Usar acceso condicional con Microsoft Tunnel en Intune

Si el entorno de Microsoft Intune usa Azure Active Directory (AD) y el acceso condicional, puede usar las directivas de acceso condicional para canalizar el acceso del dispositivo a la puerta de enlace de VPN de Microsoft Tunnel.

Para admitir la integración del acceso condicional y Microsoft Tunnel, use PowerShell de Azure AD para habilitar que el inquilino admita Microsoft Tunnel. Después de habilitar el inquilino para que admita Microsoft Tunnel, puede crear directivas de acceso condicional que se apliquen a la aplicación Microsoft Tunnel.

Aprovisionamiento del inquilino

Para poder configurar las directivas de acceso condicional para el túnel, debe permitir que el inquilino admita Microsoft Tunnel para el acceso condicional. Use el módulo de PowerShell de Azure Active Directory y ejecute un script de PowerShell para modificar el inquilino y agregar la puerta de enlace de Microsoft Tunnel como aplicación en la nube. Después de agregar el túnel como una aplicación en la nube, puede seleccionarlo como parte de una directiva de acceso condicional.

  1. Descargue e instale el módulo de PowerShell de Azure AD.

  2. Descargue el script de PowerShell denominado mst-ca-provisioning.ps1 desde aka.ms/mst-ca-provisioning.

  3. Mediante el uso de credenciales que tengan permisos de rol de Azure equivalentes al de administrador de la aplicación, ejecute el script desde cualquier ubicación del entorno para aprovisionar el inquilino.

    El script modifica el inquilino mediante la creación de una entidad de servicio con los detalles siguientes:

    • Id. de aplicación: 3678c9e9-9681-447a-974d-d19f668fcd88
    • Nombre: Puerta de enlace de Microsoft Tunnel

    Es necesario agregar esta entidad de servicio para poder seleccionar la aplicación de túnel en la nube mientras se configuran las directivas de acceso condicional. También es posible usar Graph para agregar la información de la entidad de servicio al inquilino.

  4. Una vez que el script se complete, puede seguir el proceso normal para crear directivas de acceso condicional.

Acceso condicional para limitar el acceso a Microsoft Tunnel

Si va a usar una directiva de acceso condicional para limitar el acceso de los usuarios, se recomienda configurar esta directiva después de aprovisionar el inquilino para admitir la aplicación en la nube de puerta de enlace de Microsoft Tunnel, pero antes de instalar la puerta de enlace de Tunnel.

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager > Seguridad de los puntos de conexión > Acceso condicional > Nueva directiva.

  2. Especifique un nombre para esta directiva.

  3. Para configurar el acceso de usuarios y de grupos, debajo de Asignaciones, seleccione Usuarios y grupos.

    1. Seleccione Incluir > Todos los usuarios.
    2. Después, seleccione Excluir, configure los grupos a los que quiere conceder acceso y guarde la configuración de usuarios y de grupos.
  4. En Aplicaciones en la nube o acciones > Seleccionar aplicaciones, elija la aplicación de puerta de enlace de Microsoft Tunnel.

  5. Debajo de Controles de acceso, seleccione Conceder, seleccione Bloquear acceso y guarde la configuración.

  6. Establezca Habilitar directiva en On.

  7. Seleccione Crear.

Para obtener información sobre la creación de directivas de acceso condicional, consulte Creación de una directiva de acceso condicional basado en dispositivos.

Siguientes pasos

Supervisar Microsoft Tunnel