Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visión general
Microsoft Entra ID está implementando un modelo de cumplimiento mejorado para las políticas de acceso condicional dirigidas a Todos los recursos e incluyen una o más exclusiones de recursos. Este cambio garantiza que los inicios de sesión que solicitan únicamente ámbitos básicos reciban las mismas protecciones de acceso condicional que el resto de accesos a recursos.
Anteriormente, algunos ámbitos con pocos privilegios se excluyeban automáticamente de la aplicación de directivas cuando existía una exclusión de recursos. Con este cambio, esos ámbitos ahora se evalúan como acceso a directorios y están sujetos a las directivas de acceso condicional.
Para obtener información técnica detallada, consulte Nuevo comportamiento de acceso condicional cuando una directiva de todos los recursos tiene una exclusión de recursos.
Importante
Esta actualización de cumplimiento se alinea con la iniciativa de Futuro Seguro de Microsoft y las inversiones en defensa en profundidad. Microsoft recomienda adoptar el nuevo modelo de cumplimiento para mejorar la posición de seguridad.
Quién se ve afectado
Este cambio afecta al inquilino si se cumplen todas las condiciones siguientes:
- Tiene una o varias directivas de acceso condicional que tienen como destino Todos los recursos.
- Esas directivas tienen una o varias exclusiones de recursos.
- Los usuarios de su inquilino inician sesión a través de aplicaciones que solicitan únicamente ámbitos básicos.
Si las directivas tienen como destino Todos los recursos sin exclusiones de recursos, este cambio no le afecta.
¿Qué son los ámbitos de línea base?
Ámbitos básicos es un término genérico que engloba el siguiente conjunto de ámbitos:
-
Ámbitos de OpenID Connect (OIDC):
email,offline_access,openid,profile -
Ámbitos de directorio de línea base:
User.Read,User.Read.All,User.ReadBasic.All,People.Read,People.Read.All,GroupMember.Read.All,Member.Read.Hidden
¿Qué está cambiando?
Después del lanzamiento, los siguientes escenarios podrían desencadenar ahora desafíos de acceso condicional (como MFA o cumplimiento de dispositivos) en los que se concedió previamente el acceso sin cumplimiento:
-
Aplicaciones cliente públicas (como aplicaciones de escritorio) que solicitan solo ámbitos de línea base. Por ejemplo, un usuario inicia sesión en el cliente de escritorio de Visual Studio Code, que solicita los permisos
openidyprofile, o en CLI de Azure, que solo solicita el permisoUser.Read. -
Aplicaciones de cliente confidenciales (como aplicaciones web) que están excluidas de una directiva de «Todos los recursos» y solicitan únicamente ámbitos de directorio básicos. Por ejemplo, una aplicación web excluida de la directiva que solicita solo
User.ReadyPeople.Read.
Los retos concretos dependen de los controles de acceso configurados en sus directivas que tienen como objetivo Todos los recursos o que tienen como objetivo explícito Windows Azure Active Directory (directorio de Microsoft Entra ID) como recurso.
Lo que no cambia
- Cuando una aplicación (pública o confidencial) solicita cualquier ámbito más allá de los ámbitos de línea base (por ejemplo,
Mail.Read), la aplicación ya está sujeta a la aplicación de la política de Acceso Condicional. Este comportamiento no cambia. - En el caso de las aplicaciones cliente confidenciales que se excluyen de todas las directivas de recursos y solicitan solo ámbitos de OIDC, no se espera ningún cambio.
Lo que usted debe hacer
Use la tabla siguiente para determinar las acciones necesarias para las aplicaciones:
| Tipo de aplicación | Propiedad | Acción requerida |
|---|---|---|
| Cliente del sector público que solicita solo alcances de línea base | Cualquiera | Revise si estas aplicaciones deben permanecer exentas del cumplimiento del acceso condicional. Si hay motivos empresariales válidos para mantener una exención, consulte Conservar el comportamiento heredado con la configuración del ámbito de línea base. |
| Cliente confidencial que solicita solo ámbitos de directorio de referencia, excluido de la directiva Todos los recursos | Propiedad del inquilino | Revise si la exclusión sigue siendo necesaria. Trabaje con los desarrolladores de aplicaciones para evaluar si la aplicación puede solicitar ámbitos de OIDC (como openid, profile) en lugar de ámbitos de directorio como User.Read para obtener información básica del usuario. Si las actualizaciones no se pueden completar antes de la implementación, consulte Conservar el comportamiento heredado con la configuración del ámbito de línea base. |
| Cliente confidencial que solicita solo ámbitos de directorio de referencia, excluido de la directiva Todos los recursos | Propiedad de un proveedor independiente de software (ISV) | Revise si la exclusión sigue siendo necesaria. Póngase en contacto con el ISV para evaluar si la aplicación puede solicitar ámbitos OIDC en lugar de ámbitos de directorio. En la mayoría de los casos, los ámbitos de OIDC proporcionan el acceso con privilegios mínimos necesarios para estos escenarios. Si el ISV no puede realizar actualizaciones a tiempo, consulte Conservar el comportamiento heredado con la configuración del ámbito de línea base. |
Importante
En el caso de las aplicaciones cliente públicas y confidenciales que pertenecen a su inquilino, asegúrese de que la aplicación puede controlar los desafíos de acceso condicional (por ejemplo, MFA o cumplimiento de dispositivos). Si no es así, es posible que se requieran actualizaciones de aplicaciones. Consulte las instrucciones para desarrolladores de acceso condicional sobre cómo actualizar la aplicación de forma adecuada.
Evaluación del impacto
Obtenga una vista previa del cambio en la aplicación
Puede obtener una vista previa del comportamiento de cumplimiento mejorado antes de que comience el lanzamiento:
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como un administrador de acceso condicional.
- Acceda a la configuración de ámbitos de referencia en Acceso condicional. Este vínculo directo es necesario para ver la configuración de vista previa.
- Elija recurso de destino predeterminado (Windows Azure Active Directory).
- Haga clic en Guardar.
Nota:
Esta configuración habilita inmediatamente el comportamiento de acceso condicional actualizado para todas las directivas de recursos con exclusiones.
Como resultado, algunos inicios de sesión de usuarios que antes no estaban sujetos a la aplicación de CA ahora pueden evaluarse y aplicarse en Acceso condicional utilizando Windows Azure Active Directory como recurso de destino.
Para revertir al comportamiento heredado, seleccione Restablecer en la configuración del ámbito de línea base.
Si no se selecciona un recurso de destino personalizado, el lanzamiento basado en Windows Azure Active Directory como recurso de destino predeterminado para los ámbitos de línea base se aplica en fases.
Identificación de aplicaciones afectadas con un recurso de destino personalizado
Puede usar la configuración de alcance base para identificar qué aplicaciones en su entorno se ven afectadas. Una vez habilitada la configuración de vista previa, los eventos de inicio de sesión en los que las aplicaciones solicitan ámbitos de línea base enumeran la aplicación personalizada como audiencia de acceso condicional en los registros de inicio de sesión. Para obtener más información, consulte Solución de problemas de inicio de sesión con el acceso condicional.
Consulta de aplicaciones afectadas
Use la siguiente consulta de Microsoft Graph para enumerar las aplicaciones que solicitan solo los ámbitos de línea base:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName
Reemplace por <your-custom-app-id> el identificador de aplicación de la aplicación personalizada.
Durante un período de varios días, el resultado de esta consulta proporciona una lista de aplicaciones cliente que solicitan solo ámbitos de línea base.
Conserve el comportamiento heredado con la configuración de ámbitos de referencia
Nota:
Microsoft recomienda alinearse con el nuevo modelo de cumplimiento. Use la configuración del ámbito de línea base solo si tiene escenarios específicos que requieren el comportamiento heredado.
La configuración del ámbito de línea base es una configuración de nivel de inquilino que permite usar una aplicación de propiedad de inquilino personalizada como recurso de destino para ámbitos de línea base. Al excluir esta aplicación personalizada de directivas específicas de todos los recursos, puede conservar el comportamiento heredado.
Quién debe usar esta configuración
Use esta configuración si tiene escenarios específicos que requieren que conserve el comportamiento heredado. Algunos escenarios de ejemplo son:
- Todas las directivas de recursos con requieren un control de concesión de dispositivos compatible: las aplicaciones que se excluyen de esta directiva porque deben ser accesibles desde dispositivos no administrados.
- Todas las políticas de recursos que requieren una política de protección de aplicaciones con control de concesión: Las aplicaciones cliente que no están integradas con el SDK de Intune y no pueden cumplir con la política de protección de aplicaciones.
- Todas las directivas de recursos con control de bloque: las aplicaciones cliente que deben excluirse de la directiva de bloqueo.
- Clientes públicos que deben estar exentos de los requisitos de dispositivo compatibles: debido a motivos de seguridad y cumplimiento específicos.
Preguntas más frecuentes
¿Cómo puedo obtener una vista previa del cambio de cumplimiento antes del lanzamiento?
Vaya a https://aka.ms/BaselineScopesSettingsUX, elija el recurso de destino default (Windows Azure Active Directory) y seleccione Guardar. Esta configuración aplica inmediatamente el comportamiento mejorado. Para revertir, seleccione Restablecer. Para obtener más información, consulte Consulte el cambio de aplicación.
¿Cómo puedo conservar el comportamiento heredado después del lanzamiento?
Use la configuración del ámbito de línea base para asignar una aplicación personalizada de propiedad de inquilino como recurso de destino para ámbitos de línea base y, a continuación, excluya esa aplicación de las directivas Todos los recursos. Para obtener más información, consulte Conservar el comportamiento heredado con la configuración del ámbito de línea base.
¿Es necesario actualizar todas las aplicaciones?
N.º Solo las aplicaciones que solicitan exclusivamente ámbitos de referencia y se ven afectadas por sus directivas de Todos los recursos con exclusiones de recursos requieren atención. Las aplicaciones que solicitan ámbitos más allá de la línea base (por ejemplo, Mail.Read) ya están sujetas a la aplicación del acceso condicional y no se ven afectados por este cambio.