Plantillas de acceso condicional

Las plantillas de acceso condicional proporcionan un método cómodo para implementar nuevas directivas alineadas con las recomendaciones de Microsoft. Estas plantillas están diseñadas para proporcionar la máxima protección alineada con las directivas de uso frecuente en varios tipos y ubicaciones de clientes.

Screenshot that shows Conditional Access policies and templates in the Microsoft Entra admin center.

Categorías de plantilla

Las 16 plantillas de directiva de acceso condicional se organizan en las siguientes categorías:

Microsoft recomienda estas directivas como base para todas las organizaciones. Se recomienda implementar estas directivas como un grupo.

Encuentre estas plantillas en el Centro de administración de Microsoft Entra>Protección>Acceso condicional>Crear nueva directiva a partir de plantillas. Seleccione Mostrar más para ver todas las plantillas de directiva en cada categoría.

Screenshot that shows how to create a Conditional Access policy from a preconfigured template in the Microsoft Entra admin center.

Importante

Las directivas de plantilla de acceso condicional excluirán solo al usuario que crea la directiva de la plantilla. Si su organización necesita excluir otras cuentas, podrá modificar las directivas una vez creadas. Puede encontrar estas directivas en el Centro de administración de Microsoft Entra>Protección>Acceso condicional>Directivas. Seleccione una directiva para abrir el editor y modificar los usuarios y grupos excluidos para seleccionar las cuentas que desea excluir.

De manera predeterminada, cada directiva se crea en un modo de solo informe, por lo que se recomienda que las organizaciones prueben y supervisen su uso para garantizar el resultado previsto antes de activar cada directiva.

Las organizaciones pueden seleccionar plantillas de directiva individuales y:

  • Ver un resumen de la configuración de directiva.
  • Editar para personalizar en función de las necesidades de la organización.
  • Exportar la definición JSON para su uso en flujos de trabajo mediante programación.
    • Estas definiciones JSON se pueden editar e importar en la página principal de Directivas de acceso condicional mediante la opción Importar archivo de directiva.

Otras directivas comunes

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

  • Cuentas de acceso de emergencia para evitarel bloqueo de cuentas en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
  • Cuentas de servicio y entidades de servicio, como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las cuentas de servicio como estas se deben excluir porque MFA no se puede completar mediante programación. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional con ámbito a los usuarios. Use el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
    • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas. Como solución temporal, puede excluir estas cuentas específicas de la directiva de línea de base.

Pasos siguientes