Administración del acceso externo a los recursos mediante directivas de acceso condicional

El acceso condicional interpreta señales, aplica directivas y determina si se concede acceso a los recursos a un usuario. En este artículo obtendrá información sobre cómo aplicar directivas de acceso condicional a usuarios externos. En el artículo se asume que es posible que no tenga acceso a la administración de derechos, una característica que puede usar con el acceso condicional.

Más información:

En el diagrama siguiente se muestran las señales al acceso condicional que desencadenan procesos de acceso.

Diagrama de entrada de señal de acceso condicional y procesos de acceso resultantes.

Antes de empezar

Este artículo es el número 7 de una serie de 10 artículos. Se recomienda leer los artículos en orden. Vaya a la sección Pasos siguientes para ver toda la serie.

Alineación de un plan de seguridad con directivas de acceso condicional

En el tercer artículo, en el conjunto de 10 artículos, hay instrucciones sobre cómo crear un plan de seguridad. Use ese plan para ayudar a crear las directivas de acceso condicional para el acceso externo. Parte del plan de seguridad incluye:

Aplicaciones y recursos agrupados para el acceso simplificado
Los requisitos de inicio de sesión para usuarios externos

Importante

Cree cuentas de prueba de usuarios internos y externos para probar las políticas antes de aplicarlas.

Consulte el artículo tres: Creación de un plan de seguridad para el acceso externo a los recursos.

Directivas de acceso condicional para el acceso externo

Las siguientes secciones son los procedimientos recomendados para controlar el acceso externo con políticas de acceso condicional.

Administración de derechos o grupos

Si no puede usar organizaciones conectadas en la administración de derechos, cree un grupo de seguridad de Microsoft Entra o un grupo de Microsoft 365 para organizaciones asociadas. Asigne usuarios de ese asociado al grupo. Puede usar los grupos en las directivas de acceso condicional.

Más información:

Creación de directivas de acceso condicional

Cree el menor número posible de directivas de acceso condicional. En el caso de las aplicaciones que tengan los mismos requisitos de acceso, agréguelas a la misma directiva.

Las directivas de acceso condicional se aplican a un máximo de 250 aplicaciones. Si hubiera más de 250 aplicaciones con los mismos requisitos de acceso, duplique las directivas. Por ejemplo, la directiva A se aplica a las aplicaciones 1 a 250, la política B se aplica a las aplicaciones 251 a 500, y así sucesivamente.

Convención de nomenclatura

Use una convención de nomenclatura que aclare el propósito de la directiva. Algunos ejemplos de acceso externo son:

AccesoExterno_accionrealizada_GrupoApp
BloqueoDeAccesoExterno_AppsFinancieras

Permitir el acceso externo a los usuarios externos específicos

Hay escenarios en los que será necesario permitir el acceso a un grupo pequeño y específico.

Antes de empezar se recomienda crear un grupo de seguridad que contenga los usuarios externos que acceden a los recursos. Consulte Administración de grupos y pertenencia a grupos de Microsoft Entra.

Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
Vaya a Entra ID>Acceso condicional.
Seleccione Crear nueva directiva.
Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
1. En Incluir, seleccione Todos los invitados y usuarios externos.
2. En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia o cuentas de emergencia (break-glass) de su organización y el grupo de seguridad de usuarios externos.
En Recursos de destino>Recursos (anteriormente aplicaciones de la nube), seleccione las siguientes opciones:
1. En Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube")
2. En Excluir, seleccione las aplicaciones que desea excluir.
En Controles de acceso>, seleccione Bloquear acceso y, a continuación, seleccione Seleccionar.
Seleccione Crear para habilitar la directiva.

Nota:

Después de que los administradores confirmen la configuración mediante el modo de solo informe, pueden mover el botón de alternancia Habilitar directiva de solo informe a Activado.

Más información: Administrar cuentas de acceso de emergencia en microsoft Entra ID

Acceso del proveedor de servicios

Las directivas de acceso condicional para usuarios externos podrían interferir con el acceso del proveedor de servicios. Por ejemplo: los privilegios de administración delegados pormenorizados.

Más información: Introducción a privilegios de administrador delegados pormenorizados (GDAP)

Plantillas de acceso condicional

Las plantillas de acceso condicional son un método cómodo para implementar nuevas directivas alineadas con las recomendaciones de Microsoft. Estas plantillas proporcionan protección alineada con las directivas de uso frecuente en varios tipos y ubicaciones de clientes.

Más información: Plantillas de acceso condicional (versión preliminar)

Pasos siguientes

Use la siguiente serie de artículos para obtener más información sobre cómo proteger el acceso externo a los recursos. Se recomienda seguir el orden indicado.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-04-30