Si dentro de nuestro entorno de Microsoft Intune usamos Azure Active Directory (AD) y acceso condicional, podemos usar políticas de acceso condicional para bloquear el acceso del dispositivo a la puerta de enlace VPN de Microsoft Tunnel.
Para admitir la integración de Acceso condicional y Microsoft Tunnel, debemos utilizar Azure AD PowerShell para permitir que nuestros usuarios admitan Microsoft Tunnel. Después de permitir la admisión de Microsoft Tunnel, podemos crear políticas de acceso condicional que se apliquen a la aplicación Microsoft Tunnel.
Como primer paso en un equipo de prueba con Windows 10/11 vamos a descargar e instalar el modulo de AzureAD Powershell.
Podemos usar las credenciales de Global Administrator o Application Administrator para correr el script.
Abrimos Powershell con privilegios de Administrador y deshabilitamos la restricción de ejecución de scripts (solamente en caso de ser necesario).
Set-ExecutionPolicy -executionPolicy Unrestricted
Antes de poder configurar directivas de acceso condicional para el túnel, debemos permitir que sus usuarios admitan Microsoft Tunnel para acceso condicional. Usamos el módulo Azure Active Directory PowerShell y ejecutamos un script de PowerShell para modificar y agregar Microsoft Tunnel Gateway como una aplicación en la nube.
Ahora descargamos el script desde este link aka.ms/mst-ca-provisioning
Ejecutamos como se muestra la pantalla.
Debemos permitir con las credenciales y roles antes mencionados.
El script modifica las siguientes entradas para crear el servicio
App ID: 3678c9e9-9681-447a-974d-d19f668fcd88
Name: Microsoft Tunnel Gateway
Ahora solamente abrimos Conditional Access desde nuestro portal de Microsoft Intune y agregamos la configuración.
Nota: Si vamos a usar la directiva de acceso condicional para limitar el acceso de los usuarios, Microsoft recomienda configurar la directiva después de aprovisionar para admitir la aplicación en la nube Microsoft Tunnel Gateway, pero antes de instalar Tunnel Gateway.
Creamos una nueva politica.
Agregamos a los grupos de usuarios que vayamos a usar la política y/o excluimos de igual manera a los que no es necesario aplicar la política de Conditional Access.
En Aplicaciones o acciones en la nube > Seleccionar aplicaciones, seleccionamos la aplicación Microsoft Tunnel Gateway.
Por ultimo en Grant seleccionamos el control de Block Access o Grant Access seleccionando que el dispositivo este en cumplimiento.
Podremos revisar los sign-ins de los usuarios desde el portal de MEM para validar nuestra condición,
Sin mas por el momento me despido enviandoles un gran saludo a todos mis lectores, estamos con nuevos post.