Formas habituales de usar el acceso condicional con Intune

  • Artículo

Hay dos tipos de directivas de Acceso Condicional que puede usar con Intune: el Acceso Condicional basado en dispositivos y el Acceso Condicional basado en aplicaciones. Para admitir cada una de ellas, deberá configurar las directivas de Intune relacionadas. Una vez implementadas las directivas de Intune, puede usar el Acceso Condicional para hacer cosas como permitir o bloquear el acceso a Exchange, controlar el acceso a la red o integrarse con una solución de Mobile Threat Defense.

La información de este artículo puede ayudarle a comprender cómo usar las funcionalidades de cumplimiento de dispositivos móviles de Intune y las funcionalidades de administración de aplicaciones móviles (MAM) de Intune.

Nota:

El acceso condicional es una funcionalidad de Microsoft Entra que se incluye con una licencia de Microsoft Entra id. P1 o P2. Intune mejora esta función al agregar el cumplimiento de dispositivos móviles y la administración de aplicaciones móviles a la solución. El nodo de acceso condicional al que se accede desde Intune es el mismo nodo al que se accede desde Microsoft Entra identificador.

Acceso condicional basado en dispositivos

Intune y el identificador de Microsoft Entra funcionan conjuntamente para asegurarse de que solo los dispositivos administrados y compatibles puedan acceder al correo electrónico de su organización, a los servicios de Microsoft 365, a las aplicaciones de software como servicio (SaaS) y a las aplicaciones locales. Además, puede establecer una directiva en Microsoft Entra identificador para permitir que solo los equipos unidos a un dominio o los dispositivos móviles inscritos en Intune accedan a los servicios de Microsoft 365.

Con Intune, implementa directivas de cumplimiento de dispositivos para determinar si un dispositivo cumple los requisitos de configuración y seguridad esperados. La evaluación de directivas de cumplimiento determina el estado de cumplimiento de los dispositivos, que se notifica a Intune y al identificador de Microsoft Entra. Es en Microsoft Entra identificador que las directivas de acceso condicional pueden usar el estado de cumplimiento de un dispositivo para tomar decisiones sobre si permitir o bloquear el acceso a los recursos de la organización desde ese dispositivo.

Las directivas de acceso condicional basadas en dispositivos para Exchange Online y otros productos de Microsoft 365 se configuran a través del Centro de administración de Microsoft Intune.

Nota:

Cuando se habilita el acceso basado en dispositivos en el contenido al que los usuarios acceden desde aplicaciones del explorador en sus dispositivos Android de Perfil de trabajo, los usuarios que se inscriban antes de enero del 2021 deberán habilitar el acceso del explorador de la siguiente manera:

  1. Inicie la aplicación Portal de empresa.
  2. Vaya a la página Configuración del menú.
  3. En la sección Habilitar acceso al explorador, pulse el botón Habilitar.
  4. Cierre y reinicie la aplicación del explorador.

Esto permite el acceso en las aplicaciones del explorador, pero no a las vistas web del explorador que se abren dentro de las aplicaciones.

Aplicaciones disponibles en el acceso condicional para controlar Microsoft Intune

Al configurar el acceso condicional en el centro de administración de Microsoft Entra, tiene dos aplicaciones entre las que elegir:

  1. Microsoft Intune: esta aplicación controla el acceso al centro de administración de Microsoft Intune y a los orígenes de datos. Configure concesiones o controles en esta aplicación cuando desee dirigirse al centro de administración de Microsoft Intune y a los orígenes de datos.
  2. Inscripción a Microsoft Intune: esta aplicación controla el flujo de trabajo de inscripción. Configure concesiones/controles en esta aplicación cuando desee establecer como destino el proceso de inscripción. Para obtener más información, vea Requerir la autenticación multifactor para las inscripciones de dispositivos de Intune.

Acceso condicional basado en el control de acceso a redes

Intune se integra con partners como Cisco ISE, Aruba Clear Pass y Citrix NetScaler para proporcionar controles de acceso en función de la inscripción en Intune y el estado de cumplimiento del dispositivo.

A los usuarios se les puede permitir o denegar el acceso a los recursos corporativos mediante Wi-Fi o VPN. Todo depende de si el dispositivo que usan se administra mediante Intune y guarda conformidad con las directivas de cumplimiento de dispositivos de Intune.

Acceso condicional basado en el riesgo del dispositivo

Intune se ha asociado con proveedores de Mobile Threat Defense para proporcionar una solución de seguridad para la detección de malware, troyanos y otras amenazas en los dispositivos móviles.

Funcionamiento de la integración de Intune y Mobile Threat Defense

Cuando los dispositivos móviles tienen instalado el agente de Mobile Threat Defense, este devuelve mensajes de estado de cumplimiento a Intune para notificar si se encuentra una amenaza en el dispositivo móvil propiamente dicho.

La integración de Intune y Mobile Threat Defense influye en las decisiones de Acceso Condicional basado en el riesgo del dispositivo.

Acceso Condicional para PC Windows

El Acceso Condicional para equipos proporciona funcionalidades similares a las disponibles para dispositivos móviles. Vamos a hablar sobre las formas en que puede usar el Acceso Condicional al administrar equipos con Intune.

Propiedad corporativa

  • Microsoft Entra unido a un entorno híbrido: esta opción la usan normalmente las organizaciones que se sienten razonablemente cómodas con la forma en que ya administran sus equipos a través de directivas de grupo de AD o Configuration Manager.

  • Microsoft Entra administración de Intune y unida a un dominio: este escenario es para las organizaciones que quieren estar en la nube (es decir, usar principalmente servicios en la nube, con el objetivo de reducir el uso de una infraestructura local) o solo en la nube (sin infraestructura local). Microsoft Entra combinación funciona bien en un entorno híbrido, lo que permite el acceso a aplicaciones y recursos locales y en la nube. El dispositivo se une al identificador de Microsoft Entra y se inscribe en Intune, que se puede usar como criterios de acceso condicional al acceder a los recursos corporativos.

Bring your own device (BYOD)

  • Unidos al área de trabajo y administración de Intune: aquí el usuario puede unir sus dispositivos personales para acceder a los servicios y recursos corporativos. Puede usar la unión al área de trabajo e inscribir dispositivos en MDM de Intune para recibir directivas de nivel de dispositivo, que son otra opción para evaluar los criterios de acceso condicional.

Obtenga más información sobre Administración de dispositivos en Microsoft Entra ID.

Acceso condicional basado en aplicaciones

Intune y el identificador de Microsoft Entra funcionan conjuntamente para asegurarse de que solo las aplicaciones administradas puedan acceder al correo electrónico corporativo u otros servicios de Microsoft 365.

Acceso condicional de Intune para Exchange local

El acceso condicional se puede usar para permitir o bloquear el acceso a Exchange local en función de las directivas de cumplimiento y el estado de inscripción de los dispositivos. Cuando el acceso condicional se usa en combinación con una directiva de cumplimiento de dispositivo, solo los dispositivos compatibles pueden acceder a Exchange local.

Puede realizar la configuración avanzada del acceso condicional para un control más específico, por ejemplo:

  • Permitir o bloquear determinadas plataformas.

  • Bloquear inmediatamente dispositivos que no estén administrados por Intune.

Todos los dispositivos usados para acceder a Exchange local son objeto de comprobación del cumplimiento cuando se aplican directivas de acceso condicional y cumplimiento de dispositivos.

Cuando los dispositivos no cumplen las condiciones establecidas, se guía al usuario final por el proceso de inscripción del dispositivo para corregir el problema que impide que el dispositivo sea conforme.

Nota:

A partir de julio de 2020, el soporte técnico para Exchange Connector queda en desuso y se reemplaza por la autenticación moderna híbrida (HMA) de Exchange. El uso de HMA no requiere que Intune configure y use Exchange Connector. Con este cambio, la interfaz de usuario para configurar y administrar Exchange Connector para Intune se ha quitado del centro de administración de Microsoft Intune, a menos que ya use un conector de Exchange con su suscripción.

Si tiene una instancia de Exchange Connector configurada en el entorno, el inquilino de Intune sigue siendo compatible con su uso, y seguirá teniendo acceso a la interfaz de usuario que admite su configuración. Para obtener más información, vea Instalación del conector local de Exchange. Puede seguir usando el conector o configurar HMA y después desinstalar el conector.

La autenticación moderna híbrida ofrece funcionalidad que anteriormente proporcionaba Exchange Connector para Intune: asignación de una identidad de dispositivo a su registro de Exchange. Esta asignación se produce ahora fuera de una configuración que se realiza en Intune o en el requisito del conector de Intune para establecer un puente entre Intune y Exchange. Con HMA, se ha quitado el requisito de usar la configuración específica de "Intune" (el conector).

¿Cuál es la función de Intune?

Intune evalúa y administra el estado del dispositivo.

¿Cuál es la función del servidor de Exchange?

El servidor de Exchange proporciona la API y la infraestructura para mover los dispositivos a cuarentena.

Importante

Tenga en cuenta que el usuario que utiliza el dispositivo debe tener asignados un perfil de cumplimiento y una licencia de Intune para que se pueda evaluar el cumplimiento del dispositivo. Si no se implementa ninguna directiva de cumplimiento en el usuario, el dispositivo se considera conforme y no se aplicarán restricciones de acceso.

Siguientes pasos

Configuración del acceso condicional en Microsoft Entra id.

Configuración de directivas de acceso condicional basado en la aplicación

Creación de una directiva de acceso condicional para el entorno local de Exchange