Acceso condicional: requerir un dispositivo unido a Azure AD híbrido o compatible
Las organizaciones que han implementado Microsoft Intune pueden usar la información que devuelven sus dispositivos para identificar aquellos que satisfacen los requisitos de cumplimiento, por ejemplo:
- Exigir un PIN para desbloquearlos
- Exigir el cifrado del dispositivo
- Exigir una versión mínima o máxima del sistema operativo
- Exigir que un dispositivo no se haya liberado ni modificado
Esta información del cumplimiento de las directivas se reenvía a Azure AD donde se pueden tomar decisiones mediante el acceso condicional para conceder o bloquear el acceso a los recursos. Para más información sobre las directivas de cumplimiento de dispositivos, consulte el artículo Establecimiento de reglas en los dispositivos para permitir el acceso a recursos de su organización con Intune.
Implementación de plantilla
Las organizaciones pueden optar por implementar esta directiva mediante los pasos descritos a continuación o mediante las plantillas de acceso condicional (versión preliminar).
Creación de una directiva de acceso condicional
Los pasos siguientes le ayudarán a crear una directiva de acceso condicional para exigir que los dispositivos que acceden a los recursos se marquen como compatibles con las directivas de cumplimiento de Intune de su organización.
- Inicie sesión en Azure Portal como administrador global, administrador de seguridad o administrador de acceso condicional.
- Vaya a Azure Active Directory > Seguridad > Acceso condicional.
- Seleccione Nueva directiva.
- Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
- En Asignaciones, seleccione Usuarios y grupos.
- En Incluir, seleccione Todos los usuarios.
- En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de acceso de emergencia de la organización.
- Seleccione Listo.
- En Aplicaciones en la nube o acciones > Incluir, seleccione Todas las aplicaciones en la nube.
- Si debe excluir aplicaciones específicas de la directiva, puede seleccionarlas en la pestaña Excluir en Seleccionar las aplicaciones en la nube excluidas y elegir Seleccionar.
- Seleccione Listo.
- En Controles de acceso > Conceder.
- Seleccione Require device to be marked as compliant (Requerir que el dispositivo se marque como compatible) y Require Hybrid Azure AD joined device (Requerir un dispositivo de Azure AD híbrido unido).
- En el caso de controles múltiples, seleccione Requerir uno de los controles seleccionados.
- Elija Seleccionar.
- Confirme la configuración y establezca Habilitar directiva en Solo informe.
- Seleccione Crear para crear la directiva.
Después de confirmar la configuración mediante el modo de solo informe, un administrador puede mover el botón de alternancia Habilitar directiva de Solo informe a Activar.
Nota
Puede inscribir sus nuevos dispositivos en Intune aunque seleccione Requerir que el dispositivo esté marcado como compatible para Todos los usuarios y Todas las aplicaciones en la nube mediante los pasos anteriores. El control Requerir que el dispositivo esté marcado como compatible no impide la inscripción a Intune.
Comportamiento conocido
En Windows 7, iOS, Android, macOS y algunos exploradores web de terceros, Azure AD identifica el dispositivo mediante un certificado de cliente que se aprovisiona cuando el dispositivo se registra con Azure AD. Cuando un usuario inicia sesión por primera vez a través del explorador, se le pide que seleccione el certificado. El usuario final debe seleccionar este certificado para poder seguir usando el explorador.
Pasos siguientes
Directivas de acceso condicional habituales
Determinación del impacto mediante el modo de solo informe de acceso condicional
Las directivas de cumplimiento de dispositivos funcionan con Azure AD