Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

Azure Information Protection: Acceso Condicional a documentos

La combinación de Azure AD Premium y Azure Information Protection abre un sinfín de posibilidades de protección de contenido basado en condiciones. Hoy te contamos las claves.

Ahh, me encanta el Acceso Condicional de Azure AD Premium.

Defines políticas para controlar el acceso a aplicaciones protegidas basándote en diferentes condiciones, como la identidad del usuario, el tipo de dispositivo que se utiliza para acceder a la aplicación, el estado del dispositivo, la ubicación de acceso (red interna vs internet), e incluso factores de riesgo (login desde dispositivos en riesgo, salto imposible, etc.). Luego combinas esas condiciones para controlar, no sólo el acceso a una aplicación específica, sino también si se aplican controles adicionales durante el inicio de sesión, como MFA o exigir que el dispositivo esté unido a dominio. ¡Y todo en dos clics!

Azure Information Protection (AIP) es otro gran servicio del que me declaro fan incondicional (nunca mejor dicho). Ya he escrito algunos artículos explicando su uso, tanto en la revista CompartiMOSS como en este mismo blog, por lo que no voy a entrar en detalles técnicos. La idea es que defines directivas AIP para etiquetar y proteger documentos. Esos documentos protegidos los puedes compartir, pero el acceso se controla a través de la autenticación en Azure AD.

Pues bien, ahora el Acceso Condicional de Azure AD se combina con AIP para ofrecer una nueva capa de protección a los contenidos corporativos. Dependiendo de las condiciones de acceso al documento etiquetado por AIP, se puede bloquear el acceso, o bien permitir, si se cumplen ciertos requisitos.

¿Cómo funciona?

En el momento de definir una política de Acceso Condicional, optamos porque dicha política aplique a Azure Information Protection.

Además, seleccionamos los usuarios a los cuales va a aplicar la política, definimos condiciones adicionales, como localizaciones o dispositivos de acceso, y aplicamos el control de acceso.

Por ejemplo, podemos requerir MFA como condición para poder acceder a documentos confidenciales abiertos por miembros del departamento Legal, desde dispositivos móviles.

Estos son algunos de los escenarios más comunes para políticas de Acceso Condicional aplicadas a contenido protegido por AIP:

  • Requerir autenticación multifactor: forzar MFA para acceder a documentos protegidos, lo cual ayuda a la protección contra credenciales robadas o comprometidas.
  • Dispositivo controlado o unido a dominio: permitir el acceso sólo si el dispositivo del usuario está unido a dominio o cumple con las directivas MDM/MAM (Intune).
  • Inicio de sesión de riesgo: bloquear el acceso cuando el inicio de sesión del usuario está definido como “de riesgo” (p.e. saltos imposibles, inicio de sesión desde dispositivo de otro usuario, etc)
  • Red de confianza: bloquear el acceso cuando el usuario no está en las oficinas de la empresa, de manera que sólo se podrá acceder a contenido sensible desde una red de confianza.

Como podéis imaginar, esto abre un enorme abanico de posibilidades de protección granular, que en combinación con otras características de Azure AD Premium (por ejemplo los grupos dinámicos), convierte la protección del contenido corporativo en una actividad sumamente fácil, flexible, y dirigida.

Vídeo sobre Azure Information Protection: Acceso Condicional a documentos

En el siguiente vídeo podéis ver cómo llevamos todo esto a ala práctica:

¡Seguid atentos a este blog que aún tenemos muchas novedades que contaros!

mm

Sobre Pablo Ortiz Baiardo

Cloud Solutions Specialist en ENCAMINA, especializado en seguridad e infraestructuras. Llevo toda la vida trabajando con tecnologías Microsoft. MCSE Cloud Platform & Infrastructure , MCSE SharePoint, MCSE Productivity, MCSA Windows Server 2012. Soy un apasionado de la tecnología y disfruto aportando mi energía en proyectos de arquitectura y seguridad de Microsoft cloud.
Esta entrada ha sido publicada en Azure, Cloud, seguridad, Sin categoría. Enlace permanente.
ENCAMINA, piensa en colores