Directivas de sesiónSession policies

Nota

Se trata de una característica en vista previa.This is a preview feature.

Las directivas de sesión de Cloud App Security permiten las supervisiones en tiempo real y en el nivel de sesión, lo que le proporciona una visibilidad granular de las aplicaciones en la nube, así como la posibilidad de realizar distintas acciones según la directiva establecida para una sesión de usuario.Cloud App Security session policies enable real-time session-level monitoring, affording you granular visibility into cloud apps and the ability to take different actions depending on the policy you set for a user session. En lugar de permitir o bloquear el acceso por completo, con el control de sesión puede permitir el acceso mientras supervisa la sesión o limitar determinadas actividades de la sesión.Instead of allowing or blocking access completely, with session control you can allow access while monitoring the session and/or limit specific session activities.

Por ejemplo, puede decidir que, desde cualquier dispositivo no administrado o en sesiones que provienen de ubicaciones específicas, quiere permitir el acceso del usuario a la aplicación, pero también limitar la descarga de archivos confidenciales o requerir que algunos documentos estén protegidos al descargarse.For example, you can decide that from unmanaged devices, or for sessions coming from specific locations, you want to allow the user to access the app, but also limit the download of sensitive files or require that certain documents be protected upon download. Las directivas de sesión permiten establecer estos controles de sesión de usuario.Session policies enable you to set these user-session controls.

Requisitos previos para usar directivas de sesiónPrerequisites to using session policies

Nota

  • Las directivas de sesión también admiten aplicaciones que están configuradas con proveedores de identidades que no sean Azure AD en Private Preview.Session policies also support apps that are configured with identity providers other than Azure AD in Private Preview. Para obtener más información sobre Private Preview, envíe un correo electrónico a mcaspreview@microsoft.com.For more information about the Private Preview, send an email to mcaspreview@microsoft.com.

Crear una directiva de acceso condicional de Azure ADCreate an Azure AD conditional access policy

Las directivas de acceso condicional de Azure Active Directory y las directivas de sesión de Cloud App Security funcionan conjuntamente para examinar cada sesión de usuario y tomar decisiones de directiva relativas a cada aplicación.Azure Active Directory conditional access policies and Cloud App Security session policies work in tandem to examine each user session and make policy decisions for each app. Haga lo siguiente para configurar una directiva de acceso condicional en Azure AD:To set up a conditional access policy in Azure AD, follow this procedure:

  1. Configure una directiva de acceso condicional de Azure AD con asignaciones de usuario o de grupo de usuarios y la aplicación SAML que quiere controlar con el proxy de Cloud App Security.Configure an Azure AD conditional access policy with assignments for user or group of users and the SAML app you want to control with the Cloud App Security proxy.

    Nota

    Esta directiva afectará únicamente a las aplicaciones que se hayan implementado con proxy.Only apps that were deployed with proxy will be affected by this policy.

  2. Enrute usuarios al proxy de Cloud App Security; para ello, active Usar las restricciones que exige el proxy en la hoja Sesión.Route users to the Cloud App Security proxy by selecting the Use proxy enforced restrictions in the Session blade.

    Acceso condicional de Azure AD con restricciones de proxy

Crear una directiva de sesión de Cloud App SecurityCreate a Cloud App Security session policy

Haga lo siguiente para crear una directiva de sesión:To create a new session policy, follow this procedure:

  1. En el portal, seleccione Control y, después, Directivas.In the portal, select Control followed by Policies.
  2. En la página Directivas, haga clic en Crear directiva y seleccione Directiva de sesión.In the Policies page, click Create policy and select Session policy.

    Creación de directivas de sesión

  3. En la ventana Directiva de sesión, especifique un nombre para la directiva, como Bloquear descarga de documentos confidenciales en Box de usuarios de marketing.In the Session policy window, assign a name for your policy, such as Block Download of Sensitive Documents in Box for Marketing Users.

    Nueva directiva de sesión

  4. En el campo Tipo de control de sesión, haga lo siguiente:In the Session control type field:

    1. Seleccione Supervisión de todas las actividades si solo quiere supervisar las actividades de los usuarios.Select Monitor all activities if you only want to monitor activities by users.

    2. Seleccione Supervisión de todas las actividades y control de la descarga de archivos si quiere supervisar las actividades de los usuarios y, asimismo, tomar otras medidas, como bloquear o proteger las descargas de los usuarios.Select Monitor all activities & control file download if you want to monitor user activities and take additional actions, such as block or protect downloads for users.

      Tipo de control de directiva de sesión

  5. En la sección Actividades que coinciden con todo lo siguiente de Origen de la actividad, seleccione más filtros de actividad para aplicarlos a la directiva.Under Activity source in the Activities matching all of the following section, select additional activity filters to apply to the policy. Las opciones son las siguientes:These can include the following options:

    • Etiqueta de dispositivo: use este filtro para identificar los dispositivos no administrados.Device tags: Use this filter to identify unmanaged devices.

    • Ubicación: use este filtro para identificar las ubicaciones desconocidas (por tanto, que entrañan riesgo).Location: Use this filter to identify unknown (and therefore risky) locations.

    • Dirección IP: use este filtro para filtrar por direcciones IP o usar las etiquetas de dirección IP previamente asignadas.IP address: Use this filter to filter per IP addresses or use previously assigned IP address tags.

    • Etiqueta de agente de usuario: use este filtro para habilitar la heurística que permite identificar las aplicaciones de escritorio y móviles.User agent tag: Use this filter to enable the heuristic to identify mobile and desktop apps. Este filtro se puede establecer como igual o no igual a Cliente nativo, y conviene comprobarlo con las aplicaciones de escritorio y móviles de cada aplicación en la nube.This filter can be set to equals or does not equal Native client and should be tested against your mobile and desktop apps for each cloud app.

      Compatibilidad de cliente nativo

      Nota

      Las directivas de sesión no admiten aplicaciones de escritorio ni móviles.Session policies don’t support mobile and desktop apps. Asegúrese de probar las directivas de sesión para ver que no interfieren con la funcionalidad de este tipo de aplicaciones.Make sure to test session policies to see that they don’t interfere with mobile and desktop app functionality. Si es necesario, excluya de las directivas de sesión las aplicaciones de escritorio y móviles.If necessary, exclude mobile and desktop apps from session policies.

      Origen de actividad de directiva de sesión

  6. Si ha seleccionado la opción Supervisión de todas las actividades y control de la descarga de archivos:If you selected the option to Monitor all activities & control file download:

    1. En la sección Archivos que coinciden con todo lo siguiente de Origen de la actividad, seleccione más filtros de archivo para aplicarlos a la directiva.Under Activity source in the Files matching all of the following section, select additional file filters to apply to the policy. Las opciones son las siguientes:These can include the following options:

      • Etiqueta de clasificación: use este filtro si la organización usa Azure Information Protection y los datos están protegidos con etiquetas de clasificación.Classification label - Use this filter if your organization uses Azure Information Protection, and your data has been protected by its Classification labels. Si es así, aquí podrá filtrar los archivos por la etiqueta de clasificación que tengan aplicada.Here you will then be able to filter files based on the Classification label you applied to them. Para más información sobre la integración entre Cloud App Security y Azure Information Protection, vea Integración de Azure Information Protection.For more information about integration between Cloud App Security and Azure Information Protection, see Azure Information Protection integration.

      • Nombre de archivo: use este filtro para aplicar la directiva a archivos concretos.File name - Use this filter to apply the policy to specific files.

      • Tipo de archivo: use este filtro para aplicar la directiva a tipos de archivo concretos, por ejemplo, para bloquear la descarga de cualquier archivo .xls.File type - Use this filter to apply the policy to specific file types, for example, block download for all .xls files.

        Filtros de archivo de directiva de sesión

    2. En la sección Inspección de contenido, establezca si quiere permitir que el motor DLP examine documentos y el contenido de los archivos.In the Content inspection section, set whether you want to enable the DLP engine to scan documents and file content.

      Inspección de contenido de directiva de sesión

    3. En Acciones, seleccione una de las siguientes opciones:Under Actions, select one of the following:

      • Permitir: establezca esta acción para permitir expresamente las descargas según los filtros de directiva que haya establecido.Allow: Set this action to explicitly allow download according to the policy filters you set.

      • Bloquear: establezca esta acción para bloquear expresamente las descargas según los filtros de directiva que haya establecido.Block: Set this action to explicitly block download according to the policy filters you set. Para más información, vea Cómo funciona el bloqueo de descargas.For more information, see How block download works.

      • Proteger: si la organización usa Azure Information Protection, puede establecer una acción que aplique al archivo una etiqueta de clasificación establecida en Azure Information Protection.Protect: If your organization uses Azure Information Protection, you can set an Action to apply a classification label set in Azure Information Protection to the file. Para más información, vea Cómo funciona la protección de descargas.For more information, see How protect download works.

        Acciones de directiva de sesión

  7. Puede crear una alerta para cada evento que coincida con la gravedad de directiva, establecer un límite de alerta y seleccionar si quiere que la alerta llegue como un correo electrónico, como un mensaje de texto o ambas.You can Create an alert for each matching event with the policy's severity and set an alert limit and select whether you want the alert as an email, a text message or both.

    Alerta de directiva de sesión

Cómo funciona la supervisión de sesiónHow session monitoring works

Cuando se crea una directiva de sesión, cada sesión de usuario que coincida con la directiva se redirige al control de sesión de proxy, y no directamente a la aplicación.When you create a session policy, each user session that matches the policy is redirected to the proxy session control rather than to the app directly. El usuario verá una notificación de supervisión que le avisa de que sus sesiones se están supervisando.The user will see a monitoring notice to let them know that their sessions are being monitored.

Aviso de supervisión de sesión

Si prefiere no avisar al usuario de que se le está supervisando, puede deshabilitar el mensaje de notificación.If you do not want to notify the user that they are being monitored, you can disable the notification message.

  1. En el engranaje Configuración, seleccione Configuración general.Under the settings cog, select General settings.

  2. Después, en Configuración del proxy de Cloud App Security, desactive la casilla Notificar a los usuarios.Then, under Cloud App Security proxy settings, unselect the Notify users checkbox.

    Deshabilitar el aviso de supervisión de sesión

Para mantener al usuario dentro de la sesión, el proxy reemplaza todas las direcciones URL, scripts de Java y cookies pertinentes de la sesión de aplicación por direcciones URL del proxy.To keep the user within the session, the proxy replaces all the relevant URLs, Java scripts, and cookies within the app session with proxy URLs. Por ejemplo, si la aplicación devuelve una página con vínculos cuyos dominios terminan en myapp.com, el proxy reemplazará esos vínculos por dominios que terminan en algo parecido a myapp.com.us.cas.ms.For example: if the app returns a page with links whose domains ends with myapp.com, the proxy replaces the links with domains ending with something like: myapp.com.us.cas.ms. De esta forma, la sesión completa se supervisa por medio del proxy.This way the entire session is monitored by the proxy.

El proxy registra los registros de tráfico de cada sesión de usuario que pasa a través de él.The proxy records the traffic logs of every user session that is routed through it. Los registros de tráfico reflejan la hora, la dirección IP, los agentes de usuario, las direcciones URL visitadas y el número de bytes cargados y descargados.The traffic logs include the time, IP, user agent, URLs visited, and the number of bytes uploaded and downloaded. Estos registros se analizan, mientras que un informe constantemente activo denominado Proxy de Cloud App Security se agrega a la lista de informes de Cloud Discovery en el panel de Cloud Discovery.These logs are analyzed and a continuous report called Cloud App Security Proxy is added to the list of Cloud Discovery reports in the Cloud Discovery dashboard.

Informe de proxy

Para exportar estos registros, haga lo siguiente:To export these logs:

  1. Vaya al engranaje Configuración y haga clic en Proxy.Go to the settings cog and click Proxy.
  2. En el lado derecho de la tabla, haga clic en el botón de exportación.On the right side of the table, click the export button Botón de exportación..
  3. Seleccione el intervalo del informe y haga clic en Exportar.Select the range of the report and click Export. Este proceso puede tardar en completarse.This process may take some time.

Para descargar el registro exportado:To download the exported log:

  1. Cuando el informe esté listo, vaya a Investigar y, luego, a Informes personalizados.After the report is ready, go to Investigate and then Custom reports.
  2. En la tabla, seleccione el informe que proceda en la lista de registros de tráfico del proxy y haga clic en el botón de descarga.In the table, select the relevant report from the list of Proxy traffic logs and click download download button.

Cómo funciona el bloqueo de descargas How block download works

Cuando Bloquear es la Acción establecida que quiere realizar en la directiva de sesión del proxy de Cloud App Security, el proxy impedirá al usuario descargar un archivo de acuerdo con los filtros de archivos de la directiva.When Block is set as the Action you want to take in the Cloud App Security proxy session policy, the proxy prevents a user from downloading a file in accordance with the policy’s file filters. El proxy identifica un evento de descarga de cada aplicación SAML y, cuando un usuario inicia este evento, el proxy interviene en tiempo real para evitar que se ejecute.A download event is recognized by the proxy for each SAML app and when a user initiates this event, the proxy intervenes in real time to prevent it from running. Cuando se recibe la señal de que un usuario ha iniciado una descarga, el proxy devuelve al usuario un mensaje que indica que la descarga está restringida, y reemplaza el archivo descargado por un archivo de texto que contiene un mensaje personalizable para el usuario, que se puede configurar en la directiva de sesión del proxy.When the signal is received that a user has initiated a download, the proxy returns a Download restricted message to the user and replaces the downloaded file with a text file that contains a customizable message to the user, which can be configured from the proxy session policy.

Cómo funciona la protección de descargas How to protect download works

Cuando Proteger es la Acción establecida que va a realizarse en la directiva de sesión del proxy de Cloud App Security, el proxy exige que el archivo se etiquete y proteja de acuerdo con los filtros de archivos de la directiva.When Protect is set as the Action to be taken in the Cloud App Security proxy session policy, the proxy enforces the labeling and subsequent protection of a file in accordance with the policy’s file filters. Las etiquetas se configuran en la consola de Azure Information Protection en Azure, y Proteger debe estar seleccionado en la etiqueta para que dicha etiqueta aparezca como una opción en la directiva de Cloud App Security.Labels are configured in the Azure Information Protection console in Azure and Protect must be selected within the label for the label to appear as an option in the Cloud App Security policy. Cuando se selecciona una etiqueta y se descarga un archivo que cumple los criterios de la directiva de Cloud App Security, tanto la etiqueta como la protección correspondiente (con permisos) se aplican al archivo de descarga.When a label is selected, and a file is downloaded that meets the criteria of the Cloud App Security policy, the label, and corresponding protection (with permissions) is applied to the file upon download. El archivo original permanece tal cual en la aplicación en la nube, mientras que el archivo descargado ahora está protegido.The original file remains as-is in the cloud app while the downloaded file is now protected. Los usuarios que traten de tener acceso al archivo deben cumplir los requisitos de permiso establecidos por la protección aplicada.Users who attempt to access the file must meet the permission requirements determined by the protection applied.

Consulte tambiénSee Also

Bloqueo de descargas de información confidencial con el proxy de Microsoft Cloud App Security Blocking downloads on unmanaged devices using Azure AD proxy capabilities
Para obtener soporte técnico, visite la página de soporte técnico asistido de Cloud App Security. For technical support, visit the Cloud App Security assisted support page.
Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.