Acceso Internacional por Regiones
Diseño de Acceso Internacional por Regiones (Entra ID + Power Automated)
🔍 Descripción (SEO):
Implementa un modelo de acceso internacional seguro y automatizado con Microsoft Entra ID y Power Automate. Bloquea inicios de sesión fuera de EE. UU./PR por defecto y otorga acceso temporal según país de viaje mediante aprobación digital.
🎯 Propósito
Implementar un modelo de acceso condicional por regiones que:
- 🚫 Bloquee todos los inicios de sesión fuera de EE. UU. y Puerto Rico por defecto.
- 🌐 Permita a empleados aprobados conectarse solo desde la región de destino.
- ⚙️ Elimine la necesidad de editar políticas manualmente; basta con agregar o remover usuarios de grupos regionales.
📝 1. Formulario de Solicitud (Cognito Forms)
📸 Captura 1: Vista del formulario
Campos principales:
- ✍️ Firma digital
- 🧍 Nombre completo
- 🌎 País o región de destino
- ✈️ Fecha de salida y regreso
- 🧾 Justificación
🏢 2. Configuración en Microsoft Entra ID
🧭 2.1 Named Locations
📸 Captura 2: Blade de Named Locations
📸 Captura 2a: Detalle de REG-AFRICA
Listado y detalle de una ubicación de muestra
| Nombre | Países incluidos | Uso en CA |
| REG-AFRICA | Lista completa en 4.1 | Exclusión en ACCESS-REG-AFRICA |
| REG-AMER-CENTRAL | Lista en 4.2 | Exclusión en ACCESS-REG-AMER-CENTRAL |
| REG-AMER-NORTE | Lista en 4.3 | Exclusión en ACCESS-REG-AMER-NORTE |
| REG-AMER-SUR | Lista en 4.4 | Exclusión en ACCESS-REG-AMER-SUR |
| REG-ASIA-PAC | Lista en 4.5 | Exclusión en ACCESS-REG-ASIA-PAC |
| REG-EUROPA | Lista en 4.6 | Exclusión en ACCESS-REG-EUROPA |
| REG-ORIENTE-MEDIO | Lista en 4.7 | Exclusión en ACCESS-REG-ORIENTE-MEDIO |
| BLOCKED COUNTRIES | Todos los países excepto US & PR | Incluido en política global Blocked Countries |
👥 2.2 Grupos de Seguridad (IntlAccess-*)
📸 Captura 3: Lista de grupos
| Nombre | Descripción breve |
| IntlAccess-AFRICA | Viajeros aprobados a África |
| IntlAccess-AMER-CENTRAL | Viajeros a América Central y Caribe |
| IntlAccess-AMER-NORTE | Viajeros a EE. UU./Canadá/Greenland |
| IntlAccess-AMER-SUR | Viajeros a Sudamérica |
| IntlAccess-ASIA-PAC | Viajeros a Asia‑Pacífico |
| IntlAccess-EUROPA | Viajeros a Europa |
| IntlAccess-ORIENTE-MEDIO | Viajeros a Medio Oriente |
🔒 2.3 Políticas de Conditional Access
Abre para las fotos
📸 Captura 4: Vista general de políticas CA
📸 Captura 4a: Detalle de “Blocked Countries”
| Política | Estado | Usuarios incluidos | Ubicación Include | Ubicación Exclude | Grant |
| Blocked Countries | On | All users (excl. IntlAccess‑*) | BLOCKED COUNTRIES | Trusted IPs list | Block access |
| ACCESS-REG-AFRICA | On | IntlAccess-AFRICA | Any | REG-AFRICA | Block access |
| ACCESS-REG-AMER-CENTRAL | On | IntlAccess-AMER-CENTRAL | Any | REG-AMER-CENTRAL | Block access |
| ACCESS-REG-AMER-NORTE | On | IntlAccess-AMER-NORTE | Any | REG-AMER-NORTE | Block access |
| ACCESS-REG-AMER-SUR | On | IntlAccess-AMER-SUR | Any | REG-AMER-SUR | Block access |
| ACCESS-REG-ASIA-PAC | On | IntlAccess-ASIA-PAC | Any | REG-ASIA-PAC | Block access |
| ACCESS-REG-EUROPA | On | IntlAccess-EUROPA | Any | REG-EUROPA | Block access |
| ACCESS-REG-ORIENTE-MEDIO | On | IntlAccess-ORIENTE-MEDIO | Any | REG-ORIENTE-MEDIO | Block access |
🌐 3. Definición de Regiones y Países
Se detallan las listas completas de países por región:
3.1 África (REG-AFRICA)
Algeria, Angola, Benin, Botswana, Burkina Faso, Burundi, Cabo Verde, Cameroon, Central African Republic, Chad, Comoros, Congo, Congo (DRC), Côte d’Ivoire, Djibouti, Egypt, Equatorial Guinea, Eritrea, Eswatini, Ethiopia, Gabon, Gambia, Ghana, Guinea, Guinea‑Bissau, Kenya, Lesotho, Liberia, Libya, Madagascar, Malawi, Mali, Mauritania, Mauritius, Mayotte, Morocco, Mozambique, Namibia, Niger, Nigeria, Réunion, Rwanda, Saint Helena—Ascension—Tristan da Cunha, São Tomé and Príncipe, Senegal, Seychelles, Sierra Leone, Somalia, South Africa, South Sudan, Sudan, Tanzania, Togo, Tunisia, Uganda, Zambia, Zimbabwe.
3.2 América Central y Caribe (REG-AMER-CENTRAL)
Anguilla, Antigua and Barbuda, Aruba, Bahamas, Barbados, Belize, Bonaire, British Virgin Islands, Cayman Islands, Costa Rica, Curaçao, Dominica, Dominican Republic, El Salvador, Grenada, Guadeloupe, Guatemala, Haiti, Honduras, Jamaica, Martinique, Mexico, Montserrat, Nicaragua, Panama, Puerto Rico, Saba, Saint Barthélemy, Saint Kitts and Nevis, Saint Lucia, Saint Martin, Saint Vincent and the Grenadines, Sint Eustatius, Sint Maarten, Trinidad and Tobago, Turks and Caicos Islands, U.S. Virgin Islands.
3.3 América del Norte (REG-AMER-NORTE)
Bermuda, Canada, Greenland, Saint Pierre and Miquelon, United States.
3.4 América del Sur (REG-AMER-SUR)
Argentina, Bolivia, Brazil, Chile, Colombia, Ecuador, Falkland Islands, French Guiana, Guyana, Paraguay, Peru, Suriname, Uruguay, Venezuela.
3.5 Asia**‑**Pac**í**fico (REG-ASIA-PAC)
Afghanistan, American Samoa, Australia, Bangladesh, Bhutan, Brunei, Cambodia, China, Christmas Island, Cocos (Keeling) Islands, Cook Islands, Fiji, French Polynesia, Guam, Hong Kong SAR, India, Indonesia, Japan, Kazakhstan, Kiribati, Korea, Kyrgyzstan, Laos, Macao SAR, Malaysia, Maldives, Marshall Islands, Micronesia, Mongolia, Myanmar, Nauru, Nepal, New Caledonia, New Zealand, Niue, Norfolk Island, Northern Mariana Islands, Palau, Pakistan, Papua New Guinea, Philippines, Pitcairn Islands, Samoa, Singapore, Solomon Islands, Sri Lanka, Taiwan, Tajikistan, Thailand, Timor‑Leste, Tokelau, Tonga, Turkmenistan, Tuvalu, Uzbekistan, Vanuatu, Vietnam, Wallis and Futuna, U.S. Outlying Islands.
3.6 Europa (REG-EUROPA)
Åland Islands, Albania, Andorra, Armenia, Austria, Azerbaijan, Belarus, Belgium, Bosnia and Herzegovina, Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia, Faroe Islands, Finland, France, Georgia, Germany, Gibraltar, Greece, Guernsey, Holy See / Vatican City, Hungary, Iceland, Ireland, Isle of Man, Italy, Jersey, Kosovo, Latvia, Liechtenstein, Lithuania, Luxembourg, Malta, Moldova, Monaco, Montenegro, Netherlands, North Macedonia, Norway, Poland, Portugal, Romania, Russia, San Marino, Serbia, Slovakia, Slovenia, Spain, Svalbard, Sweden, Switzerland, Türkiye, Ukraine, United Kingdom, Jan Mayen.
3.7 Oriente Medio (REG-ORIENTE-MEDIO)
Bahrain, Iraq, Israel, Jordan, Kuwait, Lebanon, Oman, Palestinian Authority, Qatar, Saudi Arabia, Syrian Arab Republic, United Arab Emirates, Yemen.
🔁 4. Flujo Operativo (Fase 1 – Manual)
1️⃣ Empleado envía solicitud con región y fechas.
2️⃣ TI verifica aprobación.
3️⃣ Se agrega/quita el usuario del grupo IntlAccess-<REGIÓN>.
4️⃣ La política CA aplica acceso dinámico.
5️⃣ Al regreso, el usuario es removido automáticamente.
🕓 Propagación: 15–30 min.
9. Flujo en Power Automate (Implementación Automática)
Captura 5: Panorama del flujo completo
9.1 Disparador y Aprobación
- When a new entry is created (Cognito Forms)
- Start and wait for an approval
9.2 Condición de Aprobación
- Condition: body(‘Start_and_wait_for_an_approval’)?[‘outcome’] is equal to ‘Approve’
9.3 Bucle For Each
- For each país seleccionado (triggerOutputs()?[‘body/PaisesDeDestino’])
9.4 Switch por Región
- Switch sobre item()?[‘Region/Label’]
Casos:
- REGION AFRICA → acciones bajo esa rama
- REGION AMERICA CENTRAL, etc.
9.5 Add user to group
Dentro de cada rama:
- Get user (Azure AD) (User Principal Name = triggerOutputs()?[‘body/Email’])
- Add user to group (Group Id = ObjectId de IntlAccess-)
9.6 Delay Until Return
- Delay until triggerOutputs()?[‘body/FechaRegreso’]+’T23:59:00Z’
9.7 Remove member from group
- Remove member from group (mismo Group Id y userId)
9.8 Notificaciones y Registro
- Send email de confirmación de revocación
- (Opcional) Add row en lista de auditoría/Table de Dataverse.
9.9 Manejo de Errores
- Configurar Retry policy en Add/Remove
- Usar Configure run after para alertas en fallos.
Apéndice de Imágenes
A continuación, se incluyen todas las capturas utilizadas en este documento, en orden de aparición, para referencia rápida.
| # | Descripción | Archivo Imagen |
| 1 | Vista general del formulario | |
| 2 | Blade de Named Locations | |
| 2a | Detalle de REG-AFRICA | |
| 3 | Lista de MS Security Groups | |
| 4 | Panorama de Políticas CA | |
| 4a | Configuración de Blocked Countries | |
| 5 | Panorama del flujo en Power Automate | |
| 6 | Paso de aprobación | |
| 7 | Condición de aprobación | |
| 8 | Bucle For Each | |
| 9 | Casos del Switch | |
| 10 | Acción Add user to group | |
| 11 | Acción Delay until return | |
| 12 | Acción Remove member |