Incorporación e implementación del Control de aplicaciones de acceso condicional para cualquier aplicaciónOnboard and deploy Conditional Access App Control for any app

Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Importante

Los nombres de productos de protección contra amenazas de Microsoft están cambiando.Threat protection product names from Microsoft are changing. Obtenga más información sobre esta y otras actualizaciones en este artículo.Read more about this and other updates here. Vamos a actualizar los nombres de los productos y en los documentos en un futuro próximo.We'll be updating names in products and in the docs in the near future.

Los controles de sesión de Microsoft Cloud App Security se pueden configurar para que funcionen con cualquier aplicación Web.Session controls in Microsoft Cloud App Security can be configured to work with any web apps. En este artículo se describe cómo incorporar e implementar aplicaciones de línea de negocio personalizadas, aplicaciones SaaS no destacadas y aplicaciones locales hospedadas a través del proxy de aplicación de Azure Active Directory (Azure AD) con controles de sesión.This article describes how to onboard and deploy custom line-of-business apps, non-featured SaaS apps, and on-premise apps hosted via the Azure Active Directory (Azure AD) Application Proxy with session controls.

Para obtener una lista de las aplicaciones que se incluyen en Cloud App Security trabajar de forma integrada, consulte proteger aplicaciones con Cloud App Security control de aplicaciones de acceso condicional.For a list of apps that are featured by Cloud App Security to work out-of-the-box, see Protect apps with Cloud App Security Conditional Access App Control.

PrerrequisitosPrerequisites

  • Su organización debe tener las licencias siguientes para usar Control de aplicaciones de acceso condicional:Your organization must have the following licenses to use Conditional Access App Control:

  • Las aplicaciones deben configurarse con el inicio de sesión únicoApps must be configured with single sign-on

  • Las aplicaciones deben usar uno de los protocolos de autenticación siguientes:Apps must use one of the following authentication protocols:

    IdPIdP ProtocolosProtocols
    Azure ADAzure AD SAML 2.0 u OpenID ConnectSAML 2.0 or OpenID Connect
    OtrosOther SAML 2.0SAML 2.0

Para implementar cualquier aplicaciónTo deploy any app

Siga estos pasos para configurar cualquier aplicación que se controlará Cloud App Security Control de aplicaciones de acceso condicional.Follow these steps to configure any app to be controlled by Cloud App Security Conditional Access App Control.

Paso 1: configurar el IDP para trabajar con Cloud App SecurityStep 1: Configure your IdP to work with Cloud App Security

Paso 2: configurar los usuarios que van a implementar la aplicaciónStep 2: Configure the users that will deploy the app

Paso 3: configurar la aplicación que va a implementarStep 3: Configure the app that you are deploying

Paso 4: comprobar que la aplicación funciona correctamenteStep 4: Verify that the app is working correctly

Paso 5: habilitación de la aplicación para su uso en la organizaciónStep 5: Enable the app for use in your organization

Paso 6: actualización de la Directiva de Azure adStep 6: Update the Azure AD policy

Nota

Para implementar Control de aplicaciones de acceso condicional para aplicaciones de Azure AD, necesita una licencia válida para Azure Active Directory Premium P1 o superior , así como una licencia de Cloud App Security.To deploy Conditional Access App Control for Azure AD apps, you need a valid license for Azure Active Directory Premium P1 or higher as well as a Cloud App Security license.

Paso 1: configurar el IdP para trabajar con Cloud App SecurityStep 1: Configure your IdP to work with Cloud App Security

Configuración de la integración con Azure ADConfigure integration with Azure AD

Use los pasos siguientes para crear una Azure AD Directiva de acceso condicional que enruta las sesiones de la aplicación a Cloud App Security.Use the following steps to create an Azure AD Conditional Access policy that routes app sessions to Cloud App Security. Para otras soluciones IdP, consulte configuración de la integración con otras soluciones IDP.For other IdP solutions, see Configure integration with other IdP solutions.

  1. En Azure ad, vaya a > acceso condicional de seguridad.In Azure AD, browse to Security > Conditional Access.

  2. En el panel acceso condicional , en la barra de herramientas de la parte superior, haga clic en nueva Directiva.On the Conditional Access pane, in the toolbar at the top, click New policy.

  3. En el panel nuevo , en el cuadro de texto nombre , escriba el nombre de la Directiva.On the New pane, in the Name textbox, enter the policy name.

  4. En asignaciones, haga clic en usuarios y grupos, asigne los usuarios que van a incorporar (inicio de sesión y comprobación iniciales) a la aplicación y, a continuación, haga clic en listo.Under Assignments, click Users and groups, assign the users that will be onboarding (initial sign on and verification) the app, and then click Done.

  5. En asignaciones, haga clic en aplicaciones en la nube, asigne las aplicaciones que quiera controlar con control de aplicaciones de acceso condicional y, a continuación, haga clic en listo.Under Assignments, click Cloud apps, assign the apps you want to control with Conditional Access App Control, and then click Done.

  6. En controles de acceso, haga clic en sesión, seleccione usar control de aplicaciones de acceso condicional y elija una directiva integrada (supervisar solo o bloquear descargas) o use la directiva personalizada para establecer una directiva avanzada en Cloud App Security y, a continuación, haga clic en seleccionar.Under Access controls, click Session, select Use Conditional Access App Control and choose a built-in policy (Monitor only or Block downloads) or Use custom policy to set an advanced policy in Cloud App Security, and then click Select.

    Acceso condicional de Azure AD

  7. Opcionalmente, agregue condiciones y conceda controles según sea necesario.Optionally, add conditions and grant controls as required.

  8. Establezca Habilitar Directiva en activado y, a continuación, haga clic en crear.Set Enable policy to On and then click Create.

Configuración de la integración con otras soluciones IdPConfigure integration with other IdP solutions

Use los pasos siguientes para enrutar las sesiones de la aplicación desde otras soluciones IdP a Cloud App Security.Use the following steps to route app sessions from other IdP solutions to Cloud App Security. Para obtener Azure AD, consulte Configuración de la integración con Azure ad.For Azure AD, see Configure integration with Azure AD.

Nota

Para ver ejemplos de cómo configurar las soluciones IdP, consulte:For examples of how to configure IdP solutions, see:

  1. En Cloud App Security, vaya a investigar > aplicaciones conectadas > control de aplicaciones de acceso condicional aplicaciones.In Cloud App Security, browse to Investigate > Connected apps > Conditional Access App Control apps.

  2. Haga clic en el signo más ( + ) y, en el elemento emergente, seleccione la aplicación que desea implementar y, a continuación, haga clic en iniciar el asistente.Click the plus sign (+), and in the pop-up, select the app you want to deploy, and then click Start Wizard.

  3. En la página información de la aplicación , rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, haga clic en siguiente.On the APP INFORMATION page, fill out the form using the information from your app's single sign-on configuration page, and then click Next.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos.If your IdP provides a single sign-on metadata file for the selected app, select Upload metadata file from the app and upload the metadata file.
    • O bien, seleccione rellenar datos manualmente y proporcione la siguiente información:Or, select Fill in data manually and provide the following information:
      • URL del servicio de consumidor de asercionesAssertion consumer service URL
      • Si la aplicación proporciona un certificado SAML, seleccione usar <app_name> certificado SAML y cargue el archivo de certificado.If your app provides a SAML certificate, select Use <app_name> SAML certificate and upload the certificate file.

    Captura de pantalla que muestra la página de información de la aplicación

  4. En la página proveedor de identidades , use los pasos proporcionados para configurar una nueva aplicación en el portal del IDP y, a continuación, haga clic en siguiente.On the IDENTITY PROVIDER page, use the provided steps to set up a new application in your IdP's portal, and then click Next.

    1. Vaya al portal del IdP y cree una nueva aplicación SAML personalizada.Go to your IdP's portal and create a new custom SAML app.
    2. Copie la configuración de inicio de sesión único de la <app_name> aplicación existente en la nueva aplicación personalizada.Copy the single sign-on configuration of the existing <app_name> app to the new custom app.
    3. Asigne usuarios a la nueva aplicación personalizada.Assign users to the new custom app.
    4. Copie la información de configuración de inicio de sesión único de las aplicaciones, la necesitará en el paso siguiente.Copy the apps single sign-on configuration information, you'll need it in the next step.

    Captura de pantalla que muestra la página recopilar información del proveedor de identidades

    Nota

    Estos pasos pueden diferir ligeramente en función del proveedor de identidades.These steps may differ slightly depending on your identity provider. Este paso se recomienda por las razones siguientes:This step is recommended for the following reasons:

    • Algunos proveedores de identidades no permiten cambiar las propiedades de los atributos SAML o de la dirección URL de una aplicación de la galeríaSome identity providers do not allow you to change the SAML attributes or URL properties of a gallery app
    • La configuración de una aplicación personalizada le permite probar esta aplicación con controles de acceso y de sesión sin cambiar el comportamiento existente para su organización.Configuring a custom app enables you to test this application with access and session controls without changing the existing behavior for your organization.
  5. En la página siguiente, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, haga clic en siguiente.On the next page, fill out the form using the information from your app's single sign-on configuration page, and then click Next.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos.If your IdP provides a single sign-on metadata file for the selected app, select Upload metadata file from the app and upload the metadata file.
    • O bien, seleccione rellenar datos manualmente y proporcione la siguiente información:Or, select Fill in data manually and provide the following information:
      • URL del servicio de consumidor de asercionesAssertion consumer service URL
      • Si la aplicación proporciona un certificado SAML, seleccione usar <app_name> certificado SAML y cargue el archivo de certificado.If your app provides a SAML certificate, select Use <app_name> SAML certificate and upload the certificate file.

    Captura de pantalla que muestra la página especificar información del proveedor de identidades

  6. En la página siguiente, copie la siguiente información y, a continuación, haga clic en siguiente.On the next page, copy the following information, and then click Next. Necesitará la información en el paso siguiente.You'll need the information in the next step.

    • URL de inicio de sesión únicoSingle sign-on URL
    • Atributos y valoresAttributes and values

    Captura de pantalla que muestra la página de información de SAML proveedores de identidades

  7. En el portal del IdP, haga lo siguiente:In your IdP's portal, do the following:

    Nota

    La configuración se encuentra normalmente en la página de configuración de la aplicación personalizada del portal IdP.The settings are commonly found in IdP portal's custom app settings page

    1. Recomendar Cree una copia de seguridad de la configuración actual.[Recommended] Create a backup of your current settings.

    2. Reemplace el valor del campo dirección URL de inicio de sesión único por el Cloud App Security dirección URL de inicio de sesión único de SAML que anotó anteriormente.Replace the single sign-on URL field value with the Cloud App Security SAML single sign-on URL you noted earlier.

      Nota

      Algunos proveedores pueden hacer referencia a la dirección URL de inicio de sesión único como dirección URL de respuesta.Some providers may refer to the single sign-on URL as the Reply URL.

    3. Agregue los atributos y valores que anotó anteriormente a las propiedades de la aplicación.Add the attributes and values you made a note of earlier to the app's properties.

      Nota

      • Algunos proveedores pueden hacer referencia a ellos como atributos o notificaciones de usuario .Some providers may refer to them as User attributes or Claims.
      • Al crear una nueva aplicación SAML, el proveedor de identidades Okta limita los atributos a 1024 caracteres.When creating a new SAML app, the Okta Identity Provider limits attributes to 1024 characters. Para mitigar esta limitación, cree primero la aplicación sin los atributos pertinentes.To mitigate this limitation, first create the app without the relevant attributes. Después de crear la aplicación, edítela y, a continuación, agregue los atributos pertinentes.After creating the app, edit it, and then add the relevant attributes.
    4. Compruebe que el identificador de nombre tiene el formato de dirección de correo electrónico.Verify that the name identifier is in the email address format.

    5. Guarde la configuración.Save your settings.

  8. En la página cambios en la aplicación , realice lo siguiente y, a continuación, haga clic en siguiente.On the APP CHANGES page, do the following, and then click Next. Necesitará la información en el paso siguiente.You'll need the information in the next step.

    • Copia de la dirección URL de inicio de sesión únicoCopy the Single sign-on URL
    • Descargar el certificado SAML Cloud App SecurityDownload the Cloud App Security SAML certificate

    Captura de pantalla que muestra recopilar Cloud App Security página de información de SAML

  9. En el portal de la aplicación, en la configuración de inicio de sesión único, realice lo siguiente:In your app's portal, on the single sign-on settings, do the following:

    1. Recomendar Cree una copia de seguridad de la configuración actual.[Recommended] Create a backup of your current settings.
    2. En el campo dirección URL de inicio de sesión único, escriba el Cloud App Security dirección URL de inicio de sesión único que anotó anteriormente.In the single sign-on URL field, enter the Cloud App Security single sign-on URL you made a note of earlier.
    3. Cargue el certificado SAML Cloud App Security que descargó anteriormente.Upload the Cloud App Security SAML certificate you downloaded earlier.

    Nota

    • Después de guardar la configuración, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través de Control de aplicaciones de acceso condicional.After saving your settings, all associated login requests to this app will be routed through Conditional Access App Control.
    • El certificado SAML Cloud App Security es válido durante un año.The Cloud App Security SAML certificate is valid for one year. Una vez que expire, se deberá generar un nuevo certificado.After it expires, a new certificate will need to be generated.

Paso 2: configurar los usuarios que van a implementar la aplicaciónStep 2: Configure the users that will deploy the app

  1. En Cloud App Security, en la barra de menús, haga clic en el icono de configuración engranaje de configuración y seleccione configuración.In Cloud App Security, in the menu bar, click the settings cog settings icon and select Settings.

  2. En control de aplicaciones de acceso condicional, seleccione incorporación/mantenimiento de la aplicación.Under Conditional Access App Control, select App onboarding/maintenance.

  3. Escriba el nombre principal de usuario o el correo electrónico de los usuarios que van a incorporar la aplicación y, a continuación, haga clic en Guardar.Enter the user principal name or email for the users that will be onboarding the app, and then click Save.

    Captura de pantalla de la configuración de incorporación y mantenimiento de la aplicación.

Paso 3: configurar la aplicación que va a implementarStep 3: Configure the app that you are deploying

Vaya a la aplicación que va a implementar.Go to the app that you are deploying. La página que vea dependerá de si se reconoce la aplicación.The page you see depends on whether the app is recognized. Realice una de las siguientes acciones:Do one of the following:

Estado de la aplicaciónApp status DescripciónDescription PasosSteps
No reconocidoNot recognized Verá una página de aplicación no reconocida que le pide que configure la aplicación.You will see an app not recognized page prompting you to configure your app. 1. agregue la aplicación a control de aplicaciones de acceso condicional.1. Add the app to Conditional Access App Control.
2. agregue los dominios de la aplicacióny, a continuación, vuelva a la aplicación y actualice la página.2. Add the domains for the app, and then return to the app and refresh the page.
3. Instale los certificados para la aplicación.3. Install the certificates for the app.
RecognizedRecognized Verá una página de incorporación que le pide que continúe con el proceso de configuración de la aplicación.You will see an onboarding page prompting you to continue the app configuration process. - Instale los certificados para la aplicación.- Install the certificates for the app.

Nota: Asegúrese de que la aplicación esté configurada con todos los dominios necesarios para que la aplicación funcione correctamente.Note: Make sure the app is configured with all domains required for the app to function correctly. Para configurar dominios adicionales, vaya a Agregar los dominios de la aplicacióny, a continuación, vuelva a la página de la aplicación.To configure additional domains, proceed to Add the domains for the app, and then return to the app page.

Para agregar una nueva aplicaciónTo add a new app

  1. En la barra de menús, haga clic en el icono configuración engranaje configuracióny, a continuación, seleccione control de aplicaciones de acceso condicional.In the menu bar, click the settings cog settings icon, and then select Conditional Access App Control.

  2. En el encabezado, haga clic en ver nuevas aplicaciones.In the banner, click View new apps.

    Vista de nuevas aplicaciones del Control de aplicaciones de acceso condicional

  3. En la lista de aplicaciones nuevas, para cada aplicación que está incorporando, haga clic en el + signo y, a continuación, haga clic en Agregar.In the list of new apps, for each app that you are onboarding, click on the + sign, and then click Add.

    Nota

    Si una aplicación no aparece en el catálogo de aplicaciones de Cloud App Security, aparecerá en la sección Aplicación no identificada del cuadro de diálogo junto con la dirección URL de inicio de sesión.If an app does not appear in the Cloud App Security app catalog, it will appear in the dialog under unidentified apps along with the login URL. Al hacer clic en el signo + en estas aplicaciones, puede incorporarlas como aplicación personalizada.When you click the + sign for these apps, you can onboard the application as a custom app.

    Aplicaciones de Azure AD detectadas mediante el Control de aplicaciones de acceso condicional

Para agregar dominios para una aplicaciónTo add domains for an app

La Asociación de los dominios correctos a una aplicación permite Cloud App Security para aplicar directivas y actividades de auditoría.Associating the correct domains to an app allows Cloud App Security to enforce policies and audit activities.

Por ejemplo, si ha configurado una directiva que bloquea la descarga de archivos para un dominio asociado, se bloqueará la descarga de archivos por parte de la aplicación de ese dominio.For example, if you have configured a policy that blocks downloading files for an associated domain, file downloads by the app from that domain will be blocked. Sin embargo, las descargas de archivos de la aplicación de dominios que no estén asociados a la aplicación no se bloquearán y la acción no se auditará en el registro de actividad.However, file downloads by the app from domains not associated with the app will not be blocked and the action will not be audited in the activity log.

Nota

Cloud App Security sigue agregando un sufijo a los dominios que no están asociados a la aplicación para garantizar una experiencia de usuario sin problemas.Cloud App Security still adds a suffix to domains not associated with the app to ensure a seamless user experience.

  1. Desde la aplicación, en la barra de herramientas del administrador de Cloud App Security, haga clic en dominios detectados.From within the app, on the Cloud App Security admin toolbar, click Discovered domains.

    Nota

    La barra de herramientas de administración solo es visible para los usuarios con permisos para incorporar o mantener aplicaciones.The admin toolbar is only visible to users with permissions to onboard or maintenance apps.

  2. En el panel dominios detectados, tome nota de los nombres de dominio o exporte la lista como archivo. csv.In the Discovered domains panel, make a note of domain names or export the list as a .csv file.

    Nota

    El panel muestra una lista de dominios detectados que no están asociados en la aplicación.The panel displays a list of discovered domains that are not associated in the app. Los nombres de dominio son completos.The domain names are fully qualified.

  3. Vaya a Cloud App Security, en la barra de menús, haga clic en el icono configuración engranaje configuración y seleccione control de aplicaciones de acceso condicional.Go to Cloud App Security, in the menu bar, click the settings cog settings icon and select Conditional Access App Control.
  4. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, elija los tres puntos al final de la fila y, luego, en detalles de la aplicación, elija Editar.In the list of apps, on the row in which the app you are deploying appears, choose the three dots at the end of the row, and then under APP DETAILS, choose Edit.

    Sugerencia

    Para ver la lista de los dominios configurados en la aplicación, haga clic en Ver dominios de aplicación.To view the list of domains configured in the app, click View app domains.

  5. En dominios definidos por el usuario, escriba todos los dominios que desea asociar a esta aplicación y, a continuación, haga clic en Guardar.In User-defined domains, enter all the domains you want to associate with this app, and then click Save.

    Nota

    Puede usar el carácter comodín * como un marcador de posición para cualquier carácter.You can use the * wildcard character as a placeholder for any character. Al agregar dominios, decida si desea agregar dominios específicos ( sub1.contoso.com , sub2.contoso.com ) o varios dominios ( *.contoso.com ).When adding domains, decide whether you want to add specific domains (sub1.contoso.com,sub2.contoso.com) or multiple domains (*.contoso.com).

Para instalar certificados raízTo install root certificates

  1. Repita los pasos siguientes para instalar la entidad de certificación actual y los certificados raíz autofirmados de la entidad de certificación .Repeat the following steps to install the Current CA and Next CA self-signed root certificates.

    1. Seleccione el certificado.Select the certificate.
    2. Haga clic en abrir y, cuando se le pida, haga clic en abrir de nuevo.Click Open, and when prompted click Open again.
    3. Haga clic en instalar certificado.Click Install certificate.
    4. Elija el usuario actual o el equipo local.Choose either Current User or Local Machine.
    5. Seleccione colocar todos los certificados en el siguiente almacén y, a continuación, haga clic en examinar.Select Place all certificates in the following store and then click Browse.
    6. Seleccione entidades de certificación raíz de confianza y, a continuación, haga clic en Aceptar.Select Trusted Root Certificate Authorities and then click OK.
    7. Haga clic en FinalizarClick Finish.

    Nota

    Para que se reconozcan los certificados, una vez que haya instalado el certificado, debe reiniciar el explorador e ir a la misma página.For the certificates to be recognized, once you have installed the certificate, you must restart the browser and go to the same page.

  2. Haga clic en Continuar.Click Continue.

Paso 4: comprobar que la aplicación funciona correctamenteStep 4: Verify that the app is working correctly

  1. Compruebe que el flujo de inicio de sesión funciona correctamente.Verify that the sign in flow works correctly.
  2. Una vez que esté en la aplicación, realice las siguientes comprobaciones:Once you are in the app, perform the following checks:
    1. Visite todas las páginas de la aplicación que forman parte del proceso de trabajo de los usuarios y compruebe que las páginas se representan correctamente.Visit all pages within the app that are part of a users' work process and verify that the pages render correctly.
    2. Compruebe que el comportamiento y la funcionalidad de la aplicación no se ven afectados por la realización de acciones comunes, como la descarga y la carga de archivos.Verify that the behavior and functionality of the app is not adversely affected by performing common actions such as downloading and uploading files.
    3. Revise la lista de dominios asociados a la aplicación.Review the list of domains associated with the app. Para obtener más información, consulte Agregar los dominios de la aplicación.For more information, see Add the domains for the app.

Paso 5: habilitación de la aplicación para su uso en la organizaciónStep 5: Enable the app for use in your organization

Una vez que esté listo para habilitar la aplicación para su uso en el entorno de producción de su organización, siga estos pasos.Once you are ready to enable the app for use in your organization's production environment, do the following steps.

  1. En Cloud App Security, haga clic en el  icono configuración engranaje configuración y, a continuación, seleccione control de aplicaciones de acceso condicional.In Cloud App Security, click the settings cog settings icon, and then select Conditional Access App Control.

  2. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, elija los tres puntos al final de la fila y, después, elija Editar aplicación.In the list of apps, on the row in which the app you are deploying appears, choose the three dots at the end of the row, and then choose Edit app.

  3. Seleccione usar con control de aplicaciones de acceso condicional y, a continuación, haga clic en Guardar.Select Use with Conditional Access App Control and then click Save.

    Habilitar elementos emergentes de controles de sesión

Paso 6: actualización de la Directiva de Azure AD (solo Azure AD)Step 6: Update the Azure AD policy (Azure AD only)

  1. En Azure AD, en seguridad, haga clic en acceso condicional.In Azure AD, under Security, click Conditional Access.
  2. Actualice la Directiva que creó anteriormente para incluir los usuarios, los grupos y los controles pertinentes que necesite.Update the policy you created earlier to include the relevant users, groups, and controls you require.
  3. En uso de sesión > control de aplicaciones de acceso condicional, si seleccionó usar directiva personalizada, vaya a Cloud App Security y cree una directiva de sesión correspondiente.Under Session > Use Conditional Access App Control, if you selected Use Custom Policy, go to Cloud App Security and create a corresponding session policy. Para obtener más información, consulte Directivas de sesión.For more information, see Session policies.

Pasos siguientesNext steps

Consulte tambiénSee also

Si surgen problemas, estamos aquí para ayudarle.If you run into any problems, we're here to help. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.To get assistance or support for your product issue, please open a support ticket.