Proteger aplicaciones con el control de aplicaciones de acceso condicional de Microsoft Cloud App SecurityProtect apps with Microsoft Cloud App Security Conditional Access App Control

Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

SIGUIENTE: Implementación del control de aplicaciones de acceso condicional »NEXT: Deploy Conditional Access App Control »

En las empresas actuales, a menudo no resulta suficiente con saber lo que sucede en el entorno de nube después de que pase.In today’s workplace, it’s often not enough to know what’s happening in your cloud environment after the fact. Le interesa detener las infracciones de seguridad y las fugas en tiempo real, antes de que los empleados intencionadamente o por accidente pongan los datos y la organización en riesgo.You want to stop breaches and leaks in real time, before employees intentionally or inadvertently put your data and your organization at risk. Es importante permitir que los usuarios de la organización tengan a su disposición la mayoría de los servicios y las herramientas en aplicaciones de nube, y lleven al trabajo sus propios dispositivos.It's important to enable users in your organization to make the most of the services and tools available to them in cloud apps, and let them bring their own devices to work. Al mismo tiempo, se necesitan herramientas que permitan proteger la organización de fugas o robos de datos en tiempo real.At the same time, you need tools to help protect your organization from data leaks, and data theft, in real time. Junto con Azure Active Directory, Microsoft Cloud App Security proporciona estas funcionalidades en una experiencia integrada y holística con el control de aplicaciones de acceso condicional.Together with Azure Active Directory, Microsoft Cloud App Security delivers these capabilities in a holistic and integrated experience with Conditional Access App Control.

Nota

Para usar Control de aplicaciones de acceso condicional de Cloud App, necesita una licencia P1 de Azure Active Directory y una suscripción activa de Microsoft Cloud App Security.To use Cloud App Security Conditional Access App Control, you need an Azure Active Directory P1 license and an active Microsoft Cloud App Security subscription.

Cómo funcionaHow it works

El Control de aplicaciones de acceso condicional usa una arquitectura de proxy inverso y se integra de forma única con el acceso condicional de Azure AD.Conditional Access App Control uses a reverse proxy architecture and is uniquely integrated with Azure AD conditional access. El acceso condicional de Azure AD permite exigir el uso de controles de acceso en las aplicaciones de la organización según determinadas condiciones.Azure AD conditional access allows you to enforce access controls on your organization’s apps based on certain conditions. Las condiciones definen a quién (un usuario o un grupo de usuarios), qué (qué aplicaciones en la nube) y dónde (qué ubicaciones y redes) se aplica una directiva de acceso condicional.The conditions define who (user or group of users) and what (which cloud apps) and where (which locations and networks) a conditional access policy is applied to. Tras establecer las condiciones, puede dirigir a los usuarios a Microsoft Cloud App Security, donde podrá proteger los datos con el control de aplicaciones de acceso condicional, aplicando para ello controles de sesión y acceso.After you’ve determined the conditions, you can route users to Microsoft Cloud App Security where you can protect data with Conditional Access App Control by applying access and session controls.

Gracias al control de aplicaciones de acceso condicional, las sesiones y el acceso a la aplicación de los usuarios se pueden supervisar y controlar en tiempo real según las directivas de sesión y acceso definidas.Conditional Access App Control enables user app access and sessions to be monitored and controlled in real time based on access and session policies. Las directivas de sesión y acceso se usan en el portal de Cloud App Security para perfeccionar los filtros y establecer las medidas que hay que tomar con respecto a un usuario.Access and session policies are used within the Cloud App Security portal to further refine filters and set actions to be taken on a user. Con las directivas de acceso y sesión, puede:With the access and session policies, you can:

  • Bloquear las descargas: puede bloquear la descarga de documentos confidenciales.Block on download: You can block the download of sensitive documents. Por ejemplo, en los dispositivos no administrados.For example, on unmanaged devices.

  • Proteger las descargas: en lugar de bloquear la descarga de documentos confidenciales, puede requerir que los documentos se protejan con cifrado al descargarse.Protect on download: Instead of blocking the download of sensitive documents, you can require documents to be protected via encryption on download. Este cifrado garantiza que el documento está protegido y el acceso de usuario debe autenticarse si se descargan datos en un dispositivo que no es de confianza.This encryption makes sure the document is protected and user access is authenticated if the data is downloaded to an untrusted device.

  • Supervisar las sesiones de usuario con un nivel de confianza bajo: los usuarios que entrañen riesgo se supervisan cuando inician sesión en aplicaciones y sus acciones se registran en la sesión.Monitor low-trust user sessions: Risky users are monitored when they sign into apps and their actions are logged from within the session. Puede investigar y analizar el comportamiento de los usuarios para entender dónde (y en qué condiciones) se deben aplicar directivas de sesión en el futuro.You can investigate and analyze user behavior to understand where, and under what conditions, session policies should be applied in the future.

  • Bloquear el acceso: puede bloquear por completo el acceso a aplicaciones específicas a usuarios de dispositivos no administrados o de redes no corporativas.Block access: You can completely block access to specific apps for users coming from unmanaged devices or from non-corporate networks.

  • Crear modo de solo lectura: mediante la supervisión y el bloqueo de actividades personalizadas dentro de la aplicación, puede crear un modo de solo lectura en aplicaciones específicas para usuarios concretos.Create read-only mode: By monitoring and blocking custom in-app activities, you can create a read-only mode to specific apps for specific users.

  • Restringir las sesiones de usuario desde redes no corporativas: los usuarios que acceden a una aplicación protegida desde una ubicación que no forma parte de la red corporativa tienen un acceso restringido.Restrict user sessions from non-corporate networks: Users accessing a protected app from a location that isn't part of your corporate network are allowed restricted access. La descarga de material confidencial está bloqueada o protegida.The download of sensitive materials is blocked or protected.

Funcionamiento del control de sesiónHow session control works

Al crear una directiva de sesión con control de aplicaciones de acceso condicional, podrá controlar las sesiones de usuario redirigiendo al usuario en cuestión a través de un proxy inverso, en lugar de directamente a la aplicación.Creating a session policy with Conditional Access App Control enables you to control user sessions by redirecting the user through a reverse proxy instead of directly to the app. A partir de ese momento, las solicitudes y respuestas del usuario pasarán por Microsoft Cloud App Security en lugar de ir directamente a la aplicación.From then on, user requests and responses go through Microsoft Cloud App Security rather than directly to the app.

Para mantener al usuario dentro de la sesión, todas las direcciones URL, scripts de Java y cookies pertinentes de la sesión de aplicación se reemplazan por direcciones URL de Microsoft Cloud App Security.To keep the user within the session, all the relevant URLs, Java scripts, and cookies within the app session are replaced with Microsoft Cloud App Security URLs. Por ejemplo, si la aplicación devuelve una página con vínculos cuyos dominios terminan en miaplicación.com, el vínculo se reemplazará por dominios que acaben en algo parecido a miaplicación.com.us.cas.msFor example, if the app returns a page with links whose domains end with myapp.com, the link is replaced with domains ending with something like: myapp.com.us.cas.ms

Este método no requiere que se instale nada en el dispositivo.This method doesn't require you to install anything on the device. Por tanto, es ideal para supervisar sesiones desde dispositivos no administrados.This method is ideal when monitoring sessions from unmanaged devices.

Después de que una sesión se dirija a través de Microsoft Cloud App Security, se pueden realizar las siguientes acciones:After a session is directed through Microsoft Cloud App Security, the following actions can be done:

  1. Inspeccionar el tráfico en busca de actividades de usuarioInspect the traffic for user activities
  2. Mostrar las actividades detectadas en el registro de actividades de Microsoft Cloud App SecurityDisplay the identified activities in the Microsoft Cloud App Security Activity log
  3. Guardar los registros de tráfico y analizarlosSave the traffic logs and analyze them
  4. Permitir que el administrador exporte los registros de tráficoEnable the admin to export the traffic logs
  5. Exigir la aplicación de directivas en la sesiónEnforce policies on the session

Identificación de dispositivos administradosManaged device identification

El control de aplicaciones de acceso condicional permite crear directivas que tienen en cuenta si un dispositivo está administrado o no.Conditional Access App Control enables you to create policies that take into account whether a device is managed or not. Para saber si un dispositivo está administrado o no, esta característica usa lo siguiente:To identify whether a device is managed or not, the feature uses:

  • Dispositivos compatiblesCompliant devices
  • Dispositivos unidos a dominioDomain-joined devices
  • Implementación de certificados de clienteClient certificates deployment

Dispositivos compatibles y unidos a dominioCompliant and domain joined devices

El acceso condicional de Azure AD permite pasar información sobre los dispositivos compatibles y unidos a un dominio directamente a Microsoft Cloud App Security.Azure AD conditional access enables compliant and domain-joined device information to be passed directly to Microsoft Cloud App Security. Desde allí, se puede desarrollar una directiva de sesión o acceso que use el estado del dispositivo como filtro.From there, an access policy or a session policy can be developed that uses device state as a filter. Para más información, vea Introducción a la administración de dispositivos en Azure Active Directory.For more information, see the Introduction to device management in Azure Active Directory.

Dispositivos autenticados con certificado de clienteClient-certificate authenticated devices

El mecanismo de identificación de dispositivos puede solicitar la autenticación de los dispositivos que usan certificados de cliente.The device identification mechanism can request authentication from relevant devices using client certificates. Puede usar certificados de cliente existentes ya implementados en la organización o implantar nuevos certificados de cliente a los dispositivos administrados.You can either use existing client certificates already deployed in your organization or roll out new client certificates to managed devices. Después utilizará la presencia de esos certificados para establecer directivas de acceso y sesión.You then use the presence of those certificates to set access and session policies. Para más información sobre cómo implementar certificados de cliente, vea Implementar el control de la aplicación de acceso condicional para aplicaciones de Azure AD.For information on how to deploy client certificates see Deploy Conditional Access App Control for Azure AD apps.

Aplicaciones y clientes compatiblesSupported apps and clients

El Control de aplicaciones de acceso condicional es compatible actualmente con aplicaciones de SAML y Open ID Connect configuradas con inicio de sesión único, junto con las aplicaciones web hospedadas de forma local configuradas con el Proxy de aplicación de Azure AD.Conditional Access App Control currently supports SAML and Open ID Connect apps configured with single sign-on, along with web apps hosted on-prem configured with the Azure AD App Proxy.

Nota

El Control de aplicaciones de acceso condicional también admite aplicaciones configuradas con proveedores de identidades que no sean Azure AD.Conditional Access App Control also supports apps that are configured with identity providers other than Azure AD. Para obtener más información sobre este escenario, envíe un correo electrónico a mcaspreview@microsoft.com.For more information about this scenario, send an email to mcaspreview@microsoft.com.

El control de sesión está disponible para cualquier explorador en las principales plataformas.Session control is available for any browser on any major platform. Las aplicaciones móviles y de escritorio también pueden bloquearse o permitirse.Mobile apps and desktop apps can also be blocked or allowed. Gracias a la integración nativa con Azure AD, se admiten aplicaciones que estén configuradas con SAML o aplicaciones Open ID Connect con inicio de sesión único en Azure AD, incluidas estas aplicaciones destacadas:By natively integrating with Azure AD, any apps that are configured with SAML or Open ID Connect apps with single sign-on in Azure AD can be supported, including the following featured apps:

  • AWSAWS
  • CuadroBox
  • ConcurConcur
  • CornerStone on DemandCornerStone on Demand
  • DocuSignDocuSign
  • DropboxDropbox
  • EgnyteEgnyte
  • G SuiteG Suite
  • GithubGitHub
  • HighQHighQ
  • JIRA/ConfluenceJIRA/Confluence
  • SalesforceSalesforce
  • ServiceNowServiceNow
  • SlackSlack
  • TableauTableau
  • WorkdayWorkday
  • WorkivaWorkiva
  • Workplace de FacebookWorkplace by Facebook
  • Exchange Online (versión preliminar)Exchange Online (preview)
  • OneDrive para la Empresa (versión preliminar)OneDrive for Business (preview)
  • Power BI (versión preliminar)Power BI (preview)
  • SharePoint Online (versión preliminar)SharePoint Online (preview)
  • Azure DevOps (Visual Studio Team Services) (versión preliminar)Azure DevOps (Visual Studio Team Services) (preview)
  • Yammer (versión preliminar)Yammer (preview)
  • Microsoft Flow (versión preliminar)Microsoft Flow (preview)

Continuamente se inscriben más aplicaciones al control de sesiones.Additional apps are being continuously on-boarded to session control. Si le interesa una aplicación específica que no se menciona aquí, envíenos los detalles sobre la aplicación.If you're interested in a specific app that isn't mentioned here, send us details about the app. No olvide enviar el caso de uso que le interesa para que podamos incorporarlo.Be sure to send the use case you're interested in for on-boarding it.

SIGUIENTE: Implementación del control de aplicaciones de acceso condicional »NEXT: Deploy Conditional Access App Control »

Pasos siguientesNext steps

Implementar el control de la aplicación de acceso condicional para aplicaciones de Azure ADDeploy Conditional Access App Control for Azure AD apps

Los clientes Premier también pueden crear una solicitud de soporte técnico directamente en el portal Premier.Premier customers can also create a new support request directly in the Premier Portal.