Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Implementación del control de aplicaciones de acceso condicional para aplicaciones de Azure ADDeploy Conditional Access App Control for Azure AD apps

« Anterior: Introducción a Control de aplicación de acceso condicional« Previous: Introduction to Conditional Access App Control
Siguiente: Cómo crear una directiva de sesión »Next: How to create a session policy »

Haga lo siguiente para configurar aplicaciones de Azure AD de forma que estén controladas por el control de aplicaciones de acceso condicional de Microsoft Cloud App Security.Follow these steps to configure Azure AD apps to be controlled by Microsoft Cloud App Security Conditional Access App Control.

Nota

Para implementar el control de aplicaciones de acceso condicional para aplicaciones de Azure AD, necesita una licencia válida de Azure AD Premium P1.To deploy the Conditional Access App Control for Azure AD apps, you need a valid license for Azure AD Premium P1.

Paso 1: Agregar aplicaciones de Azure AD en Cloud App SecurityStep 1: Add Azure AD apps in Cloud App Security

  1. Cree una directiva de acceso condicional de Azure AD de prueba.Create an Azure AD conditional access TEST policy.

    1. En Azure Active Directory, en Seguridad, haga clic en Acceso condicional.In Azure Active Directory, under Security, click on Conditional access.

      Acceso condicional de Azure AD

    2. Haga clic en Nueva directiva y cree una directiva asegurándose de que en Sesión selecciona Use Conditional Access App Control enforced restrictions (Usar las restricciones que exige el control de aplicaciones de acceso condicional).Click New policy and create a new policy making sure that under Session you select Use Conditional Access App Control enforced restrictions.

      Acceso condicional de Azure AD

    3. En la sección Usuarios y grupos de la directiva de prueba, asigne un usuario de prueba o un usuario que se pueda usar para un inicio de sesión inicial.In the TEST policy, under Users, assign a test user or user that can be used for an initial sign-on.

    4. En la sección Aplicaciones en la nube de la directiva de PRUEBA, asigne las aplicaciones que quiera controlar con el control de aplicaciones de acceso condicional.In the TEST policy, under Cloud app, assign the apps you want to control with Conditional Access App Control.

      Nota

      Procure elegir aplicaciones que sean compatibles con el control de aplicaciones de acceso condicional.Make sure that you choose apps that are supported by Conditional Access App Control. El control de aplicaciones de acceso condicional admite aplicaciones configuradas con un inicio de sesión único en SAML en Azure AD.Conditional Access App Control supports apps that are configured with SAML single sign-on in Azure AD. Por ejemplo, las aplicaciones de Office 365 no están configuradas con SAML, por lo que no son compatibles actualmente.For example, Office 365 applications are not configured with SAML so they are not currently supported.

  2. Una vez creada la directiva, inicie sesión en cada aplicación configurada en ella con un usuario también configurado en ella.After you created the policy, log in to each app configured in the policy with a user configured in the policy. Asegúrese de cerrar antes cualquier sesión existente.Make sure to first log out of existing sessions.

  3. En el portal de Cloud App Security, vaya al engranaje Configuración y elija Control de aplicaciones de acceso condicional.In the Cloud App Security portal, go to the settings cog and choose Conditional Access App Control.

    Menú Proxy

  4. Debería ver un mensaje que informa de que el control de aplicaciones de acceso condicional ha detectado nuevas aplicaciones de Azure AD.You should see a message letting you know that new Azure AD apps were discovered by Conditional Access App Control. Haga clic en el vínculo Vea las aplicaciones nuevas.Click on the View new apps link.

    Vista de nuevas aplicaciones de control de aplicaciones de acceso condicional

  5. En el cuadro de diálogo que se abre verá todas las aplicaciones en las que inició sesión en el paso anterior.In the dialog that opens, you can see all the apps that you logged into in the previous step. En cada aplicación, haga clic en el signo + y, después, haga clic en Agregar.For each app, click on the + sign, and then click Add.

    Nuevas aplicaciones de control de aplicaciones de acceso condicional

    Nota

    Si una aplicación no aparece en el catálogo de aplicaciones de Cloud App Security, aparecerá en la sección Aplicación no identificada del cuadro de diálogo junto con la dirección URL de inicio de sesión.If an app does not appear in the Cloud App Security app catalog, it will appear in the dialog under unidentified apps along with the login URL. Si hace clic en el signo + de estas aplicaciones, tendrá la oportunidad de sugerir que la aplicación se incluya en el catálogo.When clicking on the + sign for these apps, you will be able to suggest adding the app to the catalog. Una vez que la aplicación esté incluida en el catálogo, vuelva a realizar los pasos para implementarla.After the app is in the catalog, perform the steps again to deploy the app.

  6. En la tabla de aplicaciones de control de aplicaciones de acceso condicional, fíjese en la columna Controles disponibles y confirme que figuran en ella Acceso condicional de Azure AD y Control de sesión.In the Conditional Access App Control apps table, look at the Available controls column and verify that both Azure AD conditional access and Session control appear.
    Si Control de sesión no aparece para una aplicación, significa que aún no está disponible para esa aplicación específica y, en su lugar, verá el vínculo Solicitar control de la sesión.If Session control does not appear for an app, that means it's not yet available for that specific app and you will see the Request session control link instead. Haga clic en él para abrir un cuadro de diálogo y solicitar la incorporación de la aplicación al control de la sesión.Click on it to open a dialog and request the onboarding of the app to session control. En este escenario, el equipo de Microsoft Cloud App Security procederá a realizar el proceso de incorporación de la aplicación junto con usted.In this scenario, the onboarding process will be performed together with you by the Microsoft Cloud App Security team.

    Solicitar control de la sesión

  7. Opcional: identifique los dispositivos que usan certificados de cliente:Optional - Identify devices using client certificates:

    1. Vaya al engranaje Configuración y elija Identificación de dispositivos.Go to the settings cog and choose Device identification.

    2. Cargue un certificado raíz.Upload a root certificate.

      Identificación de dispositivos

      Tras cargar el certificado, puede crear directivas de acceso y sesión basadas en la configuración de la opción Etiqueta de dispositivo como igual a o no igual a Certificado de cliente válido.After the certificate is uploaded, you can create access policies and session policies based on Device tag equals or not equals, Valid client certificate.

      Nota

      Solo se solicitará un certificado a un usuario si la sesión coincide con una directiva que usa el filtro de certificado de cliente válido.A certificate will only be requested from a user if the session matches a policy that uses the valid client certificate filter.

Paso 2: Probar la implementaciónStep 2: Test the deployment

  1. Primero, cierre cualquier sesión existente.First log out of any existing sessions. Luego, pruebe a iniciar sesión en cada aplicación implementada correctamente con un usuario que coincida con la directiva configurada en Azure AD.Then, try to log in to each app that was successfully deployed, using a user that matches the policy configured in Azure AD.

  2. En el portal de Cloud App Security en Investigar, seleccione Registro de actividad y asegúrese de que se capturan las actividades de inicio de sesión de cada aplicación.In the Cloud App Security portal, under Investigate, select Activity log, and make sure the login activities are captured for each app.

  3. Puede filtrar haciendo clic en Avanzadas y, luego, filtrar estableciendo que Origen sea igual a Acceso condicional de Azure Active Directory.You can filter by clicking on Advanced, and then filtering using Source equals Azure Active Directory conditional access.

    Filtrar por Acceso condicional de Azure AD

  4. Es recomendable iniciar sesión en aplicaciones tanto de escritorio como móviles desde dispositivos administrados y no administrados para, de este modo, asegurarse de que las actividades se capturan correctamente en el registro de actividad.It is recommended that you log into mobile and desktop apps from managed and unmanaged devices to make sure that the activities are properly captured in the activity log.
    Para confirmar que la actividad se captura correctamente, haga clic en un registro de inicio de sesión único en la actividad para abrir el cajón de actividad y, después, asegúrese de que la propiedad Etiqueta de agente de usuario refleja correctamente si el dispositivo es un cliente nativo (es decir, un aplicación de escritorio o móvil) o si es un dispositivo administrado (Compatible, Unido a dominio o Certificado de cliente válido).To verify that the activity is properly captured, click on a single sign-on log on activity so that it opens the activity drawer and make sure the User agent tag properly reflects whether the device is a native client (meaning either a mobile or desktop app) or the device is a managed device (compliant, domain joined, or valid client certificate).

    Comprobar la etiqueta de agente de usuario

Ya está listo para crear directivas de acceso y de sesión para controlar las aplicaciones del control de aplicaciones de acceso condicional.You are now ready to create access policies and session policies to control your Conditional Access App Control apps.

« Anterior: Introducción a Control de aplicación de acceso condicional« Previous: Introduction to Conditional Access App Control
Siguiente: Cómo crear una directiva de sesión »Next: How to create a session policy »

Consulte tambiénSee Also

Trabajo con el control de aplicaciones de acceso condicional de Cloud App SecurityWorking with the Cloud App Security Conditional Access App Control

Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.