¿Qué es el acceso condicional?

El perímetro de seguridad moderno se extiende más allá de la red de una organización, e incluye tanto la identidad del usuario como la del dispositivo. Las organizaciones ahora usan señales basadas en identidades como parte de sus decisiones de control de acceso. El acceso condicional de Microsoft Entra reúne las señales para tomar decisiones y aplicar las directivas de la organización. El acceso condicional es el motor de directivas de Confianza cero de Microsoft que tiene en cuenta señales de varios orígenes al aplicar decisiones de directivas.

Diagram showing concept of Conditional Access signals plus decision to enforce organizational policy.

En su forma más simple, las directivas de acceso condicional son instrucciones if-then; si un usuario desea tener acceso a un recurso, deben completar una acción. Por ejemplo: si un usuario quiere acceder a una aplicación o servicio como Microsoft 365, debe realizar la autenticación multifactor para obtener acceso.

Los administradores se enfrentan a dos objetivos principales:

  • Capacitar a los usuarios para ser productivos donde sea y cuando sea
  • Proteger los recursos de la organización.

Utilizar las directivas de acceso condicional para aplicar los controles de acceso correctos cuando sea necesario para mantener protegida la organización.

Importante

Las directivas de acceso condicional se aplican una vez que se completa la autenticación en una fase. El acceso condicional no pretende ser una primera línea de defensa de una organización en escenarios como los ataques por denegación de servicio (DoS), pero puede usar señales de estos eventos para determinar el acceso.

Señales comunes

El acceso condicional tiene en cuenta señales de varios orígenes al tomar decisiones de acceso.

Diagram showing Conditional Access as the Zero Trust policy engine aggregating signals from various sources.

Estas señales incluyen:

  • Pertenencia a un usuario o grupo
    • Las directivas pueden dirigirse a usuarios y grupos concretos, lo que proporciona a los administradores un mayor control sobre el acceso.
  • Información de la ubicación de la IP
    • Las organizaciones pueden crear intervalos de direcciones IP de confianza que se pueden usar al tomar decisiones sobre directivas.
    • Los administradores pueden especificar que se bloquee o se permita el tráfico de intervalos de direcciones IP de países o regiones completos.
  • Dispositivo
    • Los usuarios con dispositivos de plataformas concretas o marcados con un estado concreto se pueden usar al aplicar directivas de acceso condicional.
    • Use filtros para los dispositivos a fin de destinar directivas a dispositivos específicos, como estaciones de trabajo de acceso con privilegios.
  • Aplicación
    • Los usuarios que intentan acceder a aplicaciones específicas pueden activar diferentes directivas de acceso condicional.
  • Detección de riesgo calculado y en tiempo real
    • La integración de señales con Microsoft Entra ID Protection permite que las directivas de acceso condicional identifiquen y corrijan a los usuarios y comportamientos de inicio de sesión peligrosos.
  • Microsoft Defender para aplicaciones en la nube
    • Permite supervisar y controlar en tiempo real el acceso a las aplicaciones y las sesiones de los usuarios. Esta integración aumenta la visibilidad y el control sobre el acceso y las actividades realizadas en el entorno de la nube.

Decisiones comunes

  • Bloquear acceso
    • Decisión más restrictiva
  • Conceder acceso
    • Decisión menos restrictiva, puede requerir una o varias de las opciones siguientes:
      • Requiere autenticación multifactor
      • Requerir intensidad de autenticación
      • Requerir que el dispositivo esté marcado como compatible
      • Requerir un dispositivo híbrido unido a Microsoft Entra
      • Requerir aplicación cliente aprobada
      • Requerir la directiva de protección de aplicaciones
      • Requerir cambio de contraseña
      • Requerir condiciones de uso

Directivas que se aplican habitualmente

Muchas organizaciones tienen problemas de acceso comunes y las directivas de acceso condicional pueden servir de ayuda al respecto. Por ejemplo, para:

  • Requerir la autenticación multifactor a los usuarios con roles administrativos
  • Requerir la autenticación multifactor para las tareas de administración de Azure
  • Bloquear los inicios de sesión a los usuarios que intenten usar protocolos de autenticación heredados
  • Requerir ubicaciones de confianza para el registro de información de seguridad
  • Bloquear o conceder el acceso desde ubicaciones concretas
  • Bloquear de comportamientos de inicio de sesión peligrosos
  • Requerir dispositivos administrados por la organización para aplicaciones concretas

Los administradores pueden crear directivas desde cero o empezar desde una directiva de plantilla en el portal o mediante Microsoft Graph API.

Experiencia de administrador

Los administradores con el rol Administrador de acceso condicional pueden administrar directivas.

El acceso condicional se encuentra en el centro de administración de Microsoft Entra en Protección>Acceso condicional.

Screenshot of the Conditional Access overview page.

  • La página Información general proporciona un resumen del estado de la directiva, los usuarios, los dispositivos y las aplicaciones, así como las alertas generales y de seguridad con sugerencias.
  • La página Cobertura proporciona una sinopsis de las aplicaciones con y sin cobertura de directivas de acceso condicional durante los últimos siete días.
  • La página Supervisión permite a los administradores ver un gráfico de inicios de sesión que se pueden filtrar para ver posibles brechas en la cobertura de directivas.

Los administradores pueden filtrar las directivas de acceso condicional en la página Directivas en función de elementos como el actor, el recurso de destino, la condición, el control aplicado, el estado o la fecha. Esta capacidad de filtrado permite a los administradores encontrar directivas específicas en función de su configuración rápidamente.

Requisitos de licencia

El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.

Los clientes con licencias de Microsoft 365 Empresa Premium también tienen acceso a características de acceso condicional.

Las directivas basadas en riesgo requieren acceso a Identity Protection, que requiere licencias P2.

Otros productos y características que pueden interactuar con las directivas de acceso condicional requieren licencias adecuadas para esos productos y características.

Cuando las licencias necesarias para el acceso condicional expiran, las directivas no se deshabilitan ni eliminan automáticamente. Esto permite a los clientes migrar de las directivas de acceso condicional sin un cambio repentino en su posición de seguridad. Las directivas restantes se pueden ver y eliminar, pero ya no se actualizan.

Los valores predeterminados de seguridad sirven de protección contra ataques relacionados con la identidad y están disponibles para todos los clientes.

Confianza cero

Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de Confianza cero:

  • Comprobación explícita
  • Usar privilegios mínimos
  • Presunción de intrusiones al sistema

Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de instrucciones de Confianza cero.

Pasos siguientes