Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visión general
Microsoft Entra ID está implementando un modelo de cumplimiento mejorado para las políticas de acceso condicional dirigidas a Todos los recursos e incluyen una o más exclusiones de recursos. Este cambio garantiza que los inicios de sesión que solicitan únicamente ámbitos básicos reciban las mismas protecciones de acceso condicional que el resto de accesos a recursos.
Anteriormente, los ámbitos de línea base se excluyeban automáticamente de la aplicación de directivas cuando existía una exclusión de recursos en una directiva Todos los recursos . Con este cambio, esos ámbitos ahora se evalúan como acceso a directorios y están sujetos a las directivas de acceso condicional incluso cuando la directiva tiene exclusiones.
Para obtener información técnica detallada, consulte Nuevo comportamiento de acceso condicional cuando una directiva de todos los recursos tiene una exclusión de recursos.
Importante
La implementación del modelo de aplicación para los ámbitos base comienza el 15 de junio de 2026.
Esta actualización de cumplimiento se alinea con la iniciativa de Futuro Seguro de Microsoft y las inversiones en defensa en profundidad. Microsoft recomienda adoptar el nuevo modelo de cumplimiento para mejorar la posición de seguridad. Para obtener más información, consulte Próximo cambio de acceso condicional: Aplicación mejorada para directivas con exclusiones de recursos.
¿Qué son los ámbitos de línea base?
Ámbitos básicos es un término genérico que engloba el siguiente conjunto de ámbitos:
-
Ámbitos de OpenID Connect (OIDC):
email,offline_access,openid,profile -
Ámbitos de directorio de línea base:
User.Read,User.Read.All,User.ReadBasic.All,People.Read,People.Read.All,GroupMember.Read.All,Member.Read.Hidden
¿Qué está cambiando?
Después del lanzamiento, los siguientes escenarios podrían desencadenar ahora desafíos de acceso condicional (como MFA o cumplimiento de dispositivos) en los que se concedió previamente el acceso sin cumplimiento:
-
Aplicaciones cliente públicas (como aplicaciones de escritorio) que solicitan solo ámbitos de línea base. Por ejemplo, un usuario inicia sesión en el cliente de escritorio de Visual Studio Code, que solicita los alcances
openidyprofile. Otro ejemplo es CLI de Azure, que solo solicitaUser.Read. -
Aplicaciones de cliente confidenciales (como aplicaciones web) que están excluidas de una directiva de «Todos los recursos» y solicitan únicamente ámbitos de directorio básicos. Por ejemplo, una aplicación web excluida de la directiva que solicita solo
User.ReadyPeople.Read.
Las dificultades concretas dependen de los controles de acceso configurados en las directivas dirigidas a Todos los recursos o que se dirigen explícitamente a Windows Azure Active Directory (también conocido como Azure AD Graph) como recurso.
Lo que no cambia
- Cuando una aplicación (pública o confidencial) solicita cualquier ámbito más allá de los ámbitos de línea base (por ejemplo,
Mail.Read), la aplicación ya está sujeta a la aplicación de la política de Acceso Condicional. Este comportamiento no cambia. - En el caso de las aplicaciones cliente confidenciales que se excluyen de todas las directivas de recursos y solicitan solo ámbitos de OIDC, no se espera ningún cambio.
Quién se ve afectado
Este cambio afecta al inquilino si se cumplen todas las condiciones siguientes:
- Tiene una o varias directivas de acceso condicional que tienen como destino Todos los recursos.
- Esas directivas tienen una o varias exclusiones de recursos.
- Los usuarios de su inquilino inician sesión a través de aplicaciones que solicitan únicamente ámbitos básicos.
Si las directivas tienen como destino Todos los recursos sin exclusiones de recursos, este cambio no le afecta.
Lo que usted debe hacer
Use la tabla siguiente para determinar las acciones necesarias para las aplicaciones:
| Tipo de aplicación | Propiedad | Acción requerida |
|---|---|---|
| Cliente del sector público que solicita solo alcances de línea base | Propiedad del inquilino o propiedad de ISV | Revise si estas aplicaciones deben permanecer exentas del cumplimiento del acceso condicional. Si hay motivos empresariales válidos para mantener una exención, consulte Conservar el comportamiento heredado con el comportamiento de personalización. |
| Cliente confidencial que solicita solo ámbitos de directorio de referencia, excluido de la directiva Todos los recursos | Propiedad del inquilino | Revise si la exclusión sigue siendo necesaria. Trabaje con los desarrolladores de aplicaciones para evaluar si la aplicación puede solicitar ámbitos de OIDC (como openid, profile) en lugar de ámbitos de directorio como User.Read para obtener información básica del usuario. Si las actualizaciones no se pueden completar antes de la implementación, consulte Conservar el comportamiento heredado con el comportamiento de personalización. |
| Cliente confidencial que solicita solo ámbitos de directorio de referencia, excluido de la directiva Todos los recursos | Propiedad de un proveedor independiente de software (ISV) | Revise si la exclusión sigue siendo necesaria. Póngase en contacto con el ISV para evaluar si la aplicación puede solicitar ámbitos OIDC en lugar de ámbitos de directorio. En la mayoría de los casos, los ámbitos de OIDC proporcionan el acceso con privilegios mínimos necesarios para estos escenarios. Si el ISV no puede realizar actualizaciones a tiempo, consulte Conservar el comportamiento heredado con el comportamiento de personalización. |
Importante
En el caso de las aplicaciones cliente públicas y confidenciales que pertenecen a su inquilino, asegúrese de que la aplicación puede controlar los desafíos de acceso condicional (por ejemplo, MFA o cumplimiento de dispositivos). Si no es así, es posible que se requieran actualizaciones de aplicaciones. Consulte las instrucciones para desarrolladores de acceso condicional sobre cómo actualizar la aplicación de forma adecuada.
Elige cómo se aplican los ámbitos de referencia
Este cambio de cumplimiento se aplica a todos los inquilinos como parte del lanzamiento. Puede controlar cómo se aplica mediante la configuración de los ámbitos de referencia. Puede habilitar la aplicación obligatoria inmediatamente en lugar de esperar a que se complete la implementación en su tenant, personalizarla a nivel de directiva para conservar el comportamiento heredado en escenarios específicos o excluirse temporalmente hasta que esté listo. El lanzamiento comienza el 15 de junio de 2026 y se implementará progresivamente durante varias semanas.
Tip
Puede actualizar la configuración de cumplimiento en cualquier momento desde la configuración de ámbitos de línea base.
Habilitación del cumplimiento (recomendado)
Puede habilitar el comportamiento de cumplimiento mejorado antes de que comience el lanzamiento. Use esta opción en un inquilino de prueba para revisar el impacto en las aplicaciones y los usuarios.
Puede habilitar la aplicación cuando haya revisado las exclusiones de aplicaciones en las directivas de Todos los recursos y no haya identificado ningún escenario similar a los descritos en la sección Quién debe usar esta configuración.
- Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
- Acceda a la configuración de ámbitos de referencia en Acceso condicional. Este vínculo directo es necesario para ver la configuración.
- Seleccione Habilitar cumplimiento.
- Haga clic en Guardar.
- Seleccione Habilitar el cumplimiento de nuevo para confirmar el cambio.
Nota:
Esta configuración habilita inmediatamente el comportamiento de acceso condicional actualizado para todas las directivas de recursos con exclusiones.
Como resultado, algunos inicios de sesión de usuario que antes no estaban sujetos a la aplicación de Acceso condicional ahora podrían ser evaluados y quedar sujetos a la aplicación de Acceso condicional al usar Windows Azure Active Directory como recurso de destino.
Para revertir al comportamiento heredado, vuelva a la configuración de ámbitos de línea base y seleccione Deshabilitar cumplimiento.
Personalización del comportamiento
Si necesita excluir directivas específicas de la aplicación, en lugar de excluir todo el inquilino, use la opción Personalizar el comportamiento. Este enfoque conserva el comportamiento heredado solo para las políticas que configure, mientras que la aplicación de las directivas se realiza en el resto.
Puede personalizar el comportamiento si ha identificado escenarios críticos para la empresa similares a los descritos en la sección Quién debe usar esta configuración que se vería afectado por este cambio. Puede usar esta opción para conservar el comportamiento heredado de directivas específicas.
Nota:
Microsoft recomienda alinearse con el nuevo modelo de cumplimiento. Use la opción Personalizar comportamiento solo si tiene escenarios específicos que requieren el comportamiento heredado para determinadas directivas.
Para personalizar el comportamiento, configure una aplicación personalizada para establecer los ámbitos de línea base de destino.
- Crear una aplicación: Registrar una nueva aplicación en Microsoft Entra ID para que sirva como recurso de destino personalizado para los ámbitos base. Registre la aplicación como una aplicación de un solo inquilino. No se necesita ninguna configuración adicional al registrar la aplicación.
- Excluir la aplicación de la directiva pertinente: en la directiva de acceso condicional donde necesita conservar el comportamiento heredado, excluya la aplicación personalizada de los recursos de destino.
- Seleccione la aplicación en la UX de Configuración de ámbitos de línea base: vaya a Configuración de ámbitos de línea base, seleccione Personalizar comportamiento, luego seleccione Guardar y elija la aplicación de marcador de la lista.
Después de completar estos pasos, los ámbitos base se evalúan con respecto a la aplicación personalizada de marcador de posición para esa directiva. Dado que la aplicación provisional está excluida de la directiva, el comportamiento heredado se conserva únicamente para esa directiva.
Quién debe usar la configuración de comportamiento de personalización
Use esta configuración solo si tiene escenarios específicos que requieren que conserve el comportamiento heredado. Algunos escenarios de ejemplo son:
- Todas las directivas de recursos que requieren un control de concesión para dispositivos compatibles: Tiene aplicaciones específicas que deben ser accesibles desde dispositivos no administrados.
- Todas las directivas de recursos con requieren un control de concesión de directivas de protección de aplicaciones: tiene aplicaciones cliente que no están integradas con el SDK de Microsoft Intune y no pueden satisfacer la directiva de protección de aplicaciones.
- Todas las directivas de recursos con control de bloqueo: tiene aplicaciones específicas que deben excluirse de la directiva de bloqueo.
- Clientes públicos que deben estar exentos de los requisitos de cumplimiento del dispositivo: Tiene aplicaciones específicas de cliente público que no deben estar sujetas al control de concesión de cumplimiento del dispositivo.
Nota:
Anteriormente en todos estos escenarios, si la directiva Todos los recursos tenía exclusiones de recursos y si las aplicaciones cliente solo se basaban en ámbitos de línea base, se concedió acceso sin que el inicio de sesión estuviera sujeto a la aplicación del acceso condicional. Después del cambio en la aplicación, solo se concede acceso una vez que el inicio de sesión cumple los requisitos de Acceso condicional.
Identificación de aplicaciones afectadas con un recurso de destino personalizado
Puede usar la configuración del alcance de referencia para identificar qué aplicaciones de su tenant se verán afectadas antes del despliegue. Después de seleccionar la opción Habilitar cumplimiento , los eventos de inicio de sesión en los que las aplicaciones solicitan ámbitos de línea base enumeran la aplicación personalizada como audiencia de acceso condicional en los registros de inicio de sesión. Para obtener más información, consulte Solución de problemas de inicio de sesión con el acceso condicional.
Consulta de aplicaciones afectadas
Use la siguiente consulta de Microsoft Graph para enumerar las aplicaciones que solicitan solo los ámbitos de línea base:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=createdDateTime ge 2026-05-26T00:00:00Z and createdDateTime lt 2026-05-27T00:00:00Z and conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=createdDateTime,appId,appDisplayName,userDisplayName,userPrincipalName,ipAddress,conditionalAccessStatus
Reemplace por <your-custom-app-id> el identificador de aplicación de la aplicación personalizada. Modifique los valores de marca de tiempo según sea necesario para el intervalo de tiempo específico.
Durante un período de varios días, el resultado de esta consulta proporciona una lista de aplicaciones cliente que solicitan solo ámbitos de línea base.
Deshabilitar la aplicación
Advertencia
No se recomienda la opción Deshabilitar cumplimiento en la configuración de ámbitos de línea base .
Al seleccionar esta opción, se deshabilita la aplicación de todas las políticas del tenant, lo que podría crear lagunas en la cobertura de Acceso condicional.
Si decide deshabilitar la aplicación obligatoria o personalizar el comportamiento, su organización seguirá usando el comportamiento que configure y el próximo despliegue no anulará el comportamiento configurado. Puede actualizar manualmente la configuración en cualquier momento accediendo a la configuración de ámbitos de línea base.
Experiencia del usuario
En los flujos de inicio de sesión de usuario en los que las aplicaciones cliente solicitan solo los ámbitos enumerados anteriormente, los usuarios ahora pueden recibir desafíos de acceso condicional (como MFA o cumplimiento de dispositivos). El desafío exacto depende de los controles de acceso configurados en las directivas que tienen como objetivo todos los recursos (con o sin exclusiones de recursos) o en las políticas que explícitamente tienen como objetivo Azure AD Graph.
En el ejemplo siguiente, el inquilino tiene una directiva de acceso condicional con los detalles siguientes:
- Enfocando a todos los usuarios y todos los recursos
- Exclusiones de recursos para una aplicación cliente confidencial y Exchange Online
- MFA se configura como control de concesión
Escenarios de ejemplo
| Escenario de ejemplo | Impacto del usuario (antes de → después) | Evaluación del acceso condicional |
|---|---|---|
| Un usuario inicia sesión en el cliente de escritorio de Visual Studio Code, que solicita permisos openid y de perfil. |
Antes: No se solicita MFA al usuario Después: Al usuario se le solicita MFA. |
El acceso condicional ahora se evalúa mediante Windows Azure Active Directory como audiencia para la aplicación de políticas. |
Un usuario inicia sesión con CLI de Azure, que solo solicita User.Read. |
Antes: No se solicita MFA al usuario Después: Al usuario se le solicita MFA. |
El acceso condicional ahora se evalúa mediante Windows Azure Active Directory como audiencia para la aplicación de políticas. |
Un usuario inicia sesión a través de una aplicación cliente confidencial (excluida de la directiva) que solicita solo User.Read y People.Read. |
Antes: No se solicita MFA al usuario Después: Al usuario se le solicita MFA. |
El acceso condicional ahora se evalúa mediante Windows Azure Active Directory como audiencia para la aplicación de políticas. |
No hay ningún cambio en el comportamiento cuando una aplicación cliente solicita un ámbito más allá de los enumerados anteriormente, como se muestra en los ejemplos siguientes.
Escenarios de ejemplo
| Escenario de ejemplo | Impacto en el usuario | Evaluación del acceso condicional |
|---|---|---|
Un usuario inicia sesión en una aplicación cliente confidencial (excluida de la directiva) que solicita acceso offline y acceso a SharePoint (Files.Read). |
Ningún cambio en el comportamiento | El acceso condicional se sigue aplicando en función del recurso de SharePoint. |
Un usuario inicia sesión en el cliente de sincronización de escritorio de OneDrive. OneDrive solicita acceso sin conexión y acceso a Exchange Online (Mail.Read). |
Ningún cambio en el comportamiento | No se aplica el acceso condicional porque Exchange Online se excluye de la directiva. |
La mayoría de las aplicaciones solicitan ámbitos más allá de los mencionados anteriormente y ya están sujetas a la aplicación de acceso condicional, a menos que se excluyan explícitamente de la directiva. En tales casos, no hay ningún cambio en el comportamiento.
Es posible que las aplicaciones personalizadas diseñadas intencionadamente para solicitar solo los ámbitos enumerados anteriormente y que no estén diseñados para controlar los desafíos de acceso condicional deban actualizarse para que puedan controlar los desafíos del acceso condicional. Consulte la guía para desarrolladores de acceso condicional de Microsoft para obtener detalles de implementación.
Preguntas más frecuentes
¿Qué ocurre si no hago ninguna acción?
El cumplimiento se aplica automáticamente como parte del lanzamiento programado a partir del 15 de junio de 2026. Si no ha realizado ningún cambio en la configuración de los ámbitos de referencia, la aplicación forzosa se habilita automáticamente en un plazo de varias semanas, aproximadamente. No verá ninguna opción seleccionada en la configuración de los ámbitos de referencia una vez aplicada la exigencia, porque ese comportamiento pasa a ser el predeterminado.
Si eligió anteriormente Deshabilitar el cumplimiento o Personalizar comportamiento, el inquilino sigue usando la configuración seleccionada. Puede pasar a la aplicación total en cualquier momento.
¿Cómo puedo habilitar la imposición antes del despliegue?
Vaya a https://aka.ms/BaselineScopesSettingsUX, seleccione Activar el cumplimiento y Guardar. Esta configuración aplica inmediatamente el comportamiento mejorado. Para revertir, seleccione Deshabilitar cumplimiento.
¿Cómo puedo conservar el comportamiento heredado después del lanzamiento?
Use Personalizar el comportamiento para asignar una aplicación personalizada propiedad del inquilino como recurso de destino para los ámbitos base y, a continuación, excluir esa aplicación de las directivas de Todos los recursos. Para obtener más información, consulte Conservar el comportamiento heredado con el comportamiento de personalización.
¿Cuál de mis aplicaciones se ve afectada?
Solo las aplicaciones cliente que solicitan ámbitos de línea base exclusivamente necesitan atención. Las aplicaciones que solicitan ámbitos más allá de la línea base (por ejemplo, Mail.Read) ya están sujetas a la aplicación del acceso condicional y no se ven afectados por este cambio. Para la mayoría de las organizaciones, se recomienda revisar las aplicaciones que se excluyen explícitamente de todas las directivas de recursos.