Se aplica a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Directivas de sesiónSession policies

« ANTERIOR: Implementación del control de aplicaciones de acceso condicional« PREVIOUS: Deploy Conditional Access App Control
SIGUIENTE: Cómo crear una directiva de acceso »NEXT: How to create an access policy »

Las directivas de sesión de Microsoft Cloud App Security permiten las supervisiones en tiempo real y en el nivel de sesión, lo que le proporciona una visibilidad granular de las aplicaciones en la nube, así como la posibilidad de realizar distintas acciones según la directiva establecida para una sesión de usuario.Microsoft Cloud App Security session policies enable real-time session-level monitoring, affording you granular visibility into cloud apps and the ability to take different actions depending on the policy you set for a user session. En lugar de permitir o bloquear el acceso por completo, con el control de sesión, puede permitir el acceso mientras supervisa la sesión o limita determinadas actividades de la sesión usando las funciones de proxy inverso de control de aplicaciones de acceso condicional.Instead of allowing or blocking access completely, with session control you can allow access while monitoring the session and/or limit specific session activities using the reverse proxy capabilities of Conditional Access App Control.

Por ejemplo, puede decidir que, desde cualquier dispositivo no administrado o en sesiones que provienen de ubicaciones específicas, quiere permitir el acceso del usuario a la aplicación, pero también limitar la descarga de archivos confidenciales o requerir que algunos documentos estén protegidos al descargarse.For example, you can decide that from unmanaged devices, or for sessions coming from specific locations, you want to allow the user to access the app, but also limit the download of sensitive files or require that certain documents be protected upon download. Las directivas de sesión permiten establecer estos controles de sesión de usuario, ademas del acceso, y le permite realizar lo siguiente:Session policies enable you to set these user-session controls and allow access and enables you to:

Requisitos previos para usar directivas de sesiónPrerequisites to using session policies

Nota

  • Las directivas de sesión también admiten aplicaciones que estén configuradas con proveedores de identidades que no sean Azure AD.Session policies also support apps that are configured with identity providers other than Azure AD. Para obtener más información sobre este escenario, envíe un correo electrónico a mcaspreview@microsoft.com.For more information about this scenario, send an email to mcaspreview@microsoft.com.

Crear una directiva de acceso condicional de Azure ADCreate an Azure AD conditional access policy

Las directivas de acceso condicional de Azure Active Directory y las directivas de sesión de Cloud App Security funcionan conjuntamente para examinar cada sesión de usuario y tomar decisiones de directiva relativas a cada aplicación.Azure Active Directory conditional access policies and Cloud App Security session policies work in tandem to examine each user session and make policy decisions for each app. Haga lo siguiente para configurar una directiva de acceso condicional en Azure AD:To set up a conditional access policy in Azure AD, follow this procedure:

  1. Configure una directiva de acceso condicional de Azure AD con asignaciones de usuario o de grupo de usuarios y la aplicación SAML que quiere controlar con el control de aplicaciones de acceso condicional.Configure an Azure AD conditional access policy with assignments for user or group of users and the SAML app you want to control with the Conditional Access App Control.

    Nota

    Esta directiva afectará únicamente a las aplicaciones que se hayan implementado con control de aplicaciones de acceso condicional.Only apps that were deployed with Conditional Access App Control will be affected by this policy.

  2. Enrute usuarios a Microsoft Cloud App Security; para ello, active Use Conditional Access App Control enforced restrictions (Usar las restricciones que exige el control de aplicaciones de acceso condicional) en la hoja Sesión.Route users to Microsoft Cloud App Security by selecting the Use Conditional Access App Control enforced restrictions in the Session blade.

Crear una directiva de sesión de Cloud App SecurityCreate a Cloud App Security session policy

Haga lo siguiente para crear una directiva de sesión:To create a new session policy, follow this procedure:

  1. En el portal, seleccione Control y, después, Directivas.In the portal, select Control followed by Policies.

  2. En la página Directivas, haga clic en Crear directiva y seleccione Directiva de sesión.In the Policies page, click Create policy and select Session policy.

  3. En la ventana Directiva de sesión, especifique un nombre para la directiva, como Bloquear descarga de documentos confidenciales en Box de usuarios de marketing.In the Session policy window, assign a name for your policy, such as Block Download of Sensitive Documents in Box for Marketing Users.

  4. En el campo Tipo de control de sesión, haga lo siguiente:In the Session control type field:

    1. Seleccione Monitor only (Solo supervisar) si solo quiere supervisar las actividades de los usuarios.Select Monitor only if you only want to monitor activities by users. Se creará una directiva de solo supervisión en la que, todos los inicios de sesión, descargas heurísticas y tipos de actividad, se descargarán para las aplicaciones seleccionadas.This will create a Monitor only policy in which, all sign-ins, heuristic downloads, and Activity types will be downloaded, for the apps you selected.

    2. Seleccione Controlar la descarga de archivos (con DLP) si quiere supervisar las actividades de los usuarios y tomar otras medidas, como bloquear o proteger las descargas de los usuarios.Select Control file download (with DLP) if you want to monitor user activities and take additional actions, such as block or protect downloads for users.

    3. Seleccione Bloquear actividades para bloquear actividades específicas que se pueden seleccionar con el filtro Tipo de actividad.Select Block activities to block specific activities which you can select using the Activity type filter. Todas las actividades de las aplicaciones seleccionadas se supervisarán (y notificarán en el registro de actividad).All activities from selected apps will be monitored (and reported in the Activity log). Las actividades específicas que seleccione se bloquearán si selecciona la acción Bloquear y las actividades específicas que seleccione generarán alertas si selecciona la acción Probar y hay alertas activadas.The specific activities you select will be blocked if you select the Block action, and the specific activities you selected will raise alerts on if you select the Test action and have alerts turned on.

  5. En la sección Actividades que coinciden con todo lo siguiente de Origen de la actividad, seleccione más filtros de actividad para aplicarlos a la directiva.Under Activity source in the Activities matching all of the following section, select additional activity filters to apply to the policy. Las opciones son las siguientes:These can include the following options:

    • Etiqueta de dispositivo: use este filtro para identificar los dispositivos no administrados.Device tags: Use this filter to identify unmanaged devices.

    • Ubicación: use este filtro para identificar las ubicaciones desconocidas (por tanto, que entrañan riesgo).Location: Use this filter to identify unknown (and therefore risky) locations.

    • Dirección IP: use este filtro para filtrar por direcciones IP o usar las etiquetas de dirección IP previamente asignadas.IP address: Use this filter to filter per IP addresses or use previously assigned IP address tags.

    • Etiqueta de agente de usuario: use este filtro para habilitar la heurística que permite identificar las aplicaciones de escritorio y móviles.User agent tag: Use this filter to enable the heuristic to identify mobile and desktop apps. Este filtro se puede establecer como igual o no igual a Cliente nativo, y conviene comprobarlo con las aplicaciones de escritorio y móviles de cada aplicación en la nube.This filter can be set to equals or does not equal Native client and should be tested against your mobile and desktop apps for each cloud app.

      Nota

      Las directivas de sesión no admiten aplicaciones de escritorio ni móviles.Session policies don’t support mobile and desktop apps. Las aplicaciones móviles y de escritorio también pueden bloquearse o permitirse con la creación de una directiva de acceso.Mobile apps and desktop apps can also be blocked or allowed by creating an access policy.

  6. Si ha seleccionado la opción Controlar la descarga de archivos (con DLP):If you selected the option to Control file download (with DLP):

    1. En la sección Archivos que coinciden con todo lo siguiente de Origen de la actividad, seleccione más filtros de archivo para aplicarlos a la directiva.Under Activity source in the Files matching all of the following section, select additional file filters to apply to the policy. Las opciones son las siguientes:These can include the following options:

      • Etiqueta de clasificación: use este filtro si la organización usa Azure Information Protection y los datos están protegidos con etiquetas de clasificación.Classification label - Use this filter if your organization uses Azure Information Protection, and your data has been protected by its Classification labels. Si es así, aquí podrá filtrar los archivos por la etiqueta de clasificación que tengan aplicada.Here you will then be able to filter files based on the Classification label you applied to them. Para más información sobre la integración entre Cloud App Security y Azure Information Protection, vea Integración de Azure Information Protection.For more information about integration between Cloud App Security and Azure Information Protection, see Azure Information Protection integration.

      • Nombre de archivo: use este filtro para aplicar la directiva a archivos concretos.File name - Use this filter to apply the policy to specific files.

      • Tipo de archivo: use este filtro para aplicar la directiva a tipos de archivo concretos, por ejemplo, para bloquear la descarga de cualquier archivo .xls.File type - Use this filter to apply the policy to specific file types, for example, block download for all .xls files.

    2. En la sección Inspección de contenido, establezca si quiere permitir que el motor DLP examine documentos y el contenido de los archivos.In the Content inspection section, set whether you want to enable the DLP engine to scan documents and file content.

    3. En Acciones, seleccione una de las siguientes opciones:Under Actions, select one of the following:

      • Test (Monitor all activities) (Probar [supervisar todas las actividades]): establezca esta acción para permitir expresamente las descargas según los filtros de directiva que haya establecido.Test (Monitor all activities): Set this action to explicitly allow download according to the policy filters you set.

      • Block (Block file download and monitor all activities) (Bloquear [bloquear descargas de archivos y supervisar todas las actividades]): establezca esta acción para bloquear expresamente las descargas según los filtros de directiva que haya establecido.Block (Block file download and monitor all activities): Set this action to explicitly block download according to the policy filters you set. Para más información, vea Cómo funciona el bloqueo de descargas.For more information, see How block download works.

      • Protect (Apply classification label to download and monitor all activities) (Proteger [aplicar etiqueta de clasificación para descargar y supervisar todas las actividades]): solo está disponible si seleccionó Controlar la descarga de archivos (con DLP) en Directiva de sesión.Protect (Apply classification label to download and monitor all activities): This is only available if you selected Control file download (with DLP) under Session policy. Si la organización usa Azure Information Protection, puede establecer una acción que aplique al archivo una etiqueta de clasificación establecida en Azure Information Protection.If your organization uses Azure Information Protection, you can set an Action to apply a classification label set in Azure Information Protection to the file. Para más información, vea Cómo funciona la protección de descargas.For more information, see How protect download works.

  7. Puede crear una alerta para cada evento que coincida con la gravedad de directiva, establecer un límite de alerta y seleccionar si quiere que la alerta llegue como un correo electrónico, como un mensaje de texto o ambas.You can Create an alert for each matching event with the policy's severity and set an alert limit and select whether you want the alert as an email, a text message or both.

Supervisión de todas las actividades Monitor all activities

Cuando se crea una directiva de sesión, cada sesión de usuario que coincida con la directiva se redirige al control de sesión, y no directamente a la aplicación.When you create a session policy, each user session that matches the policy is redirected to session control rather than to the app directly. El usuario verá una notificación de supervisión que le avisa de que sus sesiones se están supervisando.The user will see a monitoring notice to let them know that their sessions are being monitored.

Si prefiere no avisar al usuario de que se le está supervisando, puede deshabilitar el mensaje de notificación.If you do not want to notify the user that they are being monitored, you can disable the notification message.

  1. En el engranaje Configuración, seleccione Configuración general.Under the settings cog, select General settings.

  2. Después, en Control de aplicación de acceso condicional, active Supervisión de usuarios y desactive la casilla Notificar a los usuarios.Then, under Conditional Access App Control select User monitoring and unselect the Notify users checkbox.

Para mantener al usuario dentro de la sesión, el control de aplicaciones de acceso condicional reemplaza todas las direcciones URL, scripts de Java y cookies pertinentes de la sesión de aplicación por direcciones URL de Microsoft Cloud App Security.To keep the user within the session, Conditional Access App Control replaces all the relevant URLs, Java scripts, and cookies within the app session with Microsoft Cloud App Security URLs. Por ejemplo, si la aplicación devuelve una página con vínculos cuyos dominios terminan en myapp.com, el control de aplicaciones de acceso condicional reemplazará esos vínculos por dominios que acaben en algo parecido a myapp.com.us.cas.ms.For example: if the app returns a page with links whose domains ends with myapp.com, Conditional Access App Control replaces the links with domains ending with something like: myapp.com.us.cas.ms. De esta forma, la sesión completa se supervisa por medio de Microsoft Cloud App Security.This way the entire session is monitored by Microsoft Cloud App Security.

El control de aplicaciones de acceso condicional crea registros de tráfico de cada sesión de usuario que pasa a través de él.Conditional Access App Control records the traffic logs of every user session that is routed through it. Los registros de tráfico reflejan la hora, la dirección IP, los agentes de usuario, las direcciones URL visitadas y el número de bytes cargados y descargados.The traffic logs include the time, IP, user agent, URLs visited, and the number of bytes uploaded and downloaded. Estos registros se analizan, mientras que un informe constantemente activo denominado Cloud App Security Conditional Access App Control (Control de aplicaciones de acceso condicional de Cloud App Security) se agrega a la lista de informes de Cloud Discovery en el panel de Cloud Discovery.These logs are analyzed and a continuous report called Cloud App Security Conditional Access App Control is added to the list of Cloud Discovery reports in the Cloud Discovery dashboard.

Para exportar estos registros, haga lo siguiente:To export these logs:

  1. Vaya al engranaje Configuración y haga clic en Conditional Access App Control (Control de aplicaciones de acceso condicional).Go to the settings cog and click Conditional Access App Control.
  2. En el lado derecho de la tabla, haga clic en el botón de exportación.On the right side of the table, click the export button Botón de exportación..
  3. Seleccione el intervalo del informe y haga clic en Exportar.Select the range of the report and click Export. Este proceso puede tardar en completarse.This process may take some time.

Para descargar el registro exportado:To download the exported log:

  1. Cuando el informe esté listo, vaya a Investigar y, luego, a Informes personalizados.After the report is ready, go to Investigate and then Custom reports.
  2. En la tabla, seleccione el informe que proceda en la lista de registros de tráfico del control de aplicaciones de acceso condicional y haga clic en el botón de descarga.In the table, select the relevant report from the list of Conditional Access App Control traffic logs and click download download button.

Bloqueo de todas las descargasBlock all downloads

Cuando Bloquear es la Acción establecida que quiere realizar en la directiva de sesión de Cloud App Security, el control de aplicaciones de acceso condicional impedirá al usuario descargar un archivo de acuerdo con los filtros de archivos de la directiva.When Block is set as the Action you want to take in the Cloud App Security session policy, Conditional Access App Control prevents a user from downloading a file in accordance with the policy’s file filters. Microsoft Cloud App Security identifica un evento de descarga de cada aplicación SAML y, cuando un usuario inicia este evento, el control de aplicaciones de acceso condicional interviene en tiempo real para evitar que se ejecute.A download event is recognized by Microsoft Cloud App Security for each SAML app and when a user initiates this event, Conditional Access App Control intervenes in real time to prevent it from running. Cuando se recibe la señal de que un usuario ha iniciado una descarga, el control de aplicaciones de acceso condicional devuelve al usuario un mensaje que indica que la descarga está restringida, y reemplaza el archivo descargado por un archivo de texto que contiene un mensaje personalizable para el usuario, que se puede configurar en la directiva de sesión.When the signal is received that a user has initiated a download, Conditional Access App Control returns a Download restricted message to the user and replaces the downloaded file with a text file that contains a customizable message to the user, which can be configured from the session policy.

Bloqueo de actividades específicasBlock specific activities

Cuando Bloquear actividades se establece como Tipo de actividad, pueden seleccionarse determinadas actividades para bloquear aplicaciones específicas.When Block activities is set as the Activity type, you can select specific activities to block in specific apps. Todas las actividades de las aplicaciones seleccionadas se supervisarán (y notificarán en el registro de actividad) y las actividades específicas que seleccione se bloquearán si selecciona la acción Bloquear. Además, las actividades específicas que seleccione generarán alertas si selecciona la acción Probar y hay alertas activadas.All activities from selected apps will be monitored (and reported in the Activity log) and the specific activities you select will be blocked if you select the Block action, and the specific activities you selected will raise alerts on if you select the Test action and have alerts turned on.

Además, puede crear un modo completo de solo lectura para la organización si aplica el filtro Block specific activities (Bloquear actividades específicas) a grupos específicos de la organización.In addition, you can create a comprehensive read-only mode for your organization by using the Block specific activities filter and applying it to specific groups in your organization.

Protección de archivos en la descargaProtect files on download

Seleccione Bloquear actividades para bloquear actividades específicas que se pueden seleccionar con el filtro Tipo de actividad.Select Block activities to block specific activities which you can select using the Activity type filter. Todas las actividades de las aplicaciones seleccionadas se supervisarán (y notificarán en el registro de actividad).All activities from selected apps will be monitored (and reported in the Activity log). Las actividades específicas que seleccione se bloquearán si selecciona la acción Bloquear y las actividades específicas que seleccione generarán alertas si selecciona la acción Probar y hay alertas activadas.The specific activities you select will be blocked if you select the Block action, and the specific activities you selected will raise alerts on if you select the Test action and have alerts turned on. Cuando Proteger es la Acción establecida que va a realizarse en la directiva de sesión de Cloud App Security, el control de aplicaciones de acceso condicional exige que el archivo se etiquete y proteja de acuerdo con los filtros de archivos de la directiva.When Protect is set as the Action to be taken in the Cloud App Security session policy, Conditional Access App Control enforces the labeling and subsequent protection of a file in accordance with the policy’s file filters. Las etiquetas se configuran en la consola de Azure Information Protection en Azure, y Proteger debe estar seleccionado en la etiqueta para que dicha etiqueta aparezca como una opción en la directiva de Cloud App Security.Labels are configured in the Azure Information Protection console in Azure and Protect must be selected within the label for the label to appear as an option in the Cloud App Security policy. Cuando se selecciona una etiqueta y se descarga un archivo que cumple los criterios de la directiva de Cloud App Security, tanto la etiqueta como la protección correspondiente (con permisos) se aplican al archivo de descarga.When a label is selected, and a file is downloaded that meets the criteria of the Cloud App Security policy, the label, and corresponding protection (with permissions) is applied to the file upon download. El archivo original permanece tal cual en la aplicación en la nube, mientras que el archivo descargado ahora está protegido.The original file remains as-is in the cloud app while the downloaded file is now protected. Los usuarios que traten de tener acceso al archivo deben cumplir los requisitos de permiso establecidos por la protección aplicada.Users who attempt to access the file must meet the permission requirements determined by the protection applied.

« ANTERIOR: Implementación del control de aplicaciones de acceso condicional« PREVIOUS: Deploy Conditional Access App Control
SIGUIENTE: Cómo crear una directiva de acceso »NEXT: How to create an access policy »

Consulte tambiénSee Also

Bloqueo de descargas en dispositivos no administrados con las funciones de control de aplicaciones de acceso condicional de Azure ADBlocking downloads on unmanaged devices using Azure AD Conditional Access App Control capabilities

Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.