Acceso condicional para las identidades de carga de trabajo

  • Artículo

Las directivas de acceso condicional históricamente se aplican a los usuarios cuando accedían a aplicaciones y servicios como SharePoint en línea. Ahora estamos ampliando la compatibilidad con las directivas de acceso condicional que se van a aplicar a las entidades de servicio que pertenecen a la organización. Esta funcionalidad se llama acceso condicional para identidades de carga de trabajo.

Una identidad de carga de trabajo es una identidad que permite a una aplicación o entidad de servicio acceder a los recursos, a veces en el contexto de un usuario. Estas identidades de carga de trabajo difieren de las cuentas de usuario tradicionales ya que:

  • No puede realizar la autenticación multifactor.
  • Normalmente no tienen ningún proceso de ciclo de vida formal.
  • Es necesario almacenar sus credenciales o secretos en algún lugar.

Estas diferencias dificultan la administración de las identidades de carga de trabajo y las ponen en mayor riesgo.

Importante

Las licencias Premium de identidades de carga de trabajo son necesarias para crear o modificar directivas de acceso condicional limitadas a las entidades de servicio. En directorios sin las licencias adecuadas, las directivas de acceso condicional existentes para las identidades de carga de trabajo seguirán funcionando, pero no se pueden modificar. Para obtener más información, consulte identidades de carga de trabajo de Microsoft Entra.  

Nota:

La directiva se puede aplicar a entidades de servicio de un solo inquilino que se hayan registrado en el inquilino. Las aplicaciones SaaS y multiinquilino de terceros se encuentran fuera del ámbito. La directiva no abarca a las identidades administradas.

El acceso condicional para las identidades de carga de trabajo permite bloquear las entidades de servicio desde fuera de intervalos IP públicos de confianza, en función del riesgo detectado por la protección de identificadores de Microsoft Entra o en combinación con contextos de autenticación.

Implementación

Creación de una directiva de acceso condicional basada en la ubicación

Cree una directiva de acceso condicional basada en la ubicación que se aplique a las entidades de servicio.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Crear nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En ¿A qué se aplica esta directiva?, seleccione Identidades de carga de trabajo.
    2. En Incluir, elija Select service principals (Seleccionar entidades de servicio) y seleccione las entidades de servicio adecuadas de la lista.
  6. En Recursos de destino>Aplicaciones en la nube>Incluir, seleccione Todas las aplicaciones en la nube. La directiva solo se aplica cuando una entidad de servicio solicite un token.
  7. En Condiciones>Ubicaciones, incluya Cualquier ubicación y excluya Ubicaciones seleccionadas donde quiera permitir el acceso.
  8. En Conceder, Bloquear acceso es la única opción disponible. El acceso se bloquea cuando se realiza una solicitud de token desde fuera del intervalo permitido.
  9. La directiva se puede guardar en modo de solo informe, lo que permite a los administradores estimar los efectos, o bien la directiva se aplica activando la directiva.
  10. Seleccione Crear para completar la directiva.

Creación de una directiva de acceso condicional basada en riesgos

Cree una directiva de acceso condicional basada en riesgo que se aplique a las entidades de servicio.

Creación de una Directiva de acceso condicional con una identidad de carga de trabajo y un riesgo como condición.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección> Acceso condicional.
  3. Seleccione Crear nueva directiva.
  4. Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En ¿A qué se aplica esta directiva?, seleccione Identidades de carga de trabajo.
    2. En Incluir, elija Select service principals (Seleccionar entidades de servicio) y seleccione las entidades de servicio adecuadas de la lista.
  6. En Recursos de destino>Aplicaciones en la nube>Incluir, seleccione Todas las aplicaciones en la nube. La directiva solo se aplica cuando una entidad de servicio solicite un token.
  7. En Condiciones>Riesgo de la entidad de servicio
    1. Defina la opción Configurar a .
    2. Seleccione los niveles de riesgo en los que quiere que se desencadene esta directiva.
    3. Seleccione Listo.
  8. En Conceder, Bloquear acceso es la única opción disponible. El acceso se bloquea cuando se ven los niveles de riesgo especificados.
  9. La directiva se puede guardar en modo de solo informe, lo que permite a los administradores estimar los efectos, o bien la directiva se aplica activando la directiva.
  10. Seleccione Crear para completar la directiva.

Reversión

Si desea revertir esta característica, puede eliminar o deshabilitar las directivas creadas.

Registros de inicio de sesión

Los registros de inicio de sesión se usan para revisar cómo se aplica la directiva para las entidades de servicio o los efectos previsibles de la directiva si se usa el modo de solo informe.

  1. Vaya a Identidad>Supervisión y estado>Registros de inicio de sesión>Inicios de sesión de entidad de servicio.
  2. Seleccione una entrada de registro y elija la pestaña Acceso condicional para ver la información de evaluación.

Motivo del error cuando el acceso condicional bloquea una entidad de servicio: “el acceso se ha bloqueado debido a las directivas de acceso condicional.”

Modo de solo informe

Para ver los resultados de una directiva basada en ubicación, consulte la pestaña Solo informe de eventos del Informe de inicio de sesión o use el libro Información detallada e informes del acceso condicional.

Para ver los resultados de una directiva basada en riesgos, consulte la pestaña Solo informe de eventos del Informe de inicio de sesión.

Referencia

Búsqueda de objectID

Puede obtener el elemento objectID de la entidad de servicio en las aplicaciones empresariales de Microsoft Entra. No se puede usar el identificador de objeto de los registros de aplicaciones de Microsoft Entra. Este identificador es el identificador de objeto del registro de la aplicación, no de la entidad de servicio.

  1. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales, y busque la aplicación que registró.
  2. En la pestaña Información general, copie el identificador de objeto de la aplicación. Este identificador es el único de la entidad de servicio que usa la directiva de acceso condicional para buscar la aplicación que realiza la llamada.

Microsoft Graph

JSON de ejemplo para la configuración basada en la ubicación con el punto de conexión de Microsoft Graph beta.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Pasos siguientes