Directivas de acceso condicional y SharePoint

Al usar Microsoft Entra contexto de autenticación, puede aplicar condiciones de acceso más estrictas cuando los usuarios acceden a sitios de SharePoint.

Use contextos de autenticación para conectar una directiva de acceso condicional de Microsoft Entra a un sitio de SharePoint. Puede aplicar directivas directamente al sitio o aplicarlas a través de una etiqueta de confidencialidad.

No se puede aplicar esta funcionalidad al sitio raíz en SharePoint (por ejemplo, https://contoso.sharepoint.com).

Captura de pantalla del panel de directivas de acceso condicional.

Antes de empezar

Revise los requisitos previos de Administración avanzada de SharePoint.

Además, necesita una de las siguientes licencias:

  • Cumplimiento de Microsoft 365 E5/A5
  • Gobierno y protección de información de Microsoft 365 E5

Limitaciones

Algunas aplicaciones no funcionan con contextos de autenticación. Pruebe las aplicaciones en un sitio con el contexto de autenticación habilitado antes de implementar ampliamente esta característica.

Las siguientes aplicaciones y escenarios no funcionan con contextos de autenticación:

  • Versiones anteriores de aplicaciones de Office (consulte la lista de versiones admitidas)
  • Aplicaciones móviles de SharePoint (iOS y Android)
  • Viva Engage
  • No se puede agregar la aplicación OneNote a un canal si el sitio de SharePoint asociado tiene un contexto de autenticación.
  • Se produce un error en la carga de la grabación de reuniones del canal de Teams en los sitios con un contexto de autenticación.
  • Se produce un error al cambiar el nombre de la carpeta de SharePoint en Teams si el sitio tiene un contexto de autenticación.
  • Se produce un error en la programación del seminario web de Teams si OneDrive tiene un contexto de autenticación.
  • La aplicación Sincronización de OneDrive no sincronizará sitios con un contexto de autenticación.
  • No se admite la asociación de un contexto de autenticación a la colección de sitios del catálogo de aplicaciones empresariales.
  • La característica "Visualizar lista de SharePoint en Power BI" no admite actualmente el contexto de autenticación.
  • Outlook en Windows, Mac, Android e iOS no admiten la comunicación con sitios de SharePoint protegidos por un contexto de autenticación.
  • La característica de descarga de varios archivos no funciona actualmente cuando tanto el contexto de autenticación como "Usar el control de aplicación de acceso condicional" en el control de sesión están habilitados en la directiva de acceso condicional.
  • La característica de descarga de varios archivos no funcionará si un contexto de autenticación se establece directamente en un sitio de SharePoint sin una directiva de acceso condicional activa que use ese contexto, o si la directiva existe pero está deshabilitada.
  • La característica de copia y traslado de archivos entre distintas regiones (entre zonas geográficas) actualmente no funciona cuando se aplica un contexto de autenticación al sitio de destino.
  • La exportación a Excel como una consulta web de Excel (IQY) no admite actualmente el contexto de autenticación.

Configuración de un contexto de autenticación

Para configurar un contexto de autenticación para sitios etiquetados, complete estos pasos básicos:

  1. Agregue un contexto de autenticación en Microsoft Entra ID.

  2. Cree una directiva de acceso condicional que se aplique a ese contexto de autenticación y tenga las condiciones y los controles de acceso que desea usar.

  3. Realice uno de los pasos siguientes:

    1. Establezca una etiqueta de confidencialidad para aplicar el contexto de autenticación a sitios etiquetados.

    2. Aplique el contexto de autenticación directamente a un sitio.

En este artículo, verá el ejemplo de exigir a los invitados que acepten los términos de uso antes de obtener acceso a un sitio de SharePoint confidencial. También puede usar cualquiera de las demás condiciones de acceso condicional y controles de acceso que pueda necesitar para su organización.

Adición de un contexto de autenticación

En primer lugar, agregue un contexto de autenticación en Microsoft Entra ID.

Para agregar un contexto de autenticación:

  1. En Microsoft Entra acceso condicional, en Administrar, seleccione Contexto de autenticación.

  2. Seleccione Nuevo contexto de autenticación.

  3. Escriba un nombre y una descripción y active la casilla Publicar en aplicaciones .

    Captura de pantalla de la interfaz de usuario de agregar contexto de autenticación

  4. Haga clic en Guardar.

Crear una directiva de acceso condicional

A continuación, cree una directiva de acceso condicional que se aplique a ese contexto de autenticación y requiera que los invitados acepten los términos de uso como condición de acceso.

Para crear una directiva de acceso condicional, haga lo siguiente:

  1. En Microsoft Entra acceso condicional, seleccione Nueva directiva.

  2. Escriba un nombre para la directiva.

  3. En la pestaña Usuarios y grupos , elija la opción Seleccionar usuarios y grupos y, a continuación, active la casilla Usuarios invitados o externos .

  4. Elija Usuarios invitados de colaboración B2B en la lista desplegable.

  5. En la pestaña Aplicaciones o acciones en la nube, en Seleccionar a qué se aplica esta directiva, elija Contexto de autenticación y active la casilla del contexto de autenticación que ha creado.

    Captura de pantalla de las opciones de contexto de autenticación en la configuración de acciones o aplicaciones en la nube para una directiva de acceso condicional.

  6. En la pestaña Conceder , active la casilla de los términos de uso que desea usar y, a continuación, seleccione Seleccionar.

  7. Elija si desea habilitar la directiva y, a continuación, seleccione Crear.

Aplicar el contexto de autenticación directamente a un sitio

Puede aplicar directamente un contexto de autenticación a un sitio de SharePoint mediante el cmdlet Set-SPOSite de PowerShell.

Nota:

Esta funcionalidad requiere una licencia de administración avanzada de Microsoft 365 E5 o Microsoft SharePoint.

En el ejemplo siguiente, se aplica el contexto de autenticación que creó anteriormente a un sitio denominado "research".

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Establecer una etiqueta de confidencialidad para aplicar el contexto de autenticación a sitios etiquetados

Si desea usar una etiqueta de confidencialidad para aplicar el contexto de autenticación, actualice una etiqueta de confidencialidad (o cree una nueva) para usar el contexto de autenticación.

Nota:

Las etiquetas de confidencialidad requieren Microsoft 365 E5 o Microsoft 365 E3 más la licencia de cumplimiento avanzado.

Para actualizar una etiqueta de confidencialidad

  1. En el portal de Microsoft Purview, en la pestaña Protección de la información , seleccione la etiqueta que desea actualizar y, a continuación, seleccione Editar etiqueta.

  2. Seleccione Siguiente hasta que esté en la página Definir la configuración de protección para grupos y sitios .

  3. Asegúrese de que la casilla Configuración de uso compartido externo y acceso condicional esté activada y, a continuación, seleccione Siguiente.

  4. En la página Definir el uso compartido externo y la configuración de acceso a dispositivos, active la casilla Usar Microsoft Entra acceso condicional para proteger sitios de SharePoint etiquetados.

  5. Seleccione la opción Elegir un contexto de autenticación existente .

  6. En la lista desplegable, elija el contexto de autenticación que desea usar.

    Captura de pantalla de Microsoft Entra configuración de la etiqueta de confidencialidad del contexto de autenticación

  7. Seleccione Siguiente hasta que esté en la página Revisar la configuración y finalizar y, a continuación, seleccione Guardar etiqueta.

Después de actualizar la etiqueta, los invitados que accedan a un sitio de SharePoint (o a la pestaña Files de un equipo) con esa etiqueta deben aceptar los términos de uso antes de obtener acceso a ese sitio.

Bloquear aplicaciones en segundo plano

Si establece el contexto de autenticación en un sitio, los administradores pueden optar por impedir que las aplicaciones en segundo plano accedan a ese sitio para las aplicaciones asignadas con ese contexto de autenticación en una directiva de acceso condicional. Puede configurar una directiva de acceso condicional para que se pueda asignar un contexto de autenticación específico a las entidades de seguridad de aplicación elegidas (aplicaciones que no sean de Microsoft). Debe activar explícitamente esta característica mediante el siguiente cmdlet. Debe tener al menos una directiva de acceso condicional con una entidad de seguridad de aplicación configurada.

Set-SPOTenant -BlockAppAccessWithAuthenticationContext $false/$true (default false)

Integración de aplicaciones de terceros

Las aplicaciones de terceros que usan sitios con contexto de autenticación asociado deben poder controlar el desafío de notificaciones. Consulte guía para desarrolladores sobre el contexto de autenticación de acceso condicional.

Vea también

Usar etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint

Acceso condicional: aplicaciones en la nube, acciones y contexto de autenticación

Instrucciones de licencias de Microsoft 365 para la seguridad y el cumplimiento

  • Last updated on