Implementación del Control de aplicaciones de acceso condicional para aplicaciones destacadas

Nota

Hemos cambiado el nombre Microsoft Cloud App Security. Ahora se denomina Microsoft Defender para Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, vea este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog de Seguridad de Microsoft Ignite.

Los controles de sesión de Microsoft Defender para Cloud Apps funcionan con las aplicaciones destacados. Para obtener una lista de las aplicaciones que defender para Aplicaciones en la nube ofrece para que funcionen de forma personalizada, consulte Protección de aplicaciones con Defender para Aplicaciones en la nube Control de aplicaciones de acceso condicional.

Prerrequisitos

  • Su organización debe tener las siguientes licencias para usar Control de aplicaciones de acceso condicional:

  • Las aplicaciones deben configurarse con inicio de sesión único

  • Las aplicaciones deben usar uno de los siguientes protocolos de autenticación:

    IdP Protocolos
    Azure AD SAML 2.0 u OpenID Connect
    Otros SAML 2.0

Siga estos pasos para configurar aplicaciones destacados para que las controle Microsoft Defender para Cloud Apps Control de aplicaciones de acceso condicional.

Paso 1: Configurar el IdP para que funcione con Defender para Cloud Apps

Paso 2: Iniciar sesión en cada aplicación con un usuario con ámbito en la directiva

Paso 3: Comprobación de que las aplicaciones están configuradas para usar controles de acceso y sesión

Paso 4: Habilitación de la aplicación para su uso en la organización

Paso 5: Probar la implementación

Paso 1: Configurar el IdP para que funcione con Defender para Cloud Apps

Configuración de la integración con Azure AD

Nota

Al configurar una aplicación con SSO en Azure AD u otros proveedores de identidades, un campo que puede aparecer como opcional es la configuración de la dirección URL de inicio de sesión. Tenga en cuenta que este campo puede ser necesario para que Control de aplicaciones de acceso condicional funcione.

Siga estos pasos para crear una directiva de Azure AD acceso condicional que enruta las sesiones de aplicación a Defender para Cloud Apps. Para otras soluciones de IdP, consulte Configuración de la integración con otras soluciones de IdP.

  1. En Azure AD, vaya a Acceso condicionalde seguridad.

  2. En el panel Acceso condicional, en la barra de herramientas de la parte superior, seleccione Nueva directiva.

  3. En el panel Nuevo, en el cuadro de texto Nombre, escriba el nombre de la directiva.

  4. En Asignaciones,seleccione Usuariosy grupos, asigne a los usuarios que incorporarán (inicio de sesión inicial y comprobación) la aplicación y, a continuación, seleccione Listo.

  5. En Asignaciones,seleccione Aplicaciones en lanube, asigne las aplicaciones que desea controlar con Control de aplicaciones de acceso condicional y, a continuación, seleccione Listo.

  6. En Controles de acceso, seleccione Sesión, seleccione Usar Control de aplicaciones de acceso condicional y elija una directiva integrada (Solo supervisión (versión preliminar) o Bloquear descargas (versión preliminar)o Usar directiva personalizada para establecer una directiva avanzada en Defender para Cloud Apps y, acontinuación, seleccione Seleccionar.

    Azure AD acceso condicional.

  7. Opcionalmente, agregue condiciones y conceda controles según sea necesario.

  8. Establezca Habilitar directiva enActivar y, a continuación, seleccione Crear.

Configuración de la integración con otras soluciones de IdP

Siga estos pasos para enrutar sesiones de aplicaciones de otras soluciones de IdP a Defender para Cloud Apps. Para Azure AD, consulte Configuración de la integración con Azure AD.

Nota

Para obtener ejemplos de cómo configurar soluciones de IdP, consulte:

  1. En Defender para Aplicaciones en la nube, vaya a Investigaraplicaciones conectadasControl de aplicaciones de acceso condicional aplicaciones.

  2. Seleccione el signo más ( ) y, en el menú emergente, seleccione la aplicación que desea implementar y, a + continuación, seleccione Asistente para +

  3. En la página INFORMACIÓN DE LA APLICACIÓN, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, seleccione Siguiente.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Upload archivo de metadatos de la aplicación y cargue el archivo de metadatos.
    • O bien, seleccione Rellenar datos manualmente y proporcione la siguiente información:
      • Url del servicio de consumidor de aserciones
      • Si la aplicación proporciona un certificado SAML, seleccione Usar app_name certificado > SAML y cargue el archivo de certificado.

    Captura de pantalla que muestra la página de información de la aplicación.

  4. En la página PROVEEDOR DE IDENTIDADes, siga los pasos proporcionados para configurar una nueva aplicación en el portal del IdP y, a continuación, seleccione Siguiente.

    1. Vaya al portal del IdP y cree una nueva aplicación SAML personalizada.
    2. Copie la configuración de inicio de sesión único de la aplicación <app_name> existente en la nueva aplicación personalizada.
    3. Asigne usuarios a la nueva aplicación personalizada.
    4. Copie la información de configuración de inicio de sesión único de las aplicaciones. Lo necesitará para el paso siguiente.

    Captura de pantalla que muestra la página de recopilación de información del proveedor de identidades.

    Nota

    Estos pasos pueden diferir ligeramente en función del proveedor de identidades. Este paso se recomienda por los siguientes motivos:

    • Algunos proveedores de identidades no permiten cambiar los atributos de SAML o las propiedades de dirección URL de una aplicación de la galería.
    • La configuración de una aplicación personalizada le permite probar esta aplicación con controles de acceso y sesión sin cambiar el comportamiento existente de su organización.
  5. En la página siguiente, rellene el formulario con la información de la página de configuración de inicio de sesión único de la aplicación y, a continuación, seleccione Siguiente.

    • Si el IdP proporciona un archivo de metadatos de inicio de sesión único para la aplicación seleccionada, seleccione Upload archivo de metadatos de la aplicación y cargue el archivo de metadatos.
    • O bien, seleccione Rellenar datos manualmente y proporcione la siguiente información:
      • Url del servicio de consumidor de aserciones
      • Si la aplicación proporciona un certificado SAML, seleccione Usar app_name certificado > SAML y cargue el archivo de certificado.

    Captura de pantalla que muestra la página de información del proveedor de identidades.

  6. En la página siguiente, copie la siguiente información y, a continuación, seleccione Siguiente. Necesitará la información en el paso siguiente.

    • Dirección URL de inicio de sesión único
    • Atributos y valores

    Captura de pantalla que muestra la página de información de SAML de los proveedores de identidades de recopilación.

  7. En el portal del IdP, haga lo siguiente:

    Nota

    La configuración se encuentra normalmente en la página de configuración de la aplicación personalizada del portal de IdP.

    1. En el campo Dirección URL de inicio de sesión único, escriba la dirección URL de inicio de sesión único que anote anteriormente.

      Nota

      Algunos proveedores pueden hacer referencia a la dirección URL de inicio de sesión único como dirección URL de respuesta.

    2. Agregue los atributos y valores que anote anteriormente a las propiedades de la aplicación.

      Nota

      • Algunos proveedores pueden hacer referencia a ellos como atributos de usuario onotificaciones.
      • Al crear una nueva aplicación SAML, el proveedor de identidades de Okta limita los atributos a 1024 caracteres. Para mitigar esta limitación, cree primero la aplicación sin los atributos pertinentes. Después de crear la aplicación, edite y agregue los atributos pertinentes.
    3. Compruebe que el identificador de nombre tiene el formato de dirección de correo electrónico.
    4. Guarde la configuración.
  8. En la página CAMBIOS DE LA APLICACIÓN, haga lo siguiente y, a continuación, seleccione Siguiente. Necesitará la información en el paso siguiente.

    • Copia de la dirección URL de inicio de sesión único
    • Descarga del certificado SAML de Defender para Cloud Apps

    Captura de pantalla que muestra la página recopilación de información de SAML de Defender para Cloud Apps.

  9. En el portal de la aplicación, en la configuración de inicio de sesión único, haga lo siguiente:

    1. [Recomendado] Cree una copia de seguridad de la configuración actual.
    2. Reemplace el valor del campo Identity Provider Login URL (Dirección URL de inicio de sesión del proveedor de identidades) por la dirección URL de inicio de sesión único de SAML de Defender for Cloud Apps que anotó anteriormente.
    3. Upload el certificado SAML de Defender para Cloud Apps que descargó anteriormente.
    4. Seleccione Guardar.

    Nota

    • Después de guardar la configuración, todas las solicitudes de inicio de sesión asociadas a esta aplicación se enrutarán a través Control de aplicaciones de acceso condicional.
    • El certificado SAML de Defender para Cloud Apps es válido durante un año. Una vez que expire, será necesario generar un nuevo certificado.

Paso 2: Iniciar sesión en cada aplicación con un usuario con ámbito en la directiva

Nota

Antes de continuar, asegúrese de cerrar sesión primero de las sesiones existentes.

Después de crear la directiva, inicie sesión en cada aplicación configurada en esa directiva. Asegúrese de que inicia sesión con un usuario configurado en la directiva.

Defender para Cloud Apps sincronizará los detalles de la directiva con sus servidores para cada nueva aplicación en la que inicie sesión. Este proceso puede tardar hasta un minuto.

Paso 3: Comprobación de que las aplicaciones están configuradas para usar controles de acceso y sesión

Las instrucciones anteriores le ayudaron a crear una directiva integrada de Defender para Cloud Apps para aplicaciones destacados directamente en Azure AD. En este paso, compruebe que los controles de acceso y sesión están configurados para estas aplicaciones.

  1. En el portal de Defender para Cloud Apps,seleccione el icono de configuración de engranaje.y, a continuación, seleccione Control de aplicaciones de acceso condicional.

  2. En la tabla Control de aplicaciones de acceso condicional aplicaciones, consulte la columna Controles disponibles y compruebe que tanto Control de acceso como Azure ADAcceso condicional y Control de sesión aparecen para las aplicaciones.

    Nota

    Si el control de sesión no aparece para una aplicación, aún no está disponible para esa aplicación específica. Puede agregarla inmediatamente como una aplicación personalizada opuede abrir una solicitud para agregarla como una aplicación destacado haciendo clic en Solicitar control de sesión.

    Solicitud de control de aplicaciones de acceso condicional.

Paso 4: Habilitación de la aplicación para su uso en su organización

Una vez que esté listo para habilitar la aplicación para su uso en el entorno de producción de su organización, siga estos pasos.

  1. En Defender para Cloud Apps, seleccione el icono de configuración de engranaje.y, a continuación, seleccione Control de aplicaciones de acceso condicional.

  2. En la lista de aplicaciones, en la fila en la que aparece la aplicación que va a implementar, elija los tres puntos al final de la fila y, a continuación, elija Editar aplicación.

  3. Seleccione Usar con Control de aplicaciones de acceso condicional y, a continuación, seleccione Guardar.

    Cuadro emergente Habilitar controles de sesión.

Paso 5: Probar la implementación

  1. Primero, cierre cualquier sesión existente. Después, intente iniciar sesión en cada aplicación que se ha implementado correctamente. Inicie sesión con un usuario que coincida con la directiva configurada en Azure AD o para una aplicación SAML configurada con el proveedor de identidades.

  2. En el portal de Defender para Cloud Apps,en Investigar,seleccione Registro de actividad y asegúrese de que las actividades de inicio de sesión se capturan para cada aplicación.

  3. Puede filtrar haciendo clic en Avanzadas y, luego, mediante la opción Origen es igual a Acceso condicional.

    Filtre mediante Azure AD condicional.

  4. Se recomienda que inicie sesión en aplicaciones de escritorio y móviles desde dispositivos administrados y no administrados. Esto es para asegurarse de que las actividades se capturan correctamente en el registro de actividad.
    Para comprobar que la actividad se captura correctamente, seleccione una actividad de inicio de sesión único para que abra el cajón de actividades. Asegúrese de que la propiedad Etiqueta de agente de usuario refleja correctamente si el dispositivo es un cliente nativo (es decir, un aplicación de escritorio o móvil) o si es un dispositivo administrado (Compatible, Unido a dominio o Certificado de cliente válido).

Nota

Después de implementarse, no se puede quitar una aplicación de la página Control de aplicaciones de acceso condicional. Mientras no establezca una sesión o una directiva de acceso en la aplicación, el Control de aplicaciones de acceso condicional no cambiará el comportamiento de la aplicación.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.