Cómo aplicar el acceso condicional mediante SCEP

  • EF

Aunque este método de aplicación del acceso condicional sigue siendo eficaz, el uso de Microsoft Device Compliance (MSDC) es ahora el enfoque recomendado para garantizar el cumplimiento de los dispositivos. Consulte nuestros artículos de soporte de configuración de MSDC para obtener más información.

Prerrequisitos

  • Plan de suscripción de Microsoft Entra ID (anteriormente Azure AD) (P1 o P2) con acceso condicional incluido. Consulte aquí para obtener información sobre licencias de Microsoft Entra ID.

  • Licencias para Microsoft Defender for Cloud Apps (anteriormente Microsoft Cloud App Security). Consulte aquí para obtener información sobre licencias de Microsoft Defender for Cloud Apps.

  • Para la configuración de Microsoft Entra ID y Microsoft Defender for Cloud Apps, se necesitará una cuenta con el rol de administrador global o el rol de administrador de seguridad.

  • Certificados raíz e intermedios de confianza (archivo PEM).

  • Solución PKI gestionada.

Al usar el filtrado HTTP o DNS, las direcciones IP de Microsoft deberán agregarse a la lista de permitidos. Las direcciones IP se pueden obtener de este artículo de Microsoft.

Configurar SCEP

El Library Item SCEP se puede utilizar con una solución de PKI administrada como Symantec Managed PKI, GlobalSign Managed PKI, Microsoft Entra application proxy with NDES o SecureW2 para la distribución de certificados.

  1. Configure e implemente un perfil SCEP mediante el Library ItemSCEP . Para obtener instrucciones, consulte el artículo de soporte del perfil SCEP .

Implementación de certificados raíz e intermedios

  1. Implemente los certificados raíz e intermedio que emitirán los certificados de dispositivo. Para obtener instrucciones, consulte el artículo de soporte técnico del perfil de certificado .

Creación de una directiva de acceso condicional

  1. Haga clic aquí para ir a la hoja Acceso condicional (se le pedirá que inicie sesión si aún no lo ha hecho) en el identificador de Microsoft Entra (anteriormente Azure AD).

  2. En la parte superior de la hoja Acceso condicional, haga clic en + Crear nueva directiva.

  3. En el campo Nombre, escriba un nombre para la directiva de acceso condicional, como Kandji acceso condicional.

  4. En la sección Asignaciones, en Usuarios, haga clic en 0 usuarios y grupos seleccionados.

  5. Al probar y validar configuraciones y flujos de trabajo, se recomienda asignar esta política a las cuentas de usuario de prueba antes de asignarla a los usuarios de producción. Para ello, seleccione el botón de opción Seleccionar usuarios y grupos .

  6. Seleccione la casilla Usuarios y grupos .

  7. Vaya a la esquina superior derecha de la pantalla y busque las cuentas de usuario o grupos a los que desea aplicar la política.

  8. Seleccione las cuentas o grupos de usuario identificados.

  9. Para guardar la configuración, haga clic en Seleccionar

  10. En la sección Asignaciones, en Recursos de destino, haga clic en el enlace No se seleccionaron recursos de destino .

  11. Seleccione el botón de opción Todas las aplicaciones en la nube . Como alternativa, puede seleccionar el botón de opción Seleccionar aplicaciones para limitar el ámbito a aplicaciones específicas.

  12. En la sección Controles de acceso , en Sesión, haga clic en 0 controles seleccionados.

  13. Seleccione Usar control de aplicaciones de acceso condicional.

  14. En la sección Usar control de aplicaciones de acceso condicional , seleccione Bloquear descargas (versión preliminar) en el menú desplegable. Volveremos a este escenario más adelante; la opción Bloquear descargas (versión preliminar) es necesaria inicialmente para incorporar y agregar las aplicaciones con ámbito en el portal de Microsoft Defender.

  15. Para guardar la configuración, haga clic en Seleccionar.

  16. En la sección Habilitar directiva, cambie la directiva a Activado. Si se le solicita, siga los pasos para deshabilitar los valores predeterminados de seguridad de Microsoft.

  17. Haga clic en Crear para guardar la política. 

Adición de las aplicaciones en la nube con ámbito a MDCA

Microsoft Defender for Cloud Apps (MDCA) usa el control de sesión, por lo que para agregar las aplicaciones con ámbito al portal de Microsoft Defender, deberá acceder a cada aplicación en la nube con ámbito con una cuenta de usuario de prueba al menos una vez, preferiblemente en una sesión de ventana privada (⇧-⌘-N) si usa Safari. Agregaremos la aplicación Office 365 en los siguientes pasos. El mismo proceso se puede usar para agregar aplicaciones adicionales al portal de Microsoft Defender.

  1. En otro dispositivo o en una ventana privada, vaya a portal.office.com e inicie sesión con una cuenta de usuario de prueba con ámbito.

  2. Para confirmar que la aplicación en la nube se agregó a MDCA, vaya a security.microsoft.com e inicie sesión con una cuenta administrativa o una cuenta con el rol de seguridad asignado.

  3. En la esquina inferior izquierda de la página, haga clic en el icono de engranaje de Configuración .  

  4. En la página de configuración, haga clic en Aplicaciones en la nube.

  5. En Aplicaciones conectadas> haga clic en Aplicaciones de control de aplicaciones de acceso condicional

  6. Debería ver Portal de Office - General enumerado como una aplicación conectada. Si no es así, revise los pasos de la sección anterior. Es posible que el Portal de Office tarde un poco en mostrar un estado conectado. Vuelva a consultar más tarde para ver si el estado se actualiza.

  7. Haga clic aquí para volver a la hoja de acceso condicional y seleccione la directiva de acceso condicional creada anteriormente.

  8. En Controles de acceso > sesión, haga clic en Usar control de aplicaciones de acceso condicional.

  9. Cambie la configuración de Control de aplicaciones de acceso condicional de Bloquear descargas (versión preliminar) a Usar directiva personalizada.

  10. Haga clic en Seleccionar.

  11. Haga clic en Guardar

Agregue sus certificados raíz e intermedios a MDCA

  1. Vuelva a security.microsoft.com y, en la esquina inferior izquierda de la página, haga clic en el icono de engranaje de Configuración .

  2. En la página de configuración, haga clic en Aplicaciones en la nube.

  3. Desplázate hasta la parte inferior de la página. En la sección Control de aplicaciones de acceso condicional , haga clic en Identificación de dispositivos.

  4. En la sección Identificación basada en certificado de cliente , haga clic en + Agregar un certificado raíz y siga las indicaciones para agregar su certificado raíz. Repita este proceso para agregar su certificado intermedio.

  5. Active la casilla de verificación Requerir revocación de certificado.

  6. Haga clic en Guardar.

Para convertir un CER a PEM, use el siguiente comando en Terminal como ejemplo: 

openssl x509 -in certificate.cer -outform pem -out certificate.pem

Crear una política de acceso en MDCA

  1. En el portal de Microsoft Defender, en la sección Aplicaciones en la nube de la barra de navegación de la izquierda, haga clic en Directivas > Administración de directivas.

  2. Haga clic en + Crear política.

  3. Haga clic en Política de acceso.

  4. En el campo nombre, escriba un nombre para la directiva de acceso, como Bloquear dispositivos que no son de confianza.

  5. En la sección Actividades que coinciden con todas las siguientes , agregue los siguientes filtros para bloquear el acceso de dispositivos que no son de confianza a O365 a través de navegadores y aplicaciones móviles/de escritorio:

    1. La etiqueta de dispositivo no es igual a un certificado de cliente válido

    2. La aplicación es igual a Portal de Office (u otra aplicación con ámbito)

    3. La aplicación cliente es igual a navegador, móvil y escritorio

  6. En la sección Acciones, seleccione el botón de opción Bloquear .

  7. Active la casilla Personalizar mensaje de bloqueo para escribir un mensaje personalizado que se debe mostrar a los usuarios finales que intentan acceder a Microsoft 365 desde dispositivos que no son de confianza.

  8. Haga clic en Crear para guardar la política de acceso.

Experiencia del usuario final

Dispositivos de confianza

A los usuarios finales que accedan a los recursos de Microsoft en un dispositivo de confianza se les pedirá que seleccionen el certificado que se va a presentar a Microsoft. Ejemplo de mensaje al usar Safari:

Dispositivos que no son de confianza

Los usuarios finales que intenten acceder a los recursos de Microsoft en dispositivos que no sean de confianza recibirán el siguiente mensaje de bloqueo.