Uso la condición de ubicación en una directiva de acceso condicional

Las directivas de acceso condicional se encuentran en la instrucción if-then más básica, que combina señales para tomar decisiones y aplicar directivas de la organización. Una de esas señales es la ubicación.

Como se mencionó en la entrada de blog IPv6 viene a Microsoft Entra ID, ahora se admite IPv6 en los servicios de Microsoft Entra.

Las organizaciones pueden usar esta ubicación para tareas comunes como:

• Solicitar la autenticación multifactor a los usuarios que accedan a un servicio desde fuera de la red corporativa.
• Bloquear el acceso a los usuarios que acceden a un servicio desde países o regiones específicos en las que nunca opera su organización.

La ubicación se encuentra mediante la dirección IP pública que proporciona un cliente a Microsoft Entra ID o las coordenadas GPS que proporciona la aplicación Microsoft Authenticator. De forma predeterminada, las directivas de acceso condicional se aplican a todas las direcciones IPv4 e IPv6. Para más información sobre la compatibilidad con IPv6, vea el artículo Compatibilidad con IPv6 en Microsoft Entra ID.

Sugerencia

Las directivas de acceso condicional se aplican una vez que se completa la autenticación en una fase. El acceso condicional no pretende ser una primera línea de defensa de una organización en escenarios como los ataques por denegación de servicio (DoS), pero puede usar señales de estos eventos para determinar el acceso.

Ubicaciones con nombre

Las ubicaciones existen enProtección>Acceso condicional>Ubicaciones con nombre. Estas ubicaciones de red con nombre pueden incluir ubicaciones como intervalos de redes de la sede central de una organización, intervalos de redes VPN o intervalos que desea bloquear. Las ubicaciones con nombre se definen por intervalos de direcciones IPv4 e IPv6 o por países o regiones.

Intervalos de direcciones IPv4 e IPv6

Para definir una ubicación con nombre por intervalos de direcciones IPv4/IPv6, debe proporcionar:

• Un nombre para la ubicación.
• Uno o varios intervalos IP.
• Opcionalmente, Marcar como ubicación de confianza.

Las ubicaciones con nombre definidas por los intervalos de direcciones IPv4/IPv6 están sujetas a las siguientes limitaciones:

• Configurar hasta 195 ubicaciones con nombre.
• Se pueden configurar hasta 2000 intervalos IP por ubicación con nombre.
• Se admiten tanto IPv4 como IPv6.
• El número de direcciones IP que se pueden incluir en un intervalo es limitado. Solo se permiten las máscaras CIDR mayores que /8 al definir un intervalo de direcciones IP.

Ubicaciones de confianza

Las ubicaciones como los intervalos de red pública de la organización se pueden marcar como de confianza. Este marcado lo usan las características de varias maneras.

• Las directivas de acceso condicional pueden incluir o excluir estas ubicaciones.
• Los inicios de sesión desde ubicaciones con nombre de confianza mejoran la precisión del cálculo de riesgos de Microsoft Entra ID, lo que reduce el riesgo del inicio de sesión de los usuarios cuando se autentican desde una ubicación marcada como de confianza.
• Las ubicaciones marcadas como de confianza no se pueden eliminar. Quite la designación de confianza antes de intentar eliminarla.

Advertencia

Incluso si conoce la red y la marca como de confianza, esto no significa que deba excluirla de las directivas que se aplican. La comprobación explícita es un principio básico de una arquitectura de Confianza cero. Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de instrucciones de Confianza cero.

Países o regiones

Las organizaciones pueden determinar la ubicación del país/región por dirección IP o coordenadas de GPS.

Para definir una ubicación con nombre por país o región, deberá proporcionar:

• Un nombre para la ubicación.
• Elegir determinar la ubicación por dirección IP o coordenadas de GPS.
• Agregar uno o varios países o regiones.
• Opcionalmente, elegir Incluir países o regiones desconocidos.

Si selecciona Determinar ubicación por dirección IP, el sistema recopila la dirección IP del dispositivo en el que el usuario inicia sesión. Cuando un usuario inicia sesión, Microsoft Entra ID resuelve la dirección IPv4 o IPv6 del usuario (a partir del 3 de abril de 2023) en un país o región, y la asignación se actualiza periódicamente. Las organizaciones pueden usar ubicaciones con nombre definidas por países o regiones para bloquear el tráfico de los países o regiones en los que no hagan negocios.

Si selecciona Determinar ubicación por coordenadas de GPS, el usuario debe tener instalada la aplicación Microsoft Authenticator en su dispositivo móvil. Cada hora, el sistema se pone en contacto con la aplicación de Microsoft Authenticator del usuario para recopilar la ubicación GPS del dispositivo móvil del usuario.

La primera vez que el usuario debe compartir su ubicación desde la aplicación Microsoft Authenticator, el usuario recibe una notificación en la aplicación. El usuario tiene que abrir la aplicación y conceder permisos de ubicación. Durante las siguientes 24 horas, el usuario sigue con acceso al recurso y se le concede el permiso de aplicación para la ejecución en segundo plano; la ubicación del dispositivo se comparte de forma silenciosa una vez cada hora.

• Después de 24 horas, el usuario debe abrir la aplicación y aprobar la notificación.
• Los usuarios que tienen habilitada la coincidencia de números o el contexto adicional en la aplicación Microsoft Authenticator no recibirán notificaciones de forma silenciosa y deben abrir la aplicación para aprobar las notificaciones.

Cada vez que el usuario comparte su ubicación GPS, la aplicación realiza la detección de jailbreak (con la misma lógica que el SDK de MAM de Intune). Si el dispositivo está liberado, la ubicación no se considera válida y no se concede acceso al usuario. La aplicación Microsoft Authenticator en Android usa la API de integridad de Google Play para facilitar la detección de jailbreak. Si la API de integridad de Google Play no estuviera disponible, se denegará la solicitud y el usuario no podrá acceder al recurso solicitado a menos que se deshabilite la directiva de acceso condicional. Para obtener más información sobre la aplicación Microsoft Authenticator, consulte el artículo Preguntas comunes sobre la aplicación Microsoft Authenticator.

Nota:

Una directiva de acceso condicional con ubicaciones con nombre basadas en GPS en modo de solo informe solicita a los usuarios que compartan su ubicación GPS, aunque no se les bloquee el inicio de sesión.

La ubicación GPS no funciona con métodos de autenticación sin contraseña.

Varias directivas de acceso condicional pueden solicitar a los usuarios su ubicación GPS antes de aplicarse todas. Debido a la forma en que se aplican las directivas de acceso condicional, es posible que se deniegue el acceso a un usuario si pasa la comprobación de ubicación, pero produce un error en otra directiva. Para obtener más información sobre la aplicación de directivas, consulte el artículo Creación de una directiva de acceso condicional.

Importante

Los usuarios pueden recibir mensajes cada hora que les permiten saber que Microsoft Entra ID está comprobando su ubicación en la aplicación Authenticator. La versión preliminar solo se debe usar para proteger aplicaciones muy confidenciales cuando este comportamiento sea aceptable o cuando el acceso se deba restringir a un país o región específicos.

Denegar solicitudes con ubicación modificada

Los usuarios pueden modificar la ubicación notificada por dispositivos iOS y Android. Como resultado, Microsoft Authenticator actualiza su línea de base de seguridad para las directivas de acceso condicional basadas en la ubicación. Authenticator deniega las autenticaciones en las que el usuario podría estar usando una ubicación diferente a la ubicación GPS real del dispositivo móvil donde se instaló Authenticator.

En la versión de noviembre de 2023 de Authenticator, los usuarios que modifiquen la ubicación de su dispositivo reciben un mensaje de denegación en Authenticator cuando prueben la autenticación basada en ubicación. A partir de enero de 2024, los usuarios que ejecuten versiones anteriores de Authenticator se bloquearán desde la autenticación basada en la ubicación:

• Authenticator versión 6.2309.6329 o anterior en Android
• Authenticator versión 6.7.16 o anterior en iOS

Para buscar qué usuarios ejecutan versiones anteriores de Authenticator, use las API de Microsoft Graph.

Inclusión de países o regiones desconocidos

Algunas direcciones IP no están asignadas a un país o región específicos. Para capturar estas ubicaciones IP, active la casilla Incluir países o regiones desconocidos al definir una ubicación geográfica. Esta opción le permite elegir si estas direcciones IP deberían estar incluidas en la ubicación con nombre. Use esta configuración cuando la directiva que usa la ubicación con nombre deba aplicarse en ubicaciones desconocidas.

Configurar IP de confianza de MFA

También puede configurar los intervalos de direcciones IP que representen a la intranet local de su organización en el valor de configuración del servicio de la autenticación multifactor. Esta función le permite configurar hasta 50 intervalos de direcciones IP. Los intervalos de direcciones IP están en formato CIDR. Para obtener más información, vea IP de confianza.

Si se han configurado IP de confianza, se mostrarán como IP de confianza de MFA en la lista de ubicaciones de la condición de ubicación.

Omisión de la autenticación multifactor

En la página del valor de configuración del servicio de la autenticación multifactor, puede identificar a los usuarios de la intranet corporativa seleccionando Omitir la autenticación multifactor para solicitudes de usuarios federados en mi intranet. Esta configuración indica que la notificación interna de la red corporativa, la cual emiten los Servicios de federación de Active Directory (AD FS), es de confianza y se utiliza para identificar al usuario como si estuviera en la red corporativa. Para obtener más información, vea Habilitar la función de direcciones IP de confianza mediante el acceso condicional.

Tras activar esta opción, incluida la ubicación con nombre, las IP de confianza de MFA se aplicarán a todas las directivas que tengan esta opción seleccionada.

Para las aplicaciones móviles y de escritorio que hayan tenido sesiones de larga duración, el acceso condicional se vuelve a evaluar periódicamente. El valor predeterminado es de una hora. Cuando la notificación dentro de la red corporativa solo se emite en el momento de la autenticación inicial, puede que no tengamos ninguna lista de intervalos IP de confianza. En este caso, es más difícil determinar si el usuario sigue conectado a la red corporativa:

1. Compruebe si la dirección IP del usuario está en uno de los intervalos IP de confianza.
2. Compruebe si los tres primeros octetos de la dirección IP del usuario coinciden con los tres primeros octetos de la dirección IP de la autenticación inicial. La dirección IP se compara con la autenticación inicial cuando se emitió la notificación interna de red corporativa y se validó la ubicación del usuario.

Si se produce un error en los dos pasos, se considera que el usuario ya no está conectado a ninguna dirección IP de confianza.

Definición de ubicaciones

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
2. Vaya a Protección> Acceso condicional> Ubicaciones designadas.
3. Elija Nueva ubicación.
4. Asigne un nombre a la ubicación.
5. Elija Intervalos IP si conoce los intervalos de direcciones IPv4 específicos accesibles externamente que constituyen esa ubicación, o seleccione Países o regiones.
   1. Proporcione los valores de Intervalos IP o seleccione el valor de Países o regiones de la ubicación especificada.
      • Si elige Países o regiones, puede optar por incluir áreas desconocidas.
6. Elija Guardar.

Condición de ubicación de la directiva

Al configurar la condición de ubicación, puede distinguir entre:

• Cualquier ubicación
• Todas las ubicaciones de confianza
• Todas las ubicaciones de red conformes
• Ubicaciones seleccionadas

Cualquier ubicación

De manera predeterminada, al seleccionar Cualquier ubicación, se aplicará una directiva a todas las direcciones IP, lo que incluye cualquier dirección de Internet. Esta configuración no está limitada a las direcciones IP que haya configurado como ubicación con nombre. Al seleccionar Cualquier ubicación, todavía puede excluir determinadas ubicaciones de una directiva. Por ejemplo, puede aplicar una directiva en todas las ubicaciones (excepto en aquellas que sean de confianza) para establecer el ámbito en todas las ubicaciones menos en la red corporativa.

Todas las ubicaciones de confianza

Esta opción se aplica a:

• Todas las ubicaciones marcadas como ubicación de confianza.
• IP de confianza de MFA, si están configuradas.

Direcciones IP de confianza de la autenticación multifactor

Ya no se recomienda usar la sección IP de confianza de la configuración del servicio de la autenticación multifactor. Este control solo acepta direcciones IPv4 y solo se debe usar para escenarios específicos descritos en el artículo Configuración de las opciones de la autenticación multifactor de Microsoft Entra

Si se han configurado estas IP de confianza, se mostrarán como IP de confianza de MFA en la lista de ubicaciones de la condición de ubicación.

Todas las ubicaciones de red conformes

Las organizaciones con acceso a las características en vista previa de Global Secure Access tienen otra ubicación en la lista formada por usuarios y dispositivos que cumplen las políticas de seguridad de su organización. Para saber más, consulte la sección Habilitación de la señalización del acceso seguro global para el acceso condicional. Se puede usar con directivas de acceso condicional para realizar una comprobación de red compatible para el acceso a los recursos.

Ubicaciones seleccionadas

Con esta opción, puede seleccionar una o varias ubicaciones con nombre. Para una directiva a la que se aplicará esta configuración, el usuario debe conectarse desde cualquiera de las ubicaciones seleccionadas. Al seleccionar el control de selección de la red con nombre que se muestra, se abre la lista de redes con nombre. En la lista también se muestra si la ubicación de red se ha marcado como de confianza.

Tráfico de IPv6

Las directivas de acceso condicional se aplican a todo el tráfico de IPv4 yIPv6 (a partir del 3 de abril de 2023).

Identificación del tráfico IPv6 con los informes de actividad de inicio de sesión de Microsoft Entra

Para detectar el tráfico IPv6 en el inquilino, vaya a Informes de actividad de inicio de sesión en Microsoft Entra. Una vez abierto el informe de actividad, agregue la columna "Dirección IP" y agregue dos puntos (:) al campo. Este filtro ayuda a distinguir el tráfico IPv6 del tráfico IPv4.

También puede ver cuál es la dirección IP del cliente; para ello, haga clic en una fila del informe y, después, vaya a la pestaña "Ubicación" en los detalles de la actividad de inicio de sesión.

Nota:

Las direcciones IPv6 de los puntos de conexión de servicio pueden aparecer en los registros de inicio de sesión con errores debido a la forma en que controlan el tráfico. Es importante tener en cuenta que no se admiten puntos de conexión de servicio. Si los usuarios ven estas direcciones IPv6, quite el punto de conexión de servicio de su configuración de subred de red virtual.

Qué debería saber

Servidores proxy en la nube y soluciones VPN

Cuando utiliza un proxy hospedado en la nube o una solución VPN, la dirección IP que utiliza Microsoft Entra ID al evaluar una directiva es la dirección IP del proxy. No se usa el encabezado X-Forwarded-For (XFF) que contiene la dirección IP pública del usuario, ya que no hay ninguna validación de que provenga de un origen de confianza y podría ser un método de falsificación de la dirección IP.

Cuando se implementa un proxy en la nube, una directiva que requiera un dispositivo compatible o unido a Microsoft Entra híbrido puede ser más fácil de administrar. Mantener actualizada una lista de direcciones IP usadas por el proxy hospedado en la nube o la solución VPN puede ser casi imposible.

Recomendamos que las organizaciones usen el acceso seguro global para habilitar la restauración de IP de origen para evitar este cambio en la dirección y simplificar la administración.

¿Cuando se evalúa una ubicación?

Las directivas de acceso condicional se evalúan cuando:

• Un usuario inicia sesión por primera vez en una aplicación web, móvil o de escritorio.
• Una aplicación móvil o de escritorio que usa la autenticación moderna, con un token de actualización para adquirir un nuevo token de acceso. De forma predeterminada, esta comprobación se realiza una vez por hora.

Esta comprobación significa que, para que las aplicaciones móviles y de escritorio usen la autenticación moderna, se detecta un cambio en la ubicación dentro de la hora siguiente al cambio de la ubicación de red. Para las aplicaciones de escritorio y móviles que no usan la autenticación moderna, la directiva se aplica para cada solicitud de token. La frecuencia de la solicitud varía en función de la aplicación. De forma similar, para las aplicaciones web, las directivas se aplican en el primer inicio de sesión y son adecuadas para la duración de la sesión en la aplicación web. Debido a las diferencias en la duración de la sesión de las aplicaciones, el tiempo de una evaluación de directiva a otra varía. Cada vez que la aplicación solicita un nuevo token de inicio de sesión, la directiva se aplica.

De manera predeterminada, Microsoft Entra ID emite un token cada hora. Después de que los usuarios salgan de la red corporativa, la directiva se aplica a las aplicaciones que usan la autenticación moderna en un plazo de una hora.

Dirección IP del usuario

La dirección IP que se usa en la evaluación de directivas es la dirección IPv4 o IPv6 pública del usuario. Para los dispositivos conectados a una red privada, esta no es la dirección IP de cliente del dispositivo del usuario conectado a la intranet, sino la dirección que utiliza la red para conectarse a la red pública de Internet.

¿Cuándo podría bloquear ubicaciones?

Una directiva que usa la condición de ubicación para bloquear el acceso se considera restrictiva y debe realizarse con cuidado después de realizar pruebas exhaustivas. Algunas instancias de uso de la condición de ubicación para bloquear la autenticación pueden incluir:

• Bloqueo de países/regiones en los que su organización nunca hace negocios.
• Bloqueo de intervalos IP específicos como:
  • Direcciones IP malintencionadas conocidas antes de que se pueda cambiar una directiva de firewall.
  • Para acciones altamente confidenciales o con privilegios y aplicaciones en la nube.
  • En función del intervalo IP específico del usuario, como el acceso a las aplicaciones de contabilidad o nómina.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia para evitarel bloqueo de cuentas en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
  • Se puede encontrar más información en el artículo Administración de cuentas de acceso de emergencia en Microsoft Entra ID.
• Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional con ámbito a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas. Como solución temporal, puede excluir estas cuentas específicas de la directiva de línea de base.

Carga y descarga masiva de ubicaciones con nombre

Al crear o actualizar ubicaciones con nombre, en el caso de las actualizaciones masivas, puede cargar o descargar un archivo CSV con los intervalos IP. Una carga reemplaza los intervalos IP que aparecen en la lista por los del archivo. Cada fila del archivo contiene un intervalo de direcciones IP en formato CIDR.

Compatibilidad con la API y PowerShell

Una versión preliminar de Graph API para ubicaciones con nombre está disponible. Para más información, consulte namedLocation API.

Pasos siguientes

• Configure una directiva de acceso condicional de ejemplo mediante la ubicación; consulte el artículo Acceso condicional: Bloqueo del acceso por ubicación.