Actualización
Hemos estado trabajando para mitigar este problema para nuestros clientes, y hemos estado implementando cambios en nuestra plataforma. Es posible que observe que las directivas de acceso condicional para iOS ahora se respetan para iPadOS, de forma similar al comportamiento anterior a la actualización de iPadOS.
Una forma rápida de verificar este comportamiento actualizado es acceder a los recursos de Safari en un dispositivo iPadOS protegido por las directivas de acceso condicional. Si ves una diferencia de comportamiento entre el acceso a Safari y Apple Native Mail, pídeles a los usuarios que cierren sesión en Apple Native Mail y, a continuación, vuelvan a iniciar sesión.
Para automatizar este proceso, establezca una directiva de acceso condicional temporal mediante el control de sesión "Frecuencia de inicio de sesión" y, a continuación, establezca una directiva de acceso condicional temporal que se aplique a las aplicaciones cliente que se identifican como "Aplicaciones móviles y cliente de escritorio." En esta directiva, establezca la plataforma del dispositivo en "macOS" y la frecuencia de inicio de sesión en 20 horas.
Para obtener más información acerca de cómo establecer esta directiva, consulte la documentación Configurar la administración de sesionesde autenticación con acceso condicional .
Nota Establecer esta directiva requiere que los usuarios de Apple Native Mail en iPadOS (previamente identificado como un dispositivo Mac debido al navegador de escritorio moderno en iPadOS) inicien sesión después de 20 horas. Después de volver a iniciar sesión, se bloqueará el acceso a Apple Native Mail si ha habilitado el control de concesión "Requerir aplicación cliente aprobada" o "Requerir directiva de protección de aplicaciones". Puede deshabilitar o eliminar la directiva de acceso condicional temporal para evitar que los usuarios inicien sesión cada 20 horas.
Resumen
Visión general del cambio de última hora
Apple lanzó iPadOS (el nuevo sistema operativo para iPad) el 30 de septiembre de 2019. Antes de la versión, descubrimos que esta versión introduce un cambio que podría afectar a los clientes de Microsoft Azure Active Directory (Azure AD) y Intune que usan directivas de acceso condicional en su organización. Este aviso está pensado para ayudarle a comprender el cambio de última hora de Apple y evaluar los efectos en su organización. Este aviso también proporciona recomendaciones de Microsoft.
Todos los iPads que se actualizan a iOS 13+ tenían su sistema operativo actualizado desde iOS a iPadOS. Aunque el iPadOS se comportará de forma similar a iOS, hay algunas aplicaciones clave que se comportan de manera diferente. Safari, por ejemplo, se presentará como macOS para asegurarse de que los usuarios de iPadOS tengan una experiencia completa del navegador de escritorio.
Precaución
Dado que las directivas de acceso condicional a menudo se aplican en un sistema operativo o específico de la aplicación, este cambio podría afectar a la seguridad y el cumplimiento de cualquier dispositivo iPad que actualice a iPadOS.
Aplicaciones que pueden verse afectadas por el cambio de última hora
Este cambio afecta a las aplicaciones que usan acceso condicional y que se identifican como aplicaciones de macOS en lugar de aplicaciones iOS. Al revisar las directivas de acceso condicional, debes centrarte en si proporcionas una experiencia de aplicación diferente entre macOS e iOS. Además, se recomienda revisar las directivas de acceso condicional en Azure AD que usan las categorías de aplicación afectadas.
El cambio de interrupción afecta a la aplicación de las directivas de acceso condicional en dispositivos iPad que ejecutan iPadOS en los siguientes escenarios:
-
Acceso a aplicaciones web mediante el navegador Safari
-
Acceso a Apple Native Mail
-
Acceso a aplicaciones nativas que utilizan Safari View Controller
En estos casos, Azure AD Conditional Access trata cualquier solicitud de acceso como una solicitud de acceso de macOS.
Importante
Es esencial que su organización tenga una directiva de acceso condicional para macOS. No tener una directiva para macOS podría provocar una condición de acceso abierto en los recursos de la organización para los escenarios identificados anteriormente.
No hay ningún efecto en los siguientes escenarios de acceso:
-
Todo el acceso a aplicaciones nativas de Microsoft (como Outlook, Word o Edge)
-
Acceso a aplicaciones web mediante un navegador distinto de Safari (como Chrome)
-
Aplicaciones que usan Intune App SDK/ App wrapping tool foriOS/Microsoft identity platform v2.0 o bibliotecas de autenticación v1.0
Antes de examinar las recomendaciones de Microsoft, tenga en cuenta los siguientes escenarios que podrían verse afectados.
|
Escenario |
Resultados |
|---|---|
|
Ha configurado una directiva de acceso condicional que "requiere una aplicación cliente aprobada" para el acceso al correo electrónico en un dispositivo iOS y no tiene ninguna directiva configurada para macOS. |
Después de que un iPad se actualice a iPadOS, la directiva de aplicación cliente aprobada no se aplicará para las categorías de aplicación afectadas, como se describió anteriormente. |
|
Ha configurado una directiva de acceso condicional que "requiere un dispositivo compatible" para usar un dispositivo iOS para acceder a los recursos de la empresa. Sin embargo, no ha configurado una directiva de macOS. |
Después de que los iPads se actualicen a iPadOS, los usuarios pueden acceder a los recursos de la empresa mediante el uso de aplicaciones en las categorías de aplicaciones afectadas de iPads no conformes. |
|
Ha configurado una directiva de acceso condicional que "requiere MFA" en un dispositivo iOS para acceder a sitios web de Office365, como Outlook Web Access. Sin embargo, no ha configurado una directiva de macOS correspondiente. |
Después de la actualización de iPads a iPadOS, los usuarios pueden acceder a dichos sitios web de Office365 mediante el uso de aplicaciones de las categorías de aplicaciones afectadas sin que se les solicite la autenticación multifactor (MFA). |
|
Ha configurado una directiva de acceso condicional que "requiere un dispositivo compatible" para dispositivos iOS y "requiere MFA" para dispositivos macOS. |
Después de que los iPads se actualicen a iPadOS, los usuarios pueden acceder a los recursos de la empresa mediante el uso de aplicaciones en las categorías de aplicaciones afectadas de iPads no conformes. |
Estos son solo algunos ejemplos de casos en los que la directiva de acceso condicional para iOS puede diferir de la directiva de acceso condicional para macOS. Debe identificar todos estos casos en su política.
Recomendaciones de Microsoft
Le recomendamos que realice las siguientes acciones:
-
Evalúe si tiene directivas de CA de Azure AD basadas en explorador para iOS que rigen el acceso desde dispositivos iPad. Si lo hace, siga estos pasos:
-
Cree una directiva de acceso al explorador de MacOS Azure AD equivalente. Le recomendamos que utilice la directiva "requerir un dispositivo compatible". Esta directiva inscribe los dispositivos iPad y Mac en Microsoft Intune (o JAMF Pro, si lo ha seleccionado como herramienta de administración de macOS). Esta directiva también se asegura de que las aplicaciones del explorador solo tengan acceso desde dispositivos compatibles (opción más segura). También tendrá que crear una directiva de cumplimiento de dispositivos Intune para macOS.
-
En caso de que no pueda "requerir un dispositivo compatible" para macOS y iPadOS para el acceso al navegador, asegúrese de que está "requiriendo MFA" para dicho acceso.
-
-
Determine si una directiva de acceso condicional de Azure AD basada en Términos de uso (consentimiento por dispositivo) está configurada para iOS. Si es así, crea una directiva equivalente para macOS.
Para obtener más información, póngase en contacto con el soporte técnico de Microsoft.
