¿Qué es el acceso condicional?What is Conditional Access?

El perímetro de seguridad moderno ahora se extiende más allá de la red de una organización, incluye tanto la identidad del usuario como la del dispositivo.The modern security perimeter now extends beyond an organization's network to include user and device identity. Las organizaciones pueden usar estas señales de identidad como parte de sus decisiones de control de acceso.Organizations can utilize these identity signals as part of their access control decisions.

El acceso condicional es la herramienta que usa Azure Active Directory para reunir las señales, tomar decisiones y aplicar las directivas de la organización.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. El acceso condicional está en el centro del nuevo plano de control basado en identidades.Conditional Access is at the heart of the new identity driven control plane.

Señal condicional conceptual más la decisión de obtener el cumplimiento

En su forma más simple, las directivas de acceso condicional son instrucciones if-then; si un usuario desea tener acceso a un recurso, deben completar una acción.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Ejemplo: un responsable de nóminas desea acceder a la aplicación de nóminas y es necesario para realizar la autenticación multifactor para tener poder hacerlo.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Los administradores se enfrentan a dos objetivos principales:Administrators are faced with two primary goals:

  • Capacitar a los usuarios para ser productivos donde sea y cuando sea.Empower users to be productive wherever and whenever
  • Proteger los recursos de la organización.Protect the organization's assets

Mediante el uso de directivas de acceso condicional puede aplicar los controles de acceso correctos cuando sea necesario para mantener la organización segura y no interferir con los usuarios cuando no se necesita.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user’s way when not needed.

Flujo del proceso de acceso condicional conceptual

Las directivas de acceso condicional se aplican una vez que se completa la autenticación en una fase.Conditional Access policies are enforced after the first-factor authentication has been completed. El acceso condicional no está pensado como primera línea de defensa de una organización en escenarios como los ataques por denegación de servicio (DoS), pero puede usar señales de estos eventos para determinar el acceso.Conditional Access is not intended as an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but can use signals from these events to determine access.

Señales comunesCommon signals

Entre las señales comunes que puede tener en cuenta el acceso condicional al tomar una decisión sobre una directiva se incluyen las siguientes:Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Pertenencia a un usuario o grupoUser or group membership
    • Las directivas pueden dirigirse a usuarios y grupos concretos, lo que proporciona a los administradores un mayor control sobre el acceso.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • Información de la ubicación de la IPIP Location information
    • Las organizaciones pueden crear intervalos de direcciones IP de confianza que se pueden usar al tomar decisiones sobre directivas.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Los administradores pueden especificar que se bloquee o se permita el tráfico de intervalos de IP de países completos.Administrators can specify entire countries IP ranges to block or allow traffic from.
  • DispositivoDevice
    • Los usuarios con dispositivos de plataformas concretas o marcados con un estado concreto se pueden usar al aplicar directivas de acceso condicional.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • ApplicationApplication
    • Los usuarios que intentan acceder a aplicaciones específicas pueden desencadenar distintas directivas de acceso condicional.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Detección de riesgo calculado y en tiempo realReal-time and calculated risk detection
    • La integración de señales con Azure AD Identity Protection permite que las directivas de acceso condicional identifiquen un comportamiento de inicio de sesión peligroso.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. Luego, las directivas pueden obligar a los usuarios a realizar cambios de contraseña o a usar la autenticación multifactor para reducir su nivel de riesgo, o a bloquear su acceso hasta que algún administrador lleve a cabo una acción manual.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Permite el control y la supervisión en tiempo real de las sesiones y el acceso a las aplicaciones de usuario, lo que aumenta la visibilidad y el control sobre el acceso y las actividades realizadas dentro del entorno de nube.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Decisiones comunesCommon decisions

  • Bloquear accesoBlock access
    • Decisión más restrictivaMost restrictive decision
  • Conceder accesoGrant access
    • Decisión menos restrictiva, puede requerir una o varias de las opciones siguientes:Least restrictive decision, can still require one or more of the following options:
      • Requerir autenticación multifactorRequire multi-factor authentication
      • Requerir que el dispositivo esté marcado como compatibleRequire device to be marked as compliant
      • Requerir un dispositivo conectado a Azure AD híbridoRequire Hybrid Azure AD joined device
      • Requerir aplicación cliente aprobadaRequire approved client app
      • Requerir una directiva de protección de aplicaciones (versión preliminar)Require app protection policy (preview)

Directivas que se aplican habitualmenteCommonly applied policies

Muchas organizaciones tienen problemas de acceso comunes y las directivas de acceso condicional pueden servir de ayuda al respecto. Dicha ayuda se concreta en:Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Requerir la autenticación multifactor a los usuarios con roles administrativosRequiring multi-factor authentication for users with administrative roles
  • Requerir la autenticación multifactor para las tareas de administración de AzureRequiring multi-factor authentication for Azure management tasks
  • Bloquear los inicios de sesión a los usuarios que intenten usar protocolos de autenticación heredadosBlocking sign-ins for users attempting to use legacy authentication protocols
  • Requerir ubicaciones de confianza para el registro de Azure Multi-Factor AuthenticationRequiring trusted locations for Azure Multi-Factor Authentication registration
  • Bloquear o conceder el acceso desde ubicaciones concretasBlocking or granting access from specific locations
  • Bloquear de comportamientos de inicio de sesión peligrososBlocking risky sign-in behaviors
  • Requerir dispositivos administrados por la organización para aplicaciones concretasRequiring organization-managed devices for specific applications

Requisitos de licenciaLicense requirements

Necesita una licencia de Azure AD Premium P1 para usar esta característica.Using this feature requires an Azure AD Premium P1 license. Para obtener la licencia correcta para sus requisitos, consulte  Comparación de las características con disponibilidad general de las ediciones Gratis, Básico y Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Los clientes con licencias de Microsoft 365 Empresa también tienen acceso a características de acceso condicional.Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

Pasos siguientesNext steps

Creación de una directiva de acceso condicional paso a pasoBuilding a Conditional Access policy piece by piece

Para saber cómo implementar el acceso condicional en su entorno, consulte Planeamiento de la implementación del acceso condicional en Azure Active Directory.To learn how to implement Conditional Access in your environment, see Plan your Conditional Access deployment in Azure Active Directory.

Información acerca de Identity ProtectionLearn about Identity Protection

Información acerca de Microsoft Cloud App SecurityLearn about Microsoft Cloud App Security

Información acerca de Microsoft IntuneLearn about Microsoft Intune