Control del acceso de las aplicaciones de su entorno
Microsoft Entra ID Governance le permite equilibrar la productividad de los empleados y la seguridad que necesita su organización con la visibilidad y los procesos adecuados. Sus características garantizan las personas adecuadas tienen el acceso apropiado a los recursos adecuados de la organización en el momento apropiado.
Las organizaciones con requisitos de cumplimiento o planes de administración de riesgos tienen aplicaciones confidenciales o críticas para la empresa. La confidencialidad de la aplicación puede basarse en su propósito o en los datos que contiene, como información financiera o información personal de los clientes de la organización. Normalmente solo un subconjunto de todos los usuarios de la organización estará autorizado para tener acceso a estas aplicaciones y solo se debe permitir el acceso en función de los requisitos empresariales documentados. Como parte de los controles de su organización para administrar el acceso, puede usar las características de Microsoft Entra para:
- Configurar el acceso adecuado.
- aprovisionar usuarios en aplicaciones
- Aplicar comprobaciones de acceso.
- Generar informes para mostrar cómo se usan esos controles para cumplir los objetivos de cumplimiento y administración de riesgos.
Además del escenario de gobernanza del acceso a aplicaciones, también puede usar las características de gobernanza de identificadores de Entra de Microsoft y otras características de Microsoft Entra para otros escenarios, como revisar y quitar usuarios de otras organizaciones o administrar usuarios excluidos de las directivasde acceso condicional. Si su organización tiene varios administradores en Microsoft Entra ID o Azure, y usa la administración de grupos de autoservicio o B2B, debe planear una implementación de revisiones de acceso para esos escenarios.
Requisitos de licencia
El uso de esta característica requiere licencias de Gobernanza de identificadores de Microsoft Entra o Microsoft Entra Suite. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.
Introducción a la gobernanza del acceso a las aplicaciones
Microsoft Entra ID Governance se puede integrar con muchas aplicaciones, mediante estándares como OpenID Connect, SAML, SCIM, SQL y LDAP. Gracias estos estándares, puede usar Microsoft Entra ID con muchas aplicaciones SaaS conocidas, aplicaciones locales y las aplicaciones desarrolladas por su organización. Una vez que haya preparado el entorno de Microsoft Entra, como se describe en la sección siguiente, el plan de tres pasos describe cómo conectar una aplicación a Microsoft Entra ID y habilitar las características de gobernanza de identidades que se usarán para esa aplicación.
- Defina las directivas de la organización para controlar el acceso a la aplicación
- Integre la aplicación con Microsoft Entra ID para asegurarse de que solo puedan acceder a la aplicación los usuarios autorizados y revise el acceso existente del usuario a la aplicación para establecer una línea base de todos los usuarios que se han revisado. Esto permite la autenticación y el aprovisionamiento de usuarios
- Implemente esas directivas para controlar el inicio de sesión único (SSO) y automatizar las asignaciones de acceso de esa aplicación.
Requisitos previos antes de configurar Microsoft Entra ID y Microsoft Entra ID Governance para la gobernanza de identidades
Antes de comenzar el proceso de gobernanza del acceso a las aplicaciones desde Microsoft Entra ID Governance, debe comprobar que el entorno de Microsoft Entra esté configurado correctamente.
Asegúrese de que el entorno de Microsoft Entra ID y Microsoft Online Services está listo para los requisitos de cumplimiento de las aplicaciones que se van a integrar y de las que se va a obtener una licencia adecuada. El cumplimiento es una responsabilidad compartida entre Microsoft, los proveedores de servicios en la nube (CSP) y las organizaciones. Para usar Microsoft Entra ID para controlar el acceso a las aplicaciones, debe tener una de las siguientes combinaciones de licencias en su inquilino:
- Gobernanza del id. de Microsoft Entra y su requisito previo, Microsoft Entra ID P1
- Microsoft Entra ID Governance paso a paso por Microsoft Entra ID P2 y su requisito previo, ya sea Microsoft Entra ID P2 o Enterprise Mobility + Security (EMS) E5
Su inquilino debe tener al menos tantas licencias como el número de usuarios miembros (no invitados) que están gobernados, incluidos aquellos que tienen o pueden solicitar acceso a las aplicaciones, aprobar o revisar el acceso a las aplicaciones. Con una licencia adecuada para esos usuarios, puede controlar el acceso a un máximo de 1500 aplicaciones por usuario.
Si va a gobernar el acceso de invitado a la aplicación, vincule el inquilino de Microsoft Entra a una suscripción para la facturación de MAU. Este paso es necesario antes de que cualquier invitado solicite o revise su acceso. Para más información, consulte modelo de facturación para Microsoft Entra External ID.
Compruebe que Microsoft Entra ID ya está enviando su registro de auditoría y, opcionalmente, otros registros, a Azure Monitor. Azure Monitor es opcional, pero útil para gobernar el acceso a las aplicaciones, ya que Microsoft Entra solo almacena eventos de auditoría durante un máximo de 30 días en su registro de auditoría. Los datos de auditoría se pueden mantener durante más tiempo que el período de retención predeterminado, que se indica en ¿Durante cuánto tiempo almacena Microsoft Entra ID los datos de los informes?, y usar libros de Azure Monitor y consultas e informes personalizados sobre datos de auditoría históricos. Para consultar la configuración de Microsoft Entra para ver si usa Azure Monitor, en Microsoft Entra ID, en el centro de administración de Microsoft Entra, haga clic en Libros. Si esta integración no está configurada y tiene una suscripción de Azure y está en los roles
Global Administrator
oSecurity Administrator
, puede configurar Microsoft Entra ID para que use Azure Monitor.Asegúrese de que solo los usuarios autorizados estén en los roles administrativos con privilegios elevados en el inquilino de Microsoft Entra. Los administradores con los roles de Administrador global, Administrador de Identity Governance, Administrador de usuarios, Administrador de aplicaciones, Administrador de aplicaciones en la nube y Administrador de roles con privilegios pueden realizar cambios en los usuarios y en sus asignaciones de roles de aplicación. Si aún no se han revisado las pertenencias de esos roles, necesita un usuario que esté en el rol de Administrador global o Administrador de roles con privilegios para asegurarse de que se inicia la revisión de acceso de estos roles de directorio. También debe asegurarse de que los usuarios de roles de Azure en suscripciones que contienen Azure Monitor, Logic Apps y otros recursos necesarios para el funcionamiento de la configuración de Microsoft Entra se han revisado.
Compruebe que el inquilino tiene el aislamiento adecuado. Si su organización usa una versión local de Active Directory y estos dominios de AD están conectados a Microsoft Entra ID, deberá asegurarse de que las operaciones administrativas con privilegios elevados para los servicios hospedados en la nube estén aisladas de las cuentas locales. Compruebe que ha configurado los sistemas para proteger el entorno en la nube de Microsoft 365 de los riesgos locales.
Una vez que haya comprobado que el entorno de Microsoft Entra está listo, continúe con la definición de las directivas de gobernanza para las aplicaciones.