Asignación de la idoneidad de un grupo en Privileged Identity Management
En Microsoft Entra ID, anteriormente conocido como Azure Active Directory, puede usar Privileged Identity Management (PIM) para administrar la pertenencia Just-In-time en el grupo o la propiedad Just-In-time del grupo.
Cuando se asigna una pertenencia o propiedad, la asignación:
- No se puede asignar durante menos de cinco minutos.
- No se puede quitar dentro de los cinco minutos tras haberse asignado.
Nota:
Todo usuario elegible para pertenecer o ser propietario de un PIM para grupos debe tener una licencia Microsoft Entra ID P2 o Microsoft Entra ID Governance. Para más información, consulte Requisitos de licencia para usar Privileged Identity Management.
Asignación de un propietario o un miembro de un grupo
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Siga estos pasos para hacer que un usuario sea elegible para ser miembro o propietario de un grupo. Necesita permisos para administrar grupos. En el caso de los grupos a los que se pueden asignar roles, debe ser al menos un rol de administrador de roles con privilegios o ser propietario del grupo. En el caso de los grupos que no son asignables a roles, debe ser al menos un escritor de directorios, un administrador de grupos o un administrador de gobernanza de identidades, un rol de administrador de usuarios o ser propietario del grupo. Las asignaciones de roles a los administradores deberían tener ámbito a nivel de directorio (no a nivel de unidad administrativa).
Nota:
Otros roles con permisos para administrar grupos (como administradores de Exchange para grupos M365 no asignables a roles) y los administradores con ámbito de asignaciones a nivel de unidad administrativa pueden administrar grupos a través de la experiencia de usuario o la API de grupos e invalidar los cambios realizados en PIM de Microsoft Entra.
Inicio de sesión en el Centro de administración de Microsoft Entra
Vaya a Gobernanza de identidades>Privileged Identity Management>Grupos.
Puede ver los grupos que ya están habilitados para PIM para grupos aquí.
Selccione el grupo que necesita administrar.
Seleccione Asignaciones.
Use las hojas Asignaciones aptas y Asignaciones activas para revisar las asignaciones de pertenencia o propiedad existentes del grupo seleccionado.
Seleccione Agregar asignaciones.
En Seleccionar rol, elija entre Miembro y Propietario para asignar pertenencia o propiedad.
Seleccione los miembros o propietarios que desea que sean elegibles para el grupo.
Seleccione Next (Siguiente).
En la lista Tipo de asignación, seleccione Apto o Activo. Privileged Identity Management ofrece dos tipos de asignación distintos:
- La asignación apta requiere que el miembro o el propietario realicen una activación para usar el rol. Las activaciones también pueden requerir proporcionar una autenticación multifactor (MFA), proporcionar una justificación comercial o solicitar la aprobación de los aprobadores designados.
Importante
En el caso de los grupos que se usan para elevar a roles de Microsoft Entra, Microsoft recomienda requerir un proceso de aprobación para las asignaciones de miembros elegibles. Las asignaciones que se pueden activar sin aprobación pueden plantearle un riesgo de seguridad por parte de otro administrador con permiso para restablecer las contraseñas de un usuario apto.
- Las asignaciones activas no requieren que el miembro realice ninguna activación para usar el rol. Los miembros o propietarios asignados como activos tienen siempre los privilegios asignados al rol.
Si la asignación debe ser permanente (siempre apta o asignada de forma permanente), active la casilla Permanentemente. Según la configuración del grupo, es posible que la casilla no aparezca o que no se pueda editar. Para más información, consulte el artículo Configurar PIM para la configuración de grupos en Privileged Identity Management.
Seleccione Asignar.
Actualizar o quitar una asignación de roles existente
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Siga estos pasos para actualizar o quiotar una asignación de roles existente. Necesita permisos para administrar grupos. En el caso de los grupos a los que se pueden asignar roles, debe ser al menos un rol de administrador de roles con privilegios o ser propietario del grupo. En el caso de los grupos que no son asignables a roles, debe ser al menos un escritor de directorios, un administrador de grupos o un administrador de gobernanza de identidades, un rol de administrador de usuarios o ser propietario del grupo. Las asignaciones de roles a los administradores deberían tener ámbito a nivel de directorio (no a nivel de unidad administrativa).
Nota:
Otros roles con permisos para administrar grupos (como administradores de Exchange para grupos M365 no asignables a roles) y los administradores con ámbito de asignaciones a nivel de unidad administrativa pueden administrar grupos a través de la experiencia de usuario o la API de grupos e invalidar los cambios realizados en PIM de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de roles con privilegios.
Vaya a Gobernanza de identidades>Privileged Identity Management>Grupos.
Puede ver los grupos que ya están habilitados para PIM para grupos aquí.
Selccione el grupo que necesita administrar.
Seleccione Asignaciones.
Use las hojas Asignaciones aptas y Asignaciones activas para revisar las asignaciones de pertenencia o propiedad existentes del grupo seleccionado.
Seleccione Actualizar o Quitar para actualizar o quitar la asignación de pertenencia o propiedad.