Cerrar
InicioAzureBloquear aplicaciones desde AzureAD

Bloquear aplicaciones desde AzureAD

Es muy probable que en alguna ocasión se os haya solicitado el bloquear el acceso a alguna aplicación de Office 365 u otra aplicación registrada en Azure, evitando que un usuario, grupo o todos los usuario de un directorio puedan iniciar sesión.

Tenemos varias formas de hacerlo, a continuación os comentaré algunas de ellas:

  • Retirar una aplicación de la licencia de un usuario
  • Denegar el acceso mediante políticas de Acceso Condicional
  • Denegar el inicio de sesión sobre la aplicación

Aquí os dejo una pequeña infografía al respecto:

Ahora que ya tenemos identificadas algunas de las alternativas que tenemos para bloquear el acceso a las aplicaciones registradas en AzureAD, vamos a ver como podemos configurar cada una de ellas.

Retirar licencias

La opción más “sencilla” pero “manual” es la de retirar la licencia por aplicación a los usuarios, de esta forma evitamos que un usuario pueda utilizarla. El proceso es sencillo, bien podemos hacerlo desde el Centro de administración de Office 365 o desde el Portal de Azure.

Si lo hacemos desde el Centro de administración de Office 365 tenemos que buscar el usuario en cuestión, ir a licencias y en la sección de aplicaciones:

Ahora debemos desmarcar la casilla de las aplicaciones que no queramos que el usuario pueda utilizar:  

El resultado cuando el usuario trate de iniciar sesión en las aplicación deshabilitada, es la siguiente:

Si queremos hacer lo mismo pero desde AzureAD accedemos al Portal de Azure, nos vamos a Azure Active Directory donde debemos buscar al usuario, acceder a sus opciones y en la sección de licencias accedemos al producto en cuestión

Y pulsamos en sobre la aplicación a desactivar para mover la casilla de Activado a Desactivado:

Este proceso puede realizarse también mediante PowerShell (Asignar licencias a cuentas de usuario con PowerShell de Office 365), lo que nos permitirá “automatizar” este proceso para los usuarios de nuestro directorio. Desde el Centro de administración de Office 365 podemos seleccionar varios usuarios y editarlos en modo bulk desde la opción de Administrar licencias de producto: 

Aquí en función de si los usuarios tienen ya licencia o no elegiremos una de las siguientes opciones, en mi caso los usuarios tenían una licencia E3 por lo que voy a elegir la opción Reemplazar asignaciones de licencia de producto existentes:

En la sección de la licencia de Office 365 E3 activamos cada una de las aplicaciones que queramos habilitar para el usuario

Y por último pulsamos en Replace

Con esto, ahora los usuarios que hemos seleccionado tendrán disponibles las aplicaciones que hemos activado y la que no, no las podrá utilizar.

Acceso Condicional: para poder configurar el acceso condicional necesitamos subir el nivel de AzureAD a Premium 1 como mínimo, para ello necesitamos un usuario (como mínimo) con alguna de las siguientes licencias:

  • Azure AD Premium P1
  • Azure AD Premium P2
  • Enterprise Mobility + Security E3 or A3
  • Enterprise Mobility + Security E5 or A5
  • Microsoft 365 E3 or A3, Microsoft 365 E5 or A5, Microsoft 365 F1
  • Microsoft 365 Business

Una vez tengamos nuestro AzureAD en nivel Premium 1, podemos iniciar la configuración de las directivas de acceso condicional. La configuración es muy sencilla, nos vamos al Portal de Azure y nos vamos a Azure Active Directory – Seguridad – Acceso Condicional y pulsamos en Nueva directiva:

Seleccionamos el usuario o grupos de usuarios a los cuales vamos a aplicar esta directiva de bloqueo de aplicaciones:

Seleccionamos las aplicaciones registradas en AzureAD que queremos bloquear

Definimos que queremos Bloquear acceso:

Activamos la directiva y pulsamos en Guardar:

Ahora, si los usuarios tratan de iniciar sesión en la aplicación bloqueada …

Personalmente, creo que, esta es la mejor de las opciones, puesto que no tenemos que ir retirando licencias usuario por usuario (o en bulk), el efecto es inmediato y podemos aplicarlo por grupos de usuarios. Además, con un sólo usuario con licencia de Azure Premium 1 podemos generar una directiva para todos los usuarios (nota rápida: que se pueda hacer no quiere decir que esté bien licenciado, pero para algo rápido o de urgencia es viable).

Denegar el inicio de sesión en aplicaciones registradas en Azure: esto nos permite directamente a nivel de aplicación denegar el inicio de sesión de todos los usuarios del directorio. No es granular, pero si tenemos alguna necesidad de bloquear el inicio de sesión a todos los usuarios en alguna aplicación, esto es lo más fácil (y sin licenciamiento).

El proceso es simple, desde el Portal de Azure nos vamos a Azure Active Directory:

Vamos a la sección Aplicaciones Empresariales y buscamos la aplicación a bloquear 

Una vez que accedamos a aplicación a bloquear, nos vamos a la sección Propiedades y cambiamos a No la opción ¿Habilitado para que los usuarios inicien sesión?:

Ahora ya tenemos denegado el inicio de sesión en dicha aplicación, como vemos es muy sencillo.

Comentar que, otras aplicaciones tienen más opciones de configuración y nos permite definir asignación de usuarios, permitiendo únicamente iniciar sesión en la aplicación a los usuarios que permitamos:

Como podemos observar es muy sencillo, cada uno tiene sus particularidades, es cuestión que escojáis lo que más se os adapte a vosotros.

Ahora, como siempre, os toca probarlo a vosotros!!

Azure: Private Link
Microsoft Teams: Eti
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This