Protección de aplicaciones con Microsoft Defender para Cloud Apps Control de aplicaciones de acceso condicional

Nota

Hemos cambiado el nombre Microsoft Cloud App Security. Ahora se denomina Microsoft Defender para Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, vea este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog de Seguridad de Microsoft Ignite.

En el área de trabajo actual, a menudo no basta con saber lo que sucede en el entorno de nube después del hecho. Le interesa detener las infracciones de seguridad y las fugas en tiempo real, antes de que los empleados intencionadamente o por accidente pongan los datos y la organización en riesgo. Es importante permitir que los usuarios de su organización puedan sacar el máximo partido de los servicios y herramientas disponibles en las aplicaciones en la nube y permitirles que traigan sus propios dispositivos para que funcionen. Al mismo tiempo, se necesitan herramientas que permitan proteger la organización de fugas o robos de datos en tiempo real. Microsoft Defender para Cloud Apps se integra con cualquier proveedor de identidades (IdP) para ofrecer estas funcionalidades con controles de acceso y sesión. Si usa Azure Active Directory (Azure AD) como IdP, estos controles se integran y simplifican para una implementación más sencilla y personalizada creada en la herramienta de acceso condicional de Azure AD.

Nota

  • Además de una licencia válida de Defender para Cloud Apps, para usar Defender para Cloud Apps Control de aplicaciones de acceso condicional, también necesita una licencia P1de Azure Active Directory o la licencia requerida por la solución de IdP, así como una licencia de Defender para Cloud Apps.

Cómo funciona

Control de aplicaciones de acceso condicional usa una arquitectura de proxy inverso e se integra con el IdP. Al realizar la integración con el acceso condicional de Azure AD, puede configurar aplicaciones para que funcionen con Control de aplicaciones de acceso condicional con tan solo unos clics, lo que le permite aplicar controles de acceso y sesión de forma fácil y selectiva en las aplicaciones de la organización en función de cualquier condición del acceso condicional. Las condiciones definen quién (usuario o grupo de usuarios) y qué (qué aplicaciones en la nube) y dónde (qué ubicaciones y redes) se aplica una directiva de acceso condicional. Después de determinar las condiciones, puede enrutar a los usuarios a Defender para Cloud Apps, donde puede proteger los datos con Control de aplicaciones de acceso condicional mediante la aplicación de controles de acceso y sesión.

Control de aplicaciones de acceso condicional permite supervisar y controlar las sesiones y el acceso a las aplicaciones de usuario en tiempo real, en función de las directivas de acceso y de sesión. Las directivas de acceso y de sesión se usan en el portal Defender for Cloud Apps para refinar los filtros y establecer las acciones que deben realizarse en un usuario. Con las directivas de acceso y de sesión, puede:

  • Evitar la filtración dedatos: puede bloquear la descarga, el corte, la copia y la impresión de documentos confidenciales en, por ejemplo, dispositivos no administrados.

  • Requerir contexto deautenticación: puede volver a evaluar Azure AD de acceso condicional cuando se produce una acción confidencial en la sesión. Por ejemplo, requerir autenticación multifactor al descargar un archivo extremadamente confidencial.

  • Proteger al descargar:en lugar de bloquear la descarga de documentos confidenciales, puede requerir que los documentos se etiquete y protejan con Azure Information Protection. Esta acción garantiza que el documento está protegido y el acceso de usuario está restringido en una sesión de riesgo potencial.

  • Impedir la cargade archivos sin etiquetar: antes de que otros usuarios carguen, distribuyen y utilicen un archivo confidencial, es importante asegurarse de que el archivo tiene la etiqueta y protección correctas. Puede asegurarse de que los archivos sin etiqueta con contenido confidencial se bloqueen para que no se carguen hasta que el usuario clasifique el contenido.

  • Bloquear malware potencial:puede proteger su entorno frente a malware bloqueando la carga de archivos potencialmente malintencionados. Cualquier archivo que se cargue o descargue se puede examinar en la inteligencia sobre amenazas de Microsoft y bloquearse de forma instantánea.

  • Supervisar el cumplimiento de las sesionesde usuario: los usuarios de riesgo se supervisan cuando inician sesión en las aplicaciones y sus acciones se registran desde dentro de la sesión. Puede investigar y analizar el comportamiento del usuario para saber dónde se deben aplicar las directivas de sesión en el futuro, y en qué condiciones.

  • Bloquear el acceso:puede bloquear el acceso de forma granular para aplicaciones y usuarios específicos en función de varios factores de riesgo. Por ejemplo, puede bloquearlos si usan certificados de cliente como forma de administración de dispositivos.

  • Bloquear actividades personalizadas:algunas aplicaciones tienen escenarios únicos que conllevan riesgos, por ejemplo, el envío de mensajes con contenido confidencial en aplicaciones como Microsoft Teams o Slack. En estos tipos de escenarios, puede examinar los mensajes para detectar el contenido confidencial y bloquearlos en tiempo real.

Funcionamiento del control de sesión

Al crear una directiva de sesión con control de aplicaciones de acceso condicional, podrá controlar las sesiones de usuario redirigiendo al usuario en cuestión a través de un proxy inverso, en lugar de directamente a la aplicación. A partir de ese momento, las solicitudes y respuestas de los usuarios pasan por Defender para Cloud Apps en lugar de directamente a la aplicación.

Cuando una sesión está protegida por proxy, defender para Cloud Apps reemplaza todas las direcciones URL y cookies pertinentes. Por ejemplo, si la aplicación devuelve una página con vínculos cuyos dominios terminan con , el dominio del vínculo tiene un sufijo parecido a , como myapp.com*.mcas.ms se indica a continuación:

Dirección URL de la aplicación Dirección URL reemplazada
myapp.com myapp.com.mcas.ms

Este método no requiere que instale nada en el dispositivo, por lo que es ideal al supervisar o controlar sesiones de dispositivos no administrados o usuarios asociados.

Nota

  • Nuestra tecnología usa la mejor heurística de la clase para identificar y controlar las actividades realizadas por el usuario en la aplicación de destino. Nuestra heurística está diseñada para optimizar y equilibrar la seguridad con facilidad de uso. En algunos escenarios poco frecuentes, cuando el bloqueo de actividades en el lado servidor hace que la aplicación sea inutilizable, protegemos estas actividades solo en el lado cliente, lo que las hace potencialmente susceptibles de ser explotadas por usuarios malintencionados.
  • Defender para Cloud Apps aprovecha Los centros de datos de Azure de todo el mundo para proporcionar un rendimiento optimizado a través de la geolocalización. Esto significa que la sesión de un usuario se puede hospedar fuera de una región determinada, dependiendo de los patrones de tráfico y su ubicación. Sin embargo, para proteger su privacidad, no se almacenan datos de la sesión en estos centros de datos.
  • Nuestros servidores proxy no almacenan datos en reposo. Al almacenar contenido en caché, seguimos los requisitos establecidos en RFC 7234 (almacenamiento en caché HTTP) y solo almacenamos en caché contenido público.

Identificación de dispositivos administrados

La característica Control de aplicaciones de acceso condicional le permite crear directivas que tienen en cuenta si un dispositivo está administrado o no. Para identificar el estado de un dispositivo, puede configurar las directivas de acceso y de sesión para comprobar lo siguiente:

  • Microsoft Intune dispositivos compatibles [solo disponible con Azure AD]
  • Dispositivos unidos a Azure AD híbrido (solo disponible con Azure AD)
  • Presencia de certificados de cliente en una cadena de confianza

Dispositivos unidos a dispositivos compatibles con Intune Azure AD híbridos

Azure AD acceso condicional permite que la información del dispositivo compatible con Intune Azure AD unidos a hybrid se pase directamente a Defender para Cloud Apps. Desde allí, se puede desarrollar una directiva de sesión o acceso que use el estado del dispositivo como filtro. Para obtener más información, vea Introducción a la administración de dispositivos en Azure Active Directory.

Nota

Algunos exploradores pueden requerir una configuración adicional, como la instalación de una extensión. Para obtener más información, vea Compatibilidad del explorador de acceso condicional.

Dispositivos autenticados con certificado de cliente

El mecanismo de identificación de dispositivos puede solicitar la autenticación de los dispositivos que usan certificados de cliente. Puede usar certificados de cliente existentes ya implementados en la organización o implantar nuevos certificados de cliente a los dispositivos administrados. Asegúrese de que el certificado de cliente está instalado en el almacén de usuarios y no en el almacén del equipo. Después utilizará la presencia de esos certificados para establecer directivas de acceso y sesión.

Los certificados de cliente SSL se comprueban a través de una cadena de confianza. Puede cargar una entidad de certificación (CA) raíz o intermedia (CA) X.509 con el formato de certificado PEM. Estos certificados deben contener la clave pública de la entidad de certificación, que luego se usa para firmar los certificados de cliente presentados durante una sesión.

Una vez que se carga el certificado y se configura una directiva pertinente, cuando una sesión aplicable atraviesa Control de aplicaciones de acceso condicional, el punto de conexión de Defender para Cloud Apps solicita al explorador que presente los certificados de cliente SSL. El explorador sirve los certificados de cliente SSL que se instalan con una clave privada. Esta combinación de certificado y clave privada se realiza mediante el PKCS #12 de archivo, normalmente .p12 o .pfx.

Cuando se realiza una comprobación de certificado de cliente, Defender para Cloud Apps comprueba las condiciones siguientes:

  1. El certificado de cliente seleccionado es válido y está en la entidad de certificación raíz o intermedia correcta.
  2. El certificado no se revoca (si la CRL está habilitada).

Nota

La mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente. Sin embargo, las aplicaciones móviles y de escritorio a menudo aprovechan los exploradores integrados que pueden no admitir esta comprobación y, por tanto, afectan a la autenticación de estas aplicaciones.

Para configurar una directiva para aprovechar la administración de dispositivos a través de certificados de cliente:

  1. En Defender para Cloud Apps, en la barra de menús, haga clic en el icono de configuración del engranaje de configuración. y seleccione Configuración.

  2. Seleccione la pestaña Identificación del dispositivo.

  3. Upload tantos certificados raíz o intermedios como necesite.

    Sugerencia

    Para probar cómo funciona, puede usar nuestro certificado de cliente y ca raíz de ejemplo, como se muestra a continuación:

    1. Descargue la ca raíz de ejemplo y el certificado de cliente.
    2. Upload la ca raíz a Defender para Cloud Apps.
    3. Instale el certificado de cliente (password=Microsoft) en los dispositivos correspondientes.

Una vez cargados los certificados, puede crear directivas de acceso y sesión basadas en etiqueta de dispositivo y certificado de cliente válido.

Aplicaciones y clientes compatibles

Los controles de sesión y acceso se pueden aplicar a cualquier inicio de sesión único interactivo, mediante el protocolo de autenticación SAML 2.0 o, si usa Azure AD, el protocolo de autenticación Open ID Conectar. Además, si las aplicaciones están configuradas con Azure AD, también puede aplicar estos controles a las aplicaciones hospedadas localmente configuradas con Azure AD App Proxy. Además, los controles de acceso se pueden aplicar a aplicaciones cliente nativas de escritorio y móviles.

Defender for Cloud Apps identifica las aplicaciones mediante la información disponible en su catálogo de aplicaciones en la nube. Algunas organizaciones y usuarios personalizan las aplicaciones mediante la adición de complementos. Sin embargo, para que los controles de sesión funcionen correctamente con estos complementos, los dominios personalizados asociados deben agregarse a la aplicación correspondiente en el catálogo.

Nota

La aplicación Authenticator, entre otros flujos de inicio de sesión de aplicaciones cliente nativas, usa un flujo de inicio de sesión no interactivo y no se puede usar con controles de acceso.

Controles de acceso

Muchas organizaciones que deciden usar controles de sesión para aplicaciones en la nube para controlar las actividades en sesión, también aplican controles de acceso para bloquear el mismo conjunto de aplicaciones cliente nativas móviles y de escritorio, lo que proporciona una seguridad completa para las aplicaciones.

Puede bloquear el acceso a aplicaciones cliente nativas móviles y de escritorio con directivas de acceso estableciendo el filtro Aplicación cliente en Móvil y escritorio. Algunas aplicaciones cliente nativas se pueden reconocer individualmente, mientras que otras que forman parte de un conjunto de aplicaciones solo se pueden identificar como su aplicación de nivel superior. Por ejemplo, las aplicaciones como SharePoint Online solo se pueden reconocer mediante la creación de una directiva de acceso aplicada a Office 365 aplicaciones.

Nota

A menos que el filtro aplicación cliente esté establecido específicamente en Móvily escritorio, la directiva de acceso resultante solo se aplicará a las sesiones del explorador. El motivo es evitar las sesiones de usuario de proxy involuntaria, lo que puede ser una consecuencia del uso de este filtro. Aunque la mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente, algunas aplicaciones móviles y de escritorio usan exploradores integrados que pueden no admitir esta comprobación. Por lo tanto, el uso de este filtro puede afectar a la autenticación de estas aplicaciones.

Controles de sesión

Aunque los controles de sesión se han creado para funcionar con cualquier explorador en cualquier plataforma principal de cualquier sistema operativo, se admiten Microsoft Edge (más reciente), Google Chrome (más reciente), Mozilla Firefox (más reciente) o Apple Safari (más reciente). También se puede bloquear o permitir el acceso a aplicaciones móviles y de escritorio.

Nota

  • Defender para Cloud Apps usa protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar el mejor cifrado de su clase. Las aplicaciones cliente nativas y los exploradores que no admiten TLS 1.2+, no serán accesibles cuando se configuren con control de sesión. Sin embargo, las aplicaciones SaaS que usan TLS 1.1 o versiones inferiores aparecerán en el explorador como usar TLS 1.2+ cuando se configuren con Defender para Cloud Apps.
  • Para aplicar controles de sesión a portal.office.com, debe incorporar Centro de administración de Microsoft 365. Para obtener más información sobre la incorporación de aplicaciones, consulte Incorporación e implementación de Control de aplicaciones de acceso condicional para cualquier aplicación.

Cualquier aplicación web configurada mediante los protocolos de anteriormente se puede incorporar para trabajar con controles de acceso y sesión. Además, las siguientes aplicaciones ya están incorporadas con controles de acceso y de sesión:

  • AWS
  • Azure DevOps (Visual Studio Team Services)
  • Azure portal
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • Dynamics 365 CRM (versión preliminar)
  • egnyte
  • Exchange Online
  • GitHub
  • Área de trabajo de Google
  • HighQ
  • JIRA/Confluence
  • OneDrive para la Empresa
  • LinkedIn Learning
  • Power BI
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • Slack
  • Tableau
  • Microsoft Teams (versión preliminar)
  • Workday
  • Workiva
  • Workplace by Facebook
  • Yammer (versión preliminar)

Office 365 Cloud App Security aplicaciones destacados

A continuación se muestra una lista de las aplicaciones destacados que se admiten en Office 365 Cloud App Security.

  • Exchange Online
  • OneDrive para la Empresa
  • Power BI
  • SharePoint Online
  • Microsoft Teams (versión preliminar)
  • Yammer (versión preliminar)

Si está interesado en que se destacado una aplicación específica, envíenos detalles sobre la aplicación. Asegúrese de enviar el caso de uso que le interesa para incorporarlo.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.