Bloquear flujos de autenticación con la directiva de acceso condicional

Visión general

Los pasos siguientes le ayudan a crear directivas de acceso condicional para restringir cómo se usan el flujo de código de dispositivo y la transferencia de autenticación dentro de la organización.

Directivas de flujo de código de dispositivo

Se recomienda que las organizaciones se acerquen lo más posible a un bloque unilateral en el flujo de código del dispositivo. Considere la posibilidad de crear una directiva para auditar el uso existente del flujo de código de dispositivo y determinar si sigue siendo necesario. Permitir solo el flujo de código de dispositivo en casos de uso bien documentados y protegidos, como las herramientas heredadas que no se pueden actualizar.

Para las organizaciones que no utilizan el flujo de código de dispositivo, pueden bloquearlo mediante la siguiente política de acceso condicional:

1. Inicie sesión en el Centro de administración Microsoft Entra como mínimo un Administrador de acceso condicional.
2. Vaya a Entra ID>Acceso Condicional>Políticas.
3. Seleccione Nueva directiva.
4. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione los usuarios que desea que estén en el ámbito de la directiva (todos los usuarios recomendados).
   2. En Excluir:
      1. Seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia o de "break-glass" de su organización y cualquier otro usuario o grupo necesario. Audite esta lista de exclusión periódicamente.
5. En Recursos de destino>Recursos (anteriormente, las aplicaciones en la nube)>Incluir, seleccione las aplicaciones que quiera que estén en el ámbito de la directiva (Todos los recursos (anteriormente, "Todas las aplicaciones en la nube") recomendados).
6. En Condiciones>Flujos de autenticación, establezca Configurar en Sí.
   1. Seleccione Flujo de código de dispositivo.
   2. Seleccione Listo.
7. En Controles de acceso>Conceder, seleccione Bloquear acceso.
   1. Elija Seleccionar.
8. Confirme la configuración y establezca Habilitar directiva en Solo informe.
9. Seleccione Crear para habilitar la directiva.

Después de confirmar la configuración mediante el impacto de la política o el modo de solo informe, mueva el botón de alternancia Activar directiva de Modo de solo informe a Activado.

Directivas de transferencia de autenticación

Use la condición Flujos de autenticación en acceso condicional para administrar la característica. Bloquear la transferencia de autenticación si no desea que los usuarios transfieran la autenticación desde su EQUIPO a un dispositivo móvil. Por ejemplo, bloquee la transferencia de autenticación si no permite que determinados grupos usen Outlook en dispositivos personales. Use la siguiente directiva de acceso condicional para bloquear la transferencia de autenticación:

1. Inicie sesión en el Centro de administración Microsoft Entra como mínimo un Administrador de acceso condicional.
2. Vaya a Entra ID>Acceso Condicional>Políticas.
3. Seleccione Nueva directiva.
4. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
   1. En Incluir, seleccione Todos los usuarios o grupos de usuarios que desea bloquear para la transferencia de autenticación.
   2. En Excluir:
      1. Seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia o de "break-glass" de su organización y cualquier otro usuario o grupo necesario. Audite esta lista de exclusión periódicamente.
5. En Recursos de destino>(anteriormente aplicaciones en la nube)>Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube") o las aplicaciones que quiera bloquear para la transferencia de autenticación.
6. En Condiciones>Flujos de autenticación, establezca Configurar en Sí
   1. Seleccione Transferencia de autenticación.
   2. Seleccione Listo.
7. En Controles de acceso>Conceder, seleccione Bloquear acceso.
   1. Elija Seleccionar.
8. Confirme la configuración y establezca Habilitar directivas en Habilitado.
9. Seleccione Crear para habilitar la directiva.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces. Se recomienda excluir las siguientes cuentas de las directivas:

• Cuentas de acceso de emergencia o cuentas de último recurso para evitar el bloqueo debido a errores de configuración de directivas. En el escenario poco probable en el que todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y recuperar el acceso.
  • Puede encontrar más información en el artículo Administrar cuentas de acceso de emergencia en Microsoft Entra ID.
• Service accounts y Service principals, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están vinculadas a ningún usuario específico. Normalmente se usan en los servicios back-end para permitir el acceso mediante programación a las aplicaciones, pero también se usan para iniciar sesión en sistemas con fines administrativos. Las llamadas realizadas por los principales de servicio no están bloqueadas por las directivas de acceso condicional aplicadas a los usuarios. Utilice el acceso condicional para identidades de trabajo para definir directivas destinadas a entidades de servicio.
  • Si su organización usa estas cuentas en scripts o código, reemplácelas por identidades administradas.

Contenido relacionado

• Acceso condicional: flujos de autenticación
• Acceso condicional: transferencia de autenticación
• Acceso condicional: Condiciones