Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Proteger aplicaciones con el control de aplicaciones de acceso condicional de Microsoft Cloud App SecurityProtect apps with Microsoft Cloud App Security Conditional Access App Control

SIGUIENTE: Implementación del control de aplicaciones de acceso condicional »NEXT: Deploy Conditional Access App Control »

En el ámbito laboral actual, a menudo no basta con saber lo que ocurre en el entorno de nube después de los hechos, sino que también se requiere tener la posibilidad de detener brechas y fugas en tiempo real antes de que los empleados pongan en riesgo su organización y los datos, ya sea de manera intencional como por accidente.In today’s workplace, it’s often not enough to know what’s happening in your cloud environment after the fact, you want to be able to stop breaches and leaks in real time, before employees intentionally or inadvertently put your data and your organization at risk. Es importante permitir que los usuarios de la organización tengan a su disposición la mayoría de los servicios y las herramientas en aplicaciones de nube, y lleven al trabajo sus propios dispositivos.It is important to enable users in your organization to make the most of the services and tools available to them in cloud apps, and let them bring their own devices to work. Al mismo tiempo, se necesitan herramientas que permitan proteger la organización de fugas o robos de datos en tiempo real.At the same time, you need tools to help protect your organization from data leaks, and data theft, in real time. Junto con Azure Active Directory, Microsoft Cloud App Security proporciona estas funcionalidades en una experiencia integrada y holística con el control de aplicaciones de acceso condicional.Together with Azure Active Directory, Microsoft Cloud App Security delivers these capabilities in a holistic and integrated experience with Conditional Access App Control.

Cómo funcionaHow it works

El control de aplicaciones de acceso condicional usa una arquitectura de proxy inverso y se integra de forma única con el acceso condicional de Azure AD.Conditional Access App Control utilizes a reverse proxy architecture and is uniquely integrated with Azure AD conditional access. El acceso condicional de Azure AD permite exigir el uso de controles de acceso en las aplicaciones de la organización según determinadas condiciones.Azure AD conditional access allows you to enforce access controls on your organization’s apps based on certain conditions. Las condiciones definen quién (por ejemplo, un usuario o un grupo de usuarios), qué (qué aplicaciones en la nube) y dónde (qué ubicaciones y redes) se aplica una directiva de acceso condicional.The conditions define who (for example a user, or group of users) and what (which cloud apps) and where (which locations and networks) a conditional access policy is applied to. Tras establecer las condiciones, puede enrutar los usuarios a Microsoft Cloud App Security, donde podrá proteger los datos con el control de aplicaciones de acceso condicional, aplicando para ello controles de sesión y acceso.After you’ve determined the conditions, you can route users to the Microsoft Cloud App Security where you can protect data with Conditional Access App Control by applying access and session controls.

Gracias al control de aplicaciones de acceso condicional, las sesiones y el acceso a la aplicación de los usuarios se pueden supervisar y controlar en tiempo real según las directivas de sesión y acceso definidas.Conditional Access App Control enables user app access and sessions to be monitored and controlled in real time based on access and session policies. Las directivas de sesión y acceso se usan en el portal de Cloud App Security para perfeccionar los filtros y establecer las medidas que hay que tomar con respecto a un usuario.Access and session policies are utilized within the Cloud App Security portal to further refine filters and set actions to be taken on a user. Con las directivas de acceso y sesión, puede:With the access and session policies, you can:

  • Bloquear descargas: puede bloquear la descarga de documentos confidenciales.Block on download: You can block the download of sensitive documents. Por ejemplo, en los dispositivos no administrados.For example, on unmanaged devices.

  • Proteger las descargas: en lugar de bloquear la descarga de documentos confidenciales, puede requerir que los documentos se protejan con cifrado.Protect on download: Instead of blocking the download of sensitive documents, you can require documents to be protected via encryption on download. Esto garantiza que el documento está protegido y el acceso de usuario debe autenticarse si se descargan datos en un dispositivo que no es de confianza.This ensures that the document is protected, and user access is authenticated, if the data is downloaded to an untrusted device.

  • Supervisar las sesiones de usuario con un nivel de confianza bajo: los usuarios que entrañen riesgo se supervisan cuando inician sesión en aplicaciones e, igualmente, sus acciones se registran en la sesión.Monitor low-trust user sessions: Risky users are monitored when they sign into apps and their actions are logged from within the session. Puede investigar y analizar el comportamiento de los usuarios para entender dónde (y en qué condiciones) se deben aplicar directivas de sesión en el futuro.You can investigate and analyze user behavior to understand where, and under what conditions, session policies should be applied in the future.

  • Bloquear el acceso: puede bloquear por completo el acceso a aplicaciones específicas a usuarios de dispositivos no administrados o de redes no corporativas.Block access: You can completely block access to specific apps for users coming from unmanaged devices or from non-corporate networks.

  • Crear modo de solo lectura: mediante la supervisión y el bloqueo de actividades personalizadas dentro de la aplicación, puede crear un modo de solo lectura en aplicaciones específicas para usuarios específicos.Create read-only mode: By monitoring and blocking custom in-app activities you can create a read-only mode to specific apps for specific users.

  • Restringir las sesiones de usuario desde redes no corporativas: los usuarios que tienen acceso a una aplicación protegida desde una ubicación que no forma parte de la red corporativa tienen un acceso restringido y la descarga de material confidencial está bloqueado o protegido.Restrict user sessions from non-corporate networks: Users accessing a protected app from a location that is not part of your corporate network, are allowed restricted access and the download of sensitive materials is blocked or protected.

Funcionamiento del control de sesiónHow session control works

Al crear una directiva de sesión con control de aplicaciones de acceso condicional, podrá controlar las sesiones de usuario redirigiendo al usuario en cuestión a través de un proxy inverso, en lugar de directamente a la aplicación.Creating a session policy with Conditional Access App Control enables you to control user sessions by redirecting the user through a reverse proxy instead of directly to the app. A partir de ese momento, las solicitudes y respuestas del usuario pasarán por Microsoft Cloud App Security en lugar de ir directamente a la aplicación.From then on, user requests and responses go through Microsoft Cloud App Security rather than directly to the app.

Para mantener al usuario dentro de la sesión, todas las direcciones URL, scripts de Java y cookies pertinentes de la sesión de aplicación se reemplazan por direcciones URL de Microsoft Cloud App Security.To keep the user within the session, all the relevant URLs, Java scripts, and cookies within the app session are replaced with Microsoft Cloud App Security URLs. Por ejemplo, si la aplicación devuelve una página con vínculos cuyos dominios terminan en myapp.com, el vínculo se reemplazará por dominios que acaben en algo parecido a myapp.com.us.cas.ms.For example: if the app returns a page with links whose domains end with myapp.com, the link is replaced with domains ending with something like: myapp.com.us.cas.ms

Este método no requiere que se instale nada en el dispositivo,This method does not require you to install anything on the device. lo cual es ideal para supervisar sesiones desde dispositivos no administrados.This is ideal when monitoring sessions from unmanaged devices.

Después de que una sesión se dirija a través de Microsoft Cloud App Security, se pueden realizar las siguientes acciones:After a session is directed through Microsoft Cloud App Security the following actions can be performed:

  1. Inspeccionar el tráfico en busca de actividades de usuarioInspect the traffic for user activities
  2. Mostrar las actividades detectadas en el registro de actividades de Microsoft Cloud App SecurityDisplay the identified activities in the Microsoft Cloud App Security Activity log
  3. Guardar los registros de tráfico y analizarlosSave the traffic logs and analyze them
  4. Permitir que el administrador exporte los registros de tráficoEnable the admin to export the traffic logs
  5. Exigir la aplicación de directivas en la sesiónEnforce policies on the session

Identificación de dispositivos administradosManaged device identification

El control de aplicaciones de acceso condicional permite crear directivas que tienen en cuenta si un dispositivo está administrado o no.Conditional Access App Control enables you to create policies that take into account whether a device is managed or not. Para saber si un dispositivo está administrado o no, esta característica consulta lo siguiente:To identify whether a device is managed or not, the feature leverages:

  • Dispositivos compatiblesCompliant devices
  • Dispositivos unidos a dominioDomain-joined devices
  • Implementación de certificados de clienteClient certificates deployment

Dispositivos compatibles y unidos a dominioCompliant and domain joined devices

El acceso condicional de Azure AD permite pasar información sobre los dispositivos compatibles y unidos a un dominio directamente a Microsoft Cloud App Security.Azure AD conditional access enables compliant and domain-joined device information to be passed directly to Microsoft Cloud App Security. Desde allí, se puede desarrollar una directiva de sesión o acceso que use el estado del dispositivo como filtro.From there, an access policy or a session policy can be developed that uses device state as a filter. Para más información, vea Introducción a la administración de dispositivos en Azure Active Directory.For more information, see the Introduction to device management in Azure Active Directory.

Dispositivos autenticados con certificado de clienteClient-certificate authenticated devices

El mecanismo de identificación de dispositivos puede solicitar la autenticación de los dispositivos que usan certificados de cliente.The device identification mechanism can request authentication from relevant devices using client certificates. Esto permite aprovechar los certificados de cliente existentes ya implementados en la organización o implantar nuevos certificados de cliente en los dispositivos administrados y, después, usar la existencia de tales certificados para definir directivas de acceso y de sesión.This enables you to either leverage existing client certificates already deployed in your organization or to roll out new client certificates to managed devices, and then use the presence of those certificates to set access and session policies. Para más información sobre cómo implementar certificados de cliente, vea Implementar el control de la aplicación de acceso condicional para aplicaciones de Azure AD.For information on how to deploy client certificates see Deploy Conditional Access App Control for Azure AD apps.

Aplicaciones y clientes compatiblesSupported apps and clients

Actualmente, el control de aplicaciones de acceso condicional admite aplicaciones configuradas con un inicio de sesión único en SAML en Azure AD.Conditional Access App Control currently supports apps that are configured with SAML single sign on in Azure AD.

Nota

  • El Control de aplicaciones de acceso condicional también admite aplicaciones configuradas con proveedores de identidades que no sean Azure AD.Conditional Access App Control also supports apps that are configured with identity providers other than Azure AD. Para obtener más información sobre este escenario, envíe un correo electrónico a mcaspreview@microsoft.com.For more information about this scenario, send an email to mcaspreview@microsoft.com.
  • Las aplicaciones de Office 365 no están configuradas con SAML, por lo que no son compatibles actualmente.Office 365 applications are not configured with SAML so they are not currently supported.

El control de sesiones está disponible para todos los exploradores de cualquier plataforma principal. Asimismo, las aplicaciones móviles y de escritorio también se pueden bloquear o permitir.Session control is available for any browser on any major platform (mobile apps and desktop apps can also be blocked or allowed). Gracias a la integración nativa, Azure AD admite cualquier aplicación configurada con el inicio de sesión único de SAML, incluidas las siguientes, que son las más populares:By natively integrating with Azure AD, any apps that are configured with SAML single sign-on in Azure AD can be supported, including the following featured apps:

  • SalesforceSalesforce

  • CuadroBox

  • G SuiteG Suite

  • WorkdayWorkday

  • SlackSlack

  • Workplace de FacebookWorkplace by Facebook

  • ServiceNowServiceNow

  • JIRA/ConfluenceJIRA/Confluence

  • AWSAWS

  • WorkivaWorkiva

  • CornerStone on DemandCornerStone on Demand

  • DocuSignDocuSign

  • HighQHighQ

  • ConcurConcur

  • TableauTableau

Continuamente se inscriben más aplicaciones al control de sesiones.Additional apps are being continuously on-boarded to session control. Si está interesado en alguna aplicación específica que no figure aquí, envíenos los detalles y el caso de uso que le interese, y la inscribiremos.If you are interested in a specific app that is not mentioned here, send us details about the app and the use case you are interested in, and we will on-board it.

SIGUIENTE: Implementación del control de aplicaciones de acceso condicional »NEXT: Deploy Conditional Access App Control »

Consulte tambiénSee Also

Implementar el control de la aplicación de acceso condicional para aplicaciones de Azure ADDeploy Conditional Access App Control for Azure AD apps

Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.