Implementación del control de aplicaciones de acceso condicional para aplicaciones del catálogo con IdP que no sean de Microsoft

  • Artículo

Los controles de acceso y sesión de Microsoft Defender for Cloud Apps funcionan con aplicaciones del catálogo de aplicaciones en la nube y con aplicaciones personalizadas. Para obtener una lista de las aplicaciones preinstaladas por Defender for Cloud Apps para que funcionen de forma predeterminada, consulte Protección de aplicaciones con el control de aplicaciones de acceso condicional de Defender for Cloud Apps.

Requisitos previos

  • La organización debe tener las siguientes licencias para usar el control de aplicaciones de acceso condicional:

    • La licencia requerida por la solución del proveedor de identidades (IdP)
    • Microsoft Defender for Cloud Apps

  • Las aplicaciones deben configurarse con el inicio de sesión único

  • Las aplicaciones deben usar uno de los siguientes protocolos de autenticación:

    IdP Protocolos
    Microsoft Entra ID SAML 2.0 o OpenID Connect
    Otros SAML 2.0

Configure el IdP para que funcione con Defender for Cloud Apps

Siga estos pasos para enrutar las sesiones de aplicaciones desde otras soluciones de IdP a Defender for Cloud Apps. Para Microsoft Entra ID, consulte Configuración de la integración con Microsoft Entra ID.

Nota:

Para obtener ejemplos de cómo configurar soluciones de IdP, consulte:

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.

  3. Seleccione + Agregar y, en el menú emergente, seleccione la aplicación que desea implementar y, a continuación, seleccione Iniciar el asistente.

  4. En la página INFORMACIÓN DE LA APLICACIÓN, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, seleccione Siguiente.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos.

    • O bien, seleccione Rellenar datos manualmente y proporcione la siguiente información:

      • URL del Servicio de consumidor de aserciones.
      • Si la aplicación proporciona un certificado SAML, seleccione Usar <app_name> certificado SAML y cargue el archivo de certificado.

    Por ejemplo:

    Captura de pantalla que muestra el área INFORMACIÓN DE LA APLICACIÓN del cuadro de diálogo Agregar una aplicación SAML con el proveedor de identidades.

  5. En la página PROVEEDOR DE IDENTIDADES, siga los pasos proporcionados para configurar una nueva aplicación en el portal del IdP y, a continuación, seleccione Siguiente.

  6. Vaya al portal de su IdP y cree una nueva aplicación SAML personalizada.

  7. Copie la configuración de inicio de sesión único de la aplicación existente de <app_name> a la nueva aplicación personalizada.

  8. Asigne usuarios a la nueva aplicación personalizada.

  9. Copie la información de configuración de inicio de sesión único de las aplicaciones. Lo necesitará para el paso siguiente. Por ejemplo:

    Captura de pantalla que muestra el área de configuración Proveedor de identidades/Externo del cuadro de diálogo Agregar una aplicación SAML con el proveedor de identidades.

    Nota:

    Estos pasos pueden diferir ligeramente en función del proveedor de identidad. Este paso se recomienda por los siguientes motivos:

    • Algunos proveedores de identidades no permiten cambiar los atributos SAML ni las propiedades de dirección URL de una aplicación de galería.

    • La configuración de una aplicación personalizada le permite probar esta aplicación con controles de acceso y sesión sin cambiar el comportamiento existente de la organización.

  10. En la página siguiente, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, seleccione Siguiente.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Cargar archivo de metadatos desde la aplicación y cargue el archivo de metadatos.

    • O bien, seleccione Rellenar datos manualmente y proporcione la siguiente información:

      • URL del Servicio de consumidor de aserciones.
      • Si la aplicación proporciona un certificado SAML, seleccione Usar <app_name> certificado SAML y cargue el archivo de certificado.

    Por ejemplo:

    Captura de pantalla que muestra el área Proveedor de identidades/Rellenar datos manualmente del cuadro de diálogo Agregar una aplicación SAML con el proveedor de identidades.

  11. En la página siguiente, copie la siguiente información y, a continuación, seleccione Siguiente. Necesitará la información en el siguiente paso.

    • URL de inicio de sesión único
    • Atributos y valores

    Por ejemplo:

    Captura de pantalla que muestra el área Proveedor de identidades del cuadro de diálogo Agregar una aplicación SAML con el proveedor de identidades, con los detalles de ejemplo especificados.

  12. En el portal de IdP, configure las siguientes opciones, que se encuentran normalmente en la página de configuración de la aplicación personalizada del portal de IdP.

    1. En el campo Dirección URL de inicio de sesión único, escriba la dirección URL de inicio de sesión único que anotó anteriormente.

    2. Agregue los atributos y valores que anotó anteriormente en las propiedades de la aplicación. Algunos proveedores pueden hacer referencia a ellos como atributos de usuario o notificaciones.

      Al crear una nueva aplicación SAML, el proveedor de identidades de Okta limita los atributos a 1024 caracteres. Para mitigar esta limitación, cree primero la aplicación sin los atributos pertinentes. Después de crear la aplicación, edítelo y agregue los atributos pertinentes.

    3. Asegúrese de que el identificador de nombre tenga un formato de dirección de correo electrónico

    4. Guarde la configuración.

  13. En la página CAMBIOS DE APLICACIÓN, haga lo siguiente y seleccione Siguiente. Necesitará la información en el siguiente paso.

    • Copie la Dirección URL del servicio de inicio de sesión único.
    • Descarga del certificado SAML de Defender for Cloud Apps

    Por ejemplo:

    Captura de pantalla que muestra el área Cambios de la aplicación del cuadro de diálogo Agregar una aplicación SAML con el proveedor de identidades.

  14. En el portal de su aplicación, en la configuración del inicio de sesión único, haga lo siguiente:

    1. (Recomendado) Cree una copia de seguridad de su configuración actual.

    2. Sustituya el valor del campo Dirección URL de inicio de sesión del proveedor de identidad por la dirección URL de inicio de sesión único SAML de Defender for Cloud Apps que anotó anteriormente.

    3. Cargue el certificado SAML de Defender for Cloud Apps que descargó anteriormente.

    4. Seleccione Guardar.

Después de guardar la configuración, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través del control de aplicaciones de acceso condicional.

El certificado SAML de Defender for Cloud Apps es válido durante un año. Una vez expirado, deberá generarse un nuevo certificado.

Inicio de sesión en cada aplicación con un usuario cubierto por la directiva

Nota:

Antes de continuar, asegúrese de cerrar antes cualquier sesión existente.

Después de crear la directiva, inicie sesión en cada aplicación configurada en esa directiva. Asegúrese de que inicia sesión con un usuario configurado en la directiva.

Defender for Cloud Apps sincronizará los detalles de su directiva con sus servidores para cada nueva aplicación en la que inicie sesión. Este proceso puede tardar hasta un minuto.

Verificación de que las aplicaciones están configuradas para usar controles de acceso y de sesión

Las instrucciones anteriores le ayudaron a crear una directiva integrada de Defender for Cloud Apps para aplicaciones de catálogo directamente en Microsoft Entra ID. En este paso, compruebe que están configurados los controles de sesión y de acceso para estas aplicaciones.

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.

  3. En la tabla de aplicaciones, fíjese en la columna Controles disponibles y confirme que figuren en ella Control de acceso, Acceso condicional de Azure AD y Control de sesión.

    Si la aplicación no está habilitada para el control de sesión, agréguela seleccionando Incorporar con control de sesión y marcando Usar esta aplicación con controles de sesión. Por ejemplo:

    Captura de pantalla del vínculo Incorporar con control de sesión.

Habilitación de la aplicación para usarla en la organización

Una vez que esté listo para habilitar la aplicación para su uso en el entorno de producción de la organización, siga estos pasos.

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.

  2. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, seleccione los tres puntos al final de la fila y seleccione Editar aplicación.

  3. Seleccione Habilitar la aplicación para que funcione en controles de sesión y, a continuación, seleccione Guardar. Por ejemplo:

    Captura de pantalla del cuadro de diálogo Editar esta aplicación.

pruebe la implementación.

  1. Primero, cierre cualquier sesión existente. Después, intente iniciar sesión en cada aplicación que se ha implementado correctamente. Inicie sesión con un usuario que coincida con la directiva configurada en Microsoft Entra ID o para una aplicación SAML configurada con el proveedor de identidades.

  2. En el portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Registro de actividad y asegúrese de que se capturan las actividades de inicio de sesión de cada aplicación.

  3. Puede filtrar seleccionando Avanzado y, luego, mediante la opción Origen es igual a Acceso condicional. Por ejemplo:

    Captura de pantalla del filtrado con el acceso condicional de Microsoft Entra.

  4. Se recomienda que inicie sesión en aplicaciones de escritorio y móviles desde dispositivos administrados y no administrados. Esto es para asegurarse de que las actividades se capturan correctamente en el registro de actividad.

Para confirmar que la actividad se captura correctamente, seleccione un registro de inicio de sesión único en la actividad para abrir el cajón de actividad. Asegúrese de que la propiedad Etiqueta de agente de usuario refleja correctamente si el dispositivo es un cliente nativo (es decir, un aplicación de escritorio o móvil) o si es un dispositivo administrado (Compatible, Unido a dominio o Certificado de cliente válido).

Nota:

Después de implementarse, no se puede quitar una aplicación de la página Control de aplicaciones de acceso condicional. Mientras no establezca una directiva de sesión o acceso en la aplicación, el control de aplicaciones de acceso condicional no cambiará el comportamiento de la aplicación.

Pasos siguientes

«ANTERIOR: Introducción al control de aplicaciones de acceso condicional

SIGUIENTE: Implementación del control de aplicaciones de acceso condicional para cualquier aplicación»

Solución de problemas de acceso y controles de sesión

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.