Implementación del Control de aplicaciones de acceso condicional para aplicaciones destacadas

Se aplica a: Microsoft Cloud App Security

Importante

Los nombres de productos de protección contra amenazas de Microsoft están cambiando. Obtenga más información sobre esta y otras actualizaciones en este artículo. Vamos a actualizar los nombres de los productos y en los documentos en un futuro próximo.

Los controles de sesión de Microsoft Cloud App Security funcionan con las aplicaciones destacadas. Para obtener una lista de las aplicaciones que se incluyen en Cloud App Security trabajar de forma integrada, consulte proteger aplicaciones con Cloud App Security control de aplicaciones de acceso condicional.

Prerrequisitos

  • Su organización debe tener las licencias siguientes para usar Control de aplicaciones de acceso condicional:

  • Las aplicaciones deben configurarse con el inicio de sesión único

  • Las aplicaciones deben usar uno de los protocolos de autenticación siguientes:

    IdP Protocolos
    Azure AD SAML 2.0 u OpenID Connect
    Otros SAML 2.0

Siga estos pasos para configurar las aplicaciones destacadas que se van a controlar mediante Microsoft Cloud App Security Control de aplicaciones de acceso condicional.

Paso 1: configurar el IDP para trabajar con Cloud App Security

Paso 2: iniciar sesión en cada aplicación con un usuario con ámbito en la Directiva

Paso 3: comprobar que las aplicaciones están configuradas para usar controles de acceso y de sesión

Paso 4: habilitación de la aplicación para su uso en la organización

Paso 5: probar la implementación

Paso 1: configurar el IdP para trabajar con Cloud App Security

Configuración de la integración con Azure AD

Use los pasos siguientes para crear una Azure AD Directiva de acceso condicional que enruta las sesiones de la aplicación a Cloud App Security. Para otras soluciones IdP, consulte configuración de la integración con otras soluciones IDP.

  1. En Azure ad, vaya a > acceso condicional de seguridad.

  2. En el panel acceso condicional , en la barra de herramientas de la parte superior, haga clic en nueva Directiva.

  3. En el panel nuevo , en el cuadro de texto nombre , escriba el nombre de la Directiva.

  4. En asignaciones, haga clic en usuarios y grupos, asigne los usuarios que van a incorporar (inicio de sesión y comprobación iniciales) a la aplicación y, a continuación, haga clic en listo.

  5. En asignaciones, haga clic en aplicaciones en la nube, asigne las aplicaciones que quiera controlar con control de aplicaciones de acceso condicional y, a continuación, haga clic en listo.

  6. En controles de acceso, haga clic en sesión, seleccione usar control de aplicaciones de acceso condicional y elija una directiva integrada (supervisar solo o bloquear descargas) o use la directiva personalizada para establecer una directiva avanzada en Cloud App Security y, a continuación, haga clic en seleccionar.

    Acceso condicional de Azure AD

  7. Opcionalmente, agregue condiciones y conceda controles según sea necesario.

  8. Establezca Habilitar Directiva en activado y, a continuación, haga clic en crear.

Configuración de la integración con otras soluciones IdP

Use los pasos siguientes para enrutar las sesiones de la aplicación desde otras soluciones IdP a Cloud App Security. Para obtener Azure AD, consulte Configuración de la integración con Azure ad.

Nota

Para ver ejemplos de cómo configurar las soluciones IdP, consulte:

  1. En Cloud App Security, vaya a investigar > aplicaciones conectadas > control de aplicaciones de acceso condicional aplicaciones.

  2. Haga clic en el signo más ( + ) y, en el elemento emergente, seleccione la aplicación que desea implementar y, a continuación, haga clic en iniciar el asistente.

  3. En la página información de la aplicación , rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, haga clic en siguiente.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos.
    • O bien, seleccione rellenar datos manualmente y proporcione la siguiente información:
      • URL del servicio de consumidor de aserciones
      • Si la aplicación proporciona un certificado SAML, seleccione usar <app_name> certificado SAML y cargue el archivo de certificado.

    Captura de pantalla que muestra la página de información de la aplicación

  4. En la página proveedor de identidades , use los pasos proporcionados para configurar una nueva aplicación en el portal del IDP y, a continuación, haga clic en siguiente.

    1. Vaya al portal del IdP y cree una nueva aplicación SAML personalizada.
    2. Copie la configuración de inicio de sesión único de la <app_name> aplicación existente en la nueva aplicación personalizada.
    3. Asigne usuarios a la nueva aplicación personalizada.
    4. Copie el inf'rmation de configuración de inicio de sesión único de las aplicaciones, lo necesitará en el paso siguiente.

    Captura de pantalla que muestra la página recopilar información del proveedor de identidades

    Nota

    Estos pasos pueden diferir ligeramente en función del proveedor de identidades. Este paso se recomienda por las razones siguientes:

    • Algunos proveedores de identidades no permiten cambiar las propiedades de los atributos SAML o de la dirección URL de una aplicación de la galería
    • La configuración de una aplicación personalizada le permite probar esta aplicación con controles de acceso y de sesión sin cambiar el comportamiento existente para su organización.
  5. En la página siguiente, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, haga clic en siguiente.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos.
    • O bien, seleccione rellenar datos manualmente y proporcione la siguiente información:
      • URL del servicio de consumidor de aserciones
      • Si la aplicación proporciona un certificado SAML, seleccione usar <app_name> certificado SAML y cargue el archivo de certificado.

    Captura de pantalla que muestra la página especificar información del proveedor de identidades

  6. En la página siguiente, copie la siguiente información y, a continuación, haga clic en siguiente. Necesitará la información en el paso siguiente.

    • URL de inicio de sesión único
    • Atributos y valores

    Captura de pantalla que muestra la página de información de SAML proveedores de identidades

  7. En el portal del IdP, haga lo siguiente:

    Nota

    La configuración se encuentra normalmente en la página de configuración de la aplicación personalizada del portal IdP.

    1. En el campo dirección URL de inicio de sesión único, escriba la dirección URL de inicio de sesión único que anotó anteriormente.

      Nota

      Algunos proveedores pueden hacer referencia a la dirección URL de inicio de sesión único como dirección URL de respuesta.

    2. Agregue los atributos y valores que anotó anteriormente a las propiedades de la aplicación.

      Nota

      • Algunos proveedores pueden hacer referencia a ellos como atributos o notificaciones de usuario .
      • Al crear una nueva aplicación SAML, el proveedor de identidades Okta limita los atributos a 1024 caracteres. Para mitigar esta limitación, cree primero la aplicación sin los atributos pertinentes. Después de crear la aplicación, edítela y, a continuación, agregue los atributos pertinentes.
    3. Compruebe que el identificador de nombre tiene el formato de dirección de correo electrónico.
    4. Guarde la configuración.
  8. En la página cambios en la aplicación , realice lo siguiente y, a continuación, haga clic en siguiente. Necesitará la información en el paso siguiente.

    • Copia de la dirección URL de inicio de sesión único
    • Descargar el certificado SAML Cloud App Security

    Captura de pantalla que muestra recopilar Cloud App Security página de información de SAML

  9. En el portal de la aplicación, en la configuración de inicio de sesión único, realice lo siguiente:

    1. Recomendar Cree una copia de seguridad de la configuración actual.
    2. Reemplace el valor del campo dirección URL de inicio de sesión del proveedor de identidad por el Cloud App Security dirección URL de inicio de sesión único de SAML que anotó anteriormente.
    3. Cargue el certificado SAML Cloud App Security que descargó anteriormente.
    4. Haga clic en Save(Guardar).

    Nota

    • Después de guardar la configuración, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través de Control de aplicaciones de acceso condicional.
    • El certificado SAML Cloud App Security es válido durante un año. Una vez que expire, se deberá generar un nuevo certificado.

Paso 2: iniciar sesión en cada aplicación con un usuario con ámbito en la Directiva

Nota

Antes de continuar, asegúrese de cerrar primero las sesiones existentes.

Después de crear la directiva, inicie sesión en cada aplicación configurada en esa directiva. Asegúrese de que inicia sesión con un usuario configurado en la directiva.

Cloud App Security sincronizará los detalles de la Directiva con sus servidores para cada nueva aplicación en la que inicie sesión. Este proceso puede tardar hasta un minuto.

Paso 3: comprobar que las aplicaciones están configuradas para usar controles de acceso y de sesión

Las instrucciones anteriores le han ayudado a crear una directiva integrada de Cloud App Security para aplicaciones destacadas directamente en Azure AD. En este paso, compruebe que los controles de sesión y acceso estén configurados para estas aplicaciones.

  1. En el portal de Cloud App Security, haga clic en el icono configuración engranaje configuracióny seleccione control de aplicaciones de acceso condicional.

  2. En la tabla Control de aplicaciones de acceso condicional Apps, fíjese en la columna controles disponibles y compruebe que el control de acceso o el acceso condicional Azure ad y el control de sesión aparecen para las aplicaciones.

    Nota

    Si el control de sesión no aparece para una aplicación, aún no está disponible para esa aplicación específica. Puede agregarla inmediatamente como una aplicación personalizadao puede abrir una solicitud para agregarla como una aplicación destacada haciendo clic en solicitar control de la sesión.

    Solicitud del Control de aplicaciones de acceso condicional

Paso 4: habilitación de la aplicación para su uso en la organización

Una vez que esté listo para habilitar la aplicación para su uso en el entorno de producción de su organización, siga estos pasos.

  1. En Cloud App Security, haga clic en el  icono configuración engranaje configuración y, a continuación, seleccione control de aplicaciones de acceso condicional.

  2. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, elija los tres puntos al final de la fila y, después, elija Editar aplicación.

  3. Seleccione usar con control de aplicaciones de acceso condicional y, a continuación, haga clic en Guardar.

    Habilitar elementos emergentes de controles de sesión

Paso 5: probar la implementación

  1. Primero, cierre cualquier sesión existente. Después, intente iniciar sesión en cada aplicación que se ha implementado correctamente. Inicie sesión con un usuario que coincida con la Directiva configurada en Azure AD, o para una aplicación SAML configurada con el proveedor de identidades.

  2. En el portal de Cloud App Security en Investigar, seleccione Registro de actividad y asegúrese de que se capturan las actividades de inicio de sesión de cada aplicación.

  3. Puede filtrar haciendo clic en Avanzadas y, luego, mediante la opción Origen es igual a Acceso condicional.

    Filtrar por Acceso condicional de Azure AD

  4. Se recomienda que inicie sesión en aplicaciones de escritorio y móviles desde dispositivos administrados y no administrados. Esto es para asegurarse de que las actividades se capturan correctamente en el registro de actividad.
    Para comprobar que la actividad se ha capturado correctamente, haga clic en una actividad de inicio de sesión de inicio de sesión único para que se abra el cajón de actividades. Asegúrese de que la propiedad Etiqueta de agente de usuario refleja correctamente si el dispositivo es un cliente nativo (es decir, un aplicación de escritorio o móvil) o si es un dispositivo administrado (Compatible, Unido a dominio o Certificado de cliente válido).

Nota

Después de implementarse, no se puede quitar una aplicación de la página Control de aplicaciones de acceso condicional. Mientras no establezca una sesión o una directiva de acceso en la aplicación, el Control de aplicaciones de acceso condicional no cambiará el comportamiento de la aplicación.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.