Acceso condicional basado en aplicación con IntuneApp-based Conditional Access with Intune

Las directivas de protección de aplicaciones de Intune ayudan a proteger los datos de la empresa en dispositivos inscritos en Intune.Intune app protection policies help protect your company data on devices that are enrolled into Intune. También puede usar directivas de protección de aplicaciones en dispositivos que poseen los empleados que no están inscritos para administración en Intune.You can also use app protection policies on employee owned devices that are not enrolled for management in Intune. En este caso, aunque la empresa no administre el dispositivo, deberá asegurarse de que los datos y los recursos de la empresa están protegidos.In this case, even though your company doesn't manage the device, you still need to make sure that company data and resources are protected.

El acceso condicional basado en la aplicación y la administración de aplicaciones cliente agregan una capa de seguridad al garantizar que solo las aplicaciones cliente que admiten las directivas de protección de aplicaciones de Intune pueden acceder a Exchange Online y a otros servicios de Microsoft 365.App-based Conditional Access and client app management add a security layer by making sure only client apps that support Intune app protection policies can access Exchange online and other Microsoft 365 services.

Nota

Una aplicación administrada es aquella que tiene las directivas de protección de aplicaciones aplicadas y puede administrarse mediante Intune.A managed app is an app that has app protection policies applied to it, and can be managed by Intune.

Puede bloquear las aplicaciones de correo electrónico integradas en iOS/iPadOS y Android cuando solo permita a la aplicación Microsoft Outlook acceder a Exchange Online.You can block the built-in mail apps on iOS/iPadOS and Android when you allow only the Microsoft Outlook app to access Exchange Online. Además, puede bloquear las aplicaciones que no tienen directivas de protección de aplicaciones de Intune aplicadas para que no puedan acceder a SharePoint Online.Additionally, you can block apps that don't have Intune app protection policies applied from accessing SharePoint Online.

Requisitos previosPrerequisites

Antes de crear una directiva de acceso condicional basado en la aplicación, debe tener:Before you create an app-based Conditional Access policy, you must have:

  • Enterprise Mobility + Security (EMS) o una suscripción Premium de Azure Active Directory (AD)Enterprise Mobility + Security (EMS) or an Azure Active Directory (AD) Premium subscription
  • Licencia para EMS o Azure AD por parte de los usuariosUsers must be licensed for EMS or Azure AD

Para obtener más información, consulte los precios de Enterprise Mobility o los precios de Azure Active Directory.For more information, see Enterprise Mobility pricing or Azure Active Directory pricing.

Aplicaciones compatiblesSupported apps

Puede encontrar una lista de las aplicaciones que admiten el acceso condicional basado en la aplicación en la Documentación de referencia técnica sobre el acceso condicional de Azure Active Directory.A list of apps that support app-based Conditional Access can be found in the Azure Active Directory Conditional Access technical reference documentation.

El acceso condicional basado en la aplicación también admite aplicaciones de línea de negocio (LOB), pero dichas aplicaciones deben usar la autenticación moderna de Microsoft 365.App-based Conditional Access also supports line-of-business (LOB) apps, but these apps need to use Microsoft 365 modern authentication.

Funcionamiento del acceso condicional basado en aplicaciónHow app-based Conditional Access works

En este ejemplo, el administrador ha aplicado directivas de protección de aplicaciones a la aplicación Outlook, seguidas de una regla de acceso condicional que agrega la aplicación Outlook a una lista aprobada de aplicaciones que pueden usarse al obtener acceso al correo electrónico corporativo.In this example, the admin has applied app protection policies to the Outlook app followed by a Conditional Access rule that adds the Outlook app to an approved list of apps that can be used when accessing corporate e-mail.

Nota

El siguiente diagrama de flujo se puede usar con otras aplicaciones administradas.The following flowchart can be used for other managed apps.

Proceso del acceso condicional basado en la aplicación ilustrado en un gráfico de flujo

  1. El usuario intenta autenticarse en Azure AD desde la aplicación Outlook.The user tries to authenticate to Azure AD from the Outlook app.

  2. Al usuario se le redirige a la tienda de aplicaciones para instalar una aplicación de agente al intentar autenticarse por primera vez.The user gets redirected to the app store to install a broker app when trying to authenticate for the first time. La aplicación de agente puede ser Microsoft Authenticator para iOS o el Portal de empresa de Microsoft para dispositivos Android.The broker app can be either the Microsoft Authenticator for iOS, or the Microsoft Company portal for Android devices.

    Si los usuarios intentan usar una aplicación nativa de correo electrónico, se les redirige a la tienda de aplicaciones para instalar la aplicación Outlook.If users try to use a native e-mail app, they'll be redirected to the app store to then install the Outlook app.

  3. La aplicación de agente se instala en el dispositivo.The broker app gets installed on the device.

  4. La aplicación de agente inicia el proceso de registro de Azure AD que crea un registro de dispositivo en Azure AD.The broker app starts the Azure AD registration process, which creates a device record in Azure AD. No se trata del mismo proceso que para la inscripción de administración de dispositivos móviles (MDM), pero este registro resulta necesario para que las directivas de acceso condicional se puedan aplicar en el dispositivo.This isn't the same as the mobile device management (MDM) enrollment process, but this record is necessary so the Conditional Access policies can be enforced on the device.

  5. La aplicación de agente verifica la identidad de la aplicación.The broker app verifies the identity of the app. Hay un nivel de seguridad para que la aplicación de agente pueda validar si la aplicación está autorizada para que el usuario la utilice.There's a security layer so the broker app can validate if the app is authorized for use by the user.

  6. La aplicación de agente envía el identificador de cliente de la aplicación a Azure AD como parte del proceso de autenticación de usuario para comprobar si se encuentra en la lista aprobada de directivas.The broker app sends the App Client ID to Azure AD as part of the user authentication process to check if it's in the policy approved list.

  7. Azure AD permite al usuario autenticarse y usar la aplicación en función de la lista aprobada de directivas.Azure AD allows the user to authenticate and use the app based on the policy approved list. Si la aplicación no se encuentra en la lista, Azure AD deniega el acceso a la aplicación.If the app isn't on the list, Azure AD denies access to the app.

  8. La aplicación Outlook se comunica con el servicio en la nube de Outlook para iniciar la comunicación con Exchange Online.The Outlook app communicates with Outlook Cloud Service to initiate communication with Exchange Online.

  9. El servicio en la nube de Outlook se comunica con Azure AD para recuperar el token de acceso al servicio Exchange Online para el usuario.Outlook Cloud Service communicates with Azure AD to retrieve Exchange Online service access token for the user.

  10. La aplicación Outlook se comunica con Exchange Online para recuperar el correo electrónico corporativo del usuario.The Outlook app communicates with Exchange Online to retrieve the user's corporate e-mail.

  11. El correo electrónico corporativo se entrega en el buzón de correo del usuario.Corporate e-mail is delivered to the user's mailbox.

Pasos siguientesNext steps

Creación de una directiva de acceso condicional basado en la aplicaciónCreate an app-based Conditional Access policy

Bloqueo de aplicaciones que no usan la autenticación modernaBlock apps that do not have modern authentication