Siguiendo con la serie de artículos sobre Microsoft Defender for Cloud App, voy a mostraros como podéis integrarlo con el contexto de autenticación configurado desde el acceso condicional. Para los que nos conozcáis que es el contexto de autenticación, esto nos permite proteger y controlar las acciones de nuestros usuarios en las aplicaciones de negocio. En ejemplo os voy a mostrar como podemos conectarnos a Exchange Online vía WEB (OWA) pero si lo haces desde un equipo NO administrado no se te permite la descarga de documentos o copiar/pegar texto de los correos.

Para no extenderme demasiado, previamente debéis tener configurada una directiva de acceso condicional el control de sesión habilitada mediante la opción Utilizar el Control de aplicaciones de acceso condicional/Usar directiva personalizada.. A continuación os dejo un enlace del artículo donde explico esto:  Microsoft Defender for Cloud Apps: Acceso Condicional para Bloquear Descargas – Blog Santiago Buitrago (santiagobuitragoreis.com).

La configuración consta de tres sencillos pasos:

1. Crear un contexto de autenticación
2. Crear directiva de acceso condicional
3. Crear directiva de control de sesión en Microsoft Defender for Cloud App

Siguiendo con la serie de artículos sobre Microsoft Defender for Cloud Apps, hoy voy a mostrarnos como darle continuidad a las cosas bien hechas en el pasado a la hora de desplegar nuevas configuraciones. Este artículo es súper sencillo, básicamente os voy a mostrar como podemos forzar la autenticación vía certificados digitales (de usuario) con directivas de Acceso Condicional vía Cloud App. La configuración es básicamente una directiva sencilla que nos llevará 1 min crearla y habremos dado un plus de seguridad a los inicio de sesión de nuestros usuarios en las aplicaciones registradas en Cloud App.

Que ocurre, que para que sea 1 min esta configuración de seguridad debemos tener adapta previamente nuestra infraestructura (“darle continuidad a las cosas bien hechas en el pasado“), porque realmente debemos invertir algún tiempo previo para configurar todo lo necesario para que luego solo sean hacer dos o tres clics. No me voy a cansar de repetir que no debemos escatimar en esfuerzos por hacer las bien, dedicarle el tiempo necesario a aprender las diferentes tecnologías con las que deberíamos estar familiarizados para que luego todo ocurran según lo esperado. No digo que si se hace todo bien no se tengan problema, sino que si nos preocupamos de hacer la cosas bien, seguro que tenemos muchas probabilidades de que las cosas funcionen mejor. Que el adoptar un servicio adicional en nuestra infraestructura no sea una tortura, que no demos nada por sabido y que siempre vayamos con ganas e ilusión de aprender cosas nuevas.

Para este artículo debemos tener configurado el conector de certificados de Intune, aquí os dejo un artículo que había publicado en su momento: Microsoft Endpoint Manager: Conectores de certificado para Microsoft Intune. Aunque la configuración del certificados es por dispositivos, tendréis que configurar una plantilla de certificados para usuarios, aquí os dejo un enlace os muestra como se tiene que hacer: Configure and use PKCS certificates with Intune

Algo súper esperado por todos los que administramos entornos Windows y, concretamente en entornos híbridos o 100% Cloud era la “integración nativa de LAPS” en Azure. Hasta la fecha esa integración como tal la teníamos en entornos On-Premises [Configurar Local Administrator Password Solution (LAPS) vía GPO en nuestro Directorio Activo], pero en Cloud acaba de liberarse en versión preview pero creo que se podría implementar en producción sin asumir muchos riesgos.

Para los que no conozcáis LAPS (espero seáis muy poquitos o ninguno), es la posibilidad de gestionar las contraseñas de los administradores locales de nuestros equipos unidos a un dominio ADDS, evitando así tener la misma contraseña en todas las cuentas de administrador local de nuestros equipos de la red. “Básicamente” disponer de un “servicio” de cambios de contraseña del administrador local de los equipos del dominio y tener su contraseña almacenada en un atributo de cada equipo. Ahora, LAPS es vital para los siguientes escenarios:

• Hacer una copia de seguridad de las contraseñas de cuenta de administrador local en Azure Active Directory (para dispositivos unidos a Azure Active Directory)
• Hacer una copia de seguridad de las contraseñas de cuenta de administrador local para Windows Server Active Directory (para clientes y servidores unidos a Windows Server Active Directory)
• Hacer una copia de seguridad de las contraseñas de cuenta de DSRM en Windows Server Active Directory (para controladores de dominio de Windows Server Active Directory)
• Hacer una copia de seguridad de las contraseñas de cuenta de administrador local en Windows Server Active Directory mediante Microsoft LAPS heredado

Si queréis más info sobre un entorno de LAPS antes de esta nueva versión, aquí os dejo este artículo que había publicado en su momento: [Configurar Local Administrator Password Solution (LAPS) vía GPO en nuestro Directorio Activo].

Con la idea de darle continuidad al artículo anterior [Microsoft Defender for Cloud Apps: Acceso Condicional para Bloquear Descargas], voy a mostraros algunas políticas de acceso condicional que podéis configurar en Microsoft Defender for Cloud Apps. Políticas que os ayudarán a entender las capacidades que tiene este producto, algunas de las opciones que tenemos para que podáis ver la cantidad de posibilidades que tememos.

En este artículo vamos a configurar las siguientes políticas:

1. Desde equipos no administrados o sin cumplimiento evitar que se suban documentos a SPO o Teams sin etiquetas de seguridad
2. Desde equipos no administrados o sin cumplimiento evitar copiar/pegar e imprimir
3. Bloquear ciertas palabras en los mensajes enviados desde Teams
4. Evitar subir documentos de X tamaño (u otra condición) desde diferentes países
5. Todos los documentos que se suban a OneDrive se etiqueten automáticamente con las etiquetas de seguridad que tengamos preconfiguradas

Como en al artículo anterior [Microsoft Defender for Cloud Apps: Acceso Condicional para Bloquear Descargas], no voy a entrar en el detalle de la configuración de todo el entorno, sino me centraré en mostraros las políticas de protección y su aplicación práctica