Cerrar

A buen seguro que, para los que habéis habilitado MFA para vuestros usuarios los cuales utilizan AVD, os habéis encontrado la situación de que si publicáis aplicaciones y tenéis habilitado el MFA algún problema os habréis encontrado. La típica aplicación que luego quiere abrir nuestro Outlook para hacer envíos y le solicita al usuario la autenticación doble factor y .. no es para nada práctico.

Todos entendemos que el MFA es de las cosas más importante para “garantizar” la seguridad de nuestros usuarios, pero al igual que tenemos mecanismos para evitar que siempre se nos pida la autenticación de doble factor (sesiones vía DFS, IP Públicas, etc..) también buscamos en ocasiones el poder evitar la autenticación desde determinados dispositivos.

Voy a mostraros como podemos habilitar el MFA para los usuarios pero utilizando el acceso condicional, el cual, nos permitirá forzar MFA evitando que se aplique bajo determinadas condiciones. Bajo mi punto de vista esto es mejor que forzar el MFA por usuario directamente, puesto que ahí siempre les solicitará a los usuarios la doble autenticación a excepción de que excepcionemos la IP Pública, etc.. pero algo poco operativo y flexible. Con el acceso condicional podemos elegir cuando forzar el MFA a nivel de aplicaciones, ubicaciones de red, etc. y también dispositivos que es justo lo que vamos a ver ahora.

Hoy será un artículo más gráfico y de idea que de texto, voy a mostraros como podemos aplicar diferentes filtros de conexiones en un mismo host de sesión en AVD. Básicamente, lo que buscamos en tener uno o varios host de sesión de Azure Virtual Desktop donde se puedan conectar nuestros usuarios los cuales queremos aplicarles diferentes filtrados.

Si contamos con algún NVA en Azure, pues lo podréis realizar ya directamente ahí, pero sino es el caso [bien por coste o por otro motivo], siempre podéis recurrir a vuestro Windows Firewall y aplicar reglas a vuestros usuarios en función del grupo de seguridad de ADDS al que pertenezcan.

Con la deslocalización de nuestros usuarios, nos quedamos sin poder configurar los filtrados web y/o aplicaciones que si tenemos cuanto están bajo nuestro firewall. Pues bien, voy a mostraros como con Microsoft Defender 365 + Intune + Cloud App Security podemos conseguir “casi lo mismo” que si tenemos a nuestros usuarios bajo el paraguas de nuestro firewall.

Este artículo irá muy centrado a la configuración específica de habilitarlo y verlo funcionar, puesto que el resto de configuraciones creo que son muy intuitivas y no necesitan muchas aclaraciones. Eso si, antes de empezar con la configuración tenemos que conocer los requisitos que debemos cumplir previamente:

  • Windows 10 Enterprise E5
  • Microsoft 365 E5
  • Seguridad de Microsoft 365 E5
  • Microsoft 365 E3 + Seguridad de Microsoft 365 E5 complemento o la licencia independiente de Microsoft Defender para Endpoint
  • Los dispositivos de la organización ejecutan Windows 10 Anniversary Update (versión 1607) o posterior, o Windows 11 con las actualizaciones antivirus/antimalware más recientes.
  • Windows Defender SmartScreen y Network Protection están habilitados en los dispositivos de la organización.

Como vemos, no son pocos requisitos, puesto que nos llevará a pagar el licenciamiento más alto que tenemos en los planes de MSFT, pero si lo comparáis con otras soluciones del mercado a lo mejor os cambia la opinión [no quiero entrar en más controversia, cada uno que elija la solución que más le encaje].

Recientemente hemos hablado de como securizar nuestras máquinas virtuales en un entorno de AVD (Azure Virtual Desktop), utilizando AppLocker y los NGS de Azure [Azure Virtual Desktop: utilizando AppLocker y NSG para securizar tus sesiones remotas – Blog Santiago Buitrago (santiagobuitragoreis.com)]. Pues hoy veremos como podemos aplicar medidas de seguridad adicionales:

  • Que los usuarios solo pueda ejecutar aplicaciones dentro de nuestros AVD
  • Forzar la autenticación multifactor (MFA) para el acceso a AVD

Esto nos permitirá garantizar de forma sencilla que los usuarios solo tienen acceso a nuestros servicios corporativos desde los AVD, donde podemos/debemos aplicar medidas de seguridad de auditoría, control, corrección y monitorización en tiempo real. En este caso, buscamos que los usuarios puedan ejecutar aplicaciones registradas en AzureAD (Exchange, SharePoint, OneDrive, Teams, etc… ) desde nuestros AVD, utilizando para ello configuraciones específicas de Acceso Condicional definidas en Azure Active Directory.

Archivos
  • 2022 (6)
  • 2021 (35)
  • 2020 (37)
  • 2019 (55)
  • 2018 (47)
  • 2017 (47)
  • 2016 (24)
  • 2015 (107)
  • 2014 (139)
  • 2013 (311)
  • 2012 (353)

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies