - Used by POP and IMAP client's to send email messages.
        • Detección automática: usada por clientes Outlook y EAS para buscar y conectarse a buzones en Exchange Online.Autodiscover - Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
        • Exchange Online PowerShell: se usa para conectarse a Exchange Online con PowerShell remoto.Exchange Online PowerShell - Used to connect to Exchange Online with remote PowerShell. Si bloquea la autenticación básica para Exchange Online PowerShell, debe usar el módulo de Exchange Online PowerShell para conectarse.If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell con autenticación multifactor.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
        • Servicios web Exchange (EWS): una interfaz de programación que se usa en Outlook, Outlook para Mac y aplicaciones de terceros.Exchange Web Services (EWS) - A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
        • IMAP4: usado por clientes de correo electrónico IMAP.IMAP4 - Used by IMAP email clients.
        • MAPI sobre HTTP (MAPI/HTTP): usado por Outlook 2010 y versiones posteriores.MAPI over HTTP (MAPI/HTTP) - Used by Outlook 2010 and later.
        • Libreta de direcciones sin conexión (OAB): una copia de las colecciones de listas de direcciones que Outlook descarga y usa.Offline Address Book (OAB) - A copy of address list collections that are downloaded and used by Outlook.
        • Outlook en cualquier lugar (RPC a través de HTTP): usado por Outlook 2016 y versiones anteriores.Outlook Anywhere (RPC over HTTP) - Used by Outlook 2016 and earlier.
        • Servicio Outlook: usado por la aplicación de correo electrónico y calendario de Windows 10.Outlook Service - Used by the Mail and Calendar app for Windows 10.
        • POP3: usado por clientes de correo electrónico POP.POP3 - Used by POP email clients.
        • Servicios web de creación de informes: se usan para recuperar datos de informes en Exchange Online.Reporting Web Services - Used to retrieve report data in Exchange Online.

Estas condiciones se suelen usar cuando se requiere un dispositivo administrado, se bloquea la autenticación heredada y se bloquea la aplicación web, pero se permiten aplicaciones móviles o de escritorio.These conditions are commonly used when requiring a managed device, blocking legacy authentication, and blocking web applications but allowing mobile or desktop apps.

Exploradores compatiblesSupported browsers

Esta configuración funciona con todos los exploradores.This setting works with all browsers. Sin embargo, para satisfacer una directiva de dispositivo, como un requisito de dispositivo compatible, se admiten los sistemas operativos y exploradores siguientes:However, to satisfy a device policy, like a compliant device requirement, the following operating systems and browsers are supported:

SOOS ExploradoresBrowsers
Windows 10Windows 10 Microsoft Edge, Internet Explorer, ChromeMicrosoft Edge, Internet Explorer, Chrome
Windows 8 / 8.1Windows 8 / 8.1 Internet Explorer, ChromeInternet Explorer, Chrome
Windows 7Windows 7 Internet Explorer, ChromeInternet Explorer, Chrome
iOSiOS Microsoft Edge, Intune Managed Browser, SafariMicrosoft Edge, Intune Managed Browser, Safari
AndroidAndroid Microsoft Edge, Intune Managed Browser, ChromeMicrosoft Edge, Intune Managed Browser, Chrome
Windows PhoneWindows Phone Microsoft Edge, Internet ExplorerMicrosoft Edge, Internet Explorer
Windows Server 2019Windows Server 2019 Microsoft Edge, Internet Explorer, ChromeMicrosoft Edge, Internet Explorer, Chrome
Windows Server 2016Windows Server 2016 Internet ExplorerInternet Explorer
Windows Server 2012 R2Windows Server 2012 R2 Internet ExplorerInternet Explorer
Windows Server 2008 R2Windows Server 2008 R2 Internet ExplorerInternet Explorer
macOSmacOS Chrome, SafariChrome, Safari

Nota

Edge 85+ requiere que el usuario inicie sesión en el explorador para pasar correctamente la identidad del dispositivo.Edge 85+ requires the user to be signed in to the browser to properly pass device identity. De lo contrario, se comporta como Chrome sin la extensión de cuentas.Otherwise, it behaves like Chrome without the accounts extension. Este inicio de sesión podría no producirse automáticamente en un escenario de Unión a Azure AD híbrido.This sign-in might not occur automatically in a Hybrid Azure AD Join scenario.

¿Por qué veo una solicitud de certificado en el explorador?Why do I see a certificate prompt in the browser

En Windows 7, iOS, Android y macOS, Azure AD identifica el dispositivo mediante un certificado de cliente que se aprovisiona cuando el dispositivo está registrado con Azure AD.On Windows 7, iOS, Android, and macOS Azure AD identifies the device using a client certificate that is provisioned when the device is registered with Azure AD. Cuando un usuario inicia sesión por primera vez a través del explorador, se le pide que seleccione el certificado.When a user first signs in through the browser the user is prompted to select the certificate. El usuario debe seleccionar este certificado antes de usar el explorador.The user must select this certificate before using the browser.

Compatibilidad con ChromeChrome support

Para la compatibilidad con Chrome en Windows 10 Creators Update (versión 1703) o posterior, instale la extensión de cuentas de Windows 10.For Chrome support in Windows 10 Creators Update (version 1703) or later, install the Windows 10 Accounts extension. Esta extensión es necesaria cuando una directiva de acceso condicional requiere detalles específicos del dispositivo.This extension is required when a Conditional Access policy requires device-specific details.

Para implementar automáticamente esta extensión en los exploradores de Chrome, cree la siguiente clave del Registro:To automatically deploy this extension to Chrome browsers, create the following registry key:

  • Ruta de acceso HKEY_LOCAL_MACHINE \Software\Policies\Google\Chrome\ExtensionInstallForcelistPath HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Nombre 1Name 1
  • Tipo REG_SZ (cadena)Type REG_SZ (String)
  • Datos ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crxData ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Para la compatibilidad con Chrome en Windows 8.1 y 7, cree la siguiente clave del Registro:For Chrome support in Windows 8.1 and 7, create the following registry key:

  • Ruta de acceso HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrlsPath HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Nombre 1Name 1
  • Tipo REG_SZ (cadena)Type REG_SZ (String)
  • Datos {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Estos exploradores admiten la autenticación de dispositivo, lo que permite identificar y validar el dispositivo con respecto a una directiva.These browsers support device authentication, allowing the device to be identified and validated against a policy. Se produce un error en la comprobación del dispositivo si el explorador se ejecuta en modo privado.The device check fails if the browser is running in private mode.

Clientes de escritorio y aplicaciones móviles compatiblesSupported mobile applications and desktop clients

Las organizaciones pueden seleccionar Aplicaciones móviles y clientes de escritorio como aplicación cliente.Organizations can select Mobile apps and desktop clients as client app.

Esta configuración afecta a los intentos de acceso realizados desde las siguientes aplicaciones móviles y aplicaciones de escritorio:This setting has an impact on access attempts made from the following mobile apps and desktop clients:

Aplicaciones clienteClient apps Servicio de destinoTarget Service PlataformaPlatform
Aplicación de Dynamics CRMDynamics CRM app Dynamics CRMDynamics CRM Windows 10, Windows 8.1, iOS y AndroidWindows 10, Windows 8.1, iOS, and Android
Aplicación de Correo electrónico/Calendario/People, Outlook 2016, Outlook 2013 (con la autenticación moderna)Mail/Calendar/People app, Outlook 2016, Outlook 2013 (with modern authentication) Exchange OnlineExchange Online Windows 10Windows 10
Directiva de MFA y de ubicación para las aplicaciones.MFA and location policy for apps. No se admiten las directivas basadas en dispositivos.Device-based policies are not supported. Cualquier servicio de aplicaciones de Mis aplicacionesAny My Apps app service Android e iOSAndroid and iOS
Microsoft Teams Services: controla todos los servicios que admiten Microsoft Teams y todas sus aplicaciones cliente: escritorio de Windows, iOS, Android, WP y cliente webMicrosoft Teams Services - this controls all services that support Microsoft Teams and all its Client Apps - Windows Desktop, iOS, Android, WP, and web client Equipos de MicrosoftMicrosoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android y macOSWindows 10, Windows 8.1, Windows 7, iOS, Android, and macOS
Aplicaciones de Office 2016, Office 2013 (con autenticación moderna), cliente de sincronización de OneDriveOffice 2016 apps, Office 2013 (with modern authentication), OneDrive sync client SharePointSharePoint Windows 8.1, Windows 7, Windows 7Windows 8.1, Windows 7
Aplicaciones de Office 2016, aplicaciones universales de Office, Office 2013 (con autenticación moderna), cliente de sincronización de OneDriveOffice 2016 apps, Universal Office apps, Office 2013 (with modern authentication), OneDrive sync client SharePoint OnlineSharePoint Online Windows 10Windows 10
Office 2016 (solo Word, Excel, PowerPoint y OneNote).Office 2016 (Word, Excel, PowerPoint, OneNote only). SharePointSharePoint macOSmacOS
Office 2019Office 2019 SharePointSharePoint Windows 10, macOSWindows 10, macOS
Aplicaciones móviles de OfficeOffice mobile apps SharePointSharePoint Android, iOSAndroid, iOS
Aplicación de Yammer para OfficeOffice Yammer app YammerYammer Windows 10, iOS y AndroidWindows 10, iOS, Android
Outlook 2019Outlook 2019 SharePointSharePoint Windows 10, macOSWindows 10, macOS
Outlook 2016 (Office para macOS)Outlook 2016 (Office for macOS) Exchange OnlineExchange Online macOSmacOS
Outlook 2016, Outlook 2013 (con autenticación moderna) y Skype Empresarial (con autenticación moderna)Outlook 2016, Outlook 2013 (with modern authentication), Skype for Business (with modern authentication) Exchange OnlineExchange Online Windows 8.1, Windows 7, Windows 7Windows 8.1, Windows 7
Aplicación móvil de OutlookOutlook mobile app Exchange OnlineExchange Online Android, iOSAndroid, iOS
Power BI appPower BI app Servicio Power BIPower BI service Windows 10, Windows 8.1, Windows 7, Android e iOSWindows 10, Windows 8.1, Windows 7, Android, and iOS
Skype EmpresarialSkype for Business Exchange OnlineExchange Online Android, iOSAndroid, iOS
Aplicación de Visual Studio Team ServicesVisual Studio Team Services app Visual Studio Team ServicesVisual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS y AndroidWindows 10, Windows 8.1, Windows 7, iOS, and Android

Clientes de Exchange ActiveSyncExchange ActiveSync clients

  • Las organizaciones solo pueden seleccionar clientes de Exchange ActiveSync al asignar directivas a usuarios o grupos.Organizations can only select Exchange ActiveSync clients when assigning policy to users or groups. La selección de Todos los usuarios, Todos los usuarios externos e invitados o Roles del directorio hará que todos los usuarios se bloqueen.Selecting All users, All guest and external users, or Directory roles will cause all users to become blocked.
  • Al crear una directiva asignada a los clientes de Exchange ActiveSync, Exchange Online debe ser la única aplicación en la nube asignada a la directiva.When creating a policy assigned to Exchange ActiveSync clients, Exchange Online should be the only cloud application assigned to the policy.
  • Las organizaciones pueden restringir el ámbito de esta directiva a plataformas específicas mediante la condición Plataformas de dispositivo.Organizations can narrow the scope of this policy to specific platforms using the Device platforms condition.

Si el control de acceso que se asigna a la directiva usa Requerir aplicación cliente aprobada, se dirige al usuario para que instale y use el cliente móvil de Outlook.If the access control assigned to the policy uses Require approved client app, the user is directed to install and use the Outlook mobile client. En el caso de que se requiera Multi-factor Authentication, los usuarios afectados están bloqueados, ya que la autenticación básica no admite la autenticación multifactor.In the case that Multi-factor authentication is required, affected users are blocked, because basic authentication does not support multi-factor authentication.

Para más información, consulte los siguientes artículos.For more information, see the following articles:

Otros clientesOther clients

Si selecciona Otros clientes, puede especificar una condición que afecta a las aplicaciones que usan la autenticación básica con protocolos de correo electrónico como IMAP, MAPI, POP, SMTP y aplicaciones de Office más antiguas que no usan la autenticación moderna.By selecting Other clients, you can specify a condition that affects apps that use basic authentication with mail protocols like IMAP, MAPI, POP, SMTP, and older Office apps that don't use modern authentication.

Estado del dispositivo (versión preliminar)Device state (preview)

La condición del estado del dispositivo se puede usar para excluir dispositivos que están unidos a Azure AD híbrido o dispositivos marcados como compatibles con una directiva de cumplimiento de Microsoft Intune de las directivas de acceso condicional de una organización.The device state condition can be used to exclude devices that are hybrid Azure AD joined and/or devices marked as compliant with a Microsoft Intune compliance policy from an organization's Conditional Access policies.

Por ejemplo, Todos los usuarios que acceden a la aplicación en la nube Administración de Microsoft Azure, incluido Todos los estados de dispositivo, excluidos Unido a Azure AD híbrido de dispositivo y Dispositivo marcado como compatible y para Controles de acceso, Bloquear.For example, All users accessing the Microsoft Azure Management cloud app including All device state excluding Device Hybrid Azure AD joined and Device marked as compliant and for Access controls, Block.

  • En este ejemplo se crea una directiva que solo permite el acceso a Administración de Microsoft Azure desde dispositivos unidos a Azure AD híbrido o dispositivos marcados como compatibles.This example would create a policy that only allows access to Microsoft Azure Management from devices that are hybrid Azure AD joined and/or devices marked as compliant.

Pasos siguientesNext steps